Création d'une liste de contrôle d'accès MAC sur les modèles SG350XG et SG550XG
Objectif
Une liste de contrôle d'accès (ACL) est un ensemble de règles qui peuvent être créées pour manipuler des paquets selon qu'ils répondent à certains critères. Ces critères peuvent être des adresses source ou de destination, des champs d’en-tête et d’autres composants divers d’un paquet. Si un paquet correspond aux critères spécifiés par une liste de contrôle d’accès, il est abandonné ou autorisé à continuer. Une liste de contrôle d’accès basée sur MAC utilise des règles qui analysent l’en-tête de couche 2 d’un paquet pour ces critères, tels que les adresses MAC, les ID de VLAN et les valeurs Ethertype. La mise en oeuvre d'une liste de contrôle d'accès basée sur MAC vous permet de contrôler les paquets circulant sur le commutateur au niveau de la couche 2.
L'objectif de ce document est de vous montrer comment créer et configurer une liste de contrôle d'accès basée sur MAC sur les commutateurs SG350XG et SG550XG.
Périphériques pertinents
- SG350XG
- SG550XG
Version du logiciel
- v 2.0.0.73
Configuration ACL basées sur MAC
Création une liste de contrôle d'accès et des règles
Étape 1. Connectez-vous à l’utilitaire de configuration Web et choisissez Access Control > MAC-Based ACL. La page MAC-Based ACL s'ouvre.
Étape 2. La table ACL basée sur MAC affiche toutes les ACL basées sur MAC actuellement sur le commutateur. Pour créer une nouvelle liste de contrôle d’accès, cliquez sur le bouton Add.... La fenêtre Add MAC-Based ACL s'ouvre.
Étape 3. Dans le champ ACL Name, saisissez le nom de la nouvelle liste de contrôle d’accès. Ce nom n’a pas d’incidence sur la fonction de la liste de contrôle d’accès et n’est utilisé qu’à des fins d’identification.
Étape 4. Cliquez sur Apply (appliquer). La nouvelle liste de contrôle d’accès sera ajoutée à la table des listes de contrôle d’accès basées sur MAC. Cliquez sur Close pour revenir à la page MAC-Based ACL ou créez une autre liste de contrôle d'accès en répétant l'étape précédente.
Étape 5. Toute liste de contrôle d’accès nouvellement créée est vide ; c'est-à-dire qu'il ne contiendra aucune règle pour bloquer ou autoriser les paquets basés sur des adresses MAC. Pour créer ces règles, une entrée de contrôle d'accès doit être ajoutée à la liste de contrôle d'accès. Pour ce faire, cliquez sur le bouton MAC-Based ACE Table pour accéder à la page MAC-Based ACE.
Étape 6. Sur la page MAC-Based ACE, sélectionnez l'ACL à laquelle vous souhaitez ajouter un ACE via la liste déroulante en haut de la table MAC-Based ACE et cliquez sur Go. Le tableau affiche toutes les entrées ACE actuellement associées à la liste de contrôle d'accès sélectionnée. Pour ajouter une entrée de contrôle d'accès, cliquez sur le bouton Ajouter.... La fenêtre Add MAC-Based ACE s'ouvre.
Étape 7. Le champ ACL Name affiche le nom de la liste de contrôle d’accès à laquelle vous ajoutez une entrée ACE. Dans le champ Priority, entrez un numéro de priorité pour l'ACE. Plus la priorité d'un ACE est élevée, plus il sera traité rapidement. La plage est comprise entre 1 et 2147483647, 1 étant la priorité la plus élevée.
Étape 8. Dans le champ Action, sélectionnez une case d'option pour déterminer ce qui se passera lorsque les critères de l'ACE seront satisfaits.
Les options sont les suivantes :
- Autoriser - Transfère les paquets qui répondent aux critères.
- Refuser - Rejette les paquets qui répondent aux critères.
- Shutdown : abandonne les paquets qui répondent aux critères, puis désactive le port.
Étape 9. Dans le champ Logging, cochez la case Enable pour activer la journalisation des flux ACL qui correspondent à la règle ACE. Si vous utilisez le mode d'affichage de base, passez à l'étape 12. Le mode d'affichage peut être modifié via la liste déroulante dans le coin supérieur droit de l'utilitaire Web.
Étape 10. Dans le champ Time Range, cochez la case Enable pour que l'ACE ne soit active que pendant une plage de temps spécifiée. Si aucune plage horaire n’est configurée sur le commutateur, ce champ n’est pas disponible.
Étape 11. Si vous avez activé une plage de temps pour cette ACE, le champ Time Range Name sera disponible. Utilisez la liste déroulante pour sélectionner une plage de temps déjà configurée sur le commutateur à appliquer à l'ACE. Si aucune plage horaire n'existe sur le commutateur, ce champ ne sera pas disponible ; cliquez sur le lien Modifier pour accéder à la page Intervalle de temps afin de créer ou de modifier des intervalles de temps. Pour plus d'informations, consultez l'article Setting Up a Time Range sur les modèles SG350XG et SG550XG.
Étape 12. Dans le champ Destination MAC Address, sélectionnez une case d’option pour déterminer les adresses MAC de destination qui constitueront une correspondance. Sélectionnez Any pour que toute adresse de destination corresponde ou User Defined pour spécifier une adresse ou une plage d'adresses.
Si vous avez sélectionné Défini par l'utilisateur, renseignez les champs suivants :
- Destination MAC Address Value : saisissez l'adresse MAC de destination. Si un paquet contient cette adresse de destination, l'ACE la considère comme une correspondance.
- Masque générique MAC de destination : saisissez un masque pour définir une plage d'adresses. Si vous définissez un bit sur 1, le bit correspondant de l’adresse MAC sera ignoré et les 0 correspondront aux bits correspondants.
Remarque: Avec un masque de 0000 0000 0000 00000 0000 0000 00000 00000 00000 1111 111 (ce qui signifie que vous correspondez sur les bits où il y a 0 et ne correspondez pas sur les bits où il y a 1). Vous devez traduire les 1 en une valeur hexadécimale et vous écrivez 0 pour quatre zéros. Dans cet exemple, puisque 1111 1111 = FF, le masque serait écrit : comme 00:00:00:00:00:FF.
Étape 13. Dans le champ Source MAC Address, sélectionnez une case d’option pour déterminer quelles adresses MAC source constitueront une correspondance. Sélectionnez Any pour que toute adresse source corresponde ou User Defined pour spécifier une adresse ou une plage d'adresses.
Si vous avez sélectionné Défini par l'utilisateur, renseignez les champs suivants :
- Source MAC Address Value : saisissez l'adresse MAC source. Si un paquet contient cette adresse source, l'ACE la considère comme une correspondance.
- Source MAC Wildcard Mask : saisissez un masque pour définir une plage d'adresses. Si vous définissez un bit sur 1, le bit correspondant de l’adresse MAC sera ignoré et les 0 correspondront à des bits (par exemple, 00:00:00:00:00:11).
Remarque: Avec un masque de 0000 0000 0000 00000 0000 0000 00000 00000 00000 1111 111 (ce qui signifie que vous correspondez sur les bits où il y a 0 et ne correspondez pas sur les bits où il y a 1). Vous devez traduire les 1 en une valeur hexadécimale et vous écrivez 0 pour quatre zéros. Dans cet exemple, puisque 1111 1111 = FF, le masque serait écrit : comme 00:00:00:00:00:FF.
Étape 14. Dans le champ VLAN ID, saisissez un ID de VLAN compris entre 1 et 4 094. Si un paquet contient cet ID de VLAN, l'ACE le considère comme une correspondance. Ce champ n'est pas obligatoire ; Si vous le laissez vide, l'ACE ne prendra pas en compte les ID de VLAN lors de l'examen des paquets.
Étape 15. Dans le champ 802.1p, cochez la case Include pour que l'ACE inclue les critères 802.1p. Si vous avez inclus des critères 802.1p, entrez une valeur et un masque 802.1p dans les champs 802.1p Value et 802.1p Mask, respectivement. La plage pour les deux champs est comprise entre 0 et 7. Si un paquet contient la valeur 802.1p correspondante et correspond au masque, l'ACE le considérera comme une correspondance.
Étape 16. Dans le champ Ethertype, entrez une valeur Ethertype qui sera comparée aux paquets entrants. Ethertype est un champ de deux octets dans une trame qui indique le protocole encapsulé dans le paquet. La plage est 5DD- FFFF. Si un paquet contient la valeur Ethertype spécifiée, l'ACE le considérera comme une correspondance. Une liste des valeurs Ethertype est disponible sur cette page de normes IEEE.
Étape 17. Cliquez sur Apply (appliquer). L'ACE sera ajouté à la liste de contrôle d'accès spécifiée. Cliquez sur Close pour revenir à la page MAC-Based ACE.
Mappage d'une liste de contrôle d'accès MAC vers les ports
Étape 1. Une liste de contrôle d’accès peut être mappée à des ports ou à des VLAN. Pour mapper une liste de contrôle d'accès basée sur MAC à un ou plusieurs ports, accédez à Contrôle d'accès > Liaison de liste de contrôle d'accès (Port). La page ACL Binding (Port) s'ouvre.
Étape 2. Dans la liste déroulante en haut de la table de liaison ACL, sélectionnez soit les ports, soit le LAG (groupe d’agrégation de liaisons) comme type d’interface. Si le commutateur fait partie d'une pile, les ports d'autres unités peuvent être sélectionnés. Cliquez sur Go pour afficher la liste du type d'interface spécifié.
Étape 3. Cochez la case d’une interface, puis cliquez sur le bouton Edit.... La fenêtre Edit ACL Binding s'ouvre.
Étape 4. Le champ Interface affiche le port ou le LAG actuellement configuré. Elle affiche automatiquement l'interface sélectionnée dans la table de liaison de la liste de contrôle d'accès. Ce champ peut être utilisé pour basculer rapidement entre différentes interfaces sans retourner à la page Liaison ACL (Port).
Étape 5. Cochez la case Select MAC-Based ACL et utilisez la liste déroulante pour sélectionner une liste de contrôle d’accès à mapper à l’interface spécifiée.
Étape 6. Dans le champ Default Action, sélectionnez une case d’option pour déterminer comment les paquets qui ne correspondent pas aux critères de la liste de contrôle d’accès seront traités. La valeur par défaut est Deny Any, qui abandonne tous les paquets qui ne correspondent pas aux critères de la liste de contrôle d'accès ; Permit Any transfère à la place les paquets qui ne correspondent pas.
Étape 7. Cliquez sur Apply (appliquer). La liste de contrôle d’accès est mappée à l’interface spécifiée. Vous pouvez utiliser le champ Interface pour sélectionner une autre interface à configurer, ou cliquer sur Close pour revenir à la page ACL Binding (Port).
Étape 8. Pour copier rapidement les paramètres d’une interface vers d’autres interfaces, cochez la case de l’interface que vous souhaitez copier, puis cliquez sur le bouton Copier les paramètres.... La fenêtre Copy Settings s'ouvre.
Étape 9. Dans le champ de texte, saisissez la ou les interfaces vers lesquelles vous souhaitez copier les paramètres. Les interfaces peuvent être séparées par des virgules ou une plage peut être spécifiée.
Étape 10. Cliquez sur Apply (appliquer). Les paramètres sont copiés.
Étape 11. Si vous souhaitez effacer les paramètres d’une interface, cochez sa case et cliquez sur Clear. Notez que plusieurs interfaces peuvent être sélectionnées et effacées simultanément.
Mappage d’une liste de contrôle d’accès MAC à des VLAN
Étape 1. Une liste de contrôle d’accès peut être mappée à des ports ou à des VLAN. Pour mapper une liste de contrôle d'accès basée sur MAC à un VLAN, accédez à Contrôle d'accès > Liaison de liste de contrôle d'accès (VLAN). La page ACL Binding (VLAN) s'ouvre.
Étape 2. La table de liaison des listes de contrôle d’accès affiche toutes les listes actuellement mappées aux VLAN. Si aucune liste de contrôle d'accès n'a été mappée, la table est vide. Pour mapper une liste de contrôle d’accès à un VLAN, cliquez sur le bouton Add.... La fenêtre Add ACL Binding s'ouvre.
Étape 3. Sélectionnez un VLAN auquel mapper une liste de contrôle d’accès à l’aide de la liste déroulante dans le champ VLAN ID. Ce champ peut également être utilisé pour basculer rapidement entre différents VLAN sans retourner à la page Liaison ACL (VLAN).
Étape 4. Cochez la case Select MAC-Based ACL et utilisez la liste déroulante pour sélectionner une liste de contrôle d’accès à mapper au VLAN spécifié.
Remarque : Vous ne pouvez pas lier une liste de contrôle d'accès basée sur MAC qui utilise un ID de VLAN dans le cadre de ses critères à un VLAN. En outre, une liste de contrôle d’accès avec une plage de temps ne peut pas être liée à un VLAN.
Étape 5. Dans le champ Default Action, sélectionnez une case d’option pour déterminer comment les paquets qui ne correspondent pas aux critères de la liste de contrôle d’accès seront traités. La valeur par défaut est Deny Any, qui abandonne tous les paquets qui ne correspondent pas aux critères de la liste de contrôle d'accès ; Permit Any transfère à la place les paquets qui ne correspondent pas.
Étape 6. Cliquez sur Apply (appliquer). La liste de contrôle d’accès est mappée au VLAN spécifié. Vous pouvez utiliser le champ VLAN ID pour sélectionner un autre VLAN à configurer, ou cliquer sur Close pour revenir à la page ACL Binding (VLAN).
Étape 7. Pour copier rapidement les paramètres d’un réseau local virtuel sur d’autres réseaux locaux virtuels, cochez la case de la configuration de réseau local virtuel que vous souhaitez copier, puis cliquez sur le bouton Copy Settings.. (Copier les paramètres...). La fenêtre Copy Settings s'ouvre.
Étape 8. Dans le champ de texte, entrez l’ID ou les ID de VLAN vers lesquels vous souhaitez copier les paramètres. Les ID peuvent être séparés par des virgules ou une plage peut être spécifiée.
Étape 9. Cliquez sur Apply (appliquer). Les paramètres sont copiés.
Étape 10. Si vous souhaitez effacer les paramètres d’un réseau local virtuel, cochez sa case et cliquez sur Delete. Notez que plusieurs VLAN peuvent être sélectionnés et effacés simultanément.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
11-Dec-2018
|
Première publication |
Commentaires