Una lista de control de acceso (ACL) es un conjunto de reglas que se pueden crear para manipular los paquetes en función de si cumplen determinados criterios. Estos criterios pueden ser direcciones de origen o destino, campos de encabezado y otros componentes diversos de un paquete. Si un paquete coincide con los criterios especificados de una ACL, se descarta o se le permite continuar. Una ACL basada en MAC utiliza reglas que analizan el encabezado de Capa 2 de un paquete para estos criterios, como las direcciones MAC, los ID de VLAN y los valores Ethertype. La implementación de una ACL basada en MAC le permite controlar los paquetes que viajan a través del switch en el nivel de Capa 2.
El objetivo de este documento es mostrarle cómo crear y configurar una ACL basada en MAC en los switches SG350XG y SG550XG.
Paso 1. Inicie sesión en la utilidad de configuración web y elija Access Control > MAC-Based ACL. Se abre la página ACL basada en MAC.
Paso 2. La tabla ACL basada en MAC mostrará todas las ACL basadas en MAC que se encuentran actualmente en el switch. Para crear una nueva ACL, haga clic en el botón Add.... Se abrirá la ventana Add MAC-Based ACL.
Paso 3. En el campo ACL Name, ingrese el nombre para la nueva ACL. Este nombre no afectará a la función de la ACL y sólo se utiliza para fines de identificación.
Paso 4. Haga clic en Apply (Aplicar). La nueva ACL se agregará a la tabla ACL basada en MAC. Haga clic en Cerrar para volver a la página ACL basada en MAC o crear otra ACL repitiendo el paso anterior.
Paso 5. Cualquier ACL recién creada estará vacía; es decir, no contendrá ninguna regla para bloquear o permitir paquetes basados en direcciones MAC. Para crear estas reglas, se debe agregar una entrada de control de acceso (ACE) a la ACL. Para hacerlo, haga clic en el botón ACE-Based Table para ir a la página ACE-Based MAC.
Paso 6. En la página MAC-Based ACE, seleccione la ACL a la que desea agregar una ACE a través de la lista desplegable en la parte superior de la tabla ACE basada en MAC y haga clic en Go. La tabla muestra cualquier ACE asociada actualmente con la ACL seleccionada. Para agregar una ACE, haga clic en el botón Add.... Se abrirá la ventana Add MAC-Based ACE.
Paso 7. El campo ACL Name mostrará el nombre de la ACL a la que está agregando una ACE. En el campo Priority, introduzca un número de prioridad para ACE. Cuanto más alta sea la prioridad de ACE, más pronto se procesará. El rango está entre 1 - 2147483647, siendo 1 la prioridad más alta.
Paso 8. En el campo Acción, seleccione un botón de opción para determinar qué ocurrirá cuando se cumplan los criterios de ACE.
Las opciones son:
Paso 9. En el campo Logging, marque la casilla Enable para habilitar el registro de flujos ACL que coincidan con la regla ACE. Si utiliza el modo de visualización Básico, vaya directamente al Paso 12. El modo de visualización se puede cambiar mediante la lista desplegable de la esquina superior derecha de la utilidad web.
Paso 10. En el campo Rango de tiempo, marque la casilla Habilitar para que la ACE sólo esté activa durante un rango de tiempo especificado. Si no hay rangos de tiempo configurados en el switch, este campo no estará disponible.
Paso 11. Si ha activado un rango de tiempo para esta ACE, el campo Time Range Name estará disponible. Utilice la lista desplegable para seleccionar un rango de tiempo ya configurado en el switch para aplicar a la ACE. Si no hay intervalos de tiempo en el switch, este campo no estará disponible; haga clic en el enlace Edit para ir a la página Time Range para crear o modificar intervalos de tiempo. Para obtener más información, consulte el artículo Configuración de un Rango de Tiempo en los SG350XG y SG550XG.
Paso 12. En el campo Destination MAC Address , seleccione un botón de opción para determinar qué direcciones MAC de destino constituirán una coincidencia. Seleccione Any para que cualquier dirección de destino sea una coincidencia, o User Defined para especificar una dirección o rango de direcciones.
Si ha seleccionado Definido por el usuario, rellene los campos siguientes:
Nota: Dada una máscara de 0000 0000 000 000 000 000 000 000 000 0000 000 0000 111 1111 (lo que significa que coincide en los bits donde hay es 0 y no coincide en los bits donde hay 1). Debe traducir los 1 a un valor hexadecimal y escribir 0 por cada cuatro ceros. En este ejemplo desde 1111 1111 = FF, la máscara se escribiría: como 00:00:00:00:00:FF.
Paso 13. En el campo Dirección MAC de Origen, seleccione un botón de opción para determinar qué direcciones MAC de origen constituirán una coincidencia. Seleccione Any para que cualquier dirección de origen sea una coincidencia, o User Defined para especificar una dirección o rango de direcciones.
Si ha seleccionado Definido por el usuario, rellene los campos siguientes:
Nota: Dada una máscara de 0000 0000 000 000 000 000 000 000 000 0000 000 0000 111 1111 (lo que significa que coincide en los bits donde hay es 0 y no coincide en los bits donde hay 1). Debe traducir los 1 a un valor hexadecimal y escribir 0 por cada cuatro ceros. En este ejemplo desde 1111 1111 = FF, la máscara se escribiría: como 00:00:00:00:00:FF.
Paso 14. En el campo VLAN ID, ingrese un ID de VLAN del 1 al 4094. Si un paquete contiene este ID de VLAN, el ACE lo considerará una coincidencia. Este campo no es obligatorio; si se deja en blanco, la ACE no tendrá en cuenta los ID de VLAN al examinar los paquetes.
Paso 15. En el campo 802.1p, marque la casilla Incluir para que ACE incluya los criterios 802.1p. Si ha incluido los criterios de 802.1p, introduzca un valor y una máscara de 802.1p en los campos 802.1p Value y 802.1p Mask, respectivamente. El intervalo para ambos campos es de 0 a 7. Si un paquete contiene el valor 802.1p correspondiente y se ajusta a la máscara, la ACE lo considerará una coincidencia.
Paso 16. En el campo Ethertype, ingrese un valor Ethertype que se comparará con los paquetes entrantes. Ethertype es un campo de dos octetos en una trama que indica qué protocolo se encapsula en el paquete. El rango es 5DD-FFFF. Si un paquete contiene el valor Ethertype especificado, el ACE lo considerará una coincidencia. En esta página de estándares IEEE se puede encontrar una lista de valores Ethertype.
Paso 17. Haga clic en Apply (Aplicar). La ACE se agregará a la ACL especificada. Haga clic en Cerrar para volver a la página ACE basada en MAC.
Paso 1. Una ACL se puede mapear a los puertos o VLAN. Para asignar una ACL basada en MAC a un puerto o puertos, navegue hasta Control de acceso > Enlace de ACL (Puerto). Se abre la página Enlace ACL (Puerto).
Paso 2. En la lista desplegable de la parte superior de la tabla de enlace de ACL, seleccione los puertos o LAG (grupo de agregación de enlaces) como un tipo de interfaz. Si el switch forma parte de una pila, se pueden seleccionar puertos de otras unidades. Haga clic en Ir para mostrar una lista del tipo de interfaz especificado.
Paso 3. Seleccione la casilla de verificación de una interfaz y, a continuación, haga clic en el botón Editar.... Se abre la ventana Edit ACL Binding.
Paso 4. El campo Interface muestra el puerto o LAG que se está configurando actualmente. Mostrará automáticamente la interfaz seleccionada en la Tabla de Enlace de ACL. Este campo se puede utilizar para cambiar rápidamente entre diferentes interfaces sin volver a la página Enlace ACL (Puerto).
Paso 5. Marque la casilla Select MAC-Based ACL y utilice la lista desplegable para seleccionar una ACL para mapear a la interfaz especificada.
Paso 6. En el campo Acción predeterminada, seleccione un botón de opción para determinar cómo se manejarán los paquetes que no coinciden con los criterios de la ACL. El valor predeterminado es Deny Any, que descarta cualquier paquete que no coincida con los criterios de la ACL; En su lugar, permitir que Any reenvíe paquetes no coincidentes.
Paso 7. Haga clic en Apply (Aplicar). La ACL se asigna a la interfaz especificada. Puede utilizar el campo Interface para seleccionar una interfaz diferente para configurar, o hacer clic en Close para volver a la página ACL Binding (Port).
Paso 8. Para copiar rápidamente los parámetros de una interfaz a otras interfaces, seleccione la casilla de verificación de la interfaz que desea copiar y, a continuación, haga clic en el botón Copiar configuración.... Se abre la ventana Copy Settings.
Paso 9. En el campo de texto, introduzca la interfaz o interfaces a las que desea copiar la configuración. Las interfaces se pueden separar mediante comas o se puede especificar un rango.
Paso 10. Haga clic en Apply (Aplicar). Se copian los parámetros.
Paso 11. Si desea borrar los parámetros de una interfaz, seleccione su casilla de verificación y haga clic en Borrar. Tenga en cuenta que se pueden seleccionar y borrar varias interfaces simultáneamente.
Paso 1. Una ACL se puede mapear a los puertos o VLAN. Para asignar una ACL basada en MAC a una VLAN, navegue hasta Control de acceso > Enlace de ACL (VLAN). Se abre la página Enlace de ACL (VLAN).
Paso 2. La tabla de enlace de ACL muestra todas las ACL asignadas actualmente a VLAN. Si no se ha asignado ninguna ACL, la tabla está vacía. Para asignar una ACL a una VLAN, haga clic en el botón Add.... Se abre la ventana Agregar enlace ACL.
Paso 3. Seleccione una VLAN para asignar una ACL al uso de la lista desplegable en el campo VLAN ID. Este campo también se puede utilizar para cambiar rápidamente entre diferentes VLAN sin volver a la página Enlace de ACL (VLAN).
Paso 4. Marque la casilla Select MAC-Based ACL y use la lista desplegable para seleccionar una ACL para mapear a la VLAN especificada.
Nota: No puede enlazar una ACL basada en MAC que utilice un ID de VLAN como parte de sus criterios a una VLAN. Además, una ACL con un rango de tiempo no puede enlazarse a una VLAN.
Paso 5. En el campo Acción predeterminada, seleccione un botón de opción para determinar cómo se manejarán los paquetes que no coinciden con los criterios de la ACL. El valor predeterminado es Deny Any, que descarta cualquier paquete que no coincida con los criterios de la ACL; En su lugar, permitir que Any reenvíe paquetes no coincidentes.
Paso 6. Haga clic en Apply (Aplicar). La ACL se asigna a la VLAN especificada. Puede utilizar el campo VLAN ID para seleccionar una VLAN diferente para configurar, o hacer clic en Cerrar para volver a la página Enlace ACL (VLAN).
Paso 7. Para copiar rápidamente los parámetros de una VLAN a otras VLAN, seleccione la casilla de verificación de la configuración de VLAN que desea copiar y, a continuación, haga clic en el botón Copy Settings.... Se abre la ventana Copy Settings.
Paso 8. En el campo de texto, introduzca el ID de VLAN o los ID de VLAN a los que desea copiar la configuración. Los ID se pueden separar mediante comas o se puede especificar un intervalo.
Paso 9. Haga clic en Apply (Aplicar). Se copian los parámetros.
Paso 10. Si desea borrar los parámetros de una VLAN, seleccione su casilla de verificación y haga clic en Eliminar. Tenga en cuenta que se pueden seleccionar y borrar varias VLAN simultáneamente.