访问控制列表(ACL)是用于提高安全性的网络流量过滤器和相关操作的列表。它阻止或允许用户访问特定资源。ACL包含允许或拒绝访问网络设备的主机。
IPv6中的典型ACL功能与IPv4中的ACL类似。ACL确定要阻止的流量以及要在交换机接口转发的流量。ACL允许根据源地址和目的地址过滤特定接口的入站和出站地址。每个ACL的末尾都有一条隐式deny语句。ACL的规则在访问控制条目(ACE)中配置。
您应该使用访问列表为访问网络提供基本的安全级别。如果不在网络设备上配置访问列表,则允许通过交换机或路由器的所有数据包进入网络的所有部分。
本文提供有关如何在交换机上配置基于IPv6的ACL和ACE的说明。
步骤1.登录基于Web的实用程序,然后转到Access Control > IPv6-Based ACL。
步骤2.单击“添加”按钮。
步骤3.在ACL Name字段中输入新ACL的名称。
注意:在本例中,使用IPv6 ACL。
步骤4.单击“应用”,然后单击“关闭”。
步骤5.(可选)单击“保存”以在启动配置文件中保存设置。
现在,您应该已在交换机上配置了基于IPv6的ACL。
在端口上收到数据包时,交换机会通过第一个ACL处理该帧。如果数据包与第一个ACL的ACE过滤器匹配,则会执行ACE操作。如果数据包与任何ACE过滤器都不匹配,则会处理下一个ACL。如果在所有相关ACL中找不到与任何ACE匹配的ACE,则默认情况下会丢弃数据包。
在此场景中,将创建ACE以拒绝从特定用户定义的源IPv6地址发送到任何目标地址的流量。
注意:创建允许所有流量的低优先级ACE可避免此默认操作。
步骤1.在基于Web的实用程序上,转到Access Control > IPv6-Based ACE。
重要信息:如果您有Sx350、SG350X、Sx550X交换机,请从页面右上角的“显示模式”下拉列表中选择“高级”,以更改为“高级”模式。
步骤2.从ACL Name下拉列表中选择ACL,然后单击Go。
注意:表中将显示已为ACL配置的ACE。
步骤3.单击Add按钮将新规则添加到ACL。
注意:ACL Name字段显示ACL的名称。
步骤4.在Priority字段中输入ACE的优先级值。优先级值较高的ACE首先处理。值1是最高优先级。范围为1到2147483647。
注意:在本例中,使用3。
步骤5.点击与帧满足ACE所需标准时所执行的所需操作对应的单选按钮。
注意:在本例中,选择Permit。
关闭 — 交换机丢弃不符合ACE所需标准的数据包并禁用接收数据包的端口。禁用的端口可在Port Settings页面上重新激活。
第6步。(可选)选中Enable Logging复选框,以启用与ACL规则匹配的日志记录ACL流。
步骤7.(可选)选中Enable Time Range复选框,以允许将时间范围配置到ACE。时间范围用于限制ACE生效的时间量。如果禁用此功能,ACE将随时运行。
第8步。(可选)从Time Range Name下拉列表中,选择要应用到ACE的时间范围。
注意:可以单击“编辑”在“时间范围”页上导航并创建时间范围。
步骤9.在Protocol区域中选择协议类型。ACE将根据特定协议或协议ID创建。
选项有:
注意:在本示例中,选择“从列表中选择”。
第10步。(可选)如果在第9步中选择“从列表中选择”,请从下拉列表中选择协议。
选项有:
注意:在本例中,使用TCP。
第11步。(可选)如果您在第9步中选择要匹配的协议ID,请在“要匹配的协议ID”字段中输入协议ID。
注意:在本例中,使用1。
步骤12.在Source IP Address区域中,点击与ACE的所需条件对应的单选按钮。
选项有:
注意:在本例中,选择“用户定义”。如果选择Any,请跳至步骤15。
步骤13.在Source IP Address Value字段中输入源IP地址。
注意:在本示例中,使用fe80::d0ba:7021:37f7:d68d。
步骤14.在Source IP Prefix Length字段中输入源IP前缀长度。
注意:在本例中,使用128。
步骤15.单击与DestinationIP Address区域中ACE的所需条件对应的单选按钮。
选项有:
注意:在本例中,选择Any。选择此选项意味着要创建的ACE将允许从指定IPv6地址到任何目标的ACE流量。
步骤16.(可选)点击Source Port区域中的单选按钮。默认值为Any。
步骤17.(可选)点击Destination Port区域中的单选按钮。默认值为Any。
步骤18.(可选)在TCP Flags区域中,选择一个或多个TCP标志,以便过滤数据包。过滤的数据包会被转发或丢弃。通过TCP标志过滤数据包可增强数据包控制,从而提高网络安全性。
TCP标志包括:
步骤19.(可选)从Type of Service区域点击IP数据包的服务类型。
选项有:
- 0 — 例程
- 1 — 优先级
- 2 — 立即
- 3 — 用于闪存
- 4 — 用于flash-override
- 5 — 关键
- 6 — 互联网
- 7 — 网络
注意:在本例中,选择Any。
步骤20.(可选)如果ACL的IP协议是ICMP,请点击用于过滤目的的ICMP消息类型。按名称选择消息类型或输入消息类型编号:
注意:在本示例中,选择“从列表中选择”。
第21步。(可选)如果在第20步中选择“从列表中选择”,请从下拉列表中可能的选项中选择要过滤的控制消息:
步骤22.(可选)ICMP消息可以有一个代码字段,指示如何处理该消息。如果在步骤10中选择ICMP协议,则启用此选项。单击以下选项之一以配置是否过滤此代码:
注意:在本例中,选择Any。
步骤23.单击“应用”,然后单击“关闭”。ACE已创建并与ACL名称关联。
步骤24.单击“保存”将设置保存到启动配置文件。
现在,您应该已在交换机上配置了基于IPv6的ACE。