Criando uma ACL baseada em MAC no SG350XG e no SG550XG

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (923.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de agosto de 2017
ID do documento:SMB5108

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Criando uma ACL baseada em MAC no SG350XG e no SG550XG

Objetivo

Uma lista de controle de acesso (ACL) é um conjunto de regras que podem ser criadas para manipular pacotes, dependendo se eles atendem a determinados critérios. Esses critérios podem ser endereços de origem ou destino, campos de cabeçalho e outros vários componentes de um pacote. Se um pacote corresponder aos critérios especificados de uma ACL, ele será descartado ou terá permissão para continuar. Uma ACL baseada em MAC usa regras que analisam o cabeçalho de Camada 2 de um pacote para esses critérios, como endereços MAC, IDs de VLAN e valores Ethertype. A implementação de uma ACL baseada em MAC permite que você controle os pacotes que trafegam pelo switch no nível da Camada 2.

O objetivo deste documento é mostrar como criar e configurar uma ACL baseada em MAC nos switches SG350XG e SG550XG.

Dispositivos aplicáveis

  • SG350XG
  • SG550XG

Versão de software

  • v2.0.0.73

Configurando ACLs baseadas em MAC

Criando uma ACL e regras

Etapa 1. Inicie a sessão no utilitário de configuração da Web e escolha Controle de acesso > ACL baseada em MAC. A página MAC-Based ACL é aberta.

Etapa 2. A tabela de ACLs baseadas em MAC exibirá todas as ACLs baseadas em MAC atualmente no switch. Para criar uma nova ACL, clique no botão Add... (Adicionar). A janela Add MAC-Based ACL será aberta.

Etapa 3. No campo Nome da ACL, digite o nome da nova ACL. Esse nome não afetará a função da ACL e destina-se apenas para fins de identificação.

Etapa 4. Clique em  Apply (Aplicar). A nova ACL será adicionada à tabela ACL baseada em MAC. Clique em Fechar para retornar à página ACL baseada em MAC ou crie outra ACL repetindo a etapa anterior.

Etapa 5. Qualquer ACL recém-criada estará vazia; ou seja, ele não conterá nenhuma regra para bloquear ou permitir pacotes baseados em endereços MAC. Para criar essas regras, uma entrada de controle de acesso (ACE) deve ser adicionada à ACL. Para fazer isso, clique no botão MAC-Based ACE Table para ir para a página MAC-Based ACE.

Etapa 6. Na página MAC-Based ACE, selecione a ACL à qual deseja adicionar uma ACE através da lista suspensa na parte superior da MAC-Based ACE Table e clique em Go. A tabela exibe todas as ACEs atualmente associadas à ACL selecionada. Para adicionar uma ACE, clique no botão Add... (Adicionar...). A janela Add MAC-Based ACE será aberta.

Etapa 7. O campo Nome da ACL exibirá o nome da ACL à qual você está adicionando uma ACE. No campo Priority , insira um número de prioridade para a ACE. Quanto maior a prioridade de um ACE, mais rápido ele será processado. O intervalo é de 1 a 2147483647, sendo 1 a prioridade mais alta.

Etapa 8. No campo Action, selecione um botão de opção para determinar o que acontecerá quando os critérios do ACE forem atendidos.

As opções são:

  • Permit - Encaminhar pacotes que atendam aos critérios.
  • Negar - Descartar pacotes que atendam aos critérios.
  • Shutdown (Desligar) - Descarte os pacotes que atendam aos critérios e desative a porta.

Etapa 9. No campo Logging, marque a caixa de seleção Enable para habilitar os fluxos de ACL de registro que correspondam à regra ACE. Se você estiver usando o modo de exibição Básico, vá para a Etapa 12. O modo de exibição pode ser alterado através da lista suspensa no canto superior direito do utilitário da Web.

Etapa 10. No campo Time Range, marque a caixa de seleção Enable para que a ACE fique ativa apenas durante um intervalo de tempo especificado. Se não houver intervalos de tempo existentes configurados no switch, esse campo não estará disponível.

Etapa 11. Se você tiver ativado um intervalo de tempo para essa ACE, o campo Nome do intervalo de tempo estará disponível. Use a lista suspensa para selecionar um intervalo de tempo já configurado no switch para aplicar à ACE. Se não existirem intervalos de tempo no switch, este campo não estará disponível; clique no link Editar para ir para a página Intervalo de tempo para criar ou modificar intervalos de tempo. Para obter mais informações, consulte o artigo Setting Up a Time Range on the SG350XG and SG550XG.

Etapa 12. No campo Endereço MAC de Destino, selecione um botão de opção para determinar quais endereços MAC de destino constituirão uma correspondência. Selecione Any para que qualquer endereço de destino seja uma correspondência ou User Defined para especificar um endereço ou intervalo de endereços.

Se você selecionou Definido pelo Usuário, preencha os seguintes campos:

  • Destination MAC Address Value - (Valor do endereço MAC destino) Insira o endereço MAC destino. Se um pacote contiver esse endereço de destino, a ACE o considerará uma correspondência.
  • Destination MAC Wildcard Mask - (Máscara curinga MAC de destino) Insira uma máscara para definir um intervalo de endereços. Definir um bit como 1 fará com que o bit correspondente no endereço MAC seja ignorado, e 0 será bits correspondentes.

Nota: Dada uma máscara de 0000 000 000 000 000 000 000 000 000 000 0000 0000 0000 1111 1111 (o que significa que você combina nos bits onde há 0 e não combina nos bits onde há 1s). Você precisa converter os 1s em um valor hexadecimal e escrever 0 para cada quatro zeros. Neste exemplo, como 1111 1111 = FF, a máscara seria gravada: como 00:00:00:00:00:FF.

Etapa 13. No campo Endereço MAC de Origem, selecione um botão de opção para determinar quais endereços MAC de origem constituirão uma correspondência. Selecione Any para que qualquer endereço de origem seja uma correspondência ou User Defined para especificar um endereço ou intervalo de endereços.

Se você selecionou Definido pelo Usuário, preencha os seguintes campos:

  • Source MAC Address Value - (Valor do endereço MAC de origem) Insira o endereço MAC de origem. Se um pacote contiver esse endereço de origem, a ACE o considerará uma correspondência.
  • Máscara Curinga do MAC de Origem - Insira uma máscara para definir um intervalo de endereços. A definição de um bit como 1 fará com que o bit correspondente no endereço MAC seja ignorado, e 0 será bits correspondentes (por exemplo, 00:00:00:00:00:11).

Nota: Dada uma máscara de 0000 000 000 000 000 000 000 000 000 000 0000 0000 0000 1111 1111 (o que significa que você combina nos bits onde há 0 e não combina nos bits onde há 1s). Você precisa converter os 1s em um valor hexadecimal e escrever 0 para cada quatro zeros. Neste exemplo, como 1111 1111 = FF, a máscara seria gravada: como 00:00:00:00:00:FF.

Etapa 14. No campo VLAN ID, insira um VLAN ID de 1 a 4094. Se um pacote contiver essa ID de VLAN, o ACE o considerará uma correspondência. Este campo não é obrigatório; deixá-lo em branco fará com que o ACE não considere as IDs de VLAN ao examinar pacotes.

Etapa 15. No campo 802.1p, marque a caixa de seleção Incluir para que o ACE inclua critérios 802.1p. Se você incluiu critérios 802.1p, insira um valor e uma máscara 802.1p nos campos Valor 802.1p e Máscara 802.1p, respectivamente. O intervalo para ambos os campos é de 0 a 7. Se um pacote contiver o valor 802.1p correspondente e se ajustar à máscara, o ACE o considerará uma correspondência.

Etapa 16. No campo Ethertype, insira um valor Ethertype que será comparado com os pacotes de entrada. Ethertype é um campo de dois octetos em um quadro que indica qual protocolo está encapsulado no pacote. O intervalo é 5DD- FFFF. Se um pacote contiver o valor Ethertype especificado, a ACE o considerará uma correspondência. Uma lista de valores Ethertype pode ser encontrada nesta página de padrões IEEE.

Etapa 17. Clique em  Apply (Aplicar). A ACE será adicionada à ACL especificada. Clique em Fechar para retornar à página MAC-Based ACE.

Mapeando uma ACL baseada em MAC para portas

Etapa 1. Uma ACL pode ser mapeada para portas ou VLANs. Para mapear uma ACL baseada em MAC para uma porta ou portas, navegue para Controle de acesso > Associação de ACL (Porta). A página Ligação ACL (Porta) é aberta.

Etapa 2. Na lista suspensa na parte superior da Tabela de Ligação ACL, selecione portas ou LAG (grupo de agregação de links) como um tipo de interface. Se o switch fizer parte de uma pilha, as portas de outras unidades podem ser selecionadas. Clique em Go para exibir uma lista do tipo de interface especificado.

Etapa 3. Marque a caixa de seleção de uma interface e clique no botão Edit.... A janela Edit ACL Binding é aberta.

Etapa 4. O campo Interface exibe a porta ou o LAG que está sendo configurado no momento. Ele mostrará automaticamente a interface selecionada na tabela de vinculação ACL. Esse campo pode ser usado para alternar rapidamente entre diferentes interfaces sem retornar à página Associação ACL (Porta).

Etapa 5. Marque a caixa de seleção Select MAC-Based ACL e use a lista suspensa para selecionar uma ACL a ser mapeada para a interface especificada.

Etapa 6. No campo Default Action, selecione um botão de opção para determinar como os pacotes que não correspondem aos critérios da ACL serão tratados. O padrão é Deny Any, que descarta todos os pacotes que não correspondem aos critérios da ACL; Permit Any encaminhará pacotes não correspondentes.

Etapa 7. Clique em  Apply (Aplicar). A ACL é mapeada para a interface especificada. Você pode usar o campo Interface para selecionar uma interface diferente a ser configurada ou clicar em Fechar para retornar à página Vinculação ACL (Porta).

Etapa 8. Para copiar rapidamente as configurações de uma interface para outras interfaces, marque a caixa de seleção da interface que deseja copiar e clique no botão Copy Settings.... A janela Copy Settings é aberta.

Etapa 9. No campo de texto, digite a interface ou interfaces para as quais deseja copiar as configurações. As interfaces podem ser separadas por vírgulas ou um intervalo pode ser especificado.

Etapa 10. Clique em  Apply (Aplicar). As configurações são copiadas.

Etapa 11. Se quiser limpar as configurações de uma interface, marque a caixa de seleção correspondente e clique em Limpar. Observe que várias interfaces podem ser selecionadas e limpas simultaneamente.

Mapeamento de uma ACL baseada em MAC para VLANs

Etapa 1. Uma ACL pode ser mapeada para portas ou VLANs. Para mapear uma ACL baseada em MAC para uma VLAN, navegue até Controle de acesso > Associação de ACL (VLAN). A página Associação ACL (VLAN) é aberta.

Etapa 2. A tabela de ligação de ACL exibe todas as ACLs mapeadas atualmente para VLANs. Se nenhuma ACL tiver sido mapeada, a tabela estará vazia. Para mapear uma ACL para uma VLAN, clique no botão Adicionar.... A janela Add ACL Binding é aberta.

Etapa 3. Selecione uma VLAN para mapear uma ACL usando a lista suspensa no campo VLAN ID. Esse campo também pode ser usado para alternar rapidamente entre diferentes VLANs sem retornar à página Associação de ACL (VLAN).

Etapa 4. Marque a caixa de seleção Select MAC-Based ACL e use a lista suspensa para selecionar uma ACL a ser mapeada para a VLAN especificada.

Note: Você não pode vincular a uma VLAN uma ACL baseada em MAC que use um ID de VLAN como parte de seus critérios. Além disso, uma ACL com um intervalo de tempo não pode ser vinculada a uma VLAN.

Etapa 5. No campo Default Action, selecione um botão de opção para determinar como os pacotes que não correspondem aos critérios da ACL serão tratados. O padrão é Deny Any, que descarta todos os pacotes que não correspondem aos critérios da ACL; Permit Any encaminhará pacotes não correspondentes.

Etapa 6. Clique em  Apply (Aplicar). A ACL é mapeada para a VLAN especificada. Você pode usar o campo VLAN ID para selecionar uma VLAN diferente para configurar ou clicar em Fechar para retornar à página Associação de ACL (VLAN).

Etapa 7. Para copiar rapidamente as configurações de uma VLAN para outras VLANs, marque a caixa de seleção da configuração da VLAN que deseja copiar e clique no botão Copy Settings... (Copiar configurações. A janela Copy Settings é aberta.

Etapa 8. No campo de texto, digite a ID da VLAN ou as IDs da VLAN para as quais deseja copiar as configurações. As IDs podem ser separadas por vírgulas ou um intervalo pode ser especificado.

Etapa 9. Clique em  Apply (Aplicar). As configurações são copiadas.

Etapa 10. Se quiser apagar as configurações de uma VLAN, marque a caixa de seleção correspondente e clique em Excluir. Observe que várias VLANs podem ser selecionadas e apagadas simultaneamente.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
11-Dec-2018
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco