ما هي قائمة التحكم في الوصول إلى VLAN في الشبكات

اقرأ في هذا المقال


يُعد (VLAN) هو مفهوم يتم تقسيم فيه مجال البث إلى مجالات بث أصغر منطقياً في الطبقة 2، حيث إذا تم إنشاء شبكات محلية ظاهرية متنوعة، فبإمكان مضيف من شبكة محلية ظاهرية واحدة التواصل مع جميع المضيفين المقيمين في نفس شبكة محلية ظاهرية (VLAN)، وإذا تم إيقاف بعض المضيفين الوصول إلى مضيفين آخرين داخل نفس شبكة (VLAN) فيمكن استخدام مفهوم قائمة وصول (VLAN) أو شبكة (VLAN) الخاصة.

أساسيات قائمة التحكم في الوصول VLAN ACL

يتم استخدام (VLAN ACL) لترشيح حركة مرور شبكة (VLAN) أي حركة المرور داخل شبكة (VLAN) أي حركة مرور مضيف الوجهة المقيم في نفس شبكة (VLAN)، كما يتم فحص جميع الحزم التي تدخل إلى (VLAN) مقابل (VACL)، وعلى عكس قائمة التحكم في الوصول لجهاز التوجيه لم يتم تعريف (VACL) في اتجاه ما، ولكن من الممكن تصفية حركة المرور بناءً على اتجاه حركة المرور من خلال الجمع بين ميزات (VACL) و(VLAN) الخاصة.

تُستخدم خرائط (VLAN ACL) أو خرائط (VLAN) للتحكم في حركة مرور الشبكة داخل شبكة (VLAN) ويمكن تطبيق خرائط (VLAN) على جميع الحزم، والتي تم ربطها داخل شبكة محلية ظاهرية (VLAN) في المحول أو مكدس المحولات، و(VACLs) مخصصة بشكل صارم لتصفية حزم الأمان ولإعادة توجيه حركة المرور إلى واجهات فعلية محددة، ولم يتم تحديد (VACLs) باتجاه الدخول أو الخروج.

يتم التحكم في الوصول إلى جميع البروتوكولات التي لا تنتمي إلى (IP) من خلال عناوين (MAC) ونوع (Ethertype) باستخدام خرائط (MAC VLAN)، ولا يتم التحكم في الوصول إلى حركة مرور (IP) بواسطة خرائط (MAC VLAN)، ويمكن فرض خرائط (VLAN) فقط على الحزم التي تمر عبر المحول.

كما أنّه لا يمكن فرض خرائط (VLAN) على حركة المرور بين المضيفين على لوحة وصل أو على محول آخر متصل بهذا المحول، وباستخدام خرائط (VLAN) يُسمح بإعادة توجيه الحزم أو يرفض بناءً على الإجراء المحدد في الخريطة.

  • “VLAN” هي اختصار لـ “Virtual local area networks”.
  • “MAC” هي اختصار لـ “Media Access Control”.
  • “IP” هي اختصار لـ “Internet Protocol”.
  • “ACL” هي اختصار لـ “Access Control List”.
  • “VACL” هي اختصار لـ “Virtual Local Area Network Access Control List”.

مبدأ عمل قائمة التحكم في الوصول VLAN ACL

تُعد خرائط (VLAN) هي الطريقة الوحيدة للتحكم في التصفية داخل شبكة (VLAN) وخرائط (VLAN) ليس لها اتجاه، ولتصفية حركة المرور في اتجاه معين باستخدام خريطة (VLAN) تحتاج إلى تضمين قائمة التحكم بالوصول (ACL) بعناوين مصدر أو وجهة محددة، حيث إذا كان هناك بند تطابق لهذا النوع من الحزم (IP) أو (MAC) في خريطة (VLAN)، فإنّ الإجراء الافتراضي هو إسقاط الحزمة إذا كانت الحزمة لا تتطابق مع أي من الإدخالات داخل الخريطة.

إذا لم يكن متوفر شرط تطابق لهذا النوع من الحزم فإنّ الإعداد الافتراضي هو إعادة توجيه الحزمة وإذا لم يتم إنشاء قائمة التحكم بالوصول (ACL) لرفض حركة الانتقال على الواجهة، ولم يتم تكوين خريطة (VLAN) فيُسمح بكل حركة المرور، كما تتكون كل خريطة (VLAN) من سلسلة من الإدخالات وترتيب الإدخالات في خريطة (VLAN) مهم.

يتم اختبار الحزمة التي تأتي في المحول مقابل الإدخال الأول في خريطة (VLAN) وإذا تطابقت فسيتم اتخاذ الإجراء المحدد لذلك الجزء من خريطة (VLAN)، وإذا لم يكن هناك تطابق يتم اختبار الحزمة مقابل الإدخال التالي في الخريطة، وإذا كانت خريطة (VLAN) تحتوي على شرط مطابقة واحد على الأقل لنوع الحزمة (IP) أو (MAC) وكانت الحزمة لا تتطابق مع أي من عبارات المطابقة هذه، فإنّ الإعداد الافتراضي هو إسقاط الحزمة.

وإذا لم يكن هناك شرط تطابق لهذا النوع من الحزم في خريطة (VLAN)، فإنّ الإعداد الافتراضي هو إعادة توجيه الحزمة، وعندما يكون للمحول قائمة وصول (IP) أو قائمة وصول (MAC) مطبقة على واجهة الطبقة 2 وتقوم بتطبيق خريطة (VLAN) على شبكة محلية ظاهرية (VLAN) ينتمي إليها المنفذ، فإنّ منفذ (ACL) يكون له الأسبقية على خريطة (VLAN).

إذا تعذر تطبيق تكوين خريطة (VLAN) في الأجهزة فسيتم إسقاط جميع الحزم في شبكة (VLAN) هذه وكما أنّه للوصول إلى التحكم في حركة المرور المتصلة والموجهة، يمكن استخدام خرائط (VLAN) فقط أو مجموعة من قوائم (ACL) الخاصة بالموجه وخرائط (VLAN)، كما يمكن تحديد قوائم (ACL) الخاصة بالموجه على واجهات (VLAN) الموجهة للإدخال والإخراج، ويمكن تحديد خريطة (VLAN) للوصول إلى التحكم في حركة المرور المتصلة.

إذا كان تدفق الحزمة يطابق بند رفض خريطة (VLAN) في قائمة التحكم بالوصول (ACL) وبغض النظر عن تكوين قائمة التحكم في الوصول للموجه فسيتم رفض تدفق الحزمة، وكما أنّ قوائم التحكم في الوصول إلى (IP) تعتمد أجهزة التوجيه قوائم التحكم في الوصول؛ لرفض أو إعادة توجيه حركة مرور معينة من المرور عبر بعض واجهات الشبكة.

كما أنّه يتم استخدام قوائم التحكم في الوصول (ACL) عندما تنتقل حركة المرور من مساحة عنوان شبكة إلى أخرى، بحيث يمكن أن يكون لمحول (Cisco Catalyst) أيضاً قائمة (ACL) مطبقة داخل شبكة محلية ظاهرية (VLAN)، ويسمى هذا النوع الخاص من (ACL) بقائمة التحكم في الوصول إلى (VLAN / VACL).

كما يدل التكوين الأول على كيفية تكوين (VACL) الذي يسمح بحركة مرور (Telnet) إلى مضيف له عنوان (IP 10.2.2.13) وإيقاف جميع حركات المرور الأخرى، بحيث توجد خريطة وصول إلى شبكة محلية ظاهرية يتم تكوينها لمطابقة قائمة الوصول، وبالنسبة لرقم التسلسل يتمثل الإجراء المحدد في إعادة توجيه حركة المرور المطابقة لقائمة الوصول هذه.

كما يتم تجاهل كل حركة المرور الأخرى بسبب تعليمات إسقاط ضمنية افتراضية والتي تتسبب في إسقاط كل حركة المرور غير المسموح بها صراحةً، كما يتم تطبيق مرشح (VLAN) أي (VACL) على شبكات (VLAN) في النطاق من 1 إلى 50.

كيفية عمل قائمة التحكم في الوصول VACL

  • تحديد قائمة الوصول القياسية أو الموسعة لاستخدامها في (VACL).
  • يجب تحديد قائمة الوصول لتحديد نوع حركة المرور والمضيفين التي يتم تطبيقها عليها.
  • تحديد خريطة وصول إلى شبكة محلية ظاهرية (VLAN).
  • يتم تحديد خريطة الوصول إلى شبكة محلية ظاهرية (VLAN)، حيث سيتم مطابقة عنوان (IP) للمضيفين باستخدام قائمة الوصول المحددة.
  • العمل على تكوين بند الإجراء في تسلسل خريطة الوصول إلى شبكة محلية ظاهرية.
  • سيوضح هذا الإجراء إعادة التوجيه أو الإفلات الذي يجب اتخاذه على حركة المرور والمحددة في خريطة الوصول إلى شبكة محلية ظاهرية.
  • تطبيق خريطة وصول (VLAN) على شبكات (VLAN) المحددة.
  • تتمثل الخطوة الأخيرة في تكوين (VACL) في إنشاء قائمة عوامل تصفية تحدد شبكة (VLAN) التي تم تطبيق خريطة الوصول عليها.
  • عرض معلومات خريطة الوصول إلى (VLAN).
  • كما يمكن التحقق من المعلومات باستخدام الأمر.

المصدر: COMPUTER NETWORKING / James F. Kurose & Keith W. RossComputer Networks - The Swiss BayCOMPUTER NETWORKS LECTURE NOTES / B.TECH III YEAR – II SEM (R15)An Introduction to Computer Networks / Peter L Dordal


شارك المقالة: