Konfiguration einer IPv6-basierten Zugriffskontrollliste (ACL) und eines Zugriffskontrolleintrags (ACE) auf einem Switch

Download-Optionen

PDF (612.9 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (553.2 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (707.1 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:13. Dezember 2018

Dokument-ID:SMB3050

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Konfiguration einer IPv6-basierten Zugriffskontrollliste (ACL) und eines Zugriffskontrolleintrags (ACE) auf einem Switch

Ziel

Eine Zugriffskontrollliste (ACL) ist eine Liste von Netzwerkverkehrsfiltern und korrelierten Aktionen zur Verbesserung der Sicherheit. Sie blockiert bestimmte Ressourcen oder ermöglicht ihnen den Zugriff darauf. Eine ACL enthält die Hosts, denen der Zugriff auf das Netzwerkgerät erlaubt oder verweigert wird.

Die typische ACL-Funktion in IPv6 ähnelt den ACLs in IPv4. ACLs bestimmen, welcher Datenverkehr blockiert und an die Switch-Schnittstellen weitergeleitet wird. ACLs ermöglichen das Filtern nach Quell- und Zieladressen sowie ein- und ausgehend zu bestimmten Schnittstellen. Jede ACL verfügt am Ende über eine implizite deny-Anweisung. Die Regeln für die Zugriffskontrolllisten werden in den Zugriffskontrolleinträgen (Access Control Entries, ACEs) konfiguriert.

Sie sollten Zugriffslisten verwenden, um eine grundlegende Sicherheitsstufe für den Zugriff auf Ihr Netzwerk bereitzustellen. Wenn Sie keine Zugriffslisten auf Ihren Netzwerkgeräten konfigurieren, können alle Pakete, die über den Switch oder Router geleitet werden, in alle Teile Ihres Netzwerks gelangen.

Dieser Artikel enthält Anweisungen zur Konfiguration einer IPv6-basierten ACL und eines ACE auf einem Switch.

Unterstützte Geräte

Sx350-Serie
SG350X-Serie
Sx500-Serie
Sx550X-Serie

Software-Version

1.4.5.02 - Serie Sx500
2.2.5.68 - Serie Sx350, Serie SG350X, Serie Sx550X

Konfigurieren von IPv6-basierter ACL und ACE

Konfigurieren einer IPv6-basierten ACL

Schritt 1: Melden Sie sich beim webbasierten Dienstprogramm an, und gehen Sie dann zu Access Control > IPv6-Based ACL (Zugriffskontrolle > IPv6-basierte ACL).

Schritt 2: Klicken Sie auf die Schaltfläche Hinzufügen.

Schritt 3: Geben Sie den Namen der neuen ACL in das Feld ACL-Name ein.

Hinweis: In diesem Beispiel wird IPv6-ACL verwendet.

Schritt 4: Klicken Sie auf Übernehmen und dann auf Schließen.

Schritt 5: Klicken Sie optional auf Speichern, um die Einstellungen in der Startkonfigurationsdatei zu speichern.

Sie sollten jetzt eine IPv6-basierte ACL auf Ihrem Switch konfiguriert haben.

Konfigurieren von IPv6-basiertem ACE

Wenn ein Paket an einem Port empfangen wird, verarbeitet der Switch den Frame über die erste ACL. Stimmt das Paket mit einem ACE-Filter der ersten ACL überein, findet die ACE-Aktion statt. Wenn das Paket mit keinem der ACE-Filter übereinstimmt, wird die nächste ACL verarbeitet. Wenn in allen relevanten ACLs keine Übereinstimmung mit einem ACE gefunden wird, wird das Paket standardmäßig verworfen.

In diesem Szenario wird ein ACE erstellt, um Datenverkehr abzulehnen, der von einer bestimmten benutzerdefinierten IPv6-Quelladresse an eine beliebige Zieladresse gesendet wird.

Hinweis: Diese Standardaktion kann vermieden werden, indem ein ACE mit niedriger Priorität erstellt wird, der den gesamten Datenverkehr zulässt.

Schritt 1: Gehen Sie im webbasierten Dienstprogramm zu Access Control > IPv6-Based ACE.

Wichtig: Wenn Sie über einen Switch der Serien Sx350, SG350X oder Sx550X verfügen, wechseln Sie in den Advanced-Modus, indem Sie Advanced (Erweitert) aus der Dropdown-Liste Display Mode (Anzeigemodus) in der oberen rechten Ecke der Seite auswählen.

Schritt 2: Wählen Sie in der Dropdown-Liste "ACL Name" eine ACL aus, und klicken Sie dann auf Go.

Hinweis: Die bereits für die ACL konfigurierten ACEs werden in der Tabelle angezeigt.

Schritt 3: Klicken Sie auf die Schaltfläche Hinzufügen, um der ACL eine neue Regel hinzuzufügen.

Hinweis: Im Feld ACL-Name wird der Name der ACL angezeigt.

Schritt 4: Geben Sie den Prioritätswert für den ACE in das Feld Priority (Priorität) ein. Zuerst werden ACEs mit einem höheren Prioritätswert verarbeitet. Der Wert 1 ist die höchste Priorität. Der Bereich liegt zwischen 1 und 2147483647.

Hinweis: In diesem Beispiel wird 3 verwendet.

Schritt 5: Klicken Sie auf das Optionsfeld, das der gewünschten Aktion entspricht, die ausgeführt wird, wenn ein Frame die erforderlichen Kriterien des ACE erfüllt.

Hinweis: In diesem Beispiel wird Zulassen ausgewählt.

Zulassen - Der Switch leitet Pakete weiter, die die erforderlichen Kriterien des ACE erfüllen.
Deny (Verweigern): Der Switch verwirft Pakete, die die erforderlichen Kriterien des ACE erfüllen.

Herunterfahren - Der Switch verwirft Pakete, die nicht die erforderlichen Kriterien des ACE erfüllen, und deaktiviert den Port, an dem die Pakete empfangen wurden. Deaktivierte Ports können auf der Seite Porteinstellungen reaktiviert werden.

Schritt 6. (Optional) Aktivieren Sie das Kontrollkästchen Enable Logging (Protokollierung aktivieren), um die Protokollierung von ACL-Flows zu aktivieren, die der ACL-Regel entsprechen.

Schritt 7: (Optional) Aktivieren Sie das Kontrollkästchen Enable Time Range (Zeitbereich aktivieren), um die Konfiguration eines Zeitbereichs für den ACE zu ermöglichen. Zeitbereiche werden verwendet, um die Dauer der Aktivierung eines ACE zu begrenzen. Wenn diese Option deaktiviert bleibt, funktioniert der ACE jederzeit.

Schritt 8: Wählen Sie optional aus der Dropdown-Liste "Time Range Name" (Name des Zeitbereichs) einen Zeitbereich aus, der auf den ACE angewendet werden soll.

Hinweis: Sie können auf Bearbeiten klicken, um auf der Seite "Zeitbereich" zu navigieren und einen Zeitbereich zu erstellen.

Schritt 9. Wählen Sie einen Protokolltyp im Bereich Protokoll aus. Der ACE wird basierend auf einem bestimmten Protokoll oder einer Protokoll-ID erstellt.

Folgende Optionen sind verfügbar:

Any (IP) (Beliebig (IP)) - Mit dieser Option wird der ACE so konfiguriert, dass er alle IP-Protokolle akzeptiert.
Aus Liste auswählen — Mit dieser Option können Sie ein Protokoll aus einer Dropdown-Liste auswählen. Wenn Sie diese Option bevorzugen, fahren Sie mit Schritt 10 fort.
Zuzuordnende Protokoll-ID - Mit dieser Option können Sie eine Protokoll-ID eingeben. Wenn Sie diese Option bevorzugen, fahren Sie mit Schritt 11 fort.

Hinweis: In diesem Beispiel ist Select from list ausgewählt.

Schritt 10. (Optional) Wenn Sie in Schritt 9 Wählen Sie aus der Liste aus, wählen Sie ein Protokoll aus der Dropdown-Liste aus.

