ماهي تقنية access list control
⦁هي التقنية المستخدة هي مجال Security لحماية الشبكات والاجهزة من الوصول العشوائي إليها .
احيانا يطلق عليها اسم firewall
⦁ فعند استخدام access list لكي تمنع الجهاز 10.0.0.1فهي تقوم بمنعه من الخروج الى الانترنت بينما تسمح للجهاز الاخر بالخروج .
permit 10.0.0.2
deny 10.0.0.1
.i ملاحظات مهمة جدا عند استخدام access list control:-
- يجب اختيار افضل interface لتطبيق access list من اجل تجنب ال traffic على الشبكة .
- يجب تحديد اتجاه ال traffic في ال port على الروتر إما in او out .
- يكون in إذا كانت حركة traffic مودية الى الروتر عبر ال port كما في الرسمة التي في الاعلى .
- ويكون out إذا كانت حركة ال traffic خارجة من الروتر الى مكان اخر .
⦁ من اجل منع الجهاز من الخروج الى الانترنت افضل مكان لتطبيق ال access list عند F0/0 .
- بعد ان قمنا بتحديد ال interface حق الروتر الان نحدد حركة ال traffic
- من خلال الرسمه حركة ال traffic تعتبر in داخله الى الروتر
- اما اذا كنا بانطبق ال access list عند ال interface S0/0 بيكون اتجاه حركة ال traffic out ( بمعنى خارج من الروتر الى مكان اخر ) .
- اي فتحة على الروتر تاخذ اثنين من access list بشرط واحد in والاخر out وهكذا .
- اولا تحديد نوع ال access list التي بانستخدمها :-
- standared access list
- عندما يكون الهدف هو إما سماح (لجهاز او شبكه ) او منع بشكل عام بدون استثناء .
- extended access list
- عندما يكون الهدف هو إما سماح permit (لجهاز او شبكه)او منع deny بشي معين مثل التصفح في الانترنت او برتكول معين .
- اهم ملاحضة:- في ال access list هو مراعات الترتيب (ترتيب السطور عند اعدادات الروتر ) لانه يتم تنفيذ الاوامر من الاعلى الى الاسفل خطوة بخطوه .
- تنقسم ال access list الى قسمين :-
- standared access list وفيها نوعين :-
- numberd وتأخذ الرقم (من 1 الى 99 )
- named
- .extended access list وفيها نوعين :-
- numberd وتأخذ الرقم (من 100 الى 199 )
- named
ملاحظة مهم :-
ما الفرق بينnumbared access list and named access list ؟
- عندما نقوم بإعداد الروتر بإستخدام ال standared access list تمم بخطوات مرتبة ومدروسة مسبقا لانه اذا حدث اي خطاء او نريد إضافة اي امر معين او تعديل فإنه لايسمح بذلك ابدا .
- عندما نقوم بإعداد الروتر بإستخدام ال extended access list تمم بخطوات مرتبة ومدروسة مسبقا فإذا حدث اي خطاء او نريد إضافة اي امر معين او تعديل فإننا نقوم بالحذف الى المكان الذي نريد التعديل فيه اي يسمح بعملية التعديل .
- تتم اعدادات الروتر بطريقتين من ال access list control وهي :-
- standared access list
- extended access list
اولا سوف نبدا ب standard access list :- ليكن لدينا الشبكة التاليه :-
- قبل ان نجري الاعدادات فإن جميع الاجهزة تستطيع الوصول الى الانترنت ,
- لكي نمنع الجهاز صاحب العنوان 200.1.1.1/21 من الخروج الى الى الانترنت سوف نقوم بإجراء الخطوات التاليه :
Router>enable
Router#configure terminal
Router(config)#ACCESS-list 1 deny host 200.1.1.1
Router(config)#ACCESS-list 1 permit 200.1.1.0 0.0.0.255
Router(config)#int f0/0
Router(config-if)#ip access-group 1 in
تتم بهذه الخطوات المرتبه :-
Router(config)#ACCESS-list 1 deny host 200.1.1.1
هذه الخطوه تقوم بمنع الجهاز من الخروج الى الانترنت .
Router(config)#ACCESS-list 1 permit 200.1.1.0 0.0.0.255
تسمح لبقية اجهزة الشبكه من الخروج الى الانترنت . باستخدام ال (while card (0.0.0.255
لكي نقوم بإجاده اولا نقوم بإجاد قناع الشبكه ومن ثم نوجد المكمله الثانيه لل mask .
Router(config)#int f0/0
قمنا بتحديد المنفذ الذي بانطبق عنده access list .
Router(config-if)#ip access-group 1 in
يتم تطبيق مجموعة الاجراءات الموجوده في ال (access list 1) وبما انه دخول ال traffic الى الروتر بيكون (in) .
نعطي مثال اخر مهم وفيه فكر كثره :-
كيف نستطيع منع الشبكات التي في اللون الاحمر من الوصول الى السرفر وفي نفس الوقت تستطيع التواصل مع الشبكات الاخرى ؟بينما السماح للشبكات الاخرى التي في اللون الاخضر التواصل فيما بينها والوصول الى السرفر ؟
افضل مكان لتطبيق ال standared access list هو عند البورت S0/0 .
الان الخطوات :-
Router>enable
Router#configure terminal
Router(config)#ACCESS-list 5 permit host 192.168.1.1
Router(config)#ACCESS-list 5 deny 192.168.1.0 0.0.0.255
Router(config)#ACCESS-list 5 deny 172.16.0.0 0.0.255.255
Router(config)#ACCESS-list 5 permit 0.0.0.0 255.255.255.255
or Router(config)#ACCESS-list 5 permit any
Router(config)#ACCESS-list 1 permit 200.1.1.0 0.0.0.255
Router(config)#int S0/0
Router(config-if)#ip access-group 5 OUT
قاعدة مهم :-
توضع ال access list في اقرب ما يكون الى destination الذي نريد حمايته .
تعليقات
إرسال تعليق