الشبكات

شرح Route Filters (عوامل التصفية للمسارات) في عالم الشبكات

منذ أسبوعينآخر تحديث: 02/02/2025
34 9 دقائق

عند تصميم أي بنية تحتية لشبكات الحاسب أو إدارة توجيه (Routing) المسارات ما بين أجهزة التوجيه (Routers)، يعتبر مفهوم فلترة المسارات (Route Filtering) واحدًا من أهم العناصر التي تساهم في التحكم الدقيق في حركة البيانات وتحديد المسارات التي سيتم الإعلان عنها واستقبالها بين بروتوكولات التوجيه المختلفة أو بين موجِّهات داخل نفس البروتوكول. يستلزم فهم آلية عمل الفلترة وسياساتها وكيفية تطبيقها لأغراض عدة: مثل تحسين الأداء، أو ضمان الأمان، أو تطبيق سياسات الشركة أو مزوّد الخدمة، أو منع التوجيه الدائري (Routing Loops)، أو تقليل حجم جداول التوجيه، وغيرها من الأغراض المتقدمة. في هذا الشرح المطوّل والمتكامل، سنتناول بالتفصيل جوانب Route Filters وكيفية استخدامها في مختلف بروتوكولات التوجيه.

1. مقدمة حول Route Filters

1.1 تعريف Route Filters

  • Route Filters هي آليات وإعدادات تُستخدم على أجهزة التوجيه (Routers) للسماح أو منع (Permit or Deny) الإعلانات عن مسارات محددة (Prefixes) أو استقبال مسارات معينة اعتمادًا على معايير معيّنة (مثل العنوان الشبكي، وطول قناع الشبكة، والأوسمة Tags في بروتوكولات معينة، وغيرها).
  • يمكن تشبيه هذه العملية بعملية الفرز والتنقيح في البريد الإلكتروني؛ إذ نستطيع وضع “قواعد” تحدد أي رسائل نود استقبالها وأيها نود منعها أو إعادة توجيهها أو التعامل معها بشكل خاص.

1.2 أهمية Route Filters

  • ضبط الأمان: منع الإعلان أو استقبال مسارات غير مصرح بها أو خادعة؛ إذ قد ينشأ خلل أو هجوم يستغل الإعلانات الخاطئة (مثل هجمات BGP المشهورة).
  • إدارة جداول التوجيه: بدلاً من استقبال ملايين المسارات، يمكننا فلترة المسارات غير الضرورية لتقليل حجم جداول التوجيه وتحسين الأداء.
  • تطبيق السياسات: تُستخدم لتطبيق سياسات محددة في تبادل المسارات بين شركاء (Peers)، كما هو شائع في بروتوكولات التوجيه الخارجي مثل BGP، أو لتحديد أي المسارات سيتم تداولها بين فروع مختلفة للشركة.
  • منع التوجيه الدائري (Routing Loops): عبر حجب إعادة توزيع المسارات (Redistribution) بشكل خاطئ أو مزدوج.

1.3 سيناريوهات استخدام Route Filters

  • مزوّدو خدمة الإنترنت (ISPs) يستخدمون Route Filtering لتقييد المسارات المعلنة للعملاء أو استقبالها منهم؛ وذلك لمنع إي إعلانات خاطئة قد تعطل شبكات كبيرة.
  • في الشركات الكبيرة (Enterprise Networks)، يستخدم المهندسون Route Filters لضبط حركة التوجيه بين بروتوكولات داخلية (OSPF / EIGRP / RIP) أو بينها وبين BGP في حال الارتباط بالإنترنت أو فروع أخرى.

2. طرق وآليات الفلترة الشائعة

هناك عدّة طرق وآليات يمكن عبرها تطبيق Route Filtering في أجهزة التوجيه، وتختلف هذه الطرق باختلاف البائع (Vendor) أو بروتوكول التوجيه. ولكن بشكل عام، أشهر الأدوات (Tools) والآليات في عالم Cisco مثلاً هي:

مقالات ذات صلة
  1. Access Control Lists (ACLs): يمكن تطبيق قوائم التحكم في الوصول ولكن بشكل محدد على المسارات في بعض الحالات، خاصةً مع بروتوكولات مثل RIP أو EIGRP (Distribute-List).
  2. Prefix-Lists: أكثر تخصصًا من ACL عند التعامل مع المسارات؛ إذ تسمح بالتحقق الدقيق من طول قناع الشبكة (Prefix Length) بالإضافة إلى العنوان نفسه. تُستخدم بشكل واسع في بيئة BGP و EIGRP و OSPF.
  3. Route-Maps: أداة متعددة الاستخدامات، تشبه إن صح التعبير “IF-THEN” المنطقية؛ إذ تسمح بعمل مطابقات (Match) لشروط متعددة (مثلاً عنوان الشبكة، أو مجتمع BGP Community، أو ما إلى ذلك)، ثم تطبيق أفعال (Set) أو السماح/ المنع (Permit/Deny).
  4. Distribute-Lists: تستخدم قوائم ACL أو Prefix-Lists بالاقتران مع بروتوكول التوجيه الداخلي (مثل EIGRP أو RIP) لتوزيع الإعلانات أو منعها.

3. تفصيل آليات الفلترة في بروتوكولات التوجيه الرئيسية

3.1 الفلترة في بروتوكول RIP

  • لمحة عن RIP: يعتبر من أقدم بروتوكولات التوجيه، ويعتمد على خوارزمية المسافة (Distance Vector). يستخدم رقم القفزات (Hop Count) كمقياس (Metric).
  • كيف نطبق الفلترة في RIP: عادةً تتم الفلترة باستخدام Distribute-List. يقوم مهندس الشبكة بكتابة ACL أو Prefix-List تحدد المسارات المراد قبولها أو رفضها، ثم يربط هذه القائمة بالبروتوكول. 
    router rip
  version 2
  network 192.168.1.0
  distribute-list <ACL/Prefix-List> in  [interface | all]
  distribute-list <ACL/Prefix-List> out [interface | all]
  • نقطة مهمة: كن على دراية بأن RIP لا يدعم ميزات متقدمة مثل BGP Communities أو سمات متعددة، لذلك تكون إمكانيات الفلترة محدودة نسبيًا.

3.2 الفلترة في بروتوكول EIGRP

  • لمحة عن EIGRP: بروتوكول توجيه مملوك لشركة Cisco (وإن أصبح جزء منه مفتوحًا لاحقًا). يتميّز بكونه هجينًا (يغلب عليه جانب Distance Vector مع بعض خصائص Link-State).
  • آليات الفلترة:
    1. Distribute-List: مثل RIP، يمكن استخدام ACL أو Prefix-List ومن ثم توزيع القائمة بشكل In أو Out.
    2. Route-Map: لإمكانية مطابقة المزيد من الخصائص، مثل قيم الـMetric أو غيرها.
  • مثال مبسط باستخدام Prefix-List: 
    ip prefix-list EIGRP-FILTER seq 10 permit 10.0.0.0/8 le 24
ip prefix-list EIGRP-FILTER seq 20 deny 0.0.0.0/0 le 32

router eigrp 100
  network 10.0.0.0
  distribute-list prefix EIGRP-FILTER in Serial0/0

    هنا نسمح فقط بالمسارات التي تبدأ بـ10.0.0.0/8 على ألا يزيد قناع الشبكة عن /24. ثم نمنع أي مسار آخر.

3.3 الفلترة في بروتوكول OSPF

  • لمحة عن OSPF: بروتوكول Link-State شهير يُستخدم على نطاق واسع في البيئات الكبيرة. يدعم تقسيم الشبكة إلى مناطق (Areas).
  • آليات الفلترة:
    1. Distribute-List: تستخدم في حالات محدودة داخل OSPF، وغالبًا لا تؤثر على نشر الـLSA نفسها، بل على إدراج المسار في جدول التوجيه النهائي.
    2. Prefix-List (أو Route-Map) مع خاصية area range لتجميع (Summarize) أو فلترة المسارات بين المناطق أو في عملية إعادة التوزيع.
    3. في إعادة التوزيع (Redistribution) من وإلى OSPF، يمكن استخدام Route-Map لفلترة المسارات الداخلة أو الخارجة.
  • مثال: 
    router ospf 1
  redistribute eigrp 100 subnets route-map EIGRP-TO-OSPF

route-map EIGRP-TO-OSPF permit 10
  match ip address prefix-list ALLOWED-ROUTES
  set metric 20
  set metric-type 2

    هنا عند إعادة توزيع مسارات EIGRP إلى OSPF، سنطابق قائمة ALLOWED-ROUTES ونسمح فقط للمسارات الموافقة لها، ثم نحدد قيمة الـMetric.

3.4 الفلترة في بروتوكول BGP

  • لمحة عن BGP: هو بروتوكول التوجيه الخارجي الأهم في الإنترنت. يعتمد على مفهوم الـPath-Vector ويستخدم سمات (Attributes) متعددة مثل AS-PATH و MED و Local Preference وCommunities وغيرها.
  • أهمية فلترة المسارات في BGP:
    • قد يكون للشركة مئات أو آلاف المسارات. كما أن الإنترنت ككل يحوي أكثر من مليون مسار (Prefix). من المهم جدًا استخدام فلترة مناسبة لمنع الإعلانات الخاطئة أو استقبال مسارات غير مرغوب فيها.
    • الـBGP Community من الأدوات المهمة لتجميع المسارات وتصنيفها لإدارة السياسات.
  • آليات الفلترة في BGP:
    1. Prefix-List: من أكثر الطرق شيوعًا للفلترة على أساس العناوين (IP Prefix).
    2. Route-Map: يسمح بمطابقة خصائص مثل AS-PATH, Communities, أو Next-Hop وغيرها، ثم تطبيق إجراءات مختلفة كالتعديل أو المنع.
    3. AS-PATH Access-List: تستخدم مطابقة نمط (Regex) لسلسلة أرقام نظام التوجيه المستقل (AS Numbers).
    4. Community Lists: لفلترة على أساس قيم الـCommunity.
  • مثال: 
    ip prefix-list MY_FILTER seq 5 permit 192.168.0.0/16 le 24
ip prefix-list MY_FILTER seq 10 deny 0.0.0.0/0 le 32

router bgp 65000
  neighbor 10.10.10.2 remote-as 65001
  neighbor 10.10.10.2 prefix-list MY_FILTER out

    هذا يعني أننا سنعلن (نرسل للخارج) فقط المسارات الواقعة ضمن 192.168.0.0/16 حتى /24، ونمنع أي مسارات أخرى.

4. أدوات الفلترة بالتفصيل

4.1 Access Control Lists (ACL)

  • أنواعها: قياسية (Standard) وموسعة (Extended).
  • محدودية في Route Filtering: ACL تركز عادة على عنوان المصدر/الوجهة في حزم البيانات، لكنها في بروتوكولات التوجيه تُستخدم أحيانًا كأداة بسيطة لمطابقة عنوان الشبكة (Network Address).
  • مثال: 
    access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 deny any

router eigrp 100
  distribute-list 10 out Serial0/0

    تسمح فقط بإعلان الشبكة 192.168.1.0/24 وتمنع غيرها.

4.2 Prefix-Lists

  • مزاياها مقارنة بـACL:
    • التفريق بين عنوان الشبكة وقناع الشبكة بشكل أدق.
    • صيغة “le” و “ge” تسمح بضبط المجال المسموح لقناع الشبكة.
  • صيغة الكتابة: 
    ip prefix-list NAME [seq <number>] {permit|deny} <network>/<mask> [ge <length>] [le <length>]
  • أمثلة مفيدة:
    • ip prefix-list ONLY_CLASS_C seq 5 permit 192.168.0.0/16 ge 24 le 24
      • السماح فقط بالشبكات ذات العناوين 192.168.x.x وقناع /24.
    • ip prefix-list PRIVATE_ONLY seq 10 permit 10.0.0.0/8 le 32
      • السماح بكل الشبكات ضمن 10.0.0.0/8 بأي قناع فرعي حتى /32.

4.3 Route-Maps

  • مرونة عالية: يمكنك مطابقة عناوين عبر ACL أو Prefix-Lists، أو مجتمع BGP (Community)، أو سمات AS-Path. ثم تقوم بضبط (Set) معلمات التوجيه (مثل Local Preference في BGP) أو منع/تمرير المسارات.
  • آلية العمل:
    1. يتم تقييم كل Route-Map حسب الرقم التسلسلي (Sequence Number) من الأصغر إلى الأكبر.
    2. إذا تطابقت المعايير (Match)، يتم تنفيذ التعليمات (Set) أو Permit/Deny.
    3. إذا لم تتطابق المعايير، يتم الانتقال إلى التسلسل التالي.
    4. إذا لم يتم تطابق أي بند، فإن المسار يتم منعه افتراضيًا (إذا لم تُذكر عبارة permit في نهاية التسلسل).
  • مثال: 
    route-map FILTER_BGP_OUT permit 10
  match ip address prefix-list NETS_TO_EXPORT
  set local-preference 200
route-map FILTER_BGP_OUT deny 20

    في التسلسل 10، أي مسار يطابق قوائم “NETS_TO_EXPORT” سنضبط له local-preference=200، وبعدها نسمح بإعلانه. في التسلسل 20 (deny)، يتم منع كل ما تبقى.

5. تطبيق Route Filters في بيئة حقيقية

5.1 شبكات المؤسسات (Enterprise Networks)

  • غالبًا تكون الشركة تعمل ببروتوكول داخلي مثل EIGRP أو OSPF. قد تكون هناك حاجة لربط هذه الشبكة ببروتوكول خارجي مثل BGP للتعامل مع ISP.
  • سيناريو: لدى المؤسسة عشرة فروع وكل فرع يُعلِن شبكات فرعية كثيرة. ربما لا تحتاج كل الفروع لمشاهدة كل مسارات الفروع الأخرى بشكل تفصيلي. يمكن عمل Summarization + Filtering لمنع تضخم جداول التوجيه.
  • خطوات:
    1. تحديد المسارات التي تحتاج إلى إعلان فعليًا لكل منطقة أو فرع.
    2. كتابة Prefix-Lists أو Route-Maps للتصفية حسب الحاجة.
    3. تطبيقها كـ Distribute-List أو إعادة التوزيع (Redistribution) بين البروتوكولات مع فلترة مخصصة.

5.2 بيئات مزود الخدمة (ISP)

  • يستخدم مزودو الخدمة BGP في الغالب. إذ يتعاملون مع عملاء في مجالات مختلفة ومع مزودين آخرين (Upstream Providers).
  • إستراتيجية:
    • منع العملاء من الإعلان عن مسارات غير مخوّلين لها (عادة via IRR – Internet Routing Registry أو Prefix-List محددة).
    • تلقي فقط المسارات الصحيحة (Authorized Routes) من العملاء.
    • استخدام Communities لتمييز عملاء كبار أو مسارات خاصة.
    • تقليل حجم جداول BGP من خلال Route Filtering + Partial Table (إن كانت هناك حاجة) أو Routes ذات أهمية محددة.

5.3 الأمان (Security)

  • توجيه خاطئ يمكنه أن يسبب اضطرابًا كبيرًا في الشبكة أو انقطاع الخدمة.
  • تفعيل Route Filters يساعد على منع الإعلانات الخبيثة (Hijacked Routes) أو Looping غير مرغوب.
  • مع ظهور هجمات مثل “Route Hijacking” في BGP، بات من الضروري التحقق من صحة المسارات القادمة من أي جار BGP.

