No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo de uso de ACL reflexiva para implementar control de acceso unidireccional

Ejemplo de uso de ACL reflexiva para implementar control de acceso unidireccional

Descripción general de la ACL reflexiva

ACL reflexiva es un tipo de ACL dinámico. El dispositivo crea una ACL reflexiva intercambiando las direcciones IP de origen/destino y los números de puerto de origen/destino de una ACL. Una ACL reflexiva tiene un tiempo de envejecimiento. Si los paquetes que pasan por la interfaz coinciden con la ACL reflexiva dentro del tiempo de envejecimiento, esta ACL reflectiva se mantiene en el siguiente rango de tiempo de envejecimiento. Si ningún paquete que pasa la interfaz coincide con la ACL reflexiva dentro del tiempo de envejecimiento, se borrará la ACL reflexiva. Este mecanismo mejora la seguridad del dispositivo.

ACL reflexiva implementa control de acceso unidireccional. Un host externo puede acceder a un host interno solo después de que el host interno acceda al host externo. Por lo tanto, la ACL reflexiva protege las redes internas de las empresas contra los ataques iniciados por usuarios externos.

En este ejemplo, se usa una ACL reflexiva y avanzada para evitar que los servidores en Internet establezcan activamente conexiones UDP con hosts internos antes de que los hosts internos se conecten a los servidores externos. ACL reflexiva implementa control de acceso unidireccional entre redes internas y externas.

Notas de configuración

Este ejemplo se aplica a todas las versiones de switches modulares, pero no se aplica a los switches fijos.

Requisitos de red

Como se muestra en Figura 12-4, Switch funciona como gateway para conectar los PC a La Internet. Hay rutas accesibles entre los dispositivos. Para garantizar la seguridad de la red interna, el administrador permite que los servidores en Internet establezcan conexiones UDP con PC internos solo después de que los PC internos hayan establecido conexiones UDP con los servidores externos.

Figura 12-4  Uso de ACL reflexiva para implementar control de acceso unidireccional

Hoja de ruta de configuración

Las siguientes configuraciones se realizan en Switch. La hoja de ruta de la configuración es la siguiente:

  1. Configure una ACL avanzada según lo cual el dispositivo generará una ACL reflectante.
  2. Configure la función reflexiva de ACL para permitir que el PC1 interna establezca una conexión UDP con un servidor en Internet y evite que el servidor externo establezca activamente una conexión UDP con hosts internos.

Procedimiento

  1. Configure una ACL avanzada.

    # Cree ACL avanzada 3000 y configure una regla para permitir paquetes UDP.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] acl 3000
    [Switch-acl-adv-3000] rule permit udp  //Permita que los paquetes de UDP pasen.
    [Switch-acl-adv-3000] quit
    

  2. Configure la función reflexiva de ACL.

    # Los paquetes de Internet se reciben por GE2/0/1; por lo tanto, configure la función reflexiva de ACL en la dirección de salida de GE2/0/1 para que Switch pueda generar ACL reflectiva para paquetes UDP.

    [Switch] interface gigabitethernet 2/0/1
    [Switch-GigabitEthernet2/0/1] traffic-reflect outbound acl 3000  //Aplique la ACL reflexiva a la dirección de salida de una interfaz.
    [Switch-GigabitEthernet2/0/1] quit

  3. Verifique la configuración

    Ejecute el comando display traffic-reflect para comprobar la información de ACL reflexiva.

    [Switch] display traffic-reflect outbound acl 3000
    Proto  SP   DP   DIP             SIP             Count   Timeout  Interface
    ------------------------------------------------------------------------------
    UDP    2    80   192.168.1.2       10.1.1.2       9       300(s)   GigabitEthernet2/0/1
    ------------------------------------------------------------------------------
    * Total <1> flows accord with condition, <1> items was displayed.
    ------------------------------------------------------------------------------
    * Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff,
    * SP=Source port,DP=Destination port,Count=Packets count(data).

    La información anterior se mostrará solo después de que los hosts internos hayan establecido conexiones UDP con servidores externos. La información anterior muestra que se ha generado una ACL reflexiva en GE2/0/1 para los paquetes UDP entre el PC1 y el servidor (192.168.1.2), y proporciona estadísticas de paquetes.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
acl number 3000
 rule 5 permit udp
#
interface GigabitEthernet2/0/1
 traffic-reflect outbound acl 3000
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15817

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente