スイッチの設定 IPv6-based Access Control List （ACL）およびアクセス制御エントリ （ACE）

目標

Access Control List （ACL）はセキュリティを向上するのに使用されるネットワークのリスト トラフィック フィルタおよび関連させた操作です。 それはユーザがブロックするか、または特定のリソースにアクセスすることを可能にします。 ACL はまたはネットワークデバイスへの拒否されたアクセス権許可されるホストが含まれています。

IPv6 の典型的な ACL機能は IPv4 の ACL に類似したです。 ACL はブロックするべきどのトラフィックをスイッチ インターフェイスかで転送するべきどのトラフィックを判別し。 ACL は特定のインターフェイスへの送信元 および 宛先アドレスに、受信および送信基づいてフィルタリングを可能にします。 各 ACL に端に暗黙の deny 文があります。 ACL のためのルールはアクセス制御エントリ（ACE）で設定されます。

ネットワークにアクセスするために基本的なセキュリティレベルを提供するのにアクセス リストを使用する必要があります。 ネットワークデバイスのアクセス リストを設定しない場合、スイッチを通るすべてのパケットかルータはネットワークのすべての一部に許可することができます。

この技術情報は方法で手順をスイッチの IPv6-based ACL および ACE を設定する提供します。

適当なデバイス

• Sx350 シリーズ
• SG350X シリーズ
• Sx500 シリーズ
• Sx550X シリーズ

[Software Version]

• 1.4.5.02 – Sx500 シリーズ
• 2.2.5.68 – Sx350 シリーズ、SG350X シリーズ、Sx550X シリーズ

設定 IPv6-Based ACL および ACE

設定 IPv6-Based ACL

ステップ 1. Webベース ユーティリティへのログインはアクセスコントロール > IPv6-Based ACL にそれから行きます。

ステップ 2. Add ボタンをクリックして下さい。

ステップ 3. ACL Name フィールドで新しい ACL の名前を入力して下さい。

注: この例では、IPv6 ACL は使用されます。

ステップ 4.それから『Close』 をクリック します 『Apply』 をクリック して下さい。

ステップ 5. （オプションの）はスタートアップ コンフィギュレーション コンフィギュレーション・ファイルの設定を保存するために『SAVE』 をクリック します。

今スイッチの IPv6-based ACL を設定する必要があります。

設定 IPv6-Based ACE

パケットがポートで受信されるとき、スイッチは最初の ACL によってフレームを処理します。 パケットが最初の ACL の ACE フィルタと一致する場合、ACE 処置はとられます。 パケットが ACE フィルターのどれも一致しない場合、次の ACL は処理されます。 一致がすべての関連した ACL のあらゆる ACE にない場合、パケットはデフォルトで廃棄されます。

このシナリオではトラフィックを拒否するために、特定のユーザが定義する出典 IPv6 アドレスからあらゆる宛先アドレスに送信 される ACE は作成されます。

注: このデフォルト アクションはその低い優先順位 ACE の作成によって割り当てすべてのトラフィック避けることができます。

ステップ 1： Webベース ユーティリティで、アクセスコントロール > IPv6-Based ACE に行って下さい。

重要： Sx350 が、SG350X、Sx550X スイッチあれば、ページの右上隅の表示 モード ドロップダウン リストから『Advanced』 を選択 することによる拡張モードへの変更。

ステップ 2. ACL を ACL 名前ドロップダウン リストから選択しそして『Go』 をクリック して下さい。

注: ACL のために既に設定されている ACE は表で表示する。

ステップ 3. ACL に新しいルールを追加するために Add ボタンをクリックして下さい。

注: ACL Name フィールドは ACL の名前を表示する。

ステップ 4.優先順位フィールドで ACE のプライオリティ値を入力して下さい。 高優先順位値の ACE は最初に処理されます。 値 1 は高優先順位です。 それに 1 から 2147483647 の範囲があります。

注: この例では、3 つは使用されます。

ステップ 5.フレームが ACE の必須条件を満たすとき奪取 される 望ましい アクションに対応する Radio ボタンをクリックして下さい。

注: この例では、割り当ては選択されます。

• permit — スイッチは ACE の必須条件を満たすパケットを転送します。
• 拒否—スイッチは ACE の必須条件を満たすパケットを廃棄します。

shutdown — スイッチは ACE の必須条件を満たさない廃棄し、パケットが受信されたポートを無効にしますパケットを。 無効ポートはポート設定 ページで再稼働することができます。

ステップ 6. （オプションの）チェックは ACL のその記録を有効に する Enable Logging チェックボックス ACLルール 一致するフローします。

ステップ 7. （オプションの）チェック ACE に設定されるように時間 範囲がするイネーブル タイム 範囲検査チェック ボックス。 時間 範囲が ACE によってが有効になる時間数を制限するのに使用されています。 これが無効に残っている場合、ACE はいつでもはたらきます。

時間 範囲名前ドロップダウン リストからのステップ 8. （オプションの）は ACE に適用されるために、時間 範囲を選択します。

注: ナビゲート し、時間 範囲 ページの時間 範囲を作成するために『Edit』 をクリック することができます。

ステップ 9.プロトコル エリアのプロトコル タイプを選択して下さい。 ACE は特定のプロトコルかプロトコルID に基づいて作成されます。

次のオプションがあります。

• （IP） —このオプションはすべての IP プロトコルを受け入れるために ACE を設定します。
• list —このオプションからドロップダウン リストからプロトコルを選択することを許可します選択して下さい。 このオプションを好む場合、ステップ 10.にスキップして下さい。
• match —このオプションへのプロトコルID はプロトコルID を入力することを可能にします。 このオプションを好む場合、ステップ 11.にスキップして下さい。

注: この例で、リストから選択されます選択して下さい。

ステップ 9 で『Select from List』 を選択 した場合ステップ 10. （オプションの）はドロップダウン リストから、プロトコルを選択します。

次のオプションがあります。

• TCP： トランスミッション コントロール プロトコル（TCP）は通信することを 2 つのホストおよび交換データ ストリームが可能にします。 TCP はパケットデリバリを保証し、パケットが送信 された順序で送受信されることを保証します。
• UDP： ユーザ データグラム プロトコル（UDP）はパケットを送信しますが、配信を保証しません。
• ICMP： インターネット制御メッセージ プロトコル（ICMP）にパケットを一致させます。

注: この例では、TCP は使用されます。

ステップ 9 で一致するためにプロトコルID を選択した場合ステップ 11. （オプションの）は対応フィールドにプロトコルID でプロトコルID を入力します。

注: この例では、1 つは使用されます。

ステップ 12： ソース IP アドレス エリアの ACE の望ましい基準に対応する Radio ボタンをクリックして下さい。

次のオプションがあります。

• —すべての出典 IPv6 アドレスは ACE に適用します。
• ユーザが定義する—ソース IP アドレス 値および出典 IPプレフィックス 長フィールドの ACE に適用される IP ワイルドカード マスクおよび IP アドレスを入力して下さい。

注: ユーザが定義するこの例では選択されます。 選択した場合、ステップ 15 にスキップして下さい。

ステップ 13： ソース IP アドレス Value フィールドでソース IP アドレスを入力して下さい。

注: この例では、fe80::d0ba:7021:37f7:d68d は使用されます。

ステップ 14： 出典 IPプレフィックス 長フィールドで出典 IPプレフィックス 長さを入力して下さい。

注: この例では、128 は使用されます。

ステップ 15： DestinationIP アドレス エリアの ACE の望ましい基準に対応する Radio ボタンをクリックして下さい。

次のオプションがあります。

• —すべての宛先 IPv6 アドレスは ACE に適用します。
• ユーザが定義する—宛先 IP アドレス 値および宛先 IPPrefix 長フィールドの ACE に適用される IP ワイルドカード マスクおよび IP アドレスを入力して下さい。

注: この例では、選択されます。 このオプションを選択することは作成されるべき ACE が割り当て規定 された IPv6 アドレスからあらゆる宛先に来る ACE トラフィックことを意味します。

ステップ 16： （オプションの） theSource 港湾地域の Radio ボタンをクリックして下さい。 デフォルト値はです。

• —すべての送信元ポートへの一致。
• list —あなたから単一パケットが一致する単一 TCP/UDP 送信元ポートを選択できます。 このフィールドは 800/6-TCP か 800/17-UDP がリスト ドロップダウン メニューからの選択で選択されるときだけアクティブです。
• number —あなたによって単一パケットが一致する単一 TCP/UDP 送信元ポートを選択できます。 このフィールドは 800/6-TCP か 800/17-UDP がリスト ドロップダウン メニューからの選択で選択されるときだけアクティブです。
• range — パケットが一致する TCP/UDP 送信元ポートの範囲を選択できます。 設定することができる 8 つの異なるポート範囲があります（送信元ポート および 宛先ポートの間で共有されて）。 TCP および UDP プロトコルにそれぞれ 8 つのポート範囲があります。

ステップ 17： （オプションの） theDestination 港湾地域の Radio ボタンをクリックして下さい。 デフォルト値はです。

• —すべての送信元ポートへの一致
• list —あなたから単一パケットが一致する単一 TCP/UDP 送信元ポートを選択できます。 このフィールドは 800/6-TCP か 800/17-UDP がリスト ドロップダウン メニューからの選択で選択されるときだけアクティブです。
• number —あなたによって単一パケットが一致する単一 TCP/UDP 送信元ポートを選択できます。 このフィールドは 800/6-TCP か 800/17-UDP がリスト ドロップダウン メニューからの選択で選択されるときだけアクティブです。
• range — パケットが一致する TCP/UDP 送信元ポートの範囲を選択できます。 設定することができる 8 つの異なるポート範囲があります（送信元ポート および 宛先ポートの間で共有されて）。 TCP および UDP プロトコルにそれぞれ 8 つのポート範囲があります。

ステップ 18： （オプションの） TCP でエリアに、選択しますパケットをフィルタリングするため 1つ以上の TCP フラグをフラグを付けます。 フィルタ処理されたパケットは転送されるか、または廃棄されます。 TCP フラグによるフィルタリングパケットはネットワーク セキュリティを強化するパケット制御を高めます。

• フラグが設定 される場合 set — 一致する。
• 解除される—フラグが設定 されなければ 一致する。
• 気遣わないで下さい— TCP フラグを無視して下さい。

TCP フラグは次のとおりです:

• Urg —このフラグが緊急ように着信 データを識別するのに使用されています。
• Ack —このフラグがパケットの正常な受信を確認するのに使用されています。
• Psh —このフラグがデータが優先順位を（値しますその）与えられ、送信 するか、または受電端で処理されるようにするのに使用されています。
• Rst —このフラグはセグメントが着くとき使用されます現在の接続のために意図されていない。
• 同期信号—このフラグは TCP 通信のために使用されます。
• ひれ—このフラグは通信かデータ転送が終了するとき使用されます。

ステップ 19： （オプションの）エリアからの IPパケットのサービス タイプをタイプ オブ サービス（ToS）クリックして下さい。

次のオプションがあります。

• —それは交通渋滞に対するどのサービス タイプである場合もあります。
• match — Differentiated Services Code Point への DSCP は分類のためのメカニズム ネットワークトラフィックを管理することであり。 6 ビット（0-63）が各ノードでパケット エクスペリエンス Per Hop Behavior を選択するのに使用されています。
• match — IP 優先順位への IP 優先順位は適切なサービス品質（QoS）責任の提供を助けるネットワーク使用 タイプ オブ サービス（ToS）のモデルです。 このモデルは RFC 791 および RFC 1349 に記述されているように IP ヘッダーでサービス タイプ バイトの 3 つの最上位ビットを、使用します。 IP 選択値を用いるキーワードは次です:

– 0 —ルーチンのための…

– 1 —優先順位のための…

– 2 —即時のための…

– 3 —フラッシュするのための…

– 4 —フラッシュオーバーライドのための…

– 5 —重要のための…

– 6 —インターネットのための…

– 7 —ネットワークのための…

注: この例では、選択されます。

ステップ 20： ACL の IP プロトコルが ICMP である場合（オプションの）、目的をフィルタリングするために使用される ICMP メッセージ タイプをクリックして下さい。 メッセージタイプを名指しで選択するか、またはメッセージタイプ数を入力して下さい:

• —すべてのメッセージタイプは受け入れられます。
• list —あなたからタイプを名指しで『Message』 を選択 することができます選択して下さい。
• ICMP は目的のフィルタリングに使用するべきメッセージタイプの番号に match —タイプします。

注: この例で、リストから選択されます選択して下さい。

ステップ 21： リストから選択されればステップ 20 で、ドロップダウン リストの可能性のある オプションからフィルタリングするために選択すればコントロールメッセージを選択する場合（オプションの）:

• 宛先 到達不能（1） —宛先が到達不能どういうわけかであることホストかゲートウェイによってクライアントを知らせることを生成します（例: ネットワークまたはホスト 到達不可能 エラー）。
• パケット メッセージ サイズ超過（2） —データグラムのサイズはある特定の MTU を超過します。
• 時間は超過しました（3） —ゲートウェイによってゼロに達する存続可能時間 フィールドによる廃棄されたデータグラムを出典に知らせることを生成します。
• パラメータ問題（4） —それはとりわけ別の ICMP メッセージによってカバーされないあらゆるエラーのための応答として生成されます。
• エコー要求（128） —データがエコーリプライで受け取られると期待されるのは PING です。
• エコーリプライ（129） —それはエコー要求に応じて生成されます。
• MLD クエリ（130） —どのマルチキャスト アドレスが接続されたリンクのリスナーがあるか学習することを使用します。 小数点の型 130。
• MLD レポート（131） —それは時メッセージ送信者が受信する IPv6 マルチキャスト アドレス生成されます。
• MLD v2 レポート（143） —バージョン 2 との MLD レポートのは同じです。
• される MLD （132） —ホストがグループを脱退するとき、ネットワークのマルチキャスト ルータにマルチキャスト リスナーによってできているメッセージを送ります。
• ルータ要請（133） —それはルータディスカバリ メッセージです。 ホストはアドバタイズメントを聞き取るとき近接ルータのアドレスを単に検出します。 デフォルトはマルチキャストのための 224.0.0.2 です、さもなければそれは 255.255.255.255 です。
• ルータ アドバタイズメント（134） —ルータは定期的に マルチキャスト インターフェイスのそれぞれからのルータ アドバタイズメントをマルチキャストし、そのインターフェイスの IP アドレスをアナウンスします。
• ND NS （135） —メッセージはノードによって別のノードのリンク 層 アドレスを要求するためにおよびまた二重アドレス 検出およびネイバー unreachability 検出のような機能のために起きます。
• ND NA （136） —メッセージは NS メッセージに応じて送信 されます。 ノードがリンク層アドレスを変更する場合、新しいアドレスをアドバタイズするために非要請 NA を送信できます。

ステップ 22： （オプションの） ICMP メッセージはメッセージを処理する方法を示す Code フィールドがある場合があります。 これはこのコードでフィルタリングするためにステップ 10.の ICMP プロトコルをクリックすれば設定する次のいずれかのオプションをかどうか選択する場合有効に なります:

• —すべてのコードを受け入れて下さい。
• ユーザが定義する—目的をフィルタリングするための ICMP コードを入力できます。

注: この例では、選択されます。

ステップ 23： それから『Close』 をクリック します 『Apply』 をクリック して下さい。 ACE は ACL 名前に作成され、関連付けられます。

ステップ 24： スタートアップ コンフィギュレーション コンフィギュレーション・ファイルに設定を保存するために『SAVE』 をクリック して下さい。

今スイッチの IPv6-based ACE を設定する必要があります。