6. نصائح عملية وأفضل الممارسات (Best Practices)

  1. ابدأ دائمًا بسياسة افتراضية أكثر تشددًا (Deny All)، ثم اسمح بشكل انتقائي للمسارات التي ترغب فعليًا في تداولها. هذه القاعدة الذهبية في الأمان (Zero-Trust).
  2. استخدم Prefix-List متى استطعت لتصفية المسارات بدقة أكبر من الـACL التقليدية، خاصة في بروتوكولات مثل BGP وEIGRP.
  3. انتبه لآلية العمل التدريجية في Route-Maps، واحرص على وجود بند أخير (Permit or Deny) إذا لم تتطابق المسارات مع أي بند أعلاه.
  4. توثيق أي تغييرات في جداول فلترة المسارات. يجب توثيق سبب إضافة أو إزالة أي بنود Filter، حتى لا يحدث ارتباك مستقبلي.
  5. المراقبة والاختبار: بعد تطبيق أي فلترة، تحقق من جداول التوجيه (Routing Table) باستخدام أوامر العرض (Show Commands) مثل:
    • show ip route
    • show ip bgp
    • show ip prefix-list
    • show route-map
    • وغيرها من الأوامر المناسبة.
  6. إتقان مفاهيم التأثير في التوجيه: بعض أدوات الفلترة تؤثر فقط على عملية الإعلان (Outbound)، وبعضها يؤثر على ما تستقبله أنت (Inbound)، وبعضها قد يؤثر على عملية إعادة التوزيع الداخلية.
  7. مراعاة التصميم الهرمي للشبكة: في تصميمات كبيرة، قد يتم تقسيم OSPF إلى مناطق متعددة، أو استخدم EIGRP في عدة Autonomous Systems داخلية، أو تقسيم BGP إلى RR (Route Reflectors). كل هذه التصميمات تتطلب تخطيطًا دقيقًا للفلترة كي لا يحدث تقاطع غير مرغوب للمسارات.

7. أمثلة موسّعة لسيناريوهات Route Filters

7.1 سيناريو خدمة استضافة المواقع لدى ISP

  • لديك عملاء يستضيفون مواقع إنترنت على شبكة 203.0.113.0/24 ويجب الإعلان عنها للعالم عبر BGP.
  • تطبق مزود الخدمة Prefix-List على الـPE Router حتى لا يقبل إعلانات لشبكات أخرى من العميل: 
    ip prefix-list CUSTOMER_WEBHOST seq 5 permit 203.0.113.0/24
ip prefix-list CUSTOMER_WEBHOST seq 10 deny 0.0.0.0/0 le 32

router bgp 65000
  neighbor 192.0.2.2 remote-as 65010
  neighbor 192.0.2.2 prefix-list CUSTOMER_WEBHOST in

    وبهذا لن يستقبل الـISP أي مسار غير 203.0.113.0/24 من هذا العميل.

7.2 سيناريو إعادة توزيع بين OSPF وEIGRP في شبكة مؤسسة

  • لدى الشركة فرع كبير يعمل بـOSPF ومنطقة أخرى تعمل بـEIGRP، وتريد نشر بعض الشبكات فقط.
  • تنشئ Route-Map وتطبقها عند إعادة التوزيع: 
    ip prefix-list OSPF_TO_EIGRP seq 10 permit 10.10.0.0/16
ip prefix-list OSPF_TO_EIGRP seq 20 permit 10.20.0.0/16
ip prefix-list OSPF_TO_EIGRP seq 30 deny 0.0.0.0/0 le 32

route-map OSPF_TO_EIGRP permit 10
  match ip address prefix-list OSPF_TO_EIGRP
  set metric 10000 10 255 1 1500

router eigrp 100
  redistribute ospf 1 route-map OSPF_TO_EIGRP

    يسمح بإعادة توزيع شبكتي 10.10.0.0/16 و10.20.0.0/16 فقط من OSPF إلى EIGRP.

7.3 فلترة على مستوى الـAS-PATH في BGP

  • في بعض الأحيان ترغب في منع المسارات التي تمر عبر AS محدد أو سلسلة محددة من الـAS.
  • مثال: إذا أردنا منع أي مسار يمر عبر AS 65005: 
    ip as-path access-list 1 deny _65005_
ip as-path access-list 1 permit .*

route-map BLOCK_AS_65005 permit 10
  match as-path 1

    ثم نطبق هذه الـRoute-Map في الاتجاه المناسب (in أو out) في الـBGP Neighbor.

