Guía de configuración de Ethernet del portador, Cisco IOS Release 12.2SR
Listas de Control de Acceso de Capa 2 en EVCs
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 165 KB | Inglés (6 Septiembre 2011) | Comentarios

Listas de Control de Acceso de Capa 2 en EVCs

Última actualización: 2 de octubre de 2011

La capacidad de filtrar los paquetes en un modular y un modo escalable es importante para la seguridad de la red y la Administración de redes. El Listas de control de acceso (ACL) proporciona la capacidad para filtrar los paquetes en una granulosidad fina. En las redes de los Metros Ethernet, los ACL se aplican directamente en los circuitos virtuales de los Ethernetes (EVCs).

Las listas de control de acceso de la capa 2 en EVCs son una función de seguridad que permite el filtrado de paquetes basado en las direcciones MAC. Este módulo describe cómo implementar los ACL en EVCs.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Prerrequisitos para las Listas de Control de Acceso de la Capa 2 en EVCs

  • Conocimiento de cómo los casos del servicio deben ser configurados.
  • Conocimiento de MAC extendido ACL y cómo deben ser configurados.

Restricciones para las Listas de Control de Acceso de Capa 2 en EVCs

  • Un máximo de 16 entradas de control de acceso (ACE) se permite para un ACL dado.
  • Solamente el 256 diferente o la capa única 2 ACL se puede configurar en un linecard. (Más que 256 ACL se pueden configurar en un router.)
  • Función de la capa 2 ACL entrante solamente.
  • La capa actual 2 ACL proporciona la opción de filtro de la capa 3 en el permiso y niega las reglas. Se ignoran las opciones que no son relevantes mantener los casos.

Información sobre las Listas de Control de Acceso de la Capa 2 en EVCs

EVC

Un EVC, tal como lo define el Metro Ethernet Forum, es un circuito de Capa 2 punto a punto, o multipunto a multipunto, de nivel de puerto. Es una representación de fin a fin de una única instancia de un servicio de Capa 2 que ofrece un proveedor a un cliente. Personifica los diversos parámetros en los cuales se está ofreciendo el servicio. Un caso del servicio es la particularización de un EVC en un puerto dado en un router dado.

La conexión virtual de los Ethernetes mantiene las aplicaciones (EVCS) EVCs y los casos del servicio de proporcionar los servicios del Switched Ethernet de la capa 2. El estatus EVC se puede utilizar por un dispositivo de la frontera del cliente (CE) para encontrar un trayecto alternativo adentro a la red del proveedor de servicios o, en algunos casos, para invertir a un trayecto de backup sobre los Ethernetes o sobre otro servicio alternativo tal como Frame Relay o atmósfera.

Para la información sobre los estándares del foro de los Metros Ethernet, vea la tabla de estándares en la sección de referencias adicional.

Relación entre los ACLs y la Infraestructura Ethernet

Las puntas siguientes capturan la relación entre ACL y la infraestructura Ethernet (E-I):

  • Los ACL se pueden aplicar directamente en un EVC usando el comando line interface(cli). Un ACL se aplica a un caso del servicio, que es la particularización de un EVC en un puerto dado.
  • Un ACL se puede aplicar a más de un caso del servicio en cualquier momento.
  • Un caso del servicio puede tener un ACL a lo más aplicado a él en cualquier momento. Si una capa 2 ACL se aplica a un caso del servicio que tenga ya una capa 2 ACL, el nuevo substituye el viejo.
  • Solamente los ACL Nombrados se pueden aplicar para mantener los casos. Se conserva la sintaxis de los comandos ACL; se utiliza el comando ampliado lista de acceso del mac de crear un ACL.
  • El comando del caso del servicio Ethernet de la demostración se puede utilizar para proporcionar los detalles sobre los ACL en los casos del servicio.

Cómo Configurar las Listas de Control de Acceso de Capa 2 en EVCs

Creación de una ACL de Capa 2

Realice esta tarea de crear una capa 2 ACL con solo ACE.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. nombre extendido de la lista de acceso del mac

4. permiso {{máscara del src-mac | any} {dest-mac mask | ningunos} [cos value] del [protocol [vlan vlan]]}


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
nombre extendido de la lista de acceso del mac


Ejemplo:

Lista de acceso test-12-acl extendido del mac de Router(config)#

 

Define MAC ACL ampliada y ingresa el modo de la controlar la configuración de la lista de acceso del mac.

 
Paso 4
permiso {{máscara del src-mac | any} {dest-mac mask | ningunos} [cos value] del [protocol [vlan vlan]]}


Ejemplo:

Router (config-extensión-macl) # permiso 00aa.00bb.00cc 0.0.0 ninguno

 

Permite el reenvío del tráfico de la Capa 2 si se cumplen las condiciones. Crea ACE para el ACL.

 

Aplicación de una ACL de Capa 2 a una Instancia de Servicio

Realice esta tarea de aplicar una capa 2 ACL a un caso del servicio. Observe que ocurre el filtrado de paquetes solamente después que el ACL se ha creado y se ha aplicado al caso del servicio.

Antes de comenzar

Antes de aplicar un ACL a un caso del servicio, usted debe crearlo usando el comando ampliado lista de acceso del mac. Vea “creando la sección de la capa 2 un ACL” en la página 3.


PASOS SUMARIOS

1. permiso

2. configuró terminal

3. número del tipo de la interfaz

4. mantenga los Ethernetes identificación del caso

5. VLAN-identificación del dot1q de la encapsulación

6. acceso-lista-nombre del acceso-grupo del mac adentro


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
número del tipo de la interfaz


Ejemplo:

Gigabitethernet 1/0/0 de la interfaz de Router(config)#

 

Especifica el tipo y la ubicación de la interfaz que se va a configurar, donde:

  • tipo --Especifica el tipo de la interfaz.
  • número --Especifica la ubicación de la interfaz.
 
Paso 4
mantenga los Ethernetes identificación del caso


Ejemplo:

Router (config-if) # Ethernetes del caso 100 del servicio

 

Configura un caso del servicio Ethernet en una interfaz y ingresa al modo de configuración del servicio Ethernet.

 
Paso 5
VLAN-identificación del dot1q de la encapsulación


Ejemplo:

Router (config-si-SRV) # dot1q 100 de la encapsulación

 

Define los criterios de coincidencia que se utilizarán para mapear las tramas de dot1q de entrada en una interfaz a la instancia de servicio apropiada.

 
Paso 6
acceso-lista-nombre del acceso-grupo del mac adentro


Ejemplo:

Router (config-si-SRV) # acceso-grupo test-12-acl del mac adentro

 

Aplica una ACL MAC para controlar el tráfico de entrada en la interfaz.

 

Configuración de una Capa 2 ACL con los ACE en una Instancia del Servicio

Realice esta tarea de configurar el mismo ACL con tres ACE y de parar el resto del tráfico en un caso del servicio.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. nombre extendido de la lista de acceso del mac

4. permiso {máscara del src-mac | any} {dest-mac mask | ningunos}

5. permiso {máscara del src-mac | any} {dest-mac mask | ningunos}

6. permiso {máscara del src-mac | ningunos} {máscara del dest-mac} | ningunos}

7. niegue cualquier ninguno

8. salga

9. número del tipo de la interfaz

10. mantenga los Ethernetes identificación del caso

11 VLAN-identificación del dot1q de la encapsulación

12.    acceso-lista-nombre del acceso-grupo del mac adentro


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
nombre extendido de la lista de acceso del mac


Ejemplo:

Lista de acceso test-12-acl extendido del mac de Router(config)#

 

Define MAC ACL ampliada y ingresa al modo de configuración del Access Control List del mac.

 
Paso 4
permiso {máscara del src-mac | any} {dest-mac mask | ningunos}


Ejemplo:

Router (config-extensión-macl) # permiso 00aa.bbcc.ddea 0.0.0 ninguno

 

Permite el reenvío del tráfico de la Capa 2 si se cumplen las condiciones. Crea un ACE para la ACL.

 
Paso 5
permiso {máscara del src-mac | any} {dest-mac mask | ningunos}


Ejemplo:

Router (config-extensión-macl) # permiso 00aa.bbcc.ddeb 0.0.0 ninguno

 

Permite el reenvío del tráfico de la Capa 2 si se cumplen las condiciones. Crea un ACE para la ACL.

 
Paso 6
permiso {máscara del src-mac | ningunos} {máscara del dest-mac} | ningunos}


Ejemplo:

Router (config-extensión-macl) # permiso 00aa.bbcc.ddec 0.0.0 ninguno

 

Permite el reenvío del tráfico de la Capa 2 si se cumplen las condiciones. Crea un ACE para la ACL.

 
Paso 7
niegue cualquier ninguno


Ejemplo:

El router (config-extensión-macl) # niega cualquier ninguno

 

Previene el envío del tráfico de la capa 2 a excepción de los ACE permitidos.

 
Paso 8
salida


Ejemplo:

Router (config-extensión-macl) # salida

 

Da salida al modo de comando actual y vuelve el CLI al modo de configuración global.

 
Paso 9
número del tipo de la interfaz


Ejemplo:

Gigabitethernet 1/0/0 de la interfaz de Router(config)#

 

Especifica la interfaz.

 
Paso 10
mantenga los Ethernetes identificación del caso


Ejemplo:

Router (config-if) # Ethernetes del caso 200 del servicio

 

Configura un caso del servicio Ethernet en una interfaz y ingresa al modo de configuración del caso del servicio.

 
Paso 11
VLAN-identificación del dot1q de la encapsulación


Ejemplo:

Router (config-si-SRV) # dot1q 100 de la encapsulación

 

Define los criterios de coincidencia que se utilizarán para mapear las tramas de dot1q de entrada en una interfaz a la instancia de servicio apropiada.

 
Paso 12
acceso-lista-nombre del acceso-grupo del mac adentro


Ejemplo:

Router (config-si-SRV) # acceso-grupo test-12-acl del mac adentro

 

Aplica una ACL MAC para controlar el tráfico de entrada en la interfaz.

 

Verificación de la Presencia de una ACL de Capa 2 en una Instancia de Servicio

Realice esta tarea de verificar que una capa 2 ACL está presente en un EVC. Esta tarea de la verificación puede ser utilizada después de que un ACL se haya configurado para confirmar su presencia.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. muestre el detalle del número del tipo de la interfaz identificación identificación del caso del servicio Ethernet


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal

Ejemplo:

La identificación 100 del caso del servicio Ethernet de la demostración del Router- interconecta el gigabitethernet 3/0/1 detalle

 

Ingresa en el modo de configuración global.

 
Paso 3
muestre el detalle del número del tipo de la interfaz identificación identificación del caso del servicio Ethernet


Ejemplo:

La identificación 100 del caso del servicio Ethernet de la demostración del Router- interconecta el gigabitethernet 3/0/1 detalle

 

Visualiza la información detallada sobre los casos del servicio al cliente de los Ethernetes.

 

Ejemplos de Configuración de las Listas de Control de Acceso de Capa 2 en EVCs

Ejemplo que aplica una capa 2 ACL a un caso del servicio

El siguiente ejemplo muestra cómo aplicar una capa 2 mac-20-acl llamados ACL a un caso del servicio. El ACL tiene cinco ACE permitidos y el resto del tráfico no se permite.

enable
configure terminal
 mac access-list extended mac-20-acl
 permit 00aa.bbcc.adec 0.0.0 any
 permit 00aa.bbcc.bdec 0.0.0 any
 permit 00aa.bbcc.cdec 0.0.0 any
 permit 00aa.bbcc.edec 0.0.0 any
 permit 00aa.bbcc.fdec 0.0.0 any
 deny any any
 exit
interface gigabitethernet 10/0/0
 service instance 100 ethernet
 encapsulation dot1q 100
 mac access-group mac-20-acl in

