Una lista de control de acceso (ACL) es una lista de filtros de tráfico de red y acciones correlacionadas que se utilizan para mejorar la seguridad. Bloquea o permite a los usuarios acceder a recursos específicos. Una ACL contiene los hosts a los que se les permite o deniega el acceso al dispositivo de red.
La funcionalidad típica de ACL en IPv6 es similar a las ACL en IPv4. Las ACL determinan qué tráfico bloquear y qué tráfico reenviar en las interfaces del switch. Las ACL permiten el filtrado basado en direcciones de origen y destino, entrantes y salientes a interfaces específicas. Cada ACL tiene una sentencia deny implícita al final. Las reglas para las ACL se configuran en las entradas de control de acceso (ACE).
Debe utilizar listas de acceso para proporcionar un nivel básico de seguridad para acceder a la red. Si no configura las listas de acceso en los dispositivos de red, todos los paquetes que pasan a través del switch o el router podrían estar permitidos en todas las partes de la red.
Este artículo proporciona instrucciones sobre cómo configurar ACL y ACE basadas en IPv6 en un switch.
Paso 1. Inicie sesión en la utilidad basada en web y luego vaya a Access Control > IPv6-Based ACL.
Paso 2. ‘Haga clic en el botón Add (Agregar).’
Paso 3. Ingrese el nombre de la nueva ACL en el campo ACL Name.
Nota: En este ejemplo, se utiliza ACL IPv6.
Paso 4. Haga clic en Aplicar y luego en Cerrar.
Paso 5. (Opcional) Haga clic en Guardar para guardar los ajustes en el archivo de configuración de inicio.
Ahora debería haber configurado una ACL basada en IPv6 en su switch.
Cuando se recibe un paquete en un puerto, el switch procesa la trama a través de la primera ACL. Si el paquete coincide con un filtro ACE de la primera ACL, tiene lugar la acción ACE. Si el paquete no coincide con ninguno de los filtros ACE, se procesa la siguiente ACL. Si no se encuentra ninguna coincidencia con ninguna ACE en todas las ACL relevantes, el paquete se descarta de forma predeterminada.
En esta situación, se creará una ACE para denegar el tráfico enviado desde una dirección IPv6 de origen definida por el usuario específica a cualquier dirección de destino.
Nota: Esta acción predeterminada se puede evitar mediante la creación de una ACE de baja prioridad que permita todo el tráfico.
Paso 1. En la utilidad basada en Web, vaya a Control de acceso > ACE basada en IPv6.
Importante: si dispone de un conmutador Sx350, SG350X, Sx550X, cambie al modo avanzado seleccionando Avanzado en la lista desplegable Modo de visualización de la esquina superior derecha de la página.
Paso 2. Elija una ACL de la lista desplegable Nombre de ACL y haga clic en Ir.
Nota: Las ACE que ya están configuradas para la ACL se mostrarán en la tabla.
Paso 3. Haga clic en el botón Add para agregar una nueva regla a la ACL.
Nota: El campo Nombre de ACL muestra el nombre de la ACL.
Paso 4. Introduzca el valor de prioridad para la ACE en el campo Priority. Las ACE con un valor de prioridad más alto se procesan primero. El valor 1 es la prioridad más alta. Tiene un rango de 1 a 2147483647.
Nota: En este ejemplo, se utiliza 3.
Paso 5. Haga clic en el botón de opción correspondiente a la acción deseada que se realiza cuando una trama cumple los criterios requeridos de la ACE.
Nota: En este ejemplo, se elige Permitir.
Apagar: el switch descarta paquetes que no cumplen los criterios requeridos de la ACE e inhabilita el puerto donde se recibieron los paquetes. Los puertos desactivados se pueden reactivar en la página Port Settings (Configuración de puertos).
Paso 6. (Opcional) Marque la casilla de verificación Enable Logging para habilitar el registro de flujos ACL que coincidan con la regla ACL.
Paso 7. (Opcional) Marque la casilla de verificación Enable Time Range (Activar rango de tiempo) para permitir que se configure un rango de tiempo para la ACE. Los intervalos de tiempo se utilizan para limitar la cantidad de tiempo que una ACE está en vigor. Si se deja inhabilitado, el ACE funciona en cualquier momento.
Paso 8. (Opcional) En la lista desplegable Nombre del rango de tiempo, seleccione un rango de tiempo para aplicarlo a la ACE.
Nota: Puede hacer clic en Editar para navegar y crear un rango de tiempo en la página Rango de Tiempo.
Paso 9. Elija un tipo de protocolo en el área Protocolo. La ACE se creará en función de un protocolo o ID de protocolo específico.
Las opciones son:
Nota: En este ejemplo, se elige Select from list (Seleccionar de la lista).
Paso 10. (Opcional) Si selecciona Seleccionar de la lista en el Paso 9, elija un protocolo de la lista desplegable.
Las opciones son:
Nota: En este ejemplo, se utiliza TCP.
Paso 11. (Opcional) Si elige ID de protocolo para que coincida en el Paso 9, ingrese el ID de protocolo en el campo ID de protocolo para que coincida.
Nota: En este ejemplo, se utiliza 1.
Paso 12. Haga clic en el botón de opción que corresponda a los criterios deseados de la ACE en el área Dirección IP de origen.
Las opciones son:
Nota: En este ejemplo, se elige Definido por el usuario. Si selecciona Any (Cualquiera), vaya al paso 15.
Paso 13. Introduzca la dirección IP de origen en el campo Source IP Address Value.
Nota: En este ejemplo, se utiliza fe80::d0ba:7021:37f7:d68d.
Paso 14. Introduzca la longitud del prefijo IP de origen en el campo Longitud del prefijo IP de origen.
Nota: En este ejemplo, se utiliza 128.
Paso 15. Haga clic en el botón de opción que corresponda a los criterios deseados de la ACE en el área Dirección IP de destino.
Las opciones son:
Nota: En este ejemplo, se elige Any (Cualquiera). Al elegir esta opción, la ACE que se creará permitirá el tráfico ACE procedente de la dirección IPv6 especificada a cualquier destino.
Paso 16. (Opcional) Haga clic en un botón de opción del área Puerto de origen. El valor predeterminado es Any.
Paso 17. (Opcional) Haga clic en un botón de opción del área Puerto de destino. El valor predeterminado es Any.
Paso 18. (Opcional) En el área Indicadores TCP, elija uno o más indicadores TCP con los que filtrar paquetes. Los paquetes filtrados se reenvían o se descartan. Filtrar paquetes mediante indicadores TCP aumenta el control de paquetes, lo que aumenta la seguridad de la red.
Los indicadores TCP son:
Paso 19. (Opcional) Haga clic en el tipo de servicio del paquete IP en el área Tipo de servicio.
Las opciones son:
- 0: para la rutina
- 1 — para prioridad
- 2 — para uso inmediato
- 3 — para flash
- 4 — para flash-override
- 5 — para los
- 6 — para internet
- 7 — para la red
Nota: En este ejemplo, se elige Any (Cualquiera).
Paso 20. (Opcional) Si el protocolo IP de la ACL es ICMP, haga clic en el tipo de mensaje ICMP utilizado para filtrar. Elija el tipo de mensaje por nombre o introduzca el número de tipo de mensaje:
Nota: En este ejemplo, se elige Select from list (Seleccionar de la lista).
Paso 21. (Opcional) Si selecciona Seleccionar de la lista en el paso 20, elija los mensajes de control que desea filtrar de las posibles opciones de la lista desplegable:
Paso 2. (Opcional) Los mensajes ICMP pueden tener un campo de código que indica cómo manejar el mensaje. Esto se habilita si elige el protocolo ICMP en el paso 10. Haga clic en una de las opciones siguientes para configurar si desea filtrar por este código:
Nota: En este ejemplo, se elige Any (Cualquiera).
Paso 23. Haga clic en Apply y luego en Close. La ACE se crea y se asocia al nombre de la ACL.
Paso 24. Haga clic en Guardar para guardar los parámetros en el archivo de configuración de inicio.
Ahora debería haber configurado una ACE basada en IPv6 en el switch.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
13-Dec-2018 |
Versión inicial |