8. الاعتبارات المتقدمة

  1. عند تطبيق الفلترة داخل OSPF: تذكّر أنّه بروتوكول Link-State، والـLSAs تنتشر في المنطقة/المناطق. فلترة المسارات قد لا تمنع وصول معلومات الـLSA، وإنما تمنع إدخالها في جدول التوجيه أو إعادة نشرها في مناطق أخرى.
  2. مفهوم الـDefault-Information Originate: قد تحتاج أحيانًا إلى التحكم في نشر Gateway افتراضي (0.0.0.0/0). يمكنك تطبيق فلترة لمنع إعادة توزيع هذا المسار بشكل خاطئ.
  3. التلخيص (Summarization) مع الفلترة: قد يساعد على تقليص عدد المسارات المعلنة، ولكنه يتطلب دقة كي لا يتم حجب (Blackhole) بعض الشبكات أو فتح أخرى بشكل خاطئ.
  4. الفلترة على أساس الـAttributes (BGP): مثل MED (Multi-Exit Discriminator) أو Local Preference أو Communities. هذا الجانب يمكن أن يصبح معقدًا جدًا في بيئة BGP كبيرة.
  5. التأثير على الـConvergence: الفلترة الخاطئة قد تؤدي إلى مشاكل في convergence (استقرار الشبكة بعد حدوث تغيير). لذا يجب اختبار أي فلترة قبل اعتمادها في الشبكة الحية.

9. خاتمة

باختصار، Route Filters ليست مجرد أداة هامشية، بل هي عنصر محوري في تصميم وإدارة الشبكات الحديثة، سواءً في البيئات الداخلية (Enterprise) أو لدى مزوّدي الخدمة (ISP). تساعدنا في الحفاظ على أمان الشبكة واستقرارها، وتطبيق السياسات المطلوبة، ومنع مشاكل التوجيه المحتملة.

بالرغم من أن تطبيق Route Filters يمكن أن يبدو بسيطًا في بعض الحالات، إلا أنه يصبح معقدًا جدًا في بيئات الشبكات الكبيرة، خصوصًا مع تعدد البروتوكولات والتداخل في إعادة التوزيع (Redistribution) والاعتبارات الأمنية والتصميمية. لذلك، من المهم لمهندسي الشبكات فهم الأدوات المختلفة مثل ACL، وPrefix-List، وRoute-Map، وAS-PATH ACL، وCommunity Lists، وكيفية الدمج بينها للحصول على أقصى قدر من المرونة والدقة.

تذكّر دائمًا: أي خطأ بسيط في قواعد الفلترة قد يؤدي إلى انقطاع كبير في الخدمة أو انفتاح غير مرغوب للمسارات. لذا يجب التعامل مع Route Filters بحذر، والاعتماد على أساليب الاختبار والمراقبة المستمرة، مع توثيق شامل لكل تغيير.

إن تعمّقت في هذا المجال، ستجد أن معايير مثل RPKI (Resource Public Key Infrastructure) بدأت تكتسب زخمًا على الإنترنت للتحقق من شرعية مسارات BGP والحماية من الإعلانات الخاطئة. ورغم أنها لا تُعد Route Filtering بالمعنى الكلاسيكي، إلا أنها تأتي ضمن المنظومة الكبرى لضبط صحة التوجيه.

نتمنى أن يكون هذا الشرح الطويل والشامل قد أوضح الصورة حول دور Route Filters وأهميتها وكيفية استخدامها وتطبيقها في مختلف البروتوكولات والمواقف. إن التسلّح بفهم عميق لهذه الآليات سيجعلك قادرًا على التعامل مع تعقيدات الشبكات بثقة وفاعلية.

منذ أسبوعينآخر تحديث: 02/02/2025
34 9 دقائق
زر الذهاب إلى الأعلى