Création d'une liste de contrôle d'accès MAC sur les modèles SG350XG et SG550XG

Options de téléchargement

  • PDF     (923.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (775.2 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.0 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 août 2017
ID du document:SMB5108

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Création d'une liste de contrôle d'accès MAC sur les modèles SG350XG et SG550XG

Objectif

Une liste de contrôle d’accès (ACL) est un ensemble de règles qui peuvent être créées pour manipuler les paquets selon qu’ils répondent à certains critères. Ces critères peuvent être des adresses source ou de destination, des champs d’en-tête et d’autres composants d’un paquet. Si un paquet correspond aux critères spécifiés d’une liste de contrôle d’accès, il est abandonné ou autorisé à continuer. Une liste de contrôle d’accès basée sur MAC utilise des règles qui analysent l’en-tête de couche 2 d’un paquet pour ces critères, telles que les adresses MAC, les ID de VLAN et les valeurs de type Ethernet. La mise en oeuvre d’une liste de contrôle d’accès basée sur MAC vous permet de contrôler les paquets circulant sur le commutateur au niveau de la couche 2.

L'objectif de ce document est de vous montrer comment créer et configurer une liste de contrôle d'accès basée sur MAC sur les commutateurs SG350XG et SG550XG.

Périphériques pertinents

  • SG350XG
  • SG550XG

Version du logiciel

  • v 2.0.0.73

Configuration ACL basées sur MAC

Création une liste de contrôle d’accès et des règles

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Access Control > MAC-Based ACL. La page MAC-Based ACL s'ouvre.

Étape 2. La table ACL basée sur MAC affiche toutes les ACL basées sur MAC actuellement sur le commutateur. Pour créer une liste de contrôle d'accès, cliquez sur le bouton Ajouter.... La fenêtre Add MAC-Based ACL s'ouvre.

Étape 3. Dans le champ Nom de la liste de contrôle d'accès, saisissez le nom de la nouvelle liste de contrôle d'accès. Ce nom n’aura aucune incidence sur la fonction de la liste de contrôle d’accès et n’est utilisé qu’à des fins d’identification.

Étape 4. Cliquez sur Apply. La nouvelle liste de contrôle d’accès sera ajoutée à la table de liste de contrôle d’accès basée sur MAC. Cliquez sur Fermer pour revenir à la page ACL basée sur MAC, ou créez une autre ACL en répétant l'étape précédente.

Étape 5. Toute liste de contrôle d’accès nouvellement créée sera vide ; autrement dit, il ne contiendra aucune règle pour bloquer ou autoriser les paquets en fonction des adresses MAC. Pour créer ces règles, une entrée de contrôle d'accès (ACE) doit être ajoutée à la liste de contrôle d'accès. Pour ce faire, cliquez sur le bouton Table ACE basée sur MAC pour accéder à la page ACE basée sur MAC.

Étape 6. Sur la page ACE basée sur MAC, sélectionnez la liste de contrôle d'accès à laquelle vous souhaitez ajouter une entrée de contrôle d'accès via la liste déroulante en haut de la table ACE basée sur MAC et cliquez sur Go. Le tableau affiche tous les ACE actuellement associés à la liste de contrôle d'accès sélectionnée. Pour ajouter un ACE, cliquez sur le bouton Ajouter.... La fenêtre Add MAC-Based ACE s'ouvre.

Étape 7. Le champ Nom de la liste de contrôle d'accès affiche le nom de la liste de contrôle d'accès à laquelle vous ajoutez une entrée de contrôle d'accès. Dans le champ Priorité, saisissez un numéro de priorité pour l'ACE. Plus la priorité d'un ACE est élevée, plus tôt il sera traité. La plage est comprise entre 1 et 2147483647, 1 étant la priorité la plus élevée.

Étape 8. Dans le champ Action, sélectionnez une case d'option pour déterminer ce qui se passera lorsque les critères de l'ACE seront satisfaits.

Les options sont les suivantes :

  • Autoriser - Transférer les paquets qui répondent aux critères.
  • Refuser : abandonne les paquets qui répondent aux critères.
  • Arrêt : abandonne les paquets qui répondent aux critères, puis désactive le port.

Étape 9. Dans le champ Journalisation, cochez la case Activer pour activer la journalisation des flux ACL qui correspondent à la règle ACE. Si vous utilisez le mode d'affichage de base, passez à l'étape 12. Le mode d'affichage peut être modifié via la liste déroulante située dans le coin supérieur droit de l'utilitaire Web.

Étape 10. Dans le champ Plage de temps, cochez la case Activer pour que l'ACE ne soit actif que pendant une plage de temps spécifiée. Si aucune plage de temps n'est configurée sur le commutateur, ce champ ne sera pas disponible.

Étape 11. Si vous avez activé une plage de temps pour cet ACE, le champ Nom de plage de temps sera disponible. Utilisez la liste déroulante pour sélectionner une plage de temps déjà configurée sur le commutateur à appliquer à l'ACE. Si aucune plage de temps n'existe sur le commutateur, ce champ sera indisponible ; cliquez sur le lien Modifier pour accéder à la page Plage de temps pour créer ou modifier des plages de temps. Pour plus d'informations, reportez-vous à l'article Configuration d'une plage de temps sur les modèles SG350XG et SG550XG.

Étape 12. Dans le champ Adresse MAC de destination, sélectionnez une case d'option pour déterminer quelles adresses MAC de destination constituent une correspondance. Sélectionnez Any pour que l'adresse de destination corresponde ou User Defined pour spécifier une adresse ou une plage d'adresses.

Si vous avez sélectionné Défini par l'utilisateur, renseignez les champs suivants :

  • Destination MAC Address Value : saisissez l'adresse MAC de destination. Si un paquet contient cette adresse de destination, l'ACE la considère comme une correspondance.
  • Masque générique MAC de destination : saisissez un masque pour définir une plage d'adresses. Si vous définissez un bit sur 1, le bit correspondant de l’adresse MAC sera ignoré et les bits 0 correspondent.

Remarque: Donné un masque de 0000 000 000 000 000 000 000 000 000 000 000 000 000 1111 111 (ce qui signifie que vous faites correspondre sur les bits s 0 et ne correspondent pas sur les bits où il y a des 1). Vous devez traduire les 1 en une valeur hexadécimale et vous écrivez 0 pour quatre zéros. Dans cet exemple, depuis 1111 111 = FF, le masque est écrit : comme 00:00:00:00:FF.

Étape 13. Dans le champ Adresse MAC source, sélectionnez une case d'option pour déterminer quelles adresses MAC source constitueront une correspondance. Sélectionnez Any pour que l'adresse source corresponde ou User Defined pour spécifier une adresse ou une plage d'adresses.

Si vous avez sélectionné Défini par l'utilisateur, renseignez les champs suivants :

  • Source MAC Address Value : saisissez l'adresse MAC source. Si un paquet contient cette adresse source, l'ACE la considère comme une correspondance.
  • Masque générique MAC source : saisissez un masque pour définir une plage d'adresses. Si vous définissez un bit sur 1, le bit correspondant de l'adresse MAC sera ignoré et les 0 correspondent aux bits (par exemple 00:00:00:00:00:11).

Remarque: Donné un masque de 0000 000 000 000 000 000 000 000 000 000 000 000 000 1111 111 (ce qui signifie que vous faites correspondre sur les bits s 0 et ne correspondent pas sur les bits où il y a des 1). Vous devez traduire les 1 en une valeur hexadécimale et vous écrivez 0 pour quatre zéros. Dans cet exemple, depuis 1111 111 = FF, le masque est écrit : comme 00:00:00:00:FF.

Étape 14. Dans le champ ID de VLAN, saisissez un ID de VLAN compris entre 1 et 4 094. Si un paquet contient cet ID de VLAN, l'ACE le considère comme une correspondance. Ce champ n'est pas obligatoire ; si elle reste vide, l'ACE ne tiendra pas compte des ID de VLAN lors de l'examen des paquets.

Étape 15. Dans le champ 802.1p, cochez la case Inclure pour que ACE inclue les critères 802.1p. Si vous avez inclus des critères 802.1p, entrez une valeur et un masque 802.1p dans les champs Valeur 802.1p et Masque 802.1p, respectivement. La plage des deux champs est comprise entre 0 et 7. Si un paquet contient la valeur 802.1p correspondante et correspond au masque, l'ACE considère qu'il correspond.

Étape 16. Dans le champ Ethertype, saisissez une valeur Ethertype qui sera comparée aux paquets entrants. Ethertype est un champ de deux octets dans une trame qui indique quel protocole est encapsulé dans le paquet. La plage est 5DD- FFFF. Si un paquet contient la valeur Ethertype spécifiée, l'ACE la considère comme une correspondance. Une liste des valeurs Ethertype se trouve sur cette page de normes IEEE.

Étape 17. Cliquez sur Apply. L'ACE sera ajouté à la liste de contrôle d'accès spécifiée. Cliquez sur Fermer pour revenir à la page ACE basée sur MAC.

Mappage d’une liste de contrôle d’accès basée sur MAC aux ports

Étape 1. Une liste de contrôle d’accès peut être mappée à des ports ou à des VLAN. Pour mapper une liste de contrôle d'accès basée sur MAC à un ou plusieurs ports, accédez à Access Control > ACL Binding (Port). La page Liaison ACL (Port) s'ouvre.

Étape 2. Dans la liste déroulante en haut de la table de liaison de liste de contrôle d'accès, sélectionnez ports ou LAG (groupe d'agrégation de liens) comme type d'interface. Si le commutateur fait partie d'une pile, les ports d'autres unités peuvent être sélectionnés. Cliquez sur Aller pour afficher la liste du type d'interface spécifié.

Étape 3. Cochez la case d'une interface, puis cliquez sur le bouton Modifier... La fenêtre Edit ACL Binding s'ouvre.

Étape 4. Le champ Interface affiche le port ou le LAG actuellement configuré. Elle affiche automatiquement l'interface sélectionnée dans la table de liaison ACL. Ce champ peut être utilisé pour basculer rapidement entre différentes interfaces sans revenir à la page Liaison ACL (Port).

Étape 5. Cochez la case Sélectionner une liste de contrôle d'accès basée sur MAC et utilisez la liste déroulante pour sélectionner une liste de contrôle d'accès à mapper à l'interface spécifiée.

Étape 6. Dans le champ Action par défaut, sélectionnez une case d'option pour déterminer comment les paquets qui ne correspondent pas aux critères de la liste de contrôle d'accès seront traités. La valeur par défaut est Deny Any, qui supprime tous les paquets qui ne répondent pas aux critères de la liste de contrôle d'accès ; Permit Any transmettra plutôt des paquets non correspondants.

Étape 7. Cliquez sur Apply. La liste de contrôle d’accès est mappée à l’interface spécifiée. Vous pouvez utiliser le champ Interface pour sélectionner une autre interface à configurer, ou cliquer sur Fermer pour revenir à la page Liaison ACL (Port).

Étape 8. Pour copier rapidement les paramètres d'une interface sur d'autres interfaces, cochez la case de l'interface à copier, puis cliquez sur le bouton Copier les paramètres.... La fenêtre Copy Settings s'ouvre.

Étape 9. Dans le champ de texte, saisissez l'interface ou les interfaces auxquelles vous souhaitez copier les paramètres. Les interfaces peuvent être séparées par des virgules ou une plage peut être spécifiée.

Étape 10. Cliquez sur Apply. Les paramètres sont copiés.

Étape 11. Pour effacer les paramètres d'une interface, cochez la case correspondante et cliquez sur Effacer. Notez que plusieurs interfaces peuvent être sélectionnées et effacées simultanément.

Mappage d’une liste de contrôle d’accès basée sur MAC sur des VLAN

Étape 1. Une liste de contrôle d’accès peut être mappée à des ports ou à des VLAN. Pour mapper une liste de contrôle d'accès basée sur MAC à un VLAN, accédez à Access Control > ACL Binding (VLAN). La page Liaison ACL (VLAN) s'affiche.

Étape 2. La table de liaison des listes de contrôle d'accès affiche toutes les listes de contrôle d'accès actuellement mappées aux VLAN. Si aucune liste de contrôle d’accès n’a été mappée, la table est vide. Pour mapper une liste de contrôle d'accès à un VLAN, cliquez sur le bouton Ajouter.... La fenêtre Add ACL Binding s'ouvre.

Étape 3. Sélectionnez un VLAN pour mapper une liste de contrôle d'accès à l'aide de la liste déroulante dans le champ ID de VLAN. Ce champ peut également être utilisé pour basculer rapidement entre différents VLAN sans revenir à la page Liaison ACL (VLAN).

Étape 4. Cochez la case Sélectionner une liste de contrôle d'accès basée sur MAC et utilisez la liste déroulante pour sélectionner une liste de contrôle d'accès à mapper au VLAN spécifié.

Note: Vous ne pouvez pas lier une liste de contrôle d’accès basée sur MAC qui utilise un ID de VLAN comme partie de ses critères à un VLAN. En outre, une liste de contrôle d’accès avec une plage de temps ne peut pas être liée à un VLAN.

Étape 5. Dans le champ Action par défaut, sélectionnez une case d'option pour déterminer comment les paquets qui ne correspondent pas aux critères de la liste de contrôle d'accès seront traités. La valeur par défaut est Deny Any, qui supprime tous les paquets qui ne répondent pas aux critères de la liste de contrôle d'accès ; Permit Any transmettra plutôt des paquets non correspondants.

Étape 6. Cliquez sur Apply. La liste de contrôle d’accès est mappée au VLAN spécifié. Vous pouvez utiliser le champ ID VLAN pour sélectionner un autre VLAN à configurer, ou cliquez sur Fermer pour revenir à la page Liaison ACL (VLAN).

Étape 7. Pour copier rapidement les paramètres d'un VLAN sur d'autres VLAN, cochez la case de la configuration du VLAN que vous voulez copier, puis cliquez sur le bouton Copier les paramètres.... La fenêtre Copy Settings s'ouvre.

Étape 8. Dans le champ de texte, saisissez l'ID de VLAN ou les ID de VLAN auxquels vous souhaitez copier les paramètres. Les ID peuvent être séparés par des virgules ou une plage peut être spécifiée.

Étape 9. Cliquez sur Apply. Les paramètres sont copiés.

Étape 10. Si vous souhaitez effacer les paramètres d'un VLAN, cochez la case correspondante et cliquez sur Supprimer. Notez que plusieurs VLAN peuvent être sélectionnés et effacés simultanément.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco