300系列托管交换机上基于IPv6的ACL和ACE

已更新: 2017 年 8 月 18 日
文档 ID:SMB69

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

300系列托管交换机上基于IPv6的ACL和ACE

目标

本文介绍如何在300系列托管交换机上创建基于IPv6的ACL和ACE。它可以允许或拒绝数据包输入到访问列表上配置的IP地址。ACL的规则由访问控制条目(ACE)提供。

适用设备

  • 300系列托管交换机

基于IPv6的ACL和ACE的配置

基于IPv6的ACL

步骤1.使用配置实用程序选择Access Control > IPv6-Based ACL。将打开基于IPv6的ACL页面。此页将显示当前定义的ACL列表。

步骤2.单击Add添加新访问列表。

步骤3.在ACL Name字段中输入访问列表的名称。

步骤4.单击Apply,使基于IPv6的ACL写入运行配置文件。

基于IPv6的ACE配置

要向ACL添加访问控制条目(ACE),请执行以下步骤:

步骤1.使用配置实用程序选择Access Control > IPv6-Based ACE。将打开基于IPv6的ACE页面:  

步骤2.从ACL Name equals to下拉列表中选择ACL并单击Add。系统将显示Add IPv6-based ACE窗口。 

步骤3.在Priority字段中输入ACE的优先级。首先处理优先级最高的1。其范围为1 - 2147483647。

步骤4.在Action字段中,点击与数据包匹配时发生的所需操作对应的单选按钮。

  • 允许 — 允许与ACE条件匹配的数据包。
  • 拒绝 — 丢弃符合ACE条件的数据包。
  • 关闭 — 丢弃符合ACE条件的数据包并禁用接收数据包的端口。可以从端口设置页面重新激活此类端口。

第五步:  点击与ACE所需协议对应的单选按钮,该协议为所有路由网络协议配置,以便在数据包通过路由器时过滤数据包。

  • Any — 它将选择任何基于IPv6的ACE协议。 
  • 从列表中选择 — 从下拉列表中选择任何协议(TCP、UDP、ICMP)。
  • 要匹配的协议ID — 用于将协议与ID匹配。不同协议(如TCP为6,UDP为17)的默认值和ICMP为58的默认值,用户可以在其中定义任何值。

 

步骤6.如果所有源地址都可接受,则单击“任意”或“用户定义”,以确定是否必须在“源IP地址”字段中输入具有前缀长度的源IP地址值。

步骤7.如果所有目标地址都可接受,则单击“任意”;如果必须在“目标IP地址”字段中输入具有前缀长度的目标IP地址值,则单击“用户定义”。

步骤 8  仅当您从步骤5中选择协议TCP和UDP时,源端口才启用。如果所有源端口都可接受,或者Single 值(范围为0 - 65535),或者必须输入源端口的范围,请单击Any

步骤9.仅当您从步骤5中选择协议TCP和UDP时,才启用目标端口。如果所有源端口都可接受,或者必须输入0 - 65535范围内的Single value或Range of Destination Port。

步骤10.仅当您从步骤5中选择协议TCP时,TCP标志才启用。单击具有不同选项的任何标志Set as 1 or on、Unset as 0 or off或Do not care as x

  • Urg — 此标志用于将传入数据标识为Urgent。
  • 确认 — 此标志用于确认数据包的成功接收。
  • Psh — 此标志用于确保数据获得优先级(它应得到的优先级)并在发送或接收端进行处理。
  • Rst — 当数据段到达时,不用于当前连接时,使用此标志。
  • Syn — 此标志用于TCP通信。
  • Fin — 当通信或数据传输完成时使用此标志。

步骤11.在Type of Service字段中,点击与流量拥塞控制所需服务类型对应的单选按钮。

  • Any — 任何类型的服务都用于流量拥塞。
  • 要匹配的DSCP — 差分服务代码点(DSCP)是用于分类和管理网络流量的机制。6位(0-63)用于选择数据包在每个节点上体验的每跳行为。
  • 匹配的IP优先级 — 为IPv6数据包设置首选项类型。IP首选项值为0的关键字表示例程,1的关键字表示优先级,2的关键字表示立即,3的关键字表示闪存,4的关键字表示闪存覆盖,5的关键字表示严重,6的关键字表示互联网,7的关键字表示网络。

步骤12.仅当您在步骤11中选择协议ICMP时,ICMP才启用。当服务不可用或主机或路由器无法访问时,ICMP用于发送错误消息。它还用于中继查询消息。

  • Any — 可以是任何错误消息或查询消息。
  • 从列表中选择 — 它具有允许的控制消息的下拉列表,如下所示

— 目标不可达 — 主机或其网关生成该目标,以通知客户端由于某种原因无法到达该目标(网络或主机不可达错误等)。

— 数据包太大 — 数据报的大小超过给定MTU。

— 超时 — 由网关生成,以通知源由于生存时间字段达到零而丢弃的数据报。

— 参数问题 — 它作为对其他ICMP消息未特别涵盖的任何错误的响应生成。

— 回应请求 — 这是ping,其数据预期会在回应应答中收到。

— 回应应答 — 响应回应请求时生成。

- MLD查询 — 用于了解哪些组播地址在连接的链路上具有侦听程序。十进制键入130。

- MLD报告 — 当消息发送方正在侦听的IPv6组播地址时生成

- MLD V2报告 — 与MLD报告版本2相同。

- MLD完成 — 当主机离开组时,它会向网络上的组播路由器发送组播侦听程序完成消息

— 路由器请求 — 它是路由器发现消息。主机只需侦听通告即可发现其相邻路由器的地址。默认值= 224.0.0.2用于组播,否则为255.255.255.255。

— 路由器通告 — 路由器定期从每个组播接口组播路由器通告,通告该接口的IP地址。

- ND NS — 消息由节点发起,用于请求另一节点的链路层地址,还用于重复地址检测和邻居不可达性检测等功能

- ND NA — 发送消息以响应NS消息。如果节点更改其链路层地址,它可以发送未经请求的NA来通告新地址

步骤13.仅当您从步骤11中选择协议ICMP时,ICMP代码才启用。它用于提供具有值的控制消息的更具体信息。

  • 要匹配的ICMP类型 — 用户必须输入0到255之间的范围才能匹配ICMP控制消息。
  • Any — 它可以是与控制消息匹配的任何值。
  • 用户定义 — 该值从0到255之间的范围定义,以匹配控制消息。

步骤 14单击Apply,将基于IPv6的ACE写入运行配置文件。

修订历史记录

版本 发布日期 备注
1.0
10-Dec-2018
初始版本

此文档是否有帮助?

Feedback反馈

联系我们