Tecnologías IBM : Data-Link Switching (DLSw) y Data-Link Switching Plus (DLSw+)

Cómo funcionan las listas de control de acceso a los puntos de acceso al servicio

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento explica cómo leer y crear Listas de control de acceso (ACL) al punto de acceso al servicio (SAP) en los routers Cisco. Si bien existen diversos tipos de ACL, este documento se enfoca en aquellas que filtran sobre base de los valores SAP. El rango numérico para este tipo de ACL es 200 a 299. Estos ACL se pueden aplicar a las interfaces Token Ring para filtrar el tráfico del (SRB) del Source Route Bridge, a las interfaces de Ethernet para filtrar el tráfico del Bridge transparente (TB), o al Routers del par del Data-Link Switching (DLSw).

El desafío principal en el caso de los SAP ACL es saber específicamente cuáles son los SAP que están siendo permitidos o denegados por una entrada ACL en particular. Analizaremos cuatro escenarios diferentes en los que se filtra un protocolo determinado.

Antes de comenzar

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

prerrequisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Filtrado de System Network Architecture

El tráfico de la Arquitectura de red de sistemas de IBM (SNA) utiliza las savias que se extienden de 0x00 a 0xFF. El método de acceso virtual de telecomunicación (VTAM) V3R4 y posteriores admiten un rango de valor de SAP de 4 a 252 (o 0x04 a 0xFC en una representación hexadecimal), donde 0xF0 se reserva para el tráfico de NetBIOS. Los SAP deben ser múltiplos de 0x04, comenzando con 0x04. La siguiente ACL permite los SAP de SNA más comunes y rechaza el resto (considerando que existe una negación implícita de todos ellos al final de cada ACL):

access-list 200 permit 0x0000 0x0D0D

Hexadecimal Binario
0x0000 0x0D0D
DSAP      SSAP      Wildcard Mask for DSAP and SSAP respectively
|-------| |-------| |-------| |-------|
0000 0000 0000 0000 0000 1101 0000 1101 

Utilice los bits en la máscara de comodín para determinar qué SAP están permitidos por esta entrada ACL determinada. Para interpretar los bits de máscara de comodín utilice las reglas siguientes:

  • 0 = exacto - coincidencia requerida. Esto significa que SAP permitido debe tener el mismo valor que SAP configurado en el ACL. Para obtener más detalles, consulte la siguiente tabla.

  • 1 = El SAP puede tener un 0 o un 1 en esta posición de bit, la posición "sin importancia".

Saps permitidos por ACL, donde X=0 o X=1 Máscara comodín SAP configuró en el ACL
0 0 0
0 0 0
0 0 0
0 0 0
X 1 0
X 1 0
0 0 0
X 1 0

Utilizando los resultados de la tabla anterior, a continuación se muestra la lista de los SAP que coinciden con el patrón anterior.

Savias permitidas (binarias) SAP permitidos (hexadecimal)
0 0 0 0 0 0 0 0 0x00
0 0 0 0 0 0 0 1 0x01
0 0 0 0 0 1 0 0 0x04
0 0 0 0 0 1 0 1 0x05
0 0 0 0 1 0 0 0 0x08
0 0 0 0 1 0 0 1 0x09
0 0 0 0 1 1 0 0 0x0c
0 0 0 0 1 1 0 1 0x0D

Como usted puede ver de la tabla antedicha, no todas las savias posibles SNA se incluyen en este ACL. Estos SAP, sin embargo, cubren la mayoría de los casos comunes.

Otra punta a considerar cuando el diseño del ACL es que los valores de SAP cambian dependiendo de si son comandos o respuestas. El punto de acceso del servicio de origen (SAP) incluye el bit de comando/respuesta (C/R) para diferenciarlos. El C/R está configurado en 0 para los comandos y en 1 para las respuestas. Por lo tanto, el ACL debe permitir o bloquear comandos y también respuestas. Por ejemplo, SAP 0x05 (usado para las respuestas) es SAP 0x04 con el C/R fijado a 1. Lo mismo se aplica a SAP 0x09 (SAP 0x08 con C/R fijado a 1), a 0x0D, y a 0x01.

Filtro de NetBIOS

El tráfico de NetBIOS usa valores SAP 0xF0 (para comandos) y 0xF1 (para respuestas). Normalmente, los administradores de red utilizan estos valores SAP para filtrar este protocolo. La entrada de lista de acceso mostrada abajo permite el tráfico de NETBIOS y niega todo lo demás (recuerde el implícito para negar todos en el final de cada ACL):

access-list 200 permit 0xF0F0 0x0101

Mediante el mismo procedimiento que se muestra en la sección anterior, puede determinar que la ACL mencionada permite los SAP 0xF0 y 0xF1.

Por el contrario, si el requisito es bloquear NetBIOS y permitir el resto del tráfico, utilice la siguiente ACL:

access-list 200 deny 0xF0F0 0x0101
access-list 200 permit 0x0000 0xFFFF

Filtrado de IPX

De manera predeterminada, los routers Cisco establecen un puente para el tráfico IPX. Para modificar este comportamiento debe emitir un comando de ruteo ipx en el router. IPX mediante la encapsulación 802.2 utiliza SAP 0xE0 como el Punto de acceso del servicio de destino (DSAP) y SSAP. Por lo tanto, si un router Cisco está interligando el IPX y el requisito es permitir solamente este tipo de tráfico, utilice el ACL siguiente:

access-list 200 permit 0xE0E0 0x0101

Por el contrario, la siguiente ACL bloquea los IPX y permite el resto del tráfico:

access-list 200 deny 0xE0E0 0x0101
access-list 200 permit 0x0000 0xFFFF

Permitir o denegar todo el tráfico

Cada ACL incluye una negación implícita de todo. Usted debe ser consciente de esta entrada al analizar el comportamiento de un ACL configurado. La entrada ACL más reciente mostrada abajo niega todo el tráfico.

access-list 200 permit ....
access-list 200 permit ....
access-list 200 deny 0x0000 0xFFFF

Recuerde al leer la máscara comodín (binaria) que 1 se considera como una posición de bit "sin importancia". Una máscara de comodín toda de 1 en una representación binaria se traduce a 0xFFFF en una representación hexadecimal.


Información Relacionada


Document ID: 12403