Una lista de control de acceso (ACL) es una lista de filtros de tráfico de red y acciones correlacionadas utilizadas para mejorar la seguridad. Una lista de control de acceso contiene los hosts a los que se permite o se niega el acceso al dispositivo de red. La función QoS contiene compatibilidad con servicios diferenciados (DiffServ) que permite clasificar el tráfico en secuencias y recibir cierto tratamiento de QoS de acuerdo con los comportamientos definidos por salto.
En este artículo se explica cómo crear y configurar ACL IPv6 en puntos de acceso WAP121 y WAP321.
· WAP121
· WAP321
•v1.0.3.4
Las ACL IP clasifican el tráfico para las Capas 3 en la pila IP. Cada ACL es un conjunto de hasta 10 reglas aplicadas al tráfico enviado desde un cliente inalámbrico o recibido por un cliente inalámbrico. Cada regla especifica si el contenido de un campo determinado debe utilizarse para permitir o denegar el acceso a la red. Las reglas pueden basarse en diversos criterios y aplicarse a uno o más campos dentro de un paquete, como la dirección IP de origen o destino, el puerto de origen o de destino o el protocolo transportado en el paquete.
Paso 1. Inicie sesión en Access Point Configuration Utility y elija Client QoS > ACL. Se abre la página ACL.
Paso 2. Ingrese el nombre de la ACL en el campo ACL Name.
Paso 3. Elija el tipo IPv6 para la ACL en la lista desplegable Tipo de ACL.
Paso 4. Haga clic en Agregar ACL para crear una nueva ACL IPv6.
Paso 1. Elija la ACL de la lista desplegable ACL Name-ACL Type para la cual debe configurarse la regla.
Paso 2. Si se debe configurar una nueva regla para la ACL seleccionada, elija Nueva regla en la lista desplegable Regla. De lo contrario, elija una de las reglas actuales de la lista desplegable Regla.
Nota: Se puede crear un máximo de 10 reglas para una única ACL.
Paso 3. Elija la acción para la regla ACL en la lista desplegable Acción.
· Denegar: bloquea todo el tráfico que cumple los criterios de regla para entrar o salir del dispositivo WAP.
· Permit: permite que todo el tráfico que cumple los criterios de regla ingrese o salga del dispositivo WAP.
Precaución: Debe agregar una regla de permiso que permita el tráfico porque si se elige un permiso o una denegación siempre hay una negación implícita al final de cada regla.
Paso 4. Marque la casilla de verificación Coincidir con todos los paquetes para que coincida con la regla para cada trama o paquete, independientemente de su contenido. Si desea configurar cualquiera de los criterios de coincidencia adicionales, desmarque la casilla Coincidir con todos los paquetes.
Timesaver: Si marca la casilla Coincidir con todos los paquetes, vaya directamente al Paso 12.
Paso 5. Active la casilla de verificación Protocol para habilitar la condición de coincidencia de protocolo L3 o L4 (capa de red y transporte de la pila IP) en función del valor del campo IP Protocol en los paquetes IPv6. Si la casilla de verificación Protocol está activada, haga clic en uno de estos botones de opción.
· Seleccionar de la lista: elija un protocolo de la lista desplegable Seleccionar de la lista. La lista desplegable tiene protocolos ip, icmp, igmp, tcp, udp.
· Coincidencia con valor: para los protocolos no presentados en la lista. Introduzca un ID de protocolo asignado por IANA estándar que oscile entre 0 y 255.
Paso 6. Marque la casilla de verificación Dirección IPv6 de origen para incluir una dirección IP del origen en la condición de coincidencia. Introduzca la dirección IPv6 y la longitud del prefijo IPv6 del origen en los campos relativos.
Paso 7. Marque la casilla Puerto de Origen para incluir un puerto de origen en la condición de coincidencia. Si la casilla de verificación Puerto de origen está activada, haga clic en uno de estos botones de opción.
· Seleccionar de la lista: elija un puerto de origen en la lista desplegable Seleccionar de la lista. La lista desplegable tiene puertos ftp, ftpdata, http, smtp, snmp, telnet, tftp, www.
· Coincidencia con puerto: para el puerto de origen no presentado en la lista. Introduzca el número de puerto que va de 0 a 65535 e incluye tres tipos diferentes de puertos.
- 0 a 1023 — Puertos conocidos. Puerto utilizado por el proceso del servidor como su puerto de contacto. El puerto de contacto a veces se denomina puerto conocido.
- 1024 a 49151 — Puertos registrados. Se trata de un puerto de red que se utiliza para cierto protocolo o para una aplicación.
- 49152 a 65535 — Puertos dinámicos y/o privados. Los puertos dinámicos no son administrados por ningún órgano de gobierno como IANA y no tienen restricciones especiales de uso.
Paso 8. Marque la casilla de verificación Destination IPv6 Address para incluir la dirección IP del destino en la condición match. Introduzca la dirección IPv6 y la longitud del prefijo IPv6 del destino en los campos relativos.
Paso 9. Marque la casilla de verificación Puerto de destino para incluir un puerto de destino en la condición de coincidencia. Si la casilla de verificación Puerto de destino está activada, haga clic en uno de estos botones de opción.
· Seleccionar de la lista: elija un puerto de destino en la lista desplegable Seleccionar de la lista. La lista desplegable tiene puertos ftp, ftpdata, http, smtp, snmp, telnet, tftp, www.
· Coincidencia con puerto: para el puerto de destino no presentado en la lista. Introduzca el número de puerto que va de 0 a 65535 e incluye tres tipos diferentes de puertos.
- 0 a 1023 — Puertos conocidos.
- 1024 a 49151 — Puertos registrados.
- 49152 a 65535 — Puertos dinámicos y/o privados.
Paso 10. Marque la casilla de verificación IPv6 Flow Label para incluir la etiqueta de flujo IPv6 en la condición de coincidencia. El campo de etiqueta de flujo de 20 bits del encabezado IPv6 puede ser utilizado por un origen para etiquetar un conjunto de paquetes que pertenecen al mismo flujo. Introduzca el número que va de 00000 a FFFFF en el campo de etiqueta de flujo de IPv6.
Paso 11. Marque la casilla de verificación IP DSCP para incluir los valores IP DSCP en la condición de coincidencia. Si la casilla de verificación IP DSCP está activada, haga clic en uno de estos botones de opción.
· Seleccionar de la lista: valor DSCP IP para elegir de la lista desplegable Seleccionar de la lista. La lista desplegable tiene valores DSCP Assured Forwarding (AS), Class of Service (CS) o Expedited Forwarding (EF).
· Coincidencia con valor: para personalizar el valor DSCP que va de 0 a 63.
Paso 12. (Opcional) Si desea eliminar la ACL configurada, marque la casilla Eliminar ACL.
Paso 13. Haga clic en Guardar para guardar la configuración.