Access Control Lists (ACLs) konfigurieren
- Eine Access Control List (ACL) ist ein Regelwerk, das auf ein VLAN angewendet wird, um eingehenden und ausgehenden Datenverkehr zu kontrollieren. Sie wird verwendet, um Pakete basierend auf Kriterien wie IP-Adressen, Portnummern und Protokollen zuzulassen oder abzulehnen und so die Netzwerksicherheit zu erhöhen.
- Datenverkehr, der in ein oder aus einem VLAN fliesst, auf das ein ACL-Traffic-Filter-Profil angewendet wurde, wird basierend auf dem konfigurierten Regelwerk zugelassen oder abgelehnt.
- ACL-Regeln können für IPv4- und IPv6-Datenverkehr konfiguriert werden.
Jedes Paket wird von oben nach unten gegen die ACL-Liste geprüft:
- Regelauswertung: Beginnend mit der ersten Regel werden die Attribute des Pakets mit den Übereinstimmungskriterien verglichen.
- Zulassen oder Ablehnen: Wenn das Paket mit einer Regel übereinstimmt, wird die angegebene Aktion (Zulassen oder Ablehnen) angewendet und der Prozess wird gestoppt.
- Weiter zur nächsten Regel: Wenn das Paket nicht übereinstimmt, wird es mit der nächsten Regel in der Liste verglichen.
- Standardregel: Wenn keine Regel übereinstimmt, wird dem Paket standardmässig implizit der Zugang verweigert.
Konfiguration
ACL-Traffic-Filter-Profil erstellen
- Klicken Sie unter Settings auf ACL traffic filter profile und dann auf (+)
- Geben Sie unter Label einen Namen für das Profil ein
- Die Regeln spezifizieren nun die IP-Pakete, die kontrolliert werden sollen
- Klicken Sie bei Bedarf auf die Standardregel und ändern Sie die Standardaktion (Standard ist deny)
- Fügen Sie eine neue Regel hinzu, indem Sie auf + Rule klicken, und geben Sie dann die Beschreibung und Aktion der Regel ein.
- Wählen Sie die IP Version (IPv4 oder IPv6).
- Fügen Sie ein neues Übereinstimmungskriterium mit folgenden Attributen hinzu:
- Source prefix: Geben Sie eine IPv4- oder IPv6-Adresse und ein Präfix ein. Leer lassen für Any.
- Destination prefix: Geben Sie eine IPv4- oder IPv6-Adresse und ein Präfix ein. Leer lassen für Any.
- Protocol: Protokoll auswählen. Für TCP und UDP können Quell- und Zielportnummern angegeben werden.
- DSCP: Geben Sie den DSCP-Wert als Dezimalzahl ein. Leer lassen für Any.
- Source Port: Geben Sie den Quellport-Wert ein. Leer lassen für Any.
- Destination Port: Geben Sie den Zielport-Wert ein. Leer lassen für Any.
- TCP Established: Erlaubt TCP-Datenverkehr nur, wenn er Teil einer bereits bestehenden Verbindung ist (ACK- oder RST-Flag gesetzt).
- Klicken Sie bei Bedarf auf + Match Criteria und fügen Sie weitere Übereinstimmungskriterien hinzu.
- Klicken Sie bei Bedarf auf + Rule und fügen Sie weitere Regeln hinzu. Bitte beachten Sie die Reihenfolge der Regeln. Die erste übereinstimmende Regel wird angewendet.
- Einträge speichern
ACLs sind zustandslos und bewerten jedes Paket separat, basierend ausschliesslich auf IP-Adressen und Ports. Für TCP-Datenverkehr müssen ACLs auch den Rückweg explizit zulassen.
IPv6-ACL-Regeln sind nur wirksam, wenn IPv6 auf dem entsprechenden VLAN und Access VPN aktiviert ist. Weitere Informationen finden Sie unter:
ACL-Traffic-Filter-Profil anwenden
- Öffnen Sie unter Location > VLANs das VLAN, auf das die ACL angewendet werden soll.
- Aktivieren Sie IPv4 ACL, IPv6 ACL oder beides, je nach gewünschter Datenverkehrsfilterung.
- Wählen Sie im Dropdown für eingehenden Datenverkehr das ACL-Traffic-Filter-Profil für die Ingress-Richtung.
- Wählen Sie im Dropdown für ausgehenden Datenverkehr das ACL-Traffic-Filter-Profil für die Egress-Richtung.
- Konfigurationsauftrag absenden
Bei der Konfiguration von ACLs auf einem VLAN ist es wichtig, die Richtung aus der Perspektive der CPE-Netzwerkschnittstelle zu betrachten. So interpretieren Sie die Datenverkehrsrichtungen:
- Ingress-Richtung: Dies bezieht sich auf Datenverkehr, der vom VLAN in das CPE eintritt. Im Wesentlichen sind das die Daten, die von einem LAN-Client zum CPE fliessen.
- Egress-Richtung: Dies bezieht sich auf Datenverkehr, der das CPE verlässt und zum VLAN fliesst. Es handelt sich um Daten, die von der CPE-Schnittstelle zum VLAN fliessen.
Das Ändern eines ACL-Traffic-Filter-Profils, das an ein VLAN gebunden ist, deaktiviert die ACL vorübergehend, was dazu führt, dass die Datenweiterleitung während der Auftragsverarbeitung unterbrochen wird. Dies kann den Netzwerkbetrieb am Standort erheblich beeinträchtigen.