在WAP551和WAP561存取點上配置基於IPv4和IPv6的訪問控制清單(ACL)
目標
訪問清單(ACL)是允許和拒絕條件(稱為規則)的集合,這些條件為阻止未經授權的使用者和允許授權的使用者訪問特定資源提供了安全性。ACL可以阻止任何未經授權的嘗試訪問網路資源。 QoS功能包含區分服務(DiffServ)支援,允許將流量分類為流,並根據定義的每跳行為給予特定QoS處理。
本文說明如何在WAP551和WAP561存取點(WAP)上建立並配置基於IPv4和IPv6的ACL。
適用裝置
· WAP551
· WAP561
軟體版本
· v1.0.4.2
ACL配置
IP ACL會分類IP堆疊中第3層的流量。每個ACL是一組最多10條規則,應用於從無線客戶端傳送的流量或由無線客戶端接收的流量。每個規則指定是否應該使用給定欄位的內容來允許或拒絕對網路的訪問。規則可以基於各種標準,並且可以應用於資料包中的一個或多個欄位,例如源或目標IP地址、源或目標埠或資料包中攜帶的協定。
步驟 1.登入到Web配置實用程式,並選擇Client QoS > ACL。此時將打開ACL頁:
步驟 2.在「ACL名稱」欄位中輸入ACL的名稱。
步驟 3.從ACL Type下拉選單中選擇所需的ACL型別。如果選擇IPv6,請參閱IPv6 ACL配置部分。如果從「ACL Type」下拉選單選擇基於MAC的ACL,請參閱文章在WAP551和WAP561存取點上配置基於MAC的訪問控制清單(ACL)。
步驟 4.按一下Add ACL建立新的ACL。
IPv4 ACL配置
注意:如果從「ACL型別」下拉選單中選擇IPv4,請按照以下步驟配置IPv4 ACL規則。
步驟 1.從ACL Name-ACL Type下拉選單中選擇建立的ACL。
步驟 2.如果需要配置新規則,且所選ACL的規則數少於10,請從Rule下拉選單中選擇New Rule。否則,請從Rule下拉選單中選擇當前規則之一。
注意:一個ACL最多可建立10條規則。
步驟 3.從Action下拉選單中選擇ACL規則的操作。
· 拒絕—阻止所有符合規則條件的流量進入或退出WAP裝置。
· Permit —允許符合規則條件的所有流量進入或退出WAP裝置。
注意:下列所有步驟都是選擇性的。核取的方塊將會啟用。如果您不想套用特定規則,請取消核取此方塊。
步驟 4.選中Match Every Packet覈取方塊以匹配每個幀或資料包的規則,而不管其內容如何。 取消選中Match Every Packet 覈取方塊以配置任何其他匹配條件。
Timesaver:如果選中了Match Every Packet,則跳過步驟10。
步驟 5.選中Protocol覈取方塊,以根據IPv4資料包中IP Protocol欄位的值使用L3或L4協定匹配條件。如果選中了「協定」覈取方塊,請按一下以下單選按鈕之一:
· 從清單中選取—從「從清單中選取」下拉式清單中選取的協定。
· 與值匹配—用於清單中未出現的協定。輸入從0到255的標準IANA分配協定ID。
步驟 6.選中Source IP Address覈取方塊以在匹配條件中包含源的IP地址。在相應的欄位中輸入源的IP地址和萬用字元掩碼。
步驟 7.選中Source Port覈取方塊以在匹配條件中包含源埠。如果選中了Source Port覈取方塊,請按一下以下單選按鈕之一:
· 從清單選取—來源連線埠可從「從清單選取」下拉式清單中選擇。
· 與連線埠相符—適用於清單中未出現的來源連線埠。輸入範圍在0到65535之間的埠號,其中包括三種不同型別的埠。
- 0到1023 -公認埠。
- 1024到49151 -註冊埠。
- 49152 to 65535 -動態和/或專用埠。
步驟 8.選中Destination IP Address覈取方塊以在匹配條件中包括目標的IP地址。在相應的欄位中輸入目標的IP地址和萬用字元掩碼。
步驟 9.選中Destination Port覈取方塊以在匹配條件中包含目標埠。如果選中了Destination Port覈取方塊,請按一下以下單選按鈕之一。
· 從清單中選擇—從「從清單中選擇」下拉選單中選擇的目標埠。
· 與連線埠相符—適用於清單中未列出的目的地連線埠。在Match to Port欄位中輸入從0到65535的埠號。該範圍包括三種不同型別的埠。
- 0至1023 —公認埠。
- 1024到49151 -註冊埠。
- 49152 to 65535 -動態和/或專用埠。
注意:只能從「服務型別」區域選擇一個服務,並且可以為匹配條件增加這些服務。
步驟 10.選中IP DSCP覈取方塊以根據IP DSCP值匹配資料包。如果選中了IP DSCP覈取方塊,請按一下以下單選按鈕之一:
· 從清單中選擇—從清單中選擇所需的IP DSCP值。
· 與值匹配-自定義DSCP值。在Match to value欄位中,輸入0到63範圍內的DSCP值。
步驟 11.選中IP Precedence覈取方塊以在匹配條件中包含IP Precedence值。如果選中了IP Precedence覈取方塊,請輸入一個範圍從0到7的IP Precedence值。IP優先順序值和相應的值說明可以解釋如下:
· 0 —常規或盡力
· 1 -優先順序
· 2 -立即
· 3 - Flash (主要用於語音訊號傳送或視訊)
· 4 -快閃記憶體覆寫
· 5 -嚴重(主要用於語音RTP)
· 6 -網際網路
· 7 -網路
步驟 12.選中IP TOS Bits覈取方塊以使用IP報頭中Type of Service位作為匹配標準。如果選中了IP TOS Bits覈取方塊,請在相應欄位中輸入從00到FF的IP TOS位和從00到FF的IP TOS掩碼。
步驟 13.若要刪除已配置的ACL,請選中Delete ACL覈取方塊,然後按一下Save。
IPv6 ACL配置
注意:如果從「ACL型別」下拉選單中選擇IPv6,請按照以下步驟配置IPv6 ACL規則。
步驟 1.從ACL Name-ACL Type下拉選單中選擇建立的ACL。
步驟 2.如果必須為所選ACL配置新規則,請從Rule下拉選單中選擇New Rule。否則,請從Rule下拉選單中選擇當前規則之一。
注意:一個ACL最多可建立10條規則。
步驟 3.從Action下拉選單中選擇ACL規則的操作。
· 拒絕—阻止所有符合規則條件的流量進入或退出WAP裝置。
· Permit —允許符合規則條件的所有流量進入或退出WAP裝置。
注意:下列所有步驟都是選擇性的。核取的方塊將會啟用。如果您不想套用特定規則,請取消核取此方塊。
步驟 4.選中Match Every Packet覈取方塊以匹配每個幀或資料包的規則,而不管其內容如何。 取消選中Match Every Packet 覈取方塊以配置任何其他匹配條件。
Timesaver:如果選中了Match Every Packet,則跳過步驟12。
步驟 5.選中Protocol覈取方塊以根據IPv6資料包中IP Protocol欄位的值使用L3或L4協定匹配條件。如果選中了「協定」覈取方塊,請按一下以下單選按鈕之一。
· 從清單中選取—從「從清單中選取」下拉式清單中選取的協定。
· 與值匹配—用於清單中未出現的協定。輸入從0到255的標準IANA分配協定ID。
步驟 6.選中Source IP Address覈取方塊以在匹配條件中包含源的IP地址。在相應的欄位中輸入源的IP地址和萬用字元掩碼。
步驟 7.選中Source Port覈取方塊以在匹配條件中包含源埠。如果選中了Source Port覈取方塊,請按一下以下單選按鈕之一:
· 從清單選取—來源連線埠可從「從清單選取」下拉式清單中選擇。
· 與連線埠相符—適用於清單中未列出的來源連線埠。輸入範圍在0到65535之間的埠號,其中包括三種不同型別的埠。
- 0到1023 -公認埠。
- 1024到49151 -註冊埠。
- 49152 to 65535 -動態和/或專用埠。
步驟 8.選中Destination IP Address覈取方塊以在匹配條件中包括目標的IP地址。在相應的欄位中輸入目標的IP地址和萬用字元掩碼。
步驟 9.選中Destination Port覈取方塊以在匹配條件中包含目標埠。如果選中了Destination Port覈取方塊,請按一下以下單選按鈕之一:
· 從清單中選擇—從「從清單中選擇」下拉選單中選擇的目標埠。
· 與連線埠相符—適用於清單中未列出的目的地連線埠。在Match to Port欄位中輸入從0到65535的埠號。該範圍包括三種不同型別的埠。
- 0至1023 —公認埠。
- 1024到49151 -註冊埠。
- 49152 to 65535 -動態和/或專用埠。
步驟 10.選中IPv6 Flow label覈取方塊以在匹配條件中包括IPv6流標籤。源可以使用IPv6報頭中的20位流標簽欄位來標籤屬於同一流的一組資料包。在IPv6流標簽欄位中輸入從00000到FFFFF的數字。
步驟 11.選中IPv6 DSCP覈取方塊以在匹配條件中包括IP DSCP值。如果選中了IP DSCP覈取方塊,請按一下以下單選按鈕之一。
· 從清單選取—從「從清單選取」下拉式清單中選擇的IP DSCP值。
· 與值匹配-自定義0到63範圍內的DSCP值。
步驟12. (可選)要刪除已配置的ACL,請選中Delete ACL 覈取方塊。
步驟 13.按一下Save。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
10-Dec-2018 |
初始版本 |
意見