ACL und ACEs ermöglichen oder verweigern die Eingabe von Paketen zu den in der Zugriffsliste konfigurierten IP-Adressen. Die Regeln für die ACL werden von den Zugriffskontrolleinträgen (ACEs) festgelegt. In diesem Artikel wird erläutert, wie eine IPv6-basierte ACL und ein ACE auf ESW2-350G-Switches erstellt wird.
· ESW2-350G
· ESW2-350G-DC
· 1.3.0.62
Schritt 1: Wählen Sie mithilfe des Konfigurationsprogramms Zugriffskontrolle > IPv6-basierte Zugriffskontrollliste aus. Die Seite IPv6-basierte ACL wird geöffnet. Auf dieser Seite wird die Liste der aktuell definierten ACLs angezeigt.
Schritt 2: Klicken Sie auf Hinzufügen, um eine neue Zugriffsliste hinzuzufügen.
Schritt 3: Geben Sie im Feld ACL Name (ACL-Name) einen Namen für die Zugriffsliste ein.
Schritt 4: Klicken Sie auf Apply, wodurch die IPv6-basierte ACL in die aktuelle Konfigurationsdatei geschrieben wird.
Schritt 5: (Optional) Klicken Sie auf IPv6-basierte ACE-Tabelle, um die Seite mit der IPv6-basierten ACE-Tabelle zu öffnen.
So fügen Sie der ACL einen Zugriffssteuerungseintrag (ACE) hinzu:
Schritt 1: Wählen Sie mithilfe des Konfigurationsprogramms Zugriffskontrolle > IPv6-basierter ACE aus. Die Seite IPv6-Based ACE wird geöffnet:
Schritt 2: Wählen Sie eine ACL aus der Dropdown-Liste "ACL Name" (ACL-Name gleich) aus, und klicken Sie auf Hinzufügen. Das Fenster IPv6-basiertes ACE hinzufügen wird geöffnet:
Schritt 3: Geben Sie die Priorität der ACEs im Feld Priorität ein. Die höchste Priorität wird zuerst verarbeitet, d. h. 1. Es hat einen Bereich von 1 - 2147483647.
Schritt 4: Klicken Sie auf das Optionsfeld für die gewünschte Aktion, die auftritt, wenn das Paket mit dem Feld Aktion übereinstimmt.
· Zulassen - Lässt Pakete zu, die die ACE-Kriterien erfüllen.
· Verweigern - Verwirft Pakete, die die ACE-Kriterien erfüllen.
· Herunterfahren - Verwirft Pakete, die die ACE-Kriterien erfüllen, und deaktiviert den Port, von dem die Pakete empfangen wurden. Diese Ports können auf der Seite für die Porteinstellungen erneut aktiviert werden.
Hinweis: Zur Konfiguration mit Zeitbereich folgen Sie dem Artikel Time Range Configuration auf ESW2-350G Switches.
Schritt 5: (Optional) Klicken Sie auf Aktivieren, um den Zeitbereich für den ACE zu aktivieren.
Schritt 6: (Optional) Wählen Sie den Zeitbereich aus der Dropdown-Liste "Time Range" (Zeitbereich) aus, der auf den ACE angewendet werden soll.
Schritt 7: (Optional) Klicken Sie auf Bearbeiten, um den Zeitbereich zu bearbeiten.Das Fenster Schließen des Dialogfelds bestätigen wird geöffnet:
Schritt 8: (Optional) Klicken Sie auf OK, um zur Seite Zeitbereich zu gelangen.
Schritt 9: Klicken Sie auf das Optionsfeld für das gewünschte Protokoll für den ACE, das für alle gerouteten Netzwerkprotokolle konfiguriert ist, um die Pakete zu filtern, während diese Pakete einen Router durchlaufen.
· Any (Beliebig): Es wählt jedes IPv6-basierte ACE-Protokoll aus.
· Wählen Sie aus einer Liste aus: Wählen Sie eines der Protokolle aus der Dropdown-Liste aus (TCP, UDP, ICMP).
· Protokoll-ID zur Übereinstimmung - Es wird verwendet, um das Protokoll mit einer ID abzugleichen. Der Standardwert für ein anderes Protokoll wie TCP ist 6, UDP 17 und ICMP 58, oder der Benutzer kann einen beliebigen Wert darin definieren.
Schritt 10: Klicken Sie auf Any (Beliebig), wenn alle Quelladressen akzeptabel sind, oder auf User Define (wenn ein Quell-IP-Adresswert mit seiner Präfixlänge im Feld Source IP Address (Quell-IP-Adresse) eingegeben werden muss.
Schritt 11: Klicken Sie auf Any (Beliebig), wenn alle Zieladressen akzeptabel sind oder User Defined (Benutzerdefiniert), wenn ein Ziel-IP-Adresswert mit seiner Präfixlänge im Feld Destination IP Address (Ziel-IP-Adresse) eingegeben werden muss.
Schritt 12: Der Quellport wird nur aktiviert, wenn Sie das Protokoll TCP & UDP aus Schritt 5 auswählen. Klicken Sie auf Any (Beliebig), wenn alle Quellports akzeptabel sind oder ein einzelner Wert aus dem angegebenen Bereich 0 - 65535 oder ein Bereich des Quellports eingegeben werden muss.
Schritt 13: Der Ziel-Port wird nur aktiviert, wenn Sie das Protokoll TCP & UDP aus Schritt 5 auswählen. Klicken Sie auf Any (Beliebig), wenn alle Quellports akzeptabel sind oder ein einzelner Wert aus dem angegebenen Bereich 0 - 65535 oder ein Bereich des Zielports eingegeben werden muss.
Schritt 14: TCP-Flags werden nur aktiviert, wenn Sie Protokoll TCP aus Schritt 5 auswählen. Klicken Sie auf eines der Flags mit verschiedenen Optionen als Als 1 oder Ein festlegen, Als 0 oder Aus aufheben oder Nicht als x wichtig.
· Urg - Dieses Flag wird verwendet, um eingehende Daten als dringend zu identifizieren.
· Zurück - Diese Markierung wird verwendet, um den erfolgreichen Empfang von Paketen zu bestätigen.
· Psh - Dieses Flag wird verwendet, um sicherzustellen, dass die Daten die Priorität erhalten (die es verdient) und verarbeitet wird am sendenden oder empfangenden Ende.
· Rst - Dieses Flag wird verwendet, wenn ein Segment ankommt, das nicht für die aktuelle Verbindung vorgesehen ist.
· Syn - Dieses Flag wird für TCP-Kommunikation verwendet.
· Fin - Diese Markierung wird verwendet, wenn die Kommunikation oder Datenübertragung beendet ist.
Schritt 15: Klicken Sie im Feld Type of Service (Typ) auf das Optionsfeld für den gewünschten Servicetyp für die Steuerung der Datenverkehrsüberlastung.
· Any (Beliebig): Jeder Service wird für Verkehrsstaus verwendet.
· Übereinstimmung mit DSCP - Differentiated Service Code Point (DSCP) ist ein Mechanismus zur Klassifizierung und Verwaltung des Netzwerkverkehrs. Es werden sechs Bit (0-63) verwendet, um das Per-Hop-Verhalten für Paketerlebnisse an jedem Knoten auszuwählen.
· IP Precedence to Match (Übereinstimmung mit IP-Rangfolge) - So legen Sie einen Präferenztyp für IPv6-Pakete fest. Das Schlüsselwort mit dem Wert "IP Preference" lautet 0 für Routine, 1 für Priorität, 2 für Sofort, 3 für Flash, 4 für Flash-Override, 5 für Kritisch, 6 für Internet, 7 für Netzwerk.
Schritt 16: ICMP ist nur aktiviert, wenn Sie in Schritt 11 das Protokoll ICMP auswählen. Es wird verwendet, um Fehlermeldungen zu senden, wenn der Dienst nicht verfügbar ist oder ein Host oder ein Router nicht erreicht werden konnte. Sie wird auch für Relay-Abfragenachrichten verwendet.
· Any (Beliebig): Dabei kann es sich um eine Fehlermeldung oder eine Abfragemeldung handeln.
· Wählen Sie aus der Liste aus - Es verfügt über eine Dropdown-Liste zulässiger Kontrollmeldungen:
- Destination Unreachable (Ziel nicht erreichbar) - Es wird vom Host oder seinem Gateway generiert, um dem Client mitzuteilen, dass das Ziel aus irgendeinem Grund nicht erreichbar ist (Fehler beim Netzwerk oder Host usw.).
- Packet Too Big (Zu großes Paket) - Die Größe des Datagrams wird überschritten als die angegebene MTU.
- Time Exceeded (Zeitüberschreitung): Diese wird von einem Gateway generiert, um die Quelle eines verworfenen Datagramms zu informieren, da die Zeit bis zum Live-Feld 0 erreicht.
- Parameterproblem - Es wird als Antwort auf Fehler generiert, die nicht speziell durch eine andere ICMP-Meldung abgedeckt werden.
- Echo Request - Ein Ping, dessen Daten voraussichtlich in einer Echo-Antwort empfangen werden.
- Echo Reply (Echoantwort): Diese Antwort wird als Antwort auf eine Echoanfrage generiert.
- MLD Query (MLD-Abfrage): Mit dieser Abfrage wird ermittelt, welche Multicast-Adressen Listener auf einer angefügten Verbindung haben. Geben Sie 130 als Dezimalzahl ein.
- MLD Report (MLD-Bericht): Dieser Bericht wird generiert, wenn die IPv6-Multicast-Adresse, der der Absender der Nachricht zuhört, gesendet wird.
- MLD V2 Report: Dieser ist mit MLD Report in Version 2 identisch.
- MLD Done (MLD Fertig): Wenn der Host eine Gruppe verlässt, sendet er eine Multicast Listener-fertig-Nachricht an Multicast-Router im Netzwerk.
- Router Solicitation - Dies ist eine Router Discovery-Nachricht. Hosts können die Adressen der benachbarten Router einfach durch das Abhören von Werbung ermitteln. Standardwert = 224.0.0.2 für Multicast, ansonsten 255.255.255.255.
- Router Advertisement (Routerwerbung): Der Router sendet regelmäßig Multicast-Meldungen an jede seiner Multicast-Schnittstellen und kündigt die IP-Adressen dieser Schnittstelle an.
- ND NS - Nachrichten werden von Knoten generiert, um die Link Layer-Adresse eines anderen Knotens anzufordern, sowie für Funktionen wie die doppelte Adresserkennung und die Erkennung nicht erreichbarer Nachbarn.
- ND NA - Nachrichten werden als Antwort auf NS-Nachrichten gesendet. Wenn ein Knoten seine Link-Layer-Adresse ändert, kann er eine unaufgefordert erscheinende NA senden, um die neue Adresse anzukündigen.
· Zu vergleichender ICMP-Typ: Der Benutzer muss einen Bereich zwischen 0 und 255 eingeben, um die ICMP-Kontrollnachrichten abzugleichen.
Schritt 17: Der ICMP-Code wird nur aktiviert, wenn Sie das Protokoll ICMP aus Schritt 11 auswählen. Sie wird verwendet, um spezifischere Informationen zu Steuerelementnachrichten mit einem Wert bereitzustellen.
· Any (Beliebig): Dabei kann es sich um einen beliebigen Wert handeln, der mit der Kontrollnachricht übereinstimmt.
· User Defined (Benutzerdefiniert): Der Wert wird im Bereich zwischen 0 und 255 definiert, um den Steuerelementmeldungen zu entsprechen.
Schritt 18: Klicken Sie auf Apply, der den IPv6-basierten ACE in die aktuelle Konfigurationsdatei schreibt.