Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

ACL baseada em IPv4 e configuração de ACE em switches ESW2-350G

Opções de download

  • PDF     (1.7 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.5 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (687.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de Abril de 2017
ID do documento:SMB3807

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

ACL baseada em IPv4 e configuração de ACE em switches ESW2-350G

Objetivo

Uma lista de controle de acesso (ACL) é uma lista ordenada de filtros e ações. Cada regra de classificação, juntamente com sua ação, é conhecida como ACE (Access Control Element, elemento de controle de acesso). Cada ACE tem vários grupos de tráfego e ações associadas. Uma ACL pode conter uma ou mais ACEs, que são comparadas ou comparadas com os pacotes de entrada na camada 3. A ação Permitir ou Negar corresponde ao filtro. Ele pode ser definido para corresponder aos protocolos IP, às portas de origem e de destino do tráfego TCP ou UDP, aos valores de flag para quadros TCP, ao tipo e código ICMP e IGMP, aos endereços IP de origem e de destino (incluindo curingas) ou aos valores de precedência DSCP/IP.

Este artigo explica como criar uma ACL baseada em IPv4 e uma ACE em switches ESW2-350G.

Note: Uma porta pode ser protegida com ACL ou configurada com uma política de QoS avançada, mas não ambas. Só pode haver uma ACL por porta, com a exceção de que é possível associar uma ACL baseada em IPv4 e uma ACL baseada em IPv6 a uma única porta. Para associar mais de uma ACL a uma porta, uma política com um ou mais mapas de classe deve ser usada.

Dispositivos aplicáveis

ESW2-350G
ESW2-350G-DC

Versão de software

•1.3.0.62

Configuração de ACL baseada em IPv4

Etapa 1. Faça login no utilitário de configuração da Web e escolha Controle de acesso > ACL baseada em IPv4. A página ACL baseada em IPv4 é aberta:

 

Etapa 2. Clique em Adicionar para adicionar uma nova lista de acesso.

 

Etapa 3. Insira um nome para a lista de acesso no campo Nome da ACL.

Etapa 4. Clique em Apply, que faz com que a ACL baseada em IPv4 seja gravada no arquivo de configuração atual.

Etapa 5. (Opcional) Para acessar a tabela ACE baseada em IPv4, clique em Tabela ACE baseada em IPv4.

Configuração ACE baseada em IPv4

Para adicionar uma ACE a uma ACL, as seguintes etapas precisam ser seguidas:

Etapa 1. Use o utilitário de configuração da Web para escolher Controle de acesso > ACEs baseadas em IPv4. A página ACE baseada em IPv4 é aberta: 

Etapa 2. Escolha uma ACL na lista suspensa e clique em Adicionar. A janela Add IPv4-based ACE é exibida:

Etapa 3. Digite a prioridade da ACE no campo Prioridade. Os valores de prioridade mais alta são processados primeiro. A prioridade mais alta é 1. Tem um intervalo de 1 a 2147483647.

Etapa 4. Clique no botão de opção Ação desejado nas seguintes opções: 

Permit (Permitir) — Permite pacotes que correspondam aos critérios ACE.

Deny — Descarta pacotes que atendem aos critérios de ACE.

Desligamento - Descarta os pacotes que atendem aos critérios de ACE e desativa a porta de onde os pacotes foram recebidos. Essas portas podem ser reativadas na página de configurações de porta.

Etapa 5. (Opcional) Marque a caixa de seleção Habilitar para habilitar o intervalo de tempo para a ACE no campo Intervalo de tempo.

Note: Um intervalo de tempo deve ser criado para aplicá-lo à ACE. Para configurar um intervalo de tempo, consulte o artigo Configuração de intervalo de tempo em Switches ESW2-350G.

Etapa 6. Se você marcou Ativar na Etapa 5, escolha o intervalo de tempo na lista suspensa Intervalo de tempo a ser aplicado à ACE.

Passo 7. Clique em Editar para ir para a página Intervalo de tempo para editar o intervalo de tempo.A janela de confirmação do fechamento da caixa de diálogo é exibida:

Observação: para configurar um intervalo de tempo, consulte o artigo Configuração de intervalo de tempo em Switches ESW2-350G.

Etapa 8. (Opcional) Clique em OK para prosseguir para a página Intervalo de tempo.

Etapa 9.  O protocolo usado na ACE é configurado para todos os protocolos de rede roteados para filtrar os pacotes à medida que eles passam por um roteador. Clique no botão de opção Protocolo desejado nas seguintes opções:

   Qualquer - Escolha qualquer um dos protocolos ACE baseados em IPv4. 

Selecione na lista — Escolha qualquer um dos protocolos na lista suspensa.

ID do protocolo para corresponder — Usado para corresponder o protocolo com um ID. O valor padrão para diferentes protocolos, como o TCP, que é 6, UDP, que é 17, e para o ICMP, que é 58 e assim por diante, ou o usuário pode definir qualquer valor nele.

 

Etapa 10. No campo Endereço IP de origem, clique em uma das opções disponíveis como o endereço IP de origem:

Qualquer - Esta opção aplica a regra de acesso a qualquer um dos endereços IP disponíveis em um segmento de rede específico.

Definido pelo usuário — Essa opção permite inserir um endereço IP específico.

- Valor do endereço IP de origem — Nesse campo, insira o endereço IP de origem.

- Máscara Curinga IP de Origem — Nesse campo, insira a máscara curinga do endereço IP de origem. A máscara curinga permite especificar a qual host do endereço IP de origem essa lista de acesso é aplicada.

Etapa 11. No campo Endereço IP de destino, clique em uma das opções disponíveis como o endereço IP de destino:

Qualquer - Esta opção aplica a regra de acesso a qualquer um dos endereços IP disponíveis em um segmento de rede específico.

Definido pelo usuário — Essa opção permite inserir um endereço IP específico para aplicar a regra de acesso:

- Valor do endereço IP de destino — Nesse campo, insira o endereço IP de destino.

- Máscara curinga IP de destino — Nesse campo, insira a máscara curinga do endereço IP de destino. A máscara curinga permite especificar a que hosts do endereço IP de destino essa lista de acesso é aplicada.

Etapa 12. O campo Porta de origem é ativado somente quando você escolhe TCP ou UDP da Etapa 5. Clique no botão de opção de uma das opções disponíveis para escolher a porta de origem:

Any — Essa opção aceita qualquer porta de origem.

Única - Essa opção permite inserir um único valor de porta de origem.

Intervalo — Essa opção permite inserir um intervalo de portas de origem disponíveis.

Etapa 13. O campo Porta de destino é ativado somente quando você escolhe TCP ou UDP da Etapa 5. Clique no botão de opção de uma das opções disponíveis para escolher a porta de destino:

Qualquer - Esta opção aceita qualquer porta de destino.

Única - Essa opção permite inserir um único valor de porta de destino.

Intervalo — Essa opção permite inserir um intervalo de portas de destino disponíveis.

 

Etapa 14. Os campos Sinalizadores TCP são ativados somente quando você escolhe o TCP da Etapa 5. Clique em um dos botões de opção de cada flag para determinar como filtrar valores de flag TCP. Defina como 1 ou on, Unset as 0 ou off ou Don't care as x.

Urg — Este sinalizador é usado para identificar os dados de entrada como urgentes.

Ack — Este sinalizador é usado para confirmar o recebimento bem-sucedido de pacotes.

Psh — Este sinalizador é usado para garantir que os dados recebam a prioridade (que merecem) e sejam processados na extremidade de envio ou recebimento.

Rst — Este sinalizador é usado quando um segmento chega que não se destina à conexão atual.

Syn — Este sinalizador é usado para comunicações TCP.

Fin — Este sinalizador é usado quando a comunicação ou a transferência de dados é concluída.

Etapa 15. Clique em um Tipo de serviço que é o tráfego de controle de congestionamento, para o qual o host recua em caso de congestionamento.

Qualquer - Pode ser qualquer tipo de serviço para congestionamento de tráfego.

DSCP a corresponder — Escolha esta opção para implementar o Differentiated Service Code Point (DSCP) como um tipo de serviço. O DSCP é um mecanismo para classificar e gerenciar o tráfego de rede. Insira o valor de DSCP que deseja aplicar à regra de acesso.

Precedência de IP a coincidir — Para definir um tipo de preferência para pacotes IPv6. As palavras-chave associadas aos valores de preferência de IP são 0 para rotina, 1 para prioridade, 2 para imediato, 3 para flash, 4 para flash-override, 5 para crítico, 6 para Internet, 7 para rede. Insira o valor que deseja aplicar à regra de acesso.

 

Etapa 16. Os campos ICMP são ativados somente quando você escolhe o protocolo ICMP da Etapa 5. É usado para enviar mensagens de erro quando o serviço não está disponível ou um host ou um roteador não pôde ser alcançado. Também é usado para mensagens de consulta de retransmissão. Clique em um dos botões de opção disponíveis para filtrar os tipos de mensagens ICMP:

Qualquer - Pode ser qualquer mensagem de erro ou mensagem de consulta.

Selecione na lista — Escolha qualquer uma das mensagens de controle permitidas na lista suspensa.

                 Tipo ICMP a corresponder — O usuário precisa inserir um intervalo entre 0 e 255 para corresponder às mensagens de controle ICMP.

Etapa 17. O Código ICMP é ativado somente quando você escolhe o protocolo ICMP da Etapa 5. É usado para fornecer informações mais específicas sobre as mensagens de controle com um valor. Clique em uma das opções disponíveis:

Qualquer - Pode ser qualquer valor que corresponda à mensagem de controle.

Definido pelo usuário — Insira o código ICMP que deseja filtrar. O valor é definido no intervalo entre 0 e 255, para corresponder às mensagens de controle.

Etapa 18. Os campos IGMP são ativados somente quando você escolhe o protocolo IGMP da Etapa 5. Ele gerencia a associação de host em grupos multicast IP em um segmento de rede. Clique em um dos botões de opção disponíveis para filtrar os tipos de mensagens IGMP:

Qualquer - Ele pode executar qualquer uma das ações IGMP.

Selecione na lista — Escolha qualquer um dos protocolos na lista suspensa.

- DVMRP — usa uma técnica de inundação de caminho reverso, enviando uma cópia de um pacote recebido através de cada interface, exceto aquela em que o pacote chegou.

- Consulta de host — envia periodicamente mensagens gerais de consulta de host em cada rede conectada para obter informações

- Host-Reply — responde à consulta .

- PIM — É usado entre os roteadores multicast local e remoto para direcionar o tráfego multicast do servidor multicast para muitos clientes multicast.

- Rastreamento — Ele fornece informações sobre como se unir e sair dos grupos de multicast IGMP.

Tipo de correspondência IGMP — corresponde ao protocolo IGMP com o endereço IP e a máscara origem e destino, além do tipo IGMP que tem um número em decimal.

Etapa 19. Clique em Apply, que faz com que a ACE baseada em IPv4 seja gravada no arquivo de configuração atual.

Etapa 20. (Opcional) Clique em Tabela de ACL baseada em IPv4 para ir para a página ACL baseada em IPv4.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco