Configuration de listes de contrôle d'accès MAC (ACL) et d'entrée de contrôle d'accès (ACE) sur les commutateurs gérés de la gamme 300

Objectif

Une liste de contrôle d’accès (ACL) est une technologie de sécurité utilisée pour autoriser ou refuser le flux de trafic réseau. Les listes de contrôle d’accès basées sur MAC utilisent les informations de couche 2 pour autoriser ou refuser l’accès au trafic. Une entrée de contrôle d'accès (ACE) contient les critères de règle d'accès réels. Une fois l'ACE créée, elle est appliquée à une liste de contrôle d'accès. Les commutateurs gérés de la gamme 300 prennent en charge un maximum de 512 listes de contrôle d'accès et 512 ACE.

Cet article explique comment créer des listes de contrôle d'accès basées sur MAC et comment appliquer des ACE aux listes de contrôle d'accès sur les commutateurs gérés de la gamme 300.

Périphériques pertinents

· SG300-10PP
· SG300-10MPP
· SG300-28PP-R
· SG300-28SFP-R
· SF302-08MPP
· SF302-08PP
· SF300-24PP-R
· SF300-48PP-R

Version du logiciel

· 1.4.0.00p3 [SG300-28SFP-R]
· 6.2.10.18 [Tous les autres dispositifs applicables]

ACL basée sur MAC

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Access Control > MAC Based ACL. La page MAC Based ACL s'ouvre :

Étape 2. Cliquez sur Add. La fenêtre Add MAC-Based ACL apparaît.

Étape 3. Entrez un nom pour la liste de contrôle d’accès dans le champ Nom de la liste de contrôle d’accès.

Étape 4. Cliquez sur Apply. La liste de contrôle d’accès est créée.

ACE basé sur MAC

Lorsqu’une trame est reçue sur un port, le commutateur traite la trame via la première liste de contrôle d’accès. Si la trame correspond à un filtre ACE de la première liste de contrôle d’accès, l’action ACE a lieu. Si la trame ne correspond à aucun des filtres ACE, la liste de contrôle d’accès suivante est traitée. Si aucune correspondance n’est trouvée avec une entrée ACE dans toutes les listes de contrôle d’accès pertinentes, la trame est abandonnée par défaut.

Remarque : cette action par défaut peut être évitée par la création d'une ACE de faible priorité qui autorise tout le trafic.

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Access Control > MAC Based ACE. La page MAC Based ACE s'ouvre :

Étape 2. Dans la liste déroulante Nom de la liste de contrôle d'accès, sélectionnez une liste de contrôle d'accès à laquelle appliquer une règle.

Étape 3. Cliquez sur Go. Les ACE déjà configurés pour la liste de contrôle d’accès s’affichent.

Étape 4. Cliquez sur Add pour ajouter une nouvelle règle à la liste de contrôle d'accès. La fenêtre Add MAC-Based ACE apparaît.

Le champ Nom de la liste de contrôle d’accès affiche le nom de la liste de contrôle d’accès.

Étape 5. Saisissez la valeur de priorité de l'ACE dans le champ Priority (Priorité). Les ACE ayant une valeur de priorité supérieure sont traités en premier. La valeur 1 est la priorité la plus élevée.

Étape 6. Sélectionnez la case d'option correspondant à l'action souhaitée qui est effectuée lorsqu'une trame répond aux critères requis de l'ACE.

· Permit : le commutateur transfère les paquets qui répondent aux critères requis de l'ACE.

· Deny : le commutateur abandonne les paquets qui ne répondent pas aux critères requis de l'ACE.

· Shutdown : le commutateur abandonne les paquets qui ne répondent pas aux critères requis de l'ACE et désactive le port où les paquets ont été reçus.

Remarque : les ports désactivés peuvent être réactivés sur la page Paramètres des ports.

Étape 7. Cochez la case Activer dans le champ Plage de temps pour autoriser la configuration d'une plage de temps à l'ACE. Les plages de temps sont utilisées pour limiter la durée de validité d'une ACE.

Étape 8. Dans la liste déroulante Nom de la plage de temps, sélectionnez une plage de temps à appliquer à l'ACE.

Remarque : cliquez sur Modifier pour accéder à la page Plage de temps et en créer une.

Étape 9. Cliquez sur la case d'option qui correspond aux critères souhaités de l'ACE dans le champ Destination MAC Address.

· Any : toutes les adresses MAC de destination s'appliquent à l'ACE.

· défini par l'utilisateur : saisissez une adresse MAC et un masque générique MAC à appliquer à l'ACE dans les champs Destination MAC Address Value et Destination MAC Wildcard Mask. Les masques génériques sont utilisés pour définir une plage d’adresses MAC.

Étape 10. Cliquez sur la case d'option qui correspond aux critères souhaités de l'ACE dans le champ Adresse MAC source.

· Any : toutes les adresses MAC source s'appliquent à l'ACE.

· défini par l'utilisateur : saisissez une adresse MAC et un masque générique MAC à appliquer à l'ACE dans les champs Destination MAC Address Value et Destination MAC Wildcard Mask. Les masques génériques sont utilisés pour définir une plage d’adresses MAC.

Étape 11. Entrez un ID de VLAN qui sera associé à l’étiquette VLAN de la trame.

Étape 12. (Facultatif) Pour inclure les valeurs 802.1p dans les critères ACE, cochez la case Inclure dans le champ 802.1p. La norme 802.1p implique la classe de service (CoS) de la technologie. La CoS est un champ de 3 bits dans une trame Ethernet utilisée pour différencier le trafic.

Étape 13. Si des valeurs 802.1p sont incluses, saisissez les champs suivants.

· 802.1p Value : saisissez la valeur 802.1p qui doit correspondre. 802.1p est une spécification qui permet aux commutateurs de couche 2 de hiérarchiser le trafic et d'effectuer un filtrage multicast dynamique.

· 802.1p Mask : saisissez le masque générique des valeurs 802.1p. Ce masque générique est utilisé pour définir la plage de valeurs 802.1p.

Étape 14. Saisissez l'Ethernet de la trame à mettre en correspondance. Ethertype est un champ de deux octets dans une trame Ethernet qui est utilisé pour indiquer quel protocole est utilisé pour la charge utile de la trame.

Étape 15. Cliquez sur Apply. L'ACE est créé. Dans cet exemple, l'ACE créée refuse le trafic envoyé à partir des adresses MAC source définies vers toutes les adresses de destination.