تكوين مهلة الاتصال لحركة مرور معينة على ASA باستخدام ASDM

خيارات التنزيل

  • PDF     (542.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (382.4 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (275.4 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٥ يونيو ٢٠٢٤
معرّف المستند:222075

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

تكوين مهلة الاتصال

التحقق من الصحة

المراجع

المقدمة

يصف هذا المستند تكوين مهلة الاتصال على ASA و ASDM لبروتوكول تطبيق معين مثل HTTP أو HTTPS أو FTP أو أي بروتوكولات أخرى. مهلة الاتصال هي فترة عدم النشاط والتي يقوم بعدها جدار الحماية أو جهاز الشبكة بإنهاء اتصال خامل لتحرير الموارد وتعزيز الأمان. السؤال الأول مسبقا هو: ما هو متطلبات هذا التكوين؟ إذا كانت التطبيقات تحتوي على إعدادات رسائل تنشيط TCP مناسبة، فإن تكوين مهلة الاتصال على جدار حماية غالبا ما يكون غير ضروري. ومع ذلك، إذا كانت التطبيقات تفتقر إلى إعدادات keepalive المناسبة أو تكوينات المهلة المناسبة، فإن تكوين مهلة الاتصال على جدار حماية يكون في هذه الحالة أمرا بالغ الأهمية لإدارة الموارد وتعزيز الأمان وتحسين أداء الشبكة وضمان التوافق وتحسين تجربة المستخدم.

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • قائمة التحكم في الوصول (ACL)

  • سياسة الخدمة
  • مهلة الاتصال

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • ASA 9.17(1)
  • ASDM 7.17(1)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الافتراضيات

ملاحظة: المهلة الافتراضية

المهلة الجنينية الافتراضية هي 30 ثانية.

مهلة الخمول نصف المغلقة الافتراضية هي 10 دقائق.

قيمة DCD max_retry الافتراضية هي 5.

قيمة DCD retry_interval الافتراضية هي 15 ثانية.

مهلة خمول TCP الافتراضية هي 1 ساعة.

مهلة خمول UDP الافتراضية هي 2 دقيقة.

مهلة خمول بروتوكول ICMP الافتراضية هي 2 ثوان.

مهلة خمول SIP الافتراضية هي 30 دقيقة.

مهلة خمول SIP_media الافتراضية هي 2 دقيقة.

مهلة ESP وHA الخاملة الافتراضية هي 30 ثانية.

بالنسبة لجميع البروتوكولات الأخرى، تكون مهلة الخمول الافتراضية هي 2 دقيقة.

لعدم انتهاء الوقت، أدخل 0:0:0. 

تكوين مهلة الاتصال

ASDM

إذا كانت حركة مرور معينة تحتوي على جدول اتصال، فإنها تحتوي على مهلة خاملة محددة؛ على سبيل المثال، في هذه المقالة، نقوم بتغيير مهلة الاتصال لحركة مرور DNS.

فيما يلي العديد من الخيارات لتكوين مهلة الاتصال لحركة مرور معينة، مع الأخذ في الاعتبار الرسم التخطيطي للشبكة لحركة المرور هذه:

العميل — [الواجهة: MNG] جدار الحماية [الواجهة: OUT] — الخادم

هناك إمكانية تعيين قائمة تحكم في الوصول (ACL) للواجهة.

الخطوة 1: إنشاء قائمة تحكم في الوصول (ACL) 

يمكننا تعيين مصدر أو وجهة أو خدمة

ASDM > التكوين > جدار الحماية > متقدم > مدير قائمة التحكم في الوصول (ACL)

ASDM_ACL

الخطوة 2: إنشاء قاعدة سياسة الخدمة

يمكنك تخطي الخطوة الأخيرة إذا كانت لديك قائمة التحكم في الوصول (ACL) بالفعل، أو يمكنك تعيين إحدى هذه المعلمات (المصدر أو الوجهة أو الخدمة) لنهج الخدمة للواجهة.

ASDM > التكوين > جدار الحماية > قواعد سياسة الخدمة

ASDM_GLOBAL_POLICY

الخطوة 3: إنشاء فئة حركة مرور البيانات

هناك إمكانية لاختيار عنوان IP للمصدر والوجهة (يستخدم قائمة التحكم في الوصول (ACL))

ASDM_POLICY_SETTINGS

الخطوة 4: تعيين قائمة التحكم في الوصول (ACL)

في هذه الخطوة، يمكنك تعيين قائمة التحكم في الوصول (ACL) الموجودة أو تحديد شروط المطابقة (المصدر أو الوجهة أو الخدمة)

ASDM_conn_timeout

الخطوة 5: تكوين معلمة مهلة الخمول

استنادا إلى تنسيق صحيح HH:MM:SS قم بتكوين مهلة الخمول.

ASDM_Idle_conn_timeout

مسح الاتصالات لحركة المرور المحددة:

#clear conn address أدخل عنوان IP أو نطاق من عناوين IP

#clear conn protocol أدخل هذه الكلمة الأساسية لمسح إتصالات SCP/TCP/UDP فقط

واجهة سطر الأوامر ASA

أنت يستطيع شكلت كل هذا عملية إعداد عن طريق ال CLI:

ACL:

تصريح موسع ل access-list dns_timeout udp أي مجال eq

خريطة الفئة:

فئة MNG-خريطة الفئة
مطابقة access-list dns_timeout

خريطة السياسة:

سياسة خريطة السياسة العامة للإدارة الوطنية للمواد الكيميائية
فئة MNG
ضبط مهلة الاتصال في وضع الخمول 0:37:00

تطبيق خريطة السياسة على الواجهة:

MNG-Policy للواجهة MNG

التحقق من الصحة

تلميح: إذا قمنا بتشغيل هذا الأمر، يمكننا تأكيد مهلة الاتصال لحركة مرور DNS:

ASA CLI>يمكن أسلوب > عرض conn طويل 

مثال: عرض عنوان طويل CONN 192.168.1.1

UDP MNG: 192.168.1.1/53 (192.168.1.1/53) خارج: 10.10.10.30/63327 (10.10.10.30/63327)، علامات -، 17s خامل، 17s وقت التشغيل، المهلة 2m0s، بايت 36

UDP MNG: 192.168.1.1/53 (192.168.1.1/53) خارج: 10.10.10.30/62558 (10.10.10.30/62558)، علامات -، 40 خامل، 40s وقت التشغيل، المهلة 2m0s، بايت 36

بعد ذلك، بعد التكوين، يمكننا تأكيد تكوين مهلة الخمول:

مثال: عرض عنوان طويل CONN 192.168.1.1

UDP MNG: 192.168.1.1/53 (192.168.1.1/53) خارج: 10.10.10.30/63044 (10.10.10.30/63044)، علامات -، خامل 8s، وقت تشغيل 8s، مهلة 37m0s، بايت 37

UDP MNG: 192.168.1.1/53 (192.168.1.1/53) خارج: 10.10.10.30/63589 (10.10.10.30/63589)، علامات - خمول 5s، وقت تشغيل 5s، مهلة 37m0s، بايت 41

المراجع

ما هي إعدادات الاتصال

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
26-Jun-2024
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • شيرفين حريري
    مهندس TAC من Cisco

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات