Configurez la liste de contrôle d'accès IPv4-based (ACL) et l'entrée de contrôle d'accès (ACE) sur un commutateur

Objectif

Une liste de contrôle d'accès (ACL) est des filtres d'un trafic de liste de réseaux et des actions corrélées utilisés pour améliorer la Sécurité. Il bloque ou permet à des utilisateurs pour accéder aux ressources spécifiques. Un ACL contient les hôtes qui sont permis ou accès refusé au périphérique de réseau.

L'ACL IPv4-based est une liste d'adresses d'ipv4 de source qui emploient les informations de la couche 3 pour permettre ou refuser à l'accès pour trafiquer. L'ipv4 ACLs limitent le trafic lié à l'IP basé sur les filtres configurés IP. Un filtre contient les règles d'apparier un paquet IP, et si le paquet s'assortit, la règle stipule également si le paquet est permis ou refusé.

Un entrée de contrôle d'accès (ACE) contient les critères réels de règle d'accès. Une fois qu'ACE est créé, il est appliqué à un ACL.

Vous devriez employer des Listes d'accès pour fournir un niveau de base de Sécurité pour accéder à votre réseau. Si vous ne configurez pas des Listes d'accès sur vos périphériques de réseau, on pourrait permettre tous les paquets traversant le commutateur ou le routeur sur toutes les parties de votre réseau.

Cet article prévoit des instructions sur la façon dont configurer l'ACL et l'ACE IPv4-based sur votre commutateur géré.

Périphériques applicables

• Gamme Sx350
• Gamme SG350X
• Gamme Sx500
• Gamme Sx550X

Version de logiciel

• 1.4.5.02 – Gamme Sx500
• 2.2.5.68 – Gamme Sx350, gamme SG350X, gamme Sx550X

Configurez l'ACL et l'ACE IPv4-Based

Configurez l'ACL IPv4-Based

Étape 1. La procédure de connexion à l'utilitaire basé sur le WEB vont alors à l'ACL de contrôle d'accès > IPv4-Based.

Étape 2. Cliquez sur le bouton d'ajouter.

Étape 3. Écrivez le nom du nouvel ACL dans la zone d'identification d'ACL.

Remarque: Dans cet exemple, l'ACL d'ipv4 est utilisé.

Étape 4. Cliquez sur Apply cliquent sur alors étroitement.

Sauvegarde (facultative) de clic d'étape 5. pour sauvegarder des configurations dans le fichier de configuration de démarrage.

Vous devriez maintenant avoir configuré un ACL IPv4-based sur votre commutateur.

Configurez IPv4-Based ACE

Quand un paquet est reçu sur un port, le commutateur traite le paquet par le premier ACL. Si le paquet apparie un filtre d'ACE du premier ACL, l'action d'ACE a lieu. Si le paquet n'en apparie aucun des filtres d'ACE, le prochain ACL est traité. Si aucune correspondance n'est trouvée à aucun ACE dans tout l'ACLs approprié, le paquet est lâché par défaut.

Dans ce scénario, ACE sera créé pour refuser le trafic qui est envoyé d'un ipv4 addres défini par l'utilisateur spécifique de source à toutes les adresses de destination.

Remarque: Cette action par défaut peut être évitée par la création d'une faible priorité ACE qui permet tout le trafic.

Étape 1. Sur l'utilitaire basé sur le WEB, allez au contrôle d'accès > à l'IPv4-Based ACE.

Important : Pour utiliser entièrement les caractéristiques et les fonctions disponibles du commutateur, modification au mode avancé en choisissant avancé de la liste déroulante de mode d'affichage dans l'angle supérieur droit de la page.

Étape 2. Choisissez un ACL de la liste déroulante de nom d'ACL puis cliquez sur Go.

Remarque: Les as qui sont déjà configurés pour l'ACL seront affichés dans la table.

Étape 3. Cliquez sur le bouton d'ajouter pour ajouter une nouvelle règle à l'ACL.

Remarque: La zone d'identification d'ACL affiche le nom de l'ACL.

Étape 4. Écrivez la valeur prioritaire pour ACE dans le champ de priorité. Des as avec une valeur plus prioritaire sont traités d'abord. La valeur 1 est la plus prioritaire. Il a une plage de 1 à 2147483647.

Remarque: Dans cet exemple, 2 est utilisés.

Étape 5. Cliquez sur la case d'option qui correspond à l'action désirée qui est prise quand une trame répond aux critères exigés d'ACE.

Remarque: Dans cet exemple, l'autorisation est choisie.

• Autorisation — De commutateur les paquets en avant qui répondent aux critères exigés d'ACE.
• Refusez — Le commutateur relâche les paquets qui répondent aux critères exigés d'ACE.
• Arrêt — Le commutateur relâche les paquets qui ne répondent pas aux critères exigés d'ACE et désactive le port où les paquets ont été reçus.

Remarque: Des ports désactivés peuvent être réactivés sur la page Settings de port.

Contrôle (facultatif) d'étape 6. l'enable se connectant la case pour activer se connecter des écoulements d'ACL qui apparient la règle d'ACL.

Contrôle (facultatif) d'étape 7. la case de plage de temps d'enable pour permettre une plage de temps à configurer à ACE. Des plages de temps sont utilisées pour limiter la durée qu'ACE est en vigueur.

Étape 8. (facultative) de la liste déroulante de nom de plage de temps, choisissent une plage de temps pour s'appliquer à ACE.

Remarque: Vous pouvez cliquer sur Edit pour naviguer et créer une plage de temps à la page de plage de temps.

Étape 9. Choisissez un taper de protocole dedans la région de Protocol. ACE sera créé a basé sur un protocole ou un ID spécifique de protocole.

Les options sont :

• Quels (IP) — Cette option configurera ACE pour recevoir tous les protocoles IP.
• Choisissez parmi la liste — Cette option te permettra pour choisir un protocole d'une liste déroulante. Si vous préférez cette option, ignorez à l'étape 10.
• ID de Protocol à apparier — Cette option te permettra pour écrire un ID de protocole. Si vous préférez cette option, ignorez à l'étape 11.

Remarque: Dans cet exemple, (IP) en est choisi.

Étape 10. (facultative) si vous choisissiez choisi de la liste dans l'étape 9, choisissent un protocole de la liste déroulante.

Les options sont :

• ICMP — Internet Control Message Protocol
• IP-in-IP — Encapsulation d'IP-in-IP
• TCP — Transmission Control Protocol
• EGP — Exterior Gateway Protocol
• IGP — Interior Gateway Protocol
• UDP — User Datagram Protocol
• HMP — Hôte traçant Protocol
• LA RDP — Datagram Protocol fiable
• IDPR — Routage de politique de routage interdomaine
• IPV6 — IPv6 au-dessus du perçage d'un tunnel d'ipv4
• IPV6:ROUT — Paquets de correspondances appartenant à l'IPv6 au-dessus de l'artère d'ipv4 par une passerelle
• IPV6:FRAG — Les paquets de correspondances appartenant à l'IPv6 au-dessus de l'ipv4 fragmentent l'en-tête
• IDRP — Protocole de routage IS-IS Interdomain
• RSVP — Réservation Protocol
• OH — En-tête d'authentification
• IPV6:ICMP — ICMP pour l'IPv6
• EIGRP — Protocole de routage de passerelle intérieure amélioré
• OSPF — Protocole OSPF
• IPIP — IP-in-IP
• PIM — Protocol Independent Multicast
• L2TP — Layer 2 Tunneling Protocol

Étape 11. (facultative) si vous choisissiez l'ID de Protocol pour être assorti dans l'étape 9, écrivent l'ID de protocole dans l'ID de Protocol au match field.

Étape 12. Cliquez sur la case d'option qui correspond aux critères désirés d'ACE dans la région d'adresse IP source.

Les options sont :

• Quels — Toutes les adresses d'ipv4 de source s'appliquent à ACE.
• Défini par l'utilisateur — Écrivez une adresse IP et un masque de masque IP qui doivent être appliqués à ACE dans la valeur d'adresse IP source et les domaines de masque de masque de source ip. Des masques de masque sont utilisés pour définir une plage des adresses IP.

Remarque: Dans cet exemple, défini par l'utilisateur est choisi. Si vous en choisissiez, ignorez à l'étape 15.

Étape 13. Entrez dans l'adresse IP source dans le domaine de valeur d'adresse IP source.

Remarque: Dans cet exemple, 192.168.1.1 est utilisé.

Étape 14. Écrivez le masque de masque de source dans le domaine de masque de masque de source ip.

Remarque: Dans cet exemple, 0.0.0.255 est utilisé.

Étape 15. Cliquez sur la case d'option qui correspond aux critères désirés d'ACE dans la région d'adresse IP de destination.

Les options sont :

• Quels — Toutes les adresses d'ipv4 de destination s'appliquent à ACE.
• Défini par l'utilisateur — Écrivez une adresse IP et un masque de masque IP qui doivent être appliqués à ACE des champs de masque de masque dans de destination d'adresse IP de valeur et de destination IP. Des masques de masque sont utilisés pour définir une plage des adresses IP.

Remarque: Dans cet exemple, en est choisi. Choisir cette option signifie qu'ACE à créer permettra ACE trafiquent provenant l'ipv4 addres spécifié à n'importe quelle destination.

Étape 16. (Facultatif) cliquez sur une case d'option dans la région de port de source. La valeur par défaut en est.

• Quels — Correspondance à tous les ports de source.
• Choisissez de la liste — Vous pouvez choisir un port simple de source TCP/UDP auquel des paquets sont appariés. Ce champ est en activité seulement si 800/6-TCP ou 800/17-UDP est choisi dans le choisi du menu déroulant de liste.
• Choisissez par le nombre — Vous pouvez choisir un port simple de source TCP/UDP auquel des paquets sont appariés. Ce champ est en activité seulement si 800/6-TCP ou 800/17-UDP est choisi dans le choisi du menu déroulant de liste.
• Plage — Vous pouvez choisir une plage des ports de source TCP/UDP auxquels le paquet est apparié. Il y a huit plages différentes de port qui peuvent être configurées (partagé entre la source et les destinations port). Les protocoles chacun de TCP et UDP ont huit plages de port.

Étape 17. (Facultatif) cliquez sur une case d'option dans la région de destination port. La valeur par défaut en est.

• Quels — Correspondance à tous les ports de source
• Choisissez de la liste — Vous pouvez choisir un port simple de source TCP/UDP auquel des paquets sont appariés. Ce champ est en activité seulement si 800/6-TCP ou 800/17-UDP est choisi dans le choisi du menu déroulant de liste.
• Choisissez par le nombre — Vous pouvez choisir un port simple de source TCP/UDP auquel des paquets sont appariés. Ce champ est en activité seulement si 800/6-TCP ou 800/17-UDP est choisi dans le choisi du menu déroulant de liste.
• Plage — Vous pouvez choisir une plage des ports de source TCP/UDP auxquels le paquet est apparié. Il y a huit plages différentes de port qui peuvent être configurées (partagé entre la source et les destinations port). Les protocoles chacun de TCP et UDP ont huit plages de port.

Étape 18. (Facultatif) dans le TCP signale la zone, choisissent un ou plusieurs indicateurs de TCP avec lesquels pour filtrer des paquets. Des paquets filtrés sont expédiés ou lâchés. Le filtrage des paquets par des indicateurs de TCP augmente le contrôle de paquet, qui augmente la sécurité des réseaux.

• Positionnement — Appariez si l'indicateur est placé.
• Supprimé — Appariez si l'indicateur n'est pas placé.
• Ne vous inquiétez pas — Ignorez l'indicateur de TCP.

Les indicateurs de TCP sont :

• Urg — Cet indicateur est utilisé pour identifier des données entrantes comme urgentes.
• ACK — Cet indicateur est utilisé pour accuser réception réussie des paquets.
• Psh — Cet indicateur est utilisé pour s'assurer que les données sont accordées la priorité (cette elles méritent) et sont traitées à l'envoi ou à l'extrémité réceptrice.
• Rst — Cet indicateur est utilisé quand un segment arrive qui n'est pas destiné pour la connexion en cours.
• Syn — Cet indicateur est utilisé pour des transmissions de TCP.
• FIN — Cet indicateur est utilisé quand la transmission ou le transfert des données est de finition.

Étape 19. (Facultatif) cliquez sur le type de service du paquet IP du type de zone de service.

Les options sont :

• Quels — Ce peut être n'importe quel type de service pour des embouteillages.
• Le DSCP au match dscp est un mécanisme pour classifier et gérer le trafic réseau. Six bits (0-63) est utilisés pour sélectionner par comportement de saut des expériences d'un paquet à chaque noeud.
• La Priorité IP au match ip precedence est un modèle de Type de service (ToS) qui les utilisations de réseau d'aider à fournir les engagements appropriés de Qualité de service (QoS). Ce modèle utilise les trois bits les plus significatifs de l'octet de type de service dans l'en-tête IP, comme décrit dans RFC 791 et RFC 1349. Le mot clé avec la valeur de préférence IP sont le suivant :

– 0 — pour la routine

– 1 — pour la priorité

– 2 — pour immédiat

– 3 — pour l'éclair

– 4 — pour l'éclair-dépassement

– 5 — pour essentiel

– 6 — pour l'Internet

– 7 — pour le réseau

Étape 20. (Facultatif) si le protocole IP de l'ACL est ICMP, cliquez sur le type de message ICMP utilisé pour filtrer des buts. Choisissez le type de message de nom ou écrivez le type de message nombre :

• Quels — Tous les types de message sont reçus.
• Choisissez parmi la liste — Vous pouvez choisir le type de message de nom.
• Type ICMP à apparier — Le nombre de type de message à utiliser pour filtrer des buts. Il a une plage de 0 à 255.

Étape 21. (Facultatif) les messages ICMP peuvent avoir un champ code qui indique comment manipuler le message. Cliquez sur une des options suivantes de configurer si filtrer sur ce code :

• Quels — Recevez tous les codes.
• Défini par l'utilisateur — Vous pouvez écrire un code d'ICMP pour le filtrage. Il a une plage de 0 à 255.

Étape 22. (Facultatif) si l'ACL est basé sur IGMP, cliquez sur le type de message IGMP à utiliser pour filtrer des buts. Choisissez le type de message de nom ou écrivez le type de message nombre :

• Quels — Tous les types de message sont reçus.
• Choisissez parmi la liste — Vous pouvez choisir des options l'unes des de la liste déroulante :
• DVMRP — Utilise une technique d'inondation de chemin inverse, envoyant une copie d'un paquet reçu par chaque interface excepté celle à laquelle le paquet est arrivé.
• Hôte-requête — Envoie périodiquement les messages généraux d'hôte-requête sur chaque réseau relié pour information.
• Hôte-réponse — Elle répond à la requête.
• PIM — Le Protocol Independent Multicast (PIM) est utilisé entre les routeurs multidiffusion locaux et distants pour diriger le trafic de multidiffusion du serveur multicast vers beaucoup de clients de Multidiffusion.
• Suivi — Fournit des informations au sujet de joindre et de laisser les groupes de multidiffusion IGMP.
• Type IGMP à apparier — Le nombre de type de message qui doit être utilisé pour filtrer des buts. Il a une plage de 0 à 255.

Étape 23. Cliquez sur Apply cliquent sur alors étroitement. ACE est créé et associé à l'ACL le nom.

Étape 24. Sauvegarde de clic pour sauvegarder des configurations au fichier de configuration de démarrage.

Vous devriez maintenant avoir configuré un IPv4-based ACE sur votre commutateur.