الهدف
الهدف من هذا المقال هو توفير نظرة عامة على ميزة قائمة التحكم في الوصول (DACL) القابلة للتنزيل في محولات Catalyst 1300 switches.
الأجهزة القابلة للتطبيق | إصدار البرامج
- Catalyst 1300 Series | 4.1.6.54
المقدمة
قوائم التحكم في الوصول (ACL) الديناميكية هي قوائم التحكم في الوصول (ACL) التي تم تعيينها لمنفذ محول بناء على سياسة أو معايير مثل عضوية مجموعة حساب المستخدم، والوقت من اليوم، وغير ذلك. يمكن أن تكون قوائم تحكم في الوصول (ACL) محلية تم تحديدها بواسطة معرف عامل التصفية أو قوائم التحكم في الوصول (DACL) القابلة للتنزيل.
قوائم التحكم في الوصول (ACL) القابلة للتنزيل هي قوائم تحكم في الوصول (ACL) ديناميكية يتم إنشاؤها وتنزيلها من خادم Cisco ISE. وهم يطبقون بشكل ديناميكي قواعد التحكم في الوصول استنادا إلى هوية المستخدم ونوع الجهاز. تتمتع قائمة التحكم في الوصول الخاصة بالمنفذ (DACL) بميزة السماح لك بامتلاك مستودع مركزي واحد لقوائم التحكم في الوصول (ACL)، وبالتالي لا تحتاج إلى إنشاؤها يدويا على كل محول. عندما يتصل مستخدم بمحول، فإنه يحتاج فقط إلى المصادقة، وسيقوم المحول بتنزيل قوائم التحكم في الوصول (ACL) القابلة للتطبيق من خادم Cisco ISE.
جدول المحتويات
اعتبارات قوائم التحكم في الوصول للبنية الأساسية (DACL)
هناك بضعة اعتبارات يجب أن نضعها في الاعتبار عند العمل مع قائمة التحكم في الوصول إلى النقل (DACL) على محولات Catalyst 1300 switches.
- هذا سمة خاص إلى المادة حفازة 1300 مفتاح؛ لا يساند هو على المادة حفازة 1200 مفتاح.
- قوائم التحكم في الوصول (ACL) الديناميكية غير مدعومة على الواجهات مع تطبيق خريطة السياسة.
- لن يرسل المحول طلب الوصول لقواعد قائمة التحكم في الوصول (ACL).
- سيتم تعيين المتلقي إلى حالة مصدق ولكن غير مصرح بها.
- تكون قوائم التحكم في الوصول (ACL) الديناميكية حصرية بشكل متبادل مع واقي مصدر IP والتكوين المرتبط بمجموعة الأمان (مستوى الواجهة)
- عند إستخدام قوائم التحكم في الوصول (ACL) الديناميكية مع المحولات المجمعة، هناك بعض النقاط التي يجب مراعاتها.
- في حالة فشل الوحدة النشطة، فلن يحتوي المحول النشط الجديد على قوائم التحكم في الوصول الخاصة بالمنفذ (DACL) المخزنة في الذاكرة المحلية الخاصة به، كما أنه يجب إعادة تنزيل جميع قوائم التحكم في الوصول الخاصة بالمنفذ (DACL).
- ستتم إزالة جميع القواعد المطبقة على الواجهات التي تم تعيينها كجزء من مصادقة نظام العميل.
- من الضروري ضبط نوع مصادقة MAC على RADIUS (بدلا من طريقة EAP الافتراضية) إذا كنت تستخدم MAB (تجاوز مصادقة MAC).
- طول اسم قائمة التحكم في الوصول (ACL)
- DACL: 64 حرفا
- ثابت: 32 حرفا
- قوائم التحكم في الوصول (ACL) الديناميكية هي جميع قوائم التحكم في الوصول الموسعة.
- تستخدم قوائم التحكم في الوصول إلى النقل (DACL) موارد TCAM أكثر مما تتوقع.
- يتم حذف قوائم التحكم في الوصول (ACL) القابلة للتنزيل تلقائيا عندما لا توجد منافذ تستخدم قائمة التحكم في الوصول (ACL) هذه.
- يتم حذف قائمة التحكم في الوصول (ACL) الافتراضية التي تم إنشاؤها لقوائم التحكم في الوصول (ACL) الديناميكية تلقائيا عندما لا توجد منافذ تستخدم قوائم التحكم في الوصول (ACL) الديناميكية أو القابلة للتنزيل.
عملية تنزيل DACL
- تبدأ كمصادقة قياسية بمعيار 802.1x.
- بعد مصادقة العميل
- يرسل خادم ISE قبول وصول RADIUS مع AVPair لمورد Cisco - ACS: CiscoSecure-Defined-ACL = <ACL Name>
- يرسل المحول طلب وصول RADIUS مع مورد Cisco AVPair - aaa:event=acl-download
- يرسل خادم ISE قبول وصول RADIUS مع مورد Cisco AVPair-ip:inacl#<رقم إدخال ACE> = ACE
أسماء قوائم التحكم في الوصول (ACL) القابلة للتنزيل
ليس الاسم الذي تم تنزيله وتخصيصه إلى قائمة التحكم في الوصول للمحول (DACL) على المحول هو نفس اسم قائمة التحكم في الوصول للوسائط (DACL) التي قمت بإنشائها على ISE.
على سبيل المثال، إذا تم إنشاء قائمة تحكم في الوصول إلى البنية الأساسية (DACL) تسمى Marketing_ACL في ISE، عند تنزيلها، قد تظهر على أنها #ACSACL#-IP-Marketing_ACL-57f6b0d4.
- التنسيق على خادم ISE: <name> - ex: Marketing_ACL
- التنسيق الذي تم تنزيله إلى المحول C1300
- #ACSACL#-IP-<name>-<number>
- مثال: #ACSACL#-IP-Marketing_ACL-57f6b0d4
- تسمية المقاطع
- #ACSACL# - البادئة التي تمت إضافتها من قبل ISE
- IP - يشير إلى نوع قائمة التحكم في الوصول (ACL IP)
- <name> - اسم قائمة التحكم في الوصول (ACL) التي تم إنشاؤها على ISE
- <number> - رقم الإصدار في ASCII hex
- يجب أن يكون طول الاسم أقل من أو يساوي 64 حرفا
- مضمن في Cisco-AVPair: ACS:CiscoSecure-defined-ACL= <اسم التنزيل>
القرار
الآن بما أنك تعرف كل شيء عن قائمة التحكم في الوصول (ACL) القابلة للتنزيل في المحول Catalyst 1300 switch، راجع المقالة قائمة التحكم في الوصول (ACL) القابلة للتنزيل في محولات Catalyst 1300 للتعرف على خطوات تكوينها.
لمزيد من المعلومات، راجع دليل مسؤول Catalyst 1300 وصفحة دعم Cisco Catalyst 1300 Series.