Un Access Control List de la red (ACL) es una capa opcional de Seguridad que actúe como Firewall para el tráfico que controla dentro y fuera de una subred. Las Listas de acceso son colecciones de permiso y niegan las condiciones, o las reglas, que proporcionan a la Seguridad por varias razones. Por ejemplo, estas reglas pueden bloquear a los usuarios no autorizados, permitir que los usuarios autorizados tengan acceso a los recursos específicos, y bloquear cualquier tentativa injustificable de alcanzar a los recursos de red.
El objetivo de este documento es mostrarle cómo configurar las reglas ACL en el WAP 371.
• WAP371
• v1.2.0.2
Paso 1. Ábrase una sesión a la utilidad de configuración de la red y elija al cliente QoS > ACL. La página ACL se abre:
Paso 2. Ingrese el nombre deseado ACL en el campo de nombre ACL. El rango es a partir de 1-31 caracteres.
Nota: El nombre ACL es un identificador para el ACL determinado; no tiene ningún impacto en la operación del dispositivo.
Paso 3. Seleccione el tipo ACL del tipo lista desplegable ACL.
Las opciones son como sigue:
• IPv4 – Un direccionamiento de 32 bits (del cuatro-byte).
• IPv6 – Un sucesor a IPv4, consiste en un direccionamiento del 128-bit (8-byte).
• MAC – La dirección MAC es la dirección única asignada a un interfaz de red.
Nota: IPv4 y el IPv6 ACL controlan el acceso a los recursos de red basados en los criterios de la capa 3 y de la capa 4. El MAC ACL controla el acceso basado en los criterios de la capa 2.
Paso 4. El tecleo agrega el ACL para agregar el nuevo ACL.
Nota: Las capturas de pantalla siguientes son para las reglas IPv4 ACL pero son permutables con las reglas del IPv6 ACL.
Paso 1. Seleccione una acción para la regla de la lista desplegable de la acción.
Se describen las opciones como sigue:
• Permiso – La regla permite todo el tráfico que cumpla los criterios de regla para ingresar o para salir el dispositivo WAP. Trafique se cae que no cumple los criterios.
• Niegue – La regla bloquea todo el tráfico que cumpla los criterios de regla de ingresar o de salir el dispositivo WAP. Trafique que no cumple los criterios se remite a la regla siguiente. Si es la regla final, se cae el tráfico que no se permite explícitamente.
Paso 2. Controle o uncheck la coincidencia cada checkbox del paquete. Si está seleccionada, la regla, que tiene un permiso o niega la acción, hace juego el marco o paquete sin importar su contenido.
Nota: Si usted selecciona este campo, usted no puede configurar ningunos criterios de concordancia adicionales. La coincidencia cada opción del paquete se selecciona por abandono para una nueva regla. Usted debe borrar la opción para configurar otros campos de la coincidencia.
Paso 3. Controle el checkbox del protocolo para utilizar la condición de la coincidencia de un protocolo L3 o L4 basada en el valor protocolo IP del campo en los paquetes IPv4 o el campo del encabezado siguiente en los paquetes del IPv6. Si se controla el checkbox del protocolo, seleccione uno de los botones de radio siguientes.
Se describen las opciones como sigue:
• Seleccione de la lista — Elija un protocolo de la selección de la lista desplegable de la lista. Las opciones son como sigue:
– IP – El Internet Protocol (IP) es el protocolo de comunicaciones del principio en la habitación del protocolo de Internet para retransmitir los datos a través de las redes.
– ICMP – El Internet Control Message Protocol (ICMP) es un protocolo en la habitación del protocolo de Internet que es utilizada por los dispositivos como el Routers para enviar los mensajes de error.
– IGMP – El Internet Group Management Protocol (IGMP) es un protocolo de comunicaciones usado por el host para establecer las calidades de miembro de grupo de multidifusión en las redes IPv4.
– TCP – El Transmission Control Protocol (TCP) permite a dos host establecer una conexión y los flujos de datos del intercambio.
– UDP – El protocolo UDP es un protocolo en la habitación del protocolo de Internet que utiliza un modelo sin conexión de la transmisión.
• Emparejamiento a valorar — Ingrese un ID del protocolo IANA-asignado estándar que se extienda a partir de la 0 a 255 para todos los protocolos sin apuntar. Refiera a los números asignados del protocolo de Internet para más información sobre los ID del protocolo IANA-asignados.
Paso 4. Controle el checkbox de la dirección IP de la fuente para incluir una dirección IP de la fuente en la condición de la coincidencia. Ingrese el IP address y la máscara de la placa comodín de la fuente en sus campos respectivos. La máscara de la placa comodín determina qué bits de la dirección de origen se utilizan y se ignoran cuáles. Puede ser pensado en como máscara de subred invertida. Esto es útil para indicar el tamaño de una red o la subred para algunos protocolos de la encaminamiento o permitir o negar un rango de los IP Addresses.
Nota: Se requiere el campo de la máscara de la placa comodín si se controla el checkbox de la dirección IP de la fuente.
Paso 5. Controle el checkbox del puerto de origen para incluir un puerto de origen en la condición de la coincidencia. Si se controla el checkbox del puerto de origen, seleccione uno de los botones de radio siguientes.
Se describen las opciones como sigue:
• Seleccione de la lista — Elija un puerto de origen de la selección de la lista desplegable de la lista. Las opciones son como sigue:
– FTP – El File Transfer Protocol (FTP) es un protocolo de red estándar usado para transferir los ficheros a partir de un host a otro sobre una red TCP-basada tal como Internet.
– Datos FTP – Un canal de datos iniciado por el servidor conectó con un cliente, típicamente vía el puerto 20.
– HTTP – El Hypertext Transfer Protocol (HTTP) es un Application Protocol que es la fundación de comunicación de datos para el World Wide Web.
– SMTP – El Simple Mail Transfer Protocol (SMTP) es un estándar de Internet para la transmisión del correo electrónico (correo electrónico).
– SNMP – El Simple Network Management Protocol (SNMP) es un protocolo estándar de Internet para manejo de los dispositivos en las redes IP.
– Telnet – Un protocolo de la capa de sesión usado en Internet o las redes de área local para proporcionar a la comunicación centrada en el texto interactiva bidireccional.
– TFTP – El Trivial File Transfer Protocol (TFTP) es una utilidad de software de Internet para los ficheros de transferencia que es más simple utilizar que el FTP pero menos capaz.
– WWW – El World Wide Web es un sistema de servidores de Internet que utilicen los documentos formatados HTTP.
• Emparejamiento al puerto — Ingrese el número del puerto que se extiende a partir de la 0 a 65535 en el emparejamiento al campo de puerto para los puertos de origen sin apuntar. El rango incluye tres diversos tipos de puertos. Se describen los rangos como sigue:
– 0 a 1023 — Puertos conocidos.
– 1024 a 49151 — Puertos registradoes.
– 49152 a 65535 — Puertos dinámicos y/o privados.
Paso 6. Controle el checkbox de la dirección IP del destino para incluir la dirección IP del destino en la condición de la coincidencia. Ingrese el IP address y la máscara de la placa comodín del destino en sus campos respectivos. La máscara de la placa comodín determina qué bits de la dirección de origen se utilizan y se ignoran cuáles. Puede ser pensado en como máscara de subred invertida. Esto es útil para indicar el tamaño de una red o la subred para algunos protocolos de la encaminamiento o permitir o negar un rango de los IP Addresses.
Nota: Se requiere el campo de la máscara de la placa comodín si se controla el checkbox de la dirección IP del destino.
Nota: Si usted desea hacer juego solamente una sola dirección IP, utilice la máscara de la placa comodín de 0.0.0.0.
Paso 7. Controle el checkbox del puerto de destino para incluir un puerto de destino en la condición de la coincidencia. Si se controla la casilla de verificación del puerto de destino, seleccione uno de los botones de radio siguientes.
Se describen las opciones como sigue:
• Seleccione de la lista — Elija un puerto de destino de la selección de la lista desplegable de la lista. Las opciones de la lista desplegable son como sigue:
– FTP – El File Transfer Protocol (FTP) es un protocolo de red estándar usado para transferir los ficheros a partir de un host a otro sobre una red TCP-basada tal como Internet.
– Datos FTP – Un canal de datos iniciado por el servidor conectó con un cliente, típicamente vía el puerto 20.
– HTTP – El Hypertext Transfer Protocol (HTTP) es un Application Protocol que es la fundación de comunicación de datos para el World Wide Web.
– SMTP – El Simple Mail Transfer Protocol (SMTP) es un estándar de Internet para la transmisión del correo electrónico (correo electrónico).
– SNMP – El Simple Network Management Protocol (SNMP) es un protocolo estándar de Internet para manejo de los dispositivos en las redes IP.
– Telnet – Un protocolo de la capa de sesión usado en Internet o las redes de área local para proporcionar a la comunicación centrada en el texto interactiva bidireccional.
– TFTP – El Trivial File Transfer Protocol (TFTP) es una utilidad de software de Internet para los ficheros de transferencia que es más simple utilizar que el FTP pero menos capaz.
– WWW – El World Wide Web es un sistema de servidores de Internet que utilicen los documentos formatados HTTP.
• Emparejamiento al puerto — Ingrese el número del puerto que se extiende a partir de la 0 a 65535 en el emparejamiento al campo de puerto para los puertos de destino sin apuntar. El rango incluye tres diversos tipos de puertos. Se describen los rangos como sigue:
– 0 a 1023 — Puertos conocidos.
– 1024 a 49151 — Puertos registradoes.
– 49152 a 65535 — Puertos dinámicos y/o privados.
Nota: Solamente uno de los servicios se puede seleccionar del área de tipo de servicio y se puede agregar para la condición de la coincidencia.
Paso 1. Controle el checkbox IP DSCP para hacer juego los paquetes basados en los valores IP DSCP. DSCP se utiliza para especificar las prioridades de tráfico sobre la encabezado IP del bastidor. Esto categoriza todos los paquetes para el flujo de tráfico asociado con el valor IP DSCP que usted selecciona de la lista. Si se controla el checkbox IP DSCP, seleccione uno de los botones de radio siguientes.
Se describen las opciones como sigue:
• Seleccione de la lista — Elija un valor IP DSCP de la selección de la lista desplegable de la lista. Las opciones son como sigue:
– Expedición confiada DSCP (COMO) - permite que el operador ofrezca la garantía de la salida mientras el tráfico no exceda alguno tarifa suscrita.
– Clase de servicio (CS) – permite la compatibilidad con versiones anteriores con los dispositivos de red que todavía utilizan el campo de precedencia.
– Expedición apresurada (EF) - Utilizado para construir un de pequeñas pérdidas, latencia baja, fluctuación baja, ancho de banda confiado, servicio de punta a punta con los dominios DS (DiffServ).
• Emparejamiento a valorar — Ingrese el valor DSCP que se extiende a partir de la 0 a 63 en el emparejamiento al campo de valor para personalizar los valores DSCP.
Nota: Refiera a DSCP y a los valores de precedencia para otros detalles en DSCP.
Paso 2. Controle el checkbox de la Prioridad IP para incluir un valor de la Prioridad IP en la condición de la coincidencia. Esto es un mecanismo para asignar una prioridad a cada paquete IP donde está la prioridad 0 más baja y 7 es los más altos. Si se controla el checkbox de la Prioridad IP, ingrese un valor de la Prioridad IP que se extienda a partir de la 0 a 7.
Nota: Refiera a DSCP y a los valores de precedencia para otros detalles en la Prioridad IP.
