cisco icnd1 الشبكات الفرعية والاختصارات في لوائح التحكم في الوصول ACL


محمد أحمد العيل

رأينا في الدرس السابق كيفية احتساب أقنعة محرف البدل وعرفنا كيف يمكن تحديد مجموعة من عناوين IP لنطبِّق عليها إجراءات لوائح التحكم في الوصول، أي قبول مرور البيانات أو رفضها. اعتمدنا في الدرس السابق على سيناريو سهل نوعًا ما، سنرى في هذا الدرس كيفيّة تعميم مبدأ مطابقة أقنعة محارف البدل للحصول على مجال من الشبكات الفرعية (Subnets) وليس فقط مجموعة عناوين IP من شبكة فرعية واحدة.

توضِّح الصورة أدناه المثال الذي سنعتمد عليه للشرح. نريد أن يكون المجال الذي نعمل عليه يبدأ من الشبكة الفرعيّة ‎ 172.30.16.0/24 وينتهي بالشبكة الفرعيّة ‎172.30.31.0/24.

01-acl-masking-multiple-subnets.jpg

يمكن أن ننشئ لائحة تحكّم في الوصول خاصة بكل شبكة فرعيّة، ولكن سيأخذ ذلك منا الكثير من الوقت لكتابة التعليمات، كما أن التعليمات ستأخذ الكثير من الأسطر.

يمكننا أن نلاحظ أولًا أن المجال الذي نريد إنشاء قناع محرف بدل له يحوي 16 شبكةً فرعيّة (30-16=15، وباحتساب أن الشبكة الفرعيّة الأخيرة داخلة في المجال يصبح لدينا 16 شبكة فرعيّة). ثم نلاحظ بعد ذلك أن البايتين الأول والثاني مشترَكان بين بداية المجال ونهايته (‎172.30)، وهو ما يعني أننا نبحث عن مطابقة هذين البايتين، والمطابقة تعني استخدام ‎0 في القناع. عرفنا الآن أن ‎0.0 هما البايتان الأول والثاني من قناع محرف البدل. تبقّى لنا البايت الثالث والبايت الرابع.

بالنسبة للبايت الرابع فهدفنا أن يحوي المجال عناوين الشبكة الفرعية كلها، وهو ما يمكننا الحصول عليه بجعل هذا البايت مكوَّنا من آحاد فقط، أي أن قيمته العشرية تساوي 255. يبقى البايت الأكثر تأثيرًا، وهو البايت الثالث (Third byte) الذي لا نريده أن يأخذ سوى عددٍ محدود من الخيارات الممكنة. يمكن أن نلاحظ أن 16 تُكتَب بالنظام الثنائي على ثمانية بتّات كالتالي ‎00010000، و31 تُكتَب ‎00011111، وهو ما يعني أن البتّات الأربعة على اليسار 0001 يجب ألّا تتغيّر، أي أننا نبحث لها عن مطابقة وهو ما يُترجَم في قناع محرف البدل بأصفار 0000‎ (على اليسار). أما البتّات الأربعة على اليمين فهي تأخذ المجال كاملًا (من ‎0000 إلى ‎1111)، وهو ما يُترجَم في قناع محرف البدل بالآحاد (‎1111). بوضع الجزئيْن جنبًا لجنب نجد قيمة البايت الثالث في قناع محرف البدل وهي ‎00001111، والتي تُكتَب عشريًّا ‎15.

نخلُص إلى أن قيمة قناع محرف البدل الذي نبحث عنه هي ‎0.0.15.255.

لن تكون مضطرًّا دائمًا للنظر في الكتابة الثنائيّة إلّا في حالات خاصّة. في مثالنا أعلاه يمكن أن تختصر الطريق بالاعتماد على الكتابة العشرية لجزء عنوان IP الذي يمثّل الشبكة الفرعيّة وطرفيْ المجال. يشير قناع الشبكة ‎/24 في المثال إلى أنّ البايتات الثلاثة الأولى (‎172.30.31 و172.30.16‎) تمثلّ عنوان الشبكة الفرعيّة، في حين يمثّل البايت الرابع عنوان المضيف (Host). نأخذ نهاية مجال الشبكات الفرعيّة ونطرح منها البداية (172.30.31 – 172.30.16 = 0.0.15) فنحصل على الجزء المتعلِّق بالشبكة الفرعيّة من قناع محرف البدل. بالنسبة للمضيف فالقيمة ستكون 255‎ لأننا نريد أن نُضمِّن جميع المضيفات في كل شبكة فرعيّة، وبالتالي نجد قناع محرف البدل ‎0.0.15.255.

اختصارات قناع محرف البدل

توجد حالتان شائعتان عند استخدام لوائح التحكم في الوصول، وهما استهداف مضيف مُحدَّد، أو استهداف عناوين IP الممكنة كلّها. بالنسبة للمضيف، يمكننا استخدام قناع محرف البدل 0.0.0.0 مع العنوان وهو ما ينتُج عنه مجال عناوين يساوي فيه عنوانُ البداية عنوانَ النهاية، أي أنه لا يحوي سوى عنوان IP واحد. مثلًا ‎172.30.16.29 0.0.0.0. إلّا أنه يمكن الحصول على النتيجة نفسها بالكلمة المفتاحية host متبوعةً بعنوان المضيف: host‎ 172.30.16.29.

بالنسبة للحالة الثانية (استهداف العناوين الممكنة جميعها)، فالعنوان 0.0.0.0 مع قناع محرف البدل 255.255.255.255 يؤدِّي الغرض؛ إلّا أنه توجد طريقة مختصرة باستخدام الكلمة المفتاحية any.

ترجمة – وبتصرّف – للمقال Access Control Lists Wildcard Masking and Abbreviation.





تفاعل الأعضاء


لا توجد أيّة تعليقات بعد



يجب أن تكون عضوًا لدينا لتتمكّن من التعليق

انشاء حساب جديد

يستغرق التسجيل بضع ثوان فقط


سجّل حسابًا جديدًا

تسجيل الدخول

تملك حسابا مسجّلا بالفعل؟


سجّل دخولك الآن