IPv6-gebaseerde ACL s EN ACE-encryptie op ESW2-350G-switches

Maat: px
Weergave met pagina beginnen:

Download "IPv6-gebaseerde ACL s EN ACE-encryptie op ESW2-350G-switches"

Transcriptie

1 IPv6-gebaseerde ACL s EN ACE-encryptie op ESW2-350G-switches Doel ACL en ACE's staan de ingang van pakketten aan de IP adressen toe die in de toegangslijst worden gevormd. De regels voor ACL s worden gegeven door de Access Control Entries (ACE s). Dit artikel legt uit hoe u een IPv6-gebaseerde ACL en ACE op ESW2-350Gswitches maakt. Toepasselijke apparaten ESW2-350G ESW2-350G-DC Softwareversie IPv6-gebaseerde ACL-configuratie Stap 1. Gebruik het hulpprogramma Configuration om toegangscontrole > IPv6-gebaseerde ACL te kiezen. De op IPv6 gebaseerde ACL-pagina wordt geopend. Deze pagina zal de lijst van ACL's tonen die momenteel worden gedefinieerd. Stap 2. Klik op Add om een nieuwe toegangslijst toe te voegen. Stap 3. Voer een naam in voor de toegangslijst in het veld ACL-naam. Stap 4. Klik op Toepassen waardoor de op IPv6 gebaseerde ACL op het actieve configuratiebestand wordt geschreven.

2 Stap 5. (Optioneel) Klik op IPv6-gebaseerde ACE-tabel om de op IPv6 gebaseerde ACEtabelpagina te openen IPv6-gebaseerde ACE-configuratie Voer de volgende stappen uit om een toegangscontrolelijst (ACE) aan de ACL toe te voegen: Stap 1. Gebruik het hulpprogramma Configuration om Access Control > IPv6-gebaseerde ACE te kiezen. De op IPv6 gebaseerde ACE-pagina wordt geopend: Stap 2. Kies een ACL uit de ACL-naam is gelijk aan vervolgkeuzelijst en klik op Add. Het op Add IPv6 gebaseerde ACE-venster wordt geopend:

3 Stap 3. Voer de prioriteit van de ACE's in het veld Prioriteit in. De hoogste prioriteit wordt eerst verwerkt, hetgeen 1 is. Het heeft een bereik van Stap 4. Klik op de radioknop die overeenkomt met de gewenste actie die plaatsvindt wanneer het pakket een overeenkomst is in het veld Actie. Toestaan dat pakketten voldoen aan de ACE-criteria. Jeans: druppel pakketten die aan de ACE-criteria voldoen. Shutdown Stort pakketten neer die aan de ACE criteria voldoen en schakelt de haven

4 uit van waar de pakketten werden ontvangen. Dergelijke poorten kunnen vanaf de pagina met poortinstellingen worden opnieuw geactiveerd. Opmerking: Om met tijdbereik te configureren volgt u de configuratie van het artikel Time Range op ESW2-350G switches. Stap 5. (Optioneel) Klik op het aanvinkvakje Enable om tijdbereik voor het ACE in te schakelen. Stap 6. (Optioneel) Kies het tijdbereik van de vervolgkeuzelijst Tijdbereik dat voor de ACE

5 moet worden toegepast. Stap 7. (Optioneel) Klik op Bewerken om het tijdbereik te bewerken.het dialoogvenster bevestigen wordt geopend: Stap 8. (Optioneel) Klik op OK om naar de pagina Tijdbereik te gaan.

6 Stap 9. Klik op de radioknop die overeenkomt met het gewenste protocol voor het ACEprotocol, dat is ingesteld voor alle routenetwerkprotocollen om de pakketten te filteren terwijl deze pakketten door een router worden verzonden. Any Hiermee kiest u een van de op IPv6 gebaseerde ACE-protocollen. Selecteer uit lijst Kies een van de protocollen in de vervolgkeuzelijst (TCP, UDP, ICMP). Protocol-ID die overeenkomt met het protocol, wordt gebruikt om het protocol te koppelen aan een ID. De standaardwaarde voor verschillende protocol zoals TCP is 6, UDP is het 17 en voor ICMP is het 58 of de gebruiker kan elke waarde in het definiëren.

7 Stap 10. Klik op Any als alle bronadressen acceptabel zijn of Gebruiker definieert als een IPadreswaarde van bron met de prefix-lengte in het veld Bron-IP-adres moet worden ingevoerd. Stap 1. Klik op Any als alle doeladressen acceptabel zijn of door gebruiker gedefinieerd als een IP-adreswaarde met de voorvoegsellengte in het veld IP-adres van de bestemming moet worden ingevoerd. Stap 12. Bron Port is alleen ingeschakeld wanneer u protocol TCP & UDP kiest uit stap 5. Klik op Any als alle bronpoort acceptabel is of één waarde uit het gegeven bereik of er een bereik van bronpoort moet worden ingevoerd. Stap 13. De poort van de bestemming is alleen ingeschakeld wanneer u protocol TCP & UDP kiest uit stap 5. Klik op Any als alle bronpoort acceptabel is of één waarde uit het gegeven bereik of er een bereik van de doelpoort moet worden ingevoerd.

8 Stap 14. TCP-vlaggen zijn alleen ingeschakeld wanneer u protocol TCP uit stap 5 kiest. Klik op een van de vlaggen met verschillende opties zoals ingesteld op 1 of op, Unset als 0 of uit of geef niet om als x. Urg Deze vlag wordt gebruikt om binnenkomende gegevens als urgent te identificeren. Ack Deze vlag wordt gebruikt om de ontvangst van pakketten met succes te bevestigen. Psh Deze vlag wordt gebruikt om ervoor te zorgen dat de gegevens de prioriteit krijgen (die het verdient) en worden verwerkt op het verzendende of ontvangende eind. Rst Deze vlag wordt gebruikt wanneer een segment arriveert dat niet is bedoeld voor de huidige verbinding. Syn Deze vlag wordt gebruikt voor TCP-communicatie. Fin Deze vlag wordt gebruikt wanneer de communicatie of gegevensoverdracht is voltooid. Stap 15. Klik op de radioknop die overeenkomt met het gewenste servicetype voor verkeerscongestiebeheer in het veld Type of Service. Elk type service wordt gebruikt voor verkeersopstoppingen. DSCP to matching Distributed Service Code Point (DSCP) is een mechanisme voor de classificatie en het beheer van netwerkverkeer. Zes bits (0-63) wordt gebruikt om bij elk knooppunt een pakketervaring te selecteren voor het Per hop-gedrag.

9 IP-voorrang voor overeenkomende producten Om een voorkeurstype in te stellen voor IPv6-pakketten. Het sleutelwoord met IP-referentiewaarde is 0 voor routine, 1 voor prioriteit, 2 voor onmiddellijk, 3 voor flitser, 4 voor flitser, 5 voor kritisch, 6 voor internet, 7 voor netwerk. Stap 16. ICMP is alleen ingeschakeld wanneer u in Stap 11 het protocol van het ICMP kiest. Het wordt gebruikt om een foutmelding te verzenden wanneer de service niet beschikbaar is of wanneer een host of een router niet bereikt kan worden. Het wordt ook gebruikt voor relais query boodschappen. Alle Het kan een van de foutmeldingen of query-berichten zijn. Selecteer uit lijst De lijst bevat als volgt een vervolgkeuzelijst van de toegestane controleberichten - Doelbestemming onbereikbaar Het wordt gegenereerd door de host of de poort ervan om de client te informeren dat de bestemming om de een of andere reden onbereikbaar is (onbereikbare netwerk- of hostfout, enzovoort). - Packet Te groot De grootte van het Datagram wordt overschreden dan de gegeven MTU. - Tijd overschreden Het wordt gegenereerd door een poort om de bron te informeren van een afgedankte datagram vanwege de tijd om een veld te leven dat nul bereikt heeft. - Parameter Probleem Het wordt gegenereerd als een reactie op elke fout die niet specifiek door een ander ICMP-bericht wordt bestreken. - Echo-aanvraag Het is een ping, waarvan de gegevens naar verwachting zullen worden terugontvangen in een echo-antwoord. - Echo-reactie Het wordt gegenereerd in antwoord op een verzoek van echo. - MLD Query Het wordt gebruikt om te leren welke multicast-adressen luisteraars hebben op een aangesloten link. Type 130 in decimale volgorde. - MLD-rapport Het wordt gegenereerd wanneer IPv6-multicast adres waarnaar de berichtzender luistert - MLD V2 Report Het is hetzelfde als MLD Report met versie 2. - MPLS Gereed wanneer de host een groep verlaat, stuurt ze een multicast luisteraar via een bericht naar multicast routers op het netwerk

10 - Routersollicitatie Het is een boodschap van ontdekking van de router. De hosts ontdekken de adressen van hun naburige routers eenvoudig door naar advertenties te luisteren. Standaard = voor multicast, anders Routerreclame - De router multicast periodiek een routeradvertentie van elk van zijn multicast interfaces, waarbij de IP-adressen van die interface worden aangekondigd. - ND NS Berichten worden gegenereerd door knooppunten om het adres van de verbindingslaag van een ander knooppunt te vragen en ook voor functies zoals dubbele adresdetectie en onbereikbaarheidsdetectie van een buurtknooppunt - ND NA Berichten worden verstuurd als antwoord op NS-berichten. Als een knooppunt zijn link-laagadres wijzigt, kan het een ongevraagd netwerk verzenden om het nieuwe adres te adverteren Type ICMP om te passen De gebruiker moet een bereik tussen 0 en 255 invoeren om overeen te komen met de ICMP-besturingsberichten. Stap 17. De ICMP-code is alleen ingeschakeld wanneer u protocol-icmp uit stap 11 kiest. De code wordt gebruikt om specifiekere informatie over de controleberichten met een waarde te geven. Alle Het kan elke waarde zijn die overeenkomt met het controlebericht. Gebruikershandleiding De waarde wordt gedefinieerd vanuit het bereik tussen de 0-255, zodat deze overeenkomt met de controleberichten. Stap 18. Klik op Toepassen wat het IPv6-gebaseerde ACE schrijft voor het actieve configuratiebestand.