Creación de una ACL basada en MAC en SG350XG y SG550XG

Opciones de descarga

  • PDF     (1.1 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:3 de agosto de 2017
ID del documento:SMB5108

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Creación de una ACL basada en MAC en SG350XG y SG550XG

Objetivo

Una lista de control de acceso (ACL) es un conjunto de reglas que se pueden crear para manipular paquetes en función de si cumplen ciertos criterios. Estos criterios pueden ser direcciones de origen o de destino, campos de encabezado y otros componentes diversos de un paquete. Si un paquete coincide con los criterios especificados de una ACL, se descarta o se le permite continuar. Una ACL basada en MAC utiliza reglas que analizan el encabezado de Capa 2 de un paquete para estos criterios, como direcciones MAC, ID de VLAN y valores Ethertype. La implementación de una ACL basada en MAC le permite controlar los paquetes que viajan a través del switch en el nivel de Capa 2.

El objetivo de este documento es mostrarle cómo crear y configurar una ACL basada en MAC en los switches SG350XG y SG550XG.

Dispositivos aplicables

  • SG350XG
  • SG550XG

Versión del software

  • v2.0.0.73

Configuración ACL basadas en MAC

Creación una ACL y reglas

Paso 1. Inicie sesión en la utilidad de configuración web y elija Access Control > MAC-Based ACL. Se abre la página MAC-Based ACL.

Paso 2. La Tabla de ACL Basada en MAC mostrará todas las ACL Basadas en MAC actualmente en el switch. Para crear una nueva ACL, haga clic en el botón Agregar.... Se abrirá la ventana Add MAC-Based ACL.

Paso 3. En el campo ACL Name, ingrese el nombre para la nueva ACL. Este nombre no afectará a la función de la ACL y solo se utiliza con fines de identificación.

Paso 4. Hagan clic en Aplicar. La nueva ACL se agregará a la tabla de ACL basada en MAC. Haga clic en Close para volver a la página MAC-Based ACL, o cree otra ACL repitiendo el paso anterior.

Paso 5. Cualquier ACL recién creada estará vacía; es decir, no contendrá ninguna regla para bloquear o permitir paquetes basados en direcciones MAC. Para crear estas reglas, se debe agregar una entrada de control de acceso (ACE) a la ACL. Para ello, haga clic en el botón MAC-Based ACE Table para ir a la página MAC-Based ACE.

Paso 6. En la página MAC-Based ACE, seleccione la ACL a la que desea agregar una ACE a través de la lista desplegable en la parte superior de la tabla ACE basada en MAC y haga clic en Go. En la tabla se muestran todas las ACE asociadas actualmente a la ACL seleccionada. Para agregar una ACE, haga clic en el botón Agregar.... Se abrirá la ventana Add MAC-Based ACE.

Paso 7. El campo ACL Name mostrará el nombre de la ACL a la que está agregando una ACE. En el campo Priority, ingrese un número de prioridad para la ACE. Cuanto más alta sea la prioridad de una ACE, antes se procesará. El intervalo es de 1 a 2147483647, siendo 1 la prioridad más alta.

Paso 8. En el campo Acción, seleccione un botón de opción para determinar qué ocurrirá cuando se cumplan los criterios de la ACE.

Las opciones son:

  • Permitir: reenvía los paquetes que cumplen los criterios.
  • Deny (Denegar): descarta los paquetes que cumplen los criterios.
  • Apagar: descarte los paquetes que cumplan los criterios y, a continuación, desactive el puerto.

Paso 9. En el campo Logging, marque la casilla de verificación Enable para habilitar el registro de flujos ACL que coincidan con la regla ACE. Si utiliza el modo de visualización Básico, vaya al paso 12. El modo de visualización se puede cambiar mediante la lista desplegable de la esquina superior derecha de la utilidad Web.

Paso 10. En el campo Intervalo de Tiempo, marque la casilla de verificación Activar para que la ACE solo esté activa durante un intervalo de tiempo especificado. Si no hay rangos de tiempo configurados en el switch, este campo no estará disponible.

Paso 11. Si ha activado un rango de tiempo para esta ACE, el campo Nombre del Rango de Tiempo estará disponible. Utilice la lista desplegable para seleccionar un rango de tiempo ya configurado en el switch para aplicarlo a la ACE. Si no existe ningún rango de tiempo en el switch, este campo no estará disponible; haga clic en el enlace Editar para ir a la página Rango de Tiempo para crear o modificar rangos de tiempo. Para obtener más información, consulte el artículo Configuración de un rango de tiempo en el SG350XG y SG550XG.

Paso 12. En el campo Destination MAC Address, seleccione un botón de opción para determinar qué direcciones MAC de destino constituirán una coincidencia. Seleccione Any para que cualquier dirección de destino sea una coincidencia, o User Defined para especificar una dirección o un rango de direcciones.

Si ha seleccionado Definido por el usuario, rellene los campos siguientes:

  • Destination MAC Address Value (Valor de dirección MAC de destino): Introduzca la dirección MAC de destino. Si un paquete contiene esta dirección de destino, la ACE la considerará una coincidencia.
  • Destination MAC Wildcard Mask (Máscara de comodín de MAC de destino): Introduzca una máscara para definir un intervalo de direcciones. Si se configura un bit como 1, se ignorará el bit correspondiente en la dirección MAC y los 0 serán bits coincidentes.

Nota: Dada una máscara de 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1111 1111 (lo que significa que coincide en los bits donde hay 0 y no coincide en los bits donde hay 1). Debe traducir los 1 a un valor hexadecimal y escribir 0 por cada cuatro ceros. En este ejemplo, dado que 1111 111 = FF, la máscara se escribiría: como 00:00:00:00:00:FF.

Paso 13. En el campo Source MAC Address, seleccione un botón de opción para determinar qué direcciones MAC de origen constituirán una coincidencia. Seleccione Any para que cualquier dirección de origen sea una coincidencia, o User Defined para especificar una dirección o un rango de direcciones.

Si ha seleccionado Definido por el usuario, rellene los campos siguientes:

  • Source MAC Address Value (Valor de dirección MAC de origen): Introduzca la dirección MAC de origen. Si un paquete contiene esta dirección de origen, la ACE la considerará una coincidencia.
  • Source MAC Wildcard Mask (Máscara comodín MAC de origen): Introduzca una máscara para definir un intervalo de direcciones. Si se configura un bit como 1, se ignorará el bit correspondiente en la dirección MAC y los 0 serán bits coincidentes (por ejemplo, 00:00:00:00:00:11).

Nota: Dada una máscara de 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1111 1111 (lo que significa que coincide en los bits donde hay 0 y no coincide en los bits donde hay 1). Debe traducir los 1 a un valor hexadecimal y escribir 0 por cada cuatro ceros. En este ejemplo, dado que 1111 111 = FF, la máscara se escribiría: como 00:00:00:00:00:FF.

Paso 14. En el campo VLAN ID, ingrese un ID de VLAN entre 1 y 4094. Si un paquete contiene este ID de VLAN, la ACE lo considerará una coincidencia. Este campo no es obligatorio; si se deja en blanco, la ACE no tendrá en cuenta los ID de VLAN al examinar los paquetes.

Paso 15. En el campo 802.1p, marque la casilla de verificación Include para que ACE incluya los criterios de 802.1p. Si ha incluido criterios de 802.1p, introduzca un valor de 802.1p y una máscara en los campos 802.1p Value y 802.1p Mask, respectivamente. El rango para ambos campos es de 0 a 7. Si un paquete contiene el valor 802.1p correspondiente y se ajusta a la máscara, la ACE lo considerará una coincidencia.

Paso 16. En el campo Ethertype, ingrese un valor Ethertype que se comparará con los paquetes entrantes. Ethertype es un campo de dos octetos en una trama que indica qué protocolo se encapsula en el paquete. El intervalo es 5DD-FFFF. Si un paquete contiene el valor Ethertype especificado, la ACE lo considerará una coincidencia. En esta página de estándares IEEE se puede encontrar una lista de valores Ethertype.

Paso 17. Hagan clic en Aplicar. La ACE se agregará a la ACL especificada. Haga clic en Close para volver a la página MAC-Based ACE.

Asignación de una ACL Basada en MAC a puertos

Paso 1. Una ACL se puede asignar a puertos o VLAN. Para asignar una ACL basada en MAC a uno o varios puertos, navegue hasta Control de acceso > Enlace de ACL (puerto). Se abre la página ACL Binding (Port).

Paso 2. En la lista desplegable en la parte superior de la Tabla de Enlace ACL, seleccione puertos o LAG (grupo de agregación de enlaces) como tipo de interfaz. Si el switch forma parte de una pila, se pueden seleccionar puertos de otras unidades. Haga clic en Go para mostrar una lista del tipo de interfaz especificado.

Paso 3. Active la casilla de verificación de una interfaz y, a continuación, haga clic en el botón Editar.... Se abre la ventana Edit ACL Binding.

Paso 4. El campo Interfaz muestra el puerto o LAG que se está configurando actualmente. Mostrará automáticamente la interfaz seleccionada en la Tabla de enlace ACL. Este campo se puede utilizar para cambiar rápidamente entre diferentes interfaces sin volver a la página ACL Binding (Port).

Paso 5. Marque la casilla de verificación Select MAC-Based ACL y utilice la lista desplegable para seleccionar una ACL para asignarla a la interfaz especificada.

Paso 6. En el campo Acción predeterminada, seleccione un botón de opción para determinar cómo se manejarán los paquetes que no coincidan con los criterios de ACL. El valor predeterminado es Deny Any, que descarta cualquier paquete que no coincida con los criterios de la ACL; Permitir Any reenviará paquetes que no coincidan.

Paso 7. Hagan clic en Aplicar. La ACL se asigna a la interfaz especificada. Puede utilizar el campo Interface para seleccionar una interfaz diferente para configurar, o hacer clic en Close para volver a la página ACL Binding (Port).

Paso 8. Para copiar rápidamente la configuración de una interfaz a otras interfaces, seleccione la casilla de verificación de la interfaz que desea copiar y, a continuación, haga clic en el botón Copiar configuración.... Se abre la ventana Copy Settings.

Paso 9. En el campo de texto, introduzca la interfaz o interfaces en las que desea copiar los valores. Las interfaces se pueden separar mediante comas o se puede especificar un intervalo.

Paso 10. Hagan clic en Aplicar. Se copian los parámetros.

Paso 11. Si desea borrar los parámetros de una interfaz, seleccione su casilla de verificación y haga clic en Clear. Tenga en cuenta que se pueden seleccionar y borrar varias interfaces simultáneamente.

Asignación de una ACL basada en MAC a VLAN

Paso 1. Una ACL se puede asignar a puertos o VLAN. Para asignar una ACL basada en MAC a una VLAN, navegue hasta Control de acceso > Enlace de ACL (VLAN). Se abre la página ACL Binding (VLAN).

Paso 2. La Tabla de Enlace de ACL muestra todas las ACL asignadas actualmente a las VLAN. Si no se ha asignado ninguna lista de control de acceso, la tabla está vacía. Para asignar una ACL a una VLAN, haga clic en el botón Add.... Se abre la ventana Add ACL Binding.

Paso 3. Seleccione una VLAN a la que asignar una ACL mediante la lista desplegable del campo VLAN ID. Este campo también se puede utilizar para cambiar rápidamente entre diferentes VLAN sin volver a la página ACL Binding (VLAN).

Paso 4. Marque la casilla de verificación Select MAC-Based ACL y utilice la lista desplegable para seleccionar una ACL para asignar a la VLAN especificada.

Nota: No puede vincular una ACL basada en MAC que utiliza un ID de VLAN como parte de sus criterios a una VLAN. Además, una ACL con un rango de tiempo no se puede vincular a una VLAN.

Paso 5. En el campo Acción predeterminada, seleccione un botón de opción para determinar cómo se manejarán los paquetes que no coincidan con los criterios de ACL. El valor predeterminado es Deny Any, que descarta cualquier paquete que no coincida con los criterios de la ACL; Permitir Any reenviará paquetes que no coincidan.

Paso 6. Hagan clic en Aplicar. La ACL se asigna a la VLAN especificada. Puede utilizar el campo VLAN ID para seleccionar una VLAN diferente para configurar, o hacer clic en Close para volver a la página ACL Binding (VLAN).

Paso 7. Para copiar rápidamente la configuración de una VLAN a otras VLAN, seleccione la casilla de verificación de la configuración de VLAN que desea copiar y, a continuación, haga clic en el botón Copy Settings.... Se abre la ventana Copy Settings.

Paso 8. En el campo de texto, ingrese el ID de VLAN o los ID de VLAN en los que desea copiar la configuración. Los ID se pueden separar mediante comas o se puede especificar un intervalo.

Paso 9. Hagan clic en Aplicar. Se copian los parámetros.

Paso 10. Si desea borrar los parámetros de una VLAN, seleccione su casilla de verificación y haga clic en Eliminar. Tenga en cuenta que se pueden seleccionar y borrar varias VLAN simultáneamente.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
11-Dec-2018
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco