تكوين قائمة التحكم في الوصول (ACL) وإدخال التحكم في الوصول (ACE) القائمين على بروتوكول IPv4 على محول ما

خيارات التنزيل

  • PDF     (633.3 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (492.1 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (635.3 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٣ ديسمبر ٢٠١٨
معرّف المستند:SMB3025

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

تكوين قائمة التحكم في الوصول (ACL) وإدخال التحكم في الوصول (ACE) القائمين على بروتوكول IPv4 على محول ما

الهدف

قائمة التحكم في الوصول (ACL) هي قائمة بعوامل تصفية حركة مرور الشبكة والإجراءات المرتبطة المستخدمة لتحسين الأمان. وهو يمنع المستخدمين من الوصول إلى موارد معينة أو يسمح لهم بذلك. تحتوي قائمة التحكم في الوصول (ACL) على الأجهزة المضيفة المسموح لها أو المرفوضة من الوصول إلى جهاز الشبكة.

قائمة التحكم في الوصول (ACL) المستندة إلى IPv4 هي قائمة بعناوين IPv4 المصدر التي تستخدم معلومات الطبقة 3 للسماح بالوصول إلى حركة المرور أو رفضه. تعمل قوائم التحكم في الوصول (ACL) إلى IPv4 على تقييد حركة المرور المتعلقة ب IP استنادا إلى عوامل تصفية IP التي تم تكوينها. يحتوي عامل التصفية على القواعد التي تطابق حزمة IP، وإذا تطابقت الحزمة، فإن القاعدة تنص أيضا على ما إذا كان يجب السماح للحزمة أو رفضها.

يحتوي إدخال التحكم في الوصول (ACE) على معايير قاعدة الوصول الفعلية. بمجرد إنشاء ACE، يتم تطبيقها على قائمة التحكم في الوصول (ACL).

يجب إستخدام قوائم الوصول لتوفير مستوى أساسي من الأمان للوصول إلى الشبكة. إذا لم تقم بتكوين قوائم الوصول على أجهزة الشبكة، يمكن السماح لجميع الحزم التي تمر عبر المحول أو الموجه بالوصول إلى جميع أجزاء الشبكة.

تقدم هذه المقالة تعليمات حول كيفية تكوين قائمة التحكم في الوصول (ACL) المستندة إلى IPv4 و ACE على المحول المدار لديك.

الأجهزة القابلة للتطبيق

  • Sx350 Series
  • SG350X Series
  • Sx500 Series
  • Sx550X Series

إصدار البرامج

  • 1.4.5.02 - Sx500 Series
  • 2.2.5.68 - SX350 Series، SG350X Series، SX550X Series

تكوين قائمة التحكم في الوصول (ACL) و ACE المستندة إلى IPv4

تكوين قائمة التحكم في الوصول (ACL) المستندة إلى IPv4

الخطوة 1. سجل الدخول إلى الأداة المساعدة المستندة إلى الويب ثم انتقل إلى التحكم في الوصول > قائمة التحكم في الوصول (ACL) المستندة إلى IPv4.

الخطوة 2. انقر فوق الزر إضافة.

الخطوة 3. أدخل اسم قائمة التحكم في الوصول (ACL) الجديدة في حقل اسم قائمة التحكم في الوصول (ACL).

ملاحظة: في هذا المثال، يتم إستخدام قائمة التحكم في الوصول (ACL) إلى IPv4.

الخطوة 4. انقر فوق تطبيق ثم انقر فوق إغلاق.

الخطوة 5. (إختياري) انقر فوق حفظ لحفظ الإعدادات في ملف تكوين بدء التشغيل.

يجب أن تكون قد انتهيت الآن من تكوين قائمة تحكم في الوصول (ACL) قائمة على IPv4 على المحول لديك.

