Sécurité

Vous pouvez configurer les paramètres de sécurité pour Sophos Switch, tels que la protection contre les DoS, l'authentification 802.1X, la sécurité des ports, et ajouter ou supprimer des serveurs RADIUS et TACACS+.

DoS

Sophos Switch peut surveiller et bloquer les attaques par déni de service (DoS). Une attaque DoS est un flux de trafic réseau destiné à submerger l’hôte pour perturber sa connexion au réseau.

Sélectionnez Activé ou Désactivé pour activer ou désactiver la protection DoS. Sélectionnez Non défini pour utiliser les paramètres configurés localement sur le switch.

Après avoir activé ou désactivé DoS, cliquez sur Mettre à jour pour enregistrer vos modifications.

Lorsque vous activez la protection DoS, le switch bloque les paquets correspondant aux types d’attaques DoS suivants :

• Adresse MAC de destination identique à l’adresse MAC source : Bloque le trafic lorsque les adresses MAC source et de destination sont identiques.
• L’adresse IP de destination de l’attaque LAND est identique à l’adresse IP source (IPv4/IPv6) : Bloque les paquets dont les adresses IP source et de destination sont identiques.

• TCP Blat (Port TCP de destination identique au port TCP source) : Bloque les paquets TCP dont les ports TCP source et de destination sont identiques.

  Note

  Le client NTP (Network Time Protocol) utilise parfois le même port source et de destination. Lorsque la protection DoS est activée, Sophos Switch le détecte en tant qu’attaque TCP Blat et bloque les paquets. Nous vous recommandons de désactiver la protection DoS si vous exécutez d'anciens clients NTP qui utilisent les mêmes ports source et de destination.

• UDP Blat (Port UDP de destination égal au port UDP source) : Bloque les paquets UDP dont les ports UDP source et UDP de destination sont identiques.

• Ping de la mort (IPv4/IPv6) : Bloque les paquets d’une longueur supérieure à 64 Ko et les fragmente.
• Fragment minimum IPv6 (octets) : Limite la taille minimum des fragments IPv6 à 1240 octets.
• Fragments ICMP (IPv4/IPv6) : Bloque les paquets ICMP fragmentés.
• Taille max. du ping IPv4 : Limite la longueur maximale d’un paquet ping IPv4 à 512 octets.
• Taille max. du ping IPv6 : Limite la longueur maximale d’un paquet ping IPv6 à 512 octets.
• Attaque Smurf (longueur du masque de réseau) : Limite la longueur du masque de réseau des paquets ICMP de diffusion à 24 (x.x.x.255).
• Taille d’en-tête TCP minimale (octets) : Limite la taille minimale de l’en-tête TCP à 20 octets.
• TCP-SYN : Bloque les paquets TCP dont l’indicateur SYN est défini, l’indicateur ACK n’est pas défini et dont le port source est inférieur à 1024.
• Null Scan : Bloque les paquets TCP lorsqu’aucun indicateur n’est défini et que le numéro de séquence est égal à zéro.
• Xmas : Bloque les paquets TCP dont le numéro de séquence est égal à zéro et dont les indicateurs FIN, URG et PSH sont définis.
• TCP SYN-FIN : Bloque les paquets TCP avec des indicateurs SYN et FIN définis.
• TCP SYN-RST : Bloque les paquets TCP avec des indicateurs SYN et RST définis.

802.1X

Sophos Switch prend en charge le contrôle d’accès réseau basé sur les ports 802.1X pour authentifier les utilisateurs et les appareils en utilisant un serveur RADIUS ou TACACS+.

Paramètres généraux

Activez ou désactivez l'authentification 802.1X dans l'onglet Paramètres généraux. Vous pouvez également gérer les assignations de VLAN invité, définir l'ID de VLAN invité et sélectionner la méthode d'authentification.

Vous pouvez configurer les paramètres généraux suivants :

• État : Sélectionnez Activé ou Désactivé pour activer ou désactiver l’authentification 802.1X. Sélectionnez Non défini pour utiliser les paramètres configurés localement sur le switch.
• VLAN invité : Sélectionnez Activé ou Désactivé. Veuillez sélectionner Activé pour définir un ID de VLAN invité. Sélectionnez Non défini pour utiliser les paramètres configurés localement sur le switch.
• ID VLAN invité : Sélectionnez un VLAN dans la liste des VLAN définis.
• Méthode d’authentification : Sélectionnez Utilisateur local, RADIUS ou TACACS+ dans la liste déroulante.

La Source de configuration affiche l’origine des paramètres.

Cliquez sur Mettre à jour pour enregistrer les paramètres ou sur Effacer pour supprimer les modifications non enregistrées.

Paramètres de port

Dans l'onglet Paramètres de port, vous pouvez configurer les paramètres du port et définir l'authentification en utilisant 802.1X, le contournement d'authentification MAC (MAB) ou une combinaison des deux. Pour configurer le MAB, voir Configurer le contournement d'authentification MAC (MAB).

Sélectionnez les ports à configurer et cliquez sur Modifier.

Vous pouvez configurer les options suivantes :

• Mode : Sélectionnez le mode de port parmi les options suivantes :

  • Non défini : Utiliser les paramètres configurés localement sur le switch.
  • Auto : Activer l'authentification 802.1X sur l'interface. Lorsque vous utilisez Basé sur l'hôte comme Mode d'authentification, vous devez sélectionner Auto.
  • Forcer autorisé : Bloquer tout le trafic non authentifié sur l'interface.
  • Forcer non autorisé : Autoriser tout le trafic non authentifié sur l'interface.

• Mode MAB : Sélectionner le mode MAB parmi les options suivantes :

  • Non défini : Utiliser les paramètres configurés localement sur le switch.
  • MAB : Utiliser uniquement MAB.
  • Hybride : Essayer d'authentifier en utilisant 802.1X d'abord. Après trois tentatives échouées, le switch utilise MAB à la place.
  • Désactivé : Ne pas utiliser le MAB.

• Mode d’authentification : Sélectionnez le mode d'authentification parmi les options suivantes :

  • Non défini : Utiliser les paramètres configurés localement sur le switch.
  • Basé sur le port : Authentifier les hôtes connectés à chaque port.
  • Basé sur l’hôte : Authentifier tout le trafic sur un seul port.

• Nombre maximum d’hôtes : Ce paramètre ne s'applique que lorsque le Mode d'authentification est défini sur Basé sur l'hôte. Il définit le nombre maximum d'hôtes pouvant être connectés à un port. Définissez une valeur comprise entre 1 et 10 .

• VLAN invité : Activez ou désactivez VLAN invité. Vous devez le désactiver lorsque vous utilisez Basé sur l'hôte comme Mode d'authentification.
• Assignation du VLAN RADIUS : Activer ou désactiver l'assignation de VLAN RADIUS. Vous devez le désactiver lorsque vous utilisez Basé sur l'hôte comme Mode d'authentification.
• Réauthentification : Activer ou désactiver la réauthentification du port.
• Période de réauthentification : Le temps, en secondes, avant que le port doive se réauthentifier. Définissez une valeur comprise entre 30 et 65535. Le nombre par défaut est 3600.
• Période de silence : Le temps, en secondes, avant que le switch tente de se réauthentifier après un échec d'authentification. Définissez une valeur comprise entre 0 et 65535. Le nombre par défaut est 60.
• Période du demandeur : Ce paramètre contrôle la fréquence à laquelle le switch envoie des requêtes EAP, en secondes. Le switch envoie trois requêtes à cet intervalle avant de passer à MAB. Définissez une valeur comprise entre 0 et 65535. Le nombre par défaut est 30.
• État Autorisé : Affiche l'état d'authentification du port spécifié.

La Source de configuration affiche l’origine des paramètres du port.

Cliquez sur Mettre à jour pour enregistrer les paramètres ou sur Effacer pour supprimer les modifications non enregistrées.

Hôte authentifié

L’onglet Hôte authentifié affiche des informations sur les hôtes authentifiés.

Sécurité des ports

Dans l’onglet Sécurité du port, vous pouvez limiter le nombre d’adresses MAC que le switch peut apprendre sur un port spécifique.

Vous pouvez configurer les options suivantes :

• Port : Le port auquel s’appliquent les paramètres.
• État : Sélectionnez Activé ou Désactivé pour activer ou désactiver Sécurité du port.
• Nombre max. d’adresses MAC : Saisissez le nombre maximum d'adresses MAC que le switch peut identifier sur le port spécifié. La plage est comprise entre 1 et 256.

La Source de configuration affiche l’origine des paramètres de sécurité du port.

Cliquez sur Mettre à jour pour enregistrer les paramètres ou sur Effacer pour supprimer les modifications non enregistrées.

Serveur RADIUS

Vous pouvez utiliser un serveur RADIUS pour authentifier les utilisateurs accédant à un réseau. Le serveur RADIUS maintient une base de données d'utilisateurs, qui contient des informations d'authentification. Le switch transmet des informations au serveur RADIUS pour authentifier un utilisateur avant d'autoriser l'accès au réseau.

Vous pouvez configurer les options suivantes :

• ID du serveur : L’ID du serveur RADIUS.
• IP du serveur : L’adresse IP du serveur RADIUS.
• Port autorisé : Le port utilisé pour communiquer avec le serveur RADIUS. Le port par défaut est 1812.
• Secret partagé : La chaîne utilisée pour chiffrer toutes les communications RADIUS entre l’appareil et le serveur RADIUS.
• Délai d’attente : La durée de temps pendant laquelle l’appareil attend une réponse du serveur RADIUS avant de passer au serveur suivant. Le nombre par défaut est 3.
• Délai de reconnexion : Le nombre de requêtes transmises envoyées au serveur RADIUS avant qu’un échec ne se produise. Le nombre par défaut est 3.

Source de configuration affiche l’origine des paramètres du serveur RADIUS.

Pour créer une nouvelle entrée de serveur RADIUS, cliquez sur Ajouter.

Pour supprimer des entrées de serveur RADIUS, sélectionnez les serveurs que vous souhaitez supprimer et cliquez sur Supprimer.

Serveur TACACS+

Les serveurs TACACS+ fournissent une authentification centralisée pour l’accès au réseau. TACACS+ est principalement utilisé pour l’administration des appareils réseau.

Vous pouvez configurer les options suivantes :

• IP du serveur : L’adresse IP du serveur TACACS+.
• Priorité : La priorité du serveur TACACS+. La priorité détermine quel serveur est contacté en priorité pour l’authentification lorsque vous avez plus d’un serveur TACACS+.
• Port autorisé : Le port sur lequel le serveur communique pour l’authentification. Le port par défaut est 49.
• Secret partagé : La clé de chiffrement configurée sur votre serveur TACACS+. Celle-ci doit correspondre exactement à votre serveur TACACS+.
• Délai d’attente : Le délai d'attente en secondes. Le délai d'attente indique la durée de temps pendant laquelle Sophos Switch attend une réponse d'authentification avant d'essayer le prochain serveur TACACS+ dans la liste. Le nombre par défaut est 5.

Source de configuration affiche l’origine des paramètres du serveur RADIUS.

Pour créer une nouvelle entrée de serveur TACACS+, cliquez sur Ajouter.

Pour supprimer des entrées de serveur TACACS+, sélectionnez les serveurs que vous souhaitez supprimer et cliquez sur Supprimer.

MAC ACL et ACE

L'onglet MAC ACL & ACE affiche les ACL basées sur MAC définies actuellement.

MAC ACL

Pour ajouter une nouvelle liste de contrôle d'accès (ACL), cliquez sur Ajouter, saisissez un Nom composé de 4 à 30 lettres et chiffres, puis cliquez sur Enregistrer.

Vous y trouverez les détails suivants concernant les ACL MAC :

• Nom de profil : Le nom de la liste ACL.
• Source de configuration : Affiche la source des paramètres de la liste ACL en question.

Pour supprimer des ACL, sélectionnez celles que vous souhaitez supprimer, puis cliquez sur Supprimer.

MAC ACE

Les entrées ACE (Access control entries) sont les règles qui déterminent les classifications du trafic pour les listes de contrôle d’accès (ACL). Vous pouvez définir des ACE basées sur les adresses MAC selon différents critères, tels que les adresses MAC source et destination avec leurs masques, les identifiants VLAN et la qualité de service (QoS).

L'onglet MAC ACE affiche les détails des ACE MAC configurées sur votre switch.

Pour créer une nouvelle ACE MAC, cliquez sur Ajouter, configurez l'ACE, puis cliquez sur Enregistrer pour enregistrer vos paramètres.

Pour supprimer une ACE, sélectionnez les ACE que vous souhaitez supprimer, puis cliquez sur Supprimer.

Pour mettre à jour les paramètres d'une ACE, cliquez sur Modifier

Vous pouvez configurer les paramètres suivants :

• Nom ACL : L'ACL à laquelle appartient l'ACE.
• Séquence : Le numéro de séquence correspond à l'ordre dans lequel le switch applique l'ACE. Choisissez une valeur comprise entre 1 et 2147483647, 1 correspondant à la première règle traitée.
• Action : Action effectuée par le switch si un paquet correspond aux critères. Sélectionnez Autoriser pour transférer le trafic qui correspond aux critères ACE ou Refuser pour le rejeter.
• ID DU VLAN : L'ID VLAN auquel appartient l'adresse MAC. La plage est comprise entre 1 et 4094. Pour tout VLAN, laissez le champ vide.
• Adresse MAC source : Adresse MAC d'où provient le trafic.
• Masque de l’adresse MAC source : Masque générique pour l'adresse MAC source. Vous pouvez utiliser n'importe quelle combinaison de f et 0. f correspond exactement aux bits spécifiés. 0 correspond à n'importe quel bit. Voir Exemples.
• Adresse MAC destination : Adresse MAC à laquelle le trafic est envoyé.
• Masque de l’adresse MAC de destination : Masque générique pour l'adresse MAC de destination. Vous pouvez utiliser n'importe quelle combinaison de f et 0. f correspond exactement aux bits spécifiés. 0 correspond à n'importe quel bit. Voir Exemples.
• Valeur 802.1p : 802.1p est une norme de priorité QoS. Sélectionnez une valeur comprise entre 0 et 7. 0 est la priorité la plus faible. Voir QoS.
• Valeur EtherType : EtherType est une valeur hexadécimale qui indique le protocole utilisé et qui sert de base au balisage VLAN 802.1Q. Vous ne pouvez utiliser cette option que pour filtrer les paquets au format Ethernet II. Voir EtherTypes.

La source de configuration indique la source des paramètres MAC ACE.

Exemples

Voici quelques exemples d'utilisation des masques génériques d'adresses MAC.

ACL et ACE IPv4

L'onglet ACL et ACE IPv4 affiche les ACL IPv4 configurées sur le switch.

ACL IPv4

Pour ajouter une nouvelle ACL, cliquez sur Ajouter, saisissez le nom de la nouvelle ACL (entre 4 et 30 lettres et chiffres), puis cliquez sur Enregistrer.

Vous pourrez consulter les détails suivants pour les ACL IPv4 :

• Nom de profil : Le nom de la liste ACL.
• Source de configuration : Affiche la source des paramètres de la liste ACL en question.

Pour supprimer des ACL, sélectionnez celles que vous souhaitez supprimer, puis cliquez sur Supprimer.

ACE IPv4

Chaque liste de contrôle d’accès IPv4 (ACL) contient jusqu'à 16 règles individuelles connues sous le nom d’ « entrées ACE » (Access Control Entries). Chaque ACE est un ensemble de paramètres définissant un type de trafic réseau spécifique et l’action que le switch doit effectuer lorsqu’il identifie un trafic correspondant.

Pour créer une nouvelle ACE IPv4, cliquez sur Ajouter.

Pour supprimer des ACE, sélectionnez les ACE que vous souhaitez supprimer, puis cliquez sur Supprimer.

Pour mettre à jour les paramètres d'une ACE, cliquez sur Modifier

Vous pouvez configurer les paramètres suivants :

• Nom ACL : L'ACL à laquelle appartient l'ACE.
• Séquence : Le numéro de séquence correspond à l'ordre dans lequel le switch applique l'ACE. Choisissez une valeur comprise entre 1 et 2147483647, 1 correspondant à la première règle traitée.
• Action : Action effectuée par le switch si un paquet correspond aux critères. Sélectionnez Autoriser pour transférer le trafic qui correspond aux critères ACE ou Refuser pour le rejeter.
• Type de service : Permet de définir la valeur DSCP (Differentiated Services Field Codepoints). Saisir une valeur comprise entre 0 et 63. Voir Points de code de champ de services différenciés(DSCP).
• Adresse IP source : Adresse IP source du trafic.
• Masque réseau source : Le masque de sous-réseau de l'adresse IP source.
• Adresse IP de destination : Adresse IP de destination du trafic.
• Masque réseau de destination : Le masque de sous-réseau pour l’Adresse IP de destination.
• Plage du port de destination : Sélectionnez une plage de ports de destination pour le trafic. Voir Plage de ports.
• Plage du port source : Sélectionnez une plage de ports source pour le trafic. Voir Plage de ports.

• Protocole : Sélectionnez l’une des options suivantes dans la liste déroulante :

  • Toutes : Correspond à tous les protocoles.

  • Sélectionner dans une liste : Sélectionnez l'un des protocoles suivants dans la Liste des protocoles:

    • IPv4:ICMP : Le protocole ICMP (Internet Control Message Protocol) permet à la passerelle ou à l'hôte de destination de communiquer avec l'hôte source.
    • IPinIP : IP in IP encapsule les paquets IP pour créer un tunnel entre deux routeurs. Un tunnel IP‑dans‑IP apparaît comme une seule interface plutôt que comme plusieurs interfaces distinctes.
    • TCP : Le protocole TCP (Transmission Control Protocol) permet à deux hôtes de communiquer et d'échanger des flux de données. Il garantit la livraison des paquets et veille à ce que ceux-ci soient transmis et reçus dans l'ordre dans lequel ils ont été envoyés.
    • EGP : Le protocole EGP (Exterior Gateway Protocol) permet à deux hôtes passerelles voisins d'échanger des informations de routage dans un réseau autonome.
    • IGP : Le protocole IGP (Interior Gateway Protocol) permet l'échange d'informations de routage entre les passerelles au sein d'un réseau autonome.
    • UDP : Le protocole UDP (User Datagram Protocol) est un protocole de communication qui transmet des paquets sans garantir leur livraison.
    • HMP : Le protocole HMP (Host Mapping Protocol) collecte des informations réseau auprès de divers hôtes. Il surveille les hôtes sur Internet et au sein d'un même réseau.
    • RDP : Le protocole RDP (Reliable Data Protocol) est similaire au protocole TCP : il garantit la livraison des paquets, mais n'exige pas une livraison séquentielle.
    • IPv6:Rout : En-tête de routage pour IPv6.
    • IPv6:Frag : En-tête de fragment pour IPv6.
    • RSVP : Fait correspondre le paquet au protocole de réservation (RSVP).
    • IPv6:ICMP : Le protocole ICMP (Internet Control Message Protocol) permet à la passerelle ou à l'hôte de destination de communiquer avec l'hôte source.
    • OSPF : Le protocole Open Shortest Path First (OSPF) est un protocole de passerelle intérieure (IGP) hiérarchique à état de liens utilisé pour le routage réseau.
    • PIM : Fait correspondre le paquet au protocole PIM (Protocol Independent Multicast).
    • L2TP : Le protocole L2TP (Layer 2 Tunneling Protocol) prend en charge la création de VPN par les FAI.

  • Sélectionner à partir de l’ID : Saisissez un ID de protocole compris entre 0 et 255. Voir Numéros de protocole.

• ICMP : Sélectionnez l'une des options suivantes dans la liste déroulante :

  • Toutes : Correspond au trafic ICMP.

  • Sélectionner dans la liste : Sélectionnez l'une des options suivantes dans la liste ICMP:

    • Réponse en écho : Réponse envoyée par un appareil après avoir reçu une requête ICMP echo.
    • Destination injoignable : Le paquet ICMP n'a pas pu atteindre sa destination.
    • Source Quench : Message ICMP envoyé par un routeur pour réduire la congestion du réseau dans les environnements très fréquentés.
    • Demande d’écho : Message envoyé d’un appareil à un autre pour vérifier s’ils peuvent communiquer et mesurer le temps nécessaire à cette communication.
    • Annonce de routeur : Message envoyé par l’appareil pour signaler qu’il est disponible en tant que routeur.
    • Demande de routeur : Message envoyé par un hôte pour demander des informations sur le routeur.
    • Temps dépassé : Ce message indique que la durée de vie (TTL) du paquet ICMP a expiré pendant le transit.
    • Horodatage : Des horodatages peuvent être ajoutés aux messages ICMP afin d'enregistrer leur date et heure d'envoi.
    • Réponse horodatée : Lorsqu'un appareil reçoit un paquet ICMP avec un horodatage, il peut enregistrer l'horodatage et ajouter son champ de réponse d'horodatage au paquet ICMP.
    • Détermination d’itinéraire : Affiche tous les routeurs par lesquels passe un paquet avant d'atteindre sa destination.

  • Sélectionner à partir de l’ID : Saisir une valeur comprise entre 0 et 255 pour l’ID ICMP.

• Code ICMP : Saisir une valeur comprise entre 0 et 255. Voir Paramètres du protocole ICMP (Internet Control Message Protocol).

• Balises TCP : Vous pouvez filtrer le trafic TCP en fonction de l'activation ou la désactivation des balises Urg, Ack, Psh, Rst, Syn et Fin. Sélectionnez « Ne pas tenir compte des balises TCP ».

La source de configuration indique la source des paramètres ACE IPv4.

ACL et ACE IPv6

L'onglet ACL et ACE IPv6 affiche les listes de contrôle d'accès (ACL) basées sur IPv6 configurées sur le switch.

ACL IPv6

Pour ajouter une nouvelle ACL, cliquez sur Ajouter, saisissez le nom de la nouvelle ACL (entre 4 et 30 lettres et chiffres), puis cliquez sur Enregistrer.

Vous pourrez consulter les détails suivants pour les ACL IPv4 :

• Nom de profil : Le nom de la liste ACL.
• Source de configuration : Affiche la source des paramètres de la liste ACL en question.

Pour supprimer des ACL, sélectionnez celles que vous souhaitez supprimer, puis cliquez sur Supprimer.

ACE IPv6

Chaque liste de contrôle d’accès IPv6 (ACL) contient jusqu'à 16 règles individuelles connues sous le nom d’ « entrées ACE » (Access Control Entries). Chaque ACE est un ensemble de paramètres définissant un type de trafic réseau spécifique et l’action que le switch doit effectuer lorsqu’il identifie un trafic correspondant.

Pour créer une nouvelle ACE IPv6, cliquez sur Ajouter.

Pour supprimer des ACE, sélectionnez les ACE que vous souhaitez supprimer, puis cliquez sur Supprimer.

Pour mettre à jour les paramètres d’une ACE, cliquez sur Modifier .

Vous pouvez configurer les paramètres suivants :

• Nom ACL : L'ACL à laquelle appartient l'ACE.
• Séquence : Le numéro de séquence correspond à l'ordre dans lequel le switch applique l'ACE. Choisissez une valeur comprise entre 1 et 2147483647, 1 correspondant à la première règle traitée.
• Action : Action effectuée par le switch si un paquet correspond aux critères. Sélectionnez Autoriser pour transférer le trafic qui correspond aux critères ACE ou Refuser pour le rejeter.
• Type de service : Permet de définir la valeur DSCP (Differentiated Services Field Codepoints). Saisir une valeur comprise entre 0 et 63. Voir Points de code de champ de services différenciés(DSCP).
• Adresse IP source : Adresse IP source du trafic.
• Longueur du préfixe IPv6 source : Longueur du préfixe IPv6 pour l'adresse IPv6 source.
• Adresse IP de destination : Adresse IP de destination du trafic.
• Longueur du préfixe Ipv6 de destination : Longueur du préfixe IPv6 pour l’adresse IPv6 de destination.
• Plage du port de destination : Sélectionnez une plage de ports de destination pour le trafic. Voir Plage de ports.
• Plage du port source : Sélectionnez une plage de ports source pour le trafic. Voir Plage de ports.

• Protocole : Sélectionnez l’une des options suivantes dans la liste déroulante :

  • Toutes : Correspond à tous les protocoles.

  • Sélectionner dans une liste : Sélectionnez l'un des protocoles suivants dans la Liste des protocoles:

    • TCP : Le protocole TCP (Transmission Control Protocol) permet à deux hôtes de communiquer et d'échanger des flux de données. Il garantit la livraison des paquets et veille à ce que ceux-ci soient transmis et reçus dans l'ordre dans lequel ils ont été envoyés.
    • UDP : Le protocole UDP (User Datagram Protocol) est un protocole de communication qui transmet des paquets sans garantir leur livraison.
    • IPv6:ICMP : Le protocole ICMP (Internet Control Message Protocol) permet à la passerelle ou à l'hôte de destination de communiquer avec l'hôte source.

  • Sélectionner à partir de l’ID : Saisir une valeur comprise entre 0 et 255 pour l’ID de protocole. Voir Numéros de protocole.

• ICMP : Sélectionnez l'une des options suivantes dans la liste déroulante :

  • Toutes : Correspond au trafic ICMP.

  • Sélectionner dans la liste : Sélectionnez l'une des options suivantes dans la liste ICMP:

    • Destination injoignable : Le paquet ICMP n'a pas pu atteindre sa destination.
    • Paquet trop volumineux: Cela indique que le paquet ICMP dépasse la MTU du réseau et est trop volumineux pour circuler sur ce réseau.
    • Temps dépassé : Ce message indique que la durée de vie (TTL) du paquet ICMP a expiré pendant le transit.
    • Problème de paramétrage : L’appareil ne peut pas interpréter un paramètre invalide.
    • Demande d’écho : Message envoyé d’un appareil à un autre pour vérifier s’ils peuvent communiquer et mesurer le temps nécessaire à cette communication.
    • Réponse en écho : Réponse envoyée par un appareil après avoir reçu une requête ICMP echo.
    • Demande de routeur : Message envoyé par un hôte pour demander des informations sur le routeur.
    • Annonce de routeur : Message envoyé par l’appareil pour signaler qu’il est disponible en tant que routeur.
    • Nd Ns : Message d'annonce de voisinage IPv6 NDP (Neighbor Discovery Protocol).
    • Nd Na : Message de notification de voisinage IPv6 NDP.

  • Sélectionner à partir de l’ID : Saisir une valeur comprise entre 0 et 255 pour l’ID ICMP.

• Code ICMP : Saisir une valeur comprise entre 0 et 255. Voir Paramètres du protocole ICMP (Internet Control Message Protocol).

• Balises TCP : Vous pouvez filtrer le trafic TCP en fonction de l'activation ou la désactivation des balises Urg, Ack, Psh, Rst, Syn et Fin. Sélectionnez « Ne pas tenir compte des balises TCP ».

La source de configuration indique la source des paramètres ACE IPv4.

Plage de ports et liaison

L'onglet Port range (Plage de ports) vous permet de spécifier les plages de ports à utiliser dans vos entrées ACE IPv4 et IPv6. Cette fonctionnalité renforce la sécurité en vous permettant d'utiliser des ACE pour bloquer une large gamme de ports ou n'autoriser qu'une petite gamme pour les hôtes ayant des fonctions spécifiques.

Plage de ports

Pour créer une nouvelle plage de ports, cliquez sur Ajouter.

Vous pouvez configurer les paramètres suivants :

• Nom : Saisissez un nom pour votre plage de ports.

  Tip

  Nous recommandons un nom de plage de ports qui identifie clairement les ports qu'elle contient. Ce nom apparaît uniquement lorsque vous sélectionnez une plage de ports pour vos ACE. Vous verrez pas les ports qu'il contient.

• Port minimum : Le port de début de votre plage.

• Port maximum : Le port de fin de votre plage.

La source de configuration indique la source des paramètres de la plage de ports.

Liaison de port

Lier une liste de contrôle d’accès (ACL) à des ports applique toutes les règles que vous définissez pour cette ACL à ces ports. Pour les ports auxquels une liste de contrôle d'accès (ACL) est associée, le switch rejette tout le trafic qui ne correspond pas à l'ACL.

Vous pouvez voir les informations suivantes pour les ports du switch :

• Port : Le port auquel sont liées les ACL.
• ACL MAC : La liste de contrôle d'accès MAC liée au port.
• ACL IPv4 : La liste de contrôle d'accès IPv4 liée au port.
• ACL IPv6 : La liste de contrôle d'accès IPv6 liée au port.

La source de configuration indique la source des paramètres de liaison du port.

Pour lier des ACL, sélectionnez l’ACL MAC et l’ACL IPv4 ou l’ACL IPv6 que vous souhaitez lier au port dans les listes déroulantes. Sélectionnez Aucun pour n'attribuer aucune liste ACL au port ou Non défini pour utiliser les paramètres de liaison de port dans l'interface utilisateur du switch local.

Cliquez sur Mettre à jour pour enregistrer vos modifications.