- بواسطة x32x01 ||
في عالم الشبكات، مجرد إنك توصل الأجهزة ببعض ده مش كفاية خالص…
الموضوع أكبر بكتير، لأن أهم حاجة هي التحكم في الترافيك وحماية الشبكة من أي وصول غير مرغوب فيه.
وهنا بييجي دور واحدة من أهم تقنيات Cisco وهي ACL - Access Control List 💡
اللي تعتبر حجر الأساس في أي تصميم شبكة احترافي سواء في الشركات أو البيئات الكبيرة.
📌 بيعتمد فقط على: Source IP Address (عنوان المصدر)
يعني بيقرر السماح أو المنع بناءً على عنوان الجهاز اللي بيبعت الترافيك بس، بدون ما يهتم بالوجهة أو البروتوكول.
📌 المعنى:
🎯 استخدامه الأفضل:
🎯 المميزات:
الـ Extended ACL بيديك تحكم كامل ودقيق في الترافيك.
📌 بيشتغل على:
📌 المعنى:
منع HTTP (Port 80) فقط بين شبكتين، مع السماح بباقي الترافيك.
🎯 المميزات:
🟢 Standard ACL:
علشان تقلل الترافيك غير الضروري من بدري وتوفر موارد الشبكة
يعني ببساطة:
أي حاجة مش متسموح بيها صراحة = مرفوضة تلقائيًا ❌
📌 علشان كده لازم دايمًا تضيف: permit any
أو تحدد القواعد المطلوبة بشكل واضح
الموضوع أكبر بكتير، لأن أهم حاجة هي التحكم في الترافيك وحماية الشبكة من أي وصول غير مرغوب فيه.
وهنا بييجي دور واحدة من أهم تقنيات Cisco وهي ACL - Access Control List 💡
اللي تعتبر حجر الأساس في أي تصميم شبكة احترافي سواء في الشركات أو البيئات الكبيرة.
يعني إيه ACL في Cisco؟ 🔐
الـ Access Control List (ACL) هي ببساطة مجموعة Rules أو قواعد بيتحطوا على الراوتر أو السويتش علشان يحددوا:- مين مسموح له يدخل الشبكة
- ومين ممنوع
- ونوع الترافيك المسموح أو الممنوع
- تعزيز أمان الشبكة
- فلترة الترافيك
- التحكم في الوصول بين الشبكات
- تقليل الهجمات المحتملة
- تحسين إدارة البنية التحتية
🟢 Standard ACL (الـ ACL البسيطة)
النوع ده من الـ ACL بيشتغل بطريقة بسيطة جدًا.📌 بيعتمد فقط على: Source IP Address (عنوان المصدر)
يعني بيقرر السماح أو المنع بناءً على عنوان الجهاز اللي بيبعت الترافيك بس، بدون ما يهتم بالوجهة أو البروتوكول.
مثال عملي:
Code:
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any- منع شبكة 192.168.10.0/24
- والسماح لأي IP تاني
تطبيق على Interface:
Code:
interface g0/1
ip access-group 10 out- يكون قريب من Destination
⚠️ لكنه أقل دقة مقارنة بالـ Extended ACL
📝 Standard Named ACL
بدل ما تستخدم أرقام، تقدر تستخدم أسماء واضحة تسهّل الإدارة 👌مثال:
Code:
ip access-list standard BLOCK_LAN
deny 192.168.10.0 0.0.0.255
permit any- أسهل في القراءة 👀
- أسهل في التعديل
- تنظيم أفضل في الشبكات الكبيرة
🔵 Extended ACL (التحكم المتقدم)
هنا بقى بنخش على مستوى احترافي جدًا 🔥الـ Extended ACL بيديك تحكم كامل ودقيق في الترافيك.
📌 بيشتغل على:
- Source IP
- Destination IP
- Protocol (TCP / UDP / ICMP)
- Port Numbers
مثال عملي:
Code:
access-list 100 deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80
access-list 100 permit ip any anyمنع HTTP (Port 80) فقط بين شبكتين، مع السماح بباقي الترافيك.
📝 Extended Named ACL
نفس فكرة الـ Extended لكن بطريقة منظمة أكتر باستخدام أسماء.مثال:
Code:
ip access-list extended BLOCK_HTTP
deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80
permit ip any any- أوضح في الإدارة
- أسهل في التعديل داخل الشركات الكبيرة
- مثالي لبيئات Enterprise
📍 أهم قاعدة في مكان تطبيق ACL
اختيار المكان مهم جدًا في الشبكة 👇🟢 Standard ACL:
- بيتحط قريب من Destination
- بيتحط قريب من Source
علشان تقلل الترافيك غير الضروري من بدري وتوفر موارد الشبكة
⚠️ implicit deny any (قاعدة مهمّة جدًا)
في نهاية أي ACL، فيه قاعدة مخفية اسمها: 👈 implicit deny anyيعني ببساطة:
أي حاجة مش متسموح بيها صراحة = مرفوضة تلقائيًا ❌
📌 علشان كده لازم دايمًا تضيف: permit any
أو تحدد القواعد المطلوبة بشكل واضح
🔍 أوامر التحقق في Cisco
لو عايز تتأكد من الـ ACL شغالة صح، استخدم: Code:
show access-lists
show running-config
show ip interface🔥 استخدامات ACL في الواقع
الـ ACL مش مجرد نظرية، دي بتستخدم يوميًا في الشركات:- منع IPs معينة من الوصول
- حظر مواقع أو خدمات
- تأمين السيرفرات
- حماية الوصول الإداري
- التحكم في VLANs
- تطبيق سياسات Security احترافية
🎯 الخلاصة
فهم Cisco ACL (Standard vs Extended) مش رفاهية، ده أساس لأي حد شغال في:- CCNA / CCNP
- Network Administration
- Cybersecurity
- Enterprise Networking
- Cloud Networking