IPv4-basierte ACL- und ACE-Konfiguration auf ESW2-350G-Switches

Ziel

Eine Zugriffskontrollliste (Access Control List, ACL) ist eine geordnete Liste von Filtern und Aktionen. Jede Klassifizierungsregel wird zusammen mit ihrer Aktion als Zugriffskontrollelement (ACE) bezeichnet. Jeder ACE verfügt über verschiedene Datenverkehrsgruppen und zugehörige Aktionen. Eine ACL kann einen oder mehrere ACEs enthalten, die mit den eingehenden Paketen auf Layer 3 verglichen oder abgeglichen werden. Die Aktion "Zulassen" oder "Verweigern" wird dem Filter zugeordnet. Sie kann definiert werden, um mit IP-Protokollen, Quell- und Zielports für TCP- oder UDP-Datenverkehr, Flagwerten für TCP-Frames, ICMP- und IGMP-Typ und -Code, Quell- und Ziel-IP-Adressen (einschließlich Platzhalter) oder DSCP-/IP-Prioritätswerten übereinstimmen zu können.

In diesem Artikel wird erläutert, wie eine IPv4-basierte ACL und ein ACE auf ESW2-350G-Switches erstellt wird.

Hinweis: Ein Port kann entweder mit ACL gesichert oder mit einer erweiterten QoS-Richtlinie konfiguriert werden, aber nicht mit beidem. Es kann nur eine ACL pro Port geben, mit der Ausnahme, dass es möglich ist, eine IPv4-basierte ACL und eine IPv6-basierte ACL einem einzelnen Port zuzuordnen. Um einem Port mehrere ACLs zuzuordnen, muss eine Richtlinie mit einer oder mehreren Klassenzuordnungen verwendet werden.

Anwendbare Geräte

· ESW2-350G
· ESW2-350G-DC

Softwareversion

· 1.3.0.62

IPv4-basierte ACL-Konfiguration

Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Zugriffskontrolle > IPv4-basierte Zugriffskontrollliste aus. Die Seite IPv4-Based ACL wird geöffnet:

 

Schritt 2: Klicken Sie auf Hinzufügen, um eine neue Zugriffsliste hinzuzufügen.

 

Schritt 3: Geben Sie im Feld ACL Name (ACL-Name) einen Namen für die Zugriffsliste ein.

Schritt 4: Klicken Sie auf Apply, wodurch die IPv4-basierte ACL in die aktuelle Konfigurationsdatei geschrieben wird.

Schritt 5: (Optional) Um auf die IPv4-basierte ACE-Tabelle zuzugreifen, klicken Sie auf IPv4-basierte ACE-Tabelle.

IPv4-basierte ACE-Konfiguration

Um einem ACL einen ACE hinzuzufügen, müssen die folgenden Schritte ausgeführt werden:

Schritt 1: Wählen Sie mit dem Webkonfigurationsprogramm Zugriffskontrolle > IPv4-basierte ACEs aus. Die Seite IPv4-Based ACE wird geöffnet: 

Schritt 2: Wählen Sie eine ACL aus der Dropdown-Liste aus, und klicken Sie auf Hinzufügen. Das Fenster IPv4-basiertes ACE hinzufügen wird angezeigt:

Schritt 3: Geben Sie die Priorität des ACE im Feld Priorität ein. Die Werte mit der höchsten Priorität werden zuerst verarbeitet. Die höchste Priorität ist 1. Sie umfasst einen Bereich von 1 bis 2147483647.

Schritt 4: Klicken Sie in den folgenden Optionen auf das Optionsfeld der gewünschten Aktion: 

· Zulassen - Lässt Pakete zu, die die ACE-Kriterien erfüllen.

· Verweigern - Verwirft Pakete, die die ACE-Kriterien erfüllen.

· Herunterfahren - Verwirft Pakete, die die ACE-Kriterien erfüllen, und deaktiviert den Port, von dem die Pakete empfangen wurden. Diese Ports können auf der Seite für die Porteinstellungen erneut aktiviert werden.

Schritt 5: (Optional) Aktivieren Sie das Kontrollkästchen Aktivieren, um den Zeitbereich für den ACE im Feld "Time Range" (Zeitbereich) zu aktivieren.

Hinweis: Es muss ein Zeitraum erstellt werden, um ihn auf den ACE anzuwenden. Informationen zum Konfigurieren eines Zeitbereichs finden Sie im Artikel Time Range Configuration auf ESW2-350G Switches.

Schritt 6: Wenn Sie in Schritt 5 die Option Enable (Aktivieren) aktiviert haben, wählen Sie den Zeitbereich aus der Dropdown-Liste Time Range (Zeitbereich) aus, der auf den ACE angewendet werden soll.

Schritt 7: Klicken Sie auf Bearbeiten, um zur Seite "Zeitbereich" zu wechseln und den Zeitbereich zu bearbeiten.Das Fenster zum Schließen des Dialogfelds bestätigen wird angezeigt:

Hinweis: Informationen zum Konfigurieren eines Zeitbereichs finden Sie im Artikel Time Range Configuration auf ESW2-350G Switches.

Schritt 8: (Optional) Klicken Sie auf OK, um zur Seite Zeitbereich zu gelangen.

Schritt 9:  Das im ACE verwendete Protokoll wird für alle gerouteten Netzwerkprotokolle konfiguriert, um die Pakete bei der Übertragung durch einen Router zu filtern. Klicken Sie in den folgenden Optionen auf das Optionsfeld des gewünschten Protokolls:

   · Any (Beliebig): Wählt eines der IPv4-basierten ACE-Protokolle. 

· Wählen Sie aus einer Liste aus: Wählen Sie eines der Protokolle aus der Dropdown-Liste aus.

· Zu vergleichende Protokoll-ID - wird verwendet, um das Protokoll mit einer ID abzugleichen. Der Standardwert für verschiedene Protokolle wie TCP ist 6, UDP 17 und ICMP 58 usw. oder der Benutzer kann einen beliebigen Wert darin definieren.

 

Schritt 10: Klicken Sie im Feld Quell-IP-Adresse auf eine der verfügbaren Optionen als Quell-IP-Adresse:

· Any (Beliebig): Diese Option wendet die Zugriffsregel auf alle IP-Adressen an, die in einem bestimmten Netzwerksegment verfügbar sind.

· Benutzerdefiniert - Mit dieser Option können Sie eine bestimmte IP-Adresse eingeben.

- Quell-IP-Adresswert - Geben Sie in diesem Feld die Quell-IP-Adresse ein.

- Source IP Wildcard Mask (Quell-IP-Wildcard-Maske): Geben Sie in diesem Feld die Platzhaltermaske der Quell-IP-Adresse ein. Mit der Platzhaltermaske können Sie angeben, auf welchen Host der Quell-IP-Adresse diese Zugriffsliste angewendet wird.

Schritt 11: Klicken Sie im Feld Ziel-IP-Adresse auf eine der verfügbaren Optionen als Ziel-IP-Adresse:

· Any (Beliebig): Diese Option wendet die Zugriffsregel auf alle IP-Adressen an, die in einem bestimmten Netzwerksegment verfügbar sind.

· Benutzerdefiniert - Mit dieser Option können Sie eine bestimmte IP-Adresse eingeben, um die Zugriffsregel anzuwenden:

- Ziel-IP-Adressenwert - Geben Sie in diesem Feld die Ziel-IP-Adresse ein.

- Ziel-IP-Wildcard-Maske - Geben Sie in diesem Feld die Platzhaltermaske der Ziel-IP-Adresse ein. Mit der Platzhaltermaske können Sie angeben, auf welche Hosts der Ziel-IP-Adresse diese Zugriffsliste angewendet wird.

Schritt 12: Das Feld "Source Port" (Quellport) wird nur aktiviert, wenn Sie in Schritt 5 TCP oder UDP auswählen. Klicken Sie auf das Optionsfeld einer der verfügbaren Optionen, um den Quellport auszuwählen:

· Any (Beliebig): Diese Option akzeptiert alle Quellports.

· Single (Einfach): Mit dieser Option können Sie einen Wert für einen Quellport eingeben.

· Range (Bereich): Mit dieser Option können Sie eine Reihe von verfügbaren Quellports eingeben.

Schritt 13: Das Feld Ziel-Port ist nur aktiviert, wenn Sie in Schritt 5 TCP oder UDP auswählen. Klicken Sie auf das Optionsfeld einer der verfügbaren Optionen, um den Zielport auszuwählen:

· Any (Beliebig): Diese Option akzeptiert alle Zielports.

· Single (Einfach): Mit dieser Option können Sie einen Wert für einen Zielport eingeben.

· Range (Bereich): Mit dieser Option können Sie einen Bereich der verfügbaren Zielports eingeben.

 

Schritt 14: Die TCP-Flags-Felder werden nur aktiviert, wenn Sie in Schritt 5 TCP auswählen. Klicken Sie auf eine der Optionsfelder für jedes Flag, um zu bestimmen, wie TCP-Flag-Werte gefiltert werden. Legen Sie entweder 1 oder Ein, Unset als 0 oder Aus oder als x fest.

· Urg - Dieses Flag wird verwendet, um eingehende Daten als dringend zu identifizieren.

· Zurück - Diese Markierung wird verwendet, um den erfolgreichen Empfang von Paketen zu bestätigen.

· Psh - Dieses Flag wird verwendet, um sicherzustellen, dass die Daten die Priorität erhalten (die es verdient) und verarbeitet wird am sendenden oder empfangenden Ende.

· Rst - Dieses Flag wird verwendet, wenn ein Segment ankommt, das nicht für die aktuelle Verbindung vorgesehen ist.

· Syn - Dieses Flag wird für TCP-Kommunikation verwendet.

· Fin - Diese Markierung wird verwendet, wenn die Kommunikation oder Datenübertragung abgeschlossen ist.

Schritt 15: Klicken Sie auf einen Diensttyp, bei dem es sich um Datenverkehr zur Überlastungskontrolle handelt, für den der Host im Fall einer Überlastung eine Back-Off-Funktion durchführt.

· Any (Beliebig): Bei Überlastungen des Datenverkehrs kann es sich um einen beliebigen Service handeln.

· Zu vergleichendes DSCP: Wählen Sie diese Option, um Differentiated Service Code Point (DSCP) als einen Service-Typ zu implementieren. DSCP ist ein Mechanismus zur Klassifizierung und Verwaltung des Netzwerkverkehrs. Geben Sie den DSCP-Wert ein, der auf die Zugriffsregel angewendet werden soll.

· IP Precedence to Match (Übereinstimmung mit IP-Rangfolge) - So legen Sie einen Präferenztyp für IPv6-Pakete fest. Die mit den IP-Präferenzwerten verknüpften Schlüsselwörter lauten 0 für Routine, 1 für Priorität, 2 für Sofort, 3 für Flash, 4 für Flash-Override, 5 für kritische, 6 für Internet, 7 für Netzwerk. Geben Sie den Wert ein, der auf die Zugriffsregel angewendet werden soll.

 

Schritt 16: Die ICMP-Felder werden nur aktiviert, wenn Sie das Protokoll ICMP aus Schritt 5 auswählen. Es wird zum Senden von Fehlermeldungen verwendet, wenn kein Service verfügbar ist oder ein Host oder ein Router nicht erreicht werden konnte. Sie wird auch für Relay-Abfragenachrichten verwendet. Klicken Sie auf eine der verfügbaren Optionsschaltflächen, um die ICMP-Meldungstypen zu filtern:

· Any (Beliebig): Dabei kann es sich um eine Fehlermeldung oder eine Abfragemeldung handeln.

· Wählen Sie aus der Liste aus: Wählen Sie eine der zugelassenen Kontrollmeldungen aus der Dropdown-Liste aus.

                 · Zu vergleichender ICMP-Typ: Der Benutzer muss einen Bereich zwischen 0 und 255 eingeben, um die ICMP-Kontrollnachrichten abzugleichen.

Schritt 17: Der ICMP-Code wird nur aktiviert, wenn Sie das Protokoll ICMP aus Schritt 5 auswählen. Sie wird verwendet, um spezifischere Informationen über Steuerelementnachrichten mit einem Wert bereitzustellen. Wählen Sie eine der folgenden Optionen aus:

· Any (Beliebig): Dabei kann es sich um einen beliebigen Wert handeln, der mit der Kontrollnachricht übereinstimmt.

· Benutzerdefiniert - Geben Sie den ICMP-Code ein, den Sie filtern möchten. Der Wert wird im Bereich zwischen 0 und 255 definiert, um den Steuerelementnachrichten zu entsprechen.

Schritt 18: Die IGMP-Felder werden nur aktiviert, wenn Sie das Protokoll IGMP aus Schritt 5 auswählen. Es verwaltet die Hostmitgliedschaft in IP-Multicast-Gruppen in einem Netzwerksegment. Klicken Sie auf eine der verfügbaren Optionsschaltflächen, um IGMP-Meldungstypen zu filtern:

· Any (Beliebig): Es kann jede IGMP-Aktion ausführen.

· Wählen Sie aus einer Liste aus: Wählen Sie eines der Protokolle aus der Dropdown-Liste aus.

- DVMRP - Hierbei wird eine Technik für das Flooding im umgekehrten Pfad verwendet, bei der eine Kopie eines empfangenen Pakets über jede Schnittstelle mit Ausnahme der Schnittstelle gesendet wird, bei der das Paket eingegangen ist.

- Host-Abfrage - Es sendet regelmäßig allgemeine Host-Abfragemeldungen zu jedem angeschlossenen Netzwerk, um Informationen zu erhalten.

- Host-Reply — Es antwortet auf die Abfrage.

- PIM - Es wird zwischen den lokalen und Remote-Multicast-Routern verwendet, um Multicast-Datenverkehr vom Multicast-Server an viele Multicast-Clients weiterzuleiten.

- Trace (Nachverfolgung) - Es enthält Informationen zum Beitritt und Verlassen der IGMP-Multicast-Gruppen.

· IGMP-Match-Typ - Er stimmt das IGMP-Protokoll mit der Quell- und Ziel-IP-Adresse und -Maske überein, sowie mit dem IGMP-Typ, der eine Dezimalzahl hat.

Schritt 19: Klicken Sie auf Apply, wodurch der IPv4-basierte ACE in die aktuelle Konfigurationsdatei geschrieben wird.

Schritt 20: (Optional) Klicken Sie auf IPv4-basierte ACL-Tabelle, um zur IPv4-basierten ACL-Seite zu gelangen.