Uma ACL (Access Control List, lista de controle de acesso) é uma tecnologia de segurança usada para permitir ou negar o fluxo de tráfego da rede. As ACLs baseadas em MAC usam informações da Camada 2 para permitir ou negar acesso ao tráfego. Uma entrada de controle de acesso (ACE) contém os critérios reais da regra de acesso. Quando a ACE é criada, ela é aplicada a uma ACL. Os 300 Series Managed Switches suportam no máximo 512 ACLs e 512 ACEs.
Este artigo explica como criar ACLs baseadas em MAC e como aplicar ACEs às ACLs nos 300 Series Managed Switches.
SG300-10PP
SG300-10MPP
SG300-28PP-R
SG300-28SFP-R
SF302-08MPP
SF302-08PP
SF300-24PP-R
SF300-48PP-R
1.4.0.00p3 [SG300-28SFP-R]
6.2.10.18 [Todos os outros dispositivos aplicáveis]
Etapa 1. Faça login no utilitário de configuração da Web e escolha Controle de acesso > ACL baseada em MAC. A página MAC Based ACL é aberta:
Etapa 2. Clique em Add. A janela Add MAC-Based ACL é exibida.
Etapa 3. Insira um nome para a ACL no campo ACL Name (Nome da ACL).
Etapa 4. Clique em Apply. A ACL é criada.
Quando um quadro é recebido em uma porta, o switch processa o quadro através da primeira ACL. Se o quadro corresponder a um filtro ACE da primeira ACL, a ação ACE ocorrerá. Se o quadro não corresponder a nenhum dos filtros ACE, a próxima ACL será processada. Se não for encontrada nenhuma correspondência para qualquer ACE em todas as ACLs relevantes, o quadro será descartado por padrão.
Nota: essa ação padrão pode ser evitada pela criação de uma ACE de baixa prioridade que permita todo o tráfego.
Etapa 1. Faça login no utilitário de configuração da Web e escolha Controle de acesso > ACE baseada em MAC. A página MAC Based ACE é aberta:
Etapa 2. Na lista suspensa Nome da ACL, escolha uma ACL à qual aplicar uma regra.
Etapa 3. Clique em Ir. As ACEs que já estão configuradas para a ACL são exibidas.
Etapa 4. Clique em Adicionar para adicionar uma nova regra à ACL. A janela Add MAC-Based ACE é exibida.
O campo Nome da ACL exibe o nome da ACL.
Etapa 5. Insira o valor de prioridade para a ACE no campo Prioridade. As ACEs com um valor de prioridade mais alto são processadas primeiro. O valor 1 é a prioridade mais alta.
Etapa 6. Clique no botão de opção que corresponde à ação desejada que é tomada quando um quadro atende aos critérios exigidos da ACE.
Permit — O switch encaminha pacotes que atendem aos critérios exigidos da ACE.
Deny — O switch descarta pacotes que não atendem aos critérios exigidos da ACE.
Desligamento — O switch descarta pacotes que não atendem aos critérios exigidos da ACE e desativa a porta onde os pacotes foram recebidos.
Nota: As portas desativadas podem ser reativadas na página Configurações de porta.
Passo 7. Marque a caixa de seleção Habilitar no campo Intervalo de tempo para permitir que um intervalo de tempo seja configurado para a ACE. Os intervalos de tempo são usados para limitar o tempo durante o qual uma ECA está em vigor.
Etapa 8. Na lista suspensa Nome do intervalo de tempo, escolha um intervalo de tempo para aplicar à ACE.
Nota: Clique em Editar para navegar até e criar um intervalo de tempo na página Intervalo de tempo.
Etapa 9. Clique no botão de opção que corresponde aos critérios desejados da ACE no campo Destination MAC Address (Endereço MAC de destino).
Qualquer - Todos os endereços MAC de destino se aplicam à ACE.
Definido pelo usuário — Insira um endereço MAC e uma máscara curinga MAC a serem aplicados à ACE nos campos Valor do endereço MAC de destino e Máscara curinga de destino. As máscaras curinga são usadas para definir um intervalo de endereços MAC.
Etapa 10. Clique no botão de opção que corresponde aos critérios desejados da ACE no campo Source MAC Address (Endereço MAC de origem).
Qualquer - Todos os endereços MAC de origem se aplicam à ACE.
Definido pelo usuário — Insira um endereço MAC e uma máscara curinga MAC a serem aplicados à ACE nos campos Valor do endereço MAC de destino e Máscara curinga de destino. As máscaras curinga são usadas para definir um intervalo de endereços MAC.
Etapa 11. Digite um ID de VLAN que será compatível com a marca de VLAN do quadro.
Etapa 12. (Opcional) Para incluir os valores 802.1p nos critérios ACE, marque Incluir no campo 802.1p. 802.1p envolve a Classe de Serviço (CoS - Technology Class of Service). CoS é um campo de 3 bits em um quadro Ethernet usado para diferenciar o tráfego.
Etapa 13. Se os valores 802.1p forem incluídos, insira os campos a seguir.
Valor 802.1p — Insira o valor 802.1p a ser correspondido. 802.1p é uma especificação que oferece aos switches da Camada 2 a capacidade de priorizar o tráfego e executar a filtragem multicast dinâmica.
Máscara 802.1p — Insira a máscara curinga dos valores 802.1p. Essa máscara curinga é usada para definir o intervalo de valores 802.1p.
Etapa 14. Digite o Ethertype do quadro que deve ser correspondido. Ethertype é um campo de dois octetos em um quadro Ethernet usado para indicar qual protocolo é utilizado para a carga útil do quadro.
Etapa 15. Clique em Apply. A ECA é criada. Neste exemplo, a ACE criada nega o tráfego que é enviado dos endereços MAC de origem definidos para todos os endereços de destino.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
11-Dec-2018 |
Versão inicial |