Guía de configuración de Oracle® Switch ES2-72 y Oracle Switch ES2-64

Salir de la Vista de impresión

Actualización: Abril de 2015
 
 

Configurar filtros de ACL

El ejemplo en esta tarea muestra cómo bloquear el tráfico de IP desde un host con una dirección IP 12.0.0.100. Consulte Basic SEFOS Topology para obtener la topología para esta tarea.

El tipo de filtro puede ser extendido o estándar. Los filtros estándar filtran el tráfico según la dirección IP de origen y la dirección IP de destino. Los filtros extendidos también pueden especificar el ID de protocolo, los números de puerto TCP/UDP, los valores DSCP y la etiqueta de flujo. En el ejemplo, los paquetes IP con 12.0.0.100 a medida que se filtra la dirección de origen.

Los filtros ACL filtran paquetes en el hardware según ciertos criterios de filtrado configurados o programados en el conmutador. El conmutador examina cada paquete para determinar si se deben bloquear o si se deben reenviar según las listas de acceso configuradas. Escriba los siguientes comandos en el conmutador SEFOS-1.

  1. Conéctese al SEFOS.

    Consulte Connect to SEFOS.

  2. Configure la dirección IP del conmutador en 12.0.0.1.
    SEFOS-1# configure terminal
    SEFOS-1(config)# interface vlan 1
    SEFOS-1(config-if)# shutdown
    SEFOS-1(config-if)# ip address 12.0.0.1  255.0.0.0
    SEFOS-1(config-if)# no shutdown
    SEFOS-1(config-if)# exit
    SEFOS-1(config)# interface xl-ethernet 0/25
    SEFOS-1(config-if)# no shutdown
    SEFOS-1(config-if)# exit
    SEFOS-1(config)# interface xl-ethernet 0/26
    SEFOS-1(config-if)# no shutdown
    SEFOS-1(config-if)# exit
    
  3. Cree un filtro IP con ID 11.
    SEFOS-1(config)# ip access-list extended 11
    
  4. Rechace el tráfico de IP desde el host 12.0.0.100 a cualquier red o host.
    SEFOS-1(config-ext-nacl)# deny ip host 12.0.0.100 any
    SEFOS-1(config-ext-nacl)# end
    
  5. Ejecute Ping desde el host A al host B.
    # ping 12.0.0.17
    12.0.0.17 is alive
    
  6. Aplique el filtro IP 11 al puerto 25.
    SEFOS-1(config)# interface xl-ethernet 0/25
    SEFOS-1(config-if)# ip access-group 11 in
    SEFOS-1(config-if)# exit
    SEFOS-1(config)# vlan 1
    SEFOS-1(config-vlan)# ports xl-ethernet 0/25 xl-ethernet 
    0/26 untagged xl-ethernet 0/25 xl-ethernet 0/26
    

    Notas -  Es posible que vea el siguiente mensaje si los puertos 25 y 26 ya están en VLAN 1. Si ve este mensaje, puede ignorarlo.
    % Member Ports cannot be added/deleted on Default VLAN
    SEFOS-1(config-vlan)# end
    
  7. Visualice los detalles de configuración.
    SEFOS-1# show access-lists
    ...
    IP address Type                  : IPV4
    ...
    In Port List                     : X10/25
    ...
    Filter Action                    : Deny
    Status                           : Active
    
  8. Envíe el reenvío de tráfico del host A al host B de la misma manera que el ping del host A al host B en el Step 5.

    Los paquetes enviados del host A no se reenvían al puerto 26 porque el filtrado está establecido en deny. El ping a 12.0.0.17 desde el host A falla sin respuesta desde 12.0.0.17.

  9. Elimine el filtro IP desde el puerto 25.
    SEFOS-1# configure terminal
    SEFOS-1(config)# interface xl-ethernet 0/25
    SEFOS-1(config-if)# no ip access-group 11 in
    SEFOS-1(config-if)# end
    SEFOS-1# show access-lists
    ...
    Status                           : InActive
    
  10. Envíe el reenvío de tráfico del host A al host B de la misma manera que el ping del host A al host B en el Step 5.

    El ping se responde desde el host B. Los paquetes enviados desde el host A se reenvían al puerto 26. Los siguientes dos comandos ping consecutivos muestran que el filtro deny establecido en la lista de ACL se aplicó a un puerto y se eliminó de otro puerto.

    # ping 12.0.0.17
    no answer from 12.0.0.17
    # ping 12.0.0.17
    12.0.0.17 is alive
    

Información relacionada