Ejemplo que aplica una capa 2 ACL a tres casos del servicio en lo mismo interfaz

El siguiente ejemplo muestra cómo aplicar una capa 2 mac-07-acl llamados ACL a tres casos del servicio en la misma interfaz:

enable
configure terminal
mac access-list extended mac-07-acl
permit 00aa.bbcc.adec 0.0.0 any
permit 00aa.bbcc.bdec 0.0.0 any
permit 00aa.bbcc.cdec 0.0.0 any
deny any any
exit
interface gigabitethernet 10/0/0
service instance 100 ethernet
encapsulation dot1q 100
mac access-group mac-07-acl in
service instance 101 ethernet
encapsulation dot1q 101
mac access-group mac-07-acl in
service instance 102 ethernet
encapsulation dot1q 102
mac access-group mac-07-acl in

Ejemplo que crea una capa 2 ACL con los ACE

Las demostraciones del siguiente ejemplo cómo crear una capa 2 mac-11-acl llamado ACL con dos ACE permitidos:

enable
configure terminal
mac access-list extended mac-11-acl
permit 00aa.00bb.00cc 1a11.0101.11c1 any
permit 00aa.00bb.00cc 1a11.0101.11c2 any

Ejemplo que visualiza los detalles de una capa 2 ACL en un caso del servicio

Las visualizaciones del ejemplo de resultado siguientes los detalles de una capa 2 ACL llamaron el prueba-ACL en un caso del servicio.

Router# show ethernet service instance id 100 interface ethernet0/0 detail
Service Instance ID: 100
L2 ACL (inbound): test-acl
Associated Interface: Ethernet0/0
Associated EVC: test
L2protocol drop
CEVlans:
Interface Dot1q Tunnel Ethertype: 0x8100
State: Up
L2 ACL permit count: 10255
L2 ACL deny count: 53

La tabla abajo describe los campos significativos en la salida.

Tabla 1muestre las Descripciones del campo del caso del servicio Ethernet

Campo

Descripción

Mantenga el caso ID

Visualiza la identificación del caso del servicio

L2 ACL (entrante):

Visualiza el nombre ACL.

Interfaz asociada:

Visualiza los detalles de la interfaz del caso del servicio.

EVC asociado:

Visualiza el EVC con el cual el caso del servicio es asociado.

CEVlans:

Visualiza los detalles de la identificación asociada del VLA N

Estado:

Visualiza si el caso del servicio está en hacia arriba o hacia abajo un estado.

Cuenta del permiso L2 ACL:

Visualiza el número de bastidores del paquete permitidos pasar encendido el caso del servicio por el ACL.

El L2 ACL niega la cuenta

Visualiza el número de bastidores del paquete no permitidos para pasar encendido el caso del servicio por el ACL.

Referencias adicionales

Documentos Relacionados

Tema relacionado

Título del documento

Comandos ethernet del portador del Cisco IOS: sintaxis de comandos completa, modo de comandos, historial de comandos, valores predeterminados, directrices de uso y ejemplos

Referencia de Comandos Ethernet de la Portadora de Cisco IOS

Comandos cisco ios: lista maestra de comandos con el sintaxis, el modo de comando, el comando history, los valores por defecto, las Pautas para el uso, y los ejemplos del comando complete

El Cisco IOS domina los comandos list, todos las versiones

Estándares

Estándar

Título

MEF 6.1

Definiciones de Servicios Metro Ethernet Fase 2 (PDF 6/08)

MEF 10.1

Fase 2 (PDF 10/06) de los Atributos de Servicios Ethernet

MIB

MIB

Link del MIB

  • Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html

RFC

RFC

Título

Esta versión no soporta RFCs nuevos o modificados.

--

Asistencia Técnica

Descripción

Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Información de la Función Listas de Control de Acceso de Capa 2 en EVCs

La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Tabla 2Información de la Función Listas de Control de Acceso de Capa 2 en EVCs

Nombre de la función

Versiones

Información sobre la Función

Listas de Control de Acceso de Capa 2 en EVCs

12.2(33)SRD 15.0(1)S

Las listas de control de acceso de la capa 2 en la característica de EVCs introducen los ACL en EVCs.

  • Se han insertado o modificado los siguientes comandos: interconecte, acceso-grupo del mac adentro, lista de acceso del mac extendida, caso del servicio Ethernet de la demostración.

Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.

Cisco Systems, Inc. de © 2011 todos los derechos reservados.