Konfiguration von IPv4- und IPv6-basierten Zugriffskontrolllisten (ACLs) auf WAP551- und WAP561-Access Points

Download-Optionen

  • PDF     (146.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (151.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (368.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. Dezember 2018
Dokument-ID:SMB4338

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Konfiguration von IPv4- und IPv6-basierten Zugriffskontrolllisten (ACLs) auf WAP551- und WAP561-Access Points

Ziel

Zugriffslisten (ACLs) sind Zusammenstellungen von Zulassen- und Ablehnungsbedingungen (auch als Regeln bezeichnet), die Sicherheit bieten, um nicht autorisierte Benutzer zu blockieren und autorisierten Benutzern den Zugriff auf bestimmte Ressourcen zu ermöglichen. ACLs können alle ungerechtfertigten Versuche blockieren, Netzwerkressourcen zu erreichen. Die QoS-Funktion umfasst Differentiated Services (DiffServ)-Unterstützung, die die Klassifizierung von Datenverkehr in Streams und die Bereitstellung bestimmter QoS-Behandlungen gemäß definiertem PoS-Verhalten pro Hop ermöglicht.

In diesem Artikel wird erläutert, wie IPv4- und IPv6-basierte Zugriffskontrolllisten auf WAP551- und WAP561-Access Points (WAP) erstellt und konfiguriert werden.

Anwendbare Geräte

WAP551
WAP561

Softwareversion

· v1.0.4.2

ACL-Konfiguration

IP-ACLs klassifizieren den Datenverkehr für Layer 3 im IP-Stack. Jede ACL umfasst bis zu 10 Regeln, die auf Datenverkehr angewendet werden, der von einem Wireless-Client gesendet oder von einem Wireless-Client empfangen wird. Jede Regel legt fest, ob der Inhalt eines Felds verwendet werden soll, um den Zugriff auf das Netzwerk zu ermöglichen oder zu verweigern. Regeln können auf verschiedenen Kriterien basieren und können für ein oder mehrere Felder innerhalb eines Pakets gelten, z. B. die Quell- oder Ziel-IP-Adresse, den Quell- oder Zielport oder das im Paket übertragene Protokoll.

Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Client QoS > ACL aus. Die Seite ACL wird geöffnet:

Schritt 2: Geben Sie im Feld ACL Name (ACL-Name) den Namen der ACL ein.

Schritt 3: Wählen Sie in der Dropdown-Liste ACL Type (ACL-Typ) den gewünschten ACL-Typ aus. Wenn IPv6 ausgewählt ist, lesen Sie den Abschnitt "Konfiguration der IPv6-ACL". Wenn die MAC-basierte ACL aus der Dropdown-Liste "ACL Type" (ACL-Typ) ausgewählt wird, lesen Sie den Artikel Konfiguration der MAC-basierten Zugriffskontrollliste (ACL) für WAP551 und WAP561 Access Points.

Schritt 4: Klicken Sie auf ACL hinzufügen, um eine neue ACL zu erstellen.

IPv4-ACL-Konfiguration

Hinweis: Wenn IPv4 aus der Dropdown-Liste "ACL Type" (ACL-Typ) ausgewählt wurde, führen Sie die unten aufgeführten Schritte aus, um die IPv4-ACL-Regeln zu konfigurieren.

Schritt 1: Wählen Sie die erstellte ACL aus der Dropdown-Liste Name-ACL Type (ACL-Typ) aus.

Schritt 2: Wenn eine neue Regel konfiguriert werden muss und es weniger als 10 Regeln für die ausgewählte ACL gibt, wählen Sie Neue Regel aus der Dropdown-Liste Regel. Wählen Sie andernfalls eine der aktuellen Regeln aus der Dropdown-Liste Regel aus.

Hinweis: Es können maximal 10 Regeln für eine einzige ACL erstellt werden.

Schritt 3: Wählen Sie die Aktion für die ACL-Regel aus der Dropdown-Liste Aktion aus.

· Verweigern: Blockiert den gesamten Datenverkehr, der die Regelkriterien für die Ein- bzw. Ausfahrt des WAP-Geräts erfüllt.

· Zulassen - Ermöglicht allen Datenverkehr, der die Regelkriterien erfüllt, ein- oder auszusteigen.

Hinweis: Die folgenden Schritte sind optional. Die aktivierten Felder werden aktiviert. Deaktivieren Sie das Kontrollkästchen, wenn Sie keine bestimmte Regel anwenden möchten.

Schritt 4: Aktivieren Sie das Kontrollkästchen Jedes Paket zuordnen, um die Regel für jeden Frame oder jedes Paket zu übernehmen, unabhängig vom Inhalt. Deaktivieren Sie das Kontrollkästchen Jedes Paket zuordnen, um weitere Zuordnungskriterien zu konfigurieren.

Timesaver: Wenn jedes Paket zuordnen aktiviert ist, fahren Sie mit Schritt 10 fort.

Schritt 5: Aktivieren Sie das Kontrollkästchen Protocol (Protokoll), um eine L3- oder L4-Protokollabgleichbedingung zu verwenden, die auf dem Wert des IP-Protokollfelds in IPv4-Paketen basiert. Wenn das Kontrollkästchen Protokoll aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:

· Wählen Sie Aus Liste - Protokoll aus, um aus der Dropdown-Liste "Aus Liste auswählen" auszuwählen.

· Dem Wert zuordnen - Für das Protokoll, das nicht in der Liste aufgeführt ist. Geben Sie einen standardmäßigen, IANA zugewiesenen Protokoll-ID-Bereich zwischen 0 und 255 ein.

Schritt 6: Aktivieren Sie das Kontrollkästchen Quell-IP-Adresse, um die IP-Adresse der Quelle in den Match-Zustand einzubeziehen. Geben Sie die IP-Adresse und die Platzhaltermaske der Quelle in die entsprechenden Felder ein. 

Schritt 7: Aktivieren Sie das Kontrollkästchen Quellport, um einen Quellport in die Übereinstimmung einzubeziehen. Wenn das Kontrollkästchen Quellport aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:

· Wählen Sie Aus Liste - Quellport aus, der aus der Dropdown-Liste "Aus Liste auswählen" ausgewählt werden soll. 

· "Match to Port" (Zuordnung zum Port) - Für Quellport, der nicht in der Liste aufgeführt ist. Geben Sie die Portnummer zwischen 0 und 65535 ein, die drei verschiedene Porttypen umfasst.

- 0 bis 1023 — Bekannte Ports.

- 1024 bis 49151 — Registrierte Ports

- 49152 bis 65535 — Dynamische und/oder private Ports

Schritt 8: Aktivieren Sie das Kontrollkästchen Ziel-IP-Adresse, um die IP-Adresse des Ziels in die Übereinstimmung einzubeziehen. Geben Sie die IP-Adresse und die Platzhaltermaske des Ziels in die entsprechenden Felder ein. 

Schritt 9: Aktivieren Sie das Kontrollkästchen Ziel-Port, um einen Zielport in die Übereinstimmung einzubeziehen. Wenn das Kontrollkästchen Destination Port (Zielport) aktiviert ist, klicken Sie auf eine dieser Optionsfelder.

· Wählen Sie Aus Liste - Zielport aus, um aus der Dropdown-Liste Select From List (Von Liste auswählen) auszuwählen.

· "Match to Port" (Zuordnung zum Port) - Für Zielport, der nicht in der Liste aufgeführt ist. Geben Sie im Feld Übereinstimmung mit Port die Portnummer zwischen 0 und 65535 ein. Der Bereich umfasst drei verschiedene Port-Typen.

- 0 bis 1023 — Bekannte Ports.

- 1024 bis 49151 — Registrierte Ports

- 49152 bis 65535 - Dynamische und/oder private Ports

Hinweis: Im Bereich "Service Type" (Servicetyp) kann nur einer der Services ausgewählt und für die Übereinstimmung hinzugefügt werden.

 

Schritt 10: Aktivieren Sie das Kontrollkästchen IP DSCP, um die Pakete auf der Grundlage von IP-DSCP-Werten abzugleichen. Wenn das Kontrollkästchen IP DSCP aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:

· Aus Liste auswählen: Wählen Sie den gewünschten IP-DSCP-Wert aus der Dropdown-Liste "Aus Liste auswählen" aus.

· Dem Wert zuordnen - Zum Anpassen von DSCP-Werten. Geben Sie im Feld "Match to Value" (Zuordnung zu Wert) den DSCP-Wert zwischen 0 und 63 ein. 

Schritt 11: Aktivieren Sie das Kontrollkästchen IP Precedence (IP-Rangfolge), um einen IP Precedence-Wert in die Übereinstimmung einzubeziehen. Wenn das Kontrollkästchen IP Precedence (IP-Rangfolge) aktiviert ist, geben Sie einen IP-Rangfolgewert zwischen 0 und 7 ein. Die IP-Rangfolgewerte und die entsprechende Wertbeschreibung können wie folgt erklärt werden:

· 0 - Routinemäßiger oder bestmöglicher Aufwand

· 1 - Priorität

· 2 — Sofort

· 3 — Flash (hauptsächlich für Sprachsignalisierung oder Video verwendet)

· 4 - Flash Override

· 5 - Kritisch (hauptsächlich für Sprach-RTP verwendet)

· 6 - Internet

· 7 - Netzwerk

Schritt 12: Aktivieren Sie das Kontrollkästchen IP TOS Bits, um die Type of Service bits im IP-Header als Abgleichskriterien zu verwenden. Wenn das Kontrollkästchen IP TOS Bits aktiviert ist, geben Sie die IP TOS-Bits zwischen 00 und FF und die IP TOS-Maske zwischen 00 und FF in die entsprechenden Felder ein.

Schritt 13: Um die konfigurierte ACL zu löschen, aktivieren Sie das Kontrollkästchen ACL löschen und klicken Sie anschließend auf Speichern.

IPv6-ACL-Konfiguration

Hinweis: Wenn IPv6 aus der Dropdown-Liste "ACL Type" (ACL-Typ) ausgewählt wurde, führen Sie die unten aufgeführten Schritte aus, um die IPv6 ACL-Regeln zu konfigurieren.

Schritt 1: Wählen Sie die erstellte ACL aus der Dropdown-Liste Name-ACL Type (ACL-Typ) aus.

Schritt 2: Wenn für die ausgewählte ACL eine neue Regel konfiguriert werden muss, wählen Sie in der Dropdown-Liste "Regel" die Option Neue Regel aus. Wählen Sie andernfalls eine der aktuellen Regeln aus der Dropdown-Liste Regel.

Hinweis: Es können maximal 10 Regeln für eine einzige ACL erstellt werden.

Schritt 3: Wählen Sie die Aktion für die ACL-Regel aus der Dropdown-Liste Aktion aus.

· Verweigern: Blockiert den gesamten Datenverkehr, der die Regelkriterien für die Ein- bzw. Ausfahrt des WAP-Geräts erfüllt.

· Zulassen - Ermöglicht allen Datenverkehr, der die Regelkriterien erfüllt, ein- oder auszusteigen.

Hinweis: Die folgenden Schritte sind optional. Die aktivierten Felder werden aktiviert. Deaktivieren Sie das Kontrollkästchen, wenn Sie keine bestimmte Regel anwenden möchten.

Schritt 4: Aktivieren Sie das Kontrollkästchen Jedes Paket zuordnen, um die Regel für jeden Frame oder jedes Paket zu übernehmen, unabhängig vom Inhalt. Deaktivieren Sie das Kontrollkästchen Jedes Paket zuordnen, um weitere Zuordnungskriterien zu konfigurieren.

Timesaver: Wenn jedes Paket zuordnen aktiviert ist, fahren Sie mit Schritt 12 fort.

Schritt 5: Aktivieren Sie das Kontrollkästchen Protocol (Protokoll), um eine L3- oder L4-Protokollabgleichbedingung basierend auf dem Wert des IP-Protokollfelds in IPv6-Paketen zu verwenden. Wenn das Kontrollkästchen Protokoll aktiviert ist, klicken Sie auf eines dieser Optionsfelder.

· Wählen Sie Aus Liste - Protokoll aus, um aus der Dropdown-Liste "Aus Liste auswählen" auszuwählen.

· Dem Wert zuordnen - Für das Protokoll, das nicht in der Liste aufgeführt ist. Geben Sie einen standardmäßigen, IANA zugewiesenen Protokoll-ID-Bereich zwischen 0 und 255 ein.

Schritt 6: Aktivieren Sie das Kontrollkästchen Quell-IP-Adresse, um eine IP-Adresse der Quelle in den Match-Zustand einzuschließen. Geben Sie die IP-Adresse und die Platzhaltermaske der Quelle in die entsprechenden Felder ein. 

Schritt 7: Aktivieren Sie das Kontrollkästchen Quellport, um einen Quellport in die Übereinstimmung einzubeziehen. Wenn das Kontrollkästchen Quellport aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:

· Wählen Sie Aus Liste - Quellport aus, der aus der Dropdown-Liste "Aus Liste auswählen" ausgewählt werden soll. 

· "Match to Port" (Zuordnung zu Port) - Für Quell-Ports, die nicht in der Liste aufgeführt sind. Geben Sie die Portnummer zwischen 0 und 65535 ein, die drei verschiedene Porttypen umfasst.

- 0 bis 1023 — Bekannte Ports.

- 1024 bis 49151 — Registrierte Ports

- 49152 bis 65535 — Dynamische und/oder private Ports

 Schritt 8: Aktivieren Sie das Kontrollkästchen Ziel-IP-Adresse, um die IP-Adresse des Ziels in die Übereinstimmung einzubeziehen. Geben Sie die IP-Adresse und die Platzhaltermaske des Ziels in die entsprechenden Felder ein. 

Schritt 9: Aktivieren Sie das Kontrollkästchen Ziel-Port, um einen Zielport in die Übereinstimmung einzubeziehen. Wenn das Kontrollkästchen Destination Port (Zielport) aktiviert ist, klicken Sie auf eines der folgenden Optionsfelder:

· Wählen Sie Aus Liste - Zielport aus, um aus der Dropdown-Liste Select From List (Von Liste auswählen) auszuwählen.

· "Match to Port" (Zuordnung zum Port) - Für Zielport, der nicht in der Liste aufgeführt ist. Geben Sie im Feld Übereinstimmung mit Port die Portnummer zwischen 0 und 65535 ein. Der Bereich umfasst drei verschiedene Port-Typen.

- 0 bis 1023 — Bekannte Ports.

- 1024 bis 49151 — Registrierte Ports

- 49152 bis 65535 - Dynamische und/oder private Ports

Schritt 10: Aktivieren Sie das Kontrollkästchen IPv6 Flow Label, um die IPv6-Flowbezeichnung in den Match-Zustand aufzunehmen. Das 20-Bit-Flow-Label-Feld im IPv6-Header kann von einer Quelle verwendet werden, um eine Gruppe von Paketen zu diesem Fluss zu kennzeichnen. Geben Sie die Zahl zwischen 00000 und FFFFF im Feld "IPv6 Flow Label" ein. 

Schritt 11: Aktivieren Sie das Kontrollkästchen IPv6 DSCP, um die IP-DSCP-Werte in den entsprechenden Zustand einzubeziehen. Wenn das Kontrollkästchen IP DSCP aktiviert ist, klicken Sie auf eines dieser Optionsfelder.

· Wählen Sie aus der Liste auswählen - Der IP-DSCP-Wert, der aus der Dropdown-Liste "Select From List" (Von Liste auswählen) ausgewählt werden soll.

· Dem Wert zuordnen - Zum Anpassen des DSCP-Werts zwischen 0 und 63

Schritt 12: (Optional) Um die konfigurierte ACL zu löschen, aktivieren Sie das Kontrollkästchen ACL löschen.

Schritt 13: Klicken Sie auf Speichern.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren