Konfiguration einer IPv4-basierten Zugriffskontrollliste (ACL) und eines Zugriffskontrolleintrags (ACE) auf einem Switch

Download-Optionen

  • PDF     (637.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (579.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (642.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. Dezember 2018
Dokument-ID:SMB3025

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Konfiguration einer IPv4-basierten Zugriffskontrollliste (ACL) und eines Zugriffskontrolleintrags (ACE) auf einem Switch

Ziel

Eine Zugriffskontrollliste (ACL) ist eine Liste von Netzwerkverkehrsfiltern und korrelierten Aktionen zur Verbesserung der Sicherheit. Sie blockiert bestimmte Ressourcen oder ermöglicht ihnen den Zugriff darauf. Eine ACL enthält die Hosts, denen der Zugriff auf das Netzwerkgerät erlaubt oder verweigert wird.

Die IPv4-basierte ACL ist eine Liste von IPv4-Quelladressen, die mithilfe von Layer-3-Informationen den Zugriff auf Datenverkehr zulassen oder verweigern. IPv4-ACLs beschränken den IP-bezogenen Datenverkehr auf Basis der konfigurierten IP-Filter. Ein Filter enthält die Regeln für die Übereinstimmung mit einem IP-Paket. Wenn das Paket übereinstimmt, legt die Regel auch fest, ob das Paket zugelassen oder abgelehnt werden soll.

Ein Zugriffskontrolleintrag (Access Control Entry, ACE) enthält die tatsächlichen Kriterien der Zugriffsregeln. Sobald der ACE erstellt wurde, wird er auf eine ACL angewendet.

Sie sollten Zugriffslisten verwenden, um eine grundlegende Sicherheitsstufe für den Zugriff auf Ihr Netzwerk bereitzustellen. Wenn Sie keine Zugriffslisten auf Ihren Netzwerkgeräten konfigurieren, können alle Pakete, die über den Switch oder Router geleitet werden, in alle Teile Ihres Netzwerks gelangen.

Dieser Artikel enthält Anweisungen zum Konfigurieren von IPv4-basierter ACL und ACE auf dem verwalteten Switch.

Unterstützte Geräte

  • Sx350-Serie
  • SG350X-Serie
  • Sx500-Serie
  • Sx550X-Serie

Software-Version

  • 1.4.5.02 - Serie Sx500
  • 2.2.5.68 - Serie Sx350, Serie SG350X, Serie Sx550X

Konfigurieren von IPv4-basierter ACL und ACE

Konfigurieren einer IPv4-basierten ACL

Schritt 1: Melden Sie sich beim webbasierten Dienstprogramm an, und wechseln Sie dann zu Access Control > IPv4-Based ACL.

Schritt 2: Klicken Sie auf die Schaltfläche Hinzufügen.

Schritt 3: Geben Sie den Namen der neuen ACL in das Feld ACL-Name ein.

Hinweis: In diesem Beispiel wird eine IPv4-ACL verwendet.

Schritt 4: Klicken Sie auf Übernehmen und dann auf Schließen.

Schritt 5: Klicken Sie optional auf Speichern, um die Einstellungen in der Startkonfigurationsdatei zu speichern.

Sie sollten jetzt eine IPv4-basierte ACL auf Ihrem Switch konfiguriert haben.

Konfigurieren von IPv4-basiertem ACE

Wenn ein Paket an einem Port empfangen wird, verarbeitet der Switch das Paket über die erste ACL. Stimmt das Paket mit einem ACE-Filter der ersten ACL überein, findet die ACE-Aktion statt. Wenn das Paket mit keinem der ACE-Filter übereinstimmt, wird die nächste ACL verarbeitet. Wenn in allen relevanten ACLs keine Übereinstimmung mit einem ACE gefunden wird, wird das Paket standardmäßig verworfen.

In diesem Szenario wird ein ACE erstellt, um Datenverkehr abzulehnen, der von einer bestimmten benutzerdefinierten Quell-IPv4-Adresse an eine beliebige Zieladresse gesendet wird.

Hinweis: Diese Standardaktion kann vermieden werden, indem ein ACE mit niedriger Priorität erstellt wird, der den gesamten Datenverkehr zulässt.

Schritt 1: Gehen Sie im webbasierten Dienstprogramm zu Access Control > IPv4-Based ACE.

Wichtig: Um die verfügbaren Funktionen des Switches voll auszuschöpfen, wechseln Sie in den erweiterten Modus, indem Sie Erweitert aus der Dropdown-Liste Anzeigemodus in der oberen rechten Ecke der Seite auswählen.

Schritt 2: Wählen Sie in der Dropdown-Liste "ACL Name" eine ACL aus, und klicken Sie dann auf Go.

Hinweis: Die bereits für die ACL konfigurierten ACEs werden in der Tabelle angezeigt.

Schritt 3: Klicken Sie auf die Schaltfläche Hinzufügen, um der ACL eine neue Regel hinzuzufügen.

Hinweis: Im Feld ACL-Name wird der Name der ACL angezeigt.

Schritt 4: Geben Sie den Prioritätswert für den ACE in das Feld Priority (Priorität) ein. Zuerst werden ACEs mit einem höheren Prioritätswert verarbeitet. Der Wert 1 ist die höchste Priorität. Der Bereich liegt zwischen 1 und 2147483647.

Hinweis: In diesem Beispiel wird 2 verwendet.

Schritt 5: Klicken Sie auf das Optionsfeld, das der gewünschten Aktion entspricht, die ausgeführt wird, wenn ein Frame die erforderlichen Kriterien des ACE erfüllt.

Hinweis: In diesem Beispiel wird Zulassen ausgewählt.

  • Zulassen - Der Switch leitet Pakete weiter, die die erforderlichen Kriterien des ACE erfüllen.
  • Deny (Verweigern): Der Switch verwirft Pakete, die die erforderlichen Kriterien des ACE erfüllen.
  • Herunterfahren - Der Switch verwirft Pakete, die nicht die erforderlichen Kriterien des ACE erfüllen, und deaktiviert den Port, an dem die Pakete empfangen wurden.

Hinweis: Deaktivierte Ports können auf der Seite Porteinstellungen reaktiviert werden.

Schritt 6. (Optional) Aktivieren Sie das Kontrollkästchen Enable Logging (Protokollierung aktivieren), um die Protokollierung von ACL-Flows zu aktivieren, die der ACL-Regel entsprechen.

Schritt 7: (Optional) Aktivieren Sie das Kontrollkästchen Enable Time Range (Zeitbereich aktivieren), um die Konfiguration eines Zeitbereichs für den ACE zu ermöglichen. Zeitbereiche werden verwendet, um die Dauer der Aktivierung eines ACE zu begrenzen.

Schritt 8: Wählen Sie optional aus der Dropdown-Liste "Time Range Name" (Name des Zeitbereichs) einen Zeitbereich aus, der auf den ACE angewendet werden soll.

Hinweis: Sie können auf Bearbeiten klicken, um auf der Seite "Zeitbereich" zu navigieren und einen Zeitbereich zu erstellen.

Schritt 9. Wählen Sie einen Protokolltyp im Bereich Protokoll aus. Der ACE wird basierend auf einem bestimmten Protokoll oder einer Protokoll-ID erstellt.

Folgende Optionen sind verfügbar:

  • Any (IP) (Beliebig (IP)) - Mit dieser Option wird der ACE so konfiguriert, dass er alle IP-Protokolle akzeptiert.
  • Aus Liste auswählen — Mit dieser Option können Sie ein Protokoll aus einer Dropdown-Liste auswählen. Wenn Sie diese Option bevorzugen, fahren Sie mit Schritt 10 fort.
  • Zuzuordnende Protokoll-ID - Mit dieser Option können Sie eine Protokoll-ID eingeben. Wenn Sie diese Option bevorzugen, fahren Sie mit Schritt 11 fort.

Hinweis: In diesem Beispiel wurde Any (IP) ausgewählt.

Schritt 10. (Optional) Wenn Sie in Schritt 9 Wählen Sie aus der Liste aus, wählen Sie ein Protokoll aus der Dropdown-Liste aus.

Folgende Optionen sind verfügbar:

  • ICMP = Internet Control Message Protocol
  • IP in IP - IP in IP-Kapselung
  • TCP - Transmission Control Protocol
  • EGP = Exterior Gateway Protocol
  • IGP = Interior Gateway Protocol
  • UDP = User Datagram Protocol
  • HMP = Host Mapping Protocol
  • RDP = Reliable Datagram Protocol
  • IDPR = Interdomain Policy Routing
  • IPv6-over-IPv4-Tunneling
  • IPV6:ROUT - Gleicht Pakete ab, die zur IPv6-over-IPv4-Route über ein Gateway gehören
  • IPV6:FRAG - Gleicht Pakete des IPv6-over-IPv4-Fragment-Headers ab
  • IDRP = IS-IS Interdomain Routing Protocol
  • RSVP — ReSerVation-Protokoll
  • AH — Authentifizierungs-Header
  • IPV6:ICMP - ICMP für IPv6
  • EIGRP = Enhanced Interior Gateway Routing Protocol
  • OSPF = Open Shortest Path First
  • IPIP - IP in IP
  • PIM = Protocol Independent Multicast
  • L2TP = Layer 2 Tunneling Protocol

Schritt 11. (Optional) Wenn Sie in Schritt 9 die Protokollkennung für den Abgleich ausgewählt haben, geben Sie die Protokollkennung in das Feld Protokollkennung für den Abgleich ein.

Schritt 12: Klicken Sie auf das Optionsfeld, das den gewünschten Kriterien des ACE im Bereich "Source IP Address" (Quell-IP-Adresse) entspricht.

Folgende Optionen sind verfügbar:

  • Any (Beliebig): Alle IPv4-Quelladressen gelten für den ACE.
  • Benutzerdefiniert — Geben Sie eine IP-Adresse und eine IP-Platzhaltermaske ein, die auf den ACE in den Feldern "Source IP Address Value" und "Source IP Wildcard Mask" angewendet werden sollen. Platzhaltermasken werden verwendet, um einen IP-Adressbereich zu definieren.

Hinweis: In diesem Beispiel wird Benutzerdefiniert ausgewählt. Wenn Sie Any (Beliebig) ausgewählt haben, fahren Sie mit Schritt 15 fort.

Schritt 13: Geben Sie die Quell-IP-Adresse in das Feld Quell-IP-Adresswert ein.

Hinweis: In diesem Beispiel wird „192.168.1.1“ verwendet.

Schritt 14: Geben Sie die Platzhaltermaske für die Quelle in das Feld IP-Platzhaltermaske für die Quelle ein.

Hinweis: In diesem Beispiel wird „0.0.0.255“ verwendet.

Schritt 15: Klicken Sie im Bereich Ziel-IP-Adresse auf das Optionsfeld, das den gewünschten Kriterien des ACE entspricht.

Folgende Optionen sind verfügbar:

  • Any (Beliebig): Alle IPv4-Zieladressen gelten für den ACE.
  • Benutzerdefiniert — Geben Sie eine IP-Adresse und eine IP-Platzhaltermaske ein, die auf den ACE in den Feldern IP-Zieladresswert und IP-Wildcard-Zielmaske angewendet werden sollen. Platzhaltermasken werden verwendet, um einen IP-Adressbereich zu definieren.

Hinweis: In diesem Beispiel ist Any (Beliebig) ausgewählt. Wenn Sie diese Option auswählen, lässt der zu erstellende ACE den ACE-Datenverkehr von der angegebenen IPv4-Adresse an ein beliebiges Ziel zu.

Schritt 16. (Optional) Klicken Sie auf ein Optionsfeld im Bereich "Source Port" (Quellport). Der Standardwert ist Any (Beliebig).

  • Any (Beliebig): Übereinstimmung mit allen Quellports.
  • Einzel aus Liste - Sie können einen einzelnen TCP/UDP-Quell-Port auswählen, dem Pakete zugeordnet werden. Dieses Feld ist nur aktiv, wenn 800/6-TCP oder 800/17-UDP im Dropdown-Menü Select from List (Aus Liste auswählen) ausgewählt ist.
  • Single by number (Einzel nach Nummer): Sie können einen einzelnen TCP/UDP-Quell-Port auswählen, dem Pakete zugeordnet werden. Dieses Feld ist nur aktiv, wenn 800/6-TCP oder 800/17-UDP im Dropdown-Menü Select from List (Aus Liste auswählen) ausgewählt ist.
  • Bereich - Sie können einen Bereich von TCP/UDP-Quell-Ports auswählen, denen das Paket zugeordnet wird. Es können acht verschiedene Port-Bereiche konfiguriert werden (die von Quell- und Ziel-Ports gemeinsam genutzt werden). TCP- und UDP-Protokolle haben jeweils acht Port-Bereiche.

Schritt 17. (Optional) Klicken Sie auf ein Optionsfeld im Bereich "Destination Port" (Zielport). Der Standardwert ist Any (Beliebig).

  • Any (Beliebig): Übereinstimmung mit allen Quell-Ports
  • Einzel aus Liste - Sie können einen einzelnen TCP/UDP-Quell-Port auswählen, dem Pakete zugeordnet werden. Dieses Feld ist nur aktiv, wenn 800/6-TCP oder 800/17-UDP im Dropdown-Menü Select from List (Aus Liste auswählen) ausgewählt ist.
  • Single by number (Einzel nach Nummer): Sie können einen einzelnen TCP/UDP-Quell-Port auswählen, dem Pakete zugeordnet werden. Dieses Feld ist nur aktiv, wenn 800/6-TCP oder 800/17-UDP im Dropdown-Menü Select from List (Aus Liste auswählen) ausgewählt ist.
  • Bereich - Sie können einen Bereich von TCP/UDP-Quell-Ports auswählen, denen das Paket zugeordnet wird. Es können acht verschiedene Port-Bereiche konfiguriert werden (die von Quell- und Ziel-Ports gemeinsam genutzt werden). TCP- und UDP-Protokolle haben jeweils acht Port-Bereiche.

Schritt 18. (Optional) Wählen Sie im Bereich TCP-Flags ein oder mehrere TCP-Flags aus, mit denen Pakete gefiltert werden sollen. Gefilterte Pakete werden entweder weitergeleitet oder verworfen. Durch das Filtern von Paketen nach TCP-Flags wird die Paketkontrolle erhöht, was die Netzwerksicherheit erhöht.

  • Festlegen - Übereinstimmend, wenn die Markierung festgelegt ist.
  • Unset (Nicht festgelegt) - Übereinstimmung, wenn das Flag nicht festgelegt ist.
  • Kein Problem - Das TCP-Flag wird ignoriert.

Die TCP-Flags sind:

  • Urg - Diese Markierung wird verwendet, um eingehende Daten als dringend zu identifizieren.
  • Ack (Bestätigen): Diese Markierung wird verwendet, um den erfolgreichen Empfang von Paketen zu bestätigen.
  • Psh - Diese Markierung wird verwendet, um sicherzustellen, dass die Daten die Priorität erhalten (die sie verdienen) und auf der sendenden oder empfangenden Seite verarbeitet werden.
  • Rst - Dieses Flag wird verwendet, wenn ein Segment ankommt, das nicht für die aktuelle Verbindung bestimmt ist.
  • Syn - Dieses Flag wird für TCP-Kommunikation verwendet.
  • Finden - Dieses Flag wird verwendet, wenn die Kommunikation oder Datenübertragung beendet ist.

Schritt 19. (Optional) Klicken Sie im Bereich "Type of Service" (Diensttyp) auf den Diensttyp des IP-Pakets.

Folgende Optionen sind verfügbar:

  • Any (Beliebig): Es kann jede Art von Service für Datenverkehrsengpässe sein.
  • DSCP to Match - DSCP ist ein Mechanismus zur Klassifizierung und Verwaltung des Netzwerkverkehrs. Sechs Bit (0-63) werden verwendet, um das Pro-Hop-Verhalten eines Pakets auf jedem Knoten auszuwählen.
  • Zuzuordnende IP-Rangfolge - Die IP-Rangfolge ist ein Modell für den Type of Service (TOS), das vom Netzwerk verwendet wird, um die entsprechenden Quality of Service (QoS)-Verpflichtungen bereitzustellen. Dieses Modell verwendet die drei höchstwertigen Bits des Servicetypbytes im IP-Header, wie in RFC 791 und RFC 1349 beschrieben. Das Schlüsselwort mit dem Wert für die IP-Voreinstellungen lautet:

- 0 — für Routine

- 1 — für Priorität

- 2 — für sofortige

- 3 — für Blitz

- 4 — für Flash-override

- 5 — für kritische

- 6 — Internet

- 7 — für das Netz

Schritt 20. (Optional) Wenn das IP-Protokoll der ACL "ICMP" ist, klicken Sie auf den zu Filterzwecken verwendeten ICMP-Meldungstyp. Wählen Sie den Meldungstyp nach Namen aus, oder geben Sie die Nummer des Meldungstyps ein:

  • Beliebig - Alle Nachrichtentypen werden akzeptiert.
  • Aus Liste auswählen — Sie können den Nachrichtentyp nach Namen auswählen.
  • Zuzuordnender ICMP-Typ - Die Anzahl der zu Filterzwecken zu verwendenden Nachrichtentypen. Der Bereich liegt zwischen 0 und 255.

Schritt 21. (Optional) Die ICMP-Meldungen können ein Codefeld aufweisen, das angibt, wie die Meldung zu behandeln ist. Klicken Sie auf eine der folgenden Optionen, um festzulegen, ob nach diesem Code gefiltert werden soll:

  • Any (Beliebig) - Akzeptieren Sie alle Codes.
  • Benutzerdefiniert - Sie können einen ICMP-Code zu Filterzwecken eingeben. Der Bereich liegt zwischen 0 und 255.

Schritt 22: (Optional) Wenn die ACL auf IGMP basiert, klicken Sie auf den IGMP-Nachrichtentyp, der für Filterzwecke verwendet werden soll. Wählen Sie den Meldungstyp nach Namen aus, oder geben Sie die Nummer des Meldungstyps ein:

  • Beliebig - Alle Nachrichtentypen werden akzeptiert.
  • Auswahl aus Liste — Sie können eine der Optionen aus der Dropdown-Liste auswählen:
  • DVMRP - Verwendet eine Reverse-Path-Flooding-Technik, bei der eine Kopie eines empfangenen Pakets über jede Schnittstelle mit Ausnahme der Schnittstelle gesendet wird, an der das Paket angekommen ist.
  • Host-Abfrage - Sendet regelmäßig allgemeine Host-Abfragemeldungen zu jedem angeschlossenen Netzwerk, um Informationen zu erhalten.
  • Host-Reply — Sie antwortet auf die Abfrage.
  • PIM - Protocol Independent Multicast (PIM) wird zwischen dem lokalen und dem Remote-Multicast-Router verwendet, um Multicast-Datenverkehr vom Multicast-Server an viele Multicast-Clients weiterzuleiten.
  • Trace - Stellt Informationen zum Beitreten und Verlassen der IGMP-Multicast-Gruppen bereit.
  • Übereinstimmender IGMP-Typ - Die Anzahl der Nachrichtentypen, die zu Filterzwecken verwendet werden sollen. Der Bereich liegt zwischen 0 und 255.

Schritt 23: Klicken Sie auf Übernehmen und dann auf Schließen. Der ACE wird erstellt und dem ACL-Namen zugeordnet.

Schritt 24: Klicken Sie auf Speichern, um die Einstellungen in der Startkonfigurationsdatei zu speichern.

Sie sollten jetzt einen IPv4-basierten ACE auf Ihrem Switch konfiguriert haben.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
13-Dec-2018
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren