¿Tiene una cuenta?
Una lista de control de acceso (ACL) es una lista ordenada de filtros y acciones. Cada regla de clasificación, junto con su acción, se conoce como elemento de control de acceso (ACE). Cada ACE tiene varios grupos de tráfico y acciones asociadas. Una ACL puede contener una o más ACE, que se comparan o coinciden con los paquetes entrantes en la capa 3. La acción Permitir o Denegar coincide con el filtro. Se puede definir para que coincida con los protocolos IP, los puertos de origen y de destino para el tráfico TCP o UDP, los valores de marcador para las tramas TCP, el tipo y código ICMP e IGMP, las direcciones IP de origen y de destino (incluidos los comodines) o los valores de precedencia DSCP/IP.
En este artículo se explica cómo crear una ACL y ACE basadas en IPv4 en conmutadores ESW2-350G.
Nota: Un puerto puede protegerse con ACL o configurarse con una política de QoS avanzada, pero no con ambos. Sólo puede haber una ACL por puerto, con la excepción de que es posible asociar una ACL basada en IPv4 y una ACL basada en IPv6 con un solo puerto. Para asociar más de una ACL a un puerto, se debe utilizar una política con uno o más mapas de clase.
· ESW2-350G
· ESW2-350G-DC
•1.3.0.62
Paso 1. Inicie sesión en la utilidad de configuración web y elija Access Control > IPv4-Based ACL. Se abre la página ACL basada en IPv4:
Paso 2. Haga clic en Agregar para agregar una nueva lista de acceso.
Paso 3. Introduzca un nombre para la lista de acceso en el campo Nombre de ACL.
Paso 4. Haga clic en Aplicar, que hace que la ACL basada en IPv4 se escriba en el archivo de configuración en ejecución.
Paso 5. (Opcional) Para acceder a la tabla ACE basada en IPv4, haga clic en Tabla ACE basada en IPv4.
Para agregar una ACE a una ACL, se deben seguir los siguientes pasos:
Paso 1. Utilice la utilidad de configuración web para elegir Access Control > IPv4- Based ACE. Se abre la página ACE basada en IPv4:
Paso 2. Elija una ACL de la lista desplegable y haga clic en Agregar. Aparece la ventana Add IPv4-based ACE:
Paso 3. Introduzca la prioridad de ACE en el campo Priority (Prioridad). Los valores de prioridad más alta se procesan primero. La prioridad más alta es el 1. Tiene un rango de 1 a 2147483647.
Paso 4. Haga clic en el botón de opción Acción deseado de las siguientes opciones:
· Permit: permite paquetes que coinciden con los criterios ACE.
· Denegar: descarta paquetes que cumplen los criterios ACE.
· Shutdown: descarta los paquetes que cumplen los criterios de ACE e inhabilita el puerto desde donde se recibieron los paquetes. Estos puertos se pueden reactivar desde la página de configuración de puertos.
Paso 5. (Opcional) Marque la casilla de verificación Enable para habilitar el rango de tiempo para ACE en el campo Time Range .
Nota: Se debe crear un rango de tiempo para aplicarlo a la ACE. Para configurar un rango de tiempo, consulte el artículo Configuración de rango de tiempo en conmutadores ESW2-350G.
Paso 6. Si ha activado Activar en el paso 5, elija el rango de tiempo de la lista desplegable Rango de tiempo que se aplicará a la ACE.
Paso 7. Haga clic en Editar para ir a la página Rango de Tiempo para editar el rango de tiempo.Aparece la ventana de cierre del cuadro de diálogo de confirmación:
Nota: Para configurar un rango de tiempo, consulte el artículo Configuración del rango de tiempo en los conmutadores ESW2-350G.
Paso 8. (Opcional) Haga clic en Aceptar para continuar con la página Rango de Tiempo.
Paso 9. El protocolo usado en la ACE se configura para todos los protocolos de red ruteados para filtrar los paquetes a medida que los paquetes pasan a través de un router. Haga clic en el botón de opción Protocol deseado de las siguientes opciones:
· Cualquiera: elige cualquiera de los protocolos ACE basados en IPv4.
· Seleccionar de la lista: elija cualquiera de los protocolos de la lista desplegable.
· ID de protocolo para coincidir: se utiliza para hacer coincidir el protocolo con un ID. El valor predeterminado para diferentes protocolos como TCP que es 6, UDP que es 17 y para ICMP que es 58 y así sucesivamente o el usuario puede definir cualquier valor en él.
Paso 10. En el campo Dirección IP de origen, haga clic en una de las opciones disponibles como dirección IP de origen:
· Any: esta opción aplica la regla de acceso a cualquiera de las direcciones IP disponibles en un segmento de red específico.
· definido por el usuario: esta opción le permite introducir una dirección IP específica.
- Valor de la dirección IP de origen: en este campo, introduzca la dirección IP de origen.
- Máscara comodín de IP de origen: en este campo, introduzca la máscara comodín de la dirección IP de origen. La máscara comodín le permite especificar a qué host de la dirección IP de origen se aplica esta lista de acceso.
Paso 11. En el campo Destination IP Address (Dirección IP de destino), haga clic en una de las opciones disponibles como la dirección IP de destino:
· Any: esta opción aplica la regla de acceso a cualquiera de las direcciones IP disponibles en un segmento de red específico.
· definido por el usuario: esta opción le permite introducir una dirección IP específica para aplicar la regla de acceso:
- Valor de dirección IP de destino: en este campo, introduzca la dirección IP de destino.
- Máscara comodín de IP de destino: en este campo, introduzca la máscara comodín de la dirección IP de destino. La máscara comodín le permite especificar a qué hosts de la dirección IP de destino se aplica esta lista de acceso.
Paso 12. El campo Puerto de Origen se habilita solamente cuando se elige TCP o UDP del Paso 5. Haga clic en el botón de opción de una de las opciones disponibles para elegir el puerto de origen:
· Any: esta opción acepta cualquier puerto de origen.
· Single: esta opción le permite introducir un único valor de puerto de origen.
Rango de ·: esta opción le permite introducir un rango de puertos de origen disponibles.
Paso 13. El campo Destination Port (Puerto de destino) está habilitado sólo cuando se elige TCP o UDP en el Paso 5. Haga clic en el botón de opción de una de las opciones disponibles para elegir el puerto de destino:
· Any: esta opción acepta cualquier puerto de destino.
· Single: esta opción le permite introducir un único valor de puerto de destino.
Rango de ·: esta opción permite introducir un intervalo de puertos de destino disponibles.
Paso 14. Los campos TCP Flags se habilitan sólo cuando se elige TCP del paso 5. Haga clic en uno de los botones de opción de cada indicador para determinar cómo filtrar los valores del indicador TCP. Configure como 1 o encendido, Unset como 0 o desactivado, o No se preocupe como x.
· Urg: este indicador se utiliza para identificar los datos entrantes como urgentes.
· Ack: este indicador se utiliza para confirmar la recepción correcta de los paquetes.
· Psh: este indicador se utiliza para garantizar que los datos reciben la prioridad (que merece) y se procesan en el extremo de envío o recepción.
· Rst: este indicador se utiliza cuando llega un segmento que no está destinado a la conexión actual.
· Syn: este indicador se utiliza para las comunicaciones TCP.
· Fin: este indicador se utiliza cuando finaliza la comunicación o la transferencia de datos.
Paso 15. Haga clic en un tipo de servicio que es el tráfico de control de congestión, para el cual el host se desconecta en caso de congestión.
· Any: puede ser cualquier tipo de servicio para la congestión del tráfico.
· DSCP para que coincida: elija esta opción para implementar el punto de código de servicio diferenciado (DSCP) como un tipo de servicio. DSCP es un mecanismo para clasificar y administrar el tráfico de red. Introduzca el valor DSCP que desea aplicar a la regla de acceso.
· precedencia IP para que coincida: para establecer un tipo de preferencia para los paquetes IPv6. Las palabras clave asociadas con los valores de preferencia IP son 0 para rutinaria, 1 para prioridad, 2 para inmediata, 3 para flash, 4 para flash-override, 5 para crítico, 6 para Internet, 7 para red. Introduzca el valor que desea aplicar a la regla de acceso.
Paso 16. Los campos ICMP se habilitan sólo cuando se elige el protocolo ICMP del Paso 5. Se utiliza para enviar mensajes de error cuando el servicio no está disponible o no se ha podido alcanzar un host o un router. También se utiliza para retransmitir mensajes de consulta. Haga clic en uno de los botones de opción disponibles para filtrar los tipos de mensajes ICMP:
· Cualquiera: puede ser cualquiera de los mensajes de error o de consulta.
· Seleccionar de la lista: elija cualquiera de los mensajes de control permitidos de la lista desplegable.
· tipo ICMP para que coincida: el usuario debe introducir un rango entre 0 y 255 para que coincida con los mensajes de control ICMP.
Paso 17. El código ICMP se habilita solamente cuando se elige el protocolo ICMP del Paso 5. Se utiliza para proporcionar información más específica de los mensajes de control con un valor. Haga clic en una de las opciones disponibles:
· Any: puede ser cualquier valor que coincida con el mensaje de control.
· definido por el usuario: introduzca el código ICMP que desea filtrar. El valor se define desde el intervalo entre 0 y 255, para que coincida con los mensajes de control.
Paso 18. Los campos IGMP se habilitan sólo cuando se elige el protocolo IGMP del Paso 5. Administra la pertenencia de host en grupos de multidifusión IP en un segmento de red. Haga clic en uno de los botones de opción disponibles para filtrar los tipos de mensajes IGMP:
· Any: puede realizar cualquiera de las acciones de IGMP.
· Seleccionar de la lista: elija cualquiera de los protocolos de la lista desplegable.
- DVMRP: Utiliza una técnica de inundación de trayectoria inversa, enviando una copia de un paquete recibido a través de cada interfaz excepto la a la que llegó el paquete.
- Host-Query: envía periódicamente mensajes generales de consulta de host en cada red conectada para obtener información
- Host-Reply — Responde a la consulta .
- PIM: se utiliza entre los routers multicast locales y remotos para dirigir el tráfico multicast desde el servidor multicast a muchos clientes multicast.
- Seguimiento: proporciona información sobre cómo unirse y salir de los grupos de multidifusión IGMP.
· tipo de coincidencia IGMP: coincide con el protocolo IGMP con la dirección IP de origen y destino y la máscara, y también con el tipo IGMP que tiene un número en decimal.
Paso 19. Haga clic en Aplicar, que hace que la ACE basada en IPv4 se escriba en el archivo de configuración en ejecución.
Paso 20. (Opcional) Haga clic en Tabla ACL Basada en IPv4 para ir a la página ACL Basada en IPv4.