Zugriffssteuerung
Zugriffssteuerungslisten
Wenn ein Paket mit einem ACE-Filter übereinstimmt, wird die ACE-Aktion durchgeführt und die Verarbeitung
dieser ACL gestoppt. Wenn das Paket nicht mit dem ACE-Filter übereinstimmt, wird das nächste ACE
verarbeitet. Wenn alle ACEs einer ACL abgearbeitet worden sind, ohne dass eine Übereinstimmung gefunden
wurde, und wenn eine weitere ACL vorhanden ist, wird diese in ähnlicher Weise abgearbeitet.
HINWEIS
Wenn IGMP-/MLD-Snooping an einem Port aktiviert ist, der mit einer ACL verknüpft ist, fügen Sie der ACL
ACE-Filter zum Weiterleiten der GMP-/MLD-Pakete an das Gerät hinzu. Anderenfalls schlägt das IGMP-/
MLD-Snooping am Port fehl.
Die Reihenfolge der ACEs innerhalb der ACL ist von Bedeutung, da jeweils das erste passende ACE
angewendet wird. Die ACEs werden nacheinander verarbeitet, beginnend mit dem ersten.
ACLs können zu Sicherheitszwecken angewendet werden, z. B. indem bestimmten Datenverkehrsflüssen
Zugang gewährt oder verweigert wird, oder auch zur Klassifikation und Priorisierung von Datenverkehr im
erweiterten QoS-Modus.
HINWEIS
Pro Port kann es nur eine ACL geben, jedoch ist es ausnahmsweise möglich, einem einzelnen Port sowohl
eine IP-basierte als auch eine IPv6-basierte ACL zuzuordnen.
Um mehrere ACLs mit einem Port zu verknüpfen, müssen Sie eine Richtlinie mit mindestens einer
Klassenzuordnung verwenden.
Es können die folgenden Arten von ACLs definiert werden (abhängig davon, welcher Teil des Frame-
Headers geprüft wird):
•
MAC-ACL: Nur Felder der Schicht 2 werden geprüft, wie in Definieren MAC-basierter ACLs
beschrieben.
•
IP-ACL: Schicht 3 von IP-Frames wird geprüft, wie in IPv4-basierte ACLs beschrieben.
•
IPv6-ACL: Schicht 3 von IPv4-Frames wird geprüft, wie in
beschrieben.
Wenn ein Frame mit einem Filter in einer ACL übereinstimmt, wird er als ein „Flow" mit dem Namen dieser
ACL definiert. Bei der erweiterten QoS kann für den Verweis auf diese Frames der Flow-Name verwendet
werden und QoS kann auf diese Frames angewendet werden.
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
Wenn mit keinem der ACEs in keiner der relevanten ACLs eine Übereinstimmung
gefunden wird, erfolgt eine Drop-Aktion für das Paket (als Standardaktion). Wegen
dieser standardmäßigen Drop-Aktion müssen Sie in der ACL ausdrücklich ACEs
hinzufügen, um den gewünschten Datenverkehr, einschließlich Verwaltungsverkehr
wie z. B. Telnet, HTTP oder SNMP, zuzulassen, der direkt an das Gerät selbst
gerichtet ist. Wenn Sie beispielsweise nicht alle Pakete verwerfen möchten, die
nicht den Bedingungen in einer ACL entsprechen, müssen Sie in der ACL, die den
gesamten Verkehr zulässt, explizit ein ACE mit der niedrigsten Priorität hinzufügen.
Ein Port kann entweder durch eine ACL gesichert oder mit einer erweiterten QoS-
Richtlinie konfiguriert werden, beides gleichzeitig ist jedoch nicht möglich.
Definieren einer IPv6-basierten ACL
25
474