Um Access Control List (ACL) é uma lista requisitada dos filtros e das ações. Cada regra da classificação, junto com sua ação, é sabida como um elemento do controle de acesso (ACE). Cada ACE tem vários grupos do tráfego e ações associadas. Um ACL pode conter uns ou vários ACE, que são comparados ou combinados contra os pacotes recebidos na camada 3. Uma ou outra ação do permit or deny é combinada ao filtro. Pode ser definida para combinar com os protocolos IP, portas de origem e de destino para o tráfego TCP ou UDP, valores da bandeira para quadros TCP, ICMP e tipo e código IGMP, endereços IP de origem e de destino (que incluem convites), ou valores de precedência DSCP/IP.
Este artigo explica como criar um IPv4-Based ACL & ACE no Switches ESW2-350G.
Nota: Uma porta pode ser fixada com ACL ou ser configurada com uma política de QoS avançada, mas não ambos. Pode somente haver um ACL pela porta, com exceção é possível associar um IPv4-based ACL e um IPv6-based ACL com uma porta única. Para associar mais de um ACL com uma porta, uma política com uns ou vários mapas da classe deve ser usada.
• ESW2-350G
• ESW2-350G-DC
• 1.3.0.62
Etapa 1. Entre ao utilitário de configuração da Web e escolha o controle de acesso > o IPv4-Based ACL. A página IPv4-Based ACL abre:
Etapa 2. O clique adiciona para adicionar uma lista de acessos nova.
Etapa 3. Dê entrada com um nome para a lista de acessos no campo de nome ACL.
Etapa 4. O clique aplica-se que faz com que o IPv4-Based ACL seja escrito ao arquivo de configuração running.
Etapa 5. (opcional) para alcançar o IPv4 baseou a tabela do clique IPv4-Based ACE da tabela ACE.
Para adicionar um ACE a um ACL que as seguintes etapas precisam de ser seguidas:
Etapa1. Use o utilitário de configuração da Web para escolher o controle de acesso > ACE baseados IPv4-. A página IPv4-Based ACE abre:
Etapa 2. Escolha um ACL da lista de drop-down e o clique adiciona. O indicador adicionar IPv4-based ACE aparece:
Etapa 3. Incorpore a prioridade do ACE ao campo de prioridade. Os valores da prioridade mais alta são processados primeiramente. A prioridade mais alta é 1. Tem uma escala de 1 a 2147483647.
Etapa 4. Clique o botão de rádio da ação desejada das seguintes opções:
• Licença — Permite os pacotes que combinam os critérios ACE.
• Negue — Deixa cair os pacotes que encontram os critérios ACE.
• Parada programada — Deixa cair os pacotes que encontram os critérios ACE e desabilita a porta de onde os pacotes foram recebidos. Tais portas podem ser reactivated da página das configurações de porta.
Verificação (opcional) de etapa 5. a caixa de verificação da possibilidade à escala de habilitar horário para o ACE no campo do intervalo de tempo.
Nota: Um intervalo de tempo deve ser criado a fim aplicá-la ao ACE. Para configurar um intervalo de tempo refira a configuração do intervalo de tempo do artigo no Switches ESW2-350G.
Etapa 6. Se você verificou permita na etapa 5, escolhem o intervalo de tempo da lista de drop-down do intervalo de tempo a ser aplicada ao ACE.
Etapa 7. O clique edita para ir à página do intervalo de tempo editar o intervalo de tempo. O indicador de fechamento do diálogo da confirmação aparece:
Nota: Para configurar um intervalo de tempo refira a configuração do intervalo de tempo do artigo no Switches ESW2-350G.
APROVAÇÃO (opcional) do clique de etapa 8. a continuar à página do intervalo de tempo.
Etapa 9. O protocolo usado no ACE está configurado para todos os protocolos de rede roteada a fim filtrar os pacotes enquanto os pacotes passam através de um roteador. Clique o botão Protocol Radio Button desejado das seguintes opções:
• Alguns — Escolhe alguns dos protocolos IPv4-Based ACE.
• Selecione da lista — Escolha alguns dos protocolos da lista de drop-down.
• ID de protocolo a combinar — Usado para combinar o protocolo com um ID. O valor padrão para protocolos diferentes como o TCP que é 6, o UDP que é 17, e para o ICMP que é 58 e assim por diante ou o usuário pode definir todo o valor nele.
Etapa 10. No campo de endereço IP de origem, clique uma das opções disponíveis como o endereço IP de origem:
• Alguns — Esta opção aplica a regra do acesso a alguns dos endereços IP de Um ou Mais Servidores Cisco ICM NT disponíveis em um segmento de rede específico.
• Definido pelo utilizador — Esta opção deixa-o incorporar um endereço IP de Um ou Mais Servidores Cisco ICM NT específico.
- Valor de endereço IP de origem — Neste campo, incorpore o endereço IP de origem.
- Wildcard mask IP da fonte — Neste campo, incorpore o wildcard mask do endereço IP de origem. A máscara da curinga deixa-o especificar a que host do endereço IP de origem esta lista de acessos é aplicada.
Etapa 11. No campo de endereço IP de destino, clique uma das opções disponíveis como o endereço IP de destino:
• Alguns — Esta opção aplica a regra do acesso a alguns dos endereços IP de Um ou Mais Servidores Cisco ICM NT disponíveis em um segmento de rede específico.
• Definido pelo utilizador — Esta opção deixa-o incorporar um endereço IP de Um ou Mais Servidores Cisco ICM NT específico para aplicar a regra do acesso:
– Valor de endereço IP de destino — Neste campo, incorpore o endereço IP de destino.
– Wildcard mask do IP de destino — Neste campo, incorpore o wildcard mask do endereço IP de destino. A máscara da curinga deixa-o especificar que anfitriões do endereço IP de destino esta lista de acessos é aplicada.
Etapa 12. O campo de porta de origem é permitido somente quando você escolhe o TCP ou o UDP do clique de etapa 5. o botão de rádio de uma das opções disponíveis escolher a porta de origem:
• Alguns — Esta opção aceita toda a porta de origem.
• Único — Esta opção deixa-o incorporar um valor de porta do origem única.
• Escala — Esta opção deixa-o incorporar uma escala de portas de origem disponíveis.
Etapa 13. O campo de porta do destino é permitido somente quando você escolhe o TCP ou o UDP do clique de etapa 5. o botão de rádio de uma das opções disponíveis escolher a porta do destino:
• Alguns — Esta opção aceita toda a porta do destino.
• Único — Esta opção deixa-o incorporar um valor de porta do destino único.
• Escala — Esta opção deixa-o incorporar uma escala de portas do destino disponíveis.
Etapa 14. Os campos das bandeiras TCP são permitidos somente quando você escolhe o TCP do clique um de etapa 5. dos botões de rádio para cada bandeira determinar como filtrar valores da bandeira TCP. Ou ajuste como 1 ou sobre, Unset como 0 ou fora, ou não se importe como o X.
• Urg — Esta bandeira é usada para identificar dados de entrada como urgentes.
• Ack — Esta bandeira é usada para reconhecer o recebimento bem-sucedido dos pacotes.
• Psh — Esta bandeira é usada para assegurar-se de que os dados estejam dados a prioridade (essa merecem) e processados na emissão ou na extremidade de recepção.
• Rst — Esta bandeira é usada quando um segmento chega que não esteja pretendido para a conexão atual.
• Syn — Esta bandeira é usada para comunicações TCP.
• Fin — Esta bandeira é usada quando a comunicação ou transferência de dados são terminadas.
Etapa 15. Clique um tipo de serviço que seja o tráfego do controle de congestionamento, para que o host se desembaraça em caso da congestão.
• Alguns — Pode ser todo o tipo de serviço para o congestionamento de tráfego.
• DSCP a combinar — Escolha esta opção executar o Differentiated Service Code Point (DSCP) como um tipo de serviço. O DSCP é um mecanismo para classificar e controlar o tráfego de rede. Incorpore o valor que DSCP você deseja se aplicar à regra do acesso.
• Precedência IP a combinar — Para ajustar uma preferência datilografe para pacotes do IPv6. As palavras-chaves associadas com os valores de preferência IP são 0 para a rotina, 1 para a prioridade, 2 para imediato, 3 para o flash, 4 para o cancelamento flash, 5 para crítico, 6 para o Internet, 7 para a rede. Incorpore o valor que você deseja se aplicar à regra do acesso.
Etapa 16. Os campos ICMP são permitidos somente quando você escolhe o protocolo ICMP da etapa 5. Está usado para enviar Mensagens de Erro quando o serviço não está disponível ou um host ou um roteador não poderiam ser alcançados. É usado igualmente para mensagens da pergunta do relé. Clique um dos botões de rádio disponíveis para filtrar tipos de mensagem ICMP:
• Alguns — Pode ser algum do Mensagem de Erro ou perguntar a mensagem.
• Selecione da lista — Escolha algumas das mensagens permitidas do controle da lista de drop-down.
• Tipo ICMP a combinar — O usuário tem que incorporar uma escala entre 0-255 para combinar as mensagens do controle ICMP.
Etapa 17. O código ICMP é permitido somente quando você escolhe o protocolo ICMP da etapa 5. É usado para fornecer uma informação mais específica das mensagens do controle um valor. Clique um das opções disponíveis:
• Alguns — Pode ser todo o valor que combina a mensagem do controle.
• Definido pelo utilizador — Dê entrada ao código que ICMP você deseja filtrar. O valor é definido da escala entre o 0-255, para combinar as mensagens do controle.
Etapa 18. Os campos IGMP são permitidos somente quando você escolhe o protocolo IGMP da etapa 5. Controla a sociedade do host nos grupos de IP Multicast em um segmento de rede. Clique um dos botões de rádio disponíveis para filtrar tipos de mensagem IGMP:
• Alguns — Pode executar algumas das ações IGMP.
• Selecione da lista — Escolha alguns dos protocolos da lista de drop-down.
– DVMRP — Usa uma técnica da inundação do caminho reverso, enviando uma cópia de um pacote recebido para fora através de cada relação exceto essa em que o pacote chegou.
– Host-pergunta — Envia periodicamente mensagens gerais da host-pergunta em cada rede anexa para a informação
– Host-resposta — Responde à pergunta.
– PIM — É usado entre os Multicast Router locais e remotos para dirigir o tráfego multicast do servidor de transmissão múltipla a muitos clientes do Multicast.
– Traço — Fornece a informação sobre a junta e deixar dos grupos de transmissão múltipla IGMP.
• Tipo IGMP de fósforo — Combina o protocolo IGMP com o endereço IP de origem e de destino e a máscara, e igualmente o tipo IGMP que tem um número no decimal.
Etapa 19. O clique aplica-se que faz com que o IPv4-Based ACE seja escrito ao arquivo de configuração running.
Etapa 20. (Opcional) clique a tabela IPv4-Based ACL para ir à página baseada IPv4 ACL.