Konfigurieren der MAC-, IPv4- und IPv6-Zugriffskontrollliste auf einem Wireless Access Point

Download-Optionen

  • PDF     (1.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (819.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (605.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:12. Dezember 2018
Dokument-ID:SMB5254

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Konfigurieren der MAC-, IPv4- und IPv6-Zugriffskontrollliste auf einem Wireless Access Point

Ziel

Eine Zugriffskontrollliste (ACL) ist eine Liste von Netzwerkverkehrsfiltern und korrelierten Aktionen zur Verbesserung der Sicherheit. Sie blockiert nicht autorisierte Benutzer und ermöglicht autorisierten Benutzern den Zugriff auf bestimmte Ressourcen. Eine ACL enthält die Hosts, denen der Zugriff auf das Netzwerkgerät erlaubt oder verweigert wird. ACLs können auf zwei Arten definiert werden: als IPv4- oder als IPv6-Adresse.

Dieser Artikel führt Sie durch die erfolgreiche Erstellung einer ACL und die Konfiguration von IPv4-, IPv6- und MAC-basierten ACLs auf Ihrem Wireless Access Point (WAP), um die Netzwerksicherheit zu verbessern.

Unterstützte Geräte

  • Serie WAP100
  • WAP Serie 300
  • WAP Serie 500

Software-Version

  • 1.0.6.2 - WAP121, WAP321
  • 1.2.0.2 - WAP371, WAP551, WAP561
  • 1.0.1.4 - WAP131, WAP351
  • 1.0.0.16 - WAP150, WAP361

ACL erstellen

Hinweis: Die für diese Konfiguration verwendeten Images stammen von WAP150.

Schritt 1: Melden Sie sich beim webbasierten Dienstprogramm des Access Points an, und wählen Sie ACL > ACL Rule (ACL > ACL-Regel).

Images/****.png

Hinweis: Für WAP121, WAP321, WAP371, WAP551 und WAP561: Melden Sie sich beim webbasierten Dienstprogramm des Access Points an, und wählen Sie Client QoS > ACL (Client-QoS > ACL).

Images/****.png

Schritt 2: Wenn die Seite "ACL Configuration" geöffnet wird, geben Sie den Namen der ACL in das Feld ACL Name ein.

Images/****.png

Schritt 3: Wählen Sie einen ACL-Typ aus der Dropdown-Liste "ACL Type" (ACL-Typ) aus.

Images/****.png

  • IPv4 - Eine 32-Bit-Adresse (4 Byte).
  • IPv6 - Ein Nachfolger von IPv4 besteht aus einer 128-Bit-Adresse (8 Byte).
  • MAC: Die MAC-Adresse ist die eindeutige Adresse, die einer Netzwerkschnittstelle zugewiesen ist.

Schritt 4: Klicken Sie auf die Schaltfläche Add ACL (ACL hinzufügen).

Images/****.png

Wenn Sie MAC ausgewählt haben, fahren Sie mit Konfiguration MAC-basierter ACL fort.

Wenn Sie IPv4 auswählen, fahren Sie mit IPv4-basierte ACL konfigurieren fort.

Wenn Sie IPv6 auswählen, fahren Sie mit IPv6-basierte ACL konfigurieren fort.

Sie sollten nun erfolgreich eine ACL erstellt haben.

MAC-basierte ACL konfigurieren

Schritt 1: Wählen Sie die ACL aus der Dropdown-Liste ACL Name - ACL Type (ACL-Name - ACL-Typ) aus, der Sie Regeln hinzufügen möchten.

Hinweis: In der Abbildung unten wurde die ACL1-MAC-Adresse als Beispiel ausgewählt.

Images/****.png

Schritt 2: Wenn eine neue Regel für die ausgewählte ACL konfiguriert werden muss, wählen Sie New Rule (Neue Regel) aus der Dropdown-Liste Rule (Regel) aus. Wählen Sie andernfalls eine der vorhandenen Regeln aus der Dropdown-Liste Regel aus.

Hinweis: Es können maximal 10 Regeln für eine einzelne ACL erstellt werden.

Images/****.png

Schritt 3: Wählen Sie in der Dropdown-Liste Action (Aktion) die gewünschte Aktion für die ACL-Regel aus.

Hinweis: In diesem Beispiel wird eine Deny-Anweisung erstellt.

Images/****.png

  • Verweigern - Blockiert den gesamten Datenverkehr, der die Regelkriterien erfüllt, um in den WAP zu gelangen oder ihn zu verlassen. Da am Ende jeder ACL eine implizite Deny-All-Regel vorhanden ist, wird nicht explizit zulässiger Datenverkehr verworfen.
  • Zulassen - Ermöglicht dem gesamten Datenverkehr, der die Regelkriterien erfüllt, den WAP zu betreten oder zu verlassen. Datenverkehr, der die Kriterien nicht erfüllt, wird verworfen.

Hinweis: Die Schritte 4 bis 11 sind optional. Aktivierte Filter sind aktiviert. Deaktivieren Sie das Kontrollkästchen für den Filter, der nicht auf diese spezifische Regel angewendet werden soll.

Schritt 4: Aktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um die Regel für jeden Frame oder jedes Paket unabhängig vom Inhalt zuzuordnen. Deaktivieren Sie das Kontrollkästchen, um weitere Kriterien für die Zuordnung zu konfigurieren.

Tipp: Wenn Match Every Packet bereits aktiviert ist, fahren Sie mit Schritt 12 fort.

Images/****.png

Schritt 5: Wählen Sie im Bereich "EtherType" ein Optionsfeld aus, um die übereinstimmenden Kriterien mit dem Wert im Header eines Ethernet-Frames zu vergleichen. Sie können eine der folgenden Optionen oder Any (Beliebig) auswählen:

  • Wählen Sie Aus Liste — Wählen Sie ein Protokoll aus der Dropdown-Liste aus. Die Liste verfügt über die folgenden Optionen: appletalk, arp, IPv4, IPv6, ipx, netbios, pppoe.
  • Match to Value (Mit Wert abgleichen) - Geben Sie als benutzerdefinierte Protokollkennung die Kennung zwischen 0600 und FFFF ein.

Images/****.png

Schritt 6: Wählen Sie im Bereich Class Of Service (Serviceklasse) ein Optionsfeld aus, um die 802.1p-Benutzerpriorität für einen Vergleich mit einem Ethernet-Frame einzugeben. Sie können Any (Beliebig) oder eine User Defined Priority (Benutzerdefinierte Priorität) wählen. Geben Sie im Feld Benutzerdefiniert die Priorität zwischen 0 und 7 ein.

Images/****.png

Schritt 7. Wählen Sie im Bereich Source MAC (Quell-MAC) ein Optionsfeld aus, um die Quell-MAC-Adresse mit einem Ethernet-Frame zu vergleichen. Wählen Sie Any (Beliebig) oder User Defined (Benutzerdefiniert) aus, und geben Sie die Quell-MAC-Adresse in das entsprechende Feld ein.

Images/****.png

Schritt 8: Geben Sie die MAC-Adressmaske für die Quelle in das Feld Source MAC Mask (Quell-MAC-Maske) ein, das angibt, welche Bits in der Quell-MAC mit einem Ethernet-Frame verglichen werden sollen.

Hinweis: Wenn die MAC-Maske eine 0 Bit verwendet, wird die Adresse akzeptiert. Wenn sie 1 Bit verwendet, wird die Adresse ignoriert.

Images/****.png

Schritt 9. Wählen Sie im Bereich Destination MAC (Ziel-MAC-Adresse) ein Optionsfeld aus, um die Ziel-MAC-Adresse mit einem Ethernet-Frame zu vergleichen. Sie können Anyor auswählen oder User Defined (Benutzerdefiniert) auswählen und die Ziel-MAC-Adresse in das bereitgestellte Feld eingeben.

Images/****.png

Schritt 10. Geben Sie die MAC-Zieladressmaske in das Feld Ziel-MAC-Maske ein, die angibt, welche Bits in der Ziel-MAC-Adresse mit einem Ethernet-Frame verglichen werden sollen.

Hinweis: Wenn die MAC-Maske eine 0 Bit verwendet, wird die Adresse akzeptiert, und wenn sie eine 1 Bit verwendet, wird die Adresse ignoriert.

Images/****.png

Schritt 11. Wählen Sie im Bereich für die VLAN-ID eine Optionsschaltfläche aus, um die VLAN-ID mit einem Ethernet-Frame zu vergleichen. Geben Sie die VLAN-ID zwischen 0 und 4095 in das bereitgestellte Feld ein.

Images/****.png

Schritt 12: Klicken Sie auf Speichern.

Images/****.png

Schritt 13: (Optional) Um die konfigurierte ACL zu löschen, aktivieren Sie das Kontrollkästchen Delete ACL (ACL löschen), und klicken Sie dann auf Save.

Sie sollten jetzt erfolgreich MAC ACL auf Ihrem WAP konfiguriert haben.

Konfigurieren einer IPv4-basierten ACL

Schritt 1: Konfigurieren Sie im Bereich "ACL Rule Configuration" (Konfiguration von ACL-Regeln) folgende Regelparameter:

ACL Name (ACL-Name) - ACL Type (ACL-Typ)Wählen Sie die ACL aus, die mit der neuen Regel konfiguriert werden soll.

Hinweis: In der Abbildung unten wurde IPv4_ACL-IPv4 als Beispiel ausgewählt.

Images/****.png

Schritt 2: Wenn eine neue Regel für die ausgewählte ACL konfiguriert werden muss, wählen Sie New Rule (Neue Regel) aus der Dropdown-Liste Rule (Regel) aus. Wählen Sie andernfalls eine der vorhandenen Regeln aus der Dropdown-Liste Regel aus.

Hinweis: Es können maximal 10 Regeln für eine einzelne ACL erstellt werden.

Images/****.png

Schritt 3: Wählen Sie in der Dropdown-Liste Action (Aktion) die gewünschte Aktion für die ACL-Regel aus.

Hinweis:In diesem Beispiel wird eine Permit-Anweisung erstellt.

  • Verweigern - Blockiert den gesamten Datenverkehr, der die Regelkriterien erfüllt, um in den WAP zu gelangen oder ihn zu verlassen. Da am Ende jeder ACL eine implizite Deny-All-Regel vorhanden ist, wird nicht explizit zulässiger Datenverkehr verworfen.
  • Zulassen - Ermöglicht dem gesamten Datenverkehr, der die Regelkriterien erfüllt, den WAP zu betreten oder zu verlassen. Datenverkehr, der die Kriterien nicht erfüllt, wird verworfen.

Images/****.png

Hinweis: Die Schritte 4 bis 9 sind optional. Aktivierte Filter sind aktiviert. Deaktivieren Sie das Kontrollkästchen für den Filter, wenn er nicht auf diese spezifische Regel angewendet werden soll.

Schritt 4: Aktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um die Regel für jeden Frame oder jedes Paket unabhängig vom Inhalt zuzuordnen. Deaktivieren Sie das Kontrollkästchen, um eines der zusätzlichen Abgleichskriterien zu konfigurieren.

Images/****.png

Tipp: Match Every Packet ist standardmäßig aktiviert. Wenn Sie diese Einstellung beibehalten möchten, fahren Sie mit Schritt 11 fort.

Schritt 5: Wählen Sie im Bereich Protocol (Protokoll) ein Optionsfeld aus, um die übereinstimmenden Kriterien mit dem Wert im Header eines Ethernet-Frames zu vergleichen. Sie können Any (Beliebig) auswählen oder in der Dropdown-Liste auswählen.

  • Aus Liste auswählen — Wählen Sie eines der folgenden Protokolle aus:
 — IP — Das wichtigste Kommunikationsprotokoll in der Internet Protocol Suite für die Weitergabe von Daten über Netzwerke.
 — ICMP - Ein Protokoll in der Internet Protocol Suite, das von Geräten wie Routern zum Senden von Fehlermeldungen verwendet wird.
 — IGMP - Ein Kommunikationsprotokoll, das vom Host verwendet wird, um Multicast-Gruppenzugehörigkeiten in IPv4-Netzwerken herzustellen.
 — TCP — Ermöglicht zwei Hosts, eine Verbindung herzustellen und Datenströme auszutauschen.
 — UDP - Ein Protokoll in der Internet Protocol Suite, das ein verbindungsloses Übertragungsmodell verwendet.
  • Match to Value (Mit Wert abgleichen): Geben Sie eine standardmäßige, IANA-zugewiesene Protokoll-ID zwischen 0 und 255 ein. Wählen Sie diese Methode aus, um ein Protokoll zu identifizieren, das nicht in der Liste "Aus Liste auswählen" nach Namen aufgeführt ist.

Images/****.png

Schritt 6: Wählen Sie im Bereich "Source IP" (Quell-IP) ein Optionsfeld aus, um die IP-Adresse der Quelle in die Übereinstimmungsbedingung einzubeziehen. Sie können Any (Beliebig) oder User Defined (Benutzerdefiniert) auswählen und dann die IP-Adresse und die Platzhaltermaske der Quelle in die entsprechenden Felder eingeben.

  • Quell-IP-Adresse — Geben Sie eine IP-Adresse ein, um diese Kriterien anzuwenden.
  • Platzhaltermaske — Geben Sie die Platzhaltermaske für die Ziel-IP-Adresse ein. Die Platzhaltermaske bestimmt, welche Bits verwendet und welche ignoriert werden. Eine Platzhaltermaske von 255.255.255.255 gibt an, dass kein Bit wichtig ist. Ein Platzhalter von 0.0.0.0 gibt an, dass alle Bits wichtig sind. Dieses Feld ist erforderlich, wenn "Quell-IP-Adresse" ausgewählt ist.

Hinweis: Eine Platzhaltermaske ist im Prinzip die Umkehrung einer Subnetzmaske. Um die Kriterien beispielsweise einer einzelnen Hostadresse zuzuordnen, verwenden Sie die Platzhaltermaske 0.0.0.0. Um die Kriterien einem 24-Bit-Subnetz (z. B. 192.168.10.0/24) zuzuordnen, verwenden Sie die Platzhaltermaske 0.0.0.255.

Images/****.png

Schritt 7. Wählen Sie im Bereich "Source Port" (Quellport) ein Optionsfeld aus, um einen Quellport in die Übereinstimmungsbedingung einzubeziehen. Sie können Any (Beliebig) für jeden Quellport oder Folgendes auswählen:

  • Aus Liste auswählen — Wählen Sie einen Quellport aus der Dropdown-Liste aus Liste auswählen aus. Folgende Optionen stehen zur Verfügung:
 — File Transfer Protocol (FTP) — FTP ist ein Standard-Netzwerkprotokoll, das zum Übertragen von Dateien von einem Host zu einem anderen über ein TCP-basiertes Netzwerk wie das Internet verwendet wird.
 — FTP-Daten — Ein Datenkanal, der vom Server initiiert wird, der mit einem Client verbunden ist, in der Regel über Port 20.
 — Hypertext Transfer Protocol (HTTP) — HTTP ist ein Anwendungsprotokoll, das die Grundlage der Datenkommunikation für das World Wide Web bildet.
 — Simple Mail Transfer Protocol (SMTP) — SMTP ist ein Internetstandard für die elektronische Übertragung von E-Mails (E-Mail).
 — Simple Network Management Protocol (SNMP) — SNMP ist ein Internetstandardprotokoll zur Verwaltung von Geräten in IP-Netzwerken.
 — Telnet — Ein Sitzungsprotokoll, das im Internet oder in lokalen Netzwerken verwendet wird, um eine bidirektionale interaktive textorientierte Kommunikation zu ermöglichen.
 — Trivial File Transfer Protocol (TFTP) — TFTP ist ein Internet-Softwareprogramm zum Übertragen von Dateien, das einfacher zu verwenden ist als FTP, aber weniger fähig.
 — World Wide Web (WWW) — WWW ist ein System von Internet-Servern, die HTTP-formatierte Dokumente unterstützen.
  • Match to Port (Mit Port abgleichen) — Geben Sie die Portnummer ein, die nicht in der Liste angezeigt wird. Die Portnummern reichen im Feld Match to Port (Übereinstimmung mit Port) für nicht aufgelistete Quellports von 0 bis 65535. Der Portbereich umfasst drei verschiedene Port-Typen. Die Bereiche werden wie folgt beschrieben:
 — 0 bis 1023 — Bekannte Ports
 — 1024 bis 49151 — Registrierte Ports
 — 49152 bis 65535 — Dynamische und/oder private Häfen
  • Mask (Maske): Geben Sie die Portmaske ein. Die Maske bestimmt, welche Bits verwendet und welche ignoriert werden. Nur die Hexadezimalziffer (0-0xFFFF) ist zulässig. 0 bedeutet, dass das Bit wichtig ist, und 1 bedeutet, dass Sie dieses Bit ignorieren sollten.

Images/****.png

Schritt 8: Wählen Sie im Bereich Destination IP (Ziel-IP) ein Optionsfeld aus, um die IP-Adresse des Ziels in die Übereinstimmungsbedingung einzubeziehen. Sie können Any (Beliebig) oder User Defined (Benutzerdefiniert) auswählen und dann die IP-Adresse und die Platzhaltermaske für das Ziel in die entsprechenden Felder eingeben.

  • Ziel-IP-Adresse — Geben Sie eine IP-Adresse ein, um diese Kriterien anzuwenden.
  • Platzhaltermaske — Geben Sie die Platzhaltermaske für die Ziel-IP-Adresse ein. Die Platzhaltermaske bestimmt, welche Bits verwendet und welche ignoriert werden. Eine Platzhaltermaske von 255.255.255.255 gibt an, dass kein Bit wichtig ist. Ein Platzhalter von 0.0.0.0 gibt an, dass alle Bits wichtig sind. Dieses Feld ist erforderlich, wenn die Ziel-IP-Adresse ausgewählt wurde.

Hinweis: Eine Platzhaltermaske ist im Prinzip die Umkehrung einer Subnetzmaske. Um die Kriterien beispielsweise einer einzelnen Hostadresse zuzuordnen, verwenden Sie die Platzhaltermaske 0.0.0.0. Um die Kriterien einem 24-Bit-Subnetz (z. B. 192.168.10.0/24) zuzuordnen, verwenden Sie die Platzhaltermaske 0.0.0.255.

Images/****.png

Schritt 9. Wählen Sie im Bereich Destination Port (Zielport) ein Optionsfeld aus, um einen Zielport in die Übereinstimmungsbedingung einzubeziehen. Sie können Any (Beliebig) auswählen, um eine Übereinstimmung mit einem beliebigen Zielport herzustellen, oder Folgendes auswählen:

  • Select From List (Aus Liste auswählen): Wählen Sie einen Zielport aus der Dropdown-Liste aus. Folgende Optionen sind verfügbar:
— FTP — Ein Standard-Netzwerkprotokoll, das verwendet wird, um Dateien von einem Host zu einem anderen über ein TCP-basiertes Netzwerk wie das Internet zu übertragen.
— FTP-Daten — Ein Datenkanal, der vom Server initiiert wird, der mit einem Client verbunden ist, in der Regel über Port 20.
— HTTP — Ein Anwendungsprotokoll, das die Grundlage der Datenkommunikation für das World Wide Web bildet.
— SMTP — Ein Internetstandard für die elektronische Post (E-Mail).
— SNMP — Ein Internetstandardprotokoll zum Verwalten von Geräten in IP-Netzwerken.
— Telnet — Ein Sitzungsprotokoll, das im Internet oder in lokalen Netzwerken verwendet wird, um eine bidirektionale interaktive textorientierte Kommunikation zu ermöglichen.
— TFTP — Ein Internet-Software-Programm zum Übertragen von Dateien, das einfacher zu verwenden ist als FTP, aber weniger fähig ist.
— WWW — Ein System von Internet-Servern, die HTTP-formatierte Dokumente unterstützen.
  • Match to Port (Mit Port abgleichen) — Geben Sie die Portnummer ein, die nicht in der Liste angezeigt wird. Die Portnummern reichen im Feld Match to Port (Übereinstimmung mit Port) für nicht aufgelistete Quellports von 0 bis 65535. Der Portbereich umfasst drei verschiedene Port-Typen. Die Bereiche werden wie folgt beschrieben:
 — 0 bis 1023 — Bekannte Ports 
 — 1024 bis 49151 — Registrierte Ports
 — 49152 bis 65535 — Dynamische und/oder private Häfen
  • Mask (Maske): Geben Sie die Portmaske ein. Die Maske bestimmt, welche Bits verwendet und welche ignoriert werden. Nur die Hexadezimalziffer (0-0xFFFF) ist zulässig. 0 bedeutet, dass das Bit wichtig ist, und 1 bedeutet, dass Sie dieses Bit ignorieren sollten.


Schritt 10. Wählen Sie im Bereich Service Type (Servicetyp) ein Optionsfeld aus, um Pakete basierend auf dem jeweiligen Servicetyp zuzuordnen. Sie können Any (Beliebig) auswählen oder eine der folgenden Optionen auswählen:
  • IP DSCP Select From List (IP-DSCP aus Liste auswählen): Gleicht die Pakete basierend auf ihren Differentiated Services Code Point (DSCP) Assured Forwarding (AS), Class of Service (CS) oder Expedited Forwarding (EF)-Werten ab.
  • IP DSCP Match to Value - Gleicht die Pakete basierend auf einem benutzerdefinierten DSCP-Wert ab. Wenn ausgewählt, geben Sie in dieses Feld einen Wert zwischen 0 und 63 ein.
  • IP Precedence (IP-Rangfolge): Gleicht die Pakete basierend auf ihrem IP-Rangfolgewert ab. Wenn diese Option aktiviert ist, geben Sie einen Wert für die IP-Rangfolge zwischen 0 und 7 ein.
  • IP-TOS-Bits — Gibt einen Wert an, der die TOS-Bits der Pakete im IP-Header als Übereinstimmungskriterien verwendet.
  • Das IP-TOS-Feld in einem Paket wird als alle acht Bit des Servicetyp-Oktetts im IP-Header definiert. Der Wert für die IP-TOS-Bits ist eine zweistellige Hexadezimalzahl zwischen 00 und ff. Die drei Bit hoher Ordnung stellen den IP-Rangfolgewert dar. Die sechs Bit hoher Ordnung stellen den IP-DSCP-Wert dar.
  • IP TOS Mask (IP-TOS-Maske): Geben Sie einen IP TOS Mask-Wert ein, um die Bitpositionen im IP TOS Bits-Wert zu identifizieren, die zum Vergleich mit dem IP TOS-Feld in einem Paket verwendet werden.
  • Der Wert für die IP-TOS-Maske ist eine zweistellige Hexadezimalzahl von 00 bis FF, die eine invertierte Maske (d. h. eine Platzhaltermaske) darstellt. Die nullwertigen Bits in der IP-TOS-Maske bezeichnen die Bitpositionen im IP-TOS-Bits-Wert, die zum Vergleich mit dem IP-TOS-Feld eines Pakets verwendet werden. Um beispielsweise einen IP-TOS-Wert zu überprüfen, bei dem die Bits 7 und 5 gesetzt und das Bit 1 klar ist, wobei Bit 7 am wichtigsten ist, verwenden Sie einen IP-TOS-Bit-Wert von 0 und eine IP-TOS-Maske von 00.

 
Schritt 11. Klicken Sie auf Speichern.



Sie sollten nun erfolgreich eine IPv4-basierte ACL konfiguriert haben.

Konfigurieren einer IPv6-basierten ACL

Schritt 1: Konfigurieren Sie im Bereich "ACL Rule Configuration" (Konfiguration von ACL-Regeln) folgende Regelparameter:

ACL Name - ACL Type (ACL-Name - ACL-Typ): Wählen Sie die ACL aus, die mit der neuen Regel konfiguriert werden soll.

Hinweis: Im Bild unten wurde IPv6_ACL - Pv6 als Beispiel ausgewählt.



Schritt 2: Wenn eine neue Regel für die ausgewählte ACL konfiguriert werden muss, wählen Sie in der Dropdown-Liste "Regel" die Option Neue Regel aus. Wählen Sie andernfalls eine der aktuellen Regeln aus der Dropdown-Liste "Regel" aus.

Hinweis: Es können maximal 10 Regeln für eine einzelne ACL erstellt werden.



Schritt 3: Wählen Sie in der Dropdown-Liste Action (Aktion) die gewünschte Aktion für die ACL-Regel aus.
  • Verweigern - Blockiert den gesamten Datenverkehr, der die Regelkriterien erfüllt, um in den WAP zu gelangen oder ihn zu verlassen. Da am Ende jeder ACL eine implizite Deny-All-Regel vorhanden ist, wird nicht explizit zulässiger Datenverkehr verworfen.
  • Zulassen - Ermöglicht dem gesamten Datenverkehr, der die Regelkriterien erfüllt, den WAP zu betreten oder zu verlassen. Datenverkehr, der die Kriterien nicht erfüllt, wird verworfen.


Hinweis: Die Schritte 4 bis 11 sind optional. Aktivierte Filter sind aktiviert. Deaktivieren Sie das Kontrollkästchen für den Filter, wenn er nicht auf diese spezifische Regel angewendet werden soll.

Schritt 4: Aktivieren Sie das Kontrollkästchen Jedem Paket zuordnen, um die Regel für jeden Frame oder jedes Paket unabhängig vom Inhalt zuzuordnen. Deaktivieren Sie das Kontrollkästchen, um eines der zusätzlichen Abgleichskriterien zu konfigurieren.



Tipp: "Match Every Packet" (Jedes Paket abgleichen) ist standardmäßig aktiviert. Wenn Sie diese Einstellung beibehalten möchten, fahren Sie mit Schritt 12 fort.

Schritt 5: Wählen Sie im Bereich Protocol (Protokoll) ein Optionsfeld aus, um die übereinstimmenden Kriterien mit dem Wert im Header eines Ethernet-Frames zu vergleichen. Sie können eine der folgenden Optionen oder Any (Beliebig) auswählen:
  • Aus Liste auswählen — Wählen Sie eines der folgenden Protokolle aus:
 — IP — Das wichtigste Kommunikationsprotokoll in der Internet Protocol Suite für die Weitergabe von Daten über Netzwerke.
 — ICMP - Ein Protokoll in der Internet Protocol Suite, das von Geräten wie Routern zum Senden von Fehlermeldungen verwendet wird.
 — IGMP - Ein Kommunikationsprotokoll, das vom Host verwendet wird, um Multicast-Gruppenzugehörigkeiten in IPv4-Netzwerken herzustellen.
 — TCP — Ermöglicht zwei Hosts, eine Verbindung herzustellen und Datenströme auszutauschen.
 — UDP - Ein Protokoll in der Internet Protocol Suite, das ein verbindungsloses Übertragungsmodell verwendet.
  • Match to Value (Mit Wert abgleichen): Geben Sie eine standardmäßige, IANA-zugewiesene Protokoll-ID zwischen 0 und 255 ein. Wählen Sie diese Methode aus, um ein Protokoll zu identifizieren, das nicht in der Liste "Aus Liste auswählen" nach Namen aufgeführt ist.

Schritt 6: Wählen Sie im Bereich Source IPv6 (Quell-IPv6) ein Optionsfeld aus, um die IP-Adresse der Quelle in die Übereinstimmungsbedingung einzubeziehen. Sie können Any (Beliebig) oder User Defined (Benutzerdefiniert) auswählen und dann die IPv6-Adresse und die IPv6-Quell-Präfixlänge eingeben.
  • Quell-IPv6-Adresse — Geben Sie eine IPv6-Adresse ein, um diese Kriterien anzuwenden.
  • IPv6-Quell-Präfixlänge — Geben Sie die Präfixlänge der IPv6-Quell-Adresse ein.

Schritt 7. Wählen Sie im Bereich Source Port (Quellport) ein Optionsfeld aus, um einen Quellport in die Übereinstimmungsbedingung einzuschließen. Sie können Any (Beliebig) auswählen, um einem beliebigen Quellport zuzuordnen, oder Sie können Folgendes auswählen:
  • Aus Liste auswählen — Wählen Sie einen Quellport aus der Dropdown-Liste Auswahl aus. Folgende Optionen stehen zur Verfügung:
— FTP — Ein Standard-Netzwerkprotokoll, das verwendet wird, um Dateien von einem Host zu einem anderen über ein TCP-basiertes Netzwerk wie das Internet zu übertragen.
— FTP-Daten — Ein Datenkanal, der vom Server initiiert wird, der mit einem Client verbunden ist, in der Regel über Port 20.
— HTTP — Ein Anwendungsprotokoll, das die Grundlage der Datenkommunikation für das World Wide Web bildet.
— SMTP — Ein Internetstandard für die elektronische Post (E-Mail).
— SNMP — Ein Internetstandardprotokoll zum Verwalten von Geräten in IP-Netzwerken.
— Telnet — Ein Sitzungsprotokoll, das im Internet oder in lokalen Netzwerken verwendet wird, um eine bidirektionale interaktive textorientierte Kommunikation zu ermöglichen.
— TFTP — Ein Internet-Software-Programm zum Übertragen von Dateien, das einfacher zu verwenden ist als FTP, aber weniger fähig ist.
— WWW — Ein System von Internet-Servern, die HTTP-formatierte Dokumente unterstützen.
  • Match to Port (Mit Port abgleichen) — Geben Sie die Portnummer ein, die nicht in der Liste angezeigt wird. Die Portnummern reichen im Feld Match to Port (Übereinstimmung mit Port) für nicht aufgelistete Quellports von 0 bis 65535. Der Portbereich umfasst drei verschiedene Port-Typen. Die Bereiche werden wie folgt beschrieben:
 — 0 bis 1023 — Bekannte Ports 
 — 1024 bis 49151 — Registrierte Ports
 — 49152 bis 65535 — Dynamische und/oder private Häfen
  • Mask (Maske): Geben Sie die Portmaske ein. Die Maske bestimmt, welche Bits verwendet und welche ignoriert werden. Es ist nur die Hexadezimalziffer (0 €“ 0xFFFF) zulässig. 0 bedeutet, dass das Bit wichtig ist, und 1 bedeutet, dass Sie dieses Bit ignorieren sollten.


Schritt 8: Wählen Sie im Bereich Destination IPv6 ein Optionsfeld aus, um die IP-Adresse des Ziels in die Übereinstimmungsbedingung einzubeziehen. Sie können Any (Beliebig) auswählen oder User Defined (Benutzerdefiniert) wählen, um die IPv6-Adresse und die IPv6-Ziel-Präfixlänge einzugeben.
  • Ziel-IPv6-Adresse — Geben Sie eine IPv6-Adresse ein, um diese Kriterien anzuwenden.
  • Ziel-IPv6-Präfixlänge — Geben Sie die Präfixlänge der Ziel-IPv6-Adresse ein.


Schritt 9. Wählen Sie im Bereich Destination Port (Zielport) ein Optionsfeld aus, um einen Zielport in die Übereinstimmungsbedingung einzubeziehen. Sie können Any (Beliebig) auswählen, um eine Übereinstimmung mit einem beliebigen Zielport herzustellen, oder Folgendes auswählen:
  • Wählen Sie aus der Liste aus — Wählen Sie einen Zielport aus der Dropdown-Liste aus. Die Optionen sind FTP, FTP-Daten, HTTP, SNMP, SMTP, TFTP, Telnet, WWW.
  • Match to Port (Mit Port abgleichen) — Geben Sie die Portnummer ein, die nicht in der Liste angezeigt wird. Die Portnummern reichen im Feld Match to Port (Übereinstimmung mit Port) für nicht aufgelistete Quellports von 0 bis 65535. Der Portbereich umfasst drei verschiedene Port-Typen. Die Bereiche werden wie folgt beschrieben:
 — 0 bis 1023 — Bekannte Ports 
 — 1024 bis 49151 — Registrierte Ports
 — 49152 bis 65535 — Dynamische und/oder private Häfen
  • Mask (Maske): Geben Sie die Portmaske ein. Die Maske bestimmt, welche Bits verwendet und welche ignoriert werden. Nur die Hexadezimalziffer (0-0xFFFF) ist zulässig. 0 bedeutet, dass das Bit wichtig ist, und 1 bedeutet, dass Sie dieses Bit ignorieren sollten.


Schritt 10. Wählen Sie im Bereich "IPv6 Flow Label" (IPv6-Flowbezeichnung) ein Optionsfeld aus, um die IPv6-Flowbezeichnung in die Übereinstimmungsbedingung aufzunehmen. Sie können Any (Beliebig) oder User Defined (Benutzerdefiniert) auswählen und eine 20-Bit-Nummer eingeben, die für ein IPv6-Paket eindeutig ist. Der Bereich liegt zwischen 0 und 0xffff.



Schritt 11. Wählen Sie im Bereich IPv6 DSCP eine Optionsschaltfläche, um Pakete mit ihrem IP-DSCP-Wert abzugleichen. Sie können Any (Beliebig) auswählen oder Folgendes auswählen:
  • Wählen Sie einen der folgenden Werte aus der Liste aus: DSCP Assured Forwarding (AF), Class of Service (CS) oder Expedited Forwarding (EF).
  • Match to Value (Mit Wert abgleichen): Geben Sie einen benutzerdefinierten DSCP-Wert zwischen 0 und 63 ein.


Schritt 12: Klicken Sie auf Speichern.



Schritt 13: (Optional) Um eine ACL zu löschen, stellen Sie sicher, dass der ACL-Name in der Liste ACL Name-ACL Type (ACL-Name-ACL-Typ) ausgewählt ist, und aktivieren Sie dann Delete ACL (ACL löschen).

Sie sollten nun erfolgreich eine IPv6-basierte ACL konfiguriert haben.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
12-Dec-2018
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren