تكوين دمج الوصول الآمن (SSE) واستكشاف أخطائه وإصلاحها على Catalyst SD-WAN

خيارات التنزيل

  • PDF     (1.4 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.3 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١١ أغسطس ٢٠٢٥
معرّف المستند:224207

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند كيفية تكوين تكامل SSE النشط على Catalyst SD-WAN وأدلة أستكشاف الأخطاء وإصلاحها.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • شبكة منطقة واسعة معرفة بالبرامج من Cisco (SD-WAN)
    • مجموعات التكوين
    • مجموعات السياسات

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • C8000V الإصدار 17.15.02
    •  vManage الإصدار 20.15.02

    • حساب الوصول الآمن من Cisco

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    Cisco Secure Access 

    Cisco Secure Access هو حل لحافة خدمة الأمان (SSE) القائم على السحابة يقوم بتجميع خدمات أمان الشبكة المتعددة، لتقديمها من السحابة لدعم قوة عمل هجينة. يستغل Cisco SD-WAN APIs لاسترداد معلومات السياسة من Cisco Secure Access ويوزع هذه المعلومات على أجهزة Cisco IOS XE SD-WAN. يتيح هذا الدمج للمستخدمين إمكانية الوصول المباشر إلى الإنترنت (DIA) بسلاسة تامة وشفافية تامة وأمان تام، مما يتيح لهم إمكانية الاتصال من أي جهاز، في أي مكان، وبشكل آمن.

    تسمح Cisco SSE لأجهزة SD-WAN بإنشاء إتصالات مع موفري SSE باستخدام أنفاق IPSec. مخصص هذا المستند لمستخدمي Cisco Secure Access.


    التكوينات الأولية 

    • تمكين بحث المجال للجهاز: انتقل إلى مجموعات التكوين > ملف تعريف النظام > عمومي وتمكين البحث عن المجال.

    ملاحظة: بشكل افتراضي، يتم تعطيل البحث عن المجال.

    • تكوين DNS: يمكن للموجه حل DNS والوصول إلى الإنترنت على VPN 0.
    • تكوين NAT DIA: يلزم وجود تكوين DIA على الموجه الذي يتم إنشاء نفق SSE به.

    إنشاء واجهات الاسترجاع

    إذا تم توصيل كلا النفقين في تكوين نشط/نشط إلى مركز البيانات الوجهة نفسها وباستخدام واجهة WAN نفسها كالمصدر، فيجب إنشاء عنواني IP للإعادة إلى المسار السابق.

    ملاحظة: عندما يتم تكوين نفقين باستخدام نفس المصدر والوجهة، يشكل IKEv2 زوج هوية يتكون من معرف محلي ومعرف بعيد. بشكل افتراضي، يكون المعرف المحلي هو عنوان IP الخاص بواجهة مصدر النفق. يجب أن يكون زوج الهوية هذا فريدا ولا يمكن مشاركته بين نفقين. لمنع الارتباك داخل حالة IKEv2، يستخدم كل نفق واجهة إسترجاع مختلفة كمصدر لها. على الرغم من ترجمة حزم IKE (NATed) على واجهة DIA، يظل المعرف المحلي دون تغيير ويحافظ على عنوان IP للاسترجاع الأصلي.

    1. انتقل إلى التكوين>مجموعات التكوين>اسم مجموعة التكوين>ملف تعريف النقل والإدارة>انقر على التحرير.

    2. انقر على علامة plus (+) على الجانب الأيمن من ملف تعريف VPN للنقل (ملف التعريف الرئيسي). يؤدي هذا إلى فتح قائمة ميزات إضافة الموجودة في أقصى اليمين.

    3. انقر فوق واجهة إيثرنت. يضيف واجهة إنترنت جديدة تحت Transport VPN.

    anavazar_0-1753809836268

    4. قم بإنشاء واجهتي الاسترجاع باستخدام عناوين IPv4 ل RFC1918، كمثال Loopback0 في الصورة.

    anavazar_0-1754582987124

    anavazar_1-1753810045082

    1. بعد تطبيق تكوين الاسترجاع، قم بالمتابعة لنشر تغيير التكوين على الجهاز. لاحظ أن حالة التوفير تتغير من 1/1إلى 0/1.

    anavazar_2-1753810315759

    تكوين مفاتيح API جديدة على بوابة SSE

    1 - الوصول إلى بوابة SSE https://login.sse.cisco.com/
    2. انتقل إلى Admin > مفاتيح API

    anavazar_0-1753806373582

    3. انقر فوق Add + وإنشاء مفتاح واجهة برمجة تطبيقات جديد

    anavazar_2-1753806630561

    4. تأكد من توفر وصول للقراءة/الكتابة إلى مجموعة نفق الشبكة 

    anavazar_3-1753806763145

    5. انقر فوق إنشاء المفتاح

    6. انسخ مفتاح API وسر المفتاح في مفكرة وحدد قبول وإغلاق

    anavazar_4-1753807315131

    7. تحت عنوان URL https://dashboard.sse.cisco.com/#some-numbers#/admin/apikeys، يكون#some-number# هو معرف مؤسستك. انسخ هذه المعلومات إلى مفكرتك أيضا.

    anavazar_5-1753807628570

    تكوين SSE على مدير Catalyst

    إعداد بيانات اعتماد السحابة

    1. انتقل إلى الإدارة>الإعدادات>بيانات اعتماد السحابة>بيانات اعتماد موفر السحابة، وتمكين Cisco Secure Access
    وادخل التفاصيل.

    anavazar_0-1753808615232

    2. إختياري: يمكنك تمكين مشاركة السياق للوظائف المحسنة. لمزيد من المعلومات، يرجى الرجوع إلى دليل مستخدم Cisco SSE حول مشاركة السياق.

    تكوين أنفاق SSE باستخدام مجموعة السياسات

    في برنامج SD-WAN Manager، انتقل إلى التكوين>مجموعات السياسات>عبارة الإنترنت الآمنة/حافة الخدمة الآمنة وانقر فوق إضافة حافة الخدمة الآمنة (SSE).

    anavazar_0-1753812921858

    ملاحظة: إذا لم يتم تكوين بيانات اعتماد مجموعة النظراء بعد، فيمكنك إضافتها في هذه الخطوة. إذا كانت بيانات الاعتماد قد تم تكوينها بالفعل، فسيتم تحميلها تلقائيا.

    anavazar_1-1753813480175

    1. قم بتكوين متتبع SSE. في هذا المثال، يتم تعيين عنوان URL الخاص بالتتبع على http://www.cisco.com، ويتم تعيين عنوان IP المصدر من إحدى واجهات الاسترجاع.

    anavazar_0-1753815088665

    anavazar_1-1753815697301

    إختياريا، بما أن مشاركة السياق تم تمكينها عندما تم تكوين بيانات اعتماد السحابة، يتم تحديد VPN كخيار في هذا المثال.

    2. انقر فوق إضافة نفق

    anavazar_2-1753815859781

    3. في هذا المثال، يتم إستخدام واجهة Loopback0 كمصدر النفق، بينما تعمل واجهة GigabitEthernet1 كواجهة WAN لتوجيه حركة المرور.

    anavazar_4-1753815924991

    منذ أن تم تكوين المتعقب في هذا المثال، يتم تغيير الإعداد إلى عام، ويتم تحديد Cisco-tracker الذي تم تكوينه مسبقا.

    4. بالنسبة للنفق الثاني، كرر الخطوات نفسها باستخدام نفس المعلمات، ولكن قم بتغيير اسم الواجهة من IPsec1 إلى IPsec2 واسم واجهة المصدر إلى Loopback1.

    anavazar_5-1753816083804

    تم تكوين كلا النفقين لتكون نشطة في نفس الوقت، بدون نسخ إحتياطي.

    5. انقر فوق إضافة زوج واجهة.

    6. انقر فوق إضافة. تم تعيين الواجهة النشطة على IPsec1، ولم يتم تحديد واجهة نسخ إحتياطي.

    anavazar_5-1753814716602

    7. يتم تكرار نفس العملية في النفق الثاني، IPSec2.

    anavazar_6-1753814787240

    8. احفظ التكوين. 

    تكوين مجموعة النهج

    1. يمكنك فقط تحديد النهج الذي تم إنشاؤه مسبقا ضمن مجموعة النهج وحفظه.

    anavazar_7-1753816198800

    2. بمجرد إقران الجهاز أو الأجهزة بمجموعة النهج، قم بالمتابعة لنشر مجموعة النهج.

    anavazar_8-1753816315910

    تكوين مجموعة النهج لإعادة توجيه حركة المرور إلى SSE

    1. في مدير شبكة SD-WAN، انتقل إلى التكوين > مجموعات السياسات > أولوية التطبيق واتفاقية مستوى الخدمة (SLA).

    • حدد إضافة أولوية التطبيق ونهج SLA
    • حدد اسما للنهج. 

    anavazar_0-1753816520660

    2. بمجرد عرض النهج الجديد، حدد تبديل التخطيط المتقدم.

    anavazar_1-1753816649756

    3. حدد إضافة قائمة بسياسات حركة المرور.

    • قم بتكوين شبكات VPN لإعادة توجيه حركة مرور البيانات إلى نفق SSE.
    • قم بتعيين الإتجاه والإجراء الافتراضي حسب الحاجة وحفظ.

    anavazar_0-1753817203096

    4. حدد + إضافة قاعدة.

    anavazar_3-1753817885016

    5. قم بتكوين معايير حركة المرور المطابقة لإعادة توجيه حركة المرور إلى SSE.
    6. حدد قبول كإجراء أساسي، ثم انقر فوق + إجراء.

    7. ابحث عن الإجراء Secure Internet Gateway / Secure Service Edge وقم بتعيينه إلى Secure Service Edge.

    anavazar_2-1753817750018

    anavazar_1-1753817323710


    8. انقر فوق حفظ التطابق والإجراءات

    anavazar_1-1753818278651

    9. انقر فوق حفظ.

    10. انتقل إلى التكوين > مجموعات السياسات وحدد سياسة أولوية التطبيق التي قمت بإنشائها للتو. حفظ ثم نشر. 

    anavazar_2-1753818367385

    التحقق من الصحة

    المدير

    1. مراقبة > السجلات > سجلات المراجعة والبحث عن "sse".

    anavazar_0-1754337599507

    2. يمكنك التحقق من تمكين شبكة VPN الخاصة بمشاركة السياق بنجاح من خلال التحقق من المدير.

    anavazar_1-1754337662517

    لوحة معلومات الوصول الآمن

    مشاركة السياق
    يمكنك التحقق مما إذا تم تمكين شبكة VPN الخاصة بمشاركة السياق بنجاح من خلال التحقق من لوحة معلومات SSE،    الموارد > معرفات VPN لخدمة SD-WAN

    anavazar_0-1754335606974


    نفق للأعلى

    عندما يكون النفق قيد التشغيل ويكون المتعقب قيد التشغيل مع حركة المرور المتدفقة عبر النفق، يمكنك التحقق من ذلك بالتنقل إلى مراقبة > البحث عن النشاط. على هذه الشاشة، ترى حركة مرور تمر عبر النفق، مثل الطلبات إلى www.cisco.com التي تم إنشاؤها بواسطة المتعقب. تؤكد هذه الرؤية أن المتعقب يعمل ويرصد حركة المرور عبر النفق

    anavazar_1-1754341895467

    أوامر واجهة سطر الأوامر (CLI)

    Hub2-SIG#show sse all
    ***************************************
    SSE Instance Cisco-Secure-Access
    ***************************************
    Tunnel name : Tunnel16000001
    Site id: 2
    Tunnel id: 655184839
    SSE tunnel name: C8K-D4CE7174-5261-7E6F-91EA-4926BCF4C2DD
    HA role: Active
    Local state: Up
    Tracker state: Up
    Destination Data Center: 44.217.195.188
    Tunnel type: IPSEC
    Provider name: Cisco Secure Access
    Context sharing: CONTEXT_SHARING_SRC_VPN



    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    11-Aug-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • أماندا نافا زاراتي
      الشركة الرائدة في مجال هندسة توصيل العملاء

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات