Uma lista de controle de acesso à rede (ACL) é uma camada de segurança opcional que atua como um firewall para controlar o tráfego de entrada e saída de uma sub-rede. As listas de acesso são coleções de condições de permissão e negação, ou regras, que fornecem segurança por vários motivos. Por exemplo, essas regras podem bloquear usuários não autorizados, permitir que usuários autorizados acessem recursos específicos e bloquear qualquer tentativa injustificada de acessar recursos da rede.
O objetivo deste documento é mostrar como configurar regras de ACL no WAP 371.
WAP371
•v1.2.0.2
Etapa 1. Faça login no utilitário de configuração da Web e escolha Cliente QoS > ACL. A página ACL é aberta:
Etapa 2. Digite o nome da ACL desejado no campo ACL Name (Nome da ACL). O intervalo varia de 1 a 31 caracteres.
Note: O nome da ACL é um identificador para a ACL específica; não tem impacto na operação do dispositivo.
Etapa 3. Selecione o tipo de ACL na lista suspensa Tipo de ACL.
As opções são as seguintes:
IPv4 - Um endereço de 32 bits (quatro bytes).
IPv6 - Um sucessor do IPv4 consiste em um endereço de 128 bits (8 bytes).
MAC - O endereço MAC é o endereço exclusivo atribuído a uma interface de rede.
Note: As ACLs IPv4 e IPv6 controlam o acesso aos recursos de rede com base nos critérios de Camada 3 e Camada 4. As ACLs MAC controlam o acesso com base nos critérios da Camada 2.
Etapa 4. Clique em Adicionar ACL para adicionar a nova ACL.
Note: As capturas de tela a seguir são para regras de ACL IPv4, mas são intercambiáveis com regras de ACL IPv6.
Etapa 1. Selecione uma ação para a regra na lista suspensa Ação.
As opções são descritas da seguinte maneira:
Permit - (Permitir) A regra permite que todo o tráfego que atende aos critérios da regra entre ou saia do dispositivo WAP. O tráfego que não atende aos critérios é descartado.
Deny - A regra impede que todo o tráfego que atende aos critérios da regra entre ou saia do dispositivo WAP. O tráfego que não atende aos critérios é encaminhado para a regra seguinte. Se for a regra final, o tráfego que não é explicitamente permitido será descartado.
Etapa 2. Marque ou desmarque a caixa de seleção Corresponder a cada pacote. Se selecionada, a regra, que tem uma ação de permissão ou negação, corresponde ao quadro ou pacote independentemente de seu conteúdo.
Note: Se você selecionar esse campo, não poderá configurar nenhum critério de correspondência adicional. A opção Corresponder a cada pacote é selecionada por padrão para uma nova regra. Você deve limpar a opção para configurar outros campos de correspondência.
Etapa 3. Marque a caixa de seleção Protocol para usar uma condição de correspondência de protocolo L3 ou L4 com base no valor do campo IP Protocol em pacotes IPv4 ou no campo Next Header em pacotes IPv6. Se a caixa de seleção Protocolo estiver marcada, selecione um dos seguintes botões de opção.
As opções são descritas da seguinte maneira:
· Selecionar da lista — Escolha um protocolo na lista suspensa Selecionar da lista. As opções são as seguintes:
- IP - O Internet Protocol (IP) é o principal protocolo de comunicação no Internet Protocol Suite para transmitir dados através das redes.
- ICMP - O Internet Control Message Protocol (ICMP) é um protocolo no Internet Protocol Suite usado por dispositivos como roteadores para enviar mensagens de erro.
- IGMP - O Internet Group Management Protocol (IGMP) é um protocolo de comunicação usado pelo host para estabelecer associações a grupos multicast em redes IPv4.
- TCP - O Transmission Control Protocol (TCP) permite que dois hosts estabeleçam uma conexão e troquem fluxos de dados.
- UDP - O User Datagram Protocol é um protocolo no Internet Protocol Suite que usa um modelo de transmissão sem conexão.
Corresponder ao valor — Insira uma ID de protocolo padrão atribuída à IANA que varia de 0 a 255 para todos os protocolos não listados. Consulte Números de Protocolo de Internet Atribuídos para obter mais informações sobre IDs de protocolo atribuídas à IANA.
Etapa 4. Marque a caixa de seleção Endereço IP de Origem para incluir um endereço IP da origem na condição de correspondência. Insira o endereço IP e a máscara curinga da origem em seus respectivos campos. A máscara curinga determina quais bits do endereço de origem são usados e quais são ignorados. Pode ser considerado como uma máscara de sub-rede invertida. Isso é útil para indicar o tamanho de uma rede ou sub-rede para alguns protocolos de roteamento ou para permitir ou negar um intervalo de endereços IP.
Note: O campo Máscara de Curinga é obrigatório se a caixa de seleção Endereço IP de Origem estiver marcada.
Etapa 5. Marque a caixa de seleção Porta de origem para incluir uma porta de origem na condição de correspondência. Se a caixa de seleção Porta de origem estiver marcada, selecione um dos seguintes botões de opção.
As opções são descritas da seguinte maneira:
· Selecionar da lista — Escolha uma porta de origem na lista suspensa Selecionar da lista. As opções são as seguintes:
- FTP - O FTP é um protocolo de rede padrão usado para transferir arquivos de um host para outro através de uma rede baseada em TCP, como a Internet.
- Dados de FTP - Um canal de dados iniciado pelo servidor conectado a um cliente, geralmente via porta 20.
- HTTP - O protocolo HTTP é um protocolo de aplicação que é a base da comunicação de dados para a World Wide Web.
- SMTP - O SMTP (Simple Mail Transfer Protocol) é um padrão da Internet para transmissão de correio eletrônico.
- SNMP - O SNMP (Simple Network Management Protocol) é um protocolo padrão da Internet para o gerenciamento de dispositivos em redes IP.
- Telnet - Um protocolo da camada de sessão usado na Internet ou em redes locais para fornecer comunicação bidirecional interativa orientada a texto.
- TFTP - O TFTP (Trivial File Transfer Protocol) é um utilitário de software da Internet para transferir arquivos mais simples de usar do que o FTP, mas com menor capacidade.
- WWW - A World Wide Web é um sistema de servidores de Internet que suporta documentos formatados por HTTP.
· Match to Port — Insira o número da porta que varia de 0 a 65535 no campo Match to Port para portas de origem não listadas. O intervalo inclui três tipos diferentes de portas. Os intervalos são descritos da seguinte forma:
- 0 a 1023 — Portas conhecidas.
- 1024 a 49151 — Portas registradas.
- 49152 a 65535 — Portas dinâmicas e/ou privadas.
Etapa 6. Marque a caixa de seleção Endereço IP de Destino para incluir o endereço IP do destino na condição de correspondência. Insira o endereço IP e a máscara curinga do destino em seus respectivos campos. A máscara curinga determina quais bits do endereço de origem são usados e quais são ignorados. Pode ser considerado como uma máscara de sub-rede invertida. Isso é útil para indicar o tamanho de uma rede ou sub-rede para alguns protocolos de roteamento ou para permitir ou negar um intervalo de endereços IP.
Note: O campo máscara curinga é obrigatório se a caixa de seleção Endereço IP de destino estiver marcada.
Note: Se você quiser corresponder apenas a um único endereço IP, use a máscara curinga de 0.0.0.0.
Passo 7. Marque a caixa de seleção Porta de destino para incluir uma porta de destino na condição de correspondência. Se a caixa de seleção Porta de destino estiver marcada, selecione um dos seguintes botões de opção.
As opções são descritas da seguinte maneira:
· Selecionar da lista — Escolha uma porta de destino na lista suspensa Selecionar da lista. As opções da lista suspensa são as seguintes:
- FTP - O FTP é um protocolo de rede padrão usado para transferir arquivos de um host para outro através de uma rede baseada em TCP, como a Internet.
- Dados de FTP - Um canal de dados iniciado pelo servidor conectado a um cliente, geralmente via porta 20.
- HTTP - O protocolo HTTP é um protocolo de aplicação que é a base da comunicação de dados para a World Wide Web.
- SMTP - O SMTP (Simple Mail Transfer Protocol) é um padrão da Internet para transmissão de correio eletrônico.
- SNMP - O SNMP (Simple Network Management Protocol) é um protocolo padrão da Internet para o gerenciamento de dispositivos em redes IP.
- Telnet - Um protocolo da camada de sessão usado na Internet ou em redes locais para fornecer comunicação bidirecional interativa orientada a texto.
- TFTP - O TFTP (Trivial File Transfer Protocol) é um utilitário de software da Internet para transferir arquivos mais simples de usar do que o FTP, mas com menor capacidade.
- WWW - A World Wide Web é um sistema de servidores de Internet que suporta documentos formatados por HTTP.
· Match to Port — Insira o número da porta que varia de 0 a 65535 no campo Match to Port para portas de destino não listadas. O intervalo inclui três tipos diferentes de portas. Os intervalos são descritos da seguinte forma:
- 0 a 1023 — Portas bem conhecidas.
- 1024 a 49151 — Portas registradas.
- 49152 a 65535 — Portas dinâmicas e/ou privadas.
Note: Apenas um dos serviços pode ser selecionado na área Tipo de serviço e pode ser adicionado para a condição de correspondência.
Etapa 1. Marque a caixa de seleção IP DSCP para corresponder aos pacotes com base nos valores IP DSCP. O DSCP é usado para especificar as prioridades de tráfego sobre o cabeçalho IP do quadro. Isso categoriza todos os pacotes para o fluxo de tráfego associado com o valor de DSCP IP selecionado na lista. Se a caixa de seleção IP DSCP estiver marcada, selecione um dos seguintes botões de opção.
As opções são descritas da seguinte maneira:
· Selecionar da lista — Escolha um valor de DSCP IP na lista suspensa Selecionar da lista. As opções são as seguintes:
- DSCP Assured Forwarding (AS) - Permite que o operador forneça a garantia de entrega, desde que o tráfego não exceda alguma taxa subscrita.
- Classe de serviço (CS) - Permite compatibilidade com versões anteriores de dispositivos de rede que ainda usam o campo Precedência.
- Encaminhamento acelerado (EF) - Usado para criar uma baixa perda, baixa latência, baixa tremulação, largura de banda garantida, serviço de ponta a ponta através dos domínios DS (DiffServ).
· Corresponder ao valor — Insira o valor de DSCP que varia de 0 a 63 no campo Corresponder ao valor para personalizar os valores de DSCP.
Note: Consulte DSCP e Valores de Precedência para obter mais detalhes sobre DSCP.
Etapa 2. Marque a caixa de seleção IP Precedence para incluir um valor IP Precedence na condição de correspondência. Esse é um mecanismo para atribuir uma prioridade a cada pacote IP onde 0 é a prioridade mais baixa e 7 é a mais alta. Se a caixa de seleção IP Precedence estiver marcada, insira um valor de precedência IP que varia de 0 a 7.
Note: Consulte DSCP e Valores de Precedência para obter mais detalhes sobre Precedência de IP.
Etapa 3. Marque a caixa de seleção Bits IP TOS para usar os bits de Tipo de Serviço (TOS) do pacote no cabeçalho IP como critérios de correspondência. Um campo TOS é usado para especificar a prioridade de um datagrama e roteá-lo de acordo. Se a caixa de seleção Bits IP TOS estiver marcada, digite os bits IP TOS que variam de 00-FF e a máscara IP TOS que variam de 00-FF em seus respectivos campos.
Etapa 4. (Opcional) Se desejar excluir a ACL configurada, marque a caixa de seleção Excluir ACL.
Etapa 5. Clique em Save (Salvar) para salvar as configurações.
Etapa 1. Marque a caixa de seleção Rótulo de fluxo IPv6 para definir um número de 20 bits exclusivo para um pacote IPv6. Ele é usado por estações finais para significar manuseio de QoS em roteadores (intervalo de 0 a 1048575).
Etapa 2. Marque a caixa de seleção IPv6 DSCP para corresponder aos pacotes com base nos valores IP DSCP. O DSCP é usado para especificar as prioridades de tráfego sobre o cabeçalho IP do quadro. Isso categoriza todos os pacotes para o fluxo de tráfego associado com o valor de DSCP IP selecionado na lista. Se a caixa de seleção IPv6 DSCP estiver marcada, selecione um dos seguintes botões de opção.
As opções são descritas da seguinte maneira:
· Selecionar da lista — Escolha um valor de DSCP IP na lista suspensa Selecionar da lista. As opções são as seguintes:
- DSCP Assured Forwarding (AS) - permite que o operador forneça a garantia de entrega, desde que o tráfego não exceda alguma taxa subscrita.
- Class of Service (CS) - permite compatibilidade com versões anteriores de dispositivos de rede que ainda usam o campo Precedência.
- Encaminhamento acelerado (EF) - É usado para criar uma baixa perda, baixa latência, baixa tremulação, largura de banda garantida, serviço de ponta a ponta através dos domínios DS (DiffServ).
· Corresponder ao valor — Insira o valor de DSCP que varia de 0 a 63 no campo Corresponder ao valor para personalizar os valores de DSCP.
Note: Consulte DSCP e Valores de Precedência para obter mais detalhes sobre DSCP.
Etapa 3. (Opcional) Se desejar excluir a ACL configurada, marque a caixa de seleção Excluir ACL.
Etapa 4. Clique em Save (Salvar) para salvar as configurações.
Etapa 1. Selecione uma ação para a regra na lista suspensa Ação.
As opções são descritas da seguinte maneira:
Permit - (Permitir) A regra permite que todo o tráfego que atende aos critérios da regra entre ou saia do dispositivo WAP. O tráfego que não atende aos critérios é descartado.
Deny - A regra impede que todo o tráfego que atende aos critérios da regra entre ou saia do dispositivo WAP. O tráfego que não atende aos critérios é encaminhado para a regra seguinte. Se for a regra final, o tráfego que não é explicitamente permitido será descartado.
Etapa 2. Marque ou desmarque a caixa de seleção Corresponder a cada pacote. Se selecionada, a regra, que tem uma ação de permissão ou negação, corresponde ao quadro ou pacote independentemente de seu conteúdo.
Note: Se você selecionar esse campo, não poderá configurar nenhum critério de correspondência adicional. A opção Corresponder a cada pacote é selecionada por padrão para uma nova regra. Você deve limpar a opção para configurar outros campos de correspondência.
Etapa 3. Marque a caixa de seleção Ether Type para comparar os critérios de correspondência com o valor no cabeçalho de um quadro Ethernet. Se a caixa de seleção Tipo de Ether estiver marcada, selecione um dos seguintes botões de opção.
As opções são descritas da seguinte maneira:
· Selecionar na lista — Escolha um protocolo na lista suspensa Selecionar da lista. As opções são as seguintes:
- AppleTalk - AppleTalk é um conjunto proprietário de protocolos de rede desenvolvido pela Apple Inc. para seus computadores Macintosh. O AppleTalk incluía uma série de recursos que permitiam que as redes locais fossem conectadas sem configuração prévia ou a necessidade de um roteador ou servidor centralizado de qualquer tipo.
- ARP - O ARP (Address Resolution Protocol Protocolo de Resolução de Endereços) é um protocolo de telecomunicações usado para a resolução de endereços da camada de rede em endereços da camada de enlace, uma função crítica em redes de múltiplos acessos.
- IPv4 - O Internet Protocol versão 4 (IPv4) é a quarta versão no desenvolvimento do Internet Protocol (IP). É um dos protocolos principais dos métodos de interconexão de redes baseados em padrões na Internet.
- IPv6 - O Internet Protocol versão 6 (IPv6) é a versão mais recente do Internet Protocol (IP), o protocolo de comunicação que fornece um sistema de identificação e localização para computadores em redes e roteia o tráfego através da Internet.
- IPX - O IPX (Internetwork Packet Exchange) é o protocolo da camada de rede no conjunto de protocolos IPX/SPX. O IPX é derivado do IDP da Xerox Network Systems. Ele também pode atuar como um protocolo da camada de transporte.
- NetBIOS - NetBIOS é um acrônimo para Network Basic Input/Output System (Sistema básico de entradas e saídas de rede). Ele fornece serviços relacionados à camada de sessão do modelo OSI permitindo que aplicativos em computadores separados se comuniquem através de uma rede local. Como uma API, o NetBIOS não é um protocolo de rede.
- PPPOE - O PPPoE (Point-to-Point Protocol over Ethernet) é um protocolo de rede para encapsular quadros PPP dentro de quadros Ethernet.
Corresponder ao valor—Introduza um identificador de protocolo personalizado ao qual os pacotes correspondem. O valor é um número hexadecimal de quatro dígitos no intervalo de 0600 a FFFF.
Etapa 4. Marque a caixa de seleção Classe de Serviço para inserir uma prioridade de usuário 802.1p para comparar com um quadro Ethernet. Como a precedência de IP, 0 é a prioridade mais baixa e 7 é a mais alta. O intervalo válido é de 0 a 7.
Etapa 5. Marque a caixa de seleção Endereço MAC de Origem para inserir um endereço MAC de origem para comparar com um quadro Ethernet. Se a caixa de seleção Endereço MAC de Origem estiver marcada, digite o endereço MAC de origem no campo Endereço MAC de Origem. Em seguida, insira a máscara do endereço MAC de origem no campo Máscara MAC de origem. Isso especificará quais bits do endereço MAC de origem serão comparados a um quadro Ethernet.
Note: Se desejar corresponder apenas a um único endereço MAC, use a máscara curinga de 00:00:00:00:00:00.
Etapa 6. Marque a caixa de seleção Endereço MAC de Destino para inserir um endereço MAC de destino para comparar com um quadro Ethernet. Se a caixa de seleção Endereço MAC de destino estiver marcada, digite o endereço MAC de destino no campo Endereço MAC de destino. Em seguida, insira a máscara de endereço MAC no campo Máscara MAC de destino. Isso especificará quais bits do endereço MAC destino serão comparados a um quadro Ethernet.
Note: Se desejar corresponder apenas a um único endereço MAC, use a máscara curinga de 00:00:00:00:00:00.
Passo 7. Marque a caixa de seleção VLAN ID para inserir uma VLAN ID para comparar com um quadro Ethernet. Se a caixa de seleção VLAN ID estiver marcada, digite o ID da VLAN no campo VLAN ID. O intervalo de ID da VLAN é de 0 a 4095.
Etapa 8. (Opcional) Se desejar excluir a ACL configurada, marque a caixa de seleção Excluir ACL.
Etapa 9. Clique em Save (Salvar) para salvar as configurações.