Paso 3. Controle el checkbox de los bits TOS IP para utilizar los bits del Tipo de servicio (ToS) del paquete en la encabezado IP como criterios de concordancia. Un campo TOS se utiliza para especificar la prioridad de un datagrama y para encaminarla por consiguiente. Si se controla el checkbox de los bits TOS IP, ingrese los bits TOS IP que se extiende de 00-FF y de la máscara TOS IP que se extiende de 00-FF en sus campos respectivos.
El paso 4. (opcional) si usted quiere entonces suprimir el ACL configurado, controla el checkbox de la cancelación ACL.
Paso 5. Salvaguardia del tecleo para salvar las configuraciones.
Paso 1. Controle el checkbox de la escritura de la etiqueta del flujo del IPv6 para fijar un número 20-bit que sea único a un paquete del IPv6. Es utilizado por las estaciones del extremo para significar QoS que dirige en el Routers (rango 0 a 1048575).
Paso 2. Controle el checkbox del IPv6 DSCP para hacer juego los paquetes basados en los valores IP DSCP. DSCP se utiliza para especificar las prioridades de tráfico sobre la encabezado IP del bastidor. Esto categoriza todos los paquetes para el flujo de tráfico asociado con el valor IP DSCP que usted selecciona de la lista. Si se controla el checkbox del IPv6 DSCP, seleccione uno de los botones de radio siguientes.
Se describen las opciones como sigue:
• Seleccione de la lista — Elija un valor IP DSCP de la selección de la lista desplegable de la lista. Las opciones son como sigue:
– Expedición confiada DSCP (COMO) - permite que el operador ofrezca la garantía de la salida mientras el tráfico no exceda alguno tarifa suscrita.
– Clase de servicio (CS) – permite la compatibilidad con versiones anteriores con los dispositivos de red que todavía utilizan el campo de precedencia.
– Expedición apresurada (EF) - Se utiliza para construir un de pequeñas pérdidas, latencia baja, fluctuación baja, ancho de banda confiado, servicio de punta a punta con los dominios DS (DiffServ).
• Emparejamiento a valorar — Ingrese el valor DSCP que se extiende a partir de la 0 a 63 en el emparejamiento al campo de valor para personalizar los valores DSCP.
Nota: Refiera a DSCP y a los valores de precedencia para otros detalles en DSCP.
El paso 3. (opcional) si usted quiere entonces suprimir el ACL configurado, controla el checkbox de la cancelación ACL.
Paso 4. Salvaguardia del tecleo para salvar las configuraciones.
Paso 1. Seleccione una acción para la regla de la lista desplegable de la acción.
Se describen las opciones como sigue:
• Permiso – La regla permite todo el tráfico que cumpla los criterios de regla para ingresar o para salir el dispositivo WAP. Trafique se cae que no cumple los criterios.
• Niegue – La regla bloquea todo el tráfico que cumpla los criterios de regla de ingresar o de salir el dispositivo WAP. Trafique que no cumple los criterios se remite a la regla siguiente. Si es la regla final, se cae el tráfico que no se permite explícitamente.
Paso 2. Controle o uncheck la coincidencia cada checkbox del paquete. Si está seleccionada, la regla, que tiene un permiso o niega la acción, hace juego el marco o paquete sin importar su contenido.
Nota: Si usted selecciona este campo, usted no puede configurar ningunos criterios de concordancia adicionales. La coincidencia cada opción del paquete se selecciona por abandono para una nueva regla. Usted debe borrar la opción para configurar otros campos de la coincidencia.
Paso 3. Controle el checkbox del tipo Ether para comparar los criterios de concordancia contra el valor en la encabezado de un bastidor de los Ethernetes. Si se controla el checkbox del tipo Ether, seleccione uno de los botones de radio siguientes.
Se describen las opciones como sigue:
• Seleccione de la lista — Elija un protocolo de la selección de la lista desplegable de la lista. Las opciones son como sigue:
– APPLETALK - El APPLETALK es una habitación propietaria de los protocolos de establecimiento de una red desarrollados por Apple Inc. para sus computadoras Macintosh. El APPLETALK incluyó varias características que permitieron que las redes de área local fueran conectadas sin la disposición anterior o la necesidad de un router o de un servidor centralizado de cualquier clase.
– ARP - El Address Resolution Protocol (ARP) es un protocolo de la telecomunicación usado para la resolución de las direcciones de capa de red en los direccionamientos de la capa de link, una función crítica en las redes del acceso múltiple.
– IPv4 - La versión 4 (IPv4) del protocolo de Internet es la cuarta versión en el desarrollo del Internet Protocol (IP). Es uno de los protocolos de la base de los métodos estándar-basados de la Interacción en Internet.
– IPv6 - La versión 6 (IPv6) del protocolo de Internet es la mayoría de la versión reciente del Internet Protocol (IP), el protocolo de comunicaciones que proporciona a un sistema de la identificación y de localización para los ordenadores en las redes y encamina el tráfico a través de Internet.
– IPX - El Intercambio de paquetes entre redes (IPX) es el protocolo de la capa de red en el Conjunto de protocolos IPX/SPX. El IPX se deriva del IDP de los Xerox Network System. Puede actuar como protocolo de capa de transporte también.
– NetBIOS - NetBIOS es siglas para el sistema de entrada y salida del básico de red. Proporciona los servicios relacionados con la capa de sesión del modelo de OSI permitiendo que las aplicaciones en los ordenadores separados comuniquen sobre una red de área local. Como estrictamente API, NetBIOS no es un protocolo de establecimiento de una red.
– PPPOE - El Point-to-Point Protocol over Ethernet (PPPoE) es un protocolo de red para encapsular los marcos PPP dentro de los marcos de los Ethernetes.
• Emparejamiento a valorar — Ingrese un identificador del protocolo personalizado al cual se correspondan con los paquetes. El valor es un número hexadecimal de cuatro cifras en el rango de 0600 a FFFF.
Paso 4. Controle la clase de checkbox del servicio para ingresar una prioridad de usuario 802.1p para comparar contra un marco de los Ethernetes. Como la Prioridad IP, 0 es la prioridad más baja y 7 es los más altos. El intervalo válido es a partir la 0 a 7.
Paso 5. Controle el checkbox del MAC address de la fuente para ingresar un MAC address de la fuente para comparar contra un marco de los Ethernetes. Si se controla el checkbox del MAC address de la fuente, ingrese el MAC address de la fuente en el campo del MAC address de la fuente. Entonces ingrese la máscara del MAC address de la fuente en el campo de la máscara del MAC de origen. Esto especificará qué bits de la dirección MAC de la fuente serán comparados contra un marco de los Ethernetes.
Nota: Si usted desea hacer juego solamente una sola dirección MAC, utilice la máscara de la placa comodín de 00:00:00:00:00:00.
Paso 6. Controle el checkbox del MAC address del destino para ingresar un MAC address del destino para comparar contra un marco de los Ethernetes. Si se controla el checkbox del MAC address del destino, ingrese el MAC address del destino en el campo del MAC address del destino. Entonces ingrese la máscara del MAC address en el campo de la máscara MAC del destino. Esto especificará qué bits de la dirección MAC del destino serán comparados contra un marco de los Ethernetes.
Nota: Si usted desea hacer juego solamente una sola dirección MAC, utilice la máscara de la placa comodín de 00:00:00:00:00:00.
Paso 7. Controle el checkbox identificación del VLA N para ingresar una identificación del VLA N para comparar contra un marco de los Ethernetes. Si se controla el checkbox identificación del VLA N, ingrese la identificación del VLA N en el campo identificación del VLA N. El rango identificación del VLA N es a partir de la 0-4095.
El paso 8. (opcional) si usted quiere entonces suprimir el ACL configurado, controla el checkbox de la cancelación ACL.
Paso 9. Salvaguardia del tecleo para salvar las configuraciones.