تكوين قوائم التحكم في الوصول على وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية مثال

المقدمة

يوضح هذا المستند كيفية تكوين قوائم التحكم في الوصول (ACL) على وحدات التحكم في الشبكة المحلية (WLAN) اللاسلكية لتصفية حركة المرور عبر الشبكة المحلية اللاسلكية (WLAN). 

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• كيفية تكوين نقطة الوصول في الوضع Lightweight (LAP) و WLC للتشغيل الأساسي

• معرفة أساسية ببروتوكول نقطة الوصول في الوضع Lightweight (LWAPP) وطرائق الأمان اللاسلكية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco 2000 Series WLC الذي يشغل البرنامج الثابت 4.0

• نقطة الوصول في الوضع Lightweight من السلسلة Cisco 1000 Series LAP

• مهايئ عميل لاسلكي Cisco 802.11a/b/g الذي يشغل البرنامج الثابت 2.6

• Cisco Aironet Desktop Utility (ADU)، الإصدار 2.6

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

ACLs على WLCs

تهدف قوائم التحكم في الوصول (ACL) على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى تقييد الخدمات على شبكة WLAN الخاصة بها أو السماح بالعملاء اللاسلكيين بها.

قبل إصدار البرنامج الثابت WLC 4.0، يتم تجاوز قوائم التحكم في الوصول (ACL) على واجهة الإدارة، لذلك لا يمكنك التأثير على حركة المرور الموجهة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يمكنك فقط منع العملاء اللاسلكيين من إدارة وحدة التحكم باستخدام خيار الإدارة عبر الشبكة اللاسلكية. لذلك، يمكن تطبيق قوائم التحكم في الوصول (ACL) فقط على الواجهات الديناميكية. في الإصدار 4.0 من البرنامج الثابت WLC، توجد قوائم التحكم في الوصول (ACL) لوحدة المعالجة المركزية (CPU) التي يمكنها تصفية حركة المرور الموجهة لواجهة الإدارة. راجع قسم تكوين قوائم التحكم في الوصول إلى وحدة المعالجة المركزية للحصول على مزيد من المعلومات.

يمكنك تحديد ما يصل إلى 64 قائمة تحكم في الوصول (ACL)، لكل منها ما يصل إلى 64 قاعدة (أو عوامل تصفية). تحتوي كل قاعدة على معلمات تؤثر على الإجراء الخاص بها. عندما تطابق حزمة كافة المعلمات لقاعدة ما، يتم تطبيق الإجراء الذي تم تعيينه لتلك القاعدة على الحزمة. يمكنك تكوين قوائم التحكم في الوصول (ACL) من خلال واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI).

هذه بعض القواعد التي تحتاج إلى فهمها قبل تكوين قائمة التحكم في الوصول (ACL) على عنصر التحكم في الوصول (WLC):

• إذا كان المصدر والوجهة أي ، يمكن أن يكون الإتجاه الذي يتم تطبيق قائمة التحكم في الوصول هذه أي .

• إذا لم يكن المصدر هو أي ، فيجب تحديد إتجاه عامل التصفية، ويجب إنشاء عبارة معكوسة في الإتجاه المعاكس.

• لا تتسم فكرة مركز التحكم في الشبكة المحلية اللاسلكية (WLC) بكونها واردة في مقابل صادرة ببديهية. من منظور عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الذي يواجه العميل اللاسلكي، وليس من منظور العميل. يعني الإتجاه الوارد حزمة تأتي إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من العميل اللاسلكي والاتجاه الصادر تعني حزمة تخرج من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) نحو العميل اللاسلكي.

• هناك رفض ضمني في نهاية قائمة التحكم في الوصول (ACL).

الاعتبارات عند تكوين قوائم التحكم في الوصول في WLCs

تعمل وحدات التحكم في الوصول عن بعد (ALCs) في وحدات التحكم في الشبكة المحلية اللاسلكية (WLCs) بشكل مختلف عن عملها في الموجهات. هذه بعض الأشياء لتذكرها عند تكوين قوائم التحكم في الوصول (ACL) في قوائم التحكم في الوصول (WLCs):

• أكثر الأخطاء شيوعا هي تحديد IP عندما تنوي رفض حزم IP أو السماح بها. نظرا لأنك تقوم بتحديد ما هو داخل حزمة IP، فأنت ترفض حزم IP الواردة في IP أو تسمح بها.

• لا يمكن لقوائم التحكم في الوصول (ACL) حظر عنوان IP الظاهري الخاص بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، وبالتالي حزم DHCP للعملاء اللاسلكيين.

• لا يمكن لقوائم التحكم في الوصول (ACL) حظر حركة مرور البث المتعدد المستلمة من الشبكات السلكية الموجهة إلى العملاء اللاسلكيين. تتم معالجة قوائم التحكم في الوصول (ACL) الخاصة بوحدة التحكم لحركة مرور البث المتعدد التي تم بدؤها من العملاء اللاسلكيين، الموجهة إلى الشبكات السلكية أو العملاء اللاسلكيين الآخرين على وحدة التحكم نفسها.

• وعلى عكس الموجه، تتحكم قائمة التحكم في الوصول (ACL) في حركة المرور في كلا الاتجاهين عند تطبيقها على واجهة، ولكنها لا تنفذ عمليات الإطفاء التي تحدد الحالة. إذا نسيت فتح فتحة في قائمة التحكم في الوصول (ACL) لحركة المرور العائدة، فهذا يسبب مشكلة.

• تقوم قوائم التحكم في الوصول (ACL) بحظر حزم IP فقط. لا يمكنك حظر قوائم التحكم في الوصول من الطبقة 2 أو حزم الطبقة 3 التي ليست IP.

• لا تستخدم قوائم التحكم بالوصول (ACL) في وحدة التحكم الأقنعة المعكوسة مثل الموجهات. هنا، يعني 255 مطابقة نظام التعريف الثماني لعنوان IP تماما.

• يتم تنفيذ قوائم التحكم في الوصول (ACL) على وحدة التحكم في أداء إعادة توجيه التأثير والبرنامج.

ملاحظة: إذا قمت بتطبيق قائمة تحكم في الوصول (ACL) على واجهة أو شبكة محلية لاسلكية (WLAN)، فقد ينخفض الإنتاج اللاسلكي ويمكن أن يؤدي إلى فقد محتمل للحزم. لتحسين الإنتاجية، قم بإزالة قائمة التحكم في الوصول (ACL) من الواجهة أو الشبكة المحلية اللاسلكية (WLAN) ونقل قائمة التحكم في الوصول (ACL) إلى جهاز سلكي مجاور.

تكوين قائمة التحكم في الوصول على WLCs

يصف هذا القسم كيفية تكوين قائمة التحكم في الوصول (ACL) على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). الهدف من ذلك هو تكوين قائمة تحكم في الوصول (ACL) تتيح للعملاء الضيوف الوصول إلى هذه الخدمات:

• بروتوكول تكوين الاستضافة الديناميكية (DHCP) بين العملاء اللاسلكيين وخادم DHCP

• بروتوكول رسائل التحكم في الإنترنت (ICMP) بين جميع الأجهزة في الشبكة

• نظام اسم المجال (DNS) بين العملاء اللاسلكيين وخادم DNS

• Telnet إلى شبكة فرعية معينة

يجب حظر جميع الخدمات الأخرى للعملاء اللاسلكيين. أتمت هذا steps in order to خلقت ال ACL مع ال WLC GUI:

1. انتقل إلى واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الوصول اللاسلكية (WLC) واختر Security > قوائم التحكم في الوصول.

   تظهر صفحة قوائم التحكم في الوصول. تسرد هذه الصفحة قوائم التحكم في الوصول (ACL) التي تم تكوينها على عنصر التحكم في الوصول (WLC). كما يتيح لك تحرير أي من قوائم التحكم في الوصول (ACL) أو إزالته. لإنشاء قائمة تحكم في الوصول (ACL) جديدة، انقر فوق جديد .

   قوائم التحكم في الوصول

2. أدخل اسم قائمة التحكم في الوصول (ACL) وانقر فوق تطبيق.

   يمكنك إدخال ما يصل إلى 32 حرفا ورقميا. في هذا المثال، يكون اسم قائمة التحكم في الوصول (ACL) هو Guest-ACL . بمجرد إنشاء قائمة التحكم في الوصول (ACL)، انقر فوق تحرير لإنشاء قواعد لقائمة التحكم في الوصول (ACL).

   أدخل اسم قائمة التحكم في الوصول (ACL)

3. عندما تظهر صفحة قوائم التحكم في الوصول > تحرير، انقر فوق إضافة قاعدة جديدة.

   تظهر قوائم التحكم في الوصول > قواعد > صفحة جديدة.

   إضافة قواعد جديدة لقائمة التحكم في الوصول (ACL)

4. تكوين القواعد التي تسمح للمستخدم الضيف بهذه الخدمات:

   • DHCP بين العملاء اللاسلكي وخادم DHCP

   • ICMP بين جميع الأجهزة في الشبكة

   • DNS بين العملاء اللاسلكيين وخادم DNS

   • Telnet إلى شبكة فرعية معينة

تكوين القواعد التي تسمح بخدمات المستخدم الضيف

يوضح هذا القسم مثالا لكيفية تكوين القواعد لهذه الخدمات:

• DHCP بين العملاء اللاسلكي وخادم DHCP

• ICMP بين جميع الأجهزة في الشبكة

• DNS بين العملاء اللاسلكيين وخادم DNS

• Telnet إلى شبكة فرعية معينة

1. لتحديد قاعدة خدمة DHCP، حدد نطاقات IP للمصدر والوجهة.

   يستخدم هذا المثال أي للمصدر مما يعني أن أي عميل لاسلكي مسموح له بالوصول إلى خادم DHCP. في هذا المثال، يعمل الخادم 172.16.1.1 كخادم DHCP و DNS. لذلك، الغاية عنوان 172.16.1.1/255.255.255.255 (مع مضيف قناع).

   لأن DHCP هو بروتوكول يستند إلى UDP، حدد UDP من الحقل المنسدل للبروتوكول. إن يختار أنت TCP أو UDP في الخطوة سابق، إثنان معلم إضافي يظهر: مصدر ميناء وغاية ميناء. عينت المصدر والوجهة ميناء تفصيل. ل هذا قاعدة، المصدر ميناء DHCP زبون والغاية ميناء هو DHCP نادل .

   أختر الإتجاه الذي سيتم تطبيق قائمة التحكم في الوصول (ACL) فيه. نظرا لأن هذه القاعدة من العميل إلى الخادم، يستخدم هذا المثال الوارد. من المربع المنسدل "إجراء"، أختر السماح لجعل قائمة التحكم في الوصول (ACL) هذه للسماح لحزم DHCP من العميل اللاسلكي إلى خادم DHCP. القيمة الافتراضية هي رفض. طقطقة يطبق.

   أخترت يسمح أن يسبب ACL أن يسمح DHCP ربط

   إذا لم يكن المصدر أو الوجهة أي منهما ، فيجب إنشاء جملة معكوسة في الإتجاه المعاكس. فيما يلي مثال.

   المصدر أو الوجهة معين إلى أي

2. لتحديد قاعدة تسمح بحزم ICMP بين جميع الأجهزة، حدد أي لحقول المصدر والوجهة. هذه هي القيمة الافتراضية.

   أختر ICMP من الحقل المنسدل للبروتوكول. لأن هذا المثال يستخدم أي من لحقول المصدر والوجهة، فلا يتوجب عليك تحديد الإتجاه. ويمكن تركها عند قيمتها الافتراضية من أي . كما أن العبارة المعكوسة في الإتجاه المعاكس ليست مطلوبة.

   من القائمة المنسدلة "إجراء"، أختر السماح لجعل قائمة التحكم في الوصول (ACL) هذه تسمح لحزم DHCP من خادم DHCP إلى العميل اللاسلكي. طقطقة يطبق.

   السماح بترك قائمة التحكم في الوصول (ACL) للسماح لحزم DHCP من خادم DHCP إلى العميل اللاسلكي

3. وبالمثل، قم بإنشاء القواعد التي تتيح لخادم DNS الوصول إلى جميع العملاء اللاسلكي والوصول إلى خادم Telnet للعميل اللاسلكي إلى شبكة فرعية معينة. هنا مثال.

   إنشاء قواعد تسمح لخادم DNS بالوصول إلى كافة العملاء اللاسلكيين إنشاء قواعد تسمح بوصول Telnet Server للعميل اللاسلكي إلى شبكة فرعية

   قم بتحديد هذه القاعدة للسماح بوصول العميل اللاسلكي إلى خدمة Telnet.

   السماح بوصول العميل اللاسلكي إلى خدمة Telnet مثال آخر على وصول العميل اللاسلكي إلى خدمة Telnet

   تسرد صفحة قائمة التحكم في الوصول > تحرير جميع القواعد المحددة لقائمة التحكم في الوصول (ACL).

   تحرير الصفحات يسرد جميع القواعد المحددة لقائمة التحكم في الوصول (ACL)

4. بمجرد إنشاء قائمة التحكم في الوصول (ACL)، يلزم تطبيقها على واجهة ديناميكية. لتطبيق قائمة التحكم في الوصول (ACL)، أختر وحدة التحكم > الواجهات وحرر الواجهة التي تريد تطبيق قائمة التحكم في الوصول عليها.

5. في صفحة الواجهات > تحرير للواجهة الديناميكية، أختر قائمة التحكم في الوصول (ACL) المناسبة من القائمة المنسدلة قوائم التحكم في الوصول. فيما يلي مثال.

   أختر قائمة التحكم في الوصول (ACL) المناسبة من قائمة قائمة التحكم في الوصول

بمجرد القيام بذلك، تسمح قائمة التحكم في الوصول (ACL) بحركة المرور (استنادا إلى القواعد التي تم تكوينها) على شبكة WLAN التي تستخدم هذه الواجهة الديناميكية وترفضها. يمكن تطبيق قائمة التحكم في الوصول للواجهة-ACL فقط على نقاط الوصول من الفئة H-REAP في الوضع المتصل ولكن ليس في الوضع المستقل.

ملاحظة: يفترض هذا المستند تكوين شبكات WLAN والواجهات الديناميكية. ارجع إلى تكوين شبكات VLAN على وحدات تحكم الشبكة المحلية اللاسلكية أو معلومات حول كيفية إنشاء واجهات ديناميكية على شبكات WLC.

تكوين قوائم التحكم في الوصول الخاصة بوحدة المعالجة المركزية

في السابق، لم يكن لدى قوائم التحكم في الوصول (ACL) على قوائم التحكم في الوصول (WLCs) خيار لتصفية حركة مرور بيانات LWAPP/CAPWAP وحركة مرور التحكم في LWAPP/CAPWAP وحركة المرور المتنقلة الموجهة إلى واجهات الإدارة ومدير نقطة الوصول. من أجل معالجة هذه المشكلة وتصفية حركة مرور LWAPP والحركة، تم تقديم قوائم التحكم في الوصول لوحدة المعالجة المركزية (CPU) مع البرنامج الثابت WLC، الإصدار 4.0.

يتضمن تكوين قوائم التحكم في الوصول إلى وحدة المعالجة المركزية (CPU) خطوتين:

1. تكوين قواعد قوائم التحكم في الوصول لوحدة المعالجة المركزية.

2. تطبيق قائمة التحكم في الوصول (ACL) لوحدة المعالجة المركزية على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

يجب تكوين قواعد قائمة التحكم في الوصول إلى وحدة المعالجة المركزية (CPU) بطريقة مماثلة لقوائم التحكم في الوصول (ACL) الأخرى. 

التحقق من الصحة

توصي Cisco باختبار تكوينات قائمة التحكم في الوصول (ACL) باستخدام عميل لاسلكي لضمان تكوينها بشكل صحيح. إذا فشلت في العمل بشكل صحيح، فتحقق من قوائم التحكم في الوصول (ACL) على صفحة ويب قائمة التحكم في الوصول والتحقق من تطبيق تغييرات قائمة التحكم في الوصول (ACL) على واجهة وحدة التحكم.

أنت يستطيع أيضا استعملت هذا عرض أمر in order to دققت تشكيلك:

• show acl summary — لعرض قوائم التحكم في الوصول (ACL) التي تم تكوينها على وحدة التحكم، أستخدم الأمر show acl summary.

  فيما يلي مثال:

  (Cisco Controller) >show acl summary
  
  ACL Name                         Applied
  -------------------------------- -------
  Guest-ACL                        Yes
  

• show acl detail acl_name — يعرض معلومات تفصيلية حول قوائم التحكم في الوصول (ACL) التي تم تكوينها.

  فيما يلي مثال:

  (Cisco Controller) >show acl detailed Guest-ACL
  
                     Source                        Destination                Source Port  Dest Port
  I  Dir       IP Address/Netmask              IP Address/Netmask        Prot    Range       Range    DSCP Action
  -- --- ------------------------------- ------------------------------- ---- ----------- ----------- ---- ------
   1  In         0.0.0.0/0.0.0.0              172.16.1.1/255.255.255.255   17    68-68       67-67     Any Permit
   2 Out      172.16.1.1/255.255.255.255         0.0.0.0/0.0.0.0           17    67-67       68-68     Any Permit
   3 Any         0.0.0.0/0.0.0.0                 0.0.0.0/0.0.0.0            1     0-65535     0-65535  Any Permit
   4  In         0.0.0.0/0.0.0.0              172.16.1.1/255.255.255.255   17     0-65535    53-53     Any Permit
   5 Out      172.16.1.1/255.255.255.255         0.0.0.0/0.0.0.0           17    53-53        0-65535  Any Permit
   6  In         0.0.0.0/0.0.0.0              172.18.0.0/255.255.0.0             60-65535    23-23     Any Permit
   7 Out      172.18.0.0/255.255.0.0             0.0.0.0/0.0.0.0            6    23-23        0-65535  Any Permit

• show acl cpu — لعرض قوائم التحكم في الوصول التي تم تكوينها على وحدة المعالجة المركزية، أستخدم الأمر show acl cpu.

  فيما يلي مثال:

  (Cisco Controller) >show acl cpu
  
  CPU Acl Name................................ CPU-ACL
  Wireless Traffic............................ Enabled
  Wired Traffic............................... Enabled

استكشاف الأخطاء وإصلاحها

يتيح لك برنامج وحدة التحكم الإصدار 4.2.x أو إصدار أحدث إمكانية تكوين عدادات قائمة التحكم في الوصول (ACL). يمكن أن تساعد عدادات قائمة التحكم في الوصول في تحديد قوائم التحكم في الوصول التي تم تطبيقها على الحزم التي تم إرسالها من خلال وحدة التحكم. تكون هذه الميزة مفيدة عند أستكشاف أخطاء النظام وإصلاحها.

تتوفر عدادات قائمة التحكم في الوصول على وحدات التحكم هذه:

• السلسلة 4400

• Cisco WiSM

• محول وحدة التحكم Catalyst 3750G Integrated Wireless LAN

أتمت in order to مكنت هذا سمة، هذا steps:

1. أختر تأمين > قوائم التحكم في الوصول > قوائم التحكم في الوصول لفتح صفحة قوائم التحكم في الوصول.

   تسرد هذه الصفحة جميع قوائم التحكم في الوصول (ACL) التي تم تكوينها لوحدة التحكم هذه.

2. لمعرفة ما إذا كانت الحزم تصل إلى أي من قوائم التحكم في الوصول التي تم تكوينها على وحدة التحكم، حدد خانة الاختيار تمكين العدادات وانقر فوق تطبيق . وإلا، أترك خانة الاختيار غير محددة. هذه هي القيمة الافتراضية.

3. إذا كنت ترغب في مسح العدادات لقائمة تحكم في الوصول (ACL)، فقم بتحريك المؤشر فوق السهم الأزرق المنسدل لقوائم التحكم في الوصول (ACL) تلك واختر مسح العدادات .

معلومات ذات صلة

• دليل تكوين وحدة تحكم شبكة LAN اللاسلكية من Cisco، الإصدار 6.0
• تكوين شبكات VLAN على وحدات التحكم في الشبكة المحلية اللاسلكية
• استكشاف أخطاء نقطة وصول خفيفة الوزن تفشل في الانضمام إلى WLC وإصلاحها
• الدعم التقني والتنزيلات من Cisco