ACL et ACE IPv6-Based sur des Commutateurs ESW2-350G

Objectif

 L'ACL et les as permettent ou refusent l'entrée des paquets aux adresses IP configurées sur la liste d'accès. Les règles pour l'ACL sont données par les entrées de contrôle d'accès (as). Cet article explique comment créer un ACL et ACE IPv6-Based sur des Commutateurs ESW2-350G.

Périphériques applicables

• ESW2-350G
• ESW2-350G-DC

Version de logiciel

• 1.3.0.62

Configuration d'ACL IPv6-Based

Étape 1. Employez l'utilitaire de configuration pour choisir l'ACL de contrôle d'accès > IPv6-Based. La page d'ACL IPv6-Based s'ouvre. Cette page affichera la liste d'ACLs qui sont définis actuellement.

 

Étape 2. Cliquez sur Add pour ajouter une nouvelle liste d'accès.

 

Étape 3. Écrivez un nom pour la liste d'accès dans la zone d'identification d'ACL.

Étape 4. Cliquez sur Apply qui cause l'ACL IPv6-Based d'être écrit au fichier de configuration en cours.

Le clic (facultatif) IPv6-Based ACE d'étape 5. ajournent pour ouvrir l'IPv6-Based ACE ajournent la page

Configuration IPv6-Based ACE

Pour ajouter un entrée de contrôle d'accès (ACE) à l'ACL, exécutez les étapes suivantes :

Étape 1. Employez l'utilitaire de configuration pour choisir le contrôle d'accès > l'ACE basé par IPv6-. Les IPv6-Based ACE paginent s'ouvrent :  

 

Étape 2. Choisissez un ACL des égaux de nom d'ACL à la liste déroulante et cliquez sur Add. La fenêtre de l'ajouter IPv6-based ACE s'ouvre :

 

Étape 3. Écrivez la priorité des as dans le champ de priorité. Les plus prioritaires sont traités d'abord qui sont 1. Il a une plage de 1 - 2147483647.

Étape 4. Cliquez sur la case d'option correspondant à l'action désirée qui se produit quand le paquet est une correspondance dans le champ action.

• Autorisation — Permet les paquets qui apparient les critères d'ACE.

• Refusez — Relâche les paquets qui répondent aux critères d'ACE.

• Arrêt — Relâche les paquets qui répondent aux critères d'ACE et désactive le port d'où les paquets ont été reçus. De tels ports peuvent être réactivés de la page de configurations de port.

Note: Pour configurer avec la plage de temps suivez la configuration de plage de temps d'article sur des Commutateurs ESW2-350G.

Case (facultative) d'enable de clic d'étape 5. pour activer la plage de temps pour ACE.

Étape 6. (facultative) choisissent la plage de temps de la liste déroulante de plage de temps à appliquer pour ACE.

Étape 7. (facultative) cliquent sur Edit pour éditer la plage de temps. La fenêtre fermante de dialogue de confirmer s'ouvre :

Étape 8. (facultative) cliquent sur OK pour poursuivre à la page de plage de temps.

Étape 9. Cliquez sur la case d'option correspondant au protocole désiré pour ACE, qui sont configurés pour tous les protocoles de réseau routé afin de filtrer les paquets pendant que ce les paquets traversent un routeur.

   • Quels — Il choisira le protocole l'un des IPv6-based ACE. 

• Choisissez parmi la liste — Choisissez les protocoles l'uns des de la liste déroulante (TCP, UDP, ICMP).

• ID de Protocol à apparier — Il est utilisé pour apparier le protocole avec un ID. La valeur par défaut pour le protocole différent comme le TCP il est 6, UDP qu'il est 17 et pour l'ICMP il est 58 ou l'utilisateur peut définir n'importe quelle valeur dans elle.

 

Étape 10. Cliquez sur si toutes les adresses sources sont acceptables ou l'utilisateur définissent si une valeur d'adresse IP source avec sa longueur de préfixe doivent être écrites dans le domaine d'adresse IP source.

Étape 11. Cliquez sur si toutes les adresses de destination sont acceptables ou définies par l'utilisateur si une valeur d'adresse IP de destination avec sa longueur de préfixe doivent être écrites dans le champ IP Address de destination.

 

Étape 12.  Le port de source sont activés seulement quand vous choisissez le protocol tcp et l'UDP du clic d'étape 5. si tout le port de source sont valeur acceptable ou simple de la plage donnée 0 - 65535 ou une plage de port de source doivent être écrites.

Étape 13. La destination port sont activées seulement quand vous choisissez le protocol tcp et l'UDP du clic d'étape 5. si tout le port de source sont valeur acceptable ou simple de la plage donnée 0 - 65535 ou une plage de la destination port doivent être écrites.

 

Étape 14. Des indicateurs de TCP sont activés seulement quand vous choisissez le protocol tcp des indicateurs l'uns des de clic d'étape 5. avec différentes options aussi réglées que 1 ou en fonction, supprimé en tant que 0 ou hors fonction ou ne s'inquiètent pas comme X.

• Urg — Cet indicateur est utilisé pour identifier des données entrantes comme urgentes.

• ACK — Cet indicateur est utilisé pour accuser réception réussie des paquets.

• Psh — Cet indicateur est utilisé pour s'assurer que les données sont accordées la priorité (cette elles méritent) et sont traitées à l'envoi ou à l'extrémité réceptrice.

• Rst — Cet indicateur est utilisé quand un segment arrive qui n'est pas destiné pour la connexion en cours.

• Syn — Cet indicateur est utilisé pour des transmissions de TCP.

• FIN — Cet indicateur est utilisé quand la transmission ou le transfert des données est de finition.

 

Étape 15. Cliquez sur la case d'option correspondant au type de service désiré pour le contrôle d'encombrement du trafic dans le type de champ de service.

• Quels — N'importe quel type de service est utilisé pour des embouteillages.

• DSCP à apparier — Le Point de code de services différenciés (DSCP) est un mécanisme pour classifier et gérer le trafic réseau. Six bits(0-63) sont utilisés pour sélectionner par comportement de saut des expériences d'un paquet à chaque noeud.

• Priorité IP à apparier — Pour placer une préférence tapez pour des paquets d'IPv6. Le mot clé avec la valeur de préférence IP sont 0 pour la routine, priorité de 1par, 2 pour immédiat, 3 pour l'éclair, 4 pour l'éclair-dépassement, 5 pour essentiel, 6 pour l'Internet, 7 pour le réseau.

 

Étape 16. L'ICMP est activé seulement quand vous choisissez l'ICMP de protocole dans l'étape 11. Il est utilisé pour envoyer des messages d'erreur quand le service non disponible ou un hôte ou un routeur ne pourraient pas être atteints. Il est également utilisé pour des messages de requête de relais.

• Quels — Il peut être message d'erreur l'un des ou questionner le message.

• Choisissez parmi la liste — Elle a une liste déroulante de messages permis de contrôle comme suit

– Destination inaccessible — Elle est générée par l'hôte ou sa passerelle pour informer le client que la destination est inaccessible pour quelque raison (erreur inaccessible de réseau ou d'hôte et ainsi de suite).

– Paquet trop grand — La taille du datagramme est dépassée que le MTU indiqué.

– Temps dépassé — Il est généré par une passerelle pour informer la source d'un datagramme jeté dû au champ zéro de atteinte de Time to Live.

– Problème de paramètre — Il est généré comme réponse pour n'importe quelle erreur pas spécifiquement couverte par un autre message ICMP.

– Requête d'écho — C'est un ping, on s'attend à ce que dont les données soient reçues de retour dans une réponse d'écho.

– Réponse d'écho — Elle est générée en réponse à une requête d'écho.

– Requête MLD — Elle est utilisée pour apprendre que les adresses de multidiffusion ont des auditeurs sur un lien relié. Type 130 dans la décimale.

– État MLD — Il est généré quand l'adresse de Multidiffusion IPv6 laquelle l'expéditeur de message écoute

– État MLD V2 — Il correspond état MLD avec la version 2.

– MLD fait — quand l'hôte part d'un groupe, il envoie un message fait par auditeur de Multidiffusion aux routeurs multidiffusion sur le réseau

– Sollicitation de routeur — C'est un message de détection de routeur. Les hôtes découvrent les adresses de leurs routeurs voisins simplement en écoutant des annonces. Par défaut = 224.0.0.2 pour la Multidiffusion, autrement le 255.255.255.255.

– Publicité de routeur — De routeur les Multidiffusions périodiquement qu'une publicité de routeur de chacune de sa Multidiffusion relie, annonçant les adresses IP de cette interface.

– ND NS — Des messages sont lancés par des Noeuds pour demander l'adresse de couche liaison d'un autre noeud et également pour des fonctions telles que la détection d'adresse en double et la détection d'unreachability de voisin

– NA ND — Des messages sont envoyés en réponse aux messages NS. Si un noeud change son adresse de couche liaison, il peut envoyer un NA non sollicité pour annoncer la nouvelle adresse

• Type ICMP à apparier — L'utilisateur doit écrire une plage entre 0-255 pour apparier les messages de contrôle ICMP.

Étape 17. Le code d'ICMP est activé seulement quand vous choisissez l'ICMP de protocole de l'étape 11. Il est utilisé fournit aux informations plus spécifiques des messages de contrôle une valeur.

• Quels — Ce peut être n'importe quelle valeur qui apparient le de message de contrôle.

• Défini par l'utilisateur — La valeur est définie de la plage entre le 0-255, pour apparier les messages de contrôle.

Étape 18. Cliquez sur Apply qui écrit l'IPv6-Based ACE au fichier de configuration en cours.