Konfiguration einer MAC-basierten Zugriffskontrollliste (ACL) und eines Access Control Entry (ACE) auf einem Managed Switch

Download-Optionen

PDF (746.1 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (666.2 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (558.1 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:25. Februar 2020

Dokument-ID:SMB2580

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Ziel

Eine Zugriffskontrollliste (ACL) ist eine Liste von Netzwerkverkehrsfiltern und korrelierten Aktionen zur Verbesserung der Sicherheit. Sie blockiert bestimmte Ressourcen oder ermöglicht ihnen den Zugriff darauf. Eine ACL enthält die Hosts, denen der Zugriff auf das Netzwerkgerät erlaubt oder verweigert wird. MAC-basierte (Media Access Control) Zugriffskontrollliste (Access Control List, ACL) ist eine Liste von Quell-MAC-Adressen, die Layer-2-Informationen verwenden, um den Zugriff auf Datenverkehr zu erlauben oder zu verweigern. Wenn ein Paket von einem Wireless Access Point zu einem LAN-Port oder umgekehrt gelangt, überprüft dieses Gerät, ob die Quell-MAC-Adresse des Pakets mit einem Eintrag in dieser Liste übereinstimmt, und vergleicht die ACL-Regeln mit dem Inhalt des Frames. Anschließend werden die übereinstimmenden Ergebnisse verwendet, um dieses Paket zuzulassen oder abzulehnen. Pakete vom LAN- zum LAN-Port werden jedoch nicht überprüft. Ein Zugriffskontrolleintrag (Access Control Entry, ACE) enthält die tatsächlichen Kriterien der Zugriffsregeln. Sobald der ACE erstellt wurde, wird er auf eine ACL angewendet. Sie sollten Zugriffslisten verwenden, um eine grundlegende Sicherheitsstufe für den Zugriff auf Ihr Netzwerk bereitzustellen. Wenn Sie keine Zugriffslisten auf Ihren Netzwerkgeräten konfigurieren, können alle Pakete, die über den Switch oder Router geleitet werden, in alle Teile Ihres Netzwerks gelangen.

Dieser Artikel enthält Anweisungen zur Konfiguration einer MAC-basierten ACL und eines ACE auf dem Managed Switch.

Unterstützte Geräte | Software-Version

Sx350-Serie | 2.2.0.66 (Aktuelle Version herunterladen)
SG350X-Serie | 2.2.0.66 (Aktuelle Version herunterladen)
Sx500-Serie | 1.4.5.02 (Aktuelle Version herunterladen)
Sx550X-Serie | 2.2.0.66 (Aktuelle Version herunterladen)

Konfigurieren von MAC-basierter ACL und ACE

MAC-basierte ACL konfigurieren

Schritt 1: Melden Sie sich beim webbasierten Dienstprogramm an, und wechseln Sie dann zu Access Control > MAC-Based ACL.

Schritt 2: Klicken Sie auf die Schaltfläche Hinzufügen.

Schritt 3: Geben Sie den Namen der neuen ACL in das Feld ACL Name (ACL-Name) ein.

Schritt 4: Klicken Sie auf Übernehmen und dann auf Schließen.

Schritt 5: Klicken Sie optional auf Speichern, um die Einstellungen in der Startkonfigurationsdatei zu speichern.

Sie sollten jetzt eine MAC-basierte ACL auf Ihrem Switch konfiguriert haben.

Konfigurieren von MAC-basiertem ACE

Wenn ein Frame an einem Port empfangen wird, verarbeitet der Switch den Frame über die erste ACL. Stimmt der Frame mit einem ACE-Filter der ersten ACL überein, findet die ACE-Aktion statt. Wenn der Frame mit keinem der ACE-Filter übereinstimmt, wird die nächste ACL verarbeitet. Wenn in allen relevanten ACLs keine Übereinstimmung mit einem ACE gefunden wird, wird der Frame standardmäßig verworfen.

In diesem Szenario wird ein ACE erstellt, um Datenverkehr abzulehnen, der von einer bestimmten benutzerdefinierten Quell-MAC-Adresse an eine beliebige Zieladresse gesendet wird.

Hinweis: Diese Standardaktion kann vermieden werden, indem ein ACE mit niedriger Priorität erstellt wird, der den gesamten Datenverkehr zulässt.

Schritt 1: Gehen Sie im webbasierten Dienstprogramm zu Access Control > MAC-Based ACE.

Wichtig: Um die verfügbaren Funktionen des Switches voll auszuschöpfen, wechseln Sie in den erweiterten Modus, indem Sie Erweitert aus der Dropdown-Liste Anzeigemodus in der oberen rechten Ecke der Seite auswählen.

Schritt 2: Wählen Sie in der Dropdown-Liste "ACL Name" eine ACL aus, und klicken Sie dann auf Go.

Hinweis: Die bereits für die ACL konfigurierten ACEs werden in der Tabelle angezeigt.

Schritt 3: Klicken Sie auf die Schaltfläche Hinzufügen, um der ACL eine neue Regel hinzuzufügen.

Hinweis: Im Feld ACL-Name wird der Name der ACL angezeigt.

Schritt 4: Geben Sie den Prioritätswert für den ACE in das Feld Priority (Priorität) ein. Zuerst werden ACEs mit einem höheren Prioritätswert verarbeitet. Der Wert 1 ist die höchste Priorität.

Schritt 5: Aktivieren Sie optional das Kontrollkästchen Enable Logging (Protokollierung aktivieren), um die Protokollierung von ACL-Flows zu aktivieren, die der ACL-Regel entsprechen.

Schritt 6: Klicken Sie auf das Optionsfeld, das der gewünschten Aktion entspricht, die ausgeführt wird, wenn ein Frame die erforderlichen Kriterien des ACE erfüllt.

Hinweis: In diesem Beispiel ist Verweigern ausgewählt.

Zulassen - Der Switch leitet Pakete weiter, die die erforderlichen Kriterien des ACE erfüllen.
Deny (Verweigern): Der Switch verwirft Pakete, die die erforderlichen Kriterien des ACE erfüllen.
Herunterfahren - Der Switch verwirft Pakete, die nicht die erforderlichen Kriterien des ACE erfüllen, und deaktiviert den Port, an dem die Pakete empfangen wurden.

Hinweis: Deaktivierte Ports können auf der Seite Porteinstellungen reaktiviert werden.

Schritt 7: (Optional) Aktivieren Sie das Kontrollkästchen Enable Time Range (Zeitbereich aktivieren), um die Konfiguration eines Zeitbereichs für den ACE zu ermöglichen. Zeitbereiche werden verwendet, um die Dauer der Aktivierung eines ACE zu begrenzen.

Schritt 8: Wählen Sie optional aus der Dropdown-Liste "Time Range Name" (Name des Zeitbereichs) einen Zeitbereich aus, der auf den ACE angewendet werden soll.

Hinweis: Sie können auf Bearbeiten klicken, um auf der Seite "Zeitbereich" zu einem Zeitbereich zu navigieren und diesen zu erstellen.

Schritt 9. Klicken Sie im Bereich Ziel-MAC-Adresse auf das Optionsfeld, das den gewünschten Kriterien des ACE entspricht.

Folgende Optionen sind verfügbar:

Any (Beliebig): Alle MAC-Zieladressen gelten für den ACE.
Benutzerdefiniert — Geben Sie eine MAC-Adresse und eine MAC-Platzhaltermaske ein, die auf den ACE in den Feldern Ziel-MAC-Adresswert und Ziel-MAC-Platzhaltermaske angewendet werden sollen. Platzhaltermasken werden verwendet, um einen Bereich von MAC-Adressen zu definieren.

Hinweis: In diesem Beispiel ist Any (Beliebig) ausgewählt. Wenn Sie diese Option auswählen, verweigert der zu erstellende ACE den ACE-Datenverkehr.

Schritt 10. Klicken Sie auf das Optionsfeld, das den gewünschten Kriterien des ACE im Bereich "Source MAC Address" (Quell-MAC-Adresse) entspricht.

Folgende Optionen sind verfügbar:

Any (Beliebig): Alle Quell-MAC-Adressen gelten für den ACE.
Benutzerdefiniert — Geben Sie eine MAC-Adresse und eine MAC-Platzhaltermaske ein, die auf den ACE in den Feldern "Source MAC Address Value" und "Source MAC Wildcard Mask" angewendet werden sollen. Platzhaltermasken werden verwendet, um einen Bereich von MAC-Adressen zu definieren.

Hinweis: In diesem Beispiel wird Benutzerdefiniert ausgewählt.

Schritt 11: Geben Sie optional in das Feld VLAN ID (VLAN-ID) eine VLAN-ID ein, die dem VLAN-Tag des Frames entspricht.

Schritt 12: (Optional) Um 802.1p-Werte in ACE-Kriterien aufzunehmen, aktivieren Sie das Kontrollkästchen 802.1p einschließen. 802.1p umfasst die Technologie Class of Service (CoS). CoS ist ein 3-Bit-Feld in einem Ethernet-Frame, das zur Unterscheidung des Datenverkehrs verwendet wird.

Schritt 13: Wenn 802.1p-Werte einbezogen werden, geben Sie die folgenden Felder ein:

802.1p-Wert — Geben Sie den abzugleichenden 802.1p-Wert ein. 802.1p ist eine Spezifikation, die Layer-2-Switches die Möglichkeit gibt, Datenverkehr zu priorisieren und dynamische Multicast-Filterung durchzuführen. Die Werte sind wie folgt:

- 0 — Hintergrund. Die Daten, die am wenigsten priorisiert werden, wie Massentransfers, Spiele usw.

- 1 — Bestmöglicher Aufwand. Die Daten, die eine bestmögliche Bereitstellung bei normaler LAN-Priorität erfordern. Das Netzwerk bietet keine Zustellungsgarantie, aber die Daten erhalten eine unbestimmte Bitrate und Zustellungszeit, die auf dem Datenverkehr basiert.

- 2 — Excellent Effort Die Daten, die eine bestmögliche Bereitstellung für wichtige Benutzer erfordern.

- 3 - Kritische Anwendungen wie Linux Virtual Server (LVS) Telefon Session Initiation Protocol (SIP).

- 4 - Video. Latenz und Jitter kleiner als 100 ms

- 5 - Standard-IP-Telefon für Sprachanwendungen. Latenz und Jitter kleiner als 10 ms

- 6 — Inter-Network Control LVS-Telefon Real-time Transport Protocol (RTP).

- 7 — Netzwerkkontrolle. Hohe Anforderungen an den Durchgang zur Wartung und zum Support der Netzwerkinfrastruktur

802.1p Mask (802.1p-Maske): Geben Sie die Platzhaltermaske für die 802.1p-Werte ein. Diese Platzhaltermaske wird verwendet, um den Bereich der 802.1p-Werte zu definieren.

Schritt 14: Geben Sie optional den Ethertype des zu vergleichenden Frames ein. Ethertype ist ein 2-Oktett-Feld in einem Ethernet-Frame, das angibt, welches Protokoll für die Nutzlast des Frames verwendet wird.

Schritt 14: Klicken Sie auf Übernehmen und dann auf Schließen. Der ACE wird erstellt und dem ACL-Namen zugeordnet.

Schritt 15: Klicken Sie auf Speichern, um die Einstellungen in der Startkonfigurationsdatei zu speichern.