المقدمة
يوضح هذا المستند كيفية تكوين قائمة الوصول (ACL) على جهاز Cisco IOS XE لتصفية حركة مرور البيانات الموجهة لخدمات الويب.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تمت كتابة هذا المستند لأجهزة المؤسسات التي تشغل برنامج Cisco IOS® XE.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الخلفية
عندما يكون HTTP Web Services مطلوبا لتمكين الوصول إلى WebUI لإدارة جهاز IOS XE أو لوصول مستخدم ويب/ضيف، يمكن تنفيذ ميزات تصفية حركة مرور البيانات لضمان أن عناوين IP الضرورية فقط هي التي يمكنها الوصول إلى WebUI ويمكن للمستخدمين الضيوف الاستمرار في الانضمام إلى الشبكة.
التكوين
تكوين فئة الوصول إلى خدمة HTTP
يمكن تنفيذ أبسط طريقة لتعريف الوصول من خلال دعم فئة الوصول إلى IP على خادم ويب HTTP. في مثال التكوين هذا، يتم السماح بالشبكة الفرعية 192.168.10.0/24 ل IPv4، والشبكة الفرعية IPv6 fd00::/64، ويتم رفض كل شيء آخر. هناك رفض ضمني أي في نهاية قائمة الوصول ولكن يمكنك أيضا إضافة رفض صريح أي إذا كنت ترغب. في حالة وحدة التحكم في الشبكة المحلية اللاسلكية C9800 تأكد من مراعاة وصول HTTP/HTTPS إلى واجهة الإدارة اللاسلكية (WMI) ومنفذ الإدارة/الخدمة خارج النطاق.
مثال IPv4
الخطوة 1. تكوين قائمة تحكم في الوصول (ACL) قياسية وتضمين الأجهزة/الشبكات الفرعية الموثوقة المسموح لها بالوصول إلى جهاز Cisco IOS XE عبر HTTP/HTTPS
ip access-list standard restrict_ipv4_webui
permit 192.168.10.0 0.0.0.255
ملاحظة: يجب أن تتضمن قائمة التحكم في الوصول هذه الشبكات الفرعية الموثوق بها فقط لتمكين مسؤول الويب من الوصول إلى جهاز IOS XE. بمعنى أن أي شبكات فرعية للضيف يجب ألا يتم تضمينها في قائمة التحكم في الوصول (ACL) هذه. لا يؤدي تضمين الشبكات الفرعية للضيف إلى كسر مصادقة الويب أو وصول الضيف أو إعادة توجيه الويب.
الخطوة 2. قم بتخصيص قائمة التحكم في الوصول (ACL) القياسية لفئة الوصول إلى خدمة ويب HTTP.
ip http access-class ipv4 restrict_ipv4_webui
مثال IPv6
الخطوة 1. تكوين قائمة تحكم في الوصول (ACL) إلى IPv6 تتضمن الأجهزة/الشبكات الفرعية الموثوقة المسموح لها بالوصول إلى جهاز Cisco IOS XE عبر HTTP/HTTPS
ipv6 access-list restrict_ipv6_webui
permit fd00::/64 any
الخطوة 2. قم بتعيين قائمة التحكم في الوصول (ACL) القياسية لميزة خدمة ويب HTTP.
ip http access-class ipv6 restrict_ipv6_webui
التحقق من الصحة
التحقق من إدخالات قوائم التحكم في الوصول (ACL) إلى IPv4
show ip access-list restrict_ipv4_webui
Standard IP access list restrict_ipv4_webui
10 permit 192.168.10.0 0.0.0.255
التحقق من إدخالات قوائم التحكم في الوصول (ACL) إلى IPv6
show ipv6 access restrict_ipv4_webui
IPv6 access list restrict_ipv6_webui
permit ipv6 FD00::/64 any sequence 10
س: بعد تطبيق قائمة الوصول، سأحصل على إستجابة رقم 403 بدلا من عدم الرد. لماذا؟
هذا سلوك متوقع. تم تصميم قائمة الوصول للحد من الأشخاص المسموح لهم بالوصول إلى عملية http/https. تشير إستجابة 403 إلى أنه يتم منعك من الوصول إلى هذا المورد وهي الاستجابة المناسبة في هذا السيناريو نظرا لتطبيق قائمة الوصول على عملية HTTP/HTTPS مقارنة بقائمة الوصول على مستوى الواجهة. إذا تم تطبيق قائمة الوصول على واجهة بدلا من عملية HTTP/HTTPS، فلن تكون أي إستجابة هي الطريقة المناسبة