Configuración de la lista de control de acceso (ACL) basada en IPv4 y la entrada de control de acceso (ACE) en un switch

Opciones de descarga

  • PDF     (479.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (496.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (638.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de diciembre de 2018
ID del documento:SMB3025

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Configuración de la lista de control de acceso (ACL) basada en IPv4 y la entrada de control de acceso (ACE) en un switch

Objetivo

Una lista de control de acceso (ACL) es una lista de filtros de tráfico de red y acciones correlacionadas utilizadas para mejorar la seguridad. Bloquea o permite a los usuarios acceder a recursos específicos. Una ACL contiene los hosts a los que se permite o se niega el acceso al dispositivo de red.

La ACL basada en IPv4 es una lista de direcciones IPv4 de origen que utilizan información de Capa 3 para permitir o denegar el acceso al tráfico. Las ACL IPv4 restringen el tráfico relacionado con IP en función de los filtros IP configurados. Un filtro contiene las reglas que coinciden con un paquete IP y, si el paquete coincide, la regla también estipula si el paquete debe ser permitido o denegado.

Una entrada de control de acceso (ACE) contiene los criterios de regla de acceso reales. Una vez que se crea la ACE, se aplica a una ACL.

Debe utilizar las listas de acceso para proporcionar un nivel básico de seguridad para acceder a la red. Si no configura las listas de acceso en los dispositivos de red, todos los paquetes que pasan a través del switch o del router podrían estar permitidos en todas las partes de la red.

En este artículo se proporcionan instrucciones sobre cómo configurar ACL y ACE basadas en IPv4 en su switch administrado.

Dispositivos aplicables

  • Serie Sx350
  • Serie SG350X
  • Serie Sx500
  • Serie Sx550X

Versión del software

  • 1.4.5.02 - Serie Sx500
  • 2.2.5.68: Serie Sx350, Serie SG350X Y Serie Sx550X

Configuración de ACE y ACL Basadas en IPv4

Configuración de ACL Basada en IPv4

Paso 1. Inicie sesión en la utilidad basada en Web y luego vaya a Control de Acceso > ACL Basada en IPv4.

Paso 2. ‘Haga clic en el botón Add (Agregar).’

Paso 3. Ingrese el nombre de la nueva ACL en el campo ACL Name.

Nota: En este ejemplo, se utiliza la ACL IPv4.

Paso 4. Haga clic en Aplicar y luego haga clic en Cerrar.

Paso 5. (Opcional) Haga clic en Guardar para guardar la configuración en el archivo de configuración de inicio.

Ahora debería haber configurado una ACL basada en IPv4 en su switch.

Configuración de ACE basada en IPv4

Cuando se recibe un paquete en un puerto, el switch procesa el paquete a través de la primera ACL. Si el paquete coincide con un filtro ACE de la primera ACL, se realiza la acción ACE. Si el paquete no coincide con ninguno de los filtros ACE, se procesa la siguiente ACL. Si no se encuentra ninguna coincidencia con ninguna ACE en todas las ACL relevantes, el paquete se descarta de forma predeterminada.

En este escenario, se creará una ACE para denegar el tráfico que se envía desde una dirección IPv4 de origen definida por el usuario específica a cualquier dirección de destino.

Nota: Esta acción predeterminada puede evitarse mediante la creación de una ACE de baja prioridad que permita todo el tráfico.

Paso 1. En la utilidad basada en Web, vaya a Access Control > IPv4-Based ACE.

Importante: Para utilizar completamente las funciones y características disponibles del switch, cambie al modo avanzado seleccionando Avanzado en la lista desplegable Modo de visualización en la esquina superior derecha de la página.

Paso 2. Elija una ACL de la lista desplegable Nombre de ACL y luego haga clic en Ir.

Nota: Las ACE que ya están configuradas para la ACL se mostrarán en la tabla.

Paso 3. Haga clic en el botón Add para agregar una nueva regla a la ACL.

Nota: El campo ACL Name muestra el nombre de la ACL.

Paso 4. Introduzca el valor de prioridad para ACE en el campo Priority. Las ACE con un valor de prioridad más alto se procesan primero. El valor 1 es la prioridad más alta. Tiene un rango de 1 a 2147483647.

Nota: En este ejemplo, se utiliza 2.

Paso 5. Haga clic en el botón de opción correspondiente a la acción deseada que se realiza cuando una trama cumple los criterios requeridos de la ACE.

Nota: En este ejemplo, se elige Permitir.

  • Permiso: el switch reenvía los paquetes que cumplen los criterios requeridos de la ACE.
  • Denegar: el switch descarta los paquetes que cumplen los criterios requeridos de la ACE.
  • Shutdown: el switch descarta los paquetes que no cumplen con los criterios requeridos de ACE e inhabilita el puerto donde se recibieron los paquetes.

Nota: Los puertos desactivados se pueden reactivar en la página Port Settings (Configuración de puerto).

Paso 6. (Opcional) Marque la casilla de verificación Enable Logging para habilitar el registro de flujos ACL que coincidan con la regla ACL.

Paso 7. (Opcional) Marque la casilla de verificación Enable Time Range para permitir que se configure un rango de tiempo en ACE. Los rangos de tiempo se utilizan para limitar la cantidad de tiempo que una ACE está en vigor.

Paso 8. (Opcional) En la lista desplegable Nombre de rango de tiempo, elija un rango de tiempo para aplicar a la ACE.

Nota: Puede hacer clic en Editar para navegar y crear un intervalo de tiempo en la página Intervalo de tiempo.

Paso 9. Elija un tipo de protocolo en el área Protocol . La ACE se creará en función de un protocolo o ID de protocolo específicos.

Las opciones son:

  • Any (IP): esta opción configurará la ACE para aceptar todos los protocolos IP.
  • Seleccionar de la lista: esta opción le permitirá elegir un protocolo de una lista desplegable. Si prefiere esta opción, vaya directamente al Paso 10.
  • ID de protocolo para que coincida: esta opción le permitirá introducir una ID de protocolo. Si prefiere esta opción, vaya directamente al Paso 11.

Nota: En este ejemplo, se elige Any (IP) (Cualquiera).

Paso 10. (Opcional) Si selecciona Seleccionar de la lista del paso 9, elija un protocolo de la lista desplegable.

Las opciones son:

  • ICMP: Protocolo de mensajes de control de Internet
  • IP en IP: IP en encapsulación IP
  • TCP: protocolo de control de transmisión
  • EGP: Protocolo de gateway exterior
  • IGP — Interior Gateway Protocol
  • UDP: protocolo de datagrama de usuario
  • HMP: protocolo de asignación de host
  • RDP: protocolo de datagrama confiable
  • IDPR — Interdomain Policy Routing
  • IPV6: túnel IPv6 sobre IPv4
  • IPV6:ROUT — Coincide con los paquetes que pertenecen a IPv6 sobre la ruta IPv4 a través de una gateway
  • IPV6:FRAG: Coincide con los paquetes que pertenecen al encabezado de fragmento IPv6 sobre IPv4
  • IDRP — IS-IS Interdomain Routing Protocol
  • RSVP — Protocolo ReSerVation
  • AH — Encabezado de autenticación
  • IPV6:ICMP — ICMP para IPv6
  • EIGRP — Protocolo de ruteo de gateway interior mejorado
  • OSPF: Abrir primero la ruta más corta
  • IP: IP en IP
  • PIM: multidifusión independiente del protocolo
  • L2TP — Protocolo de túnel de capa 2

Paso 11. (Opcional) Si ha seleccionado Protocol ID (ID de protocolo) para que coincida en el paso 9, introduzca el ID de protocolo en el campo Protocol ID to match (ID de protocolo que coincida).

Paso 12. Haga clic en el botón de opción que se corresponda con los criterios deseados de ACE en el área Dirección IP de Origen.

Las opciones son:

  • Any: todas las direcciones IPv4 de origen se aplican a ACE.
  • Definido por el Usuario: introduzca una dirección IP y una máscara comodín IP que se aplicarán a la ACE en los campos Valor de dirección IP de origen y Máscara comodín de IP de origen. Las máscaras comodín se utilizan para definir un rango de direcciones IP.

Nota: En este ejemplo, se elige Definido por el usuario. Si selecciona Any (Cualquiera), vaya al Paso 15.

Paso 13. Ingrese la dirección IP de origen en el campo Source IP Address Value .

Nota: En este ejemplo, se utiliza 192.168.1.1.

Paso 14. Ingrese la máscara comodín de origen en el campo Máscara comodín de IP de origen.

Nota: En este ejemplo, se utiliza 0.0.0.255.

Paso 15. Haga clic en el botón de opción que se corresponda con los criterios deseados de ACE en el área Destination IP Address (Dirección IP de destino).

Las opciones son:

  • Any: todas las direcciones IPv4 de destino se aplican a ACE.
  • Definido por el Usuario: introduzca una dirección IP y una máscara de comodín IP que se aplicarán a la ACE en los campos Valor de dirección IP de destino y Máscara de comodín de IP de destino. Las máscaras comodín se utilizan para definir un rango de direcciones IP.

Nota: En este ejemplo, se elige Any (Cualquiera). Si elige esta opción, la ACE que se creará permitirá que el tráfico ACE que provenga de la dirección IPv4 especificada a cualquier destino.

Paso 16. (Opcional) Haga clic en un botón de opción en el área Puerto de origen. El valor predeterminado es Any (Cualquiera).

  • Any: haga coincidir con todos los puertos de origen.
  • Único de la lista: puede elegir un único puerto de origen TCP/UDP con el que coincidan los paquetes. Este campo sólo está activo si se elige 800/6-TCP o 800/17-UDP en el menú desplegable Seleccionar de la lista.
  • Único por número: puede elegir un único puerto de origen TCP/UDP al que coincidan los paquetes. Este campo sólo está activo si se elige 800/6-TCP o 800/17-UDP en el menú desplegable Seleccionar de la lista.
  • Rango: puede elegir un rango de puertos de origen TCP/UDP a los que se corresponde el paquete. Hay ocho intervalos de puertos diferentes que se pueden configurar (compartidos entre los puertos de origen y de destino). Los protocolos TCP y UDP tienen cada uno ocho intervalos de puertos.

Paso 17. (Opcional) Haga clic en un botón de opción en el área Puerto de destino. El valor predeterminado es Any (Cualquiera).

  • Any — Coincide con todos los puertos de origen
  • Único de la lista: puede elegir un único puerto de origen TCP/UDP con el que coincidan los paquetes. Este campo sólo está activo si se elige 800/6-TCP o 800/17-UDP en el menú desplegable Seleccionar de la lista.
  • Único por número: puede elegir un único puerto de origen TCP/UDP al que coincidan los paquetes. Este campo sólo está activo si se elige 800/6-TCP o 800/17-UDP en el menú desplegable Seleccionar de la lista.
  • Rango: puede elegir un rango de puertos de origen TCP/UDP a los que se corresponde el paquete. Hay ocho intervalos de puertos diferentes que se pueden configurar (compartidos entre los puertos de origen y de destino). Los protocolos TCP y UDP tienen cada uno ocho intervalos de puertos.

Paso 18. (Opcional) En el área TCP Flags, elija uno o más indicadores TCP con los que filtrar los paquetes. Los paquetes filtrados se reenvían o se descartan. El filtrado de paquetes por indicadores TCP aumenta el control de paquetes, lo que aumenta la seguridad de la red.

  • Establecer: Coincida si el indicador está establecido.
  • Unset: Coincida si el indicador no está configurado.
  • No se preocupe: ignore el indicador TCP.

Los indicadores TCP son:

  • Urg: este indicador se utiliza para identificar los datos entrantes como Urgente.
  • Ack: este indicador se utiliza para confirmar la recepción correcta de los paquetes.
  • Psh: este indicador se utiliza para garantizar que los datos reciben la prioridad (que merece) y se procesan en el extremo de envío o recepción.
  • Rst: este indicador se utiliza cuando llega un segmento que no está destinado a la conexión actual.
  • Syn: este indicador se utiliza para las comunicaciones TCP.
  • Fin: este indicador se utiliza cuando la comunicación o la transferencia de datos finaliza.

Paso 19. (Opcional) Haga clic en el tipo de servicio del paquete IP del área Tipo de servicio.

Las opciones son:

  • Any: puede ser cualquier tipo de servicio para la congestión del tráfico.
  • DSCP a coincidencia: DSCP es un mecanismo para clasificar y administrar el tráfico de red. Se utilizan seis bits (0-63) para seleccionar el comportamiento por salto que experimenta un paquete en cada nodo.
  • Precedencia IP que debe coincidir: la precedencia IP es un modelo de tipo de servicio (TOS) que utiliza la red para ayudar a proporcionar los compromisos de calidad de servicio (QoS) adecuados. Este modelo utiliza los tres bits más significativos del byte de tipo de servicio en el encabezado IP, como se describe en RFC 791 y RFC 1349. La palabra clave con valor de preferencia IP es la siguiente:

- 0 — para rutina

- 1 — para prioridad

- 2 — para

- 3 — para flash

- 4: para la anulación de flash

- 5 — para críticas

- 6 — para Internet

- 7: para la red

Paso 20. (Opcional) Si el protocolo IP de la ACL es ICMP, haga clic en el tipo de mensaje ICMP utilizado para fines de filtrado. Elija el tipo de mensaje por nombre o introduzca el número de tipo de mensaje:

  • Any: se aceptan todos los tipos de mensajes.
  • Seleccionar de la lista: puede elegir el tipo de mensaje por nombre.
  • Tipo ICMP que debe coincidir: el número de tipo de mensaje que se utilizará para fines de filtrado. Tiene un rango de 0 a 255.

Paso 21. (Opcional) Los mensajes ICMP pueden tener un campo de código que indica cómo manejar el mensaje. Haga clic en una de las siguientes opciones para configurar si desea filtrar este código:

  • Any: acepte todos los códigos.
  • Definido por el usuario: puede introducir un código ICMP con fines de filtrado. Tiene un rango de 0 a 255.

Paso 22. (Opcional) Si la ACL se basa en IGMP, haga clic en el tipo de mensaje IGMP que se utilizará con fines de filtrado. Elija el tipo de mensaje por nombre o introduzca el número de tipo de mensaje:

  • Any: se aceptan todos los tipos de mensajes.
  • Seleccionar de la lista: puede elegir cualquiera de las opciones de la lista desplegable:
  • DVMRP: Utiliza una técnica de inundación de trayectoria inversa, enviando una copia de un paquete recibido a través de cada interfaz excepto la en la que llegó el paquete.
  • Host-Query: envía periódicamente mensajes generales de consulta de host en cada red conectada para obtener información.
  • Host-Reply: responde a la consulta.
  • PIM: la multidifusión independiente de protocolo (PIM) se utiliza entre los routers de multidifusión locales y remotos para dirigir el tráfico de multidifusión desde el servidor de multidifusión a muchos clientes de multidifusión.
  • Seguimiento: proporciona información sobre cómo unirse y salir de los grupos de multidifusión IGMP.
  • Tipo IGMP para coincidir: el número de tipo de mensaje que se utilizará para fines de filtrado. Tiene un rango de 0 a 255.

Paso 23. Haga clic en Aplicar y luego haga clic en Cerrar. La ACE se crea y se asocia al nombre de la ACL.

Paso 24. Haga clic en Guardar para guardar la configuración en el archivo de configuración de inicio.

Ahora debería haber configurado una ACE basada en IPv4 en su switch.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco