فهم عدادات قائمة التحكم في الوصول للتشفير داخل أنفاق VPN المستندة إلى السياسة

المقدمة

يصف هذا المستند سلوك عدادات قائمة التحكم في الوصول للتشفير (ACL) داخل أنفاق VPN المستندة إلى السياسة.

المتطلبات الأساسية

المتطلبات

توصي Cisco بمعرفة الموضوعات التالية:

• موقع مستند إلى السياسة إلى موقع VPN على النظام الأساسي Cisco IOS® /Cisco IOS® XE
• قوائم التحكم في الوصول على النظام الأساسي Cisco IOS/Cisco IOS XE

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco C8kv، الإصدار 17.12.04(MD)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر. 

المخطط

المخطط

السيناريوهات

من خلال فحص سيناريوهين متميزين، نهدف إلى فهم كيفية تأثير عدد مرات وصول قائمة التحكم في الوصول (ACL) عندما يتم بدء حركة المرور من نظائر مختلفة وعندما يتم إعادة ضبط الأنفاق.

1. السيناريو الأول: بدأت حركة المرور من الموجه1 بينما يكون نفق VPN غير نشط

   في هذا السيناريو، يتم تحليل التغييرات في عدد مرات الوصول إلى قائمة التحكم في الوصول (ACL) عندما يكون نفق VPN معطلا في البداية، ويتم بدء حركة المرور من Router1. يساعد هذا التحليل في فهم الإعداد الأولي وكيفية تفاعل عدادات قائمة التحكم في الوصول (ACL) للتشفير مع محاولة تدفق حركة المرور الأولى.
   
   

2. السيناريو الثاني: بدأت حركة المرور من الموجه2 أثناء وجود نفق VPN نشط
   

   في هذا السيناريو، تم إنشاء نفق VPN بالفعل وتم بدء حركة مرور البيانات من الموجه 2. يوفر هذا السيناريو رؤى حول كيفية تصرف عدادات قائمة التحكم في الوصول (ACL) عندما يكون النفق نشطا ويتم تقديم حركة مرور البيانات من نظير مختلف.

من خلال مقارنة هذه السيناريوهات، يمكننا الحصول على فهم شامل لديناميات قوائم التحكم في الوصول (ACL) في أنفاق الشبكات الخاصة الظاهرية (VPN) في ظل ظروف مختلفة.

التكوين

قمنا بتكوين نفق VPN مستند إلى السياسة ويتصل من موقع إلى موقع بين موجهات Cisco C8KV، ومصنفين كنظراء. يسمى الموجه 1 "csr1" ويطلق على الموجه 2 اسم "csr2".

تكوين التشفير على الموجه1

csr1#sh ip int br
Interface            IP-Address       OK?   Method   Status  Protocol
GigabitEthernet1     10.106.62.62     YES   NVRAM    up      up
GigabitEthernet2     10.106.67.27     YES   NVRAM    up      up

csr1#sh run | sec crypto map
crypto map nigarapa_map 100 ipsec-isakmp
   set peer 10.106.44.144
   set transform-set new_ts
   set ikev2-profile new_profile
   match address new_acl

csr1#sh ip access-lists new_acl
Extended IP access list new_acl
   10 permit ip 10.106.67.0 0.0.0.255 10.106.45.0 0.0.0.255 log
   20 permit ip 10.106.67.0 0.0.0.255 10.106.46.0 0.0.0.255
   30 permit ip 10.106.67.0 0.0.0.255 10.106.63.0 0.0.0.255 log

csr1#sh run int GigabitEthernet1
Building configuration...

Current configuration : 162 bytes
!
interface GigabitEthernet1
ip address 10.106.62.62 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
crypto map nigarapa_map
end

تكوين التشفير على الموجه2

csr2#sh ip int br
Interface             IP-Address        OK?     Method       Status     Protocol
GigabitEthernet1      10.106.44.144     YES     NVRAM        up         up
GigabitEthernet2      10.106.45.145     YES     NVRAM        up         up
GigabitEthernet3      10.106.46.146     YES     NVRAM        up         up
GigabitEthernet4      10.106.63.13      YES     NVRAM        up         up

csr2#sh run | sec crypto map
crypto map nigarapa_map 100 ipsec-isakmp
   set peer 10.106.62.62
   set transform-set new_ts
   set ikev2-profile new_profile
   match address new_acl

csr2#sh ip access-lists new_acl
Extended IP access list new_acl
   10 permit ip 10.106.45.0 0.0.0.255 10.106.67.0 0.0.0.255
   20 permit ip 10.106.46.0 0.0.0.255 10.106.67.0 0.0.0.255
   30 permit ip 10.106.63.0 0.0.0.255 10.106.67.0 0.0.0.255

csr2#sh run int GigabitEthernet1
Building configuration...

Current configuration : 163 bytes
!
interface GigabitEthernet1
ip address 10.106.44.144 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
crypto map nigarapa_map
end

التحليل السلوكي لعدادات قائمة التحكم في الوصول للتشفير داخل أنفاق VPN

في البداية، يكون لكلا الجهازين عدد مرات الوصول إلى قائمة التحكم في الوصول (ACL) صفر على قوائم وصول التشفير الخاصة بهما.

تظهر قائمة التحكم في الوصول عدد صفر في قوائم وصول التشفير الخاصة بهم على كلا الجهازين النظيرين.

السيناريو الأول: بدأت حركة المرور من الموجه1 بينما يكون نفق VPN غير نشط

الحالة الأولية:

نفق VPN الذي يتصل بالموجه 1 (IP: 10.106.67.27) والموجه 2 (IP: 10.106.45.145) غير نشط حاليا.

الإجراء المتخذ:

يتم بدء حركة المرور من الموجه 1، بهدف إنشاء اتصال مع الموجه 2.

ملاحظات:

1. سلوك عداد قائمة التحكم في الوصول (ACL):
   أ. عند بدء حركة المرور من الموجه1، هناك زيادة ملحوظة في عداد قائمة التحكم في الوصول (ACL) على الموجه1. تحدث هذه الزيادة مرة واحدة فقط في اللحظة التي يحاول فيها النفق إنشاء.
   ب. تتم ملاحظة الارتفاع في عداد قائمة التحكم في الوصول (ACL) بشكل حصري على الموجه التمهيدي، وهو الموجه 1 في هذا السيناريو. لا يعكس الموجه 2 أي تغييرات في عداد قائمة التحكم في الوصول (ACL) الخاص به في هذه المرحلة.
2. إنشاء النفق:
   أ. بعد الزيادة الأولية المقابلة لبدء حركة المرور، تم بنجاح إنشاء النفق بين الأول والموجه 2.
   ب. بعد إنشاء النفق، تستقر عداد قائمة التحكم في الوصول (ACL) على الموجه 1 ولا يظهر أي زيادات إضافية، مما يشير إلى أنه تم مطابقة قاعدة قائمة التحكم في الوصول (ACL)، وهي تسمح الآن بحركة المرور عبر النفق القائم بشكل ثابت.
3. إعادة بدء النفق:
   يختبر عداد قائمة التحكم في الوصول (ACL) على الموجه 1 زيادة أخرى فقط إذا سقط النفق وكان يتطلب إعادة الإنشاء. وهذا يشير إلى أنه يتم تشغيل قاعدة قائمة التحكم في الوصول (ACL) من خلال بدء حركة المرور الأولية التي تحاول إنشاء النفق، بدلا من نقل البيانات المستمر بمجرد أن يكون النفق نشطا.

باختصار، يوضح هذا السيناريو أن عداد قائمة التحكم في الوصول (ACL) على الموجه 1 حساس لمحاولات حركة المرور الأولية لإنشاء النفق ولكنه يظل ثابتا بمجرد تشغيل نفق VPN وتشغيله.

سينياريا 1

السيناريو الثاني:حركة المرور التي بدأت من الموجه 2 أثناء وجود نفق VPN نشط

الحالة الأولية:

نفق VPN الذي يتصل بالموجه 1 (IP: 10.106.67.27) والموجه 2 (IP: 10.106.45.145) نشطة وتشغيلية في الوقت الحالي.

الإجراء المتخذ:

1. يتم بدء حركة المرور من الموجه 2 إلى الموجه 1 أثناء تشغيل النفق.
2. وبعد ذلك، يتم مسح النفق عمدا (أو إعادة ضبطه).
3. بعد مسح النفق، يقوم الموجه 2 ببدء حركة مرور البيانات مرة أخرى لإعادة إنشاء الاتصال.
   

ملاحظات:

1. بدء حركة المرور الأولية:
   أ. عند بدء حركة المرور لأول مرة من الموجه 2 أثناء إنشاء النفق بالفعل، لا يوجد تغيير فوري في عداد قائمة التحكم في الوصول (ACL).
   ب. وهذا يشير إلى أن حركة المرور المستمرة داخل نفق تم إنشاؤه بالفعل لا يؤدي إلى زيادة عداد قائمة التحكم في الوصول (ACL).
   
2. مسح النفق وإعادة تشغيله:
   أ. عند مسح النفق، يتم تعطيل الاتصال المحدد بين الأول والموجه 2 بشكل مؤقت. ويتطلب ذلك إعادة تأسيس عملية أي حركة مرور لاحقة.
   ب. عند إعادة بدء حركة المرور من Router2 بعد مسح النفق، توجد زيادة قابلة للملاحظة في عداد قائمة التحكم في الوصول على الموجه2. تشير هذه الزيادة إلى أنه يتم التفاوض مع قواعد قائمة التحكم في الوصول مرة أخرى لتسهيل إنشاء النفق.
   
3. تفاصيل عداد قائمة التحكم في الوصول (ACL):
    تحدث الزيادة في عداد قائمة التحكم في الوصول (ACL) فقط على الجانب الذي يقوم ببدء حركة المرور، وهو في هذه الحالة الموجه 2. يسلط هذا السلوك الضوء على دور قائمة التحكم في الوصول (ACL) في مراقبة عمليات بدء حركة المرور والتحكم فيها على الجانب الأصلي، بينما يظل عداد قائمة التحكم في الوصول للموجه 1 غير متأثر أثناء هذه المرحلة.

باختصار، يوضح هذا السيناريو أن عداد قائمة التحكم في الوصول على الموجه 2 يستجيب لبدء حركة المرور عند إعادة إنشاء نفق VPN. ولا يتزايد العداد مع تدفق حركة المرور العادية داخل نفق نشط ولكنه يتفاعل مع الحاجة إلى إعادة إنشاء النفق، مما يضمن التتبع الدقيق لأحداث بدء النفق.

السيناريو 2

القرار:

يكشف سلوك عدادات قائمة التحكم في الوصول (ACL) للتشفير عن أنهم يسجلون عدد مرات الوصول بشكل حصري أثناء مرحلة بدء نفق VPN.

الزيادة الخاصة بالبادئ: عندما يتم بدء النفق من Router1، تتم ملاحظة الزيادة في عدد مرات الوصول فقط على Router1. وبالمثل، إذا حدث البدء من Router2، يرتفع عدد مرات الوصول فقط على Router2. وهذا يسلط الضوء على دور قائمة التحكم في الوصول (ACL) في مراقبة عملية بدء حركة المرور في المصدر.

الاستقرار بعد التأسيس: بمجرد إنشاء النفق بنجاح، تبقى عدادات قائمة التحكم في الوصول (ACL) على كلا النظرين دون تغيير، مما يشير إلى عدم حدوث مزيد من الأخطاء. ويستمر هذا الاستقرار حتى يتم مسح النفق أو إعادة تعيينه، وتتم محاولة بدء حركة المرور مرة أخرى.
يؤكد هذا السلوك على وظائف قوائم التحكم في الوصول في تعقب المرحلة الأولية لإنشاء النفق والتحكم فيها، مما يضمن عدم تأثير تدفق البيانات اللاحق داخل النفق الذي تم إنشاؤه على أعداد الضحايا.

الفوائد الرئيسية:

سلوك عداد قائمة التحكم في الوصول (ACL): تقوم عدادات قائمة التحكم في الوصول بتسجيل الزيادات بشكل حصري على جانب البادئ أثناء عملية بدء النفق. وهذا يشير إلى أن العدادات مصممة لمراقبة حركة المرور الأولية التي تقوم بتشغيل إنشاء النفق.

بعد إنشاء العدادات الثابتة: بمجرد تنشيط النفق وتكوينه، ستظل عدادات قائمة التحكم في الوصول دون تغيير. وهي لا تعكس أي نشاط آخر ما لم تتم إعادة تعيين النفق ويلزم إعادة تشغيله، مما يؤكد التركيز على أحداث حركة المرور الأولية.

تحديد بدء حركة المرور: تعد أعداد مرات الوصول إلى قائمة التحكم في الوصول (ACL) خاصة بالنظير الذي يقوم بتشغيل النفق. تضمن هذه التحديد التتبع الدقيق للجانب المسؤول عن بدء اتصال VPN، مما يسمح بدقة المراقبة والتحكم.