IPv4-Based在ESW2-350G交换机的ACL & ACE配置

客观

访问控制表(ACL)是过滤器和动作一张排好序的列表。每个分类规则，与其动作一起，是公认的访问控制元素(ACE)。每个ACE有多种数据流组和相关的动作。ACL可能包含一个或更多ACE，对在第3层的流入信息包比较或被匹配。请允许或拒绝动作被匹配到过滤器。它可以被定义与IP协议匹配、来源和目的地端口TCP或UDP数据流的，标志位值为TCP帧， ICMP和IGMP类型和代码、来源和目的地IP地址(包括通配符)，或者DSCP/IP优先值。

此条款说明如何创建IPv4-Based ACL & ACE在ESW2-350G交换机。

Note:端口可以获取与ACL或配置有先进的QoS策略，但是不是两个。可以只有每个端口一个ACL，除之外连结IPv4-based ACL和IPv6-based ACL与单个端口是可能的。要连结超过一个ACL与端口，必须使用与一个或更多类映射的一个策略。

可适用的设备

•ESW2-350G
•ESW2-350G-DC

软件版本

•1.3.0.62

IPv4-Based ACL配置

步骤1.登陆到Web配置工具并且选择访问控制> IPv4-Based ACL。IPv4-Based ACL页打开：

 

步骤2.点击添加添加一新的访问列表。

 

步骤3.输入一个名字对于访问列表在ACL名称字段。

步骤4.点击适用造成IPv4-Based ACL给运行配置文件被写。

第5.步(可选)访问IPv4根据ACE表点击IPv4-Based ACE表。

IPv4-Based ACE配置

添加ACE到以下步骤需要跟随的ACL ：

第 1 步：请使用Web配置工具选择访问控制> IPv4-基于ACE。IPv4-Based ACE页打开： 

步骤2.从下拉列表选择ACL并且点击添加。添加IPv4-based ACE窗口出现：

步骤3.输入ACE的优先级在优先级字段。最高优先级的值首先被处理。最高优先级是1。它有范围的1到2147483647。

步骤4.点击从以下选项的所需的动作单选按钮： 

•许可证—允许匹配ACE标准的信息包。

•拒绝—丢弃满足ACE标准的信息包。

•关闭—丢弃满足ACE标准的信息包并且使端口无效从信息包收到。这样端口可以从Settings页的端口恢复活动。

第5.步(可选的)检查对enable (event)时间范围的Enable复选框在时间范围字段的ACE的。

Note:必须创建时间范围为了适用它于ACE。要配置时间范围请参见在ESW2-350G交换机的条款时间范围配置。

第6.步。如果检查在第5步的Enable (event)，从将适用的时间范围下拉列表请选择时间范围于ACE。

步骤7.点击编辑去时间范围页编辑时间范围。确认对话关闭的窗口出现：

Note: 要配置时间范围请参见在ESW2-350G交换机的条款时间范围配置。

第8.步(可选)点击OK键进行到时间范围页。

步骤9.，当信息包穿过路由器，用于ACE的协议为所有路由的网络协议被配置为了过滤信息包。 点击期望Protocol单选按钮从以下选项：

   •其中任一—选择其中任一个IPv4-Based ACE协议。 

•从列表挑选—从下拉列表选择其中任一个协议。

•匹配的协议ID —用于匹配协议以ID。DEFAULT值不同的协议的类似是6是17的TCP， UDP和是58等的ICMP的或用户能定义在它的所有值。

 

第10.步。在IP Address字段的来源，请点击其中一个可用的选项作为IP原地址：

•其中任一—此选项运用访问规则于任何IP地址可用在一个特定网段。

•用户定义—此选项让您输入一个特定IP地址。

- IP Address值的来源—在此字段，请输入IP原地址。

-来源IP通配符屏蔽—在此字段，请输入IP原地址的通配符屏蔽。通配符掩码让您指定到IP原地址的哪台主机此访问列表适用。

第11.步。在IP Address字段的目的地，请点击其中一个可用的选项作为目的地IP地址：

•其中任一—此选项运用访问规则于任何IP地址可用在一个特定网段。

•用户定义—此选项让您输入一个特定IP地址运用访问规则：

– IP Address值的目的地—在此字段，请输入目的地IP地址。

–目的地IP通配符屏蔽—在此字段，请输入目的地IP地址的通配符屏蔽。通配符掩码让您指定目的地IP地址的哪些主机此访问列表适用于。

步骤12。只有当您从第5.步选择TCP或UDP点击单选按钮其中一个可用的选项选择源端口时，源端口字段被启用：

•其中任一—此选项接受所有源端口。

•单一此选项让您输入单个源端口值。

•范围—此选项让您输入可用的源端口的范围。

第13步。只有当您从第5.步选择TCP或UDP点击单选按钮其中一个可用的选项选择目的地端口时， Port字段的目的地被启用：

•其中任一—此选项接受所有目的地端口。

•单一此选项让您输入Port值的单个目的地。

•范围—此选项让您输入可用的目的地端口的范围。

 

步骤14。只有当您从第5.步选择TCP点击其中一个每个标志位的单选按钮能确定如何过滤TCP标志位值时， TCP标志字段被启用。或者请设置作为1或，移置作为0或或者请勿关心作为x。

•Urg —此标志位用于识别流入的数据如紧急。

•Ack —此标志位用于承认信息包成功的接收。

•Psh —此标志位用于保证制定数据优先级(该该当)和被处理在发送或接收端。

•Rst —使用此标志位，当没有供当前连接使用的分段到达时。

•同步符—此标志位使用TCP通信。

•飞翅—此标志位，当通信或数据传输完成时，使用。

第15步。点击是拥塞控制数据流，在拥塞的情况下主机后退的服务类型。

•其中任一—它可以是流量拥塞的任一种服务。

•匹配的DSCP —选择此选项实现差分服务代码点(DSCP)作为服务类型。DSCP是分类和管理网络流量的机制。输入您希望运用于访问规则的DSCP值。

•匹配的IP优先级—要设置首选为IPv6信息包请键入。与IP首选值产生关联的关键字是0惯例的， 1优先级的， 2立即的， 3闪存的， 4 FLASH覆盖的， 5重要的， 6互联网的， 7网络的。 输入您希望运用于访问规则的值。

 

第16步。只有当您从第5.步时，选择协议ICMP ICMP字段被启用。它用于发错误信息，当服务不是可用的时或主机或路由器不可能被到达。它也使用中继查询消息。 点击其中一个可用的单选按钮过滤ICMP信息类型：

•其中任一—它能是其中任一个错误信息或查询消息。

•从列表挑选—从下拉列表选择其中任一允许的控制消息。

                 •匹配的ICMP类型—用户必须输入在0-255之间的一个范围匹配ICMP控制消息。

第17步。只有当您从第5.步时，选择协议ICMP ICMP代码被启用。它用于提供控制消息的特定信息值。 点击其中一个可用的选项：

•其中任一—它可以是匹配控制信息的所有值。

•用户定义—输入您希望过滤的ICMP代码。 值从在0-255之间的范围被定义，匹配控制消息。

第18步。只有当您从第5.步时，选择协议IGMP IGMP字段被启用。它管理在IP组播组的主机会员在网段。 点击其中一个可用的单选按钮过滤IGMP信息类型：

•其中任一—它可进行其中任一个IGMP动作。

•从列表挑选—从下拉列表选择其中任一个协议。

– DVMRP —它使用一个反向路径泛滥技术，发送收到的信息包的复制通过除了信息包到达的那个的每个接口。

–主机查询—它周期地传送在每个连接的网络的一般主机查询信息对于信息

–主机回复—它回复查询。

– PIM —它用于在本地和远程组播路由器之间处理从组播服务器的组播数据流对许多组播客户端。

–跟踪—它提供关于参加和离开IGMP组播组的信息。

•匹配的IGMP类型—它与源和目的地IP地址和掩码匹配IGMP协议，并且有一个编号在十进制的IGMP类型。

第19步。点击适用造成IPv4-Based ACE给运行配置文件被写。

第20步。(可选)请点击IPv4-Based ACL表去IPv4基于ACL页。