Una lista de control de acceso (ACL) es una lista ordenada de filtros y de acciones. Cada regla de la clasificación, así como su acción, se conoce como elemento del control de acceso (ACE). Cada ACE tiene los diversos grupos del tráfico y acciones asociadas. Un ACL puede contener uno o más ACE, que se comparan o se corresponden con contra los paquetes entrantes en la capa 3. Cualquier acción del permit or deny se corresponde con al filtro. Puede ser definida para hacer juego con los protocolos IP, los puertos de origen y de destino para el tráfico TCP o UDP, los valores del indicador para las tramas TCP, ICMP y tipo y código IGMP, los IP Address de origen y de destino (comodines incluyendo), o los valores de precedencia DSCP/IP.
Este artículo explica cómo crear un ACL basado en IPv4 y ACE en el Switches ESW2-350G.
Note: Un puerto se puede asegurar con el ACL o configurar con avanzado política de calidad de servicio (QoS), pero no ambos. Puede solamente haber un ACL por el puerto, con excepción del hecho que es posible asociar un ACL basado en IPv4 y un IPv6-based ACL a un puerto único. Para asociar más de un ACL a un puerto, una directiva con una o más correspondencias de la clase debe ser utilizada.
• ESW2-350G
• ESW2-350G-DC
• 1.3.0.62
Paso 1. Inicie sesión a la utilidad de configuración de la red y elija el control de acceso > ACL basado en IPv4. La página basada en IPv4 ACL se abre:
Paso 2. El tecleo agrega para agregar una nueva lista de acceso.
Paso 3. Ingrese un nombre para la lista de acceso en el campo de nombre ACL.
Paso 4. El tecleo se aplica que hace el ACL basado en IPv4 ser escrito al archivo de configuración corriente.
El paso 5. (opcional) para acceder el IPv4 basó la tabla basada en IPv4 de ACE del tecleo de la tabla de ACE.
Para agregar ACE a un ACL que los pasos siguientes necesitan ser seguidos:
Paso 1. Utilice la utilidad de configuración de la red para elegir el control de acceso > los ACE basados en IPv4. ACE basado en IPv4 pagina se abre:
Paso 2. Elija un ACL de la lista desplegable y del haga click en Add La ventana basada en IPv4 de ACE del agregar aparece:
Paso 3. Ingrese la prioridad del ACE en el campo de prioridad. Los valores de la prioridad más alta se procesan primero. La prioridad más alta es 1. Tiene un rango de 1 a 2147483647.
Paso 4. Haga clic el botón de radio de la acción deseada de las opciones siguientes:
• Permiso — Permite los paquetes que hacen juego los criterios de ACE.
• Niegue — Cae los paquetes que cumplen los criterios de ACE.
• Apague — Cae los paquetes que cumplen los criterios ACE y inhabilita el puerto de donde los paquetes fueron recibidos. Tales puertos se pueden reactivar de la página de las configuraciones de puerto.
Control (opcional) del paso 5. la casilla de verificación del permiso Enable time (Habilitar tiempo) al rango para ACE en el campo del rango de tiempo.
Note: Un rango de tiempo se debe crear para aplicarla a ACE. Para configurar un rango de tiempo refiera a la configuración del rango de tiempo del artículo en el Switches ESW2-350G.
Paso 6. Si usted marcó el permiso en el paso 5, elija el rango de tiempo de la lista desplegable del rango de tiempo que se aplicará a ACE.
Paso 7. El tecleo edita para ir a la página del rango de tiempo a editar el rango de tiempo. La ventana cerrada del diálogo del confirmar aparece:
Note: Para configurar un rango de tiempo refiera a la configuración del rango de tiempo del artículo en el Switches ESW2-350G.
Haga Click en OK (opcional) del paso 8. a proceder a la página del rango de tiempo.
Paso 9. El protocolo usado en ACE se configura para todos los protocolos de red ruteada para filtrar los paquetes mientras que los paquetes pasan a través de un router. Haga clic el botón Protocol Radio Button deseado de las opciones siguientes:
• Ningunos — Elige los protocolos basados en IPv4 uces de los de ACE.
• Seleccione de la lista — Elija los protocolos uces de los de la lista desplegable.
• ID del protocolo a hacer juego — Utilizado para hacer juego el protocolo con un ID. El valor predeterminado para diversos protocolos como el TCP que es 6, el UDP que es 17, y para el ICMP que es 58 y así sucesivamente o el usuario puede definir cualquier valor en él.
Paso 10. En el campo de dirección IP de origen, haga clic una de las opciones disponibles como la dirección IP de origen:
• Ningunos — Esta opción aplica la regla de acceso a los IP Addresses uces de los disponibles en un segmento de red específico.
• Definido por el usario — Esta opción le deja ingresar un IP Address específico.
- Valor de dirección IP de origen — En este campo, ingrese la dirección IP de origen.
- Máscara comodín IP de la fuente — En este campo, ingrese a la máscara comodín de la dirección IP de origen. La máscara de la placa comodín le deja especificar a qué host de la dirección IP de origen es aplicada esta lista de acceso.
Paso 11. En el campo de IP Address de destino, haga clic una de las opciones disponibles como el IP Address de destino:
• Ningunos — Esta opción aplica la regla de acceso a los IP Addresses uces de los disponibles en un segmento de red específico.
• Definido por el usario — Esta opción le deja ingresar un IP Address específico para aplicar la regla del acceso:
– Valor de IP Address de destino — En este campo, ingrese el IP Address de destino.
– Máscara comodín del IP de destino — En este campo, ingrese a la máscara comodín del IP Address de destino. La máscara de la placa comodín le deja especificar qué host del IP Address de destino se aplica esta lista de acceso.
Paso 12. Se habilita el campo de puerto de origen solamente cuando usted elige el TCP o el UDP del tecleo del paso 5. el botón de radio de una de las opciones disponibles para elegir el puerto de origen:
• Ningunos — Esta opción valida cualquier puerto de origen.
• Solo — Esta opción le deja ingresar un valor de puerto de la fuente única.
• Rango — Esta opción le deja ingresar un rango de los puertos de origen disponibles.
Paso 13. Se habilita el campo de puerto destino solamente cuando usted elige el TCP o el UDP del tecleo del paso 5. el botón de radio de una de las opciones disponibles para elegir el puerto destino:
• Ningunos — Esta opción valida cualquier puerto destino.
• Solo — Esta opción le deja ingresar un valor de puerto del destino único.
• Rango — Esta opción le deja ingresar un rango de los puertos destino disponibles.
Paso 14. Se habilitan los campos de los indicadores TCP solamente cuando usted elige el TCP del tecleo uno del paso 5. de los botones de radio para que cada indicador determine cómo filtrar los valores del indicador TCP. O fije como 1 o encendido, Unset como 0 o apagado, o no cuide como X.
• Urg — Este indicador se utiliza para identificar los datos entrantes como urgentes.
• Ack — Este indicador se utiliza para reconocer el recibo exitoso de los paquetes.
• Psh — Este indicador se utiliza para asegurarse de que los datos están dados la prioridad (esa merecen) y procesados en el envío o el extremo receptor.
• Rst — Se utiliza este indicador cuando llega un segmento que no se piensa para la conexión actual.
• Syn — Este indicador se utiliza para las comunicaciones TCP.
• Aleta — Se utiliza este indicador cuando se acaba la comunicación o la Transferencia de datos.
Paso 15. Haga clic un tipo de servicio que sea el tráfico del control de la congestión, para el cual el host retrocede en caso de la congestión.
• Ningunos — Puede ser cualquier tipo de servicio para la congestión de tráfico.
• DSCP a corresponder con — Elija esta opción para implementar el Differentiated Service Code Point (DSCP) como tipo de servicio. El DSCP es un mecanismo para clasificar y para manejar el tráfico de la red. Ingrese el valor DSCP que usted desea aplicarse a la regla del acceso.
• Prioridad IP a hacer juego — Para fijar una preferencia teclee para los paquetes del IPv6. Las palabras claves asociadas a los valores de preferencia IP son 0 para la rutina, 1 para la prioridad, 2 para inmediato, 3 para el flash, 4 para la anulación de Flash, 5 para crítico, 6 para Internet, 7 para la red. Ingrese el valor que usted desea aplicarse a la regla del acceso.
Paso 16. Se habilitan los campos ICMP solamente cuando usted elige el protocolo ICMP del paso 5. Se utiliza para enviar los mensajes de error cuando el servicio no está disponible o un host o un router no podría ser alcanzado. También se utiliza para los mensajes de la interrogación de la retransmisión. Haga clic uno de los botones de radio disponibles para filtrar los tipos de mensaje de ICMP:
• Ningunos — Puede ser mensaje de error un de los o preguntar el mensaje.
• Seleccione de la lista — Elija los mensajes permitidos uces de los del control de la lista desplegable.
• Tipo ICMP a corresponder con — El usuario tiene que ingresar un rango entre 0-255 para corresponder con los mensajes del control ICMP.
Paso 17. Se habilita el código ICMP solamente cuando usted elige el protocolo ICMP del paso 5. Se utiliza para proporcionar una información más específica de los mensajes del control con un valor. Tecleo uno de las opciones disponibles:
• Ningunos — Puede ser cualquier valor que hace juego el de mensaje de control.
• Definido por el usario — Ingrese el código ICMP que usted desea filtrar. El valor se define del rango entre el 0-255, para hacer juego los mensajes del control.
Paso 18. Se habilitan los campos IGMP solamente cuando usted elige el protocolo IGMP del paso 5. Maneja la calidad de miembro del host en los grupos de multidifusión IP en un segmento de red. Haga clic uno de los botones de radio disponibles para filtrar los tipos de mensaje IGMP:
• Ningunos — Puede realizar las acciones unas de los IGMP.
• Seleccione de la lista — Elija los protocolos uces de los de la lista desplegable.
– DVMRP — Utiliza una técnica de la inundación del trayecto inverso, mandando una copia de un paquete recibido a través de cada interfaz excepto la el cual el paquete llegó.
– Host-interrogación — Envía periódicamente los mensajes generales de la host-interrogación en cada red conectada para la información
– Host-contestación — Contesta a la interrogación.
– PIM — Se utiliza entre los routeres de multidifusión locales y remotos para dirigir el tráfico Multicast del servidor de multidifusión a muchos clientes del Multicast.
– Traza — Proporciona la información sobre unirse a y dejar los grupos de multidifusión IGMP.
• Tipo IGMP de coincidencia — Hace juego el protocolo IGMP con el IP Address de origen y de destino y la máscara, y también el tipo IGMP que tiene un número en el decimal.
Paso 19. El tecleo se aplica que hace ACE basado en IPv4 ser escrito al archivo de configuración corriente.
Paso 20. (Opcional) haga clic la tabla basada en IPv4 ACL para ir a la página basada IPv4 ACL.