Zum Inhalt
Klicken Sie hier, um die Dokumentation der lokal verwalteten Switches einschließlich der CLI- und API-Handbücher zu öffnen.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=switch-management-security

Sicherheit

Sie können Sicherheitseinstellungen für Sophos Switch konfigurieren, z. B. DoS-Schutz, 802.1X-Authentifizierung, Port-Sicherheit, und RADIUS- und TACACS+-Server hinzufügen und entfernen.

DoS

Sophos Switch kann auf Denial-of-Service-Angriffe (DoS) überwachen und diese blockieren. Ein DoS-Angriff ist Netzwerkverkehr, der einen Host überfordern und seine Verbindung zum Netzwerk unterbrechen soll.

Wählen Sie Ein oder Aus, um den DoS-Schutz ein- oder auszuschalten. Wählen Sie Nicht festgelegt aus, um die lokal auf dem Switch konfigurierten Einstellungen zu verwenden.

Klicken Sie nach dem Ein- oder Ausschalten von DoS auf Aktualisieren, um Ihre Änderungen zu speichern.

Wenn Sie DoS einschalten, verwirft der Switch Pakete, die den folgenden Arten von DoS-Angriffen entsprechen:

  • Ziel-MAC entspricht Quell-MAC: Verwirft Datenverkehr, wenn Quell- und Ziel-MAC-Adressen identisch sind.
  • LAND-Angriff-Ziel-IP gleich Quell-IP (IPv4/IPv6): Verwirft Pakete, bei denen die Quell- und Ziel-IP-Adressen identisch sind.

  • TCP Blat (Ziel-TCP-Port gleich dem Quell-TCP-Port): Verwirft TCP-Pakete, bei denen die TCP-Quell- und TCP-Zielports identisch sind.

    Note

    Der NTP-Client (Network Time Protocol) verwendet manchmal denselben Quell- und Zielport. Wenn Sie den DoS-Schutz aktivieren, erkennt Sophos Switch diesen als TCP-Blat-Angriff und verwirft die Pakete. Wir empfehlen, den DoS-Schutz zu deaktivieren, wenn Sie ältere NTP-Clients ausführen, die dieselben Quell- und Zielports verwenden.

  • UDP Blat (Ziel-UDP Port gleich Quell-UDP Port): Verwirft UDP-Pakete, bei denen die UDP-Quell- und Zielports identisch sind.

  • Ping of Death (IPv4/IPv6): Verwirft Pakete mit einer Länge von mehr als 64 KB durch Fragmente.
  • IPv6 Minimum Fragment (Byte): Begrenzt die Mindestgröße von IPv6-Fragmenten auf 1240 Byte.
  • ICMP-Fragmente (IPv4/IPv6): Verwirft fragmentierte ICMP-Pakete.
  • IPv4-Ping Max. Größe: Begrenzt die maximale Länge eines IPv4-Ping-Pakets auf 512 Byte.
  • IPv6-Ping Max. Größe: Begrenzt die maximale Länge eines IPv6-Ping-Pakets auf 512 Byte.
  • Smurf Attack (Netmask Length): Begrenzt die Netzmasken-Länge von Broadcast-ICMP-Paketen auf 24 (x.x.x.255).
  • TCP Minimum Header Size (Bytes): Begrenzt die Mindestgröße des TCP-Headers auf 20 Byte.
  • TCP-SYN: Verwirft TCP-Pakete, bei denen das SYN-Flag gesetzt ist, das ACK-Flag nicht gesetzt ist und der Quellport kleiner als 1024 ist.
  • Null Scan: Verwirft TCP-Pakete, bei denen keine Flags gesetzt sind und die Sequenznummer Null ist.
  • Xmas: Verwirft TCP-Pakete mit der Sequenznummer Null und den FIN-, URG- und PSH-Flags.
  • TCP SYN-FIN: Verwirft TCP-Pakete mit festgelegten SYN- und FIN-Flags.
  • TCP SYN-RST: Verwirft TCP-Pakete mit festgelegten SYN- und RST-Flags.

802.1X

Sophos Switch unterstützt Port-basierte 802.1X Network Access Control zur Authentifizierung von Benutzern und Geräten über einen RADIUS- oder TACACS+-Server.

Globale Einstellungen

Auf der Registerkarte Globale Einstellungen können Sie die 802.1X-Authentifizierung aktivieren oder deaktivieren. Sie können auch Gast-VLAN-Zuweisungen verwalten, die Gast-VLAN-ID festlegen und die Authentifizierungsmethode auswählen.

Sie können die folgenden globalen Einstellungen konfigurieren:

  • Status: Wählen Sie Ein oder Aus, um die 802.1X-Authentifizierung ein- oder auszuschalten. Wählen Sie Nicht festgelegt aus, um die lokal auf dem Switch konfigurierten Einstellungen zu verwenden.
  • Gast-VLAN: Wählen Sie On oder Off. Sie müssen Ein auswählen, um eine Gast-VLAN-ID festzulegen. Wählen Sie Nicht festgelegt, um lokal auf dem Switch konfigurierte Einstellungen zu verwenden.
  • Gast-VLAN-ID: Wählen Sie ein VLAN aus der Liste der definierten VLANs aus.
  • Authentifizierungsmethode: Wählen Sie Lokaler Benutzer, RADIUS oder TACACS+ aus der Dropdown-Liste aus.

Konfigurationsquelle zeigt den Ursprung der Einstellungen an.

Klicken Sie auf Aktualisieren, um die Einstellungen zu speichern, oder auf Löschen, um nicht gespeicherte Änderungen zu löschen.

Port-Einstellungen

Auf der Registerkarte Port-Einstellungen können Sie die Port-Einstellungen konfigurieren und die Authentifizierung mit 802.1X, MAC Authentication Bypass (MAB) oder einer Kombination aus beidem festlegen. Informationen zur Konfiguration von MAB finden Sie unter MAC Authentication Bypass (MAB) konfigurieren.

Wählen Sie die Ports aus, die Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

Sie können die folgenden Optionen konfigurieren:

  • Modus: Wählen Sie den Port-Modus aus den folgenden Optionen aus:

    • Nicht festgelegt: Verwenden Sie die Einstellungen, die lokal auf dem Switch konfiguriert wurden.
    • Auto: Aktivieren Sie die 802.1X-Authentifizierung auf der Schnittstelle. Wenn Sie Host-basiert für die Authentifizierungsmethode verwenden, müssen Sie Automatisch auswählen.
    • Authentifizierung erzwingen: Blockiert unauthentifizierten Traffic auf der Schnittstelle.
    • Nicht-Authentifizierung erzwingen: Lässt sämtlichen unauthentifizierten Traffic auf der Schnittstelle zu.

  • MAB-Modus: Wählen Sie den MAB-Modus aus den folgenden Optionen aus:

    • Nicht festgelegt: Verwenden Sie die Einstellungen, die lokal auf dem Switch konfiguriert wurden.
    • MAB: Nur MAB verwenden.
    • Hybrid: Versuchen Sie zuerst, sich mit 802.1X zu authentifizieren. Nach drei Fehlversuchen verwendet der Switch stattdessen MAB.
    • Deaktiviert: Verwenden Sie MAB nicht.

  • Authentisierungsmethode: Wählen Sie den Authentifizierungsmodus aus den folgenden Optionen aus:

    • Nicht festgelegt: Verwenden Sie die Einstellungen, die lokal auf dem Switch konfiguriert wurden.
    • Port-basiert: Authentifiziert an jedem Port angeschlossene Hosts.
    • Host-basiert: Authentifiziert den gesamten Traffic an einem einzigen Port.

  • Maximale Hosts: Diese Einstellung gilt nur, wenn die Authentifizierungsmethode auf Host-basiert eingestellt ist. Sie legt die maximale Anzahl an Hosts fest, die mit einem Port verbunden werden können. Legen Sie einen Wert von 1 bis 10 fest.

  • Gast-VLAN: Aktiviert oder deaktiviert Gast-VLAN. Sie müssen diese Option deaktivieren, wenn Sie Host-basiert als Authentifizierungsmethode verwenden.
  • RADIUS VLAN-Zuweisung: Aktiviert oder deaktiviert die RADIUS-VLAN-Zuweisung. Sie müssen diese Option deaktivieren, wenn Sie Host-basiert als Authentifizierungsmethode verwenden.
  • Erneute Authentisierung: Aktiviert oder deaktiviert die erneute Port-Authentifizierung.
  • Zeitraum für erneute Authentisierung: Die Zeit in Sekunden, bis sich der Port neu authentifizieren muss. Legen Sie einen Wert von 30 bis 65535 fest. Die Standardeinstellung ist 3600.
  • Stiller Zeitraum: Die Zeit in Sekunden, bis der Switch versucht, sich nach einem fehlgeschlagenen Authentifizierungsversuch erneut zu authentifizieren. Legen Sie einen Wert von 0 bis 65535 fest. Die Standardeinstellung ist 60.
  • Anfragesteller-Zeitraum: Diese Einstellung steuert die Häufigkeit in Sekunden, mit der der Switch EAP-Anfragen sendet. Der Switch sendet in diesem Intervall drei Anfragen, bevor er zu MAB wechselt. Legen Sie einen Wert von 0 bis 65535 fest. Die Standardeinstellung ist 30.
  • Autorisierungsstatus: Zeigt den Authentifizierungsstatus des angegebenen Ports an.

Konfigurationsquelle zeigt den Ursprung der Port-Einstellungen an.

Klicken Sie auf Aktualisieren, um die Einstellungen zu speichern, oder auf Löschen, um nicht gespeicherte Änderungen zu löschen.

Authentifizierter Host

Auf der Registerkarte Authentifizierter Host werden Informationen zu authentifizierten Hosts angezeigt.

Port-Sicherheit

Auf der Registerkarte Port-Sicherheit können Sie die Anzahl der MAC-Adressen begrenzen, die der Switch auf einem bestimmten Port lernen kann.

Sie können die folgenden Optionen konfigurieren:

  • Port: Der Port, auf den die Einstellungen angewendet werden.
  • Status: Wählen Sie Aktiviert oder Deaktiviert, um Port-Sicherheit ein- oder auszuschalten.
  • Maximale Anzahl an MAC-Adressen: Geben Sie die maximale Anzahl an MAC-Adressen ein, die der Switch auf dem angegebenen Port lernen kann. Die Nummer muss im Bereich von 1 bis 256 liegen.

Konfigurationsquelle zeigt den Ursprung der Port-Sicherheitseinstellungen an.

Klicken Sie auf Aktualisieren, um die Einstellungen zu speichern, oder auf Löschen, um nicht gespeicherte Änderungen zu löschen.

RADIUS-Server

Sie können einen RADIUS-Server verwenden, um Benutzer zu authentifizieren, die auf ein Netzwerk zugreifen. Der RADIUS-Server unterhält eine Benutzerdatenbank, die Authentifizierungsinformationen enthält. Der Switch leitet Informationen an den RADIUS-Server weiter, um einen Benutzer zu authentifizieren, bevor er den Netzwerkzugriff autorisiert.

Sie können die folgenden Optionen konfigurieren:

  • Server-ID: Die ID des RADIUS-Servers.
  • Server-IP: Die IP-Adresse des RADIUS-Servers.
  • Autorisierter Port: Der Port, der für die Kommunikation mit dem RADIUS-Server verwendet wird. Der Standardport ist 1812.
  • Vereinbarter Schlüssel: Die Zeichenfolge, die für die Verschlüsselung der gesamten RADIUS-Kommunikation zwischen dem Gerät und dem RADIUS-Server verwendet wird.
  • Zeitüberschreitung: Die Zeit, die das Gerät auf eine Antwort vom RADIUS-Server wartet, bevor es zum nächsten Server wechselt. Die Standardeinstellung ist 3.
  • Wiederholen: Die Anzahl der an den RADIUS-Server gesendeten Anfragen, bevor ein Fehler auftritt. Die Standardeinstellung ist 3.

Konfigurationsquelle zeigt den Ursprung der RADIUS-Servereinstellungen an.

Um einen neuen RADIUS-Servereintrag zu erstellen, klicken Sie auf Hinzufügen.

Um RADIUS-Servereinträge zu löschen, wählen Sie die Server aus, die Sie entfernen möchten, und klicken Sie auf Löschen.

TACACS+-Server

TACACS+-Server bieten eine zentrale Authentifizierung für den Netzwerkzugriff. TACACS+ wird hauptsächlich für die Verwaltung von Netzwerkgeräten verwendet.

Sie können die folgenden Optionen konfigurieren:

  • Server-IP: Die IP-Adresse des TACACS+-Servers.
  • Priorität: Die Priorität des TACACS+-Servers. Die Priorität bestimmt, welcher Server zuerst für die Authentifizierung kontaktiert wird, wenn Sie mehr als einen TACACS+-Server haben.
  • Autorisierter Port: Der Port, über den der Server zur Authentifizierung kommuniziert. Der Standardport ist 49.
  • Vereinbarter Schlüssel: Der Verschlüsselungsschlüssel, der auf Ihrem TACACS+-Server konfiguriert ist. Dieser muss exakt mit Ihrem TACACS+-Server übereinstimmen.
  • Zeitüberschreitung: Zeitlimit in Sekunden. Die Zeitüberschreitung gibt an, wie lange Sophos Switch auf eine Authentifizierungsantwort wartet, bevor der nächste TACACS+-Server in der Liste versucht wird. Die Standardeinstellung ist 5.

Konfigurationsquelle zeigt den Ursprung der RADIUS-Servereinstellungen an.

Um einen neuen TACACS+-Servereintrag zu erstellen, klicken Sie auf Hinzufügen.

Um TACACS+-Servereinträge zu löschen, wählen Sie die Server aus, die Sie entfernen möchten, und klicken Sie auf Löschen.

MAC-ACL und ACE

Die Registerkarte MAC-ACL und ACE zeigt die derzeit definierten MAC-basierten ACLs an.

MAC-ACL

Um eine neue ACL hinzuzufügen, klicken Sie auf Hinzufügen, geben Sie einen Namen mit 4 bis 30 Buchstaben und Zahlen ein und klicken Sie auf Speichern.

Folgende Details werden für MAC-ACLs angezeigt:

  • Profilname: Der Name der ACL.
  • Konfigurationsquelle: Zeigt die Quelle der Einstellungen für die angegebene ACL an.

Um ACLs zu löschen, wählen Sie die zu entfernenden ACLs aus und klicken Sie auf Löschen.

Note

Wenn Sie versuchen, eine ACL mit ACEs zu löschen, erhalten Sie eine Warnung. Sie müssen entweder die ACEs bearbeiten und sie in eine andere ACL verschieben oder auf Konflikte beheben klicken, die zu entfernenden Einträge auswählen und auf Abhängigkeiten löschen klicken, um die ACEs zusammen mit der ACL zu löschen.

MAC-ACE

Zugriffssteuerungseinträge (ACEs) sind Regeln, die die Traffic-Klassifizierungen für Zugriffssteuerungslisten (ACLs) bestimmen. Sie können MAC-Adress-ACEs basierend auf Kriterien wie Quell- und Ziel-MAC-Adressen und -Masken, VLAN-IDs und Dienstqualität (QoS) definieren.

Die Registerkarte MAC-ACE zeigt Details der auf Ihrem Switch konfigurierten MAC-ACEs an.

Um einen neuen MAC-ACE zu erstellen, klicken Sie auf Hinzufügen, konfigurieren Sie den ACE und klicken Sie auf Speichern. Anschließend werden Ihre Einstellungen gespeichert.

Um einen ACE zu löschen, wählen Sie die ACEs aus, die Sie entfernen möchten, und klicken Sie auf Löschen.

Um die Einstellungen eines ACE zu aktualisieren, klicken Sie auf Bearbeiten Schaltfläche „Bearbeiten“..

Sie können die folgenden Einstellungen konfigurieren:

  • ACL-Name: Die ACL, zu der der ACE gehört.
  • Sequenz: Die Sequenznummer ist die Reihenfolge, in der der Switch den ACE anwendet. Wählen Sie einen Wert von 1 bis 2147483647, wobei 1 die erste verarbeitete Regel ist.
  • Aktion: Die vom Switch vorgenommene Maßnahme, wenn ein Paket den Kriterien entspricht. Wählen Sie Erlauben, um Traffic weiterzuleiten, der den ACE-Kriterien entspricht, oder Verweigern, um ihn zu verwerfen.
  • VLAN-ID: Die VLAN-ID, zu der die MAC-Adresse gehört. Die Nummer muss im Bereich von 1 bis 4094 liegen. Lassen Sie das Feld für VLANs leer.
  • Quell-MAC-Adresse: Die MAC-Adresse, von der der Traffic stammt.
  • Quell-MAC-Adressmaske: Die Platzhalter-Maske für die Quell-MAC-Adresse. Sie können jede Kombination von f und 0 verwenden. f entspricht genau den angegebenen Bits. 0 steht für beliebige Bits. Siehe Beispiele.
  • Ziel-MAC-Adresse: Die MAC-Adresse, an die der Traffic gesendet wird.
  • Ziel-MAC-Adressmaske: Die Platzhalter-Maske für die Ziel-MAC-Adresse. Sie können jede Kombination von f und 0 verwenden. f entspricht genau den angegebenen Bits. 0 steht für beliebige Bits. Siehe Beispiele.
  • 802.1p-Wert: 802.1p ist ein QoS-Prioritätsstandard. Wählen Sie einen Wert von 0 bis 7 aus. 0 ist die niedrigste Priorität. Siehe QoS.
  • EtherType-Wert: EtherType ist ein Hexadezimalwert, der das verwendete Protokoll angibt und die Grundlage für das VLAN-Tagging nach 802.1Q bildet. Sie können diese Option nur verwenden, um Ethernet II-formatierte Pakete zu filtern. Siehe Ethertypes.

Konfigurationsquelle zeigt die Quelle der Einstellungen des MAC-ACE an.

Beispiele

Hier sind einige Beispiele, wie Sie Platzhalter-Masken für MAC-Adressen verwenden.

Genaue Übereinstimmung

Die MAC-Adresse a1:b2:c3:d4:e5:66 mit der Platzhalter-Maske ff:ff:ff:ff:ff:ff stimmt nur mit a1:b2:c3:d4:e5:66 überein.

Teilweise Übereinstimmung

Die MAC-Adresse a1:b2:c3:d4:e5:66 mit der Platzhalter-Maske ff:ff:ff:00:00:00 stimmt mit jeder MAC-Adresse überein, die mit a1:b2:c3 beginnt, unabhängig davon, welche Bits die letzten drei Oktette enthalten.

IPv4 ACL und ACE

Die Registerkarte IPv4 ACL und ACE zeigt die auf dem Switch konfigurierten IPv4-basierten ACLs an.

IPv4-ACL

Um eine neue ACL hinzuzufügen, klicken Sie auf Hinzufügen, geben Sie den Namen (mit 4 bis 30 Buchstaben und Zahlen) der neuen ACL ein und klicken Sie auf Speichern.

Folgende Details werden für IPv4-ACLs angezeigt:

  • Profilname: Der Name der ACL.
  • Konfigurationsquelle: Zeigt die Quelle der Einstellungen für die angegebene ACL an.

Um ACLs zu löschen, wählen Sie die zu entfernenden ACLs aus und klicken Sie auf Löschen.

Note

Wenn Sie versuchen, eine ACL mit ACEs zu löschen, erhalten Sie eine Warnung. Sie müssen entweder die ACEs bearbeiten und sie in eine andere ACL verschieben oder auf Konflikte beheben klicken, die zu entfernenden Einträge auswählen und auf Abhängigkeiten löschen klicken, um die ACEs zusammen mit der ACL zu löschen.

IPv4-ACE

Jede IPv4-Zugriffssteuerungsliste (ACL) enthält bis zu 16 einzelne Regeln, die als Zugriffssteuerungseinträge (ACEs) bezeichnet werden. Jeder ACE steht für eine Gruppe von Parametern für spezifischen Netzwerk-Traffic und die Aktion des Switch, wenn er übereinstimmenden Traffic identifiziert.

Um einen neuen IPv4-ACE zu erstellen, klicken Sie auf Hinzufügen.

Um ACEs zu löschen, wählen Sie die zu entfernenden ACEs aus und klicken Sie auf Löschen.

Um die Einstellungen eines ACE zu aktualisieren, klicken Sie auf Bearbeiten Schaltfläche „Bearbeiten“..

Sie können die folgenden Einstellungen konfigurieren:

  • ACL-Name: Die ACL, zu der der ACE gehört.
  • Sequenz: Die Sequenznummer ist die Reihenfolge, in der der Switch den ACE anwendet. Wählen Sie einen Wert von 1 bis 2147483647, wobei 1 die erste verarbeitete Regel ist.
  • Aktion: Die vom Switch vorgenommene Maßnahme, wenn ein Paket den Kriterien entspricht. Wählen Sie Erlauben, um Traffic weiterzuleiten, der den ACE-Kriterien entspricht, oder Verweigern, um ihn zu verwerfen.
  • Dienst-Typ: Ermöglicht Ihnen, den Wert der Differentiated Services Field Codepoints (DSCP) festzulegen. Geben Sie einen Wert von 0 bis 63 ein. Siehe Differentiated Services Field Codepoints (DSCP).
  • IP-Adresse der Quelle: Die Quell-IP-Adresse für den Traffic.
  • Quell-Netzmaske: Die Subnetzmaske der Quell-IP-Adresse.
  • Ziel-IP-Adresse: Die Ziel-IP-Adresse für den Traffic.
  • Ziel-Netzmaske: Die Subnetzmaske für die Ziel-IP-Adresse.
  • Ziel-Portbereich: Wählen Sie einen Zielportbereich für den Traffic aus. Siehe Portbereich.
  • Quell-Portbereich: Wählen Sie einen Quellportbereich für den Traffic aus. Siehe Portbereich.

  • Protocol: Wählen Sie eine der folgenden Optionen aus der Dropdown-Liste aus:

    • Beliebig: Stimmt mit allen Protokollen überein.

    • Aus Liste auswählen: Wählen Sie eines der folgenden Protokolle aus der Protokollliste aus:

      • IPv4:ICMP: Über das Internet Control Message Protocol (ICMP) kann der Gateway oder der Zielhost mit dem Quellhost kommunizieren.
      • IPinIP: IP in IP kapselt IP-Pakete ein, um Tunnel zwischen zwei Routern zu erstellen. Ein IP-in-IP-Tunnel wird als eine einzige Schnittstelle anstelle mehrerer separater Schnittstellen angezeigt.
      • TCP: Über das Transmission Control Protocol (TCP) können zwei Hosts kommunizieren und Datenstreams austauschen. Es garantiert die Paketzustellung und stellt sicher, dass Pakete in der gesendeten Reihenfolge übertragen und empfangen werden.
      • EGP: Über das Exterior Gateway Protocol (EGP) können zwei benachbarte Gateway-Hosts Routinginformationen in einem Netzwerk mit autonomem System austauschen.
      • IGP: Das Interior Gateway Protocol (IGP) ermöglicht den Austausch von Routinginformationen zwischen Gateways innerhalb eines Netzwerks mit autonomem System.
      • UDP: Das User Datagram Protocol (UDP) ist ein Kommunikationsprotokoll, das Pakete überträgt, aber keine Zustellung garantiert.
      • HMP: Das Host Mapping Protocol (HMP) sammelt Netzwerkinformationen von verschiedenen Hosts. Es überwacht Hosts im Internet und innerhalb eines einzelnen Netzwerks.
      • RDP: Das Reliable Data Protocol (RDP) ähnelt TCP, garantiert die Paketzustellung, erfordert jedoch keine sequenzierte Zustellung.
      • IPv6:Rout: Routing-Header für IPv6.
      • IPv6:Frag: Fragment-Header für IPv6.
      • RSVP: Ordnet das Paket dem Reservierungsprotokoll (RSVP) zu.
      • IPv6:ICMP: Über das Internet Control Message Protocol (ICMP) kann der Gateway oder der Zielhost mit dem Quellhost kommunizieren.
      • OSPF: Das OSPF-Protokoll (Open Shortest Path First) ist ein dynamisches Routing-Protokoll, das auf einem Link-State-Algorithmus basiert.
      • PIM: Ordnet das Paket dem Protocol Independent Multicast (PIM) zu.
      • L2TP Das Layer 2 Tunneling Protocol (L2TP) unterstützt die Erstellung von VPNs durch ISPs.

    • Durch ID auswählen: Geben Sie eine Protokoll-ID von 0 bis 255 ein. Siehe Protokollnummern.

  • ICMP: Wählen Sie eine der folgenden Optionen aus der Dropdown-Liste aus:

    • Beliebig: Ordnet den gesamten ICMP-Traffic zu.

    • Aus Liste auswählen: Wählen Sie eine der folgenden Optionen aus der ICMP-Liste aus:

      • Echo-Antwort: Die Antwort, die ein Gerät sendet, nachdem es eine ICMP-Echo-Anforderung erhalten hat.
      • Ziel nicht erreichbar: Das ICMP-Paket konnte sein Ziel nicht erreichen.
      • Quelldrosselung: ICMP-Nachricht, die von einem Router gesendet wird, um die Netzwerküberlastung in stark frequentierten Umgebungen zu verringern.
      • Echo-Anforderung: Eine Nachricht, die von einem Gerät an ein anderes gesendet wird, um zu überprüfen, ob eine Kommunikation möglich ist, und um die benötigte Zeit zu messen.
      • Router Advertisement: Eine Nachricht, die ein Gerät sendet, um seine Verfügbarkeit als Router anzukündigen.
      • Router-Anfrage: Eine Nachricht, die von einem Host gesendet wird, um Routerinformationen anzufordern.
      • Zeitüberschreitung: Diese Nachricht zeigt an, dass die Lebensdauer (TTL) des ICMP-Pakets während der Übertragung abgelaufen ist.
      • Zeitstempel: Zeitstempel können zu ICMP-Nachrichten hinzugefügt werden, um aufzuzeichnen, wann sie gesendet werden.
      • Zeitstempel-Antwort: Wenn ein Gerät ein ICMP-Paket mit einem Zeitstempel erhält, kann es den Zeitstempel aufzeichnen und sein Zeitstempel-Antwortfeld zum ICMP-Paket hinzufügen.
      • Traceroute: Zeigt alle Router an, die ein Paket auf dem Weg zu seinem Ziel passiert.

    • Durch ID auswählen: Geben Sie einen Wert von 0 bis 255 für ICMP-ID ein.

  • ICMP-Code: Geben Sie einen Wert von 0 bis 255 ein. Siehe Parameter für Internet Control Message Protocol (ICMP).

  • TCP-Flags: Sie können den TCP-Traffic filtern, je nachdem, ob die Flags Urg, Ack, Psh, Rst, Syn und Fin Festgelegt oder Nicht festgelegt sind. Wählen Sie Egal, um TCP-Flags zu ignorieren.

Konfigurationsquelle zeigt die Quelle der Einstellungen des IPv4-ACE an.

IPv6 ACL und ACE

Die Registerkarte IPv6 ACL und ACE zeigt die auf dem Switch konfigurierten IPv6-basierten ACLs an.

IPv6-ACL

Um eine neue ACL hinzuzufügen, klicken Sie auf Hinzufügen, geben Sie den Namen (mit 4 bis 30 Buchstaben und Zahlen) der neuen ACL ein und klicken Sie auf Speichern.

Folgende Details werden für IPv4-ACLs angezeigt:

  • Profilname: Der Name der ACL.
  • Konfigurationsquelle: Zeigt die Quelle der Einstellungen für die angegebene ACL an.

Um ACLs zu löschen, wählen Sie die zu entfernenden ACLs aus und klicken Sie auf Löschen.

Note

Wenn Sie versuchen, eine ACL mit ACEs zu löschen, erhalten Sie eine Warnung. Sie müssen entweder die ACEs bearbeiten und sie in eine andere ACL verschieben oder auf Konflikte beheben klicken, die zu entfernenden Einträge auswählen und auf Abhängigkeiten löschen klicken, um die ACEs zusammen mit der ACL zu löschen.

IPv6-ACE

Jede IPv6-Zugriffssteuerungsliste (ACL) enthält bis zu 16 einzelne Regeln, die als Zugriffssteuerungseinträge (ACEs) bezeichnet werden. Jeder ACE steht für eine Gruppe von Parametern für spezifischen Netzwerk-Traffic und die Aktion des Switch, wenn er übereinstimmenden Traffic identifiziert.

Um einen neuen IPv6-ACE zu erstellen, klicken Sie auf Hinzufügen.

Um ACEs zu löschen, wählen Sie die zu entfernenden ACEs aus und klicken Sie auf Löschen.

Um die Einstellungen eines ACE zu aktualisieren, klicken Sie auf Bearbeiten Schaltfläche „Bearbeiten“..

Sie können die folgenden Einstellungen konfigurieren:

  • ACL-Name: Die ACL, zu der der ACE gehört.
  • Sequenz: Die Sequenznummer ist die Reihenfolge, in der der Switch den ACE anwendet. Wählen Sie einen Wert von 1 bis 2147483647, wobei 1 die erste verarbeitete Regel ist.
  • Aktion: Die vom Switch vorgenommene Maßnahme, wenn ein Paket den Kriterien entspricht. Wählen Sie Erlauben, um Traffic weiterzuleiten, der den ACE-Kriterien entspricht, oder Verweigern, um ihn zu verwerfen.
  • Dienst-Typ: Ermöglicht Ihnen, den Wert der Differentiated Services Field Codepoints (DSCP) festzulegen. Geben Sie einen Wert von 0 bis 63 ein. Siehe Differentiated Services Field Codepoints (DSCP).
  • IP-Adresse der Quelle: Die Quell-IP-Adresse für den Traffic.
  • Quell-IPv6-Präfixlänge: Die IPv6-Präfixlänge für die Quell-IPv6.
  • Ziel-IP-Adresse: Die Ziel-IP-Adresse für den Traffic.
  • Ziel-IPv6-Präfixlänge: Die IPv6-Präfixlänge für die Ziel-IPv6.
  • Ziel-Portbereich: Wählen Sie einen Zielportbereich für den Traffic aus. Siehe Portbereich.
  • Quell-Portbereich: Wählen Sie einen Quellportbereich für den Traffic aus. Siehe Portbereich.

  • Protocol: Wählen Sie eine der folgenden Optionen aus der Dropdown-Liste aus:

    • Beliebig: Stimmt mit allen Protokollen überein.

    • Aus Liste auswählen: Wählen Sie eines der folgenden Protokolle aus der Protokollliste aus:

      • TCP: Über das Transmission Control Protocol (TCP) können zwei Hosts kommunizieren und Datenstreams austauschen. Es garantiert die Paketzustellung und stellt sicher, dass Pakete in der gesendeten Reihenfolge übertragen und empfangen werden.
      • UDP: Das User Datagram Protocol (UDP) ist ein Kommunikationsprotokoll, das Pakete überträgt, aber keine Zustellung garantiert.
      • IPv6:ICMP: Über das Internet Control Message Protocol (ICMP) kann der Gateway oder der Zielhost mit dem Quellhost kommunizieren.

    • Durch ID auswählen: Geben Sie einen Wert von 0 bis 255 für Protokoll-ID ein. Siehe Protokollnummern.

  • ICMP: Wählen Sie eine der folgenden Optionen aus der Dropdown-Liste aus:

    • Beliebig: Ordnet den gesamten ICMP-Traffic zu.

    • Aus Liste auswählen: Wählen Sie eine der folgenden Optionen aus der ICMP-Liste aus:

      • Ziel nicht erreichbar: Das ICMP-Paket konnte sein Ziel nicht erreichen.
      • Packet zu groß: Dadurch wird angegeben, dass das ICMP-Paket die MTU des Netzwerks überschreitet und für die Übertragung über dieses Netzwerk zu groß ist.
      • Zeitüberschreitung: Diese Nachricht zeigt an, dass die Lebensdauer (TTL) des ICMP-Pakets während der Übertragung abgelaufen ist.
      • Parameterproblem: Das Gerät kann einen ungültigen Parameter nicht interpretieren.
      • Echo-Anforderung: Eine Nachricht, die von einem Gerät an ein anderes gesendet wird, um zu überprüfen, ob eine Kommunikation möglich ist, und um die benötigte Zeit zu messen.
      • Echo-Antwort: Die Antwort, die ein Gerät sendet, nachdem es eine ICMP-Echo-Anforderung erhalten hat.
      • Router-Anfrage: Eine Nachricht, die von einem Host gesendet wird, um Routerinformationen anzufordern.
      • Router Advertisement: Eine Nachricht, die ein Gerät sendet, um seine Verfügbarkeit als Router anzukündigen.
      • Nd Ns: Dies ist eine IPv6-NDP-Neighbor-Advertisement-Nachricht (NDP = Neighbor Discovery Protocol).
      • Nd Na: Dies ist eine IPv6-NDP-Neighbor-Advertisement-Nachricht.

    • Durch ID auswählen: Geben Sie einen Wert von 0 bis 255 für ICMP-ID ein.

  • ICMP-Code: Geben Sie einen Wert von 0 bis 255 ein. Siehe Parameter für Internet Control Message Protocol (ICMP).

  • TCP-Flags: Sie können den TCP-Traffic filtern, je nachdem, ob die Flags Urg, Ack, Psh, Rst, Syn und Fin Festgelegt oder Nicht festgelegt sind. Wählen Sie Egal, um TCP-Flags zu ignorieren.

Konfigurationsquelle zeigt die Quelle der Einstellungen des IPv4-ACE an.

Portbereich und Bindung

Über die Registerkarte Portbereich können Sie Portbereiche angeben, die Sie in Ihren IPv4- und IPv6-Zugriffssteuerungseinträgen (ACEs) verwenden möchten. Diese Funktion erhöht die Sicherheit, da Sie mit ACEs einen großen Bereich von Ports blockieren oder nur einen kleinen Bereich für Hosts mit bestimmten Funktionen zulassen können.

Portbereich

Um einen neuen Portbereich zu erstellen, klicken Sie auf Hinzufügen.

Sie können die folgenden Einstellungen konfigurieren:

  • Name: Geben Sie einen Namen für Ihren Portbereich ein.

    Tip

    Der Name für den Portbereich sollte die enthaltenen Ports klar identifizieren. Sie können diesen Namen nur sehen, wenn Sie einen Portbereich für Ihre ACEs auswählen. Sie können die enthaltenen Ports nicht sehen.

  • Niedrigster Port: Der Startport für Ihren Bereich.

  • Höchster Port: Der Endport für Ihren Bereich.

Konfigurationsquelle zeigt die Quelle der Einstellungen des Portbereichs an.

Portbindung

Die Bindung einer Zugriffssteuerungsliste (ACL) an Ports wendet alle Regeln, die Sie für diese ACL definieren, auf diese Ports an. Für Ports, die eine an sie gebundene ACL haben, verwirft der Switch jeden Traffic, der nicht mit der ACL übereinstimmt.

Folgende Informationen zu den Ports auf dem Switch werden angezeigt:

  • Port: Der Port, an den die ACLs gebunden sind.
  • MAC ACL: Die MAC-ACL, die an den Port gebunden ist.
  • IPv4-ACL: Die IPv4-ACL, die an den Port gebunden ist.
  • IPv6-ACL: Die IPv6-ACL, die an den Port gebunden ist.

Konfigurationsquelle zeigt die Quelle der Portbindungseinstellungen an.

Um ACLs zu binden, wählen Sie aus den Dropdown-Listen die MAC-ACL und IPv4-ACL oder IPv6-ACL aus, die Sie an den Port binden möchten. Wählen Sie Keine aus, um dem Port keine ACLs zuzuweisen, oder Nicht festgelegt, um die Portbindungseinstellungen in der lokalen Switch-Benutzeroberfläche zu verwenden.

Klicken Sie auf Aktualisieren, um Ihre Änderungen zu speichern.

Note

Sie können nicht gleichzeitig sowohl eine IPv4- als auch eine IPv6-ACL binden. Sie müssen die eine oder die andere auswählen.