Para parceiros
Uma lista de controle de acesso (ACL) é uma lista ordenada de filtros e ações. Cada regra de classificação, juntamente com sua ação, é conhecida como ACE (Access Control Element, elemento de controle de acesso). Cada ACE tem vários grupos de tráfego e ações associadas. Uma ACL pode conter uma ou mais ACEs, que são comparadas ou comparadas com os pacotes de entrada na camada 3. A ação Permitir ou Negar corresponde ao filtro. Ele pode ser definido para corresponder aos protocolos IP, às portas de origem e de destino do tráfego TCP ou UDP, aos valores de flag para quadros TCP, ao tipo e código ICMP e IGMP, aos endereços IP de origem e de destino (incluindo curingas) ou aos valores de precedência DSCP/IP.
Este artigo explica como criar uma ACL baseada em IPv4 e uma ACE em switches ESW2-350G.
Note: Uma porta pode ser protegida com ACL ou configurada com uma política de QoS avançada, mas não ambas. Só pode haver uma ACL por porta, com a exceção de que é possível associar uma ACL baseada em IPv4 e uma ACL baseada em IPv6 a uma única porta. Para associar mais de uma ACL a uma porta, uma política com um ou mais mapas de classe deve ser usada.
ESW2-350G
ESW2-350G-DC
•1.3.0.62
Etapa 1. Faça login no utilitário de configuração da Web e escolha Controle de acesso > ACL baseada em IPv4. A página ACL baseada em IPv4 é aberta:
Etapa 2. Clique em Adicionar para adicionar uma nova lista de acesso.
Etapa 3. Insira um nome para a lista de acesso no campo Nome da ACL.
Etapa 4. Clique em Apply, que faz com que a ACL baseada em IPv4 seja gravada no arquivo de configuração atual.
Etapa 5. (Opcional) Para acessar a tabela ACE baseada em IPv4, clique em Tabela ACE baseada em IPv4.
Para adicionar uma ACE a uma ACL, as seguintes etapas precisam ser seguidas:
Etapa 1. Use o utilitário de configuração da Web para escolher Controle de acesso > ACEs baseadas em IPv4. A página ACE baseada em IPv4 é aberta:
Etapa 2. Escolha uma ACL na lista suspensa e clique em Adicionar. A janela Add IPv4-based ACE é exibida:
Etapa 3. Digite a prioridade da ACE no campo Prioridade. Os valores de prioridade mais alta são processados primeiro. A prioridade mais alta é 1. Tem um intervalo de 1 a 2147483647.
Etapa 4. Clique no botão de opção Ação desejado nas seguintes opções:
Permit (Permitir) — Permite pacotes que correspondam aos critérios ACE.
Deny — Descarta pacotes que atendem aos critérios de ACE.
Desligamento - Descarta os pacotes que atendem aos critérios de ACE e desativa a porta de onde os pacotes foram recebidos. Essas portas podem ser reativadas na página de configurações de porta.
Etapa 5. (Opcional) Marque a caixa de seleção Habilitar para habilitar o intervalo de tempo para a ACE no campo Intervalo de tempo.
Note: Um intervalo de tempo deve ser criado para aplicá-lo à ACE. Para configurar um intervalo de tempo, consulte o artigo Configuração de intervalo de tempo em Switches ESW2-350G.
Etapa 6. Se você marcou Ativar na Etapa 5, escolha o intervalo de tempo na lista suspensa Intervalo de tempo a ser aplicado à ACE.
Passo 7. Clique em Editar para ir para a página Intervalo de tempo para editar o intervalo de tempo.A janela de confirmação do fechamento da caixa de diálogo é exibida:
Observação: para configurar um intervalo de tempo, consulte o artigo Configuração de intervalo de tempo em Switches ESW2-350G.
Etapa 8. (Opcional) Clique em OK para prosseguir para a página Intervalo de tempo.
Etapa 9. O protocolo usado na ACE é configurado para todos os protocolos de rede roteados para filtrar os pacotes à medida que eles passam por um roteador. Clique no botão de opção Protocolo desejado nas seguintes opções:
Qualquer - Escolha qualquer um dos protocolos ACE baseados em IPv4.
Selecione na lista — Escolha qualquer um dos protocolos na lista suspensa.
ID do protocolo para corresponder — Usado para corresponder o protocolo com um ID. O valor padrão para diferentes protocolos, como o TCP, que é 6, UDP, que é 17, e para o ICMP, que é 58 e assim por diante, ou o usuário pode definir qualquer valor nele.
Etapa 10. No campo Endereço IP de origem, clique em uma das opções disponíveis como o endereço IP de origem:
Qualquer - Esta opção aplica a regra de acesso a qualquer um dos endereços IP disponíveis em um segmento de rede específico.
Definido pelo usuário — Essa opção permite inserir um endereço IP específico.
- Valor do endereço IP de origem — Nesse campo, insira o endereço IP de origem.
- Máscara Curinga IP de Origem — Nesse campo, insira a máscara curinga do endereço IP de origem. A máscara curinga permite especificar a qual host do endereço IP de origem essa lista de acesso é aplicada.
Etapa 11. No campo Endereço IP de destino, clique em uma das opções disponíveis como o endereço IP de destino:
Qualquer - Esta opção aplica a regra de acesso a qualquer um dos endereços IP disponíveis em um segmento de rede específico.
Definido pelo usuário — Essa opção permite inserir um endereço IP específico para aplicar a regra de acesso:
- Valor do endereço IP de destino — Nesse campo, insira o endereço IP de destino.
- Máscara curinga IP de destino — Nesse campo, insira a máscara curinga do endereço IP de destino. A máscara curinga permite especificar a que hosts do endereço IP de destino essa lista de acesso é aplicada.
Etapa 12. O campo Porta de origem é ativado somente quando você escolhe TCP ou UDP da Etapa 5. Clique no botão de opção de uma das opções disponíveis para escolher a porta de origem:
Any — Essa opção aceita qualquer porta de origem.
Única - Essa opção permite inserir um único valor de porta de origem.
Intervalo — Essa opção permite inserir um intervalo de portas de origem disponíveis.
Etapa 13. O campo Porta de destino é ativado somente quando você escolhe TCP ou UDP da Etapa 5. Clique no botão de opção de uma das opções disponíveis para escolher a porta de destino:
Qualquer - Esta opção aceita qualquer porta de destino.
Única - Essa opção permite inserir um único valor de porta de destino.
Intervalo — Essa opção permite inserir um intervalo de portas de destino disponíveis.
Etapa 14. Os campos Sinalizadores TCP são ativados somente quando você escolhe o TCP da Etapa 5. Clique em um dos botões de opção de cada flag para determinar como filtrar valores de flag TCP. Defina como 1 ou on, Unset as 0 ou off ou Don't care as x.
Urg — Este sinalizador é usado para identificar os dados de entrada como urgentes.
Ack — Este sinalizador é usado para confirmar o recebimento bem-sucedido de pacotes.
Psh — Este sinalizador é usado para garantir que os dados recebam a prioridade (que merecem) e sejam processados na extremidade de envio ou recebimento.
Rst — Este sinalizador é usado quando um segmento chega que não se destina à conexão atual.
Syn — Este sinalizador é usado para comunicações TCP.
Fin — Este sinalizador é usado quando a comunicação ou a transferência de dados é concluída.
Etapa 15. Clique em um Tipo de serviço que é o tráfego de controle de congestionamento, para o qual o host recua em caso de congestionamento.
Qualquer - Pode ser qualquer tipo de serviço para congestionamento de tráfego.
DSCP a corresponder — Escolha esta opção para implementar o Differentiated Service Code Point (DSCP) como um tipo de serviço. O DSCP é um mecanismo para classificar e gerenciar o tráfego de rede. Insira o valor de DSCP que deseja aplicar à regra de acesso.
Precedência de IP a coincidir — Para definir um tipo de preferência para pacotes IPv6. As palavras-chave associadas aos valores de preferência de IP são 0 para rotina, 1 para prioridade, 2 para imediato, 3 para flash, 4 para flash-override, 5 para crítico, 6 para Internet, 7 para rede. Insira o valor que deseja aplicar à regra de acesso.
Etapa 16. Os campos ICMP são ativados somente quando você escolhe o protocolo ICMP da Etapa 5. É usado para enviar mensagens de erro quando o serviço não está disponível ou um host ou um roteador não pôde ser alcançado. Também é usado para mensagens de consulta de retransmissão. Clique em um dos botões de opção disponíveis para filtrar os tipos de mensagens ICMP:
Qualquer - Pode ser qualquer mensagem de erro ou mensagem de consulta.
Selecione na lista — Escolha qualquer uma das mensagens de controle permitidas na lista suspensa.
Tipo ICMP a corresponder — O usuário precisa inserir um intervalo entre 0 e 255 para corresponder às mensagens de controle ICMP.
Etapa 17. O Código ICMP é ativado somente quando você escolhe o protocolo ICMP da Etapa 5. É usado para fornecer informações mais específicas sobre as mensagens de controle com um valor. Clique em uma das opções disponíveis:
Qualquer - Pode ser qualquer valor que corresponda à mensagem de controle.
Definido pelo usuário — Insira o código ICMP que deseja filtrar. O valor é definido no intervalo entre 0 e 255, para corresponder às mensagens de controle.
Etapa 18. Os campos IGMP são ativados somente quando você escolhe o protocolo IGMP da Etapa 5. Ele gerencia a associação de host em grupos multicast IP em um segmento de rede. Clique em um dos botões de opção disponíveis para filtrar os tipos de mensagens IGMP:
Qualquer - Ele pode executar qualquer uma das ações IGMP.
Selecione na lista — Escolha qualquer um dos protocolos na lista suspensa.
- DVMRP — usa uma técnica de inundação de caminho reverso, enviando uma cópia de um pacote recebido através de cada interface, exceto aquela em que o pacote chegou.
- Consulta de host — envia periodicamente mensagens gerais de consulta de host em cada rede conectada para obter informações
- Host-Reply — responde à consulta .
- PIM — É usado entre os roteadores multicast local e remoto para direcionar o tráfego multicast do servidor multicast para muitos clientes multicast.
- Rastreamento — Ele fornece informações sobre como se unir e sair dos grupos de multicast IGMP.
Tipo de correspondência IGMP — corresponde ao protocolo IGMP com o endereço IP e a máscara origem e destino, além do tipo IGMP que tem um número em decimal.
Etapa 19. Clique em Apply, que faz com que a ACE baseada em IPv4 seja gravada no arquivo de configuração atual.
Etapa 20. (Opcional) Clique em Tabela de ACL baseada em IPv4 para ir para a página ACL baseada em IPv4.