Listas de Control de Acceso de Capa 2 en EVCs

Anuncio
Listas de Control de Acceso de Capa 2 en EVCs
Descargue este capítulo
Listas de Control de Acceso de Capa 2 en EVCs
Descargue el libro completo
Guía de configuración de Ethernet del portador, Cisco IOS Release 12.2SR (PDF - 3 MB)
Feedback
Contenido
Listas de Control de Acceso de Capa 2 en EVCs
Encontrar la información de la característica
Prerrequisitos para las Listas de Control de Acceso de la Capa 2 en EVCs
Restricciones para las Listas de Control de Acceso de Capa 2 en EVCs
Información sobre las Listas de Control de Acceso de la Capa 2 en EVCs
EVC
Relación entre los ACLs y la Infraestructura Ethernet
Cómo Configurar las Listas de Control de Acceso de Capa 2 en EVCs
Creación de una ACL de Capa 2
Aplicación de una ACL de Capa 2 a una Instancia de Servicio
Configuración de una Capa 2 ACL con los ACE en una Instancia del Servicio
Verificación de la Presencia de una ACL de Capa 2 en una Instancia de Servicio
Ejemplos de Configuración de las Listas de Control de Acceso de Capa 2 en EVCs
Ejemplo que aplica una capa 2 ACL a un caso del servicio
Ejemplo que aplica una capa 2 ACL a tres casos del servicio en lo mismo interfaz
Ejemplo que crea una capa 2 ACL con los ACE
Ejemplo que visualiza los detalles de una capa 2 ACL en un caso del servicio
Referencias adicionales
Información de la Función Listas de Control de Acceso de Capa 2 en EVCs
Listas de Control de Acceso de Capa 2 en EVCs
Última actualización: 2 de octubre de 2011
La capacidad de filtrar los paquetes en un modular y un modo escalable es importante para la seguridad de la red y la Administración de redes. El Listas de control de acceso
(ACL) proporciona la capacidad para filtrar los paquetes en una granulosidad fina. En las redes de los Metros Ethernet, los ACL se aplican directamente en los circuitos
virtuales de los Ethernetes (EVCs).
Las listas de control de acceso de la capa 2 en EVCs son una función de seguridad que permite el filtrado de paquetes basado en las direcciones MAC. Este módulo describe
cómo implementar los ACL en EVCs.
Encontrar la información de la característica
Prerrequisitos para las Listas de Control de Acceso de la Capa 2 en EVCs
Restricciones para las Listas de Control de Acceso de Capa 2 en EVCs
Información sobre las Listas de Control de Acceso de la Capa 2 en EVCs
Cómo Configurar las Listas de Control de Acceso de Capa 2 en EVCs
Ejemplos de Configuración de las Listas de Control de Acceso de Capa 2 en EVCs
Referencias adicionales
Información de la Función Listas de Control de Acceso de Capa 2 en EVCs
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los
Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones
en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco
Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Prerrequisitos para las Listas de Control de Acceso de la Capa 2 en EVCs
Conocimiento de cómo los casos del servicio deben ser configurados.
Conocimiento de MAC extendido ACL y cómo deben ser configurados.
Restricciones para las Listas de Control de Acceso de Capa 2 en EVCs
Un máximo de 16 entradas de control de acceso (ACE) se permite para un ACL dado.
Solamente el 256 diferente o la capa única 2 ACL se puede configurar en un linecard. (Más que 256 ACL se pueden configurar en un router.)
Función de la capa 2 ACL entrante solamente.
La capa actual 2 ACL proporciona la opción de filtro de la capa 3 en el permiso y niega las reglas. Se ignoran las opciones que no son relevantes mantener los casos.
Información sobre las Listas de Control de Acceso de la Capa 2 en EVCs
EVC
Relación entre los ACLs y la Infraestructura Ethernet
EVC
Un EVC, tal como lo define el Metro Ethernet Forum, es un circuito de Capa 2 punto a punto, o multipunto a multipunto, de nivel de puerto. Es una representación de fin a fin de
una única instancia de un servicio de Capa 2 que ofrece un proveedor a un cliente. Personifica los diversos parámetros en los cuales se está ofreciendo el servicio. Un caso
del servicio es la particularización de un EVC en un puerto dado en un router dado.
La conexión virtual de los Ethernetes mantiene las aplicaciones (EVCS) EVCs y los casos del servicio de proporcionar los servicios del Switched Ethernet de la capa 2. El
estatus EVC se puede utilizar por un dispositivo de la frontera del cliente (CE) para encontrar un trayecto alternativo adentro a la red del proveedor de servicios o, en algunos
casos, para invertir a un trayecto de backup sobre los Ethernetes o sobre otro servicio alternativo tal como Frame Relay o atmósfera.
Para la información sobre los estándares del foro de los Metros Ethernet, vea la tabla de estándares en la sección de referencias adicional.
Relación entre los ACLs y la Infraestructura Ethernet
Las puntas siguientes capturan la relación entre ACL y la infraestructura Ethernet (E-I):
Los ACL se pueden aplicar directamente en un EVC usando el comando line interface(cli). Un ACL se aplica a un caso del servicio, que es la particularización de un
EVC en un puerto dado.
Un ACL se puede aplicar a más de un caso del servicio en cualquier momento.
Un caso del servicio puede tener un ACL a lo más aplicado a él en cualquier momento. Si una capa 2 ACL se aplica a un caso del servicio que tenga ya una capa 2
ACL, el nuevo substituye el viejo.
Solamente los ACL Nombrados se pueden aplicar para mantener los casos. Se conserva la sintaxis de los comandos ACL; se utiliza el comando ampliado lista de
acceso del mac de crear un ACL.
El comando del caso del servicio Ethernet de la demostración se puede utilizar para proporcionar los detalles sobre los ACL en los casos del servicio.
Cómo Configurar las Listas de Control de Acceso de Capa 2 en EVCs
Creación de una ACL de Capa 2
Aplicación de una ACL de Capa 2 a una Instancia de Servicio
Configuración de una Capa 2 ACL con los ACE en una Instancia del Servicio
Verificación de la Presencia de una ACL de Capa 2 en una Instancia de Servicio
Creación de una ACL de Capa 2
Realice esta tarea de crear una capa 2 ACL con solo ACE.
PASOS SUMARIOS
1. permiso
2. configuró terminal
3. nombre extendido de la lista de acceso del mac
4. permiso {{máscara del src-mac | any} {dest-mac mask | ningunos} [cos value] del [protocol [vlan vlan]]}
PASOS DETALLADOS
Comando o acción
Paso permiso
1
Propósito
Habilita el modo EXEC privilegiado.
Ingrese su contraseña si se le pide que lo haga.
Ejemplo:
Router> enable
Paso configure terminal
2
Ingresa en el modo de configuración global.
Ejemplo:
Router# configure terminal
Paso nombre extendido de la lista de acceso del mac
3
Ejemplo:
Lista de acceso test-12-acl extendido
Define MAC ACL ampliada y ingresa el modo de la
controlar la configuración de la lista de acceso del
mac.
del mac de Router(config)#
Permite el reenvío del tráfico de la Capa 2 si se
Paso permiso {{máscara del src-mac | any} {dest-mac mask
cumplen las condiciones. Crea ACE para el ACL.
4
| ningunos} [cos value] del [protocol [vlan vlan]]}
Ejemplo:
Router (config-extensión-macl) # permiso
00aa.00bb.00cc 0.0.0 ninguno
Aplicación de una ACL de Capa 2 a una Instancia de Servicio
Realice esta tarea de aplicar una capa 2 ACL a un caso del servicio. Observe que ocurre el filtrado de paquetes solamente después que el ACL se ha creado y se ha aplicado
al caso del servicio.
Antes de comenzar
Antes de aplicar un ACL a un caso del servicio, usted debe crearlo usando el comando ampliado lista de acceso del mac. Vea “creando la sección de la capa 2 un ACL”
en la página 3.
PASOS SUMARIOS
1. permiso
2. configuró terminal
3. número del tipo de la interfaz
4. mantenga los Ethernetes identificación del caso
5. VLAN-identificación del dot1q de la encapsulación
6. acceso-lista-nombre del acceso-grupo del mac adentro
PASOS DETALLADOS
Comando o acción
Paso permiso
1
Propósito
Habilita el modo EXEC privilegiado.
Ingrese su contraseña si se le pide que lo haga.
Ejemplo:
Router> enable
Paso configure terminal
2
Ingresa en el modo de configuración global.
Ejemplo:
Router# configure terminal
Paso número del tipo de la interfaz
3
Ejemplo:
Especifica el tipo y la ubicación de la interfaz que se va a
configurar, donde:
tipo --Especifica el tipo de la interfaz.
número --Especifica la ubicación de la interfaz.
Gigabitethernet 1/0/0 de la
interfaz de Router(config)#
Paso mantenga los Ethernetes identificación del
4
caso
Configura un caso del servicio Ethernet en una interfaz y
ingresa al modo de configuración del servicio Ethernet.
Ejemplo:
Router (config-if) # Ethernetes
del caso 100 del servicio
Define los criterios de coincidencia que se utilizarán para
Paso VLAN-identificación del dot1q de la
5
encapsulación
mapear las tramas de dot1q de entrada en una interfaz a la
instancia de servicio apropiada.
Ejemplo:
Router (config-si-SRV) # dot1q
100 de la encapsulación
Paso acceso-lista-nombre del acceso-grupo del
6
mac adentro
Aplica una ACL MAC para controlar el tráfico de entrada en la
interfaz.
Ejemplo:
Router (config-si-SRV) # accesogrupo test-12-acl del mac
adentro
Configuración de una Capa 2 ACL con los ACE en una Instancia del Servicio
Realice esta tarea de configurar el mismo ACL con tres ACE y de parar el resto del tráfico en un caso del servicio.
PASOS SUMARIOS
1. permiso
2. configuró terminal
3. nombre extendido de la lista de acceso del mac
4. permiso {máscara del src-mac | any} {dest-mac mask | ningunos}
5. permiso {máscara del src-mac | any} {dest-mac mask | ningunos}
6. permiso {máscara del src-mac | ningunos} {máscara del dest-mac} | ningunos}
7. niegue cualquier ninguno
8. salga
9. número del tipo de la interfaz
10. mantenga los Ethernetes identificación del caso
11 VLAN-identificación del dot1q de la encapsulación
12.
acceso-lista-nombre del acceso-grupo del mac adentro
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
permiso
Habilita el modo EXEC privilegiado.
Ingrese su contraseña si se le pide que lo haga.
Ejemplo:
Router> enable
Paso 2
configure terminal
Ingresa en el modo de configuración global.
Ejemplo:
Router# configure terminal
Paso 3
nombre extendido de la lista de acceso
del mac
Define MAC ACL ampliada y ingresa al modo de
configuración del Access Control List del mac.
Ejemplo:
Lista de acceso test-12-acl
extendido del mac de
Router(config)#
Paso 4
permiso {máscara del src-mac | any} {destmac mask | ningunos}
Permite el reenvío del tráfico de la Capa 2 si se cumplen las
condiciones. Crea un ACE para la ACL.
Ejemplo:
Router (config-extensión-macl) #
permiso 00aa.bbcc.ddea 0.0.0
ninguno
Paso 5
permiso {máscara del src-mac | any} {destmac mask | ningunos}
Permite el reenvío del tráfico de la Capa 2 si se cumplen las
condiciones. Crea un ACE para la ACL.
Ejemplo:
Router (config-extensión-macl) #
permiso 00aa.bbcc.ddeb 0.0.0
ninguno
Paso 6
permiso {máscara del src-mac | ningunos}
{máscara del dest-mac} | ningunos}
Permite el reenvío del tráfico de la Capa 2 si se cumplen las
condiciones. Crea un ACE para la ACL.
Ejemplo:
Router (config-extensión-macl) #
permiso 00aa.bbcc.ddec 0.0.0
ninguno
Paso 7
niegue cualquier ninguno
Previene el envío del tráfico de la capa 2 a excepción de los
ACE permitidos.
Ejemplo:
El router (config-extensión-macl)
# niega cualquier ninguno
Paso 8
salida
Da salida al modo de comando actual y vuelve el CLI al
modo de configuración global.
Ejemplo:
Router (config-extensión-macl) #
salida
Paso 9
número del tipo de la interfaz
Especifica la interfaz.
Ejemplo:
Gigabitethernet 1/0/0 de la
interfaz de Router(config)#
Paso 10 mantenga los Ethernetes identificación del Configura un caso del servicio Ethernet en una interfaz y
ingresa al modo de configuración del caso del servicio.
caso
Ejemplo:
Router (config-if) # Ethernetes
del caso 200 del servicio
Paso 11 VLAN-identificación del dot1q de la
encapsulación
Define los criterios de coincidencia que se utilizarán para
mapear las tramas de dot1q de entrada en una interfaz a la
instancia de servicio apropiada.
Ejemplo:
Router (config-si-SRV) # dot1q
100 de la encapsulación
Paso 12 acceso-lista-nombre del acceso-grupo del
mac adentro
Aplica una ACL MAC para controlar el tráfico de entrada en
la interfaz.
Ejemplo:
Router (config-si-SRV) # accesogrupo test-12-acl del mac adentro
Verificación de la Presencia de una ACL de Capa 2 en una Instancia de Servicio
Realice esta tarea de verificar que una capa 2 ACL está presente en un EVC. Esta tarea de la verificación puede ser utilizada después de que un ACL se haya configurado
para confirmar su presencia.
PASOS SUMARIOS
1. permiso
2. configuró terminal
3. muestre el detalle del número del tipo de la interfaz identificación identificación del caso del servicio Ethernet
PASOS DETALLADOS
Comando o acción
Paso permiso
1
Ejemplo:
Propósito
Habilita el modo EXEC privilegiado.
Ingrese su contraseña si se le
pide que lo haga.
Router> enable
Paso configure terminal
2
Ejemplo:
Ingresa en el modo de configuración
global.
La identificación 100 del caso del servicio
Ethernet de la demostración del Routerinterconecta el gigabitethernet 3/0/1 detalle
Paso muestre el detalle del número del tipo de la interfaz identificación
3
identificación del caso del servicio Ethernet
Visualiza la información detallada sobre
los casos del servicio al cliente de los
Ethernetes.
Ejemplo:
La identificación 100 del caso del servicio
Ethernet de la demostración del Routerinterconecta el gigabitethernet 3/0/1 detalle
Ejemplos de Configuración de las Listas de Control de Acceso de Capa 2 en EVCs
Ejemplo que aplica una capa 2 ACL a un caso del servicio
Ejemplo que aplica una capa 2 ACL a tres casos del servicio en lo mismo interfaz
Ejemplo que crea una capa 2 ACL con los ACE
Ejemplo que visualiza los detalles de una capa 2 ACL en un caso del servicio
Ejemplo que aplica una capa 2 ACL a un caso del servicio
El siguiente ejemplo muestra cómo aplicar una capa 2 mac-20-acl llamados ACL a un caso del servicio. El ACL tiene cinco ACE permitidos y el resto del tráfico no se permite.
enable
configure terminal
mac access-list extended mac-20-acl
permit 00aa.bbcc.adec 0.0.0 any
permit 00aa.bbcc.bdec 0.0.0 any
permit 00aa.bbcc.cdec 0.0.0 any
permit 00aa.bbcc.edec 0.0.0 any
permit 00aa.bbcc.fdec 0.0.0 any
deny any any
exit
interface gigabitethernet 10/0/0
service instance 100 ethernet
encapsulation dot1q 100
mac access-group mac-20-acl in
Ejemplo que aplica una capa 2 ACL a tres casos del servicio en lo mismo interfaz
El siguiente ejemplo muestra cómo aplicar una capa 2 mac-07-acl llamados ACL a tres casos del servicio en la misma interfaz:
enable
configure terminal
mac access-list extended mac-07-acl
permit 00aa.bbcc.adec 0.0.0 any
permit 00aa.bbcc.bdec 0.0.0 any
permit 00aa.bbcc.cdec 0.0.0 any
deny any any
exit
interface gigabitethernet 10/0/0
service instance 100 ethernet
encapsulation dot1q 100
mac access-group mac-07-acl in
service instance 101 ethernet
encapsulation dot1q 101
mac access-group mac-07-acl in
service instance 102 ethernet
encapsulation dot1q 102
mac access-group mac-07-acl in
Ejemplo que crea una capa 2 ACL con los ACE
Las demostraciones del siguiente ejemplo cómo crear una capa 2 mac-11-acl llamado ACL con dos ACE permitidos:
enable
configure terminal
mac access-list extended mac-11-acl
permit 00aa.00bb.00cc 1a11.0101.11c1 any
permit 00aa.00bb.00cc 1a11.0101.11c2 any
Ejemplo que visualiza los detalles de una capa 2 ACL en un caso del servicio
Las visualizaciones del ejemplo de resultado siguientes los detalles de una capa 2 ACL llamaron el prueba-ACL en un caso del servicio.
Router# show ethernet service instance id 100 interface ethernet0/0 detail
Service Instance ID: 100
L2 ACL (inbound): test-acl
Associated Interface: Ethernet0/0
Associated EVC: test
L2protocol drop
CEVlans:
Interface Dot1q Tunnel Ethertype: 0x8100
State: Up
L2 ACL permit count: 10255
L2 ACL deny count: 53
La tabla abajo describe los campos significativos en la salida.
Tabla 1
muestre las Descripciones del campo del caso del servicio Ethernet
Campo
Descripción
Mantenga el caso ID
Visualiza la identificación del caso del servicio
L2 ACL (entrante):
Visualiza el nombre ACL.
Interfaz asociada:
Visualiza los detalles de la interfaz del caso del servicio.
EVC asociado:
Visualiza el EVC con el cual el caso del servicio es asociado.
CEVlans:
Visualiza los detalles de la identificación asociada del VLA N
Estado:
Visualiza si el caso del servicio está en hacia arriba o hacia abajo un estado.
Cuenta del permiso L2
ACL:
Visualiza el número de bastidores del paquete permitidos pasar encendido el caso del
servicio por el ACL.
El L2 ACL niega la
cuenta
Visualiza el número de bastidores del paquete no permitidos para pasar encendido el caso
del servicio por el ACL.
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Comandos ethernet del portador del Cisco IOS: sintaxis de comandos completa,
Referencia de Comandos
modo de comandos, historial de comandos, valores predeterminados, directrices de Ethernet de la Portadora de
uso y ejemplos
Cisco IOS
Comandos cisco ios: lista maestra de comandos con el sintaxis, el modo de
El Cisco IOS domina los
comando, el comando history, los valores por defecto, las Pautas para el uso, y los comandos list, todos las
ejemplos del comando complete
versiones
Estándares
Estándar
Título
MEF 6.1
Definiciones de Servicios Metro Ethernet Fase 2 (PDF 6/08)
MEF 10.1
Fase 2 (PDF 10/06) de los Atributos de Servicios Ethernet
MIB
MIB
Link del MIB
Ninguno Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y
los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:
http://www.cisco.com/cisco/web/LA/support/index.html
RFC
RFC
Título
Esta versión no soporta RFCs nuevos o modificados.
--
Asistencia Técnica
Descripción
Link
El Web site del soporte y de la documentación de Cisco
proporciona los recursos en línea para descargar la
documentación, el software, y las herramientas. Utilice estos
recursos para instalar y para configurar el software y para
resolver problemas y para resolver los problemas técnicos
http://www.cisco.com/cisco/web/LA/support/index.html
con los Productos Cisco y las Tecnologías. El acceso a la
mayoría de las herramientas en el Web site del soporte y de
la documentación de Cisco requiere una identificación del
usuario y una contraseña del cisco.com.
Información de la Función Listas de Control de Acceso de Capa 2 en EVCs
La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de
software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores
de ese tren de versión de software también soportan esa característica.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco
Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Tabla 2
Información de la Función Listas de Control de Acceso de Capa 2 en EVCs
Nombre de la
función
Listas de Control de
Acceso de Capa 2
en EVCs
Versiones
12.2(33)SRD
15.0(1)S
Información sobre la Función
Las listas de control de acceso de la capa 2 en la característica de EVCs
introducen los ACL en EVCs.
Se han insertado o modificado los siguientes comandos: interconecte,
acceso-grupo del mac adentro, lista de acceso del mac extendida,
caso del servicio Ethernet de la demostración.
Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco
se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la
palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)
Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos,
muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones
IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.
Cisco Systems, Inc. de © 2011 todos los derechos reservados.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/111/1116/1116327_ce-l2acl-evc.html
Descargar