Guía de configuración de Oracle® Switch ES2-72 y Oracle Switch ES2-64

Salir de la Vista de impresión

 
Actualización: Abril de 2015
 
 

Configurar filtros de ACL

El ejemplo en esta tarea muestra cómo bloquear el tráfico de IP desde un host con una dirección IP 12.0.0.100. Consulte Basic SEFOS Topology para obtener la topología para esta tarea.

El tipo de filtro puede ser extendido o estándar. Los filtros estándar filtran el tráfico según la dirección IP de origen y la dirección IP de destino. Los filtros extendidos también pueden especificar el ID de protocolo, los números de puerto TCP/UDP, los valores DSCP y la etiqueta de flujo. En el ejemplo, los paquetes IP con 12.0.0.100 a medida que se filtra la dirección de origen.

Los filtros ACL filtran paquetes en el hardware según ciertos criterios de filtrado configurados o programados en el conmutador. El conmutador examina cada paquete para determinar si se deben bloquear o si se deben reenviar según las listas de acceso configuradas. Escriba los siguientes comandos en el conmutador SEFOS-1.

  1. Conéctese al SEFOS.

    Consulte Connect to SEFOS.

  2. Configure la dirección IP del conmutador en 12.0.0.1. 
    SEFOS-1# configure terminal
SEFOS-1(config)# interface vlan 1
SEFOS-1(config-if)# shutdown
SEFOS-1(config-if)# ip address 12.0.0.1  255.0.0.0
SEFOS-1(config-if)# no shutdown
SEFOS-1(config-if)# exit
SEFOS-1(config)# interface xl-ethernet 0/25
SEFOS-1(config-if)# no shutdown
SEFOS-1(config-if)# exit
SEFOS-1(config)# interface xl-ethernet 0/26
SEFOS-1(config-if)# no shutdown
SEFOS-1(config-if)# exit
  3. Cree un filtro IP con ID 11. 
    SEFOS-1(config)# ip access-list extended 11
  4. Rechace el tráfico de IP desde el host 12.0.0.100 a cualquier red o host. 
    SEFOS-1(config-ext-nacl)# deny ip host 12.0.0.100 any
SEFOS-1(config-ext-nacl)# end
  5. Ejecute Ping desde el host A al host B. 
    # ping 12.0.0.17
12.0.0.17 is alive
  6. Aplique el filtro IP 11 al puerto 25. 
    SEFOS-1(config)# interface xl-ethernet 0/25
SEFOS-1(config-if)# ip access-group 11 in
SEFOS-1(config-if)# exit
SEFOS-1(config)# vlan 1
SEFOS-1(config-vlan)# ports xl-ethernet 0/25 xl-ethernet 
0/26 untagged xl-ethernet 0/25 xl-ethernet 0/26
    Notas -  Es posible que vea el siguiente mensaje si los puertos 25 y 26 ya están en VLAN 1. Si ve este mensaje, puede ignorarlo. 
    % Member Ports cannot be added/deleted on Default VLAN
SEFOS-1(config-vlan)# end
  7. Visualice los detalles de configuración. 
    SEFOS-1# show access-lists
...
IP address Type                  : IPV4
...
In Port List                     : X10/25
...
Filter Action                    : Deny
Status                           : Active
  8. Envíe el reenvío de tráfico del host A al host B de la misma manera que el ping del host A al host B en el Step 5.

    Los paquetes enviados del host A no se reenvían al puerto 26 porque el filtrado está establecido en deny. El ping a 12.0.0.17 desde el host A falla sin respuesta desde 12.0.0.17.

  9. Elimine el filtro IP desde el puerto 25. 
    SEFOS-1# configure terminal
SEFOS-1(config)# interface xl-ethernet 0/25
SEFOS-1(config-if)# no ip access-group 11 in
SEFOS-1(config-if)# end
SEFOS-1# show access-lists
...
Status                           : InActive
  10. Envíe el reenvío de tráfico del host A al host B de la misma manera que el ping del host A al host B en el Step 5.

    El ping se responde desde el host B. Los paquetes enviados desde el host A se reenvían al puerto 26. Los siguientes dos comandos ping consecutivos muestran que el filtro deny establecido en la lista de ACL se aplicó a un puerto y se eliminó de otro puerto.

    # ping 12.0.0.17
no answer from 12.0.0.17
# ping 12.0.0.17
12.0.0.17 is alive

Información relacionada

Copyright © 2015, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente