الهدف من هذا المقال هو توضيح كيفية عمل قائمة التحكم في الوصول القابلة للتنزيل (DACL) على محولات Cisco Catalyst 1300 Switches باستخدام محرك خدمة الهوية (ISE) من Cisco.
قوائم التحكم في الوصول (ACL) الديناميكية هي قوائم التحكم في الوصول (ACL) التي تم تعيينها لمنفذ محول بناء على سياسة أو معايير مثل عضوية مجموعة حساب المستخدم، والوقت من اليوم، وغير ذلك. يمكن أن تكون قوائم تحكم في الوصول (ACL) محلية تم تحديدها بواسطة معرف عامل التصفية أو قوائم التحكم في الوصول (DACL) القابلة للتنزيل.
قوائم التحكم في الوصول (ACL) القابلة للتنزيل هي قوائم تحكم في الوصول (ACL) ديناميكية يتم إنشاؤها وتنزيلها من خادم Cisco ISE. وهم يطبقون بشكل ديناميكي قواعد التحكم في الوصول استنادا إلى هوية المستخدم ونوع الجهاز. تتمتع قائمة التحكم في الوصول الخاصة بالمنفذ (DACL) بميزة السماح لك بامتلاك مستودع مركزي واحد لقوائم التحكم في الوصول (ACL)، وبالتالي لا تحتاج إلى إنشاؤها يدويا على كل محول. عندما يتصل مستخدم بمحول، فإنه يحتاج فقط إلى المصادقة، وسيقوم المحول بتنزيل قوائم التحكم في الوصول (ACL) القابلة للتطبيق من خادم Cisco ISE.
في هذه المقالة، ستناقش حالة الاستعمال الاول بالتفصيل.
قم بتسجيل الدخول إلى المحول Catalyst 1300 switch وانتقل إلى الأمان > قائمة عميل RADIUS.
لمحاسبة RADIUS، حدد خيار التحكم في الوصول المستند إلى المنفذ.
تحت جدول RADIUS، انقر على أيقونة زائد لإضافة خادم Cisco ISE.
أدخل تفاصيل خادم Cisco ISE وانقر فوق تطبيق.
يجب تحديد نوع الاستخدام ك 802.1x.
انتقل إلى التأمين > مصادقة 802. 1X > قائمة خصائص.
انقر فوق خانة الاختيار لتمكين المصادقة المستندة إلى المنفذ.
تحت أسلوب المصادقة، حدد RADIUS وانقر فوق تطبيق.
انتقل إلى الأمان > مصادقة 802.1X>قائمة مصادقة المنفذ. حدد المنفذ الذي يتم توصيل الكمبيوتر المحمول به ثم انقر على رمز تحرير. في هذا المثال، يتم تحديد GE8.
حدد التحكم في المنفذ الإداري على أنه تلقائي وقم بتمكين المصادقة المستندة إلى 802.1x. انقر فوق تطبيق.
يتجاوز تكوين ISE نطاق دعم الأعمال من Cisco. راجع دليل مسؤول ISE للحصول على مزيد من المعلومات.
التكوينات الموضحة في هذه المقالة هي مثال لقائمة التحكم في الوصول (ACL) القابلة للتنزيل للعمل مع المحول Cisco Catalyst 1300 Series Switch.
قم بتسجيل الدخول إلى خادم Cisco ISE الخاص بك وانتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة وأضفت جهاز المحول Catalyst switch.
لإنشاء مجموعات هوية المستخدم، انتقل إلى علامة التبويب مجموعات وأضف مجموعات هوية المستخدم.
انتقل إلى قائمة الإدارة > إدارة الهوية > الهويات لتعريف المستخدمين ولتعيين المستخدمين إلى المجموعات.
انتقل إلى السياسة > عناصر السياسة > قائمة النتائج. تحت التخويل، انقر على قوائم التحكم في الوصول (ACL) القابلة للتنزيل.
انقر فوق أيقونة الإضافة لإنشاء قائمة التحكم في الوصول (ACL) القابلة للتنزيل.
قم بتكوين الاسم والوصف، وحدد إصدار IP، وأدخل إدخالات التحكم في الوصول (ACEs) التي ستشكل قائمة التحكم في الوصول (ACL) القابلة للتنزيل في حقل محتوى قائمة التحكم في الوصول (DACL). انقر فوق حفظ.
يتم دعم قوائم التحكم في الوصول إلى IP فقط، ويجب أن يكون المصدر أي. بالنسبة لقائمة التحكم في الوصول (ACL) على ISE، يتم دعم IPv4 فقط الآن. إذا تم إدخال قائمة التحكم في الوصول مع مصدر آخر، بينما قد تكون الصياغة جيدة بقدر ما يتعلق ISE، فإنها ستفشل عند تطبيقها على المحول.
إنشاء ملفات تعريف التفويض التي سيتم إستخدامها لربط قائمة التحكم في الوصول الخاصة بك (DACL) والنهج الأخرى معا بشكل منطقي داخل مجموعات نهج ISE.
للقيام بذلك، انتقل إلى السياسة > عناصر السياسة > النتائج > التخويل > ملفات تخصيص التخويل وانقر على إضافة.
في صفحة ملف تعريف التخويل، قم بتكوين ما يلي:
انقر فوق حفظ.
لتكوين مجموعات السياسات التي تعد تجميعا منطقيا لنهج المصادقة والتفويض، انقر فوق السياسة > قائمة مجموعات السياسات.
يمكنك عرض ما يلي عند النظر في قائمة بمجموعات النهج:
لإنشاء مجموعة نهج، انقر فوق الزر إضافة.
قم بتحديد اسم مجموعة نهج.
تحت الشروط، انقر فوق الزر إضافة. يؤدي هذا إلى فتح Conditions Studio حيث يمكنك تحديد المكان الذي سيتم إستخدام ملف تعريف المصادقة هذا فيه. في هذا المثال، تم تطبيقه على RADIUS-NAS-IP-Address (المحول) وهو حركة مرور 172.19.1.250 و wired_802.1x.
قم بتكوين البروتوكولات المسموح بها إلى الوصول الافتراضي إلى الشبكة وانقر فوق حفظ.
تحت عرض، انقر على أيقونة السهم لتكوين سياسات المصادقة والتفويض بناء على متطلبات إعداد الشبكة أو يمكنك إختيار الإعدادات الافتراضية. في هذا المثال، انقر فوق نهج التخويل.
انقر على أيقونة الجمع لإضافة نهج.
أدخل اسم القاعدة.
تحت الشروط، انقر على أيقونة زائد وحدد مجموعة الهوية. طقطقة إستعمال.
طبق التوصيف المطلوب وانقر على حفظ.
في الكمبيوتر المحمول العميل، انتقل إلى إتصالات الشبكة > إيثرنت وانقر فوق خصائص.
انقر على علامة التبويب المصادقة وتأكد من تمكين مصادقة 802.1X.
تحت إعدادات إضافية، حدد مصادقة المستخدم كوضع مصادقة. انقر فوق حفظ بيانات الاعتماد ثم موافق.
انقر على الإعدادات وتأكد من أن المربع المجاور للتحقق من هوية الخادم عن طريق التحقق من صحة الشهادة غير محدد. وانقر فوق OK.
تحت الخدمات، قم بتمكين إعدادات التكوين التلقائي السلكية.
بمجرد مصادقة المستخدم، يمكنك التحقق من قائمة التحكم في الوصول (ACL) القابلة للتنزيل.
قم بتسجيل الدخول إلى المحول Catalyst 1300 switch وانتقل إلى التحكم في الوصول > قائمة التحكم في الوصول (ACL) المستندة إلى IPv4.
سيعرض جدول قائمة التحكم في الوصول (ACL) المستندة إلى IPv4 قائمة التحكم في الوصول (ACL) التي تم تنزيلها.
لا يمكن تحرير قوائم التحكم في الوصول (ACL) القابلة للتنزيل.
ثمة طريقة أخرى للتحقق منها تتمثل في التنقل إلى إدخال التحكم في الوصول (ACE) المستند إلى IPv4، وتحديد قائمة التحكم في الوصول (ACL) القابلة للتنزيل من القائمة المنسدلة اسم قائمة التحكم في الوصول (ACL)، وانقر فوق انتقال. سيتم عرض القواعد التي تم تكوينها في ISE.
انتقل إلى الأمان > مصادقة 802.1 >قائمة الأجهزة المضيفة التي تم مصادقتها. يمكنك التحقق من المستخدمين الذين تم مصادقتهم. انقر فوق جلسات العمل المصدق عليها للاطلاع على مزيد من التفاصيل.
من واجهة سطر الأوامر (CLI)، قم بتشغيل الأمر show ip access-lists interface الذي يتبعه معرف الواجهة.
في هذا المثال، يمكن رؤية قوائم التحكم في الوصول (ACL) وقوائم التحكم في الوصول (ACE) التي تم تطبيقها على إيثرنت جيجابت 3.
يمكنك أيضا رؤية الإعدادات المتعلقة باتصال ISE وتنزيلات قائمة التحكم في الوصول باستخدام الأمر
show dot1x جلسة قارن <ID> مفصل. يمكنك عرض الحالة وحالة مصادقة 802.1x وقوائم التحكم في الوصول (ACL) التي تم تنزيلها.
ها أنت ذا! الآن تعرف كيفية عمل قائمة التحكم في الوصول (ACL) القابلة للتنزيل على محولات Cisco Catalyst 1300 Switches مع Cisco ISE.
لمزيد من المعلومات، راجع دليل مسؤول Catalyst 1300 وصفحة دعم Cisco Catalyst 1300 Series.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
18-Jun-2025 |
الإصدار الأولي |