Erstellen einer MAC-basierten ACL für das SG350XG und das SG550XG

Download-Optionen

  • PDF     (1.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:3. August 2017
Dokument-ID:SMB5108

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Erstellen einer MAC-basierten ACL für das SG350XG und das SG550XG

Ziel

Eine Zugriffskontrollliste (ACL) ist ein Satz von Regeln, die erstellt werden können, um Pakete abhängig davon zu verändern, ob sie bestimmte Kriterien erfüllen. Bei diesen Kriterien kann es sich um Quell- oder Zieladressen, Header-Felder und andere verschiedene Komponenten eines Pakets handeln. Wenn ein Paket den angegebenen Kriterien einer ACL entspricht, wird es entweder verworfen oder kann fortgesetzt werden. Eine MAC-basierte ACL verwendet Regeln, die den Layer-2-Header eines Pakets auf diese Kriterien analysieren, z. B. MAC-Adressen, VLAN-IDs und Ethertype-Werte. Durch die Implementierung einer MAC-basierten ACL können Sie Pakete steuern, die über den Switch auf Layer-2-Ebene übertragen werden.

In diesem Dokument wird erläutert, wie Sie eine MAC-basierte Zugriffskontrollliste auf den SG350XG- und SG550XG-Switches erstellen und konfigurieren.

Unterstützte Geräte

  • SG350XG
  • SG550XG

Software-Version

  • v2.0.0.73

Konfiguration MAC-basierte ACLs

Erstellen eine ACL und Regeln

Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Access Control > MAC-Based ACL (Zugriffskontrolle > MAC-basierte ACL) aus. Die Seite MAC-Based ACL wird geöffnet.

Schritt 2: In der MAC-basierten ACL-Tabelle werden alle derzeit auf dem Switch vorhandenen MAC-basierten ACLs angezeigt. Klicken Sie zum Erstellen einer neuen ACL auf die Schaltfläche Add... (Hinzufügen). Das Fenster Add MAC-Based ACL (MAC-basierte ACL hinzufügen) wird geöffnet.

Schritt 3: Geben Sie im Feld ACL-Name den Namen der neuen ACL ein. Dieser Name hat keine Auswirkungen auf die Funktion der ACL und dient lediglich zur Identifizierung.

Schritt 4: Klicken Sie auf Anwenden. Die neue ACL wird der MAC-basierten ACL-Tabelle hinzugefügt. Klicken Sie auf Schließen, um zur Seite MAC-basierte ACL zurückzukehren, oder erstellen Sie eine andere ACL, indem Sie den vorherigen Schritt wiederholen.

Schritt 5: Alle neu erstellten Zugriffskontrolllisten sind leer. d. h., sie enthält keine Regeln zum Blockieren oder Zulassen von Paketen basierend auf MAC-Adressen. Um diese Regeln zu erstellen, muss der ACL ein Zugriffskontrolleintrag (ACE) hinzugefügt werden. Klicken Sie dazu auf die Schaltfläche MAC-Based ACE Table, um die Seite MAC-Based ACE aufzurufen.

Schritt 6: Wählen Sie auf der Seite "MAC-Based ACE" die ACL aus, der Sie einen ACE hinzufügen möchten. Verwenden Sie dazu die Dropdown-Liste oben in der MAC-Based ACE Table, und klicken Sie auf Go. In der Tabelle werden alle ACEs angezeigt, die derzeit der ausgewählten ACL zugeordnet sind. Um einen ACE hinzuzufügen, klicken Sie auf die Schaltfläche Hinzufügen .... Das Fenster Add MAC-Based ACE (MAC-basierten ACE hinzufügen) wird geöffnet.

Schritt 7: Im Feld ACL Name (ACL-Name) wird der Name der ACL angezeigt, der Sie einen ACE hinzufügen möchten. Geben Sie im Feld Priority (Priorität) eine Prioritätsnummer für den ACE ein. Je höher die Priorität eines ACE, desto eher wird er verarbeitet. Der Bereich liegt zwischen 1 und 2147483647, wobei 1 die höchste Priorität ist.

Schritt 8: Wählen Sie im Feld "Aktion" ein Optionsfeld aus, um zu bestimmen, was geschieht, wenn die Kriterien des ACE erfüllt sind.

Folgende Optionen sind verfügbar:

  • Zulassen - Leitet Pakete weiter, die die Kriterien erfüllen.
  • Verweigern: Verwirft Pakete, die die Kriterien erfüllen.
  • Herunterfahren - Verwirft Pakete, die die Kriterien erfüllen, und deaktiviert dann den Port.

Schritt 9: Aktivieren Sie im Feld Protokollierung das Kontrollkästchen Aktivieren, um die Protokollierung von ACL-Flows zu aktivieren, die der ACE-Regel entsprechen. Wenn Sie den Standardanzeigemodus verwenden, fahren Sie mit Schritt 12 fort. Der Anzeigemodus kann über die Dropdown-Liste in der oberen rechten Ecke des Webdienstprogramms geändert werden.

Schritt 10: Aktivieren Sie im Feld "Time Range" das Kontrollkästchen Enable (Aktivieren), damit der ACE nur während eines angegebenen Zeitraums aktiv ist. Wenn auf dem Switch keine Zeitbereiche konfiguriert sind, ist dieses Feld nicht verfügbar.

Schritt 11: Wenn Sie einen Zeitraum für diesen ACE aktiviert haben, wird das Feld Name des Zeitbereichs angezeigt. Wählen Sie aus der Dropdown-Liste einen bereits auf dem Switch konfigurierten Zeitraum für den ACE aus. Wenn keine Zeitbereiche auf dem Switch vorhanden sind, ist dieses Feld nicht verfügbar. Klicken Sie auf den Link Edit (Bearbeiten), um zur Seite Time Range (Zeitbereich) zu gehen und Zeitbereiche zu erstellen oder zu ändern. Weitere Informationen finden Sie im Artikel Einrichten einer Zeitspanne für das SG350XG und SG550XG.

Schritt 12: Wählen Sie im Feld Ziel-MAC-Adresse ein Optionsfeld aus, um zu bestimmen, welche Ziel-MAC-Adressen eine Übereinstimmung darstellen. Wählen Sie Any (Beliebig) aus, damit eine Zieladresse übereinstimmt, oder User Defined (Benutzerdefiniert), um eine Adresse oder einen Adressbereich anzugeben.

Wenn Sie Benutzerdefiniert ausgewählt haben, füllen Sie die folgenden Felder aus:

  • Ziel-MAC-Adresswert - Geben Sie die Ziel-MAC-Adresse ein. Wenn ein Paket diese Zieladresse enthält, wird dies vom ACE als übereinstimmend angesehen.
  • Ziel-MAC-Platzhaltermaske - Geben Sie eine Maske ein, um einen Adressbereich zu definieren. Wenn Sie ein Bit als 1 festlegen, wird das entsprechende Bit in der MAC-Adresse ignoriert, und bei 0 handelt es sich um übereinstimmende Bits.

Hinweis: Bei einer Maske von 0000 0000 0000 0000 0000 0000 0000 0000 00000 111 1111 (d. h., dass die Bits, bei denen s 0 und nicht auf die Bits, wo es 1). Sie müssen die Eins in einen Hexadezimalwert übersetzen und für vier Nullen 0 eingeben. In diesem Beispiel würde die Maske seit 1111 111 = FF folgendermaßen geschrieben: wie 00:00:00:00:00:FF.

Schritt 13: Wählen Sie im Feld Source MAC Address (Quell-MAC-Adresse) ein Optionsfeld aus, um zu bestimmen, welche Quell-MAC-Adressen eine Übereinstimmung darstellen. Wählen Sie Any (Beliebig) aus, damit eine Quelladresse übereinstimmt, oder User Defined (Benutzerdefiniert), um eine Adresse oder einen Adressbereich anzugeben.

Wenn Sie Benutzerdefiniert ausgewählt haben, füllen Sie die folgenden Felder aus:

  • Quell-MAC-Adresswert - Geben Sie die Quell-MAC-Adresse ein. Wenn ein Paket diese Quelladresse enthält, wird dies vom ACE als übereinstimmend angesehen.
  • Source MAC Wildcard Mask (Quell-MAC-Platzhaltermaske): Geben Sie eine Maske ein, um einen Adressbereich zu definieren. Wenn Sie ein Bit als 1 festlegen, wird das entsprechende Bit in der MAC-Adresse ignoriert, und bei 0 handelt es sich um übereinstimmende Bits (z. B. 00:00:00:00:11).

Hinweis: Bei einer Maske von 0000 0000 0000 0000 0000 0000 0000 0000 00000 111 1111 (d. h., dass die Bits, bei denen s 0 und nicht auf die Bits, wo es 1). Sie müssen die Eins in einen Hexadezimalwert übersetzen und für vier Nullen 0 eingeben. In diesem Beispiel würde die Maske seit 1111 111 = FF folgendermaßen geschrieben: wie 00:00:00:00:00:FF.

Schritt 14: Geben Sie im Feld VLAN ID (VLAN-ID) eine VLAN-ID zwischen 1 und 4094 ein. Wenn ein Paket diese VLAN-ID enthält, wird es vom ACE als übereinstimmend angesehen. Dieses Feld ist nicht erforderlich. Wenn Sie dieses Feld leer lassen, berücksichtigt der ACE VLAN-IDs bei der Untersuchung von Paketen nicht.

Schritt 15: Aktivieren Sie im Feld 802.1p das Kontrollkästchen Einschließen, damit der ACE die 802.1p-Kriterien einbezieht. Wenn Sie die 802.1p-Kriterien berücksichtigt haben, geben Sie einen 802.1p-Wert und eine 802.1p-Maske in die Felder 802.1p-Wert bzw. 802.1p-Maske ein. Der Bereich für beide Felder liegt zwischen 0 und 7. Wenn ein Paket den entsprechenden 802.1p-Wert enthält und zur Maske passt, wird es vom ACE als übereinstimmend angesehen.

Schritt 16: Geben Sie im Feld Ethertype einen Ethertype-Wert ein, der mit eingehenden Paketen verglichen werden soll. Ethertype ist ein Zwei-Oktett-Feld in einem Frame, das angibt, welches Protokoll in das Paket gekapselt wird. Der Bereich ist 5DD- FFFF. Wenn ein Paket den angegebenen Ethertype-Wert enthält, wird es vom ACE als übereinstimmend angesehen. Eine Liste der Ethertype-Werte finden Sie auf dieser IEEE-Standardseite.

Schritt 17: Klicken Sie auf Anwenden. Der ACE wird der angegebenen ACL hinzugefügt. Klicken Sie auf Schließen, um zur Seite MAC-basierter ACE zurückzukehren.

Zuordnen einer MAC-basierten ACL zu Ports

Schritt 1: Eine ACL kann entweder Ports oder VLANs zugeordnet werden. Um eine MAC-basierte ACL einem oder mehreren Ports zuzuordnen, navigieren Sie zu Access Control > ACL Binding (Port). Die Seite ACL Binding (Port) wird geöffnet.

Schritt 2: Wählen Sie in der Dropdown-Liste oben in der ACL Binding Table entweder Ports oder LAG (Link Aggregation Group) als Schnittstellentyp aus. Wenn der Switch Teil eines Stacks ist, können Ports von anderen Einheiten ausgewählt werden. Klicken Sie auf Go, um eine Liste des angegebenen Schnittstellentyps anzuzeigen.

Schritt 3: Aktivieren Sie das Kontrollkästchen einer Schnittstelle, und klicken Sie dann auf die Schaltfläche Bearbeiten. Das Fenster Edit ACL Binding wird geöffnet.

Schritt 4: Im Feld "Schnittstelle" wird der Port oder die LAG angezeigt, der bzw. die derzeit konfiguriert wird. Die in der ACL-Bindungstabelle ausgewählte Schnittstelle wird automatisch angezeigt. Dieses Feld kann verwendet werden, um schnell zwischen verschiedenen Schnittstellen zu wechseln, ohne zur Seite ACL-Bindung (Port) zurückzukehren.

Schritt 5: Aktivieren Sie das Kontrollkästchen MAC-basierte ACL auswählen, und wählen Sie in der Dropdown-Liste eine ACL aus, die der angegebenen Schnittstelle zugeordnet werden soll.

Schritt 6: Wählen Sie im Feld Standardaktion ein Optionsfeld aus, um festzulegen, wie Pakete behandelt werden, die nicht den Kriterien der ACL entsprechen. Der Standardwert ist "Deny Any" (Alle verweigern). Damit werden alle Pakete verworfen, die nicht den Kriterien der ACL entsprechen. Bei "Beliebig zulassen" werden nicht übereinstimmende Pakete weitergeleitet.

Schritt 7: Klicken Sie auf Anwenden. Die ACL wird der angegebenen Schnittstelle zugeordnet. Sie können im Feld Interface (Schnittstelle) eine andere Schnittstelle für die Konfiguration auswählen oder auf Close (Schließen) klicken, um zur Seite ACL Binding (Port) zurückzukehren.

Schritt 8: Um die Einstellungen einer Schnittstelle schnell auf andere Schnittstellen zu kopieren, aktivieren Sie das Kontrollkästchen der Schnittstelle, die Sie kopieren möchten, und klicken Sie dann auf die Schaltfläche Copy Settings.. (Einstellungen kopieren). Das Fenster Copy Settings wird geöffnet.

Schritt 9. Geben Sie im Textfeld die Schnittstelle bzw. die Schnittstellen ein, auf die Sie die Einstellungen kopieren möchten. Die Schnittstellen können durch Kommas getrennt oder ein Bereich angegeben werden.

Schritt 10: Klicken Sie auf Anwenden. Die Einstellungen werden kopiert.

Schritt 11: Wenn Sie die Einstellungen einer Schnittstelle löschen möchten, aktivieren Sie das entsprechende Kontrollkästchen, und klicken Sie auf Löschen. Beachten Sie, dass mehrere Schnittstellen gleichzeitig ausgewählt und gelöscht werden können.

Zuordnen einer MAC-basierten ACL zu VLANs

Schritt 1: Eine ACL kann entweder Ports oder VLANs zugeordnet werden. Um eine MAC-basierte ACL einem VLAN zuzuordnen, navigieren Sie zu Access Control > ACL Binding (VLAN). Die Seite ACL Binding (VLAN) wird geöffnet.

Schritt 2: Die ACL-Bindungstabelle zeigt alle ACLs an, die aktuell VLANs zugeordnet sind. Wenn keine Zugriffskontrolllisten zugeordnet wurden, ist die Tabelle leer. Um eine ACL einem VLAN zuzuordnen, klicken Sie auf die Schaltfläche Hinzufügen .... Das Fenster Add ACL Binding (ACL-Bindung hinzufügen) wird geöffnet.

Schritt 3: Wählen Sie ein VLAN aus, dem eine ACL mithilfe der Dropdown-Liste im Feld "VLAN ID" zugeordnet werden soll. Dieses Feld kann auch verwendet werden, um schnell zwischen verschiedenen VLANs zu wechseln, ohne zur Seite ACL Binding (VLAN) zurückzukehren.

Schritt 4: Aktivieren Sie das Kontrollkästchen MAC-basierte ACL auswählen, und wählen Sie in der Dropdown-Liste eine ACL aus, die dem angegebenen VLAN zugeordnet werden soll.

Anmerkung: Eine MAC-basierte ACL, die eine VLAN-ID als Kriterium verwendet, kann nicht an ein VLAN gebunden werden. Außerdem kann eine ACL mit einem Zeitbereich nicht an ein VLAN gebunden werden.

Schritt 5: Wählen Sie im Feld Standardaktion ein Optionsfeld aus, um festzulegen, wie Pakete behandelt werden, die nicht den Kriterien der ACL entsprechen. Der Standardwert ist "Deny Any" (Alle verweigern). Damit werden alle Pakete verworfen, die nicht den Kriterien der ACL entsprechen. Bei "Beliebig zulassen" werden nicht übereinstimmende Pakete weitergeleitet.

Schritt 6: Klicken Sie auf Anwenden. Die ACL ist dem angegebenen VLAN zugeordnet. Sie können das Feld VLAN-ID verwenden, um ein anderes zu konfigurierendes VLAN auszuwählen, oder auf Schließen klicken, um zur Seite ACL Binding (VLAN) zurückzukehren.

Schritt 7: Um die Einstellungen eines VLANs schnell in andere VLANs zu kopieren, aktivieren Sie das Kontrollkästchen der VLAN-Konfiguration, die Sie kopieren möchten, und klicken Sie dann auf die Schaltfläche Copy Settings.. (Einstellungen kopieren...). Das Fenster Copy Settings wird geöffnet.

Schritt 8: Geben Sie in das Textfeld die VLAN-ID oder die VLAN-IDs ein, in die Sie die Einstellungen kopieren möchten. Die IDs können durch Kommas getrennt oder ein Bereich angegeben werden.

Schritt 9: Klicken Sie auf Anwenden. Die Einstellungen werden kopiert.

Schritt 10: Wenn Sie die Einstellungen eines VLAN löschen möchten, aktivieren Sie dessen Kontrollkästchen, und klicken Sie auf Löschen. Beachten Sie, dass mehrere VLANs gleichzeitig ausgewählt und gelöscht werden können.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
11-Dec-2018
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren