在無線存取點上配置MAC、IPv4和IPv6訪問控制清單
目標
訪問控制清單(ACL)是用於提高安全性的網路流量過濾器和相關操作的清單。它會阻止未經授權的使用者並允許授權的使用者訪問特定資源。ACL包含允許或拒絕訪問網路裝置的主機。ACL可以用以下兩種方式之一定義:按IPv4地址或按IPv6地址。
本文指導您如何在無線存取點(WAP)上成功建立ACL並配置基於IPv4、IPv6和媒體訪問控制(MAC)的ACL以提高網路安全性。
適用裝置
- WAP100系列
- WAP300系列
- WAP500系列
軟體版本
- 1.0.6.2 - WAP121、WAP321
- 1.2.0.2 - WAP371、WAP551、WAP561
- 1.0.1.4 - WAP131、WAP351
- 1.0.0.16 - WAP150、WAP361
建立ACL
注意:用於此配置的映像來自WAP150。
步驟 1.登入存取點基於Web的實用程式,並選擇ACL > ACL Rule。
注意:對於WAP121、WAP321、WAP371、WAP551和WAP561:登入到基於Web的存取點實用程式並選擇Client QoS > ACL。
步驟 2.打開ACL Configuration頁後,在ACL Name欄位中輸入ACL名稱。
步驟 3.從ACL Type下拉選單中選擇ACL Type。
- IPv4 ― 32位(4位元組)地址。
- IPv6 - IPv4的後繼路由器,由128位(8位元組)地址組成。
- MAC — MAC地址是分配給網路介面的唯一地址。
步驟 4.按一下Add ACL按鈕。
如果選擇了MAC,請跳到Configure MAC-based ACL。
如果選擇IPv4,請跳至配置基於IPv4的ACL。
如果選擇IPv6,請跳至配置基於IPv6的ACL。
您現在應該已經成功建立了ACL。
配置基於MAC的ACL
步驟 1.從ACL Name - ACL Type下拉選單中選擇要增加規則的ACL。
注意:下圖中選擇了ACL1 MAC作為示例。
步驟 2.如果必須為所選ACL配置新規則,請從Rule下拉選單中選擇New Rule。否則,請從Rule下拉選單中選擇當前規則之一。
注意:一個ACL最多可建立10條規則。
步驟 3.從Action下拉選單中選擇用於ACL規則的操作。
注意:在此示例中,建立了Deny語句。
- 拒絕—阻止所有符合規則條件的流量進入或退出WAP。因為每個ACL的結尾都有一個隱含的deny-all規則,所以會捨棄未明確允許的流量。
- Permit —允許符合規則條件的所有流量進入或退出WAP。不符合條件的流量將被丟棄。
附註:步驟4到11是選擇性的。已啟用已檢查的篩選器。取消核取您不希望它套用至此特定規則的篩選的核取方塊。
步驟 4.選中Match Every Packet覈取方塊以匹配每個幀或資料包的規則,而不管其內容如何。取消核取此方塊,即可設定任何其他相符的條件。
提示:如果選中了匹配每個資料包,請跳到步驟12。
步驟 5.在EtherType區域中,選擇一個單選按鈕,將匹配的條件與乙太網幀報頭中的值進行比較。您可以選擇下列選項之一或選擇任一:
- Select From List —從下拉選單中選擇協定。該清單包含以下選項:appletalk、arp、IPv4、IPv6、ipx、netbios、pppoe。
- 與值匹配—對於自定義協定識別符號,請輸入範圍從0600到FFFF的識別符號。
步驟 6.在Class Of Service區域中,選擇單選按鈕以輸入802.1p使用者優先順序以與乙太網幀進行比較。您可以選擇「任一」或「使用者定義」優先順序。在User Defined欄位中輸入範圍從0到7的優先順序。
步驟 7.在Source MAC區域,選擇單選按鈕將源MAC地址與乙太網幀進行比較。您可以選擇Any或選擇User Defined,並在所提供的欄位中輸入源MAC地址。
步驟 8.在Source MAC Mask欄位中輸入源MAC地址掩碼,該欄位指定將源MAC中的哪些位與乙太網幀進行比較。
注意:如果MAC掩碼使用0位,則接受該地址;如果使用1位,則忽略該地址。
步驟 9.在Destination MAC區域,選擇單選按鈕將目的MAC地址與乙太網幀進行比較。您可以選擇任意(Anyor)或選擇使用者定義(User Defined),然後在提供的欄位中輸入目標MAC地址。
步驟 10.在Destination MAC Mask 欄位中輸入目標MAC地址掩碼,該欄位指定目標MAC中的哪些位與乙太網幀進行比較。
注意:如果MAC掩碼使用0位,則接受該地址;如果使用1位,則忽略該地址。
步驟 11.在VLAN ID區域中,選擇用於將VLAN ID與乙太網幀進行比較的單選按鈕。在所提供的欄位中輸入0到4095之間的VLAN ID。
步驟 12.按一下Save。
第13步:(可選)要刪除已配置的ACL,請選中Delete ACL覈取方塊,然後點選Save。
現在,您應該已經在WAP上成功配置了MAC ACL。
配置基於IPv4的ACL
步驟 1.在ACL Rule Configuration區域中,配置以下規則引數:
ACL名稱- ACL型別選擇要使用新規則配置的ACL。
注意:下圖中選擇了IPv4_ACL-IPv4作為示例。
步驟 2.如果必須為所選ACL配置新規則,請從Rule下拉選單中選擇New Rule。否則,請從Rule下拉選單中選擇當前規則之一。
注意:一個ACL最多可建立10條規則。
步驟 3.從Action下拉選單中選擇用於ACL規則的操作。
注意:在此示例中,建立了Permit語句。
- 拒絕—阻止所有符合規則條件的流量進入或退出WAP。因為每個ACL的結尾都有一個隱含的deny-all規則,所以會捨棄未明確允許的流量。
- Permit —允許符合規則條件的所有流量進入或退出WAP。不符合條件的流量將被丟棄。
註:步驟4至9是可選的。已啟用已檢查的篩選器。如果您不想將過濾器應用於此特定規則,請取消選中該覈取方塊。
步驟 4.選中Match Every Packet覈取方塊以匹配每個幀或資料包的規則,而不管其內容如何。取消核取此方塊,即可設定任何其他符合條件。
提示:預設情況下啟用「匹配每個資料包」。如果要保留此設定,請跳到步驟11。
步驟 5.在Protocol區域中,選擇一個單選按鈕,將匹配的條件與乙太網幀報頭中的值進行比較。您可以選擇任意(Any)或從下拉選單中選擇
- Select From List —選擇下列通訊協定之一:
— ICMP — Internet協定簇中的一個協定,用於路由器等裝置傳送錯誤消息。
— IGMP —主機用於在IPv4網路上建立組播組成員資格的通訊協定。
— TCP —使兩台主機能夠建立連線並交換資料流。
— UDP — Internet協定簇中使用無連線傳輸模型的協定。
- 與值匹配—輸入從0到255的標準IANA分配的協定ID。選擇此方法以標識未按名稱列在「從清單中選擇」清單中的協定。
步驟 6.在Source IP區域中,選擇單選按鈕以在匹配條件中包含源的IP地址。您可以選擇任意或使用者定義(Any or User Defined),然後在相應欄位中輸入源的IP地址和萬用字元掩碼。
- 源IP地址—輸入應用此條件的IP地址。
- 萬用字元掩碼—輸入目標IP地址萬用字元掩碼。萬用字元掩碼確定使用哪些位,忽略哪些位。萬用字元掩碼255.255.255.255表示沒有位是重要的。0.0.0.0的萬用字元表示所有位都很重要。選擇「源IP地址」時,此欄位為必填欄位。
注意:萬用字元掩碼基本上是子網掩碼的反碼。例如,要將條件與單個主機地址匹配,請使用萬用字元掩碼0.0.0.0。要將條件與24位子網(例如192.168.10.0/24)相匹配,請使用萬用字元掩碼0.0.0.255。
步驟 7.在Source Port區域中,選擇在匹配條件中包含源埠的單選按鈕。您可以選擇Anyto匹配任何源埠,也可以選擇以下選項:
- Select From List —從Select From List下拉選單中選擇源埠。選項如下:
- Match to Port —輸入清單中未顯示的連線埠號碼。對於未列出的源埠,在Match to Port欄位中的埠號範圍從0到65535。該範圍包括三種不同型別的埠。這些範圍描述如下
- 遮罩—輸入連線埠遮罩。掩碼確定使用哪些位,忽略哪些位。只允許十六進位數字(0 ― 0xFFFF)。0表示位重要,1表示您應忽略此位。
步驟 8.在Destination IP區域中,選擇單選按鈕以將目標的IP地址包括在匹配條件中。您可以選擇任意或使用者定義(Any or User Defined),然後在相應欄位中輸入目標的IP地址和萬用字元掩碼。
- 目標IP地址—輸入應用此條件的IP地址。
- 萬用字元掩碼—輸入目標IP地址萬用字元掩碼。萬用字元掩碼確定使用哪些位,忽略哪些位。萬用字元掩碼255.255.255.255表示沒有位是重要的。0.0.0.0的萬用字元表示所有位都很重要。選擇目標IP地址時,此欄位為必填欄位。
注意:萬用字元掩碼基本上是子網掩碼的反碼。例如,要將條件與單個主機地址匹配,請使用萬用字元掩碼0.0.0.0。要將條件與24位子網(例如192.168.10.0/24)相匹配,請使用萬用字元掩碼0.0.0.255。
步驟 9.在Destination Port區域中,選擇用於在匹配條件中包含目標埠的單選按鈕。您可以選擇Any以匹配任何目標埠,也可以選擇以下選項:
- Select From List —從下拉選單中選擇目標埠。選項如下
— FTP資料-由連線到客戶端的伺服器啟動的資料通道,通常透過埠20。
— HTTP —應用程式通訊協定,是全球資訊網資料通訊的基礎。
— SMTP —用於電子郵件(電子郵件)傳輸的Internet標準。
— SNMP —用於管理IP網路上裝置的Internet標準協定。
— Telnet -在Internet或區域網上用於提供雙向互動式面向文本的通訊的會話層協定。
— TFTP -一種傳輸檔案的網際網路軟體實用程式,比FTP更易於使用,但功能更少。
— WWW —支援HTTP格式檔案的Internet伺服器系統。
- Match to Port —輸入清單中未顯示的連線埠號碼。對於未列出的源埠,在Match to Port欄位中的埠號範圍從0到65535。該範圍包括三種不同型別的埠。這些範圍描述如下:
— 1024到49151 —註冊埠
— 49152到65535 —動態和/或專用埠
- 遮罩—輸入連線埠遮罩。掩碼確定使用哪些位,忽略哪些位。只允許十六進位數字(0-0xFFFF)。0表示位重要,1表示您應忽略此位。
步驟 10.在Service Type區域中,選擇單選按鈕以根據特定服務型別匹配資料包。您可以選擇「任意」,也可以從下列選項中選擇:
- IP DSCP Select From List —根據資料包的區別服務代碼點(DSCP)、保證轉發(AS)、服務類別(CS)或加速轉發(EF)值來匹配資料包。
- IP DSCP Match to Value —根據自定義DSCP值匹配資料包。如果選擇此選項,請在此欄位中輸入介於0到63之間的值。
- IP優先順序—根據封包的IP優先順序值來比對封包。如果選擇此選項,請輸入從0到7的IP優先順序值。
- IP TOS位—指定使用IP報頭中資料包的TOS位作為匹配條件的值。
- 資料包中的IP TOS欄位定義為IP報頭中服務型別八位組的全部八位。IP TOS Bits值是一個介於00到ff之間的兩位十六進位制數。高位3表示IP優先順序值。高位6位代表IP DSCP值。
- IP TOS遮罩—輸入IP TOS遮罩值,以辨識IP TOS位元值中的位元位置,這些位元位置是用來與封包中的IP TOS欄位進行比較。
- IP TOS Mask值是一個介於00和FF之間的兩位十六進位制數,表示反轉(即萬用字元)掩碼。IP TOS掩碼中的零值位表示IP TOS位值中的位位置,用於與資料包的IP TOS欄位進行比較。例如,要檢查位7和5已設定且位1已清除的IP TOS值(其中位7最重要),請使用IP TOS位值0和IP TOS掩碼00。
現在,您應該已經成功配置了一個基於IPv4的ACL。
配置基於IPv6的ACL
ACL名稱- ACL型別—選擇要使用新規則配置的ACL。
注意:下圖選擇了IPv6_ACL — Pv6作為示例。
步驟 2.如果必須為所選ACL配置新規則,請從Rule下拉選單中選擇New Rule。否則,請從Rule下拉選單中選擇當前規則之一。
注意:一個ACL最多可建立10條規則。
步驟 3.從操作下拉選單中選擇ACL規則的操作
- 拒絕—阻止所有符合規則條件的流量進入或退出WAP。因為每個ACL的結尾都有一個隱含的deny-all規則,所以會捨棄未明確允許的流量。
- Permit —允許符合規則條件的所有流量進入或退出WAP。不符合條件的流量將被丟棄。
注意:步驟4到11是可選的。已啟用已檢查的篩選器。如果您不想將過濾器應用於此特定規則,請取消選中該覈取方塊。
步驟 4.選中Match Every Packet覈取方塊以匹配每個幀或資料包的規則,而不管其內容如何。取消核取此方塊,即可設定任何其他符合條件。
提示:預設情況下啟用「匹配每個資料包」。如果要保留此設定,請跳到步驟12。
步驟 5.在Protocol區域中,選擇一個單選按鈕,將匹配的條件與乙太網幀報頭中的值進行比較。您可以選擇下列選項之一或選擇任一:
- Select From List —選擇下列通訊協定之一:
- 與值匹配—輸入從0到255的標準IANA分配的協定ID。選擇此方法以標識未按名稱列在「從清單中選擇」清單中的協定。
步驟 6.在Source IPv6區域中,選擇單選按鈕以將源的IP地址包括在匹配條件中。您可以選擇Any或User Defined,然後輸入IPv6地址和源IPv6字首長度。
- 源IPv6地址—輸入應用此條件的IPv6地址。
- 源IPv6字首長度—輸入源IPv6地址的字首長度。
步驟 7.在Source Port區域中,選擇在匹配條件中包含源埠的單選按鈕。您可以選擇任意(Any)以匹配任何源埠,也可以選擇以下選項:
- Select From List —從Select From List下拉選單中選擇源埠。選項如下:
- Match to Port —輸入清單中未顯示的連線埠號碼。對於未列出的源埠,在Match to Port欄位中的埠號範圍從0到65535。該範圍包括三種不同型別的埠。這些範圍描述如下:
— 1024到49151 —註冊埠
— 49152到65535 —動態和/或專用埠
- 遮罩—輸入連線埠遮罩。掩碼確定使用哪些位,忽略哪些位。只允許十六進位數字(0 a0 xFFFF)。0表示位重要,1表示您應忽略此位。
步驟 8.在Destination IPv6區域中,選擇單選按鈕以將目標的IP地址包括在匹配條件中。您可以選擇任意或選擇使用者定義的輸入IPv6地址和目標IPv6字首長度。
- 目標IPv6地址—輸入應用此條件的IPv6地址。
- 目標IPv6字首長度—輸入目標IPv6地址的字首長度。
步驟 9.在Destination Port區域中,選擇用於在匹配條件中包含目標埠的單選按鈕。您可以選擇Any以匹配任何目標埠,也可以選擇以下選項:
- Select From List —從Select From List下拉選單中選擇目標埠。選項包括FTP、FTP資料、HTTP、SNMP、SMTP、TFTP、Telnet、WWW。
- Match to Port —輸入清單中未顯示的連線埠號碼。對於未列出的源埠,在Match to Port欄位中的埠號範圍從0到65535。該範圍包括三種不同型別的埠。這些範圍描述如下:
- 遮罩—輸入連線埠遮罩。掩碼確定使用哪些位,忽略哪些位。只允許十六進位數字(0-0xFFFF)。0表示位重要,1表示您應忽略此位。
步驟 10.在IPv6 Flow Label區域中,選擇單選按鈕以將IPv6流標籤包含在匹配條件中。您可以選擇Any或User Defined並輸入IPv6資料包唯一的20位編號。範圍為0-0xffff。
步驟 11.在IPv6 DSCP區域中,選擇單選按鈕將資料包與其IP DSCP值進行匹配。您可以選擇「任意」,也可以選擇下列選項:
- Select from list —選擇下列值之一:DSCP Assured Forwarding (AF)、Class of Service (CS)或Expedited Forwarding (EF)。
- Match to Value —輸入範圍從0到63的自訂DSCP值。
步驟 12.按一下儲存。
步驟13. (可選)若要刪除ACL,請確認已在「ACL Name-ACL Type」清單中選取ACL名稱,然後勾選「Delete ACL」。
現在,您應該已經成功配置了一個基於IPv6的ACL。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
12-Dec-2018 |
初始版本 |
意見