Folgende Optionen sind verfügbar:

TCP - Über das Transmission Control Protocol (TCP) können zwei Hosts miteinander kommunizieren und Datenströme austauschen. TCP garantiert die Paketübermittlung und garantiert, dass die Pakete in der Reihenfolge gesendet und empfangen werden, in der sie versendet wurden.
UDP: User Datagram Protocol (UDP) überträgt Pakete, garantiert jedoch nicht deren Zustellung.
ICMP - Gleicht Pakete an das Internet Control Message Protocol (ICMP) an.

Hinweis: In diesem Beispiel wird TCP verwendet.

Schritt 11. (Optional) Wenn Sie in Schritt 9 die Protokollkennung für die Übereinstimmung ausgewählt haben, geben Sie die Protokollkennung in das Feld Protokollkennung für die Übereinstimmung ein.

Hinweis: In diesem Beispiel wird 1 verwendet.

Schritt 12: Klicken Sie auf das Optionsfeld, das den gewünschten Kriterien des ACE im Bereich "Source IP Address" (Quell-IP-Adresse) entspricht.

Folgende Optionen sind verfügbar:

Any (Beliebig): Alle IPv6-Quelladressen gelten für den ACE.
Benutzerdefiniert — Geben Sie eine IP-Adresse und eine IP-Platzhaltermaske ein, die auf den ACE in den Feldern Source IP Address Value und Source IP Prefix Length angewendet werden sollen.

Hinweis: In diesem Beispiel wird Benutzerdefiniert ausgewählt. Wenn Sie Any (Beliebig) ausgewählt haben, fahren Sie mit Schritt 15 fort.

Schritt 13: Geben Sie die Quell-IP-Adresse in das Feld Quell-IP-Adresswert ein.

Hinweis: In diesem Beispiel wird fe80::d0ba:7021:37f7:d68d verwendet.

Schritt 14: Geben Sie die Länge des IP-Quellpräfixes in das Feld "Länge des IP-Quellpräfixes" ein.

Hinweis: In diesem Beispiel wird 128 verwendet.

Schritt 15: Klicken Sie im Bereich Ziel-IP-Adresse auf das Optionsfeld, das den gewünschten Kriterien des ACE entspricht.

Folgende Optionen sind verfügbar:

Any (Beliebig): Alle IPv6-Zieladressen gelten für den ACE.
Benutzerdefiniert — Geben Sie eine IP-Adresse und eine IP-Platzhaltermaske ein, die auf den ACE in den Feldern Destination IP Address Value (IP-Adresswert) und Destination IPPrefix Length (IP-Refixlänge) angewendet werden sollen.

Hinweis: In diesem Beispiel ist Any (Beliebig) ausgewählt. Wenn Sie diese Option auswählen, lässt der zu erstellende ACE den ACE-Datenverkehr von der angegebenen IPv6-Adresse an ein beliebiges Ziel zu.

Schritt 16. (Optional) Klicken Sie auf ein Optionsfeld im Bereich "Source Port" (Quellport). Der Standardwert ist Any (Beliebig).

Any (Beliebig): Übereinstimmung mit allen Quellports.
Einzel aus Liste - Sie können einen einzelnen TCP/UDP-Quell-Port auswählen, dem Pakete zugeordnet werden. Dieses Feld ist nur aktiv, wenn 800/6-TCP oder 800/17-UDP im Dropdown-Menü Select from List (Aus Liste auswählen) ausgewählt ist.
Single by number (Einzel nach Nummer): Sie können einen einzelnen TCP/UDP-Quell-Port auswählen, dem Pakete zugeordnet werden. Dieses Feld ist nur aktiv, wenn 800/6-TCP oder 800/17-UDP im Dropdown-Menü Select from List (Aus Liste auswählen) ausgewählt ist.
Bereich - Sie können einen Bereich von TCP/UDP-Quell-Ports auswählen, denen das Paket zugeordnet wird. Es können acht verschiedene Port-Bereiche konfiguriert werden (die von Quell- und Ziel-Ports gemeinsam genutzt werden). TCP- und UDP-Protokolle haben jeweils acht Port-Bereiche.

Schritt 17. (Optional) Klicken Sie auf ein Optionsfeld im Bereich Zielport. Der Standardwert ist Any (Beliebig).

Any (Beliebig): Übereinstimmung mit allen Quell-Ports
Einzel aus Liste - Sie können einen einzelnen TCP/UDP-Quell-Port auswählen, dem Pakete zugeordnet werden. Dieses Feld ist nur aktiv, wenn 800/6-TCP oder 800/17-UDP im Dropdown-Menü Select from List (Aus Liste auswählen) ausgewählt ist.
Single by number (Einzel nach Nummer): Sie können einen einzelnen TCP/UDP-Quell-Port auswählen, dem Pakete zugeordnet werden. Dieses Feld ist nur aktiv, wenn 800/6-TCP oder 800/17-UDP im Dropdown-Menü Select from List (Aus Liste auswählen) ausgewählt ist.
Bereich - Sie können einen Bereich von TCP/UDP-Quell-Ports auswählen, denen das Paket zugeordnet wird. Es können acht verschiedene Port-Bereiche konfiguriert werden (die von Quell- und Ziel-Ports gemeinsam genutzt werden). TCP- und UDP-Protokolle haben jeweils acht Port-Bereiche.

Schritt 18. (Optional) Wählen Sie im Bereich TCP-Flags ein oder mehrere TCP-Flags aus, mit denen Pakete gefiltert werden sollen. Gefilterte Pakete werden entweder weitergeleitet oder verworfen. Durch das Filtern von Paketen nach TCP-Flags wird die Paketkontrolle erhöht, was die Netzwerksicherheit erhöht.

Festlegen - Übereinstimmend, wenn die Markierung festgelegt ist.
Unset (Nicht festgelegt) - Übereinstimmung, wenn das Flag nicht festgelegt ist.
Kein Problem - Das TCP-Flag wird ignoriert.

Die TCP-Flags sind:

Urg - Diese Markierung wird verwendet, um eingehende Daten als dringend zu identifizieren.
Ack (Bestätigen): Diese Markierung wird verwendet, um den erfolgreichen Empfang von Paketen zu bestätigen.
Psh - Diese Markierung wird verwendet, um sicherzustellen, dass die Daten die Priorität erhalten (die sie verdienen) und auf der sendenden oder empfangenden Seite verarbeitet werden.
Rst - Dieses Flag wird verwendet, wenn ein Segment ankommt, das nicht für die aktuelle Verbindung bestimmt ist.
Syn - Dieses Flag wird für TCP-Kommunikation verwendet.
Finden - Dieses Flag wird verwendet, wenn die Kommunikation oder Datenübertragung beendet ist.

Schritt 19. (Optional) Klicken Sie im Bereich "Type of Service" (Diensttyp) auf den Diensttyp des IP-Pakets.

Folgende Optionen sind verfügbar:

Any (Beliebig): Es kann jede Art von Service für Datenverkehrsengpässe sein.
Zuzuordnender DSCP - Differentiated Services Code Point ist ein Mechanismus zur Klassifizierung und Verwaltung des Netzwerkverkehrs. Sechs Bit (0-63) werden verwendet, um das Pro-Hop-Verhalten eines Pakets auf jedem Knoten auszuwählen.
Zuzuordnende IP-Rangfolge - Die IP-Rangfolge ist ein Modell für den Type of Service (TOS), das vom Netzwerk verwendet wird, um die entsprechenden Quality of Service (QoS)-Verpflichtungen bereitzustellen. Dieses Modell verwendet die drei höchstwertigen Bits des Servicetypbytes im IP-Header, wie in RFC 791 und RFC 1349 beschrieben. Das Schlüsselwort mit den IP-Voreinstellungswerten lautet wie folgt:

- 0 — für Routine

- 1 — für Priorität

- 2 — für sofortige

- 3 — für Blitz

- 4 — für Flash-override

- 5 — für kritische

- 6 — Internet

- 7 — für das Netz

Hinweis: In diesem Beispiel ist Any (Beliebig) ausgewählt.

Schritt 20. (Optional) Wenn das IP-Protokoll der ACL "ICMP" ist, klicken Sie auf den zu Filterzwecken verwendeten ICMP-Meldungstyp. Wählen Sie den Meldungstyp nach Namen aus, oder geben Sie die Nummer des Meldungstyps ein:

Beliebig - Alle Nachrichtentypen werden akzeptiert.
Aus Liste auswählen — Sie können den Nachrichtentyp nach Namen auswählen.
Zuzuordnender ICMP-Typ - Die Anzahl der zu Filterzwecken zu verwendenden Nachrichtentypen.

Hinweis: In diesem Beispiel ist Select from list ausgewählt.

Schritt 21. (Optional) Wenn in Schritt 20 Wählen Sie eine Option aus der Liste aus ausgewählt ist, wählen Sie die Kontrollnachrichten aus, die aus den möglichen Optionen in der Dropdown-Liste gefiltert werden sollen:

Destination Unreachable (1) - Diese Meldung wird vom Host oder dessen Gateway generiert, um den Client darüber zu informieren, dass das Ziel aus irgendeinem Grund nicht erreichbar ist (Beispiel: Fehler "Network or Host unreachable" (Netzwerk oder Host nicht erreichbar)).
Paket zu groß (2) - Die Größe des Datagramms überschreitet die angegebene MTU.
Zeit überschritten (3) — Sie wird von einem Gateway generiert, um die Quelle eines verworfenen Datagramms zu informieren, da das Time-to-Live-Feld null erreicht.
Parameterproblem (4) - Es wird als Antwort auf einen Fehler generiert, der nicht explizit von einer anderen ICMP-Meldung abgedeckt wird.
Echoanforderung (128) — Es handelt sich um einen Ping, dessen Daten voraussichtlich in einer Echoantwort empfangen werden.
Echo Reply (129) — Diese Antwort wird als Antwort auf eine Echoanfrage generiert.
MLD-Abfrage (130) - Mit dieser Abfrage wird ermittelt, welche Multicast-Adressen über Listener auf einem verbundenen Link verfügen. Geben Sie 130 als Dezimalzahl ein.
MLD-Bericht (131) - Dieser wird generiert, wenn die IPv6-Multicast-Adresse vom Absender angehört wird.
MLD v2 Report (143) — Es ist identisch mit MLD Report mit Version 2.
MLD Done (132) - Wenn der Host eine Gruppe verlässt, sendet er eine Meldung über den Abschluss eines Multicast-Listeners an die Multicast-Router im Netzwerk.
Router Solicitation (133) - Dies ist eine Router-Erkennungsmeldung. Die Hosts ermitteln die Adressen ihrer benachbarten Router einfach, wenn sie auf Werbung achten. Der Standardwert für Multicast ist 224.0.0.2, andernfalls 255.255.255.255.
Router Advertisement (134) - Der Router sendet regelmäßig Multicast-Nachrichten von jeder seiner Multicast-Schnittstellen an einen Router Advertisement und gibt die IP-Adressen dieser Schnittstelle bekannt.
ND NS (135) - Nachrichten werden von Knoten generiert, um die Adresse der Verbindungsschicht eines anderen Knotens anzufordern. Dies gilt auch für Funktionen wie die Erkennung doppelter Adressen und die Erkennung der Unerreichbarkeit von Nachbarn.
ND NA (136) - Nachrichten werden als Antwort auf NS-Nachrichten gesendet. Wenn ein Knoten seine Link-Layer-Adresse ändert, kann er eine nicht angeforderte NA senden, um die neue Adresse anzukündigen.

Schritt 22: (Optional) Die ICMP-Meldungen können ein Codefeld aufweisen, das angibt, wie die Meldung zu behandeln ist. Dies ist aktiviert, wenn Sie in Schritt 10 das ICMP-Protokoll auswählen. Klicken Sie auf eine der folgenden Optionen, um festzulegen, ob nach diesem Code gefiltert werden soll: