Saltar al contenido
Haga clic aquí para abrir la documentación sobre los switches administrados localmente, incluidas las guías de CLI y API.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=switch-management-security

Seguridad

Puede configurar los parámetros de seguridad de Sophos Switch, como la protección contra DoS, la autenticación 802.1X y la seguridad de puertos, así como añadir y eliminar servidores RADIUS y TACACS+.

DoS

Sophos Switch puede supervisar y bloquear ataques de denegación de servicio (DoS). Un ataque DoS es tráfico de red destinado a saturar un host e interrumpir su conexión a la red.

Seleccione Activar o Desactivar para activar o desactivar la protección DoS. Seleccione No establecido para utilizar los parámetros configurados localmente en el switch.

Después de activar o desactivar DoS, haga clic en Actualizar para guardar los cambios.

Cuando se activa DoS, el switch descarta los paquetes que coinciden con los siguientes tipos de ataques DoS:

  • MAC de destino igual a MAC de origen: descarta el tráfico en que las direcciones MAC de origen y destino son iguales.
  • IP de destino de los ataques LAND igual a IP de origen (IPv4/IPv6): descarta los paquetes en que las direcciones IP de origen y destino son iguales.

  • TCP Blat (Puerto TCP de destino igual a puerto TCP de origen): descarta los paquetes TCP en que los puertos TCP de origen y destino son iguales.

    Note

    A veces el cliente NTP (protocolo de tiempo de redes) utiliza el mismo puerto de origen y destino. Cuando se activa la protección DoS, Sophos Switch la detecta como un ataque TCP Blat y descarta los paquetes. Recomendamos desactivar la protección DoS si está ejecutando clientes NTP más antiguos que utilizan los mismos puertos de origen y destino.

  • UDP Blat (puerto UDP de destino igual al puerto UDP de origen): descarta los paquetes UDP en que los puertos UDP de origen y destino son iguales.

  • Ping de la muerte (IPv4/IPv6): descarta los paquetes con una longitud superior a 64K bytes a través de fragmentos.
  • Fragmento mínimo IPv6 (bytes): limita el tamaño mínimo de los fragmentos IPv6 a 1240 bytes.
  • Fragmentos ICMP (IPv4/IPv6): descarta paquetes ICMP fragmentados.
  • Tamaño máximo de ping IPv4: limita la longitud máxima de un paquete de ping IPv4 a 512 bytes.
  • Tamaño máximo de ping IPv6: limita la longitud máxima de un paquete de ping IPv6 a 512 bytes.
  • Ataque pitufo (longitud de máscara de red): limita la longitud de la máscara de red de los paquetes ICMP de difusión a 24 (x.x.x.255).
  • Tamaño de encabezado mínimo TCP (bytes): limita el tamaño mínimo del encabezado TCP a 20 bytes.
  • TCP-SYN: descarta los paquetes TCP en que el indicador SYN está establecido, el indicador ACK no está establecido y el puerto de origen es menor que 1024.
  • Escaneado Null: descarta los paquetes TCP en que no hay indicadores establecidos y el número de secuencia es cero.
  • Xmas: descarta los paquetes TCP con el número de secuencia cero y los indicadores FIN, URG y PSH establecidos.
  • TCP SYN-FIN: descarta los paquetes TCP con los indicadores SYN y FIN establecidos.
  • TCP SYN-RST: descarta los paquetes TCP con los indicadores SYN y RST establecidos.

802.1X

Sophos Switch admite el control de acceso a la red basado en puertos 802.1X para autenticar a usuarios y dispositivos mediante un servidor RADIUS o TACACS+.

Configuración global

La pestaña Configuración global es donde se activa o desactiva la autenticación 802.1X. También puede administrar las asignaciones de VLAN de invitados, establecer el ID de VLAN de invitados y seleccionar el método de autenticación.

Puede configurar las siguientes opciones globales:

  • Estado: Seleccione Activado o Desactivado para activar o desactivar la autenticación 802.1X. Seleccione No establecido para utilizar los parámetros configurados localmente en el switch.
  • VLAN de invitados: Seleccione Activado o Desactivado. Debe seleccionar Activado para establecer un ID de VLAN de invitados. Seleccione No establecido para usar los parámetros configurados localmente en el switch.
  • ID de VLAN de invitados: Seleccione una VLAN de la lista de VLAN definidas.
  • Método de autenticación: Seleccione Usuario local, RADIUS o TACACS+ en la lista desplegable.

Origen de configuración muestra el origen de los parámetros.

Haga clic en Actualizar para guardar la configuración o en Borrar para eliminar cualquier cambio no guardado.

Configuración de puertos

En la pestaña Configuración de puertos, puede configurar los parámetros de los puertos y establecer la autenticación mediante 802.1X, omisión de autenticación por MAC (MAB) o una combinación de ambas. Para configurar MAB, consulte Configurar omisión de autenticación por MAC (MAB).

Seleccione los puertos que desea configurar y haga clic en Editar.

Puede configurar las opciones siguientes:

  • Modo: Seleccione el modo de puerto entre las siguientes opciones:

    • No establecido: Utilice los parámetros configurados localmente en el switch.
    • Auto: Active la autenticación 802.1X en la interfaz. Al utilizar Basado en el host para el Modo de autenticación, debe seleccionar Auto.
    • Forzar la autorización: Bloquee todo el tráfico no autenticado en la interfaz.
    • Forzar la no autorización: Permita todo el tráfico no autenticado en la interfaz.

  • Modo de MAB: Seleccione el modo MAB entre las siguientes opciones:

    • No establecido: Utilice los parámetros configurados localmente en el switch.
    • MAB: Use solo MAB.
    • Híbrido: Pruebe primero a autenticarse mediante 802.1X. Tras tres intentos fallidos, el switch pasa a utilizar MAB.
    • Desactivado: No utilice MAB.

  • Modo de autenticación: Seleccione el modo de autenticación entre las siguientes opciones:

    • No establecido: Utilice los parámetros configurados localmente en el switch.
    • Basado en el puerto: Autentique los hosts conectados a cada puerto.
    • Basado en el host: Autentique todo el tráfico de un único puerto.

  • Número máximo de hosts: Esta opción solo se aplica cuando el Modo de autenticación está establecido en Basado en el host. Establece el número máximo de hosts que se pueden conectar a un puerto. Establezca un valor entre 1 y 10.

  • VLAN de invitados: Active o desactive VLAN de invitados. Debe desactivar la opción cuando utilice Basado en el host para el Modo de autenticación.
  • Asignación VLAN de RADIUS: Active o desactive Asignación VLAN de RADIUS. Debe desactivar la opción cuando utilice Basado en el host para el Modo de autenticación.
  • Reautenticación: Active o desactive la reautenticación del puerto.
  • Periodo de reautenticación: El tiempo, en segundos, antes de que el puerto deba volver a autenticarse. Establezca un valor entre 30 y 65535. El valor predeterminado es 3600.
  • Periodo de inactividad: El tiempo, en segundos, antes de que el switch intente volver a autenticarse tras un intento de autenticación fallido. Establezca un valor entre 0 y 65535. El valor predeterminado es 60.
  • Periodo del solicitante: Esta opción controla la frecuencia con la que el switch envía solicitudes EAP, en segundos. El switch envía tres solicitudes en este intervalo antes de pasar a MAB. Establezca un valor entre 0 y 65535. El valor predeterminado es 30.
  • Estado autorizado: Muestra el estado de autenticación del puerto especificado.

Origen de configuración muestra el origen de los parámetros del puerto.

Haga clic en Actualizar para guardar la configuración o en Borrar para eliminar cualquier cambio no guardado.

Host autenticado

La pestaña Host autenticado muestra información sobre los hosts autenticados.

Seguridad de puertos

En la pestaña Seguridad de puertos, puede limitar el número de direcciones MAC que el switch puede obtener en un puerto específico.

Puede configurar las opciones siguientes:

  • Puerto: El puerto al que se aplica la configuración.
  • Estado: Seleccione Activado o Desactivado para activar o desactivar la Seguridad de puertos.
  • Número máximo de direcciones MAC: Introduzca el número máximo de direcciones MAC que el switch puede obtener en el puerto especificado. El rango es desde 1 a 256.

Origen de configuración muestra el origen de los parámetros de la seguridad de puertos.

Haga clic en Actualizar para guardar la configuración o en Borrar para eliminar cualquier cambio no guardado.

Servidor RADIUS

Puede utilizar un servidor RADIUS para autenticar a los usuarios que acceden a una red. El servidor RADIUS mantiene una base de datos de usuarios que contiene información de autenticación. El switch pasa la información al servidor RADIUS para autenticar a un usuario antes de autorizar el acceso a la red.

Puede configurar las opciones siguientes:

  • ID de servidor: El ID del servidor RADIUS.
  • IP de servidor: La dirección IP del servidor RADIUS.
  • Puerto autorizado: El puerto utilizado para comunicarse con el servidor RADIUS. El puerto predeterminado es 1812.
  • Secreto compartido: Cadena utilizada para cifrar todas las comunicaciones RADIUS entre el dispositivo y el servidor RADIUS.
  • Tiempo de espera: El tiempo que el dispositivo espera por una respuesta del servidor RADIUS antes de cambiar al siguiente servidor. El valor predeterminado es 3.
  • Reintentar: El número de solicitudes transmitidas enviadas al servidor RADIUS antes de que se produzca un error. El valor predeterminado es 3.

Origen de configuración muestra el origen de los parámetros del servidor RADIUS.

Para crear una nueva entrada del servidor RADIUS, haga clic en Añadir.

Para eliminar entradas del servidor RADIUS, seleccione los servidores que desea eliminar y haga clic en Eliminar.

Servidor TACACS+

Los servidores TACACS+ ofrecen autenticación centralizada para el acceso a la red. TACACS+ se utiliza principalmente para la administración de dispositivos de red.

Puede configurar las opciones siguientes:

  • IP de servidor: La dirección IP del servidor TACACS+.
  • Prioridad: La prioridad del servidor TACACS+. La prioridad determina qué servidor se contacta primero para la autenticación cuando tiene más de un servidor TACACS+.
  • Puerto autorizado: El puerto por el que se comunica el servidor para la autenticación. El puerto predeterminado es 49.
  • Secreto compartido: La clave de cifrado que está configurada en su servidor TACACS+. Debe coincidir exactamente con su servidor TACACS+.
  • Tiempo de espera: El tiempo de espera en segundos. El tiempo de espera especifica el tiempo que Sophos Switch espera por una respuesta de autenticación antes de intentar con el siguiente servidor TACACS+ de la lista. El valor predeterminado es 5.

Origen de configuración muestra el origen de los parámetros del servidor RADIUS.

Para crear una nueva entrada de servidor TACACS+, haga clic en Añadir.

Para eliminar entradas de servidor TACACS+, seleccione los servidores que desea eliminar y haga clic en Eliminar.

ACL y ACE MAC

La pestaña ACL y ACE MAC muestra las ACL basadas en MAC definidas actualmente.

ACL MAC

Para añadir una nueva ACL, haga clic en Añadir, introduzca un Nombre de entre 4 y 30 letras y números, y haga clic en Guardar.

Puede ver los siguientes detalles de las ACL MAC:

  • Nombre de perfil: El nombre de la ACL.
  • Origen de configuración: Muestra el origen de la configuración de la ACL especificada.

Para eliminar ACL, seleccione las ACL que desea eliminar y haga clic en Eliminar.

Note

Si intenta eliminar una ACL que contiene ACE, aparecerá una advertencia. Debe editar las ACE y moverlas a otra ACL o pulsar Solucionar conflictos, seleccionar las entradas que desea eliminar y hacer clic en Eliminar dependientes para eliminar las ACE junto con la ACL.

ACE MAC

Las entradas de control de acceso (ACE) son las reglas que determinan las clasificaciones de tráfico para las listas de control de acceso (ACL). Puede definir ACE de direcciones MAC basadas en criterios, como direcciones MAC y máscaras de origen y destino, ID de VLAN y calidad de servicio (QoS).

La pestaña ACE MAC muestra los detalles de las ACE MAC configuradas en su switch.

Para crear una nueva ACE MAC, pulse Añadir, configure la ACE y pulse Guardar para guardar la configuración.

Para eliminar una ACE, seleccione las ACE que desea eliminar y haga clic en Eliminar.

Para actualizar la configuración de una ACE, haga clic en Editar Botón Editar..

Puede configurar los ajustes siguientes:

  • Nombre de ACL: La ACL a la que pertenece la ACE.
  • Secuencia: El número de secuencia es el orden en el que el switch aplica la ACE. Elija un valor entre 1 y 2147483647, siendo 1 la primera regla procesada.
  • Acción: La acción que realiza el switch si un paquete cumple los criterios. Seleccione Permitir para reenviar el tráfico que coincida con los criterios de la ACE o Denegar para descartarlo.
  • ID de VLAN: El ID de VLAN al que pertenece la dirección MAC. El rango es desde 1 a 4094. Para cualquier VLAN, deje el campo vacío.
  • Dirección MAC de origen: La dirección MAC desde la que se origina el tráfico.
  • Máscara de dirección MAC de origen: Máscara comodín para la dirección MAC de origen. Puede utilizar cualquier combinación de f y 0. f coincide exactamente con los bits especificados. 0 coincide con cualquier bit. Consulte Ejemplos.
  • Dirección MAC de destino: La dirección MAC a la que se envía el tráfico.
  • Máscara de dirección MAC de destino: Máscara comodín para la dirección MAC de destino. Puede utilizar cualquier combinación de f y 0. f coincide exactamente con los bits especificados. 0 coincide con cualquier bit. Consulte Ejemplos.
  • Valor 802.1p: 802.1p es un estándar de prioridad de calidad de servicio (QoS). Seleccione un valor entre 0 y 7. 0 es la prioridad más baja. Consulte QoS.
  • Valor EtherType: EtherType es un valor hexadecimal que indica el protocolo utilizado y es la base del etiquetado VLAN 802.1Q. Solo puede utilizar esta opción para filtrar paquetes con formato Ethernet II. Consulte EtherTypes.

Origen de configuración muestra el origen de la configuración de ACE MAC.

Ejemplos

A continuación se muestran algunos ejemplos de cómo utilizar las máscaras comodín de direcciones MAC.

Coincidencia exacta

Una dirección MAC de a1:b2:c3:d4:e5:66 con una máscara comodín de ff:ff:ff:ff:ff:ff solo coincide con a1:b2:c3:d4:e5:66.

Coincidencia parcial

Una dirección MAC de a1:b2:c3:d4:e5:66 con una máscara comodín de ff:ff:ff:00:00:00 coincide con cualquier dirección MAC que comience por a1:b2:c3, independientemente de los bits que contengan los tres últimos octetos.

ACL y ACE IPv4

La pestaña ACL y ACE IPv4 muestra las ACL basadas en IPv4 configuradas en el switch.

ACL IPv4

Para añadir una nueva ACL, haga clic en Añadir, introduzca el nombre de la nueva ACL, de 4 a 30 letras y números, y haga clic en Guardar.

Puede ver los siguientes detalles de las ACL IPv4:

  • Nombre de perfil: El nombre de la ACL.
  • Origen de configuración: Muestra el origen de la configuración de la ACL especificada.

Para eliminar ACL, seleccione las ACL que desea eliminar y haga clic en Eliminar.

Note

Si intenta eliminar una ACL que contiene ACE, aparecerá una advertencia. Debe editar las ACE y moverlas a otra ACL o pulsar Solucionar conflictos, seleccionar las entradas que desea eliminar y hacer clic en Eliminar dependientes para eliminar las ACE junto con la ACL.

ACE IPv4

Cada lista de control de acceso (ACL) IPv4 contiene hasta 16 reglas individuales denominadas entradas de control de acceso (ACE). Cada ACE es un conjunto de parámetros para tráfico de red específico y la acción del switch cuando identifica tráfico coincidente.

Para crear una nueva ACE IPv4, haga clic en Añadir.

Para eliminar ACE, seleccione las ACE que desea eliminar y haga clic en Eliminar.

Para actualizar la configuración de una ACE, haga clic en Editar Botón Editar..

Puede configurar los ajustes siguientes:

  • Nombre de ACL: La ACL a la que pertenece la ACE.
  • Secuencia: El número de secuencia es el orden en el que el switch aplica la ACE. Elija un valor entre 1 y 2147483647, siendo 1 la primera regla procesada.
  • Acción: La acción que realiza el switch si un paquete cumple los criterios. Seleccione Permitir para reenviar el tráfico que coincida con los criterios de la ACE o Denegar para descartarlo.
  • Tipo de servicio: Le permite establecer el valor DSCP (Differentiated Services Field Codepoints). Introduzca un valor de 0 a 63. Consulte Differentiated Services Field Codepoints (DSCP).
  • Dirección IP de origen: La dirección IP de origen del tráfico.
  • Máscara de red de origen: La máscara de subred de la Dirección IP de origen.
  • Dirección IP de destino: La dirección IP de destino del tráfico.
  • Máscara de red de destino: La máscara de subred de la Dirección IP de destino.
  • Rango de puertos de destino: Seleccione un rango de puertos de destino para el tráfico. Consulte Rango de puertos.
  • Rango de puertos de origen: Seleccione un rango de puertos de origen para el tráfico. Consulte Rango de puertos.

  • Protocolo: Seleccione una de las siguientes opciones de la lista desplegable:

    • Cualquiera: Coincide con todos los protocolos.

    • Seleccionar de una lista: Seleccione uno de los siguientes protocolos de la Lista de protocolos:

      • IPv4:ICMP: El protocolo ICMP (Internet Control Message Protocol) permite a la puerta de enlace o al host de destino comunicarse con el host de origen.
      • IPinIP: IP en IP encapsula paquetes IP para crear túneles entre dos routers. Un túnel IP en IP aparece como una única interfaz en lugar de varias interfaces separadas.
      • TCP: El protocolo TCP (Transmission Control Protocol) permite que dos hosts se comuniquen e intercambien flujos de datos. Garantiza la entrega de paquetes y se asegura de que se envíen y reciban en el orden en que se enviaron.
      • EGP: El protocolo EGP (Exterior Gateway Protocol) permite que dos hosts de puerta de enlace vecinos intercambien información de enrutamiento en una red de sistema autónoma.
      • IGP: El protocolo IGP (Interior Gateway Protocol) permite el intercambio de información de enrutamiento entre puertas de enlace dentro de una red de sistema autónoma.
      • UDP: El protocolo UDP (User Datagram Protocol) es un protocolo de comunicación que transmite paquetes, pero no garantiza su entrega.
      • HMP: El protocolo HMP (Host Mapping Protocol) recopila información de red de varios hosts. Supervisa los hosts a través de Internet y dentro de una sola red.
      • RDP: El protocolo RDP (Reliable Data Protocol) es similar al TCP, ya que garantiza la entrega de paquetes, pero no requiere una entrega secuencial.
      • IPv6:Rout: Encabezado de enrutamiento para IPv6.
      • IPv6:Frag: Encabezado de fragmento para IPv6.
      • RSVP: Hace coincidir el paquete con el protocolo de reserva (RSVP).
      • IPv6:ICMP: El protocolo ICMP (Internet Control Message Protocol) permite a la puerta de enlace o al host de destino comunicarse con el host de origen.
      • OSPF: El protocolo OSPF (Open Shortest Path First) es un protocolo IGP (Interior Gateway Protocol) jerárquico de estado de enlace para el enrutamiento de redes.
      • PIM: Hace coincidir el paquete con el protocolo PIM (Protocol Independent Multicast).
      • L2TP: El protocolo L2TP (Layer 2 Tunneling Protocol) admite la creación de VPN por parte de los ISP.

    • Seleccionar a partir del ID: Introduzca un ID de protocolo entre 0 y 255. Consulte Números de protocolo.

  • ICMP: Seleccione una de las siguientes opciones de la lista desplegable:

    • Cualquiera: Coincide con todo el tráfico ICMP.

    • Seleccionar de la lista: Seleccione una de las siguientes opciones de la Lista ICMP:

      • Respuesta de eco: La respuesta que envía un dispositivo tras recibir una solicitud de eco ICMP.
      • Destino inaccesible: El paquete ICMP no pudo llegar a su destino.
      • Ralentización de origen: Mensaje ICMP enviado por un router para aliviar la congestión de la red en entornos con mucho tráfico.
      • Solicitud de eco: Mensaje enviado de un dispositivo a otro para comprobar si pueden comunicarse y medir el tiempo que tardan en hacerlo.
      • Anuncio de enrutador: Mensaje que envía un dispositivo para anunciar su disponibilidad como router.
      • Solicitud de enrutador: Mensaje enviado por un host para solicitar información sobre el router.
      • Tiempo agotado: Este mensaje indica que el tiempo de vida (TTL) del paquete ICMP ha vencido durante el tránsito.
      • Marca de tiempo: Se pueden añadir marcas de tiempo a los mensajes ICMP para registrar cuándo se envían.
      • Respuesta con marca de tiempo: Cuando un dispositivo recibe un paquete ICMP con una marca de tiempo, puede registrar la marca de tiempo y añadir su campo de respuesta de marca de tiempo al paquete ICMP.
      • Traceroute: Muestra todos los routers por los que pasa un paquete en su camino hacia su destino.

    • Seleccionar a partir del ID: Introduzca un valor entre 0 y 255 para el ID de ICMP.

  • Código ICMP: Introduzca un valor de 0 a 255 Consulte Parámetros de ICMP (Internet Control Message Protocol).

  • Etiquetas TCP: Puede filtrar el tráfico TCP según si los indicadores Urg, Ack, Psh, Rst, Syn y Fin están activados o desactivados. Seleccione No importa para ignorar los indicadores TCP.

Origen de configuración muestra el origen de la configuración de ACE IPv4.

ACL y ACE IPv6

La pestaña ACL y ACE IPv6 muestra las ACL basadas en IPv6 configuradas en el switch.

ACL IPv6

Para añadir una nueva ACL, haga clic en Añadir, introduzca el nombre de la nueva ACL, de 4 a 30 letras y números, y haga clic en Guardar.

Puede ver los siguientes detalles de las ACL IPv4:

  • Nombre de perfil: El nombre de la ACL.
  • Origen de configuración: Muestra el origen de la configuración de la ACL especificada.

Para eliminar ACL, seleccione las ACL que desea eliminar y haga clic en Eliminar.

Note

Si intenta eliminar una ACL que contiene ACE, aparecerá una advertencia. Debe editar las ACE y moverlas a otra ACL o pulsar Solucionar conflictos, seleccionar las entradas que desea eliminar y hacer clic en Eliminar dependientes para eliminar las ACE junto con la ACL.

ACE IPv6

Cada lista de control de acceso (ACL) IPv6 contiene hasta 16 reglas individuales denominadas entradas de control de acceso (ACE). Cada ACE es un conjunto de parámetros para tráfico de red específico y la acción del switch cuando identifica tráfico coincidente.

Para crear una nueva ACE IPv6, haga clic en Añadir.

Para eliminar ACE, seleccione las ACE que desea eliminar y haga clic en Eliminar.

Para actualizar la configuración de una ACE, haga clic en Editar Botón Editar..

Puede configurar los ajustes siguientes:

  • Nombre de ACL: La ACL a la que pertenece la ACE.
  • Secuencia: El número de secuencia es el orden en el que el switch aplica la ACE. Elija un valor entre 1 y 2147483647, siendo 1 la primera regla procesada.
  • Acción: La acción que realiza el switch si un paquete cumple los criterios. Seleccione Permitir para reenviar el tráfico que coincida con los criterios de la ACE o Denegar para descartarlo.
  • Tipo de servicio: Le permite establecer el valor DSCP (Differentiated Services Field Codepoints). Introduzca un valor de 0 a 63. Consulte Differentiated Services Field Codepoints (DSCP).
  • Dirección IP de origen: La dirección IP de origen del tráfico.
  • Longitud del prefijo IPv6 de origen: La longitud del prefijo IPv6 para la IPv6 de origen.
  • Dirección IP de destino: La dirección IP de destino del tráfico.
  • Longitud del prefijo IPv6 de destino: La longitud del prefijo IPv6 para la IPv6 de destino.
  • Rango de puertos de destino: Seleccione un rango de puertos de destino para el tráfico. Consulte Rango de puertos.
  • Rango de puertos de origen: Seleccione un rango de puertos de origen para el tráfico. Consulte Rango de puertos.

  • Protocolo: Seleccione una de las siguientes opciones de la lista desplegable:

    • Cualquiera: Coincide con todos los protocolos.

    • Seleccionar de una lista: Seleccione uno de los siguientes protocolos de la Lista de protocolos:

      • TCP: El protocolo TCP (Transmission Control Protocol) permite que dos hosts se comuniquen e intercambien flujos de datos. Garantiza la entrega de paquetes y se asegura de que se envíen y reciban en el orden en que se enviaron.
      • UDP: El protocolo UDP (User Datagram Protocol) es un protocolo de comunicación que transmite paquetes, pero no garantiza su entrega.
      • IPv6:ICMP: El protocolo ICMP (Internet Control Message Protocol) permite a la puerta de enlace o al host de destino comunicarse con el host de origen.

    • Seleccionar a partir del ID: Introduzca un valor entre 0 y 255 para el ID de protocolo. Consulte Números de protocolo.

  • ICMP: Seleccione una de las siguientes opciones de la lista desplegable:

    • Cualquiera: Coincide con todo el tráfico ICMP.

    • Seleccionar de la lista: Seleccione una de las siguientes opciones de la Lista ICMP:

      • Destino inaccesible: El paquete ICMP no pudo llegar a su destino.
      • Paquete demasiado grande: Indica que el paquete ICMP supera la MTU de la red y es demasiado grande para circular por ella.
      • Tiempo agotado: Este mensaje indica que el tiempo de vida (TTL) del paquete ICMP ha vencido durante el tránsito.
      • Problema de parámetro: El dispositivo no puede interpretar un parámetro no válido.
      • Solicitud de eco: Mensaje enviado de un dispositivo a otro para comprobar si pueden comunicarse y medir el tiempo que tardan en hacerlo.
      • Respuesta de eco: La respuesta que envía un dispositivo tras recibir una solicitud de eco ICMP.
      • Solicitud de enrutador: Mensaje enviado por un host para solicitar información sobre el router.
      • Anuncio de enrutador: Mensaje que envía un dispositivo para anunciar su disponibilidad como router.
      • Nd Ns: Este es un mensaje de anuncio de vecino del protocolo NDP (Neighbor Discovery Protocol) para IPv6.
      • Nd Na: Este es un mensaje de anuncio de vecino de NDP para IPv6.

    • Seleccionar a partir del ID: Introduzca un valor entre 0 y 255 para el ID de ICMP.

  • Código ICMP: Introduzca un valor de 0 a 255 Consulte Parámetros de ICMP (Internet Control Message Protocol).

  • Etiquetas TCP: Puede filtrar el tráfico TCP según si los indicadores Urg, Ack, Psh, Rst, Syn y Fin están activados o desactivados. Seleccione No importa para ignorar los indicadores TCP.

Origen de configuración muestra el origen de la configuración de ACE IPv4.

Rango de puertos y vinculación

La pestaña Rango de puertos le permite especificar los rangos de puertos que se utilizarán en sus entradas de control de acceso (ACE) IPv4 e IPv6. Esta función aumenta la seguridad al permitirle utilizar ACE para bloquear un amplio rango de puertos o permitir solo un rango reducido para hosts con funciones específicas.

Rango de puertos

Para crear un nuevo rango de puertos, haga clic en Añadir.

Puede configurar los ajustes siguientes:

  • Nombre: Introduzca un nombre para el rango de puertos.

    Tip

    Recomendamos utilizar un nombre de rango de puertos que identifique claramente los puertos que contiene. Solo puede ver ese nombre al seleccionar un rango de puertos para sus ACE. No puede ver los puertos que contiene.

  • Puerto mínimo: El puerto de inicio del rango.

  • Puerto máximo: El puerto final del rango.

Origen de configuración muestra el origen de la configuración del rango de puertos.

Vinculación de puertos

Al vincular una lista de control de acceso (ACL) a los puertos, se aplican todas las reglas que defina para esa ACL a dichos puertos. En el caso de los puertos que tienen una ACL vinculada, el switch descarta todo el tráfico que no coincida con la ACL.

Puede ver la siguiente información sobre los puertos del switch:

  • Puerto: El puerto al que están vinculadas las ACL.
  • ACL MAC: La ACL MAC vinculada al puerto.
  • ACL IPv4: La ACL IPv4 vinculada al puerto.
  • ACL IPv6: La ACL IPv6 vinculada al puerto.

Origen de configuración muestra el origen de la configuración de la vinculación de puertos.

Para vincular ACL, seleccione de las listas desplegables la ACL MAC y la ACL IPv4 o ACL IPv6 que desea vincular al puerto. Seleccione Ninguno para no asignar ninguna ACL al puerto o No establecido para utilizar la configuración de vinculación de puertos en la interfaz de usuario del switch local.

Haga clic en Actualizar para guardar los cambios.

Note

No puede vincular simultáneamente una ACL IPv4 y una ACL IPv6. Debe seleccionar una u otra.