วิธีกำหนดค่า Extended IP ACL
ACL (Access Control List) ใช้เพื่อกรองแพ็กเก็ตโดยกำหนดค่ากฎการจับคู่และนโยบายกระบวนการของแพ็กเก็ตเพื่อควบคุมการเข้าถึงเครือข่ายของผู้ใช้ที่ผิดกฎหมาย นอกจากนี้ยังสามารถใช้ฟังก์ชัน ACL เพื่อควบคุมกระแสการรับส่งข้อมูลและประหยัดทรัพยากรเครือข่าย
ต่อไปนี้เป็นกรณีที่จะให้คำแนะนำบางประการแก่คุณในการกำหนดค่า Extend-IP ACL..
Extend-IP ACLs วิเคราะห์และประมวลผลแพ็กเก็ตข้อมูลตามชุดของเงื่อนไขการจับคู่ ซึ่งสามารถเป็นที่อยู่ IP ต้นทาง ที่อยู่ IP ปลายทาง โปรโตคอล IP และข้อมูลอื่น ๆ ของประเภทนี้ที่บรรจุในแพ็กเก็ต
ในกรณีนี้ เราต้องการบรรลุความต้องการที่พีซี (หรืออุปกรณ์อื่นๆ) ที่เชื่อมต่อกับพอร์ตที่ระบุของสวิตช์ไม่สามารถรับที่อยู่ IP ผ่านเซิร์ฟเวอร์ DHCP ดังภาพที่แสดงด้านล่าง PC 2 ไม่สามารถรับ IP จากเราเตอร์ได้ (ฟังก์ชันเซิร์ฟเวอร์ DHCP ที่ฝังตัวของเราเตอร์)
เราสามารถกำหนดค่าสวิตช์ผ่านหน้าการจัดการเว็บหรือ CLI และเราจะให้คำแนะนำ 2 วิธีแก่คุณ
วิธีที่ 1: หน้าการจัดการเว็บ
ขั้นตอนที่ 1: กำหนดค่าช่วงเวลา
หากต้องการให้ ACL มีผลในช่วงเวลาที่กำหนด คุณควรระบุช่วงเวลาใน ACL ก่อน โปรดเลือกเมนู ACL->Time-Range->Time-Range Create ในที่นี้เราจะสร้าง time-rangeseg1 เป็นต้น และคุณสามารถพิมพ์พารามิเตอร์ตามที่คุณต้องการ จากนั้นคลิก Apply เพื่อเสร็จสิ้นการตั้งค่าช่วงเวลา
ขั้นตอนที่ 2: กำหนดการตั้งค่า ACL
เลือกเมนู ACL->ACL Config->ACL Create; สร้างหมายเลข Extend-IP ACL (ที่นี่เราสร้าง 200 เป็นต้น)
จากนั้นโปรดเลือกเมนู ACL->ACL Config->Extend-IP ACL ในหน้านี้ เราจะกำหนดค่ากฎ Extended-IP สำหรับ ACL 200 ก่อนอื่นให้เลือก ACL ID 200 พิมพ์รหัสกฎ 1 และเลือกการดำเนินการปฏิเสธ จากนั้นพิมพ์ S-IP, D-IP และ Mask ซึ่งทั้งหมดคือ 0.0.0.0 โปรโตคอล IP ควรเลือก 17 UDP S-Port คือ 68 และ D-Port คือ 67 (ที่นี่คุณสามารถพิมพ์ S-Port หรือ D-Port) จากนั้นเลือก Time-Range tseg1 หลังจากนั้น คลิก Create เพื่อเสร็จสิ้นการตั้งค่า Extended-IP ACL
ขั้นตอนที่ 3: กำหนดค่านโยบายสำหรับ ACL ที่ระบุ
นโยบายใช้เพื่อควบคุมแพ็คเก็ตข้อมูลที่ตรงกับกฎ ACL ที่สอดคล้องกันโดยการกำหนดค่า ACL และการดำเนินการร่วมกันเพื่อให้เกิดผล การดำเนินการรวมถึงมิเรอร์สตรีม เงื่อนไขการสตรีม การรีมาร์ก QoS และการเปลี่ยนเส้นทาง
เลือกเมนู ACL->Policy Config->Policy Create ที่นี่ เราสร้างการทดสอบนโยบาย ตัวอย่างเช่น
เลือกเมนู ACL->Policy Config->Action Create ผูกนโยบายกับ ACL 200 แล้วเลือกการดำเนินการที่คุณต้องการ (ในกรณีนี้ เราไม่จำเป็นต้องกำหนดค่าการดำเนินการใดๆ) หลังจากนั้นคลิกสร้างเพื่อดำเนินการสร้างการตั้งค่าให้เสร็จสมบูรณ์
ขั้นตอนที่ 4: ผูกนโยบายกับพอร์ตที่ระบุ
ฟังก์ชันการผูกนโยบายทำให้นโยบายมีผลกับพอร์ต/VLAN เฉพาะ นโยบายจะมีผลเฉพาะเมื่อเชื่อมโยงกับพอร์ต/VLAN ในทำนองเดียวกัน พอร์ต/VLAN จะรับแพ็กเก็ตข้อมูลและประมวลผลตามนโยบายก็ต่อเมื่อนโยบายถูกผูกไว้กับพอร์ต/VLAN
เลือกเมนู ACL->Policy Binding->Port Binding ที่นี่เราผูกนโยบายกับพอร์ต 2
ตอนนี้การกำหนดค่าทั้งหมดเสร็จสมบูรณ์แล้ว และพีซีที่เชื่อมต่อกับพอร์ต 2 จะไม่ได้รับที่อยู่ IP ใดๆ ผ่านเราเตอร์ (เซิร์ฟเวอร์ DHCP)
หากคุณต้องการกำหนดค่าสวิตช์ผ่าน CLI โปรดดูวิธีที่ 2
วิธีที่ 2: CLI
ที่นี่เราได้จัดเตรียมคำสั่ง CLI เพื่อให้ได้ฟังก์ชันเดียวกันกับการกำหนดค่าเว็บด้านบน
TP-Link>เปิดใช้งาน
TP-Link#กำหนดค่า
TP-Link (config)#acl ส่วนเวลา tseg1 เวลาเริ่มต้น 08:30 น. เวลาสิ้นสุด 12:00 น. วันธรรมดา วันทำการ
TP-Link (config)#acl สร้าง 200
TP-Link (config)#acl rule ext-acl 200 1 op ละทิ้ง dip 0.0.0.0 dmask 0.0.0.0 sip 0.0.0.0 smask 0.0.0.0 protocol 17 d-port 67 s-port 68 tseg tseg1
TP-Link (config)#acl นโยบาย เพิ่มการทดสอบ
TP-Link (config)#acl นโยบายการดำเนินการเพิ่มการทดสอบ 200
TP-Link (config)#acl ผูกกับพอร์ตทดสอบ 2
TP-Link (config)#end
บันทึก TP-Link#user-config
โปรดอย่าลืมบันทึกการกำหนดค่าหลังการกำหนดค่า และหากคุณมีปัญหาอื่นๆ หรือเนื้อหาที่ไม่รู้จัก คู่มือผู้ใช้จะเป็นตัวช่วยที่ดี