Configuração de ACL (Access Control List, lista de controle de acesso) baseada em MAC e ACE (Access Control Entry, entrada de controle de acesso) em switches gerenciados série 300

Opções de download

  • PDF     (194.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (375.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (263.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de dezembro de 2018
ID do documento:SMB4804

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Configuração de ACL (Access Control List, lista de controle de acesso) baseada em MAC e ACE (Access Control Entry, entrada de controle de acesso) em switches gerenciados série 300

Objetivo

Uma ACL (Access Control List, lista de controle de acesso) é uma tecnologia de segurança usada para permitir ou negar o fluxo de tráfego da rede. As ACLs baseadas em MAC usam informações da Camada 2 para permitir ou negar acesso ao tráfego. Uma entrada de controle de acesso (ACE) contém os critérios reais da regra de acesso. Quando a ACE é criada, ela é aplicada a uma ACL. Os 300 Series Managed Switches suportam no máximo 512 ACLs e 512 ACEs.

Este artigo explica como criar ACLs baseadas em MAC e como aplicar ACEs às ACLs nos 300 Series Managed Switches.

Dispositivos aplicáveis

SG300-10PP
SG300-10MPP
SG300-28PP-R
SG300-28SFP-R
SF302-08MPP
SF302-08PP
SF300-24PP-R
SF300-48PP-R

Versão de software

1.4.0.00p3 [SG300-28SFP-R]
6.2.10.18 [Todos os outros dispositivos aplicáveis]

ACL baseada em MAC

Etapa 1. Faça login no utilitário de configuração da Web e escolha Controle de acesso > ACL baseada em MAC. A página MAC Based ACL é aberta:

Etapa 2. Clique em Add. A janela Add MAC-Based ACL é exibida.

Etapa 3. Insira um nome para a ACL no campo ACL Name (Nome da ACL).

Etapa 4. Clique em Apply. A ACL é criada.

ACE baseada em MAC

Quando um quadro é recebido em uma porta, o switch processa o quadro através da primeira ACL. Se o quadro corresponder a um filtro ACE da primeira ACL, a ação ACE ocorrerá. Se o quadro não corresponder a nenhum dos filtros ACE, a próxima ACL será processada. Se não for encontrada nenhuma correspondência para qualquer ACE em todas as ACLs relevantes, o quadro será descartado por padrão.

Nota: essa ação padrão pode ser evitada pela criação de uma ACE de baixa prioridade que permita todo o tráfego.

Etapa 1. Faça login no utilitário de configuração da Web e escolha Controle de acesso > ACE baseada em MAC. A página MAC Based ACE é aberta:

Etapa 2. Na lista suspensa Nome da ACL, escolha uma ACL à qual aplicar uma regra.

Etapa 3. Clique em Ir. As ACEs que já estão configuradas para a ACL são exibidas.

Etapa 4. Clique em Adicionar para adicionar uma nova regra à ACL. A janela Add MAC-Based ACE é exibida.

O campo Nome da ACL exibe o nome da ACL.

Etapa 5. Insira o valor de prioridade para a ACE no campo Prioridade. As ACEs com um valor de prioridade mais alto são processadas primeiro. O valor 1 é a prioridade mais alta.

Etapa 6. Clique no botão de opção que corresponde à ação desejada que é tomada quando um quadro atende aos critérios exigidos da ACE.

Permit — O switch encaminha pacotes que atendem aos critérios exigidos da ACE.

Deny — O switch descarta pacotes que não atendem aos critérios exigidos da ACE.

Desligamento — O switch descarta pacotes que não atendem aos critérios exigidos da ACE e desativa a porta onde os pacotes foram recebidos.

Nota: As portas desativadas podem ser reativadas na página Configurações de porta.

Passo 7. Marque a caixa de seleção Habilitar no campo Intervalo de tempo para permitir que um intervalo de tempo seja configurado para a ACE. Os intervalos de tempo são usados para limitar o tempo durante o qual uma ECA está em vigor.

Etapa 8. Na lista suspensa Nome do intervalo de tempo, escolha um intervalo de tempo para aplicar à ACE.

Nota: Clique em Editar para navegar até e criar um intervalo de tempo na página Intervalo de tempo.

Etapa 9. Clique no botão de opção que corresponde aos critérios desejados da ACE no campo Destination MAC Address (Endereço MAC de destino).

Qualquer - Todos os endereços MAC de destino se aplicam à ACE.

Definido pelo usuário — Insira um endereço MAC e uma máscara curinga MAC a serem aplicados à ACE nos campos Valor do endereço MAC de destino e Máscara curinga de destino. As máscaras curinga são usadas para definir um intervalo de endereços MAC.

Etapa 10. Clique no botão de opção que corresponde aos critérios desejados da ACE no campo Source MAC Address (Endereço MAC de origem).

Qualquer - Todos os endereços MAC de origem se aplicam à ACE.

Definido pelo usuário — Insira um endereço MAC e uma máscara curinga MAC a serem aplicados à ACE nos campos Valor do endereço MAC de destino e Máscara curinga de destino. As máscaras curinga são usadas para definir um intervalo de endereços MAC.

Etapa 11. Digite um ID de VLAN que será compatível com a marca de VLAN do quadro.

Etapa 12. (Opcional) Para incluir os valores 802.1p nos critérios ACE, marque Incluir no campo 802.1p. 802.1p envolve a Classe de Serviço (CoS - Technology Class of Service). CoS é um campo de 3 bits em um quadro Ethernet usado para diferenciar o tráfego.

Etapa 13. Se os valores 802.1p forem incluídos, insira os campos a seguir.

Valor 802.1p — Insira o valor 802.1p a ser correspondido. 802.1p é uma especificação que oferece aos switches da Camada 2 a capacidade de priorizar o tráfego e executar a filtragem multicast dinâmica.

Máscara 802.1p — Insira a máscara curinga dos valores 802.1p. Essa máscara curinga é usada para definir o intervalo de valores 802.1p.

Etapa 14. Digite o Ethertype do quadro que deve ser correspondido. Ethertype é um campo de dois octetos em um quadro Ethernet usado para indicar qual protocolo é utilizado para a carga útil do quadro.

Etapa 15. Clique em Apply. A ECA é criada. Neste exemplo, a ACE criada nega o tráfego que é enviado dos endereços MAC de origem definidos para todos os endereços de destino. 

Histórico de revisões

Revisão Data de publicação Comentários
1.0
11-Dec-2018
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco