Zugriffslisten (ACLs) sind Zusammenstellungen von Zulassen- und Ablehnungsbedingungen, so genannte Regeln, die Sicherheit bieten, um nicht autorisierte Benutzer zu blockieren und autorisierten Benutzern den Zugriff auf bestimmte Ressourcen zu ermöglichen. ACLs können ungerechtfertigte Versuche blockieren, auf Netzwerkressourcen zuzugreifen. Die QoS-Funktion unterstützt Differentiated Services (DiffServ), sodass der Datenverkehr in Streams klassifiziert werden kann und eine bestimmte QoS-Behandlung gemäß definiertem Per-Hop-Verhalten erhält.
In diesem Artikel wird erläutert, wie Sie eine IPv4- und IPv6-basierte ACL für WAP551 und WAP561 Access Points (WAP) erstellen und konfigurieren.
・ WAP551
・ WAP561
・ v1.0.4.2
IP-ACLs klassifizieren den Datenverkehr für Layer 3 im IP-Stack. Jede ACL besteht aus bis zu zehn Regeln für den Datenverkehr, der von einem Wireless-Client gesendet oder von einem Wireless-Client empfangen wird. Jede Regel legt fest, ob der Inhalt eines bestimmten Felds verwendet werden soll, um den Zugriff auf das Netzwerk zu erlauben oder zu verweigern. Regeln können auf verschiedenen Kriterien basieren und auf ein oder mehrere Felder innerhalb eines Pakets angewendet werden, z. B. die Quell- oder Ziel-IP-Adresse, den Quell- oder Ziel-Port oder das im Paket enthaltene Protokoll.
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Client QoS > ACL aus. Die Seite ACL wird geöffnet:
Schritt 2: Geben Sie den Namen der ACL in das Feld ACL Name (ACL-Name) ein.
Schritt 3: Wählen Sie in der Dropdown-Liste "ACL Type" (ACL-Typ) den gewünschten ACL-Typ aus. Wenn IPv6 ausgewählt wird, lesen Sie den Abschnitt Konfiguration der IPv6-ACL. Wenn Sie in der Dropdown-Liste "ACL Type" (ACL-Typ) die Option MAC Based ACL (MAC-basierte Zugriffskontrollliste) auswählen, finden Sie weitere Informationen im Artikel Configuration of MAC Based Access Control List (ACL) on WAP551 and WAP561 Access Points (Konfiguration der MAC-basierten Zugriffskontrollliste) für WAP551 und WAP61.
Schritt 4: Klicken Sie auf Add ACL (ACL hinzufügen), um eine neue ACL zu erstellen.
Hinweis: Wenn IPv4 in der Dropdown-Liste "ACL Type" (ACL-Typ) ausgewählt wird, führen Sie die unten aufgeführten Schritte aus, um die IPv4-ACL-Regeln zu konfigurieren.
Schritt 1: Wählen Sie die erstellte ACL aus der Dropdown-Liste ACL Name-ACL Type (ACL-Name-ACL-Typ) aus.
Schritt 2: Wenn eine neue Regel konfiguriert werden muss und weniger als 10 Regeln für die ausgewählte ACL vorhanden sind, wählen Sie Neue Regel aus der Dropdown-Liste Regel. Wählen Sie andernfalls eine der aktuellen Regeln aus der Dropdown-Liste "Regel" aus.
Hinweis: Es können maximal 10 Regeln für eine einzelne ACL erstellt werden.
Schritt 3: Wählen Sie in der Dropdown-Liste Aktion die Aktion für die ACL-Regel aus.
・ Verweigern - Blockiert sämtlichen Datenverkehr, der die Regelkriterien erfüllt, um in das WAP-Gerät einzutreten oder es zu verlassen.
・ Zulassen - Ermöglicht dem gesamten Datenverkehr, der die Regelkriterien erfüllt, das Betreten oder Verlassen des WAP-Geräts.
Hinweis: Alle folgenden Schritte sind optional. Aktivierte Kontrollkästchen werden aktiviert. Deaktivieren Sie das Kontrollkästchen, wenn Sie keine bestimmte Regel anwenden möchten.
Schritt 4: Aktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um die Regel für jeden Frame oder jedes Paket unabhängig vom Inhalt zuzuordnen. Deaktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um weitere Zuordnungskriterien zu konfigurieren.
Timesaver: Wenn "Jedes Paket abgleichen" aktiviert ist, fahren Sie mit Schritt 10 fort.
Schritt 5: Aktivieren Sie das Kontrollkästchen Protocol (Protokoll), um eine Bedingung für die Übereinstimmung mit einem L3- oder L4-Protokoll zu verwenden, die auf dem Wert des IP-Protokollfelds in IPv4-Paketen basiert. Wenn das Kontrollkästchen Protokoll aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:
・ Wählen Sie aus Liste — Protokoll aus der Dropdown-Liste Aus Liste auswählen aus.
・ Match to Value — Für Protokoll, das nicht in der Liste aufgeführt ist. Geben Sie eine standardmäßige IANA-zugewiesene Protokoll-ID im Bereich von 0 bis 255 ein.
Schritt 6: Aktivieren Sie das Kontrollkästchen Quell-IP-Adresse, um die IP-Adresse der Quelle in die Übereinstimmungsbedingung einzubeziehen. Geben Sie die IP-Adresse und die Platzhaltermaske der Quelle in die entsprechenden Felder ein.
Schritt 7. Aktivieren Sie das Kontrollkästchen Source Port (Quellport), um einen Quellport in die Übereinstimmungsbedingung einzuschließen. Wenn das Kontrollkästchen Quellport aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:
・ Wählen Sie aus der Liste — Quellport aus, der in der Dropdown-Liste "Aus Liste auswählen" ausgewählt werden soll.
・ Match to Port (Übereinstimmung mit Port) - Für Quellport, der nicht in der Liste aufgeführt ist. Geben Sie die Portnummer ein, die zwischen 0 und 65535 liegt und drei verschiedene Port-Typen umfasst.
- 0 bis 1023 — Bekannte Ports.
- 1024 bis 49151 — Registrierte Ports
- 49152 bis 65535 — Dynamische und/oder private Ports
Schritt 8: Aktivieren Sie das Kontrollkästchen Ziel-IP-Adresse, um die IP-Adresse des Ziels in die Übereinstimmungsbedingung einzuschließen. Geben Sie die IP-Adresse und die Platzhaltermaske des Ziels in die entsprechenden Felder ein.
Schritt 9. Aktivieren Sie das Kontrollkästchen Destination Port (Zielport), um einen Zielport in die Übereinstimmungsbedingung einzubeziehen. Wenn das Kontrollkästchen Destination Port (Zielport) aktiviert ist, klicken Sie auf eines dieser Optionsfelder.
・ Wählen Sie einen Zielport aus der Liste aus, den Sie in der Dropdown-Liste "Aus Liste auswählen" auswählen möchten.
・ Übereinstimmung mit Port — Für Zielport, der nicht in der Liste aufgeführt ist. Geben Sie im Feld "Match to Port" (Übereinstimmung mit Port) die Portnummer zwischen 0 und 65535 ein. Der Portbereich umfasst drei verschiedene Port-Typen.
- 0 bis 1023 — Bekannte Ports.
- 1024 bis 49151 — Registrierte Häfen
- 49152 bis 65535 — Dynamische und/oder private Ports
Hinweis: Im Bereich "Servicetyp" kann nur einer der Services ausgewählt und für die Übereinstimmungsbedingung hinzugefügt werden.
Schritt 10. Aktivieren Sie das Kontrollkästchen IP DSCP, um Pakete basierend auf IP DSCP-Werten zuzuordnen. Wenn das Kontrollkästchen IP DSCP aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:
・ Aus Liste auswählen — Wählen Sie den gewünschten IP-DSCP-Wert aus der Dropdown-Liste aus.
・ Match to Value - Dient zum Anpassen von DSCP-Werten. Geben Sie im Feld Match to value den DSCP-Wert ein, der zwischen 0 und 63 liegt.
Schritt 11. Aktivieren Sie das Kontrollkästchen IP Precedence (IP-Rangfolge), um einen IP Precedence-Wert in die Übereinstimmungsbedingung einzuschließen. Wenn das Kontrollkästchen IP Precedence (IP-Rangfolge) aktiviert ist, geben Sie einen Wert für die IP-Rangfolge zwischen 0 und 7 ein. Die IP-Rangfolgewerte und die entsprechende Wertbeschreibung lassen sich wie folgt erläutern:
・ 0 — Routine oder bestmöglicher Aufwand
・ 1 — Priorität
・ 2 — Sofort
・ 3 — Flash (hauptsächlich für Sprachsignale oder für Video verwendet)
・ 4 — Flash-Übersteuerung
・ 5 — Kritisch (wird hauptsächlich für Sprach-RTP verwendet)
・ 6 — Internet
・ 7 — Netzwerk
Schritt 12: Aktivieren Sie das Kontrollkästchen IP-TOS-Bits, um die Type of Service-Bits im IP-Header als Anpassungskriterien zu verwenden. Wenn das Kontrollkästchen IP-TOS-Bits aktiviert ist, geben Sie die IP-TOS-Bits zwischen 00 und FF und die IP-TOS-Maske zwischen 00 und FF in die entsprechenden Felder ein.
Schritt 13: Um die konfigurierte ACL zu löschen, aktivieren Sie das Kontrollkästchen Delete ACL (ACL löschen), und klicken Sie dann auf Save.
Hinweis: Wenn IPv6 in der Dropdown-Liste "ACL Type" (ACL-Typ) ausgewählt wird, führen Sie die unten aufgeführten Schritte aus, um die IPv6-ACL-Regeln zu konfigurieren.
Schritt 1: Wählen Sie die erstellte ACL aus der Dropdown-Liste ACL Name-ACL Type (ACL-Name-ACL-Typ) aus.
Schritt 2: Wenn eine neue Regel für die ausgewählte ACL konfiguriert werden muss, wählen Sie Neue Regel aus der Dropdown-Liste Regel. Wählen Sie andernfalls eine der vorhandenen Regeln aus der Dropdown-Liste Regel aus.
Hinweis: Für eine einzelne ACL können maximal 10 Regeln erstellt werden.
Schritt 3: Wählen Sie in der Dropdown-Liste Aktion die Aktion für die ACL-Regel aus.
・ Verweigern - Blockiert sämtlichen Datenverkehr, der die Regelkriterien erfüllt, um in das WAP-Gerät einzutreten oder es zu verlassen.
・ Zulassen - Ermöglicht dem gesamten Datenverkehr, der die Regelkriterien erfüllt, das Betreten oder Verlassen des WAP-Geräts.
Hinweis: Alle folgenden Schritte sind optional. Aktivierte Kontrollkästchen werden aktiviert. Deaktivieren Sie das Kontrollkästchen, wenn Sie keine bestimmte Regel anwenden möchten.
Schritt 4: Aktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um die Regel für jeden Frame oder jedes Paket unabhängig vom Inhalt zuzuordnen. Deaktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um weitere Zuordnungskriterien zu konfigurieren.
Timesaver: Wenn "Jedes Paket abgleichen" aktiviert ist, fahren Sie mit Schritt 12 fort.
Schritt 5: Aktivieren Sie das Kontrollkästchen Protocol (Protokoll), um eine Bedingung für die Übereinstimmung mit einem L3- oder L4-Protokoll zu verwenden, die auf dem Wert des IP-Protokollfelds in IPv6-Paketen basiert. Wenn das Kontrollkästchen Protokoll aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder.
・ Wählen Sie aus Liste — Protokoll aus der Dropdown-Liste Aus Liste auswählen aus.
・ Match to Value — Für Protokoll, das nicht in der Liste aufgeführt ist. Geben Sie eine standardmäßige IANA-zugewiesene Protokoll-ID im Bereich von 0 bis 255 ein.
Schritt 6: Aktivieren Sie das Kontrollkästchen Quell-IP-Adresse, um eine IP-Adresse der Quelle in die Übereinstimmungsbedingung einzubeziehen. Geben Sie die IP-Adresse und die Platzhaltermaske der Quelle in die entsprechenden Felder ein.
Schritt 7. Aktivieren Sie das Kontrollkästchen Source Port (Quellport), um einen Quellport in die Übereinstimmungsbedingung einzuschließen. Wenn das Kontrollkästchen Quellport aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:
・ Wählen Sie aus der Liste — Quellport aus, der in der Dropdown-Liste "Aus Liste auswählen" ausgewählt werden soll.
・ Übereinstimmung mit Port — Für Quellports, die nicht in der Liste aufgeführt sind. Geben Sie die Portnummer ein, die zwischen 0 und 65535 liegt und drei verschiedene Port-Typen umfasst.
- 0 bis 1023 — Bekannte Ports.
- 1024 bis 49151 — Registrierte Ports
- 49152 bis 65535 — Dynamische und/oder private Ports
Schritt 8: Aktivieren Sie das Kontrollkästchen Ziel-IP-Adresse, um die IP-Adresse des Ziels in die Übereinstimmungsbedingung einzuschließen. Geben Sie die IP-Adresse und die Platzhaltermaske des Ziels in die entsprechenden Felder ein.
Schritt 9. Aktivieren Sie das Kontrollkästchen Destination Port (Zielport), um einen Zielport in die Übereinstimmungsbedingung einzubeziehen. Wenn das Kontrollkästchen Zielport aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:
・ Wählen Sie einen Zielport aus der Liste aus, den Sie in der Dropdown-Liste "Aus Liste auswählen" auswählen möchten.
・ Übereinstimmung mit Port — Für Zielport, der nicht in der Liste aufgeführt ist. Geben Sie im Feld "Match to Port" (Übereinstimmung mit Port) die Portnummer zwischen 0 und 65535 ein. Der Portbereich umfasst drei verschiedene Port-Typen.
- 0 bis 1023 — Bekannte Ports.
- 1024 bis 49151 — Registrierte Häfen
- 49152 bis 65535 — Dynamische und/oder private Ports
Schritt 10. Aktivieren Sie das Kontrollkästchen IPv6 Flow-Label, um das IPv6 Flow-Label in die Übereinstimmungsbedingung aufzunehmen. Das 20-Bit-Flow-Label-Feld im IPv6-Header kann von einer Quelle verwendet werden, um eine Gruppe von Paketen zu kennzeichnen, die zu demselben Flow gehören. Geben Sie im Feld für die IPv6-Flowbezeichnung die Zahl ein, die zwischen 00000 und FFFFF liegt.
Schritt 11. Aktivieren Sie das Kontrollkästchen IPv6 DSCP, um die IP DSCP-Werte in die Übereinstimmungsbedingung aufzunehmen. Wenn das Kontrollkästchen IP DSCP aktiviert ist, klicken Sie auf eines dieser Optionsfelder.
・ Wählen Sie Aus Liste — IP-DSCP-Wert aus, der in der Dropdown-Liste Aus Liste auswählen ausgewählt werden soll.
・ Match to Value - Dient zum Anpassen des DSCP-Werts, der zwischen 0 und 63 liegt.
Schritt 12: (Optional) Um die konfigurierte ACL zu löschen, aktivieren Sie das Kontrollkästchen Delete ACL.
Schritt 13: Klicken Sie auf Speichern.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
10-Dec-2018 |
Erstveröffentlichung |