تكوين ACE المستند إلى IPv4

عند تلقي حزمة على منفذ ما، يقوم المحول بمعالجة الحزمة من خلال قائمة التحكم في الوصول (ACL) الأولى. إذا تطابقت الحزمة مع مرشح ACE لقائمة التحكم بالوصول (ACL) الأولى، يتم إجراء ACE. إذا لم تتطابق الحزمة مع أي من عوامل تصفية ACE، فسيتم معالجة قائمة التحكم في الوصول (ACL) التالية. إذا لم يعثر على أي تطابق مع أي ACE في جميع قوائم التحكم في الوصول (ACL) ذات الصلة، يتم إسقاط الحزمة بشكل افتراضي.

في هذا السيناريو، سيتم إنشاء ACE لرفض حركة المرور التي يتم إرسالها من عنوان IPv4 مصدر محدد محدد بواسطة المستخدم إلى أي عناوين وجهة.

ملاحظة: يمكن تجنب هذا الإجراء الافتراضي بإنشاء إدخال تحكم في الوصول (ACE) منخفض الأولوية يسمح لجميع حركة المرور.

الخطوة 1. على الأداة المساعدة المستندة إلى الويب، انتقل إلى التحكم في الوصول > ACE المستند إلى IPv4.

هام: لاستخدام الميزات والوظائف المتوفرة للمحول بشكل كامل، قم بالتغيير إلى الوضع المتقدم باختيار متقدم من القائمة المنسدلة وضع العرض في الركن العلوي الأيسر من الصفحة.

الخطوة 2. أختر قائمة تحكم في الوصول (ACL) من القائمة المنسدلة اسم قائمة التحكم في الوصول (ACL) ثم انقر فوق انتقال.

ملاحظة: سيتم عرض وحدات ACE التي تم تكوينها بالفعل لقائمة التحكم في الوصول (ACL) في الجدول.

الخطوة 3. انقر فوق الزر إضافة لإضافة قاعدة جديدة إلى قائمة التحكم في الوصول (ACL).

ملاحظة: يعرض حقل اسم قائمة التحكم في الوصول اسم قائمة التحكم في الوصول (ACL).

الخطوة 4. أدخل قيمة الأولوية ل ACE في حقل الأولوية. تتم معالجة إدخالات التحكم في الوصول (ACE) ذات قيمة الأولوية الأعلى أولا. القيمة 1 هي أعلى أولوية. ويبلغ مداه من 1 إلى 2147483647.

ملاحظة: في هذا المثال، يتم إستخدام 2.

الخطوة 5. انقر زر الخيار الذي يتوافق مع الإجراء المرغوب الذي يتم إتخاذه عندما يتوافق إطار مع المعايير المطلوبة من ACE.

ملاحظة: في هذا المثال، يتم إختيار الإذن.

  • السماح — يقوم المحول بإعادة توجيه الحزم التي تفي بالمعايير المطلوبة من ACE.
  • رفض — يقوم المحول بإسقاط الحزم التي تطابق المعايير المطلوبة من ACE.
  • إيقاف التشغيل — يقوم المحول بإسقاط الحزم التي لا تفي بالمعايير المطلوبة من ACE وتعطيل المنفذ حيث تم تلقي الحزم.

ملاحظة: يمكن إعادة تنشيط المنافذ المعطلة على صفحة إعدادات المنفذ.

الخطوة 6. (إختياري) حدد خانة الاختيار enable logging لتمكين تسجيل تدفقات قائمة التحكم في الوصول (ACL) التي تطابق قاعدة قائمة التحكم في الوصول.

الخطوة 7. (إختياري) حدد خانة الاختيار تمكين النطاق الزمني للسماح بتكوين النطاق الزمني إلى ACE. يتم إستخدام نطاقات الوقت لتحديد مقدار الوقت الذي يتم فيه تطبيق ACE.

الخطوة 8. (إختياري) من القائمة المنسدلة لاسم النطاق الزمني، أختر نطاق زمني لتطبيقه على ACE.

ملاحظة: يمكنك نقر تحرير للتصفح وإنشاء نطاق زمني في صفحة النطاق الزمني.

الخطوة 9. أختر نوع بروتوكول في منطقة البروتوكول. سيتم إنشاء ACE استنادا إلى بروتوكول أو معرف بروتوكول محدد.

