تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تكوين قوائم التحكم في الوصول (ACL) على وحدات التحكم في الشبكة المحلية (WLAN) اللاسلكية لتصفية حركة المرور عبر الشبكة المحلية اللاسلكية (WLAN).
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
كيفية تكوين نقطة الوصول في الوضع Lightweight (LAP) و WLC للتشغيل الأساسي
معرفة أساسية ببروتوكول نقطة الوصول في الوضع Lightweight (LWAPP) وطرائق الأمان اللاسلكية
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
Cisco 2000 Series WLC الذي يشغل البرنامج الثابت 4.0
نقطة الوصول في الوضع Lightweight من السلسلة Cisco 1000 Series LAP
مهايئ عميل لاسلكي Cisco 802.11a/b/g الذي يشغل البرنامج الثابت 2.6
Cisco Aironet Desktop Utility (ADU)، الإصدار 2.6
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
تهدف قوائم التحكم في الوصول (ACL) على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى تقييد الخدمات على شبكة WLAN الخاصة بها أو السماح بالعملاء اللاسلكيين بها.
قبل إصدار البرنامج الثابت WLC 4.0، يتم تجاوز قوائم التحكم في الوصول (ACL) على واجهة الإدارة، لذلك لا يمكنك التأثير على حركة المرور الموجهة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يمكنك فقط منع العملاء اللاسلكيين من إدارة وحدة التحكم باستخدام خيار الإدارة عبر الشبكة اللاسلكية. لذلك، يمكن تطبيق قوائم التحكم في الوصول (ACL) فقط على الواجهات الديناميكية. في الإصدار 4.0 من البرنامج الثابت WLC، توجد قوائم التحكم في الوصول (ACL) لوحدة المعالجة المركزية (CPU) التي يمكنها تصفية حركة المرور الموجهة لواجهة الإدارة. راجع قسم تكوين قوائم التحكم في الوصول إلى وحدة المعالجة المركزية للحصول على مزيد من المعلومات.
يمكنك تحديد ما يصل إلى 64 قائمة تحكم في الوصول (ACL)، لكل منها ما يصل إلى 64 قاعدة (أو عوامل تصفية). تحتوي كل قاعدة على معلمات تؤثر على الإجراء الخاص بها. عندما تطابق حزمة كافة المعلمات لقاعدة ما، يتم تطبيق الإجراء الذي تم تعيينه لتلك القاعدة على الحزمة. يمكنك تكوين قوائم التحكم في الوصول (ACL) من خلال واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI).
هذه بعض القواعد التي تحتاج إلى فهمها قبل تكوين قائمة التحكم في الوصول (ACL) على عنصر التحكم في الوصول (WLC):
إذا كان المصدر والوجهة أي ، يمكن أن يكون الإتجاه الذي يتم تطبيق قائمة التحكم في الوصول هذه أي .
إذا لم يكن المصدر هو أي ، فيجب تحديد إتجاه عامل التصفية، ويجب إنشاء عبارة معكوسة في الإتجاه المعاكس.
لا تتسم فكرة مركز التحكم في الشبكة المحلية اللاسلكية (WLC) بكونها واردة في مقابل صادرة ببديهية. من منظور عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الذي يواجه العميل اللاسلكي، وليس من منظور العميل. يعني الإتجاه الوارد حزمة تأتي إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من العميل اللاسلكي والاتجاه الصادر تعني حزمة تخرج من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) نحو العميل اللاسلكي.
هناك رفض ضمني في نهاية قائمة التحكم في الوصول (ACL).
تعمل وحدات التحكم في الوصول عن بعد (ALCs) في وحدات التحكم في الشبكة المحلية اللاسلكية (WLCs) بشكل مختلف عن عملها في الموجهات. هذه بعض الأشياء لتذكرها عند تكوين قوائم التحكم في الوصول (ACL) في قوائم التحكم في الوصول (WLCs):
أكثر الأخطاء شيوعا هي تحديد IP عندما تنوي رفض حزم IP أو السماح بها. نظرا لأنك تقوم بتحديد ما هو داخل حزمة IP، فأنت ترفض حزم IP الواردة في IP أو تسمح بها.
لا يمكن لقوائم التحكم في الوصول (ACL) حظر عنوان IP الظاهري الخاص بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، وبالتالي حزم DHCP للعملاء اللاسلكيين.
لا يمكن لقوائم التحكم في الوصول (ACL) حظر حركة مرور البث المتعدد المستلمة من الشبكات السلكية الموجهة إلى العملاء اللاسلكيين. تتم معالجة قوائم التحكم في الوصول (ACL) الخاصة بوحدة التحكم لحركة مرور البث المتعدد التي تم بدؤها من العملاء اللاسلكيين، الموجهة إلى الشبكات السلكية أو العملاء اللاسلكيين الآخرين على وحدة التحكم نفسها.
وعلى عكس الموجه، تتحكم قائمة التحكم في الوصول (ACL) في حركة المرور في كلا الاتجاهين عند تطبيقها على واجهة، ولكنها لا تنفذ عمليات الإطفاء التي تحدد الحالة. إذا نسيت فتح فتحة في قائمة التحكم في الوصول (ACL) لحركة المرور العائدة، فهذا يسبب مشكلة.
تقوم قوائم التحكم في الوصول (ACL) بحظر حزم IP فقط. لا يمكنك حظر قوائم التحكم في الوصول من الطبقة 2 أو حزم الطبقة 3 التي ليست IP.
لا تستخدم قوائم التحكم بالوصول (ACL) في وحدة التحكم الأقنعة المعكوسة مثل الموجهات. هنا، يعني 255 مطابقة نظام التعريف الثماني لعنوان IP تماما.
يتم تنفيذ قوائم التحكم في الوصول (ACL) على وحدة التحكم في أداء إعادة توجيه التأثير والبرنامج.
ملاحظة: إذا قمت بتطبيق قائمة تحكم في الوصول (ACL) على واجهة أو شبكة محلية لاسلكية (WLAN)، فقد ينخفض الإنتاج اللاسلكي ويمكن أن يؤدي إلى فقد محتمل للحزم. لتحسين الإنتاجية، قم بإزالة قائمة التحكم في الوصول (ACL) من الواجهة أو الشبكة المحلية اللاسلكية (WLAN) ونقل قائمة التحكم في الوصول (ACL) إلى جهاز سلكي مجاور.
يصف هذا القسم كيفية تكوين قائمة التحكم في الوصول (ACL) على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). الهدف من ذلك هو تكوين قائمة تحكم في الوصول (ACL) تتيح للعملاء الضيوف الوصول إلى هذه الخدمات:
بروتوكول تكوين الاستضافة الديناميكية (DHCP) بين العملاء اللاسلكيين وخادم DHCP
بروتوكول رسائل التحكم في الإنترنت (ICMP) بين جميع الأجهزة في الشبكة
نظام اسم المجال (DNS) بين العملاء اللاسلكيين وخادم DNS
Telnet إلى شبكة فرعية معينة
يجب حظر جميع الخدمات الأخرى للعملاء اللاسلكيين. أتمت هذا steps in order to خلقت ال ACL مع ال WLC GUI:
انتقل إلى واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الوصول اللاسلكية (WLC) واختر Security > قوائم التحكم في الوصول.
تظهر صفحة قوائم التحكم في الوصول. تسرد هذه الصفحة قوائم التحكم في الوصول (ACL) التي تم تكوينها على عنصر التحكم في الوصول (WLC). كما يتيح لك تحرير أي من قوائم التحكم في الوصول (ACL) أو إزالته. لإنشاء قائمة تحكم في الوصول (ACL) جديدة، انقر فوق جديد .
أدخل اسم قائمة التحكم في الوصول (ACL) وانقر فوق تطبيق.
يمكنك إدخال ما يصل إلى 32 حرفا ورقميا. في هذا المثال، يكون اسم قائمة التحكم في الوصول (ACL) هو Guest-ACL . بمجرد إنشاء قائمة التحكم في الوصول (ACL)، انقر فوق تحرير لإنشاء قواعد لقائمة التحكم في الوصول (ACL).
عندما تظهر صفحة قوائم التحكم في الوصول > تحرير، انقر فوق إضافة قاعدة جديدة.
تظهر قوائم التحكم في الوصول > قواعد > صفحة جديدة.
تكوين القواعد التي تسمح للمستخدم الضيف بهذه الخدمات:
DHCP بين العملاء اللاسلكي وخادم DHCP
ICMP بين جميع الأجهزة في الشبكة
DNS بين العملاء اللاسلكيين وخادم DNS
Telnet إلى شبكة فرعية معينة
يوضح هذا القسم مثالا لكيفية تكوين القواعد لهذه الخدمات:
DHCP بين العملاء اللاسلكي وخادم DHCP
ICMP بين جميع الأجهزة في الشبكة
DNS بين العملاء اللاسلكيين وخادم DNS
Telnet إلى شبكة فرعية معينة
لتحديد قاعدة خدمة DHCP، حدد نطاقات IP للمصدر والوجهة.
يستخدم هذا المثال أي للمصدر مما يعني أن أي عميل لاسلكي مسموح له بالوصول إلى خادم DHCP. في هذا المثال، يعمل الخادم 172.16.1.1 كخادم DHCP و DNS. لذلك، الغاية عنوان 172.16.1.1/255.255.255.255 (مع مضيف قناع).
لأن DHCP هو بروتوكول يستند إلى UDP، حدد UDP من الحقل المنسدل للبروتوكول. إن يختار أنت TCP أو UDP في الخطوة سابق، إثنان معلم إضافي يظهر: مصدر ميناء وغاية ميناء. عينت المصدر والوجهة ميناء تفصيل. ل هذا قاعدة، المصدر ميناء DHCP زبون والغاية ميناء هو DHCP نادل .
أختر الإتجاه الذي سيتم تطبيق قائمة التحكم في الوصول (ACL) فيه. نظرا لأن هذه القاعدة من العميل إلى الخادم، يستخدم هذا المثال الوارد. من المربع المنسدل "إجراء"، أختر السماح لجعل قائمة التحكم في الوصول (ACL) هذه للسماح لحزم DHCP من العميل اللاسلكي إلى خادم DHCP. القيمة الافتراضية هي رفض. طقطقة يطبق.
إذا لم يكن المصدر أو الوجهة أي منهما ، فيجب إنشاء جملة معكوسة في الإتجاه المعاكس. فيما يلي مثال.
لتحديد قاعدة تسمح بحزم ICMP بين جميع الأجهزة، حدد أي لحقول المصدر والوجهة. هذه هي القيمة الافتراضية.
أختر ICMP من الحقل المنسدل للبروتوكول. لأن هذا المثال يستخدم أي من لحقول المصدر والوجهة، فلا يتوجب عليك تحديد الإتجاه. ويمكن تركها عند قيمتها الافتراضية من أي . كما أن العبارة المعكوسة في الإتجاه المعاكس ليست مطلوبة.
من القائمة المنسدلة "إجراء"، أختر السماح لجعل قائمة التحكم في الوصول (ACL) هذه تسمح لحزم DHCP من خادم DHCP إلى العميل اللاسلكي. طقطقة يطبق.
وبالمثل، قم بإنشاء القواعد التي تتيح لخادم DNS الوصول إلى جميع العملاء اللاسلكي والوصول إلى خادم Telnet للعميل اللاسلكي إلى شبكة فرعية معينة. هنا مثال.
قم بتحديد هذه القاعدة للسماح بوصول العميل اللاسلكي إلى خدمة Telnet.
تسرد صفحة قائمة التحكم في الوصول > تحرير جميع القواعد المحددة لقائمة التحكم في الوصول (ACL).
بمجرد إنشاء قائمة التحكم في الوصول (ACL)، يلزم تطبيقها على واجهة ديناميكية. لتطبيق قائمة التحكم في الوصول (ACL)، أختر وحدة التحكم > الواجهات وحرر الواجهة التي تريد تطبيق قائمة التحكم في الوصول عليها.
في صفحة الواجهات > تحرير للواجهة الديناميكية، أختر قائمة التحكم في الوصول (ACL) المناسبة من القائمة المنسدلة قوائم التحكم في الوصول. فيما يلي مثال.
بمجرد القيام بذلك، تسمح قائمة التحكم في الوصول (ACL) بحركة المرور (استنادا إلى القواعد التي تم تكوينها) على شبكة WLAN التي تستخدم هذه الواجهة الديناميكية وترفضها. يمكن تطبيق قائمة التحكم في الوصول للواجهة-ACL فقط على نقاط الوصول من الفئة H-REAP في الوضع المتصل ولكن ليس في الوضع المستقل.
ملاحظة: يفترض هذا المستند تكوين شبكات WLAN والواجهات الديناميكية. ارجع إلى تكوين شبكات VLAN على وحدات تحكم الشبكة المحلية اللاسلكية أو معلومات حول كيفية إنشاء واجهات ديناميكية على شبكات WLC.
في السابق، لم يكن لدى قوائم التحكم في الوصول (ACL) على قوائم التحكم في الوصول (WLCs) خيار لتصفية حركة مرور بيانات LWAPP/CAPWAP وحركة مرور التحكم في LWAPP/CAPWAP وحركة المرور المتنقلة الموجهة إلى واجهات الإدارة ومدير نقطة الوصول. من أجل معالجة هذه المشكلة وتصفية حركة مرور LWAPP والحركة، تم تقديم قوائم التحكم في الوصول لوحدة المعالجة المركزية (CPU) مع البرنامج الثابت WLC، الإصدار 4.0.
يتضمن تكوين قوائم التحكم في الوصول إلى وحدة المعالجة المركزية (CPU) خطوتين:
تكوين قواعد قوائم التحكم في الوصول لوحدة المعالجة المركزية.
تطبيق قائمة التحكم في الوصول (ACL) لوحدة المعالجة المركزية على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
يجب تكوين قواعد قائمة التحكم في الوصول إلى وحدة المعالجة المركزية (CPU) بطريقة مماثلة لقوائم التحكم في الوصول (ACL) الأخرى.
توصي Cisco باختبار تكوينات قائمة التحكم في الوصول (ACL) باستخدام عميل لاسلكي لضمان تكوينها بشكل صحيح. إذا فشلت في العمل بشكل صحيح، فتحقق من قوائم التحكم في الوصول (ACL) على صفحة ويب قائمة التحكم في الوصول والتحقق من تطبيق تغييرات قائمة التحكم في الوصول (ACL) على واجهة وحدة التحكم.
أنت يستطيع أيضا استعملت هذا عرض أمر in order to دققت تشكيلك:
show acl summary — لعرض قوائم التحكم في الوصول (ACL) التي تم تكوينها على وحدة التحكم، أستخدم الأمر show acl summary.
فيما يلي مثال:
(Cisco Controller) >show acl summary ACL Name Applied -------------------------------- ------- Guest-ACL Yes
show acl detail acl_name — يعرض معلومات تفصيلية حول قوائم التحكم في الوصول (ACL) التي تم تكوينها.
فيما يلي مثال:
(Cisco Controller) >show acl detailed Guest-ACL Source Destination Source Port Dest Port I Dir IP Address/Netmask IP Address/Netmask Prot Range Range DSCP Action -- --- ------------------------------- ------------------------------- ---- ----------- ----------- ---- ------ 1 In 0.0.0.0/0.0.0.0 172.16.1.1/255.255.255.255 17 68-68 67-67 Any Permit 2 Out 172.16.1.1/255.255.255.255 0.0.0.0/0.0.0.0 17 67-67 68-68 Any Permit 3 Any 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 1 0-65535 0-65535 Any Permit 4 In 0.0.0.0/0.0.0.0 172.16.1.1/255.255.255.255 17 0-65535 53-53 Any Permit 5 Out 172.16.1.1/255.255.255.255 0.0.0.0/0.0.0.0 17 53-53 0-65535 Any Permit 6 In 0.0.0.0/0.0.0.0 172.18.0.0/255.255.0.0 60-65535 23-23 Any Permit 7 Out 172.18.0.0/255.255.0.0 0.0.0.0/0.0.0.0 6 23-23 0-65535 Any Permit
show acl cpu — لعرض قوائم التحكم في الوصول التي تم تكوينها على وحدة المعالجة المركزية، أستخدم الأمر show acl cpu.
فيما يلي مثال:
(Cisco Controller) >show acl cpu CPU Acl Name................................ CPU-ACL Wireless Traffic............................ Enabled Wired Traffic............................... Enabled
يتيح لك برنامج وحدة التحكم الإصدار 4.2.x أو إصدار أحدث إمكانية تكوين عدادات قائمة التحكم في الوصول (ACL). يمكن أن تساعد عدادات قائمة التحكم في الوصول في تحديد قوائم التحكم في الوصول التي تم تطبيقها على الحزم التي تم إرسالها من خلال وحدة التحكم. تكون هذه الميزة مفيدة عند أستكشاف أخطاء النظام وإصلاحها.
تتوفر عدادات قائمة التحكم في الوصول على وحدات التحكم هذه:
السلسلة 4400
Cisco WiSM
محول وحدة التحكم Catalyst 3750G Integrated Wireless LAN
أتمت in order to مكنت هذا سمة، هذا steps:
أختر تأمين > قوائم التحكم في الوصول > قوائم التحكم في الوصول لفتح صفحة قوائم التحكم في الوصول.
تسرد هذه الصفحة جميع قوائم التحكم في الوصول (ACL) التي تم تكوينها لوحدة التحكم هذه.
لمعرفة ما إذا كانت الحزم تصل إلى أي من قوائم التحكم في الوصول التي تم تكوينها على وحدة التحكم، حدد خانة الاختيار تمكين العدادات وانقر فوق تطبيق . وإلا، أترك خانة الاختيار غير محددة. هذه هي القيمة الافتراضية.
إذا كنت ترغب في مسح العدادات لقائمة تحكم في الوصول (ACL)، فقم بتحريك المؤشر فوق السهم الأزرق المنسدل لقوائم التحكم في الوصول (ACL) تلك واختر مسح العدادات .
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
03-Nov-2006 |
الإصدار الأولي |