تكوين قائمة التحكم في الوصول (ACL) المستندة إلى IPv6 وإدخال التحكم في الوصول (ACE) على محول ما

خيارات التنزيل

  • PDF     (607.1 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (465.4 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (702.3 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٣ ديسمبر ٢٠١٨
معرّف المستند:SMB3050

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

تكوين قائمة التحكم في الوصول (ACL) المستندة إلى IPv6 وإدخال التحكم في الوصول (ACE) على محول ما

الهدف

قائمة التحكم في الوصول (ACL) هي قائمة بعوامل تصفية حركة مرور الشبكة والإجراءات المرتبطة المستخدمة لتحسين الأمان. وهو يمنع المستخدمين من الوصول إلى موارد معينة أو يسمح لهم بذلك. تحتوي قائمة التحكم في الوصول (ACL) على الأجهزة المضيفة المسموح لها أو المرفوضة من الوصول إلى جهاز الشبكة.

تشبه وظائف قائمة التحكم في الوصول (ACL) النموذجية في IPv6 قوائم التحكم في الوصول (ACL) في IPv4. تحدد قوائم التحكم في الوصول (ACL) حركة المرور التي يجب حظرها وحركة المرور التي يجب إعادة توجيهها في واجهات المحول. تسمح قوائم التحكم في الوصول (ACL) بالتصفية استنادا إلى عناوين المصدر والوجهة، الواردة والصادرة إلى واجهات محددة. تحتوي كل قائمة تحكم في الوصول (ACL) على عبارة رفض ضمنية في النهاية. يتم تكوين قواعد قوائم التحكم في الوصول في إدخالات التحكم في الوصول (ACEs).

يجب إستخدام قوائم الوصول لتوفير مستوى أساسي من الأمان للوصول إلى الشبكة. إذا لم تقم بتكوين قوائم الوصول على أجهزة الشبكة، يمكن السماح لجميع الحزم التي تمر عبر المحول أو الموجه بالوصول إلى جميع أجزاء الشبكة.

تقدم هذه المقالة تعليمات حول كيفية تكوين قائمة التحكم في الوصول (ACL) المستندة إلى IPv6 و ACE على محول ما.

الأجهزة القابلة للتطبيق

  • Sx350 Series
  • SG350X Series
  • Sx500 Series
  • Sx550X Series

إصدار البرامج

  • 1.4.5.02 - Sx500 Series
  • 2.2.5.68 - SX350 Series، SG350X Series، SX550X Series

تكوين قوائم التحكم في الوصول (ACL) و ACE المستندة إلى IPv6

تكوين قائمة التحكم في الوصول (ACL) المستندة إلى IPv6

الخطوة 1. قم بتسجيل الدخول إلى الأداة المساعدة المستندة إلى الويب ثم انتقل إلى التحكم في الوصول > قائمة التحكم في الوصول (ACL) المستندة إلى IPv6.

الخطوة 2. انقر فوق الزر إضافة.

الخطوة 3. أدخل اسم قائمة التحكم في الوصول (ACL) الجديدة في حقل اسم قائمة التحكم في الوصول (ACL).

ملاحظة: في هذا المثال، يتم إستخدام قائمة التحكم في الوصول (ACL) إلى IPv6.

الخطوة 4. انقر فوق تطبيق ثم انقر فوق إغلاق.

الخطوة 5. (إختياري) انقر فوق حفظ لحفظ الإعدادات في ملف تكوين بدء التشغيل.

يجب أن تكون قد انتهيت الآن من تكوين قائمة تحكم في الوصول (ACL) قائمة على IPv6 على المحول لديك.

تكوين ACE المستند إلى IPv6

عند تلقي حزمة على منفذ ما، يقوم المحول بمعالجة الإطار من خلال قائمة التحكم في الوصول (ACL) الأولى. إذا تطابقت الحزمة مع مرشح ACE لقائمة التحكم بالوصول (ACL) الأولى، يتم إجراء ACE. إذا لم تتطابق الحزمة مع أي من عوامل تصفية ACE، فسيتم معالجة قائمة التحكم في الوصول (ACL) التالية. إذا لم يعثر على أي تطابق مع أي ACE في جميع قوائم التحكم في الوصول (ACL) ذات الصلة، يتم إسقاط الحزمة بشكل افتراضي.

في هذا السيناريو، سيتم إنشاء ACE لرفض حركة المرور التي يتم إرسالها من عنوان IPv6 مصدر محدد محدد بواسطة المستخدم إلى أي عناوين وجهة.

ملاحظة: يمكن تجنب هذا الإجراء الافتراضي بإنشاء إدخال تحكم في الوصول (ACE) منخفض الأولوية يسمح لجميع حركة المرور.

الخطوة 1. على الأداة المساعدة المستندة إلى الويب، انتقل إلى التحكم في الوصول > ACE المستند إلى IPv6.

هام: إذا كان لديك محول SX350 و SG350X و SX550X، فعليك التغيير إلى الوضع المتقدم عن طريق إختيار خيارات متقدمة من القائمة المنسدلة لوضع العرض في الزاوية العليا اليمنى من الصفحة.

الخطوة 2. أختر قائمة تحكم في الوصول (ACL) من القائمة المنسدلة اسم قائمة التحكم في الوصول (ACL) ثم انقر فوق انتقال.

ملاحظة: سيتم عرض وحدات ACE التي تم تكوينها بالفعل لقائمة التحكم في الوصول (ACL) في الجدول.

الخطوة 3. انقر فوق الزر إضافة لإضافة قاعدة جديدة إلى قائمة التحكم في الوصول (ACL).

ملاحظة: يعرض حقل اسم قائمة التحكم في الوصول اسم قائمة التحكم في الوصول (ACL).

الخطوة 4. أدخل قيمة الأولوية ل ACE في حقل الأولوية. تتم معالجة إدخالات التحكم في الوصول (ACE) ذات قيمة الأولوية الأعلى أولا. القيمة 1 هي أعلى أولوية. ويبلغ مداه من 1 إلى 2147483647.

ملاحظة: في هذا المثال، يتم إستخدام 3.

الخطوة 5. انقر زر الخيار الذي يتوافق مع الإجراء المرغوب الذي يتم إتخاذه عندما يتوافق إطار مع المعايير المطلوبة من ACE.

ملاحظة: في هذا المثال، يتم إختيار الإذن.

  • السماح — يقوم المحول بإعادة توجيه الحزم التي تفي بالمعايير المطلوبة من ACE.
  • رفض — يقوم المحول بإسقاط الحزم التي تطابق المعايير المطلوبة من ACE.

إيقاف التشغيل — يقوم المحول بإسقاط الحزم التي لا تفي بالمعايير المطلوبة من ACE وتعطيل المنفذ حيث تم تلقي الحزم. يمكن إعادة تنشيط المنافذ المعطلة على صفحة إعدادات المنفذ.

الخطوة 6. (إختياري) حدد خانة الاختيار enable logging لتمكين تدفقات قائمة التحكم في الوصول (ACL) للتسجيل التي تطابق قاعدة قائمة التحكم في الوصول.

الخطوة 7. (إختياري) حدد خانة الاختيار تمكين النطاق الزمني للسماح بتكوين النطاق الزمني إلى ACE. يتم إستخدام نطاقات الوقت لتحديد مقدار الوقت الذي يتم فيه تطبيق ACE. وإذا ترك هذا معطلا، يعمل ACE في أي وقت.

الخطوة 8. (إختياري) من القائمة المنسدلة لاسم النطاق الزمني، أختر نطاق زمني لتطبيقه على ACE.

ملاحظة: يمكنك نقر تحرير للتصفح وإنشاء نطاق زمني في صفحة النطاق الزمني.

الخطوة 9. أختر نوع بروتوكول في منطقة البروتوكول. سيتم إنشاء ACE استنادا إلى بروتوكول أو معرف بروتوكول محدد.

الخيارات هي:

  • أي (IP) — سيقوم هذا الخيار بتكوين ACE لقبول جميع بروتوكولات IP.
  • حدد من القائمة — سيتيح لك هذا الخيار إختيار بروتوكول من قائمة منسدلة. إذا كنت تفضل هذا الخيار، فقم بالتخطي إلى الخطوة 10.
  • معرف البروتوكول الذي يجب مطابقته — سيسمح لك هذا الخيار بإدخال معرف البروتوكول. إذا كنت تفضل هذا الخيار، فقم بالتخطي إلى الخطوة 11.

ملاحظة: في هذا المثال، يتم إختيار تحديد من القائمة.

الخطوة 10. (إختياري) إذا أخترت تحديد من القائمة في الخطوة 9، أختر بروتوكول من القائمة المنسدلة.

الخيارات هي:

  • يتيح بروتوكول التحكم في الإرسال (TCP) ل TCP لمضيفين إمكانية الاتصال بدفق البيانات وتبادلها. يضمن بروتوكول TCP تسليم الحزم، ويضمن إرسال الحزم واستقبالها بالترتيب الذي تم إرساله إليه.
  • UDP — يرسل بروتوكول مخطط بيانات المستخدم (UDP) الحزم ولكنه لا يضمن تسليمها.
  • ICMP — يطابق الحزم ببروتوكول رسائل التحكم في الإنترنت (ICMP).

ملاحظة: في هذا المثال، يتم إستخدام بروتوكول TCP.

الخطوة 11. (إختياري) إذا أخترت معرف البروتوكول لمطابقته في الخطوة 9، فأدخل معرف البروتوكول في معرف البروتوكول لمطابقة الحقل.

ملاحظة: في هذا المثال، يتم إستخدام 1.

الخطوة 12. انقر فوق زر الاختيار الذي يتوافق مع المعايير المطلوبة من ACE في منطقة عنوان IP المصدر.

الخيارات هي:

  • أي — يتم تطبيق جميع عناوين IPv6 المصدر على ACE.
  • معرف من قبل المستخدم — أدخل عنوان IP وقناع حرف بدل IP المطلوب تطبيقهما على ACE في حقلي قيمة عنوان IP المصدر ومصدر طول بادئة IP.

ملاحظة: في هذا المثال، يتم إختيار معرف من قبل المستخدم. إذا أخترت أي، انتقل إلى الخطوة 15.

الخطوة 13. دخلت المصدر عنوان في المصدر عنوان قيمة مجال.

ملاحظة: في هذا المثال، يتم إستخدام fe80::d0ba:7021:37f7:d68d.

الخطوة 14. أدخل طول بادئة IP المصدر في حقل طول بادئة IP للمصدر.

ملاحظة: في هذا المثال، يتم إستخدام 128.

الخطوة 15. انقر فوق زر الاختيار الذي يتوافق مع المعايير المطلوبة من ACE في منطقة عنوان DestinationIP.

الخيارات هي:

  • أي — تنطبق جميع عناوين IPv6 للوجهة على ACE.
  • معرف من قبل المستخدم — أدخل عنوان IP وقناع حرف بدل IP المطلوب تطبيقهما على ACE في حقلي طول IP للوجهة والوجهة IPPrefix.

ملاحظة: في هذا المثال، يتم إختيار أي. ويعني إختيار هذا الخيار أن ACE الذي سيتم إنشاؤه سيسمح بحركة مرور ACE القادمة من عنوان IPv6 المحدد إلى أي وجهة.

الخطوة 16. (إختياري) انقر فوق زر لاسلكي في منطقة المنفذ المصدر. القيمة الافتراضية هي أي.

  • أي — يطابق كل مصدر ميناء.
  • أحادي من القائمة — يمكنك إختيار منفذ مصدر TCP/UDP واحد تطابق الحزم إليه. يكون هذا الحقل نشطا فقط إذا تم إختيار 800/6-TCP أو 800/17-UDP في القائمة المنسدلة تحديد من القائمة.
  • وحيد حسب الرقم — أنت يستطيع أخترت وحيد TCP/UDP مصدر ميناء إلى أي ربط يكون مطابقا. يكون هذا الحقل نشطا فقط إذا تم إختيار 800/6-TCP أو 800/17-UDP في القائمة المنسدلة تحديد من القائمة.
  • النطاق — يمكنك إختيار نطاق من منافذ مصدر TCP/UDP تطابق الحزمة إليه. هناك ثمانية نطاقات أيسر مختلف أن يستطيع كنت شكلت (يشارك بين مصدر وغاية ميناء). تحتوي كل من بروتوكولات TCP و UDP على ثماني نطاقات منافذ.

خطوة 17. (إختياري) طقطقت زر لاسلكي في الغاية ميناء منطقة. القيمة الافتراضية هي أي.

  • أي — مطابقة لكل منافذ المصدر
  • أحادي من القائمة — يمكنك إختيار منفذ مصدر TCP/UDP واحد تطابق الحزم إليه. يكون هذا الحقل نشطا فقط إذا تم إختيار 800/6-TCP أو 800/17-UDP في القائمة المنسدلة تحديد من القائمة.
  • وحيد حسب الرقم — أنت يستطيع أخترت وحيد TCP/UDP مصدر ميناء إلى أي ربط يكون مطابقا. يكون هذا الحقل نشطا فقط إذا تم إختيار 800/6-TCP أو 800/17-UDP في القائمة المنسدلة تحديد من القائمة.
  • النطاق — يمكنك إختيار نطاق من منافذ مصدر TCP/UDP تطابق الحزمة إليه. هناك ثمانية نطاقات أيسر مختلف أن يستطيع كنت شكلت (يشارك بين مصدر وغاية ميناء). تحتوي كل من بروتوكولات TCP و UDP على ثماني نطاقات منافذ.

الخطوة 18. (إختياري) في منطقة علامات TCP، أختر واحد أو أكثر من علامات TCP التي تريد تصفية الحزم باستخدامها. تتم إعادة توجيه الحزم التي تمت تصفيتها أو إسقاطها. تزيد تصفية الحزم بواسطة علامات TCP من التحكم في الحزم، مما يزيد من أمان الشبكة.

  • ضبط — مطابقة إذا تم تعيين العلامة.
  • غير معين — مطابقة إذا لم يتم تعيين العلامة.
  • لا تهتم — تجاهل علامة TCP.

علامات TCP هي:

  • URG — تستخدم هذه العلامة لتحديد البيانات الواردة كعاجلة.
  • ACK — يتم إستخدام هذه العلامة للإقرار باستلام الحزم بنجاح.
  • PSH — تستخدم هذه العلامة لضمان إعطاء البيانات الأولوية (التي تستحقها) وتتم معالجتها في نهاية الإرسال أو الاستلام.
  • RST — يتم إستخدام هذه العلامة عند وصول مقطع غير مخصص للاتصال الحالي.
  • SYN — يتم إستخدام هذه العلامة لاتصالات TCP.
  • FIN — يتم إستخدام هذه العلامة عند انتهاء الاتصال أو نقل البيانات.

الخطوة 19. (إختياري) انقر فوق نوع خدمة حزمة IP من نوع منطقة الخدمة.

الخيارات هي:

  • أي — يمكن أن يكون أي نوع من الخدمات لازدحام المرور.
  • DSCP للمطابقة — نقطة كود الخدمات المميزة هي آلية لتصنيف حركة مرور الشبكة وإدارتها. يتم إستخدام ست وحدات بت (0-63) لتحديد سلوك كل خطوة الذي تختبره الحزمة في كل عقدة.
  • أسبقية IP للمطابقة — أسبقية IP هي نموذج لنوع الخدمة (ToS) الذي تستخدمه الشبكة للمساعدة في توفير التزامات جودة الخدمة (QoS) المناسبة. يستخدم هذا النموذج وحدات بت الثلاث الأكثر أهمية من نوع الخدمة في رأس IP، كما هو موضح في RFC 791 و RFC 1349. تكون الكلمة الأساسية ذات قيم تفضيل IP هي التالية:

- 0 - للروتين

- 1 - للأولوية

- 2 - فورا

- 3 — للفلاش

- 4 — لتجاوز فلاش

- 5 — للحالات الحرجة

- 6 — للإنترنت

- 7 — للشبكة

ملاحظة: في هذا المثال، يتم إختيار أي.

الخطوة 20. (إختياري) إذا كان بروتوكول IP لقائمة التحكم في الوصول هو ICMP، انقر فوق نوع رسالة ICMP المستخدم لأغراض التصفية. أختر نوع الرسالة بالاسم أو أدخل رقم نوع الرسالة:

  • أي — جميع أنواع الرسائل مقبولة.
  • حدد من القائمة — يمكنك إختيار نوع الرسالة بالاسم.
  • نوع ICMP الذي سيتم مطابقته — عدد نوع الرسالة التي سيتم إستخدامها لأغراض التصفية.

ملاحظة: في هذا المثال، يتم إختيار تحديد من القائمة.

الخطوة 21. (إختياري) إذا تم إختيار تحديد من القائمة في الخطوة 20، أختر رسائل التحكم المراد تصفيتها من الخيارات الممكنة في القائمة المنسدلة:

  • الوجهة التي يتعذر الوصول إليها (1) — يتم إنشاؤها بواسطة المضيف أو بوابته لإعلام العميل بأنه يتعذر الوصول إلى الوجهة لسبب ما (على سبيل المثال: خطأ الشبكة أو المضيف الذي يتعذر الوصول إليه).
  • الحزمة كبيرة جدا (2) — يتجاوز حجم مخطط البيانات وحدة الحد الأقصى للنقل (MTU) المحددة.
  • تجاوز الوقت (3) — يتم إنشاؤها بواسطة بوابة لإعلام المصدر بمخطط بيانات مهمل بسبب وصول حقل مدة البقاء إلى صفر.
  • مشكلة المعلمة (4) — يتم إنشاؤها كاستجابة لأي خطأ لا تغطيه رسالة ICMP أخرى بشكل محدد.
  • طلب الارتداد (128) — هو إختبار اتصال، من المتوقع تلقي بياناته مرة أخرى في رد على الارتداد.
  • رد ECHO (129) — يتم إنشاؤه إستجابة لطلب ECHO.
  • استعلام MLD (130) — يتم إستخدامه للتعرف على عناوين البث المتعدد التي تحتوي على مستمعين على إرتباط مرفق. نوع 130 عشري.
  • تقرير MLD (131) — يتم إنشاؤه عند عنوان IPv6 للبث المتعدد الذي يستمع إليه مرسل الرسالة.
  • MLD v2 تقرير (143) — هو نفس MLD تقرير مع صيغة 2.
  • MLD تم (132) — عندما يترك المضيف مجموعة، فإنه يرسل رسالة تم تنفيذها إلى موجهات البث المتعدد على الشبكة.
  • التماس الموجه (133) — هو رسالة اكتشاف الموجه. يكتشف المضيفون عناوين الموجهات المجاورة ببساطة عندما يستمعون إلى الإعلانات. الافتراضي هو 224.0.0.2 للبث المتعدد، وإلا فإنه 255.255.255.255.
  • الإعلان عن الموجه (134) — يقوم الموجه بترجمة إعلان الموجه بشكل دوري من كل واجهة من واجهات البث المتعدد الخاصة به، ويعلن عناوين IP الخاصة بتلك الواجهة.
  • ND NS (135) — يتم إنشاء الرسائل بواسطة العقد لطلب عنوان طبقة إرتباط عقدة أخرى وكذلك لوظائف مثل اكتشاف العناوين المكررة واكتشاف المجاور الذي يتعذر الوصول إليه.
  • ND NA (136) — يتم إرسال الرسائل إستجابة لرسائل NS. إذا غيرت عقدة عنوان طبقة الارتباط الخاص بها، فيمكنها إرسال غير مرغوب فيه للإعلان عن العنوان الجديد.

الخطوة 22. (إختياري) يمكن أن يكون لرسائل ICMP حقل رمز يشير إلى كيفية معالجة الرسالة. ويتم تمكين ذلك إذا أخترت بروتوكول ICMP في الخطوة 10. انقر فوق أحد الخيارات التالية لتكوين ما إذا كان سيتم التصفية على هذا الرمز:

  • أي — قبول كل الرموز.
  • معرف من قبل المستخدم — يمكنك إدخال رمز ICMP لأغراض التصفية.

ملاحظة: في هذا المثال، يتم إختيار أي.

الخطوة 23. انقر فوق تطبيق ثم انقر فوق إغلاق". يتم إنشاء ACE وإقرانه باسم قائمة التحكم في الوصول (ACL).

الخطوة 24. انقر على حفظ لحفظ الإعدادات في ملف تكوين بدء التشغيل.

يجب أن تكون قد انتهيت الآن من تكوين إدخال تحكم في الوصول (ACE) قائم على بروتوكول IPv6 على المحول لديك.

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا