ACL baseada em IPv6 e ACE em switches gerenciados 300 Series

Objetivo

Este artigo explica como criar uma ACL baseada em IPv6 e uma ACE em 300 Series Managed Switches. Ele pode permitir ou negar a entrada de pacotes para os endereços IP configurados na lista de acesso. As regras da ACL são fornecidas pelas entradas de controle de acesso (ACEs).

Dispositivos aplicáveis

• Switches gerenciados 300 Series

Configuração de ACL baseada em IPv6 e ACE

ACL baseada em IPv6

Etapa 1. Use o Utilitário de configuração para escolher Controle de acesso > ACL baseada em IPv6. A página ACL baseada em IPv6 é aberta. Esta página exibirá a lista de ACLs definidas atualmente.

Etapa 2. Clique em Adicionar para adicionar uma nova lista de acesso.

Etapa 3. Insira um nome para a lista de acesso no campo Nome da ACL.

Etapa 4. Clique em Apply, que faz com que a ACL baseada em IPv6 seja gravada no arquivo de configuração atual.

Configuração ACE baseada em IPv6

Para adicionar uma entrada de controle de acesso (ACE) à ACL, execute as seguintes etapas:

Etapa 1. Use o Utilitário de configuração para escolher Controle de acesso > ACE baseada em IPv6. A página ACE baseada em IPv6 é aberta:  

Etapa 2. Escolha uma ACL na lista suspensa Nome da ACL igual a Adicionar. A janela Add IPv6-based ACE é exibida. 

Etapa 3. Digite a prioridade das ACEs no campo Prioridade. A prioridade mais alta é processada primeiro, que é 1. Tem um intervalo de 1 a 2147483647.

Etapa 4. Clique no botão de opção correspondente à ação desejada que ocorre quando o pacote corresponde no campo Ação.

• Permit (Permitir) — Permite pacotes que correspondem aos critérios ACE.
• Negar — Descarta os pacotes que atendem aos critérios da ACE.
• Desligamento — Descarta os pacotes que atendem aos critérios de ACE e desativa a porta de onde os pacotes foram recebidos. Essas portas podem ser reativadas na página de configurações de porta.

Etapa 5.  Clique no botão de opção correspondente ao protocolo desejado para a ACE, que são configurados para todos os protocolos de rede roteados para filtrar os pacotes à medida que estes pacotes passam por um roteador.

• Qualquer — Ele escolherá qualquer protocolo ACE baseado em IPv6. 
• Selecionar na lista — Escolha qualquer um dos protocolos na lista suspensa (TCP, UDP, ICMP).
• ID do protocolo para corresponder — é usado para corresponder o protocolo com um ID. O valor padrão para um protocolo diferente como o TCP é 6, o UDP é 17 e para o ICMP é 58 ou o usuário pode definir qualquer valor nele.

 

Etapa 6. Clique em Qualquer se todos os endereços de origem forem aceitáveis ou em Definir pelo usuário se um valor de endereço IP de origem com seu comprimento de prefixo tiver que ser inserido no campo Endereço IP de origem.

Passo 7. Clique em Qualquer se todos os endereços de destino forem aceitáveis ou Definidos pelo usuário se um valor de endereço IP de destino com seu comprimento de prefixo tiver que ser inserido no campo Endereço IP de destino.

Etapa 8.  A porta de origem só é ativada quando você escolhe o protocolo TCP e UDP da Etapa 5. Clique em Qualquer se toda a porta de origem for aceitável ou se o valor único do intervalo especificado de 0 a 65535 ou se Range of Source Port tiver que ser inserido.

Etapa 9. A porta de destino só é ativada quando você escolhe o protocolo TCP e UDP da Etapa 5. Clique em Qualquer se toda a porta de origem for aceitável ou se o valor único do intervalo especificado de 0 a 65535 ou se Range of Destination Port tiver que ser inserido.

Etapa 10. Os Sinalizadores TCP são ativados somente quando você escolhe o protocolo TCP da Etapa 5. Clique em qualquer um dos sinalizadores com opções diferentes como Definir como 1 ou ativado, Desativado como 0 ou desativado ou Não se importa como x.

• Urg — Este sinalizador é usado para identificar os dados de entrada como Urgentes.
• Ack — Este sinalizador é usado para confirmar o recebimento bem-sucedido de pacotes.
• Psh — Esse sinalizador é usado para garantir que os dados recebam a prioridade (que merecem) e sejam processados na extremidade de envio ou recebimento.
• Rst — Esse flag é usado quando um segmento chega e não se destina à conexão atual.
• Syn — Este sinalizador é usado para comunicações TCP.
• Finalizar — Esse sinalizador é usado quando a comunicação ou a transferência de dados é concluída.

Etapa 11. Clique no botão de opção correspondente ao tipo de serviço desejado para controle de congestionamento de tráfego no campo Tipo de serviço.

• Qualquer — Qualquer tipo de serviço é usado para congestionamento de tráfego.
• DSCP para correspondência — o Differentiated Service Code Point (DSCP) é um mecanismo para classificar e gerenciar o tráfego de rede. Seis bits (0-63) são usados para selecionar o comportamento por salto de um pacote em cada nó.
• Precedência de IP a coincidir — Para definir um tipo de preferência para pacotes IPv6. A palavra-chave com valor de Preferência IP é 0 para rotina, 1 para prioridade, 2 para imediato, 3 para flash, 4 para flash-override, 5 para crítico, 6 para internet, 7 para rede.

Etapa 12. O ICMP é ativado somente quando você escolhe o protocolo ICMP na Etapa 11. É usado para enviar mensagens de erro quando o serviço não está disponível ou um host ou roteador não pôde ser alcançado. Também é usado para mensagens de consulta de retransmissão.

• Qualquer — Pode ser qualquer mensagem de erro ou de consulta.
• Selecionar na lista — Ela tem uma lista suspensa de mensagens de controle permitidas da seguinte maneira

- Destino inalcançável — É gerado pelo host ou seu gateway para informar ao cliente que o destino está inalcançável por algum motivo (erro de rede ou host inalcançável e assim por diante ).

- Pacote muito grande — O tamanho do datagrama é excedido do MTU especificado.

- Tempo excedido — é gerado por um gateway para informar a origem de um datagrama descartado devido ao tempo de duração do campo que chega a zero.

- Problema do parâmetro — Ele é gerado como resposta para qualquer erro não especificamente abordado por outra mensagem ICMP.

- Solicitação de eco — é um ping, cujos dados devem ser recebidos de volta em uma resposta de eco.

- Resposta de Eco — É gerada em resposta a uma solicitação de eco.

- Consulta MLD — É usado para saber quais endereços multicast têm ouvintes em um link conectado. Digite 130 em decimal.

- Relatório MLD — É gerado quando o endereço multicast IPv6 ao qual o remetente da mensagem está escutando

- Relatório MLD V2 — É o mesmo que o relatório MLD com a versão 2.

- MLD concluído — quando o host sai de um grupo, ele envia uma mensagem de escuta de multicast feita para roteadores de multicast na rede

- Solicitação de roteador — é uma mensagem de descoberta de roteador. Os hosts descobrem os endereços de seus roteadores vizinhos simplesmente ouvindo anúncios. Padrão = 224.0.0.2 para multicast; caso contrário, 255.255.255.255.

- Anúncio de roteador — O roteador envia periodicamente um anúncio de roteador de cada uma de suas interfaces multicast, anunciando os endereços IP dessa interface.

ND NS — As mensagens são originadas por nós para solicitar o endereço da camada de enlace de outro nó e também para funções como detecção de endereços duplicados e detecção de inacessibilidade de vizinhos

ND NA — As mensagens são enviadas em resposta às mensagens NS. Se um nó alterar seu endereço da camada de link, ele poderá enviar um NA não solicitado para anunciar o novo endereço

Etapa 13. O Código ICMP é ativado somente quando você escolhe o protocolo ICMP da Etapa 11. Ele é usado para fornecer informações mais específicas das mensagens de controle com um valor.

• Tipo ICMP a corresponder — O usuário precisa inserir um intervalo entre 0 e 255 para corresponder às mensagens de controle ICMP.
• Qualquer — Pode ser qualquer valor que corresponda à mensagem de controle.
• Definido pelo usuário — O valor é definido no intervalo entre 0 e 255, para corresponder às mensagens de controle.

Etapa 14. Clique em Apply, que grava a ACE baseada em IPv6 no arquivo de configuração atual.

Histórico de revisões

Revisão	Data de publicação	Comentários
1.0	10-Dec-2018	Versão inicial