تكوين قوائم التحكم في الوصول (ACL) إلى FlexConnect على WLC

المقدمة

يصف هذا المستند مختلف أنواع قوائم التحكم في الوصول (ACL) إلى FlexConnect وكيفية تكوينها والتحقق من صحتها على نقطة الوصول (AP).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• وحدة التحكم في شبكة LAN اللاسلكية (WLC) من Cisco التي تشغل الإصدار 8.3 والإصدارات الأحدث
• تكوين FlexConnect على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• ال cisco 8540 sery WLC أن يركض برمجية إطلاق 8.3.133.0.
• 3802 و 3702 نقطة وصول تعمل في وضع FlexConnect.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

أنواع قوائم التحكم في الوصول (ACL)

1. قائمة التحكم في الوصول (ACL) لشبكة VLAN

VLAN ACL هي قائمة التحكم في الوصول (ACL) الأكثر إستخداما وهي تتيح لك التحكم في حركة مرور العميل التي يتم إرسالها إلى شبكة VLAN وإليها.

يمكن تكوين قائمة التحكم في الوصول (ACL) وفقا لمجموعة FlexConnect التي تستخدم قسم تخطيط AAA VLAN-ACL في مجموعات Wireless-FlexConnect > تخطيط قائمة التحكم في الوصول > تخطيط AAA VLAN-ACL كما هو موضح في الصورة.

كما يمكن تكوينها وفقا لمستوى نقطة الوصول، ثم انتقل إلى لاسلكي > كل نقاط الوصول > اسم نقطة الوصول > علامة التبويب FlexConnect وانقر فوق قسم تعيينات شبكات VLAN. هنا، تحتاج إلى جعل نقطة الوصول في تكوين شبكة VLAN محددة أولا، وبعد ذلك يمكنك تحديد تخطيط قائمة التحكم في الوصول (ACL) على مستوى AP كما هو موضح في الصورة.

أتجاهات قائمة التحكم في الوصول (ACL)

يمكنك أيضا تحديد الإتجاه الذي يتم فيه تطبيق قائمة التحكم في الوصول (ACL):

• مدخل (مدخل يعني نحو الزبون اللاسلكي)
• مخرج (باتجاه DS أو LAN)،
• سواء أكان كلاهما أم لا.

لذلك، إذا كنت ترغب في حظر حركة المرور الموجهة إلى العميل اللاسلكي عندئذ يمكنك إستخدام إتجاه المدخل وإذا كنت ترغب في حظر حركة المرور المصدرية من العميل اللاسلكي، يمكنك إستخدام إتجاه الخروج.

يتم إستخدام الخيار بلا عندما تريد دفع قائمة تحكم في الوصول (ACL) منفصلة باستخدام تجاوز المصادقة والتفويض والمحاسبة (AAA). في هذه الحالة، يتم تطبيق قائمة التحكم في الوصول (ACL) التي يتم إرسالها بواسطة خادم RADIUS بشكل ديناميكي على العميل.

ملاحظة: يلزم تكوين قائمة التحكم في الوصول (ACL) بموجب قائمة التحكم في الوصول (ACL) لنظام FlexConnect مسبقا، وإلا فلن يتم تطبيقها.

اعتبارات تعيين قائمة التحكم في الوصول (ACL)

عند إستخدام قوائم التحكم في الوصول إلى شبكة VLAN، من المهم أيضا فهم هذه الاعتبارات فيما يتعلق بتعيينات شبكات VLAN على نقاط الوصول في الوضع FlexConnect:

• إذا تم تكوين شبكة VLAN باستخدام مجموعة FlexConnect، فسيتم تطبيق قائمة التحكم في الوصول (ACL) المطابقة التي تم تكوينها على مجموعة FlexConnect.
• إذا تم تكوين شبكة VLAN على كل من مجموعة FlexConnect وأيضا على نقطة الوصول (كتكوين محدد لنقطة الوصول)، فعندئذ تكون الأولوية لتكوين قائمة التحكم في الوصول لنقطة الوصول (AP).
• إذا تم تكوين قائمة التحكم في الوصول (ACL) الخاصة بنقطة الوصول على لا شيء، فلا يتم تطبيق أي قائمة تحكم في الوصول (ACL).
• إذا لم تكن شبكة VLAN التي تم إرجاعها من المصادقة والتفويض والمحاسبة (AAA) موجودة على نقطة الوصول، فإن العميل يرجع إلى شبكة VLAN الافتراضية التي تم تكوينها لشبكة LAN اللاسلكية (WLAN) وأي قائمة تحكم في الوصول (ACL) المعينة إلى شبكة VLAN الافتراضية تلك تكون لها الأولوية.

التحقق من تطبيق قائمة التحكم في الوصول (ACL) على نقطة الوصول

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

1. نقاط الوصول من الموجة 2

على نقطة وصول من السلسلة Wave 2، يمكنك التحقق مما إذا كانت قائمة التحكم في الوصول (ACL) يتم دفعها بالفعل إلى نقطة الوصول باستخدام الأمر show flexConnect vlan-acl. هنا، يمكنك أيضا رؤية عدد الحزم التي تم تمريرها وإسقاطها لكل قائمة تحكم في الوصول (ACL).

AP-3802I#show flexconnect vlan-acl 
Flexconnect VLAN-ACL mapping-- ingress vlan     -----Listing ACL's in ingress direction
ACL enabled on ingress vlan
 
vlan_id: 10
ACL rules: 
0: deny true and dst 10.1.1.0 mask 255.255.255.0, 
1: deny true and dst 10.1.10.1 mask 255.255.255.255, 
2: allow true, 
the number of passed packets: 4
the number of dropped packets: 0
 
Flexconnect VLAN-ACL mapping-- egress vlan      -----Listing ACL's in egress direction
ACL enabled on egress vlan
 
vlan_id: 21
ACL rules: 
0: allow true and dst 10.106.34.13 mask 255.255.255.255, 
1: allow true and src 10.106.34.13 mask 255.255.255.255, 
2: deny true, 
the number of passed packets: 1
the number of dropped packets: 4

  

2. نقاط الوصول من ®Cisco IOS

في مستوى نقطة الوصول، يمكنك التحقق من صحة ما إذا تم دفع تكوين قائمة التحكم في الوصول إلى نقطة الوصول بطريقتين:

• أستخدم الأمر show access-lists الذي يظهر ما إذا تم تكوين جميع قوائم التحكم في الوصول إلى شبكة VLAN على نقطة الوصول (AP):

AP-3702#sh access-lists 
Extended IP access list Policy_ACL
    10 permit ip any host 10.106.34.13
    20 permit ip host 10.106.34.13 any
    30 permit udp any range 0 65535 any eq bootpc
    40 permit udp any eq bootps any range 0 65535
    50 deny ip any any

يمكنك أيضا مراقبة النشاط الذي يحدث على كل قائمة تحكم في الوصول (ACL)، والتحقق من المخرجات التفصيلية لقائمة التحكم في الوصول تلك ومشاهدة عدد مرات الوصول لكل سطر:

AP-3702#sh access-lists Policy_ACL
Extended IP access list Policy_ACL
    10 permit ip any host 10.106.34.13
    20 permit ip host 10.106.34.13 any
    30 permit udp any range 0 65535 any eq bootpc (6 matches)  -------------Shows the hit count
    40 permit udp any eq bootpc any range 0 65535
    50 deny ip any any (78 matches)

• بما أن قائمة التحكم في الوصول الخاصة بالشبكة المحلية الظاهرية (VLAN) يتم تطبيقها على واجهة جيجابت، فيمكنك التحقق مما إذا تم تطبيق قائمة التحكم في الوصول (ACL) بشكل صحيح. تحقق من إخراج الواجهة الفرعية كما هو موضح هنا:

AP-3702#sh run interface GigabitEthernet0.10
Building configuration...
 
Current configuration : 219 bytes
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 ip access-group localswitch_acl in --------Specifies that localswitch_acl has been applied in ingress direction
 ip access-group localswitch_acl out -------Specifies that localswitch_acl has been applied in egress direction
 bridge-group 6
 bridge-group 6 spanning-disabled
 no bridge-group 6 source-learning

2. قائمة التحكم في الوصول (ACL) إلى WebAuth

يتم إستخدام قائمة التحكم في الوصول (ACL) للويب في حالة معرف مجموعة خدمة ويب/كلمة مرور (SSID) تم تمكينه للتحويل المحلي flexConnect. ويتم إستخدام هذا الخيار كقائمة تحكم في الوصول (ACL) للمصادقة المسبقة ويسمح لحركة مرور العميل إلى الخادم المعاد توجيهه. بمجرد اكتمال عملية إعادة التوجيه ووضع العميل في حالة RUN، تتوقف قائمة التحكم في الوصول (ACL) لتدخلها حيز التنفيذ.

يمكن تطبيق قائمة التحكم في الوصول (ACL) للويب إما على مستوى الشبكة المحلية اللاسلكية (WLAN) أو مستوى نقطة الوصول (AP) أو مستوى مجموعة FlexConnect. تحتوي قائمة التحكم في الوصول (ACL) الخاصة بنقطة الوصول على أعلى أولوية، في حين أن قائمة التحكم في الوصول إلى الشبكة المحلية اللاسلكية (WLAN) تحتوي على أقل أولوية. إذا تم تطبيق الثلاثة، فستكون الأولوية لنقطة الوصول الخاصة ثم تليها قائمة تحكم في الوصول (ACL) مرنة ثم قائمة التحكم في الوصول (ACL) الخاصة بالشبكة المحلية اللاسلكية (WLAN).

يمكن أن يكون هناك 16 قائمة تحكم في الوصول (ACL) لمصادقة الويب تم تكوينها على نقطة وصول (AP) كحد أقصى.

يمكن تطبيقه على مستوى مجموعة FlexConnect، انتقل إلى لاسلكي > مجموعات FlexConnect > حدد المجموعة التي تريد تكوينها > تخطيط قائمة التحكم في الوصول > تخطيط قائمة التحكم في الوصول (WLAN) > تخطيط قائمة التحكم في الوصول (ACL) لمصادقة الويب كما هو موضح في الصورة.

يمكن تطبيق قائمة التحكم في الوصول (ACL) على مستوى نقطة الوصول، انتقل إلى لاسلكي >جميع نقاط الوصول >اسم نقطة الوصول >علامة التبويب FlexConnect > قوائم التحكم في الوصول (ACL) الخارجية لمصادقة الويب > قائمة التحكم في الوصول للشبكة المحلية اللاسلكية (WLAN) كما هو موضح في الصورة.

يمكن تطبيق قائمة التحكم في الوصول (ACL) على مستوى الشبكة المحلية اللاسلكية (WLAN)، انتقل إلى شبكة WLAN > WLAN_ID > الطبقة 3 > WebAuth FlexACL كما هو موضح في الصورة.

على نقطة الوصول Cisco IOS® AP، يمكنك التحقق من تطبيق قائمة التحكم في الوصول (ACL) على العميل. تحقق من إخراج عرض وحدات التحكم dot11radio 0 client (أو 1 إذا كان العميل يتصل بالإذاعة A) كما هو موضح هنا:

AP-3702#show controller dot11radio0 client
---Clients 0  AID VLAN Status:S/I/B/A Age TxQ-R(A) Mode Enc Key  Rate  Mask Tx   Rx             BVI   Split-ACL Client-ACL WebAuth-ACL L2-ACL
e850.8b64.4f45    1    4 30 40064 000 0FE 299  0-0 (0) 13B0 200 0-10 1EFFFFFF00000000000  020F 030 - - - webauth_acl       -     --------Specifies the name of the ACL that was applied

3. قائمة التحكم في الوصول (ACL) لسياسة الويب

يتم إستخدام قائمة التحكم في الوصول (ACL) الخاصة ب WebPolicy لإعادة توجيه الويب الشرطي وإعادة توجيه صفحة البداية وسيناريوهات WebAuth المركزية.

هناك وضعان للتكوين المتاح لشبكات WebPolicy WLAN باستخدام قوائم التحكم في الوصول (ACL) المرنة:

1. مجموعة FlexConnect

تتلقى جميع نقاط الوصول في مجموعة FlexConnect قائمة التحكم في الوصول (ACL) التي تم تكوينها. يمكن تكوين هذا بينما تقوم بالتنقل إلى مجموعات Wireless-FlexConnect > تحديد المجموعة التي تريد تكوينها > تخطيط قائمة التحكم في الوصول > السياسات، وإضافة اسم قائمة التحكم في الوصول (ACL) الخاصة بالسياسة كما هو موضح في الصورة: 

  2. خاص بنقطة الوصول

تتلقى نقطة الوصول التي تم إجراء التكوين لها قائمة التحكم في الوصول (ACL)، ولا تتأثر أي نقاط وصول أخرى. يمكن تكوين هذا بينما تنتقل إلى لاسلكي > كل نقاط الوصول > اسم نقطة الوصول >

علامة التبويب FlexConnect > قوائم التحكم في الوصول (ACL) الخارجية لمصادقة الويب > السياسات كما هو موضح في الصورة.

بعد مصادقة L2 ناجحة، عندما يرسل خادم RADIUS اسم قائمة التحكم في الوصول في زوج AV لقائمة التحكم في الوصول لإعادة التوجيه، يتم تطبيق ذلك مباشرة على العميل على نقطة الوصول. عندما ينتقل العميل إلى حالة التشغيل، يتم تحويل حركة مرور العميل محليا وتتوقف نقطة الوصول عن تطبيق قائمة التحكم في الوصول (ACL).

يمكن أن يكون هناك حد أقصى أو 32 قائمة تحكم في الوصول (ACL) ل WebPolicy تم تكوينها على نقطة وصول (AP) محددة و 16 مجموعة FlexConnect محددة.

4. قائمة التحكم في الوصول (ACL) للنفق المنقسم

يتم إستخدام قوائم التحكم في الوصول الخاصة بتقسيم الاتصال النفقي مع SSID المحولة مركزيا عندما يلزم إرسال بعض حركة مرور العميل محليا. كما تعد وظيفة تقسيم الاتصال النفقي ميزة إضافية لإعداد نقطة الوصول Office Extend (OEAP) حيث يمكن للعملاء على SSID للشركة التحدث مع الأجهزة الموجودة على شبكة محلية (الطابعات أو الأجهزة السلكية الموجودة على منفذ شبكة LAN البعيد أو الأجهزة اللاسلكية الموجودة على SSID شخصي) مباشرة بمجرد ذكرها كجزء من قائمة التحكم في الوصول إلى النفق المقسم.

يمكن تكوين قوائم التحكم في الوصول الخاصة بتقسيم الاتصال النفقي وفقا لمستوى مجموعة FlexConnect، انتقل إلى مجموعات Wireless-FlexConnect > تحديد المجموعة التي تريد تكوينها > تخطيط قائمة التحكم في الوصول (ACL) > تخطيط قائمة التحكم في الوصول (WLAN-ACL) > تخطيط قائمة التحكم في الوصول (ACL) للتقسيم المحلي كما هو موضح في الصورة.

كما يمكن تكوينها في مستوى نقطة الوصول (AP)، ثم انتقل إلى لاسلكي > جميع نقاط الوصول > اسم نقطة الوصول > علامة التبويب FlexConnect > قوائم التحكم في الوصول (ACL) المقسمة محليا وأضف اسم قائمة التحكم في الوصول (ACL) ل FlexConnect كما هو موضح في الصورة.

لا يمكن لقوائم التحكم في الوصول (ACL) الخاصة بتقسيم الاتصال النفقي إنشاء جسر محلي لحركة مرور البث/البث المتعدد. يتم تبديل حركة مرور البث/البث المتعدد مركزيا حتى إذا تطابقت مع قائمة التحكم في الوصول (ACL) ل FlexConnect.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.