Erstellen und Konfigurieren einer Regel für eine IPv6-basierte Zugriffskontrollliste (ACL) für die Access Points WAP121 und WAP321

Download-Optionen

PDF (306.4 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (154.5 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (182.7 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:9. Juli 2017

Dokument-ID:SMB2213

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Erstellen und Konfigurieren einer Regel für eine IPv6-basierte Zugriffskontrollliste (ACL) für die Access Points WAP121 und WAP321

Ziel

Eine Zugriffskontrollliste (ACL) ist eine Liste von Netzwerkverkehrsfiltern und korrelierten Aktionen zur Verbesserung der Sicherheit. Eine Zugriffskontrollliste enthält die Hosts, denen der Zugriff auf das Netzwerkgerät gewährt oder verweigert wird. Die QoS-Funktion unterstützt Differentiated Services (DiffServ), sodass der Datenverkehr in Streams klassifiziert werden kann und eine bestimmte QoS-Behandlung gemäß definiertem Per-Hop-Verhalten erhält.

In diesem Artikel wird erläutert, wie Sie IPv6 ACL auf WAP121 und WAP321 Access Points erstellen und konfigurieren.

Unterstützte Geräte

・ WAP121
・ WAP321

Software-Version

・ v1.0.3.4

IPv6-basierte ACL-Konfiguration

IP-ACLs klassifizieren den Datenverkehr für Layer 3 im IP-Stack. Jede ACL besteht aus bis zu zehn Regeln, die auf Datenverkehr angewendet werden, der entweder von einem Wireless-Client gesendet oder von einem Wireless-Client empfangen wird. Jede Regel legt fest, ob der Inhalt eines bestimmten Felds verwendet werden soll, um den Zugriff auf das Netzwerk zu erlauben oder zu verweigern. Regeln können auf verschiedenen Kriterien basieren und auf ein oder mehrere Felder innerhalb eines Pakets angewendet werden, z. B. die Quell- oder Ziel-IP-Adresse, den Quell- oder Ziel-Port oder das im Paket enthaltene Protokoll.

Erstellung von IPv6 ACLs

Schritt 1: Melden Sie sich beim Konfigurationsprogramm für den Access Point an, und wählen Sie Client QoS > ACL aus. Die Seite ACL wird geöffnet.

Schritt 2: Geben Sie den Namen der ACL in das Feld ACL-Name ein.

Schritt 3: Wählen Sie den IPv6-Typ für die ACL aus der Dropdown-Liste ACL Type (ACL-Typ) aus.

Schritt 4: Klicken Sie auf Add ACL (ACL hinzufügen), um eine neue IPv6-ACL zu erstellen.

Konfiguration einer Regel für IPv6 ACL

Schritt 1: Wählen Sie die ACL aus der Dropdown-Liste ACL Name-ACL Type (ACL-Name - ACL-Typ) aus, für die die Regel konfiguriert werden soll.

Schritt 2: Wenn eine neue Regel für die ausgewählte ACL konfiguriert werden muss, wählen Sie Neue Regel aus der Dropdown-Liste Regel. Wählen Sie andernfalls eine der vorhandenen Regeln aus der Dropdown-Liste Regel aus.

Hinweis: Für eine einzelne ACL können maximal 10 Regeln erstellt werden.

Schritt 3: Wählen Sie in der Dropdown-Liste Action (Aktion) die gewünschte Aktion für die ACL-Regel aus.

・ Verweigern - Blockiert sämtlichen Datenverkehr, der die Regelkriterien erfüllt, um in das WAP-Gerät einzutreten oder es zu verlassen.

・ Zulassen - Ermöglicht dem gesamten Datenverkehr, der die Regelkriterien erfüllt, das Betreten oder Verlassen des WAP-Geräts.

Vorsicht: Sie müssen eine Zulässigkeitsregel hinzufügen, die den Datenverkehr zulässt, da am Ende jeder Regel eine implizite Verweigerung vorhanden ist, wenn Sie "Zulassen" oder "Verweigern" auswählen.

Schritt 4: Aktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um die Regel für jeden Frame oder jedes Paket unabhängig vom Inhalt zuzuordnen. Wenn Sie eines der zusätzlichen Übereinstimmungskriterien konfigurieren möchten, deaktivieren Sie das Kontrollkästchen Jedem Paket zuordnen.

Zeitersparnis: Wenn Sie das Kontrollkästchen Jedem Paket zuordnen aktivieren, fahren Sie mit Schritt 12 fort.

Schritt 5: Aktivieren Sie das Kontrollkästchen Protocol (Protokoll), um die Übereinstimmungsbedingung für das L3- oder L4-Protokoll (Netzwerk- und Transportschicht des IP-Stacks) basierend auf dem Wert des IP-Protokollfelds in IPv6-Paketen zu aktivieren. Wenn das Kontrollkästchen Protokoll aktiviert ist, klicken Sie auf eines dieser Optionsfelder.

・ Aus Liste auswählen — Wählen Sie ein Protokoll aus der Dropdown-Liste aus Liste auswählen aus. Die Dropdown-Liste enthält die Protokolle ip, icmp, igmp, tcp und udp.

・ Match to Value - Für Protokolle, die nicht in der Liste aufgeführt sind. Geben Sie eine standardmäßige IANA-zugewiesene Protokoll-ID im Bereich von 0 bis 255 ein.

Schritt 6: Aktivieren Sie das Kontrollkästchen Source IPv6 Address (IP-Quelladresse), um eine IP-Adresse der Quelle in die Übereinstimmungsbedingung einzubeziehen. Geben Sie die IPv6-Adresse und die IPv6-Präfixlänge der Quelle in die relativen Felder ein.

Schritt 7. Aktivieren Sie das Kontrollkästchen Quellport, um einen Quellport in die Übereinstimmungsbedingung einzuschließen. Wenn das Kontrollkästchen Quellport aktiviert ist, klicken Sie auf eines dieser Optionsfelder.

・ Aus Liste auswählen — Wählen Sie einen Quellport aus der Dropdown-Liste aus Liste auswählen aus. Die Dropdown-Liste verfügt über FTP-, FTP-Daten-, http-, SMTP-, SNMP-, Telnet-, TFTP- und www-Ports.

・ Match to Port (Übereinstimmung mit Port) - Für Quellport, der nicht in der Liste aufgeführt ist. Geben Sie die Portnummer ein, die zwischen 0 und 65535 liegt und drei verschiedene Port-Typen umfasst.

- 0 bis 1023 — Bekannte Ports. Der vom Serverprozess als Kontaktport verwendete Port. Der Kontakt-Port wird auch als bekannter Port bezeichnet.

- 1024 bis 49151 — Registrierte Häfen Es handelt sich um einen Netzwerk-Port, der für ein bestimmtes Protokoll oder eine Anwendung verwendet wird.

- 49152 bis 65535 — Dynamische und/oder private Ports Dynamische Ports werden von keinem Regierungsorgan wie IANA verwaltet und unterliegen keinen besonderen Nutzungsbeschränkungen.

Schritt 8: Aktivieren Sie das Kontrollkästchen IPv6-Zieladresse, um die IP-Adresse des Ziels in die Übereinstimmungsbedingung einzuschließen. Geben Sie die IPv6-Adresse und die IPv6-Präfixlänge des Ziels in die relativen Felder ein.

Schritt 9. Aktivieren Sie das Kontrollkästchen Destination Port (Zielport), um einen Zielport in die Übereinstimmungsbedingung einzuschließen. Wenn das Kontrollkästchen Destination Port (Zielport) aktiviert ist, klicken Sie auf eines dieser Optionsfelder.

・ Wählen Sie einen Zielport aus der Dropdown-Liste aus. Die Dropdown-Liste verfügt über FTP-, FTP-Daten-, http-, SMTP-, SNMP-, Telnet-, TFTP- und www-Ports.

・ Übereinstimmung mit Port — Für Zielport, der nicht in der Liste aufgeführt ist. Geben Sie die Portnummer ein, die zwischen 0 und 65535 liegt und drei verschiedene Port-Typen umfasst.

- 0 bis 1023 — Bekannte Ports.

- 1024 bis 49151 — Registrierte Häfen

- 49152 bis 65535 — Dynamische und/oder private Ports

Schritt 10: Aktivieren Sie das Kontrollkästchen IPv6 Flow-Label, um das IPv6 Flow-Label in die Übereinstimmungsbedingung aufzunehmen. Das 20-Bit-Flow-Label-Feld im IPv6-Header kann von einer Quelle verwendet werden, um eine Gruppe von Paketen zu kennzeichnen, die zu demselben Flow gehören. Geben Sie im Feld für die IPv6-Flowbezeichnung die Zahl ein, die zwischen 00000 und FFFFF liegt.

Schritt 11. Aktivieren Sie das Kontrollkästchen IP DSCP, um die IP DSCP-Werte in die Übereinstimmungsbedingung aufzunehmen. Wenn das Kontrollkästchen IP DSCP aktiviert ist, klicken Sie auf eines dieser Optionsfelder.

・ Wählen Sie Aus Liste — IP-DSCP-Wert aus, der in der Dropdown-Liste Aus Liste auswählen ausgewählt werden soll. Die Dropdown-Liste enthält Werte für DSCP Assured Forwarding (AS), Class of Service (CS) oder Expedited Forwarding (EF).

・ Match to Value - Dient zum Anpassen des DSCP-Werts, der zwischen 0 und 63 liegt.

Schritt 12: (Optional) Wenn Sie die konfigurierte ACL löschen möchten, aktivieren Sie das Kontrollkästchen Delete ACL.

Schritt 13: Klicken Sie auf Speichern, um die Einstellungen zu speichern.

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	11-Dec-2018	Erstveröffentlichung

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)