Sicurezza

È possibile configurare impostazioni di sicurezza per Sophos Switch come la protezione contro gli attacchi DoS, l’autenticazione 802.1X e la sicurezza delle porte; inoltre, si possono aggiungere e rimuovere server RADIUS e TACACS+.

DoS

Sophos Switch è in grado di monitorare e bloccare gli attacchi DoS (Denial of Service). Un attacco DoS è costituito da traffico di rete inviato per inondare un host di richieste e interromperne la connessione alla rete.

Selezionare On oppure Off per attivare o disattivare la protezione DoS. Selezionare Non impostato per utilizzare le impostazioni configurate localmente sullo switch.

Dopo aver attivato o disattivato DoS, cliccare su Aggiorna per salvare le modifiche.

Quando si attiva la protezione DoS, lo switch rimuove i pacchetti che trovano corrispondenza con i seguenti tipi di attacchi DoS:

• MAC di destinazione uguale al MAC di origine: rimuove il traffico che presenta indirizzi MAC di origine e di destinazione identici.
• LAND attack con IP di destinazione uguale all’IP di origine (IPv4/IPv6): rimuove i pacchetti che presentano indirizzi IP di origine e di destinazione identici.

• TCP Blat (porta TCP di destinazione uguale alla porta TCP di origine): rimuove i pacchetti TCP che presentano porte TCP di origine e TCP di destinazione identiche.

  Note

  A volte il client Network Time Protocol (NTP) utilizza la stessa porta di origine e di destinazione. Quando si attiva la protezione DoS, Sophos Switch la rileva come un attacco TCP Blat e rimuove i pacchetti. Consigliamo di disattivare la protezione DoS se si utilizzano client NTP meno recenti, che utilizzano le stesse porte di origine e di destinazione.

• UDP Blat (porta UDP di destinazione uguale alla porta UDP di origine): rimuove i pacchetti UDP in cui le porte UDP di origine e di destinazione sono identiche.

• Ping of Death (IPv4/IPv6): rimuove i pacchetti di lunghezza superiore a 64 KB attraverso frammenti.
• Frammenti minimi IPv6 (byte): limita le dimensioni minime dei frammenti IPv6 a 1240 byte.
• Frammenti ICMP (IPv4/IPv6): rimuove i pacchetti ICMP frammentati.
• Dimensioni massime ping IPv4: limita la lunghezza massima di un pacchetto ping IPv4 a 512 byte.
• Dimensione massima ping IPv6: Limita la lunghezza massima di un pacchetto ping IPv6 a 512 byte.
• Attacco Smurf (lunghezza della netmask): limita la lunghezza della netmask dei pacchetti ICMP di trasmissione a 24 (x.x.x.255).
• Dimensione minima intestazione TCP (byte): limita le dimensioni minime dell’intestazione TCP a 20 byte.
• TCP-SYN: rimuove i pacchetti TCP in cui è impostato il flag SYN, il flag ACK non è impostato e la porta di origine è inferiore alla 1024.
• NULL scan: rimuove i pacchetti TCP in cui non sono impostati flag e nei quali il numero di sequenza è zero.
• Xmas: rimuove i pacchetti TCP con numero di sequenza zero e nei quali sono impostati i flag FIN, URG e PSH.
• TCP SYN-FIN: rimuove i pacchetti TCP nei quali sono impostati i flag SYN e FIN.
• TCP SYN-RST: rimuove i pacchetti TCP con i flag SYN e RST impostati.

802.1X

Sophos Switch supporta il controllo dell’accesso alla rete 802.1X basato sulla porta, per autenticare utenti e dispositivi utilizzando un server RADIUS o TACACS+.

Impostazioni globali

La scheda Impostazioni globali consente di attivare o disattivare l’autenticazione 802.1X. È anche possibile gestire le assegnazioni della VLAN per gli utenti guest, impostare l’ID VLAN degli utenti guest e selezionare il metodo di autenticazione.

È possibile configurare le seguenti impostazioni globali:

• Stato: selezionare Attivo oppure Disattivato per attivare o disattivare l’autenticazione 802.1X. Selezionare Non impostato per utilizzare le impostazioni configurate localmente sullo switch.
• VLAN guest: Selezionare Attivo o Disattivato. Occorre selezionare Attivo per impostare un ID VLAN guest. Selezionare Non impostato per utilizzare le impostazioni configurate localmente sullo switch.
• ID VLAN guest: Selezionare una VLAN dall’elenco delle VLAN definite.
• Metodo di autenticazione: Selezionare Utente locale, RADIUS o TACACS+ dall’elenco a discesa.

L’opzione Origine configurazione mostra l’origine delle impostazioni.

Cliccare su Aggiorna per salvare le impostazioni o su Cancella per eliminare eventuali modifiche non salvate.

Impostazioni delle porte

Nella scheda Impostazioni delle porte è possibile configurare le impostazioni delle porte e l’autenticazione utilizzando 802.1X, MAC Authentication Bypass (MAB) o una combinazione di entrambi. Per configurare MAB, vedere Configurazione di MAC Authentication Bypass (MAB).

Selezionare le porte che si desidera configurare e cliccare su Modifica.

È possibile configurare le seguenti opzioni:

• Modalità: selezionare la modalità della porta tra le seguenti opzioni:

  • Non impostata: Utilizza le impostazioni configurate localmente sullo switch.
  • Auto: attiva l’autenticazione 802.1X sull’interfaccia. Quando si utilizza la Modalità di autenticazione Basata sugli host, è necessario selezionare Auto.
  • Forza autorizzato: blocca tutto il traffico non autenticato sull’interfaccia.
  • Forza non autorizzato: autorizza tutto il traffico non autenticato sull’interfaccia.

• Modalità MAB: per la modalità MAB, selezionare tra le seguenti opzioni:

  • Non impostata: Utilizza le impostazioni configurate localmente sullo switch.
  • MAB: utilizza solo MAB.
  • Ibrida: prova prima ad autenticarsi utilizzando 802.1X. Dopo tre tentativi non riusciti, lo switch passa a MAB.
  • Disabilitato: non utilizza MAB.

• Modalità di autenticazione: selezionare la modalità di autenticazione tra le seguenti opzioni:

  • Non impostata: Utilizza le impostazioni configurate localmente sullo switch.
  • Basata su porta: autentica gli host connessi a ciascuna porta.
  • Basati sugli host: autentica tutto il traffico su una singola porta.

• Numero massimo di host: questa impostazione si applica solo quando la Modalità di autenticazione è impostata su Basata su host. Imposta il numero massimo di host che possono essere collegati a una porta. Impostare un valore compreso tra 1 e 10.

• VLAN guest: Attivare o disattivare VLAN guest. Questa opzione va disattivata quando si utilizza la Modalità di autenticazione Basata sugli host.
• Assegnazione VLAN RADIUS: attiva o disattiva l’Assegnazione VLAN RADIUS. Questa opzione va disattivata quando si utilizza la Modalità di autenticazione Basata sugli host.
• Riautenticazione: attiva o disattiva la riautenticazione della porta.
• Periodo di riautenticazione: l’intervallo di tempo, in secondi, prima che la porta debba riautenticarsi. Impostare un valore compreso tra 30 e 65535. L’impostazione predefinita è 3600.
• Periodo di attesa: l’intervallo di tempo, in secondi, prima che lo switch cerchi di riautenticarsi dopo un tentativo di autenticazione non riuscito. Impostare un valore compreso tra 0 e 65535. L’impostazione predefinita è 60.
• Periodo supplicant: questa impostazione controlla la frequenza con cui lo switch invia richieste EAP, in secondi. Lo switch invia tre richieste a questo intervallo, prima di passare a MAB. Impostare un valore compreso tra 0 e 65535. L’impostazione predefinita è 30.
• Stato autorizzato: mostra lo stato di autenticazione della porta specificata.

L’opzione Origine configurazione mostra l’origine delle impostazioni della porta.

Cliccare su Aggiorna per salvare le impostazioni o su Cancella per eliminare eventuali modifiche non salvate.

Host autenticato

La scheda Host autenticato mostra le informazioni relative agli host autenticati.

Sicurezza delle porte

Nella scheda Sicurezza delle porte è possibile limitare il numero di indirizzi MAC che lo switch può apprendere su una porta specifica.

È possibile configurare le seguenti opzioni:

• Porta: La porta a cui vengono applicate le impostazioni
• Stato: selezionare Abilitato o Disattivato per attivare o disattivare la Sicurezza delle porte.
• Numero massimo di indirizzi MAC: Inserire il numero massimo di indirizzi MAC che lo switch può apprendere sulla porta specificata. L’intervallo è compreso fra 1 e 256.

L’opzione Origine configurazione mostra l’origine delle impostazioni di sicurezza della porta.

Cliccare su Aggiorna per salvare le impostazioni o su Cancella per eliminare eventuali modifiche non salvate.

Server RADIUS

È possibile utilizzare un server RADIUS per autenticare gli utenti che effettuano l’accesso a una rete. Il server RADIUS gestisce un database di utenti contenente i dati di autenticazione. Lo switch trasmette le informazioni al server RADIUS per autenticare un utente prima di autorizzarne l’accesso alla rete.

È possibile configurare le seguenti opzioni:

• ID server: L’ID del server RADIUS.
• Server IP (IP del server): L’indirizzo IP del server RADIUS.
• Porta autorizzata: la porta utilizzata per comunicare con il server RADIUS. La porta predefinita è 1812.
• Segreto condiviso: la stringa utilizzata per crittografare tutte le comunicazioni RADIUS tra il dispositivo e il server RADIUS.
• Timeout: il tempo durante il quale il dispositivo attende una risposta dal server RADIUS prima di passare al server successivo. L’impostazione predefinita è 3.
• Riprova: Il numero di richieste trasmesse inviate al server RADIUS prima che si verifichi un errore. L’impostazione predefinita è 3.

Origine configurazione mostra l’origine delle impostazioni del server RADIUS.

Per creare una nuova voce del server RADIUS, cliccare su Aggiungi.

Per eliminare voci del server RADIUS, selezionare i server che si desidera rimuovere e cliccare su Elimina.

Server TACACS+

I server TACACS+ offrono un’autenticazione centralizzata per l’accesso alla rete. TACACS+ viene utilizzato principalmente per l’amministrazione dei dispositivi di rete.

È possibile configurare le seguenti opzioni:

• Server IP (IP del server): L’indirizzo IP del server TACACS+.
• Priorità: La priorità del server TACACS+. La priorità determina quale server viene contattato per primo per l’autenticazione, quando sono presenti più server TACACS+.
• Porta autorizzata: la porta sulla quale il server comunica per l’autenticazione. La porta predefinita è 49.
• Segreto condiviso: la chiave di crittografia configurata sul server TACACS+. Deve corrispondere esattamente al proprio server TACACS+.
• Timeout: il timeout in secondi. Il timeout specifica il tempo durante il quale Sophos Switch attende una risposta di autenticazione prima di provare il server TACACS+ successivo nell’elenco. L’impostazione predefinita è 5.

Origine configurazione mostra l’origine delle impostazioni del server RADIUS.

Per creare una nuova voce del server TACACS+, cliccare su Aggiungi.

Per eliminare voci del server TACACS+, selezionare i server che si desidera rimuovere e cliccare su Elimina.

ACL e ACE MAC

La scheda ACL e ACE MAC mostra gli ACL basati su MAC definiti attualmente.

ACL MAC

Per aggiungere un nuovo ACL, cliccare su Aggiungi, inserire un Nome con una lunghezza compresa tra 4 e 30 lettere e numeri, e cliccare su Salva.

Per gli ACL MAC vengono visualizzati i seguenti dettagli:

• Nome profilo: il nome dell’ACL.
• Origine configurazione: mostra l’origine delle impostazioni dell’ACL specificato.

Per eliminare ACL, selezionare gli ACL che si desidera eliminare e cliccare su Elimina.

ACE MAC

Le voci di controllo di accesso (ACE) sono le regole che determinano le classificazioni del traffico per gli elenchi di controllo di accesso (ACL). È possibile definire ACE degli indirizzi MAC in base a criteri quali indirizzi MAC e maschere di origine e di destinazione, ID VLAN e Quality of Service (QoS).

La scheda ACE MAC mostra i dettagli delle ACE MAC configurate sullo switch.

Per creare una nuova ACE MAC, cliccare su Aggiungi, configurare l’ACE e cliccare su Salva per salvare le impostazioni.

Per eliminare un’ACE, selezionare le ACE che si desidera eliminare e cliccare su Elimina.

Per aggiornare le impostazioni di un’ACE, cliccare sul pulsante Modifica .

È possibile configurare le seguenti impostazioni:

• Nome ACL: l’ACL a cui appartiene l’ACE.
• Sequenza: il numero di sequenza è l’ordine in cui lo switch applica l’ACE. Scegliere un valore compreso tra 1 e 2147483647, dove 1 rappresenta la prima regola che verrà elaborata.
• Azione: l’azione intrapresa dallo switch se un pacchetto soddisfa i criteri. Selezionare Autorizza per inoltrare il traffico che trova corrispondenza con i criteri dell’ACE o Nega per rimuoverlo.
• ID VLAN: l’ID VLAN a cui appartiene l’indirizzo MAC. L’intervallo è compreso fra 1 e 4094. Per qualsiasi VLAN, lasciare il campo vuoto.
• Indirizzo MAC di origine: l’indirizzo MAC dal quale ha origine il traffico.
• Maschera indirizzo MAC di origine: la maschera con caratteri jolly per l’indirizzo MAC di origine. È possibile utilizzare qualsiasi combinazione di f e 0. f troverà corrispondenza esatta con i bit specificati. 0 troverà corrispondenza con qualsiasi bit. Vedere Esempi.
• Indirizzo MAC di destinazione: l’indirizzo MAC al quale viene inviato il traffico.
• Maschera indirizzo MAC di destinazione: la maschera con caratteri jolly per l’indirizzo MAC di destinazione. È possibile utilizzare qualsiasi combinazione di f e 0. f troverà corrispondenza esatta con i bit specificati. 0 troverà corrispondenza con qualsiasi bit. Vedere Esempi.
• Valore 802.1p: 802.1p è uno standard con priorità QoS. Selezionare un valore compreso tra 0 e 7. 0 è la priorità più bassa. Vedere QoS.
• Valore EtherType: EtherType è un valore esadecimale che indica il protocollo utilizzato ed è alla base dei tag VLAN 802.1Q. Questa opzione può essere utilizzata solo per filtrare i pacchetti in formato Ethernet II. Vedere EtherType.

L’opzione Origine configurazione mostra l’origine delle impostazioni di MAC ACE.

Esempi

Quelli che seguono sono alcuni esempi di come utilizzare le maschere con caratteri jolly per gli indirizzi MAC.

ACL e ACE IPv4

La scheda ACL e ACE IPv4 mostra gli ACL basati su IPv4 che sono configurati sullo switch.

ACL IPv4

Per aggiungere un nuovo ACL, cliccare su Aggiungi, inserire il nome del nuovo ACL, che deve avere una lunghezza compresa tra 4 e 30 lettere e numeri, e cliccare su Salva.

Per gli ACL IPv4 vengono visualizzati i seguenti dettagli:

• Nome profilo: il nome dell’ACL.
• Origine configurazione: mostra l’origine delle impostazioni dell’ACL specificato.

Per eliminare ACL, selezionare gli ACL che si desidera eliminare e cliccare su Elimina.

ACE IPv4

Ogni elenco di controllo di accesso (ACL) IPv4 contiene fino a 16 regole individuali chiamate voci di controllo di accesso (ACE). Ogni ACE è un set di parametri per un tipo di traffico di rete specifico e per l’azione che deve intraprendere lo switch quando identifica traffico che trova corrispondenza.

Per creare una nuova ACE IPv4, cliccare su Aggiungi.

Per eliminare ACE, selezionare gli ACE che si desidera eliminare e cliccare su Elimina.

Per aggiornare le impostazioni di un’ACE, cliccare sul pulsante Modifica .

È possibile configurare le seguenti impostazioni:

• Nome ACL: l’ACL a cui appartiene l’ACE.
• Sequenza: il numero di sequenza è l’ordine in cui lo switch applica l’ACE. Scegliere un valore compreso tra 1 e 2147483647, dove 1 rappresenta la prima regola che verrà elaborata.
• Azione: l’azione intrapresa dallo switch se un pacchetto soddisfa i criteri. Selezionare Autorizza per inoltrare il traffico che trova corrispondenza con i criteri dell’ACE o Nega per rimuoverlo.
• Tipo di servizio: consente di impostare il valore di DSCP (Differentiated Services Field Codepoints). Immetti un valore compreso tra 0 e 63. Vedere Differentiated Services Field Codepoints (DSCP).
• Indirizzo IP di origine: L’indirizzo IP di origine del traffico.
• Netmask di origine: la subnet mask dell’indirizzo IP di origine.
• Indirizzo IP di destinazione: L’indirizzo IP di destinazione del traffico.
• Netmask di destinazione: la subnet mask dell’indirizzo IP di destinazione.
• Intervallo di porte di destinazione: selezionare un intervallo di porte di destinazione per il traffico. Vedere Intervallo di porte.
• Intervallo di porte di origine: selezionare un intervallo di porte di origine per il traffico. Vedere Intervallo di porte.

• Protocollo: selezionare una delle seguenti opzioni dall’elenco a discesa:

  • Qualsiasi: trova corrispondenza con tutti i protocolli.

  • Seleziona da un elenco: selezionare uno dei seguenti protocolli dall’Elenco protocolli:

    • IPv4:ICMP: ICMP (Internet Control Message Protocol) consente al gateway o all’host di destinazione di comunicare con l’host di origine.
    • IPinIP: IP-in-IP incapsula i pacchetti IP per creare tunnel tra due router. Un tunnel IP-in-IP viene visualizzato come un’unica interfaccia, invece di diverse interfacce separate.
    • TCP: TCP (Transmission Control Protocol) permette a due host di comunicare e scambiare flussi di dati. Garantisce il recapito dei pacchetti e fa in modo che i pacchetti vengano trasmessi e ricevuti nell’ordine inviato.
    • EGP: EGP (Exterior Gateway Protocol) consente a due host gateway adiacenti di scambiare informazioni di routing in una rete di sistema autonoma.
    • IGP: IGP (Interior Gateway Protocol) permette lo scambio di informazioni di routing tra gateway all’interno di una rete di sistema autonoma.
    • UDP: UDP (User Datagram Protocol) è un protocollo di comunicazione che trasmette pacchetti ma non garantisce la consegna.
    • HMP: HMP (Host Mapping Protocol) raccoglie informazioni sulla rete da vari host. Monitora gli host su Internet e all’interno di una singola rete.
    • RDP: RDP (Reliable Data Protocol) è simile a TCP, poiché garantisce il recapito dei pacchetti ma non richiede che vengano consegnati in sequenza.
    • IPv6:Rout: intestazione del routing per IPv6.
    • IPv6:Frag: intestazione del frammento per IPv6.
    • RSVP: trova corrispondenza tra il pacchetto e il protocollo di prenotazione (RSVP).
    • IPv6:ICMP: ICMP (Internet Control Message Protocol) consente al gateway o all’host di destinazione di comunicare con l’host di origine.
    • OSPF: il protocollo OSPF (Open Shortest Path First) è un protocollo IGP (Interior Gateway Protocol) link state gerarchico per il routing della rete.
    • PIM: trova corrispondenza con il pacchetto PIM (Protocol Independent Multicast).
    • L2TP: L2TP (Layer 2 Tunneling Protocol) supporta la creazione di VPN da parte degli ISP.

  • Seleziona dall’ID: inserire un ID protocollo compreso tra 0 e 255. Vedere Numeri di protocollo.

• ICMP: selezionare una delle seguenti opzioni dall’elenco a discesa:

  • Qualsiasi: trova corrispondenza con tutto il traffico ICMP.

  • Seleziona dall’elenco: selezionare una delle seguenti opzioni dall’Elenco di ICMP:

    • Risposta echo: la risposta che un dispositivo invia dopo aver ricevuto una richiesta echo ICMP.
    • Destinazione irraggiungibile: il pacchetto ICMP non è riuscito a raggiungere la destinazione.
    • Richiesta di rallentamento dell'origine: messaggio ICMP inviato da un router per mitigare la congestione della rete in ambienti ad alto traffico.
    • Richiesta echo: un messaggio inviato da un dispositivo a un altro per verificare se è in grado di comunicare e misurare il tempo necessario per farlo.
    • Annuncio router: un messaggio inviato da un dispositivo per annunciare la propria disponibilità come router.
    • Sollecitazione del router: un messaggio inviato da un host per richiedere informazioni sul router.
    • Tempo scaduto: questo messaggio indica che il Time to Live (TTL) del pacchetto ICMP è scaduto durante il transito.
    • Timestamp: i timestamp possono essere aggiunti ai messaggi ICMP per registrarne l’invio.
    • Risposta timestamp: quando un dispositivo riceve un pacchetto ICMP con un timestamp, può registrare il timestamp e aggiungere il proprio campo di risposta timestamp al pacchetto ICMP.
    • Traceroute: mostra tutti i router attraverso i quali passa un pacchetto durante il tragitto verso la sua destinazione.

  • Seleziona dall’ID: inserire un valore compreso tra 0 e 255 per l’ID ICMP.

• Codice ICMP: Immetti un valore compreso tra 0 e 255. Vedere Parametri di ICMP (Internet Control Message Protocol).

• Flag TCP: è possibile filtrare il traffico TCP in base al fatto che i flag Urg, Ack, Psh, Rst, Syn e Fin siano Impostati o Non impostati. Selezionare Non importa per ignorare i flag TCP.

L’opzione Origine configurazione mostra l’origine delle impostazioni di ACE IPv4.

ACL e ACE IPv6

La scheda ACL e ACE IPv6 mostra gli ACL basati su IPv6 che sono configurati sullo switch.

ACL IPv6

Per aggiungere un nuovo ACL, cliccare su Aggiungi, inserire il nome del nuovo ACL, che deve avere una lunghezza compresa tra 4 e 30 lettere e numeri, e cliccare su Salva.

Per gli ACL IPv4 vengono visualizzati i seguenti dettagli:

• Nome profilo: il nome dell’ACL.
• Origine configurazione: mostra l’origine delle impostazioni dell’ACL specificato.

Per eliminare ACL, selezionare gli ACL che si desidera eliminare e cliccare su Elimina.

ACE IPv6

Ogni elenco di controllo di accesso (ACL) IPv6 contiene fino a 16 regole individuali chiamate voci di controllo di accesso (ACE). Ogni ACE è un set di parametri per un tipo di traffico di rete specifico e per l’azione che deve intraprendere lo switch quando identifica traffico che trova corrispondenza.

Per creare una nuova ACE IPv6, cliccare su Aggiungi.

Per eliminare ACE, selezionare gli ACE che si desidera eliminare e cliccare su Elimina.

Per aggiornare le impostazioni di un’ACE, cliccare sul pulsante Modifica .

È possibile configurare le seguenti impostazioni:

• Nome ACL: l’ACL a cui appartiene l’ACE.
• Sequenza: il numero di sequenza è l’ordine in cui lo switch applica l’ACE. Scegliere un valore compreso tra 1 e 2147483647, dove 1 rappresenta la prima regola che verrà elaborata.
• Azione: l’azione intrapresa dallo switch se un pacchetto soddisfa i criteri. Selezionare Autorizza per inoltrare il traffico che trova corrispondenza con i criteri dell’ACE o Nega per rimuoverlo.
• Tipo di servizio: consente di impostare il valore di DSCP (Differentiated Services Field Codepoints). Immetti un valore compreso tra 0 e 63. Vedere Differentiated Services Field Codepoints (DSCP).
• Indirizzo IP di origine: L’indirizzo IP di origine del traffico.
• Lunghezza del prefisso dell’IPv6 di origine: la lunghezza del prefisso dell’IPv6 per l’IPv6 di origine.
• Indirizzo IP di destinazione: L’indirizzo IP di destinazione del traffico.
• Lunghezza del prefisso dell’IPv6 di destinazione: la lunghezza del prefisso dell’IPv6 per l’IPv6 di destinazione.
• Intervallo di porte di destinazione: selezionare un intervallo di porte di destinazione per il traffico. Vedere Intervallo di porte.
• Intervallo di porte di origine: selezionare un intervallo di porte di origine per il traffico. Vedere Intervallo di porte.

• Protocollo: selezionare una delle seguenti opzioni dall’elenco a discesa:

  • Qualsiasi: trova corrispondenza con tutti i protocolli.

  • Seleziona da un elenco: selezionare uno dei seguenti protocolli dall’Elenco protocolli:

    • TCP: TCP (Transmission Control Protocol) permette a due host di comunicare e scambiare flussi di dati. Garantisce il recapito dei pacchetti e fa in modo che i pacchetti vengano trasmessi e ricevuti nell’ordine inviato.
    • UDP: UDP (User Datagram Protocol) è un protocollo di comunicazione che trasmette pacchetti ma non garantisce la consegna.
    • IPv6:ICMP: ICMP (Internet Control Message Protocol) consente al gateway o all’host di destinazione di comunicare con l’host di origine.

  • Seleziona dall’ID: inserire un valore compreso tra 0 e 255 per l’ID protocollo. Vedere Numeri di protocollo.

• ICMP: selezionare una delle seguenti opzioni dall’elenco a discesa:

  • Qualsiasi: trova corrispondenza con tutto il traffico ICMP.

  • Seleziona dall’elenco: selezionare una delle seguenti opzioni dall’Elenco di ICMP:

    • Destinazione irraggiungibile: il pacchetto ICMP non è riuscito a raggiungere la destinazione.
    • Pacchetto troppo grande: indica che il pacchetto ICMP supera la MTU della rete ed è troppo grande per utilizzare quella rete.
    • Tempo scaduto: questo messaggio indica che il Time to Live (TTL) del pacchetto ICMP è scaduto durante il transito.
    • Problema di parametro: il dispositivo non riesce a interpretare un parametro non valido.
    • Richiesta echo: un messaggio inviato da un dispositivo a un altro per verificare se è in grado di comunicare e misurare il tempo necessario per farlo.
    • Risposta echo: la risposta che un dispositivo invia dopo aver ricevuto una richiesta echo ICMP.
    • Sollecitazione del router: un messaggio inviato da un host per richiedere informazioni sul router.
    • Annuncio router: un messaggio inviato da un dispositivo per annunciare la propria disponibilità come router.
    • Nd Ns: questo è un messaggio di Neighbor Advertisement di NDP (Neighbor Discovery Protocol) per IPv6.
    • Nd Na: questo è un messaggio di Neighbor Advertisement di NDP per IPv6.

  • Seleziona dall’ID: inserire un valore compreso tra 0 e 255 per l’ID ICMP.

• Codice ICMP: Immetti un valore compreso tra 0 e 255. Vedere Parametri di ICMP (Internet Control Message Protocol).

• Flag TCP: è possibile filtrare il traffico TCP in base al fatto che i flag Urg, Ack, Psh, Rst, Syn e Fin siano Impostati o Non impostati. Selezionare Non importa per ignorare i flag TCP.

L’opzione Origine configurazione mostra l’origine delle impostazioni di ACE IPv4.

Intervallo di porte e associazioni

La scheda Intervallo di porte consente di specificare intervalli di porte da utilizzare nelle proprie voci di controllo di accesso (ACE) IPv4 e IPv6. Questa funzionalità aumenta la sicurezza, poiché permette di utilizzare ACE per bloccare un intervallo di porte ampio, o per autorizzarne solo un intervallo ristretto per host con funzioni specifiche.

Intervallo di porte

Per creare un nuovo intervallo di porte, cliccare su Aggiungi.

È possibile configurare le seguenti impostazioni:

• Name (Nome): inserire un nome per il proprio intervallo di porte.

  Tip

  Si consiglia di scegliere un nome per l’intervallo di porte che identifichi chiaramente le porte in esso contenute. Quando si seleziona un intervallo di porte per le proprie ACE, viene visualizzato solo questo nome. Non è possibile vedere le porte che contiene.

• Numero di porta minimo: la porta di inizio del proprio intervallo.

• Numero di porta massimo: la porta di fine del proprio intervallo.

L’opzione Origine configurazione mostra l’origine delle impostazioni di Intervallo di porte.

Associazione porte

Quando un elenco di controllo di accesso (ACL) viene associato a delle porte, verranno applicate a queste porte tutte le regole definite per tale ACL. Per le porte alle quali è associato un ACL, lo switch rimuove tutto il traffico che non trova corrispondenza con l’ACL.

È possibile visualizzare le seguenti informazioni sulle porte nello switch:

• Porta: la porta alla quale sono associati gli ACL.
• ACL MAC: l’ACL MAC associato alla porta.
• ACL IPv4: l’ACL IPv4 associato alla porta.
• ACL IPv6: l’ACL IPv6 associato alla porta.

L’opzione Origine configurazione mostra l’origine delle impostazioni di Associazione porte.

Per associare ACL, selezionare dagli elenchi a discesa l’ACL MAC e l’ACL IPv4 o l’ACL IPv6 che si desidera associare alla porta. Selezionare Nessuno per non assegnare alcun ACL alla porta, oppure Non impostato per utilizzare le impostazioni di associazione delle porte specificate nell’interfaccia utente locale dello switch.

Cliccare su Aggiorna per salvare le modifiche.