Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Les listes de contrôle d’accès et les ACE autorisent ou refusent l’entrée de paquets aux adresses IP configurées sur la liste d’accès. Les règles de la liste de contrôle d’accès sont fournies par les entrées de contrôle d’accès (ACE). Cet article explique comment créer une ACL et une ACE basées sur IPv6 sur les commutateurs ESW2-350G.
· ESW2-350G
· ESW2-350G-DC
•1.3.0.62
Étape 1. Utilisez l'utilitaire de configuration pour sélectionner Access Control > IPv6-Based ACL. La page ACL basée sur IPv6 s'ouvre. Cette page affiche la liste des listes de contrôle d’accès actuellement définies.
Étape 2. Cliquez sur Ajouter pour ajouter une nouvelle liste d'accès.
Étape 3. Entrez un nom pour la liste de contrôle d’accès dans le champ Nom de la liste de contrôle d’accès.
Étape 4. Cliquez sur Apply pour écrire la liste de contrôle d'accès IPv6 dans le fichier de configuration en cours.
Étape 5. (Facultatif) Cliquez sur Table ACE basée sur IPv6 pour ouvrir la page de table ACE basée sur IPv6
Pour ajouter une entrée de contrôle d'accès (ACE) à la liste de contrôle d'accès, procédez comme suit :
Étape 1. Utilisez l'utilitaire de configuration pour sélectionner Access Control > IPv6-Based ACE. La page ACE basée sur IPv6 s'ouvre :
Étape 2. Choisissez une liste de contrôle d’accès dans la liste déroulante Nom de la liste de contrôle d’accès égal à, puis cliquez sur Ajouter. La fenêtre Add IPv6-based ACE s'ouvre :
Étape 3. Saisissez la priorité des ACE dans le champ Priority (Priorité). La priorité la plus élevée est traitée en premier qui est 1. Il a une plage de 1 - 2147483647.
Étape 4. Cliquez sur la case d'option correspondant à l'action souhaitée qui se produit lorsque le paquet correspond dans le champ Action.
· Permit : autorise les paquets qui correspondent aux critères ACE.
· Deny : supprime les paquets qui répondent aux critères ACE.
· Shutdown : supprime les paquets qui répondent aux critères ACE et désactive le port d'où les paquets ont été reçus. Ces ports peuvent être réactivés à partir de la page des paramètres de port.
Note: Pour configurer avec la plage de temps, suivez l'article Time Range Configuration sur les commutateurs ESW2-350G.
Étape 5. (Facultatif) Cliquez sur la case à cocher Activer pour activer la plage de temps pour l'ACE.
Étape 6. (Facultatif) Choisissez la plage de temps dans la liste déroulante Plage de temps à appliquer pour l'ACE.
Étape 7. (Facultatif) Cliquez sur Modifier pour modifier l'intervalle de temps.La fenêtre de fermeture de la boîte de dialogue Confirmer s'ouvre :
Étape 8. (Facultatif) Cliquez sur OK pour accéder à la page Plage de temps.
Étape 9. Cliquez sur la case d'option correspondant au protocole souhaité pour l'ACE, qui sont configurés pour tous les protocoles réseau routés afin de filtrer les paquets lorsque ces paquets traversent un routeur.
· Any : il choisit l'un des protocoles ACE basés sur IPv6.
· Select from list : sélectionnez l'un des protocoles dans la liste déroulante (TCP, UDP, ICMP).
· ID de protocole à faire correspondre — Il est utilisé pour faire correspondre le protocole à un ID. La valeur par défaut pour différents protocoles comme TCP est 6, UDP est 17 et ICMP est 58 ou l'utilisateur peut définir n'importe quelle valeur.
Étape 10. Cliquez sur Any si toutes les adresses source sont acceptables ou User Define si une valeur d'adresse IP source avec sa longueur de préfixe doit être entrée dans le champ Source IP Address.
Étape 11. Cliquez sur Any si toutes les adresses de destination sont acceptables ou Défini par l'utilisateur si une valeur d'adresse IP de destination avec sa longueur de préfixe doit être entrée dans le champ Destination IP Address.
Étape 12. Le port source est activé uniquement lorsque vous choisissez le protocole TCP et UDP à l'étape 5. Cliquez sur Any si tous les ports source sont acceptables ou la valeur Single de la plage 0 à 65535 donnée ou une plage de ports source doit être saisie.
Étape 13. Le port de destination n'est activé que lorsque vous choisissez le protocole TCP et UDP à l'étape 5. Cliquez sur Any si tous les ports source sont acceptables ou la valeur Single de la plage 0 à 65535 donnée ou une plage de ports de destination doit être saisie.
Étape 14. Les indicateurs TCP sont activés uniquement lorsque vous choisissez le protocole TCP à l'étape 5. Cliquez sur l'un des indicateurs avec différentes options Défini comme 1 ou sur, Désactivé comme 0 ou Désactivé ou Ne vous souciez pas comme x.
· Urg : cet indicateur est utilisé pour identifier les données entrantes comme urgentes.
· Ack : cet indicateur est utilisé pour accuser réception des paquets.
· Psh — Cet indicateur est utilisé pour s'assurer que les données reçoivent la priorité (qu'elles méritent) et qu'elles sont traitées à l'extrémité d'envoi ou de réception.
· Rst : cet indicateur est utilisé lorsqu'un segment arrive qui n'est pas destiné à la connexion actuelle.
· Syn : cet indicateur est utilisé pour les communications TCP.
· Fin : cet indicateur est utilisé lorsque la communication ou le transfert de données est terminé.
Étape 15. Cliquez sur la case d'option correspondant au type de service souhaité pour le contrôle de l'encombrement du trafic dans le champ Type de service.
· Any : tout type de service est utilisé pour la congestion du trafic.
· DSCP à faire correspondre — Le DSCP (Differentiated Service Code Point) est un mécanisme de classification et de gestion du trafic réseau. Six bits(0-63) permettent de sélectionner le comportement par saut d’un paquet au niveau de chaque noeud.
· priorité IP à faire correspondre — Pour définir un type de préférence pour les paquets IPv6. Le mot clé avec la valeur de préférence IP est 0 pour la routine, 1 pour la priorité, 2 pour l'immédiat, 3 pour la mémoire flash, 4 pour la mémoire flash-override, 5 pour la mémoire critique, 6 pour Internet, 7 pour le réseau.
Étape 16. ICMP est activé uniquement lorsque vous choisissez le protocole ICMP à l'étape 11. Il est utilisé pour envoyer des messages d'erreur lorsque le service n'est pas disponible ou qu'un hôte ou un routeur n'a pas pu être atteint. Il est également utilisé pour les messages de requête de relais.
· Any : il peut s'agir de n'importe quel message d'erreur ou de requête.
· Sélectionner dans la liste — Il a une liste déroulante des messages de contrôle autorisés comme suit :
- Destination inaccessible — Elle est générée par l'hôte ou sa passerelle pour informer le client que la destination est inaccessible pour une raison quelconque (erreur réseau ou hôte inaccessible, etc.).
- Packet Too Big : la taille du datagramme est dépassée par rapport à la MTU donnée.
- Temps dépassé : il est généré par une passerelle pour informer la source d'un datagramme rejeté en raison du temps nécessaire pour que le champ actif atteigne zéro.
- Problème de paramètre — Il est généré en réponse à toute erreur non spécifiquement couverte par un autre message ICMP.
- Demande d’écho — Il s’agit d’une requête ping, dont les données doivent être reçues dans une réponse d’écho.
- Réponse d'écho — Elle est générée en réponse à une demande d'écho.
- Requête MLD — Permet d'apprendre quelles adresses de multidiffusion ont des écouteurs sur une liaison connectée. Tapez 130 en notation décimale.
- Rapport MLD — Il est généré lorsque l'adresse de multidiffusion IPv6 à laquelle l'expéditeur du message écoute
- Rapport MLD V2 — Il est identique à Rapport MLD avec la version 2.
- MLD Done : lorsque l'hôte quitte un groupe, il envoie un message d'écoute de multidiffusion aux routeurs de multidiffusion sur le réseau.
- Sollicitation de routeur — Il s’agit d’un message de découverte de routeur. Les hôtes découvrent les adresses de leurs routeurs voisins simplement en écoutant des annonces. Par défaut = 224.0.0.2 pour la multidiffusion, sinon 255.255.255.255.
- Annonce de routeur : le routeur diffuse périodiquement une annonce de routeur à partir de chacune de ses interfaces de multidiffusion, en annonçant les adresses IP de cette interface.
- ND NS : les messages sont émis par des noeuds pour demander l'adresse de couche liaison d'un autre noeud, ainsi que pour des fonctions telles que la détection des adresses en double et la détection de l'inaccessibilité des voisins.
- NA ND : les messages sont envoyés en réponse aux messages NS. Si un noeud modifie son adresse de couche liaison, il peut envoyer une adresse réseau non sollicitée pour annoncer la nouvelle adresse
· type ICMP à faire correspondre — L'utilisateur doit entrer une plage comprise entre 0 et 255 pour correspondre aux messages de contrôle ICMP.
Étape 17. Le code ICMP est activé uniquement lorsque vous choisissez le protocole ICMP à l'étape 11. Il est utilisé pour fournir des informations plus spécifiques des messages de contrôle avec une valeur.
· Any : il peut s'agir de n'importe quelle valeur qui correspond au message de contrôle.
· défini par l'utilisateur : la valeur est définie à partir de la plage comprise entre 0 et 255, pour correspondre aux messages de contrôle.
Étape 18. Cliquez sur Apply qui écrit l'ACE IPv6 dans le fichier de configuration en cours.