Configurez la liste de contrôle d'accès IPv6-based (ACL) et l'entrée de contrôle d'accès (ACE) sur un commutateur

Objectif

Une liste de contrôle d'accès (ACL) est des filtres d'un trafic de liste de réseaux et des actions corrélées utilisés pour améliorer la Sécurité. Il bloque ou permet à des utilisateurs pour accéder aux ressources spécifiques. Un ACL contient les hôtes qui sont permis ou accès refusé au périphérique de réseau.

La fonctionnalité d'ACL typique dans l'IPv6 est semblable à ACLs dans l'ipv4. ACLs déterminent quel trafic à bloquer et quel le trafic à expédier aux interfaces commutateur. ACLs permettent le filtrage basé sur la source et les adresses de destination, d'arrivée et sortant aux interfaces spécifiques. Chaque ACL a une instruction de refus implicite à l'extrémité. Les règles pour l'ACLs sont configurées dans les entrées de contrôle d'accès (as).

Vous devriez employer des Listes d'accès pour fournir un niveau de base de Sécurité pour accéder à votre réseau. Si vous ne configurez pas des Listes d'accès sur vos périphériques de réseau, on pourrait permettre tous les paquets traversant le commutateur ou le routeur sur toutes les parties de votre réseau.

Cet article prévoit des instructions sur la façon dont configurer l'ACL et l'ACE IPv6-based sur un commutateur.

Périphériques applicables

• Gamme Sx350
• Gamme SG350X
• Gamme Sx500
• Gamme Sx550X

Version de logiciel

• 1.4.5.02 – Gamme Sx500
• 2.2.5.68 – Gamme Sx350, gamme SG350X, gamme Sx550X

Configurez l'ACL et l'ACE IPv6-Based

Configurez l'ACL IPv6-Based

Étape 1. La procédure de connexion à l'utilitaire basé sur le WEB vont alors au contrôle d'accès > à l'ACL basé par IPv6-.

Étape 2. Cliquez sur le bouton d'ajouter.

Étape 3. Écrivez le nom du nouvel ACL dans la zone d'identification d'ACL.

Remarque: Dans cet exemple, l'ACL d'IPv6 est utilisé.

Étape 4. Cliquez sur Apply cliquent sur alors étroitement.

Sauvegarde (facultative) de clic d'étape 5. pour sauvegarder des configurations dans le fichier de configuration de démarrage.

Vous devriez maintenant avoir configuré un ACL IPv6-based sur votre commutateur.

Configurez IPv6-Based ACE

Quand un paquet est reçu sur un port, le commutateur traite la trame par le premier ACL. Si le paquet apparie un filtre d'ACE du premier ACL, l'action d'ACE a lieu. Si le paquet n'en apparie aucun des filtres d'ACE, le prochain ACL est traité. Si aucune correspondance n'est trouvée à aucun ACE dans tout l'ACLs approprié, le paquet est lâché par défaut.

Dans ce scénario, ACE sera créé pour refuser le trafic qui est envoyé d'un ipv6 addres défini par l'utilisateur spécifique de source à toutes les adresses de destination.

Remarque: Cette action par défaut peut être évitée par la création d'une faible priorité ACE qui permet tout le trafic.

Étape 1. Sur l'utilitaire basé sur le WEB, allez au contrôle d'accès > à l'ACE basé par IPv6-.

Important : Si vous avez un Sx350, SG350X, commutateur Sx550X, modification au mode avancé en choisissant avancé de la liste déroulante de mode d'affichage dans l'angle supérieur droit de la page.

Étape 2. Choisissez un ACL de la liste déroulante de nom d'ACL puis cliquez sur Go.

Remarque: Les as qui sont déjà configurés pour l'ACL seront affichés dans la table.

Étape 3. Cliquez sur le bouton d'ajouter pour ajouter une nouvelle règle à l'ACL.

Remarque: La zone d'identification d'ACL affiche le nom de l'ACL.

Étape 4. Écrivez la valeur prioritaire pour ACE dans le champ de priorité. Des as avec une valeur plus prioritaire sont traités d'abord. La valeur 1 est la plus prioritaire. Il a une plage de 1 à 2147483647.

Remarque: Dans cet exemple, 3 est utilisés.

Étape 5. Cliquez sur la case d'option qui correspond à l'action désirée qui est prise quand une trame répond aux critères exigés d'ACE.

Remarque: Dans cet exemple, l'autorisation est choisie.

• Autorisation — De commutateur les paquets en avant qui répondent aux critères exigés d'ACE.
• Refusez — Le commutateur relâche les paquets qui répondent aux critères exigés d'ACE.

Arrêt — Le commutateur relâche les paquets qui ne répondent pas aux critères exigés d'ACE et désactive le port où les paquets ont été reçus. Des ports désactivés peuvent être réactivés sur la page Settings de port.

Contrôle (facultatif) d'étape 6. l'enable se connectant la case pour activer se connecter les écoulements d'ACL qui apparient la règle d'ACL.

Contrôle (facultatif) d'étape 7. la case de plage de temps d'enable pour permettre une plage de temps à configurer à ACE. Des plages de temps sont utilisées pour limiter la durée qu'ACE est en vigueur. Si ceci est laissé handicapé, ACE fonctionne à tout moment.

Étape 8. (facultative) de la liste déroulante de nom de plage de temps, choisissent une plage de temps pour s'appliquer à ACE.

Remarque: Vous pouvez cliquer sur Edit pour naviguer et créer une plage de temps à la page de plage de temps.

Étape 9. Choisissez un taper de protocole dedans la région de Protocol. ACE sera créé a basé sur un protocole ou un ID spécifique de protocole.

Les options sont :

• Quels (IP) — Cette option configurera ACE pour recevoir tous les protocoles IP.
• Choisissez parmi la liste — Cette option te permettra pour choisir un protocole d'une liste déroulante. Si vous préférez cette option, ignorez à l'étape 10.
• ID de Protocol à apparier — Cette option te permettra pour écrire un ID de protocole. Si vous préférez cette option, ignorez à l'étape 11.

Remarque: Dans cet exemple, choisi de la liste est choisi.

Étape 10. (facultative) si vous choisissiez choisi de la liste dans l'étape 9, choisissent un protocole de la liste déroulante.

Les options sont :

• TCP — Le Protocole TCP (Transmission Control Protocol) permet à deux hôtes de communiquer et permuter des flux de données. Le TCP garantit la livraison de paquet, et garantit que des paquets sont transmis et reçus dans la commande qu'ils ont été envoyés.
• UDP — Le Protocole UDP (User Datagram Protocol) transmet des paquets mais ne garantit pas leur livraison.
• ICMP — Apparie des paquets au Protocole ICMP (Internet Control Message Protocol).

Remarque: Dans cet exemple, le TCP est utilisé.

Étape 11. (facultative) si vous choisissiez l'ID de Protocol pour être assorti dans l'étape 9, écrivent l'ID de protocole dans l'ID de Protocol au match field.

Remarque: Dans cet exemple, 1 est utilisé.

Étape 12. Cliquez sur la case d'option qui correspond aux critères désirés d'ACE dans la région d'adresse IP source.

Les options sont :

• Quels — Toutes les adresses d'IPv6 de source s'appliquent à ACE.
• Défini par l'utilisateur — Écrivez une adresse IP et un masque de masque IP qui doivent être appliqués à ACE dans les domaines de valeur d'adresse IP source et de longueur de préfixe de source ip.

Remarque: Dans cet exemple, défini par l'utilisateur est choisi. Si vous en choisissiez, ignorez à l'étape 15.

Étape 13. Entrez dans l'adresse IP source dans le domaine de valeur d'adresse IP source.

Remarque: Dans cet exemple, fe80::d0ba:7021:37f7:d68d est utilisé.

Étape 14. Écrivez la longueur de préfixe de source ip dans le domaine de longueur de préfixe de source ip.

Remarque: Dans cet exemple, 128 est utilisés.

Étape 15. Cliquez sur la case d'option qui correspond aux critères désirés d'ACE dans la région d'adresse de DestinationIP.

Les options sont :

• Quels — Toutes les adresses d'IPv6 de destination s'appliquent à ACE.
• Défini par l'utilisateur — Écrivez une adresse IP et un masque de masque IP qui doivent être appliqués à ACE dans les domaines de valeur d'adresse IP de destination et de longueur d'IPPrefix de destination.

Remarque: Dans cet exemple, en est choisi. Choisir cette option signifie qu'ACE à créer permettra ACE trafiquent provenant l'ipv6 addres spécifié à n'importe quelle destination.

Étape 16. (Facultatif) cliquez sur une case d'option dans la région de port de theSource. La valeur par défaut en est.

• Quels — Correspondance à tous les ports de source.
• Choisissez de la liste — Vous pouvez choisir un port simple de source TCP/UDP auquel des paquets sont appariés. Ce champ est en activité seulement si 800/6-TCP ou 800/17-UDP est choisi dans le choisi du menu déroulant de liste.
• Choisissez par le nombre — Vous pouvez choisir un port simple de source TCP/UDP auquel des paquets sont appariés. Ce champ est en activité seulement si 800/6-TCP ou 800/17-UDP est choisi dans le choisi du menu déroulant de liste.
• Plage — Vous pouvez choisir une plage des ports de source TCP/UDP auxquels le paquet est apparié. Il y a huit plages différentes de port qui peuvent être configurées (partagé entre la source et les destinations port). Les protocoles chacun de TCP et UDP ont huit plages de port.

Étape 17. (Facultatif) cliquez sur une case d'option dans la région de port de theDestination. La valeur par défaut en est.

• Quels — Correspondance à tous les ports de source
• Choisissez de la liste — Vous pouvez choisir un port simple de source TCP/UDP auquel des paquets sont appariés. Ce champ est en activité seulement si 800/6-TCP ou 800/17-UDP est choisi dans le choisi du menu déroulant de liste.
• Choisissez par le nombre — Vous pouvez choisir un port simple de source TCP/UDP auquel des paquets sont appariés. Ce champ est en activité seulement si 800/6-TCP ou 800/17-UDP est choisi dans le choisi du menu déroulant de liste.
• Plage — Vous pouvez choisir une plage des ports de source TCP/UDP auxquels le paquet est apparié. Il y a huit plages différentes de port qui peuvent être configurées (partagé entre la source et les destinations port). Les protocoles chacun de TCP et UDP ont huit plages de port.

Étape 18. (Facultatif) dans le TCP signale la zone, choisissent un ou plusieurs indicateurs de TCP avec lesquels pour filtrer des paquets. Des paquets filtrés sont expédiés ou lâchés. Le filtrage des paquets par des indicateurs de TCP augmente le contrôle de paquet, qui augmente la sécurité des réseaux.

• Positionnement — Appariez si l'indicateur est placé.
• Supprimé — Appariez si l'indicateur n'est pas placé.
• Ne vous inquiétez pas — Ignorez l'indicateur de TCP.

Les indicateurs de TCP sont :

• Urg — Cet indicateur est utilisé pour identifier des données entrantes comme urgentes.
• ACK — Cet indicateur est utilisé pour accuser réception réussie des paquets.
• Psh — Cet indicateur est utilisé pour s'assurer que les données sont accordées la priorité (cette elles méritent) et sont traitées à l'envoi ou à l'extrémité réceptrice.
• Rst — Cet indicateur est utilisé quand un segment arrive qui n'est pas destiné pour la connexion en cours.
• Syn — Cet indicateur est utilisé pour des transmissions de TCP.
• FIN — Cet indicateur est utilisé quand la transmission ou le transfert des données est de finition.

Étape 19. (Facultatif) cliquez sur le type de service du paquet IP du type de zone de service.

Les options sont :

• Quels — Ce peut être n'importe quel type de service pour des embouteillages.
• DSCP à apparier — Le Differentiated Services Code Point est un mécanisme pour classifier et gérer le trafic réseau. Six bits (0-63) est utilisés pour sélectionner par comportement de saut des expériences d'un paquet à chaque noeud.
• La Priorité IP au match ip precedence est un modèle de Type de service (ToS) qui les utilisations de réseau d'aider à fournir les engagements appropriés de Qualité de service (QoS). Ce modèle utilise les trois bits les plus significatifs de l'octet de type de service dans l'en-tête IP, comme décrit dans RFC 791 et RFC 1349. Le mot clé avec des valeurs de préférence IP sont le suivant :

– 0 — pour la routine

– 1 — pour la priorité

– 2 — pour immédiat

– 3 — pour l'éclair

– 4 — pour l'éclair-dépassement

– 5 — pour essentiel

– 6 — pour l'Internet

– 7 — pour le réseau

Remarque: Dans cet exemple, en est choisi.

Étape 20. (Facultatif) si le protocole IP de l'ACL est ICMP, cliquez sur le type de message ICMP utilisé pour filtrer des buts. Choisissez le type de message de nom ou écrivez le type de message nombre :

• Quels — Tous les types de message sont reçus.
• Choisissez parmi la liste — Vous pouvez choisir le type de message de nom.
• Type ICMP à apparier — Le nombre de type de message à utiliser pour filtrer des buts.

Remarque: Dans cet exemple, choisi de la liste est choisi.

Étape 21. (Facultatif) si choisi de la liste est choisi dans l'étape 20, choisissez les messages de contrôle pour filtrer des choix possibles dans la liste déroulante :

• Destination (1) inaccessible — Il est généré par l'hôte ou sa passerelle pour informer le client que la destination est inaccessible pour quelque raison (exemple : Erreur inaccessible de réseau ou d'hôte).
• Paquet (2) trop grand — La taille du datagramme dépasse le MTU indiqué.
• Le temps a dépassé (3) — Il est généré par une passerelle pour informer la source d'un datagramme jeté dû au champ zéro de atteinte de Time to Live.
• Problème de paramètre (4) — Il est généré comme réponse pour n'importe quelle erreur pas spécifiquement couverte par un autre message ICMP.
• Requête d'écho (128) — C'est un ping, on s'attend à ce que dont les données soient reçues de retour dans une réponse d'écho.
• Réponse d'écho (129) — Elle est générée en réponse à une requête d'écho.
• Requête MLD (130) — Elle est utilisée pour apprendre que les adresses de multidiffusion ont des auditeurs sur un lien relié. Type 130 dans la décimale.
• État MLD (131) — Il est généré quand l'adresse de Multidiffusion IPv6 laquelle l'expéditeur de message écoute.
• État MLD v2 (143) — Il correspond état MLD avec la version 2.
• MLD fait (132) — Quand l'hôte part d'un groupe, il envoie un message fait par auditeur de Multidiffusion aux routeurs multidiffusion sur le réseau.
• Sollicitation de routeur (133) — C'est un message de détection de routeur. Les hôtes découvrent les adresses de leurs routeurs voisins simplement quand ils écoutent des annonces. Le par défaut est 224.0.0.2 pour la Multidiffusion, autrement c'est 255.255.255.255.
• Publicité de routeur (134) — De routeur les Multidiffusions périodiquement qu'une publicité de routeur de chacune de sa Multidiffusion relie, et annonce les adresses IP de cette interface.
• ND NS (135) — Des messages sont lancés par des Noeuds pour demander l'adresse de couche liaison d'un autre noeud et également pour des fonctions telles que la détection d'adresse en double et la détection d'unreachability de voisin.
• NA ND (136) — Des messages sont envoyés en réponse aux messages NS. Si un noeud change son adresse de couche liaison, il peut envoyer un NA non sollicité pour annoncer la nouvelle adresse.

Étape 22. (Facultatif) les messages ICMP peuvent avoir un champ code qui indique comment manipuler le message. Ceci est activé si vous choisissez le protocole ICMP dans le clic un d'étape 10. des options suivantes de configurer si filtrer sur ce code :

• Quels — Recevez tous les codes.
• Défini par l'utilisateur — Vous pouvez écrire un code d'ICMP pour le filtrage.

Remarque: Dans cet exemple, en est choisi.

Étape 23. Cliquez sur Apply cliquent sur alors étroitement. ACE est créé et associé à l'ACL le nom.

Étape 24. Sauvegarde de clic pour sauvegarder des configurations au fichier de configuration de démarrage.

Vous devriez maintenant avoir configuré un IPv6-based ACE sur votre commutateur.