Configuración de la lista de control de acceso (ACL) basada en MAC y la entrada de control de acceso (ACE) en un switch gestionado

Opciones de descarga

PDF (744.4 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (666.0 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (558.4 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:25 de febrero de 2020

ID del documento:SMB2580

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Objetivo

Una lista de control de acceso (ACL) es una lista de filtros de tráfico de red y acciones correlacionadas que se utilizan para mejorar la seguridad. Bloquea o permite a los usuarios acceder a recursos específicos. Una ACL contiene los hosts a los que se les permite o deniega el acceso al dispositivo de red. La lista de control de acceso (ACL) basada en el control de acceso a los medios (MAC) es una lista de direcciones MAC de origen que utilizan información de capa 2 para permitir o denegar el acceso al tráfico. Si un paquete proviene de un punto de acceso inalámbrico a un puerto de red de área local (LAN) o viceversa, este dispositivo comprobará si la dirección MAC de origen del paquete coincide con alguna entrada de esta lista y compara las reglas ACL con el contenido de la trama. Luego utiliza los resultados coincidentes para permitir o denegar este paquete. Sin embargo, no se comprobarán los paquetes del puerto LAN al puerto LAN. Una entrada de control de acceso (ACE) contiene los criterios reales de la regla de acceso. Una vez creada la ACE, se aplica a una ACL. Debe utilizar listas de acceso para proporcionar un nivel básico de seguridad para acceder a la red. Si no configura las listas de acceso en los dispositivos de red, todos los paquetes que pasan a través del switch o el router podrían estar permitidos en todas las partes de la red.

En este artículo se proporcionan instrucciones sobre cómo configurar ACL y ACE basadas en MAC en el conmutador gestionado.

Dispositivos aplicables | Versión del software

Serie Sx350 | 2.2.0.66 (Descargar la última versión)
Serie SG350X | 2.2.0.66 (Descargar la última versión)
Serie Sx500 | 1.4.5.02 (Descargar la última versión)
Serie Sx550X | 2.2.0.66 (Descargar la última versión)

Configuración de ACL y ACE basadas en MAC

Configuración de ACL basada en MAC

Paso 1. Inicie sesión en la utilidad basada en web y luego vaya a Control de acceso > ACL basada en MAC.

Paso 2. ‘Haga clic en el botón Add (Agregar).’

Paso 3. Introduzca el nombre de la nueva ACL en el campo Nombre de ACL.

Paso 4. Haga clic en Aplicar y luego en Cerrar.

Paso 5. (Opcional) Haga clic en Guardar para guardar los ajustes en el archivo de configuración de inicio.

Ahora debería haber configurado una ACL basada en MAC en su switch.

Configuración de ACE basada en MAC

Cuando se recibe una trama en un puerto, el switch procesa la trama a través de la primera ACL. Si la trama coincide con un filtro ACE de la primera ACL, tiene lugar la acción ACE. Si la trama no coincide con ninguno de los filtros ACE, se procesa la siguiente ACL. Si no se encuentra ninguna coincidencia con ninguna ACE en todas las ACL relevantes, la trama se descarta de forma predeterminada.

En esta situación, se creará una ACE para denegar el tráfico enviado desde una dirección MAC de origen definida por el usuario específica a cualquier dirección de destino.

Nota: Esta acción predeterminada se puede evitar mediante la creación de una ACE de baja prioridad que permita todo el tráfico.

Paso 1. En la utilidad basada en web, vaya a Control de acceso > ACE basada en MAC.

Importante: para aprovechar al máximo las funciones disponibles del conmutador, cambie al modo avanzado seleccionando Avanzado en la lista desplegable Modo de visualización de la esquina superior derecha de la página.

Paso 2. Elija una ACL de la lista desplegable Nombre de ACL y haga clic en Ir.

Nota: Las ACE que ya están configuradas para la ACL se mostrarán en la tabla.

Paso 3. Haga clic en el botón Add para agregar una nueva regla a la ACL.

Nota: El campo Nombre de ACL muestra el nombre de la ACL.

Paso 4. Introduzca el valor de prioridad para la ACE en el campo Priority. Las ACE con un valor de prioridad más alto se procesan primero. El valor 1 es la prioridad más alta.

Paso 5. (Opcional) Active la casilla de control Activar Registro para activar el registro de flujos ACL que coincidan con la regla ACL.

Paso 6. Haga clic en el botón de opción correspondiente a la acción deseada que se realiza cuando una trama cumple los criterios requeridos de la ACE.

Nota: En este ejemplo, se elige Denegar.

Permitir: el switch reenvía paquetes que cumplen los criterios requeridos de la ACE.
Deny: el switch descarta paquetes que cumplen con los criterios requeridos de la ACE.
Apagar: el switch descarta paquetes que no cumplen los criterios requeridos de la ACE e inhabilita el puerto donde se recibieron los paquetes.

Nota: Los puertos desactivados se pueden reactivar en la página Port Settings (Configuración de puertos).

Paso 7. (Opcional) Marque la casilla de verificación Enable Time Range (Activar rango de tiempo) para permitir que se configure un rango de tiempo para la ACE. Los intervalos de tiempo se utilizan para limitar la cantidad de tiempo que una ACE está en vigor.

Paso 8. (Opcional) En la lista desplegable Nombre del rango de tiempo, seleccione un rango de tiempo para aplicarlo a la ACE.

Nota: Puede hacer clic en Editar para desplazarse hasta un rango de tiempo y crearlo en la página Rango de Tiempo.

Paso 9. Haga clic en el botón de opción que corresponda a los criterios deseados de la ACE en el área Dirección MAC de destino.

Las opciones son:

Cualquiera: todas las direcciones MAC de destino se aplican a la ACE.
Definido por el Usuario: Introduzca una dirección MAC y una máscara comodín MAC que se aplicarán a la ACE en los campos Destination MAC Address Value y Destination MAC Wildcard Mask. Las máscaras comodín se utilizan para definir un rango de direcciones MAC.

Nota: En este ejemplo, se elige Any (Cualquiera). Al elegir esta opción, la ACE que se creará denegará el tráfico ACE.

Paso 10. Haga clic en el botón de opción que corresponda a los criterios deseados de la ACE en el área Dirección MAC de origen.

Las opciones son:

Cualquiera: todas las direcciones MAC de origen se aplican a la ACE.
Definido por el Usuario: Introduzca una dirección MAC y una máscara comodín MAC que se deben aplicar a la ACE en los campos Source MAC Address Value y Source MAC Wildcard Mask. Las máscaras comodín se utilizan para definir un rango de direcciones MAC.

Nota: En este ejemplo, se elige Definido por el usuario.

Paso 11. (Opcional) En el campo VLAN ID, ingrese un ID de VLAN que coincidirá con la etiqueta VLAN de la trama.

Paso 12. (Opcional) Para incluir valores de 802.1p en los criterios ACE, marque la casilla de verificación Include en 802.1p. 802.1p implica la clase de servicio (CoS) de la tecnología. CoS es un campo de 3 bits en una trama Ethernet que se utiliza para diferenciar el tráfico.

Paso 13. Si se incluyen valores de 802.1p, introduzca los campos siguientes:

Valor de 802.1p: introduzca el valor de 802.1p con el que se debe establecer la correspondencia. 802.1p es una especificación que ofrece a los switches de capa 2 la capacidad de dar prioridad al tráfico y realizar un filtrado multidifusión dinámico. Los valores son los siguientes:

- 0 — Antecedentes. Los datos que tienen menos prioridad, como las transferencias masivas, los juegos, etc.

- 1 — Mejor esfuerzo. Los datos que necesitan entrega en el mejor esfuerzo en una prioridad LAN normal. La red no ofrece ninguna garantía de entrega, pero los datos obtienen una velocidad de bits y un tiempo de entrega no especificados en función del tráfico.

- 2 - Excelente Esfuerzo. Los datos que requieren el mejor esfuerzo de entrega para los usuarios importantes.

- 3: aplicación crítica como el protocolo de inicio de sesión (SIP) telefónico de Linux Virtual Server (LVS).

- 4 — Vídeo. Latencia y fluctuación inferiores a 100 ms.

- 5: valor predeterminado del teléfono IP de voz Cisco. Latencia y fluctuación inferiores a 10 ms.

- 6 — Protocolo de transporte en tiempo real (RTP) del teléfono LVS de control entre redes.

- 7: Control de red. Es necesario realizar un alto nivel de mantenimiento y soporte de la infraestructura de la red.

Máscara 802.1p: introduzca la máscara comodín de los valores 802.1p. Esta máscara comodín se utiliza para definir el intervalo de valores de 802.1p.

Paso 14. (Opcional) Introduzca el tipo de Ether de la trama que se debe hacer coincidir. Ethertype es un campo de 2 octetos en una trama Ethernet que se utiliza para indicar qué protocolo se utiliza para la carga útil de la trama.

Paso 14. Haga clic en Apply y luego en Close. La ACE se crea y se asocia al nombre de la ACL.

Paso 15. Haga clic en Guardar para guardar los parámetros en el archivo de configuración de inicio.