الخيارات هي:

  • أي (IP) — سيقوم هذا الخيار بتكوين ACE لقبول جميع بروتوكولات IP.
  • حدد من القائمة — سيتيح لك هذا الخيار إختيار بروتوكول من قائمة منسدلة. إذا كنت تفضل هذا الخيار، فقم بالتخطي إلى الخطوة 10.
  • معرف البروتوكول الذي يجب مطابقته — سيسمح لك هذا الخيار بإدخال معرف البروتوكول. إذا كنت تفضل هذا الخيار، فقم بالتخطي إلى الخطوة 11.

ملاحظة: في هذا المثال، يتم إختيار أي (IP).

الخطوة 10. (إختياري) إذا أخترت تحديد من القائمة في الخطوة 9، أختر بروتوكول من القائمة المنسدلة.

الخيارات هي:

  • ICMP — بروتوكول رسائل التحكم في الإنترنت
  • IP في IP — IP في تضمين IP
  • بروتوكول TCP — التحكم في الإرسال
  • EGP — بروتوكول العبارة الخارجية
  • بروتوكول IGP — بروتوكول العبارة الداخلية
  • UDP — بروتوكول مخطط بيانات المستخدم
  • HMP — بروتوكول تخطيط المضيف
  • بروتوكول RDP — بروتوكول مخطط بيانات موثوق به
  • توجيه سياسة المجال البيني — IDPR
  • اتصال IPv6 — IPv6 عبر اتصال IPv4 النفقي
  • IPv6:ROUT — يطابق الحزم التي تنتمي إلى مسار IPv6 عبر IPv4 من خلال بوابة
  • IPv6:FRAG — يطابق الحزم التي تنتمي إلى IPv6 عبر رأس جزء IPv4
  • بروتوكول توجيه مجال تبادلي لبروتوكول IDRP — IS-IS
  • بروتوكول RSVP — ReSerVation
  • AH — رأس المصادقة
  • IPv6:ICMP — ICMP ل IPv6
  • EIGRP — بروتوكول توجيه البوابة الداخلية المحسنة
  • بروتوكول فتح أقصر مسار أولا
  • IPIP — IP في IP
  • البث المتعدد المستقل عن البروتوكول (PIM)
  • L2TP — بروتوكول الاتصال النفقي للطبقة 2

الخطوة 11. (إختياري) إذا أخترت معرف البروتوكول لمطابقته في الخطوة 9، فأدخل معرف البروتوكول في معرف البروتوكول لمطابقة الحقل.

الخطوة 12. انقر فوق زر الاختيار الذي يتوافق مع المعايير المطلوبة من ACE في منطقة عنوان IP المصدر.

الخيارات هي:

  • أي — تنطبق جميع عناوين IPv4 المصدر على ACE.
  • معرف من قبل المستخدم — أدخل عنوان IP وقناع حرف بدل IP المطلوب تطبيقه على ACE في حقلي قيمة عنوان IP المصدر وقناع حرف البدل للمصدر IP. يتم إستخدام أقنعة أحرف البدل لتعريف نطاق من عناوين IP.

ملاحظة: في هذا المثال، يتم إختيار معرف من قبل المستخدم. إذا أخترت أي، انتقل إلى الخطوة 15.

الخطوة 13. دخلت المصدر عنوان في المصدر عنوان قيمة مجال.

ملاحظة: في هذا المثال، يتم إستخدام 192.168.1.1.

الخطوة 14. أدخل قناع حرف البدل للمصدر في حقل قناع حرف البدل للمصدر IP.

ملاحظة: في هذا المثال، يتم إستخدام 0.0.0.255.

الخطوة 15. طقطقت ال radio زر أن يماثل إلى الفئة ب رغب من ال ace في الغاية عنوان منطقة.

الخيارات هي:

  • أي — تنطبق جميع عناوين IPv4 للوجهة على ACE.
  • معرف من قبل المستخدم — أدخل عنوان IP وقناع حرف بدل IP المطلوب تطبيقه على ACE في حقلي قيمة عنوان IP للوجهة وقناع حرف البدل للوجهة. يتم إستخدام أقنعة أحرف البدل لتعريف نطاق من عناوين IP.

ملاحظة: في هذا المثال، يتم إختيار أي. ويعني إختيار هذا الخيار أن ACE الذي سيتم إنشاؤه سيسمح بحركة مرور ACE القادمة من عنوان IPv4 المحدد إلى أي وجهة.

الخطوة 16. (إختياري) انقر زر إختيار في منطقة منفذ المصدر. القيمة الافتراضية هي أي.

  • أي — يطابق كل مصدر ميناء.
  • أحادي من القائمة — يمكنك إختيار منفذ مصدر TCP/UDP واحد تطابق الحزم إليه. يكون هذا الحقل نشطا فقط إذا تم إختيار 800/6-TCP أو 800/17-UDP في القائمة المنسدلة تحديد من القائمة.
  • وحيد حسب الرقم — أنت يستطيع أخترت وحيد TCP/UDP مصدر ميناء إلى أي ربط يكون مطابقا. يكون هذا الحقل نشطا فقط إذا تم إختيار 800/6-TCP أو 800/17-UDP في القائمة المنسدلة تحديد من القائمة.
  • النطاق — يمكنك إختيار نطاق من منافذ مصدر TCP/UDP تطابق الحزمة إليه. هناك ثمانية نطاقات أيسر مختلف أن يستطيع كنت شكلت (يشارك بين مصدر وغاية ميناء). تحتوي كل من بروتوكولات TCP و UDP على ثماني نطاقات منافذ.

خطوة 17. (إختياري) طقطقت زر لاسلكي في الغاية ميناء منطقة. القيمة الافتراضية هي أي.

  • أي — مطابقة لكل منافذ المصدر
  • أحادي من القائمة — يمكنك إختيار منفذ مصدر TCP/UDP واحد تطابق الحزم إليه. يكون هذا الحقل نشطا فقط إذا تم إختيار 800/6-TCP أو 800/17-UDP في القائمة المنسدلة تحديد من القائمة.
  • وحيد حسب الرقم — أنت يستطيع أخترت وحيد TCP/UDP مصدر ميناء إلى أي ربط يكون مطابقا. يكون هذا الحقل نشطا فقط إذا تم إختيار 800/6-TCP أو 800/17-UDP في القائمة المنسدلة تحديد من القائمة.
  • النطاق — يمكنك إختيار نطاق من منافذ مصدر TCP/UDP تطابق الحزمة إليه. هناك ثمانية نطاقات أيسر مختلف أن يستطيع كنت شكلت (يشارك بين مصدر وغاية ميناء). تحتوي كل من بروتوكولات TCP و UDP على ثماني نطاقات منافذ.

الخطوة 18. (إختياري) في منطقة علامات TCP، أختر واحد أو أكثر من علامات TCP التي تريد تصفية الحزم باستخدامها. تتم إعادة توجيه الحزم التي تمت تصفيتها أو إسقاطها. تزيد تصفية الحزم بواسطة علامات TCP من التحكم في الحزم، مما يزيد من أمان الشبكة.

  • ضبط — مطابقة إذا تم تعيين العلامة.
  • غير معين — مطابقة إذا لم يتم تعيين العلامة.
  • لا تهتم — تجاهل علامة TCP.

علامات TCP هي:

  • URG — تستخدم هذه العلامة لتحديد البيانات الواردة كعاجلة.
  • ACK — يتم إستخدام هذه العلامة للإقرار باستلام الحزم بنجاح.
  • PSH — تستخدم هذه العلامة لضمان إعطاء البيانات الأولوية (التي تستحقها) وتتم معالجتها في نهاية الإرسال أو الاستلام.
  • RST — يتم إستخدام هذه العلامة عند وصول مقطع غير مخصص للاتصال الحالي.
  • SYN — يتم إستخدام هذه العلامة لاتصالات TCP.
  • FIN — يتم إستخدام هذه العلامة عند انتهاء الاتصال أو نقل البيانات.

الخطوة 19. (إختياري) انقر فوق نوع خدمة حزمة IP من نوع منطقة الخدمة.

الخيارات هي:

  • أي — يمكن أن يكون أي نوع من الخدمات لازدحام المرور.
  • DSCP المطلوب مطابقته — DSCP هي آلية لتصنيف حركة مرور الشبكة وإدارتها. يتم إستخدام ست وحدات بت (0-63) لتحديد سلوك كل خطوة الذي تختبره الحزمة في كل عقدة.
  • أسبقية IP للمطابقة — أسبقية IP هي نموذج لنوع الخدمة (ToS) الذي تستخدمه الشبكة للمساعدة في توفير التزامات جودة الخدمة (QoS) المناسبة. يستخدم هذا النموذج وحدات بت الثلاث الأكثر أهمية من نوع الخدمة في رأس IP، كما هو موضح في RFC 791 و RFC 1349. الكلمة الأساسية مع قيمة تفضيل IP هي التالية:

- 0 - للروتين

- 1 - للأولوية

- 2 - فورا

- 3 — للفلاش

- 4 — لتجاوز فلاش

- 5 — للحالات الحرجة

- 6 — للإنترنت

- 7 — للشبكة

الخطوة 20. (إختياري) إذا كان بروتوكول IP لقائمة التحكم في الوصول هو ICMP، انقر فوق نوع رسالة ICMP المستخدم لأغراض التصفية. أختر نوع الرسالة بالاسم أو أدخل رقم نوع الرسالة:

  • أي — جميع أنواع الرسائل مقبولة.
  • حدد من القائمة — يمكنك إختيار نوع الرسالة بالاسم.
  • نوع ICMP الذي سيتم مطابقته — عدد نوع الرسالة التي سيتم إستخدامها لأغراض التصفية. له نطاق من 0 إلى 255.

الخطوة 21. (إختياري) يمكن أن يكون لرسائل ICMP حقل رمز يشير إلى كيفية معالجة الرسالة. انقر فوق أحد الخيارات التالية لتكوين ما إذا كان سيتم التصفية على هذا الرمز:

  • أي — قبول كل الرموز.
  • معرف من قبل المستخدم — يمكنك إدخال رمز ICMP لأغراض التصفية. له نطاق من 0 إلى 255.

الخطوة 22. (إختياري) إذا كانت قائمة التحكم في الوصول (ACL) تستند إلى بروتوكول IGMP، انقر فوق نوع رسالة بروتوكول IGMP المراد إستخدامه لأغراض التصفية. أختر نوع الرسالة بالاسم أو أدخل رقم نوع الرسالة:

  • أي — جميع أنواع الرسائل مقبولة.
  • حدد من القائمة — يمكنك إختيار أي من الخيارات من القائمة المنسدلة:
  • DVMRP — يستخدم تقنية تدفق المسار العكسي، حيث يرسل نسخة من حزمة مستلمة عبر كل واجهة باستثناء الواجهة التي وصلت الحزمة عندها.
  • استعلام المضيف — يرسل بشكل دوري رسائل استعلام المضيف العامة على كل شبكة مرفقة للحصول على معلومات.
  • رد المضيف — يرد على الاستعلام.
  • PIM — يتم إستخدام البث المتعدد المستقل عن البروتوكول (PIM) بين موجهات البث المتعدد المحلية والبعيدة لتوجيه حركة مرور البث المتعدد من خادم البث المتعدد إلى العديد من عملاء البث المتعدد.
  • Trace — يوفر معلومات حول الانضمام إلى مجموعات البث المتعدد ل IGMP والخروج منها.
  • نوع IGMP الذي يجب مطابقته — عدد أنواع الرسائل التي سيتم إستخدامها لأغراض التصفية. له نطاق من 0 إلى 255.

الخطوة 23. انقر فوق تطبيق ثم انقر فوق إغلاق". يتم إنشاء ACE وإقرانه باسم قائمة التحكم في الوصول (ACL).

الخطوة 24. انقر على حفظ لحفظ الإعدادات في ملف تكوين بدء التشغيل.

يجب أن تكون قد انتهيت الآن من تكوين إدخال تحكم في الوصول (ACE) قائم على بروتوكول IPv4 على المحول لديك.

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا