Erstellung und Konfiguration einer MAC-basierten Zugriffskontrollliste (ACL) für die Access Points WAP121 und WAP321

Ziel

Eine Zugriffskontrollliste (ACL) ist eine Sammlung von Zulassen- und Ablehnungsbedingungen, so genannten Regeln, die Sicherheit bieten, nicht autorisierte Benutzer blockieren und autorisierten Benutzern den Zugriff auf bestimmte Ressourcen ermöglichen. Die ACL kann ungerechtfertigte Versuche blockieren, auf Netzwerkressourcen zuzugreifen. MAC ACL ist eine Layer 2 ACL. Das Netzwerkgerät überprüft den Frame und die ACL-Regeln anhand des Inhalts des Frames, z. B. der Quell- und Ziel-MAC-Adresse. Wenn eine der Regeln mit dem Inhalt übereinstimmt, wird für den Frame eine Zulassen- oder Ablehnungsaktion durchgeführt.

In diesem Artikel wird erläutert, wie Sie MAC ACL auf WAP121 und WAP321 Access Points (WAP321) erstellen und konfigurieren.

Unterstützte Geräte

・ WAP121
・ WAP321

Software-Version

・ v1.0.3.4

Erstellung einer MAC-basierten ACL

Schritt 1: Melden Sie sich beim Konfigurationsprogramm für den Access Point an, und wählen Sie Client QoS > ACL aus. Die Seite ACL wird geöffnet:

Erstellen einer MAC-basierten ACL

Schritt 1: Geben Sie den Namen der ACL in das Feld ACL Name ein.

Schritt 2: Wählen Sie MAC als ACL-Typ aus der Dropdown-Liste ACL Type (ACL-Typ) aus.

Schritt 3: Klicken Sie auf Add ACL (ACL hinzufügen), um eine neue MAC ACL zu erstellen.
 

Konfiguration einer Regel für MAC-basierte ACL

Schritt 1: Wählen Sie die gewünschte ACL aus der Dropdown-Liste ACL Name - ACL Type (ACL-Name - ACL-Typ) aus.

Schritt 2: Wenn eine neue Regel für die ausgewählte ACL konfiguriert werden muss, wählen Sie Neue Regel aus der Dropdown-Liste Regel. Andernfalls wählen Sie eine der vorhandenen Regeln aus der Dropdown-Liste Regel.

Hinweis: Es können maximal 10 Regeln für eine einzelne ACL erstellt werden.

Schritt 3: Wählen Sie in der Dropdown-Liste Action (Aktion) die gewünschte Aktion für die ACL-Regel aus.

・ Verweigern - Blockiert sämtlichen Datenverkehr, der die Regelkriterien erfüllt, um in das WAP-Gerät einzutreten oder es zu verlassen.

・ Zulassen - Ermöglicht dem gesamten Datenverkehr, der die Regelkriterien erfüllt, das Betreten oder Verlassen des WAP-Geräts.

Hinweis: Die Schritte 4 bis 11 sind optional. Aktivierte Filter sind aktiviert. Deaktivieren Sie das Kontrollkästchen für den Filter, wenn er nicht auf diese spezifische Regel angewendet werden soll.

Schritt 4: Aktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um die Regel für jeden Frame oder jedes Paket unabhängig vom Inhalt zuzuordnen. Deaktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um eines der zusätzlichen Zuordnungskriterien zu konfigurieren.

Timesaver: Wenn "Match Every Packet" (Übereinstimmung mit jedem Paket) aktiviert ist, fahren Sie mit Schritt 12 fort.

Schritt 5: Aktivieren Sie das Kontrollkästchen EtherType, um die Übereinstimmungskriterien mit dem Wert im Header eines Ethernet-Frames zu vergleichen. Wenn das Kontrollkästchen EtherType aktiviert ist, klicken Sie auf eines dieser Optionsfelder.

・ Wählen Sie Aus Liste — Wählen Sie ein Protokoll aus der Dropdown-Liste aus. Die Dropdown-Liste enthält appletalk, arp, ipv4, ipv6, ipx, netbios, pppoe.

・ Match to Value (Mit Wert abgleichen) - Für die benutzerdefinierte Protokollkennung. Geben Sie die Kennung zwischen 0600 und FFFF ein.

Schritt 6: Aktivieren Sie das Kontrollkästchen Class of Service, um eine 802.1p-Benutzerpriorität für den Vergleich mit einem Ethernet-Frame einzugeben. Geben Sie im Feld Class of Service die Priorität zwischen 0 und 7 ein.

Schritt 7. Aktivieren Sie das Kontrollkästchen Quell-MAC-Adresse, um die Quell-MAC-Adresse mit einem Ethernet-Frame zu vergleichen, und geben Sie die Quell-MAC-Adresse in das Feld Quell-MAC-Adresse ein.

Schritt 8: Geben Sie die MAC-Adressmaske für die Quelle in das Feld Source MAC Mask (Quell-MAC-Maske) ein, das angibt, welche Bits in der Quell-MAC mit einem Ethernet-Frame verglichen werden sollen. Wenn die MAC-Maske eine 0 Bit verwendet, wird die Adresse akzeptiert. Wenn sie 1 Bit verwendet, wird die Adresse ignoriert.

Schritt 9. Aktivieren Sie das Kontrollkästchen Ziel-MAC-Adresse, um die Ziel-MAC-Adresse mit einem Ethernet-Frame zu vergleichen, und geben Sie die Ziel-MAC-Adresse in das Feld Ziel-MAC-Adresse ein.

Schritt 10. Geben Sie die MAC-Zieladressenmaske in das Feld Ziel-MAC-Maske ein, die angibt, welche Bits in der Ziel-MAC-Adresse mit einem Ethernet-Frame verglichen werden sollen. Wenn die MAC-Maske eine 0 Bit verwendet, wird die Adresse akzeptiert. Wenn sie eine 1 Bit verwendet, wird die Adresse ignoriert.

Schritt 11. Aktivieren Sie das Kontrollkästchen VLAN-ID, um die VLAN-ID mit einem Ethernet-Frame zu vergleichen. Geben Sie die VLAN-ID zwischen 0 und 4095 in das Feld für die VLAN-ID ein.

Hinweis: Informationen zum Erstellen eines neuen VLAN finden Sie im Artikel Konfiguration der Verwaltung und nicht markierter VLAN-IDs für WAP121 und WAP321.

Schritt 12: Klicken Sie auf Speichern, um die Einstellungen zu speichern.

Schritt 13: (Optional) Um die konfigurierte ACL zu löschen, aktivieren Sie das Kontrollkästchen Delete ACL (ACL löschen), und klicken Sie dann auf Save.