Saltar al contenido

Listas ACL

Listas ACL

Una lista de control de acceso clasifica los paquetes de acuerdo a reglas en base a las cuales el switch determina si los paquetes serán recibidos o rechazados.

A continuación veremos como crear una lista de control de acceso básica. En este ejemplo, tenemos dos subredes (10.1.1.1/24, GE1/0/1 y 10.1.2.1/24, GE1/0/2). Necesitamos qué fuera de las horas laborales, solo los gerentes de cada departamento puedan acceder a internet. Cada uno tiene una IP fija asignada (10.1.1.12 y 10.1.2.12 respectivamente). La salida a Internet es través del puerto GE1/0/23.

  1. Definimos un rango horario, al cual llamaremos no-laboral

    [OPTIMA] time-range no-laboral 0:00 to 23:59 off-day 
    [OPTIMA] time-range no-laboral 0:00 to 9:00 working-day
    [OPTIMA] time-range no-laboral 18:01 to 23:59 working-day
    		
  2. Definimos la ACL de la siguiente manera:

    [OPTIMA] acl number 2001 // el número 2001 determina que es una ACL Básica
    [OPTIMA-acl-basic-2001] rule permit source 10.1.1.12 0
    [OPTIMA-acl-basic-2001] rule permit source 10.1.2.12 0
    [OPTIMA-acl-basic-2001] rule deny time-range no-laboral
    [OPTIMA-acl-basic-2001] quit
    	
  3. Creamos un traffic classifier basado en la ACL que creamos:

    [OPTIMA] traffic classifier tc1 //creamos un classifier llamado tc1
    [OPTIMA-classifier-tc1] if-match acl 2001 //lo asociamos a la acl 2001
    [OPTIMA-classifier-tc1] quit
    
    
  4. Configuramos un traffic behavior):

  5. [OPTIMA] traffic behavior tb1 
    [OPTIMA-behavior-tb] quit
    	
  6. Creamos una traffic policy, la cual asociaremos con el traffic classifier y traffic behavior definido previamente

    [OPTIMA] traffic policy tp1
    [OPTIMA-trafficpolicy-tp] classifier tc1 behavior tb1
    [OPTIMA-trafficpolicy-tp] quit
    	
  7. Aplicamos la traffic policy a la interface 1/0/23:

     [OPTIMA] interface gigabitethernet 1/0/23
    [OPTIMA-GigabitEthernet1/0/23] traffic-policy tp1 outbound
    [OPTIMA-trafficpolicy-tp] quit
    
Switches Huawei
Huawei - División Dispositivos de Red