Cómo configurar las Listas de Control de Acceso (ACL) en un switch de Edimax

Escrito por Sergio De Luz

La semana pasada os enseñamos cómo configurar una red con varias VLANs, y que a su vez, pudiéramos tener varias redes Wi-Fi asociando cada SSID a una VLAN determinada. Hoy, tomando como base el montaje de la semana pasada, os vamos a enseñar cómo configurar las listas de control de acceso (ACL) de un switch Edimax, para permitir o denegar el tráfico entrante o saliente de las diferentes redes que teníamos.

Lo primero que debemos tener claro es la red que montamos la semana pasada, donde teníamos un total de 3 VLANs con 3 subredes diferentes, y todas ellas usando como «router» un switch L3 con funciones de capa de red, y por supuesto, con su correspondiente servidor DHCP para brindar de direccionamiento IP a todos los equipos de la propia red.

El switch utilizado es el mismo del montaje anterior, el modelo GS-5416PLC. En la sección de «ACL» es donde deberemos crear las diferentes listas de control de acceso, para posteriormente asignarlas a las diferentes interfaces físicas. En la zona «IPv4 ACL» es donde crearemos las ACL, para posteriormente en «IPv4 ACE» configurar las diferentes reglas de esta ACL, y por último, en «ACL Binding» enlazar estas ACL con las interfaces físicas del switch.

Entramos en la sección de «IPv4 ACL», y lo primero que debemos hacer es poner un nombre a la ACL, y después pinchamos en «Apply». Automáticamente nos aparecerá en la parte inferior, donde tendremos el listado de todas las ACL que hayamos creado.

En la sección de «IPv4 ACE» es donde deberemos crear las diferentes listas de control de acceso, configurando un número de secuencia, una acción (permitir, denegar o «shutdown» que apaga el puerto al recibir coincidencia), qué protocolo vamos a usar, direccionamiento IP de origen de destino, puertos de origen y destino (si usamos protocolos de capa de transporte), y otra información como ToS y más.

Para nuestro ejemplo, hemos bloqueado el ICMP de la IP 192.168.10.2 para que no pueda enviar paquetes ICMP a ninguna dirección de destino. Si solamente quisiéramos bloquear el «ping», también podríamos hacerlo bloqueando el ICMP de tipo echo-request. Debemos tener en cuenta que debemos indicar al menos un «permit» para que haya tráfico, ya que sino, bloqueará todo por defecto.

Una vez que hayamos creado la regla en la ACL que hemos añadido, debemos usarla en un puerto físico. Para realizar esto, nos vamos a la sección de «ACL Binding» y seleccionamos la ACL que hemos creado que está en «IPv4 ACL». Una vez que pinchemos en «Apply», nos saldrá el listado de todos los puertos, seleccionamos uno o varios puertos y pinchamos en «Binding» para poder enlazar la ACL a esos puertos.

La aplicación de la ACL se realiza instantáneamente, no hay que reiniciar el switch ni guardar la configuración actual. Tal y como podéis ver, antes de aplicar la ACL podemos hacer un ping sin problemas, pero después de aplicar la ACL en el puerto, no podremos realizar un ping.

Este switch también nos permite bloquear a nivel de IP, de esta forma, podremos bloquear el acceso desde una determinada red (VLAN 10) a otra red (VLAN 20), de tal forma que no se puedan comunicar de ninguna forma. A continuación, podéis ver esta regla de denegación:

Tal y como podéis ver, antes de aplicar la ACL podemos hacer un ping sin problemas al gateway de la otra subred, pero después de aplicar la ACL en el puerto, no podremos realizar un ping a dicho gateway.

Gracias a la función de ACL del switch de Edimax, vamos a poder permitir, denegar e incluso apagar el puerto si se recibe un determinado tráfico que coincida con esta lista de control de acceso que hemos creado.

Os recomendamos visitar nuestra sección Edimax Pro donde encontraréis análisis y manuales de equipos Edimax. También podéis visitar nuestra página dedicada a Edimax donde encontraréis todos nuestros análisis ordenados por categorías (routers, AP, PLC, cámaras IP etc).