Segurança

Você pode configurar as definições de segurança do Sophos Switch, como proteção contra DoS, autenticação 802.1X, segurança de porta, além de adicionar e remover servidores RADIUS e TACACS+.

DoS

O Sophos Switch pode monitorar e bloquear ataques de negação de serviço (DoS). Um ataque DoS é o tráfego de rede destinado a sobrecarregar um host e interromper sua conexão com a rede.

Selecione Ligar ou Desligar para ativar ou desativar a proteção contra DoS. Selecione Não definido para usar as configurações de configuradas localmente no switch.

Depois de ativar ou desativar o DoS, clique em Atualizar para salvar as alterações.

Quando você ativa o DoS, o switch descarta pacotes que correspondem aos seguintes tipos de ataques DoS:

• MAC de destino igual ao MAC de origem: Derruba o tráfego onde os endereços MAC de origem e destino são os mesmos.
• Ataques LAND de IP de destino igual a IP de origem (IPv4/IPv6): Derruba pacotes onde os endereços IP de origem e destino são os mesmos.

• Blat TCP (Porta TCP de destino igual à porta TCP de origem): Derruba pacotes TCP onde as portas TCP de origem e TCP de destino são as mesmas.

  Note

  O cliente NTP (Network Time Protocol) às vezes usa a mesma porta de origem e destino. Quando você ativa a proteção contra DoS, o Sophos Switch a detecta como um ataque de Blat TCP e derruba os pacotes. Recomendamos desativar a proteção contra DoS se você estiver executando clientes NTP mais antigos que usam as mesmas portas de origem e destino.

• UDP Blat (Porta UDP de destino igual à porta UDP de origem): Derruba pacotes UDP onde as portas UDP de origem e destino são as mesmas.

• Ping of Death (IPv4/IPv6): Derruba pacotes com um comprimento maior que 64 Kbytes através de fragmentos.
• Fragmento mínimo de IPv6 (bytes): Limita o tamanho mínimo de fragmentos de IPv6 a 1240 bytes.
• Fragmentos de ICMP (IPv4/IPv6): Derruba pacotes ICMP fragmentados.
• Tamanho máximo do ping IPv4: Limita o comprimento máximo de um pacote de ping IPv4 a 512 bytes.
• Tamanho máximo do ping IPv6: Limita o comprimento máximo de um pacote ping IPv6 a 512 bytes.
• Ataque Smurf (comprimento da máscara de rede): Limita o comprimento da máscara de rede dos pacotes ICMP transmitidos a 24 (x.x.x.255).
• Tamanho mínimo do cabeçalho TCP (bytes): Limita o tamanho mínimo do cabeçalho TCP a 20 bytes.
• TCP-SYN: Derruba pacotes TCP onde o sinalizador SYN está definido, o sinalizador ACK não está definido e a porta de origem é menor que 1024.
• Varredura nula: Derruba pacotes TCP onde não são definidos sinalizadores e o número da sequência é zero.
• Xmas: Derruba pacotes TCP com o número de sequência zero e os sinalizadores FIN, URG e PSH definidos.
• TCP SYN-FIN: Derruba pacotes TCP com os sinalizadores SYN e FIN definidos.
• TCP SYN-RST: Derruba pacotes TCP com os sinalizadores SYN e RST definidos.

802.1X

O Sophos Switch suporta o controle de acesso à rede baseado na porta 802.1X para autenticar usuários e dispositivos usando um servidor RADIUS ou TACACS+.

Configurações globais

A guia Configurações globais é onde você ativa ou desativa a autenticação 802.1X. Você também pode gerenciar atribuições de VLAN convidada, definir o ID da VLAN convidada e selecionar o método de autenticação.

Você pode configurar as seguintes configurações globais:

• Status: Selecione Ligado ou Desligado para ativar ou desativar a autenticação 802.1X. Selecione Não definido para usar as configurações de configuradas localmente no switch.
• VLAN convidada: Selecione Ativar ou Desativar. Você deve selecionar Ativado para definir um ID de VLAN convidada. Selecione Não configurado para usar as definições configuradas localmente no switch.
• ID de VLAN convidada: Selecione uma VLAN na lista de VLANs definidas.
• Método de Autenticação: Selecione Usuário local, RADIUSou TACACS+ na lista suspensa.

Origem da configuração mostra a origem das configurações.

Clique em Atualizar para salvar as configurações ou em Limpar para excluir quaisquer alterações não salvas.

Configurações de porta

Na guia Configurações de porta, você pode configurar as definições da porta e definir a autenticação usando 802.1X, bypass de autenticação MAC (MAB) ou uma combinação de ambos. Para configurar o MAB, consulte Configurar bypass de autenticação MAC (MAB).

Selecione as portas que deseja configurar e clique em Editar.

Você pode configurar as seguintes opções:

• Modo: Selecione o modo de porta dentre as seguintes opções:

  • Não configurada: Utilizar as configurações definidas localmente no switch.
  • Auto: Ativar a autenticação 802.1X na interface. Quando usar Baseado em host em Modo de autenticação, você deve selecionar Auto.
  • Forçar autorizado: Bloquear todo o tráfego não autenticado na interface.
  • Forçar não autorizado: Permitir todo o tráfego não autenticado na interface.

• Modo MAB: Selecione o modo MAB dentre as seguintes opções:

  • Não configurada: Utilizar as configurações definidas localmente no switch.
  • MAB: Usar somente MAB.
  • Híbrido: Tentar autenticar usando 802.1X primeiro. Após três tentativas com falha, o switch passa a usar MAB.
  • Desabilitado: Não use MAB.

• Modo de Autenticação: Selecione o modo de autenticação dentre as seguintes opções:

  • Não configurada: Utilizar as configurações definidas localmente no switch.
  • Baseado em porta: Autenticar os hosts conectados a cada porta.
  • Baseado em host: Autenticar todo o tráfego em uma única porta.

• Máximo de hosts: Essa configuração só se aplica quando Modo de autenticação está definido como Baseado em host. Ela define o número máximo de hosts que podem ser conectados a uma porta. Defina um valor de 1 a 10.

• VLAN convidada: Ativar ou desativar VLAN convidada. Você deve desativá-la quando usar Baseado em host em Modo de autenticação.
• Designação de RADIUS VLAN: Ativar ou desativar Designação de RADIUS VLAN. Você deve desativá-la quando usar Baseado em host em Modo de autenticação**.
• Reautenticação: Ativar ou desativar a reautenticação de porta.
• Período de reautenticação: O tempo, em segundos, antes que a porta precise ser autenticada novamente. Defina um valor entre 30 e 65535. O padrão é 3600.
• Período silencioso: O tempo, em segundos, antes que o switch tente se autenticar novamente após uma tentativa de autenticação com falha. Defina um valor entre 0 e 65535. O padrão é 60.
• Período suplicante: Essa configuração controla a frequência com que o switch envia solicitações EAP, em segundos. O switch envia três solicitações nesse intervalo antes de mudar para MAB. Defina um valor entre 0 e 65535. O padrão é 30.
• Status autorizado: Mostrar o status de autenticação da porta especificada.

Origem da configuração mostra a origem das configurações da porta.

Clique em Atualizar para salvar as configurações ou em Limpar para excluir quaisquer alterações não salvas.

Host de autenticação

A guia Host autenticado exibe informações sobre os hosts autenticados.

Segurança da porta

Na guia Segurança da porta, você pode limitar o número de endereços MAC que o switch pode aprender em uma porta específica.

Você pode configurar as seguintes opções:

• Porta: A porta à qual as configurações se aplicam.
• Status: Selecione Habilitado ou Desabilitado para ativar ou desativar a Segurança da porta.
• Número máximo de endereços de MAC: Insira o número máximo de endereços MAC que o switch pode aprender na porta especificada. O intervalo vai de 1 a 256.

Origem da configuração mostra a origem das configurações de segurança da porta.

Clique em Atualizar para salvar as configurações ou em Limpar para excluir quaisquer alterações não salvas.

Servidor RADIUS

Você pode usar um servidor RADIUS para autenticar usuários que acessam uma rede. O servidor RADIUS mantém um banco de dados de usuários, que contém informações de autenticação. O switch envia informações para o servidor RADIUS para autenticar um usuário antes de autorizar o acesso à rede.

Você pode configurar as seguintes opções:

• ID do servidor: O ID do servidor RADIUS.
• IP do Servidor: O endereço IP do servidor RADIUS.
• Porta autorizada: A porta utilizada para comunicação com o servidor RADIUS. A porta padrão é 1812.
• Segredo compartilhado: A string usada para criptografar toda a comunicação RADIUS entre o dispositivo e o servidor RADIUS.
• Limite de tempo: O tempo que o dispositivo aguarda uma resposta do servidor RADIUS antes de passar para o próximo servidor. O padrão é 3.
• Tentar novamente: O número de solicitações transmitidas enviadas ao servidor RADIUS antes que ocorra uma falha. O padrão é 3.

Origem da configuração mostra a origem das configurações do segurança RADIUS.

Para criar uma nova entrada de servidor RADIUS, clique em Adicionar.

Para deletar entradas do servidor RADIUS, selecione os servidores que deseja remover e clique em Deletar.

TACACS+ Servidor

Os servidores TACACS+ fornecem autenticação centralizada para acesso à rede. O TACACS+ é usado principalmente para a administração de dispositivos em rede.

Você pode configurar as seguintes opções:

• IP do Servidor: O endereço IP do servidor TACACS+.
• Prioridade: A prioridade do servidor TACACS+. A prioridade determina qual servidor será contatado primeiro para autenticação quando houver mais de um servidor TACACS+.
• Porta autorizada: A porta que o servidor utiliza para comunicação e autenticação. A porta padrão é 49.
• Segredo compartilhado: A chave de criptografia configurada no seu servidor TACACS+. Isso deve corresponder exatamente ao seu servidor TACACS+.
• Limite de tempo: Limite de tempo em segundos. O tempo limite especifica o período que o Sophos Switch aguarda por uma resposta de autenticação antes de tentar o próximo servidor TACACS+ na lista. O padrão é 5.

Origem da configuração mostra a origem das configurações do segurança RADIUS.

Para criar uma nova entrada de servidor TACACS+, clique em Adicionar.

Para deletar entradas de servidor TACACS+, selecione os servidores que deseja remover e clique em Deletar.

MAC ACL & ACE

A guia MAC ACL & ACE mostra as ACLs baseadas em MAC definidas atualmente.

MAC ACL

Para adicionar uma nova ACL, clique em Adicionar, insira um Nome com 4 a 30 letras e números e clique em Salvar.

Você pode ver os seguintes detalhes de MAC ACLs:

• Nome do Perfil: O nome da ACL.
• Origem da configuração: Exibe a origem das configurações da ACL especificada.

Para deletar ACLs, selecione as ACLs que deseja remover e clique em Deletar.

MAC ACE

As entradas de controle de acesso (ACE) são as regras que determinam as classificações de tráfego para as listas de controle de acesso (ACL). Você pode definir ACEs de endereço MAC com base em critérios como máscaras e endereços MAC de origem e destino, IDs de VLAN e qualidade do serviço (QoS).

A guia MAC ACE mostra detalhes das MAC ACEs configuradas no seu switch.

Para criar uma nova MAC ACE, clique em Adicionar, configure o ACE e clique em Salvar para salvar suas configurações.

Para excluir uma ACE, selecione as ACEs que deseja remover e clique em Deletar.

Para atualizar as configurações de um ACE, clique em Editar .

Você pode configurar as seguintes configurações:

• Nome da ACL: O ACL ao qual o ACE pertence.
• Sequência: O número de sequência indica a ordem em que o switch aplica a ACE. Escolha um valor de 1 a 2147483647, sendo 1 a primeira regra processada.
• Ação: A ação tomada pelo switch se um pacote corresponder aos critérios. Selecione Permitir para encaminhar o tráfego que corresponda aos critérios ACE ou Negar para abandoná-lo.
• ID DE VLAN: O ID da VLAN à qual o endereço MAC pertence. O intervalo vai de 1 e 4094. Para qualquer VLAN, deixe o campo vazio.
• Endereço de MAC de origem: O endereço MAC de onde o tráfego se origina.
• Máscara de endereço de MAC de origem: A máscara curinga para o endereço MAC de origem. Você pode usar qualquer combinação de f e 0. f corresponde exatamente aos bits especificados. 0 corresponde a qualquer bit. Consulte Exemplos.
• Endereço de MAC de destino: O endereço MAC para o qual o tráfego é enviado.
• Máscara de Endereço de MAC de Destino: A máscara curinga para o endereço MAC de destino. Você pode usar qualquer combinação de f e 0. f corresponde exatamente aos bits especificados. 0 corresponde a qualquer bit. Consulte Exemplos.
• Valor 802.1p: 802.1p é um padrão de prioridade de QoS. Selecione um valor de 0 a 7. 0 é a prioridade mais baixa. Consulte QoS.
• Valor EtherType: EtherType é um valor hexadecimal que indica o protocolo utilizado e é a base da tag VLAN 802.1Q. Você só pode usar essa opção para filtrar pacotes formatados em Ethernet II. Consulte EtherTypes.

Origem de configuração mostra a origem das configurações de MAC ACE.

Exemplos

Estes são exemplos de como usar máscaras curinga de endereço MAC.

IPv4 ACL & ACE

A guia IPv4 ACL & ACE mostra as ACLs baseadas em IPv4 configuradas no switch.

IPv4 ACL

Para adicionar uma nova ACL, clique em Adicionar, insira o nome da nova ACL com 4 a 30 letras e números e clique em Salvar.

Você pode ver os seguintes detalhes de IPv4 ACLs:

• Nome do Perfil: O nome da ACL.
• Origem da configuração: Exibe a origem das configurações da ACL especificada.

Para deletar ACLs, selecione as ACLs que deseja remover e clique em Deletar.

IPv4 ACE

Cada lista de controle de acesso (ACL) IPv4 contém até 16 regras individuais chamadas entradas de controle de acesso (ACE). Cada ACE é um conjunto de parâmetros para o tráfego de rede específico e a ação do switch quando identifica um tráfego correspondente.

Para criar uma nova IPv4 ACE, clique em Adicionar.

Para deletar ACEs, selecione os ACEs que deseja remover e clique em Deletar.

Para atualizar as configurações de um ACE, clique em Editar .

Você pode configurar as seguintes configurações:

• Nome da ACL: O ACL ao qual o ACE pertence.
• Sequência: O número de sequência indica a ordem em que o switch aplica a ACE. Escolha um valor de 1 a 2147483647, sendo 1 a primeira regra processada.
• Ação: A ação tomada pelo switch se um pacote corresponder aos critérios. Selecione Permitir para encaminhar o tráfego que corresponda aos critérios ACE ou Negar para abandoná-lo.
• Tipo de serviço: Permite definir o valor do ponto de código de serviços diferenciados (DSCP). Insira um valor entre 0 e 63. Consulte Ponto de código de serviços diferenciados (DSCP).
• Endereço de IP da Fonte: O endereço IP de origem do tráfego.
• Máscara de rede de origem: A máscara de sub-rede do Endereço IP de origem.
• Endereço de IP de Destino: O endereço IP de destino do tráfego.
• Máscara de rede de destino: A máscara de sub-rede do Endereço IP de destino.
• Intervalo de portas de destino: Selecione um intervalo de portas de destino para o tráfego. Consulte Intervalo de Portas.
• Intervalo de portas de origem: Selecione um intervalo de portas de origem para o tráfego. Consulte Intervalo de Portas.

• Protocolo: Selecione uma das seguintes opções na lista suspensa:

  • Qualquer um: Compatível com todos os protocolos.

  • Selecione da lista: Selecione um dos seguintes protocolos na Lista de protocolos:

    • IPv4:ICMP: O protocolo ICMP (Internet Control Message Protocol) permite que o gateway ou o host de destino se comunique com o host de origem.
    • IPinIP: O protocolo IP-in-IP encapsula pacotes IP para criar túneis entre dois roteadores. Um túnel IP-in-IP aparece como uma única interface, em vez de várias interfaces separadas.
    • TCP: O protocolo TCP (Transmission Control Protocol) permite que dois hosts se comuniquem e troquem fluxos de dados. Isso garante a entrega dos pacotes e assegura que sejam transmitidos e recebidos na ordem em que foram enviados.
    • EGP: O protocolo EGP (Exterior Gateway Protocol) permite que dois hosts de gateway vizinhos troquem informações de roteamento em uma rede de sistema autônoma.
    • IGP: O protocolo IGP (Interior Gateway Protocol) permite a troca de informações de roteamento entre gateways dentro de uma rede de sistema autônoma.
    • UDP: O protocolo UDP (User Datagram Protocol) é um protocolo de comunicação que transmite pacotes, mas não garante a sua entrega.
    • HMP: O protocolo HMP (Host Mapping Protocol) coleta informações de rede de vários hosts. Ele monitora hosts em toda a internet e dentro de uma única rede.
    • RDP: O protocolo RDP (Reliable Data Protocol) é semelhante ao protocolo TCP, garantindo a entrega de pacotes, mas sem exigir entrega sequencial.
    • IPv6:Rout: Cabeçalho de roteamento para IPv6.
    • IPv6:Frag: Cabeçalho de fragmento para IPv6.
    • RSVP: Atribui correspondência entre o pacote e o protocolo de reserva (RSVP).
    • IPv6:ICMP: O protocolo ICMP (Internet Control Message Protocol) permite que o gateway ou o host de destino se comunique com o host de origem.
    • OSPF: O protocolo OSPF (Open Shortest Path First) é um protocolo IGP (Interior Gateway Protocol) hierárquico de estado de vinculação para roteamento de rede.
    • PIM: Atribui correspondência entre o pacote e o protocolo PIM (Protocol Independent Multicast).
    • L2TP: O protocolo L2TP (Layer 2 Tunneling Protocol) suporta a criação de VPNs por ISPs.

  • Selecionar do ID: Insira um ID de protocolo de 0 a 255. Veja Números de Protocolo.

• ICMP: Selecione uma das opções a seguir na lista suspensa:

  • Qualquer um: Corresponde a todo o tráfego ICMP.

  • Selecionar da lista: Selecione uma das seguintes opções da lista ICMP:

    • Resposta Echo: A resposta que um dispositivo envia após receber uma solicitação de eco ICMP.
    • Destino inacessível: O pacote ICMP não conseguiu chegar ao seu destino.
    • Source Quench: Mensagem ICMP enviada por um roteador para aliviar o congestionamento da rede em ambientes com alta demanda.
    • Solicitação Echo: Uma mensagem enviada de um dispositivo para outro para verificar se eles conseguem se comunicar e medir o tempo que isso leva.
    • Anúncio de roteador: Uma mensagem que um dispositivo envia para anunciar sua disponibilidade como roteador.
    • Solicitação do roteador: Uma mensagem enviada por um host para solicitar informações do roteador.
    • Tempo excedido: Esta mensagem indica que o tempo de vida (TTL) do pacote ICMP expirou durante a transmissão.
    • Carimbo de data/hora: É possível adicionar carimbos de data/hora às mensagens ICMP para registrar quando foram enviadas.
    • Resposta com carimbo de data/hora: Quando um dispositivo recebe um pacote ICMP com um carimbo de data/hora, ele pode registrar o carimbo de data/hora e adicionar o campo Resposta com carimbo de data/hora ao pacote ICMP.
    • Traceroute: Mostra todos os roteadores pelos quais um pacote passa a caminho do seu destino.

  • Selecionar do ID: Insira um valor de 0 a 255 para o ID ICMP.

• Código de ICMP: Insira um valor entre 0 e 255. Consulte Parâmetros do protocolo ICMP (Internet Control Message Protocol).

• Flags de TCP: Você pode filtrar o tráfego TCP por sinalizadores que estejam Definidos ou Não definidos, como Urg, Ack, Psh, Rst, Syn e Fin. Selecione Não importa para ignorar os sinalizadores TCP.

Origem de configuração mostra a origem das configurações de IPv4 ACE.

IPv6 ACL & ACE

A guia IPv6 ACL & ACE mostra as ACLs baseadas em IPv6 configuradas no switch.

IPv6 ACL

Para adicionar uma nova ACL, clique em Adicionar, insira o nome da nova ACL com 4 a 30 letras e números e clique em Salvar.

Você pode ver os seguintes detalhes de IPv4 ACLs:

• Nome do Perfil: O nome da ACL.
• Origem da configuração: Exibe a origem das configurações da ACL especificada.

Para deletar ACLs, selecione as ACLs que deseja remover e clique em Deletar.

IPv6 ACE

Cada lista de controle de acesso (ACL) IPv6 contém até 16 regras individuais chamadas entradas de controle de acesso (ACE). Cada ACE é um conjunto de parâmetros para o tráfego de rede específico e a ação do switch quando identifica um tráfego correspondente.

Para criar uma nova IPv6 ACE, clique em Adicionar.

Para deletar ACEs, selecione os ACEs que deseja remover e clique em Deletar.

Para atualizar as configurações de um ACE, clique em Editar .

Você pode configurar as seguintes configurações:

• Nome da ACL: O ACL ao qual o ACE pertence.
• Sequência: O número de sequência indica a ordem em que o switch aplica a ACE. Escolha um valor de 1 a 2147483647, sendo 1 a primeira regra processada.
• Ação: A ação tomada pelo switch se um pacote corresponder aos critérios. Selecione Permitir para encaminhar o tráfego que corresponda aos critérios ACE ou Negar para abandoná-lo.
• Tipo de serviço: Permite definir o valor do ponto de código de serviços diferenciados (DSCP). Insira um valor entre 0 e 63. Consulte Ponto de código de serviços diferenciados (DSCP).
• Endereço de IP da Fonte: O endereço IP de origem do tráfego.
• Tamanho do prefixo de IPv6 de origem: O comprimento do prefixo IPv6 para o IPv6 de origem.
• Endereço de IP de Destino: O endereço IP de destino do tráfego.
• Tamanho do prefixo de IPv6 de destino: O comprimento do prefixo IPv6 para o IPv6 de destino.
• Intervalo de portas de destino: Selecione um intervalo de portas de destino para o tráfego. Consulte Intervalo de Portas.
• Intervalo de portas de origem: Selecione um intervalo de portas de origem para o tráfego. Consulte Intervalo de Portas.

• Protocolo: Selecione uma das seguintes opções na lista suspensa:

  • Qualquer um: Compatível com todos os protocolos.

  • Selecione da lista: Selecione um dos seguintes protocolos na Lista de protocolos:

    • TCP: O protocolo TCP (Transmission Control Protocol) permite que dois hosts se comuniquem e troquem fluxos de dados. Isso garante a entrega dos pacotes e assegura que sejam transmitidos e recebidos na ordem em que foram enviados.
    • UDP: O protocolo UDP (User Datagram Protocol) é um protocolo de comunicação que transmite pacotes, mas não garante a sua entrega.
    • IPv6:ICMP: O protocolo ICMP (Internet Control Message Protocol) permite que o gateway ou o host de destino se comunique com o host de origem.

  • Selecionar do ID: Insira um valor de 0 a 255 para o ID do protocolo. Veja Números de Protocolo.

• ICMP: Selecione uma das opções a seguir na lista suspensa:

  • Qualquer um: Corresponde a todo o tráfego ICMP.

  • Selecionar da lista: Selecione uma das seguintes opções da lista ICMP:

    • Destino inacessível: O pacote ICMP não conseguiu chegar ao seu destino.
    • Pacote muito grande: Isso indica que o pacote ICMP excede o MTU da rede e é muito grande para trafegar nessa rede.
    • Tempo excedido: Esta mensagem indica que o tempo de vida (TTL) do pacote ICMP expirou durante a transmissão.
    • Problema de parâmetro: O dispositivo não consegue interpretar um parâmetro inválido.
    • Solicitação Echo: Uma mensagem enviada de um dispositivo para outro para verificar se eles conseguem se comunicar e medir o tempo que isso leva.
    • Resposta Echo: A resposta que um dispositivo envia após receber uma solicitação de eco ICMP.
    • Solicitação do roteador: Uma mensagem enviada por um host para solicitar informações do roteador.
    • Anúncio de roteador: Uma mensagem que um dispositivo envia para anunciar sua disponibilidade como roteador.
    • Nd Ns: Esta é uma mensagem de anúncio de vizinho do protocolo IPv6 NDP (Neighbor Discovery Protocol).
    • Nd Na: Esta é uma mensagem de anúncio de vizinho IPv6 NDP.

  • Selecionar do ID: Insira um valor de 0 a 255 para o ID ICMP.

• Código de ICMP: Insira um valor entre 0 e 255. Consulte Parâmetros do protocolo ICMP (Internet Control Message Protocol).

• Flags de TCP: Você pode filtrar o tráfego TCP por sinalizadores que estejam Definidos ou Não definidos, como Urg, Ack, Psh, Rst, Syn e Fin. Selecione Não importa para ignorar os sinalizadores TCP.

Origem de configuração mostra a origem das configurações de IPv4 ACE.

Intervalo de portas e associação

A guia Intervalo de portas permite especificar intervalos de portas a serem usadas ​​em suas entradas de controle de acesso (ACE) IPv4 e IPv6. Esse recurso aumenta a segurança, permitindo que você use ACEs para bloquear uma grande variedade de portas ou permitir apenas uma pequena variedade para hosts com funções específicas.

Intervalo de Portas

Para criar um novo intervalo de portas, clique em Adicionar.

Você pode configurar as seguintes configurações:

• Nome: Insira um nome para o seu intervalo de portas.

  Tip

  Recomendamos um nome de intervalo de portas que identifique claramente as portas que ele contém. Você só verá esse nome ao selecionar um intervalo de portas para seus ACEs. Você não consegue ver as portas que contidas.

• Porta mínima: A porta inicial do seu intervalo.

• Porta máxima: A porta final do seu intervalo.

Origem de configuração mostra a origem das configurações do intervalo de portas.

Associação de porta

A associação de uma lista de controle de acesso (ACL) a portas aplica todas as regras definidas para a ACL a essas portas. Para portas que possuem uma ACL associada, o switch abandona todo o tráfego que não corresponde à ACL.

Você pode visualizar as seguintes informações das portas do switch:

• Porta: A porta à qual as ACLs estão vinculadas.
• MAC ACL: A MAC ACL associada à porta.
• IPv4 ACL: A IPv4 ACL associada à porta.
• IPv6 ACL: A IPv6 ACL associada à porta.

Origem de configuração mostra a origem das configurações de associação de portas.

Para associar ACLs, selecione a MAC ACL e IPv4 ACL ou IPv6 ACL que deseja vincular à porta nas listas suspensas. Selecione Nenhum para não atribuir nenhuma ACL à porta ou Não definido para usar as configurações de associação de porta na interface do switch local.

Clique em Atualizar para salvar suas alterações.