Para que todas las dudas se aclaren con respecto a las ACLs o Listas de Control de Acceso, se hará el siguiente ejemplo tomando en cuenta el último certamen que tuvimos en el ramo relacionado con las ACLs.
El mapa está configurado, así que, solamente agregaremos las listas de control de acceso.
En el ejercicio se entregaron varias restricciones a realizarse en la red, que son las siguientes:
1. Solamente el PC ADMINISTRADOR puede tener acceso vty a todos los routers.
2. Ni los servidores (WEB y DNS) ni el PC ADMINISTRADOR pueden responder a un PING desde cualquier origen. Todos los demás servicios son admitidos
3. La VLAN 60 (WIFI) solamente tiene acceso a los servidores WEB.
4. Solamente las dos primera IP utilizables de la VLAN 10 y VLAN 20 tienen acceso a la VLAN 30, el resto no.
5. La red LAN SB tendrá salida solamente si se dirige a los servidores, cualquier otro tráfico está prohibido
Para este ejemplo de configuración solamente tomaremos la segunda restricción, ya que la primera viene de regalo ya configurada, y es que ni los servidores (web y dns, ubicados en la VLAN 80) y ni el pc administrador (ubicado en la VLAN 70) puedan responder a un ping desde cualquier origen. Todos los demás servicios son admitidos.Hay que declarar las ACLs de manera que podamos denegar el ping y permitir a los servidores entregar sus servicios normalmente, entonces para eso debemos crear una ACLs extendida de tal manera que podamos trabajar con protocolos en la lista de control de acceso.
access-list 100 deny icmp any host 152.74.25.2 echo access-list 100 deny icmp any host 152.74.25.3 echoLas dos primeras ACLs quedarían así. Para entender como hacer el comando hay que tener claro el orden de las cosas ahi: access-list [número de la acl sea estandar o extendida] [permit o deny] [protocolo] [Ip de Origen] [Ip de Destino] [Tipo de Paquete]. En este caso: access-list 100 (extendida) deny(denegar) icmp (Internet Control Message Protocol) any host (De cualquier host origen) 152.74.25.2 (host destino) echo (tipo de paquete a bloquear, echo "ping").
Ahí ya estarían declaradas el denegar pero aun queda el poder entregar el servicio de Web y DNS, y para eso agregamos las siguientes lineas:
access-list 100 permit tcp any host 152.74.25.2 eq www access-list 100 permit udp any host 152.74.25.3 eq domainEn las cuales las únicas diferencias son que se permite, cambian los protocolos y al final en el tipo de paquetes le pone EQ (igual a, diciendole que sea asi para todos los paquetes con el siguiente numero de puerto) y WWW para identificar que son paquetes http. Lo mismo para el servidor DNS solamente que envés de tcp y WWW, es udp y DOMAIN. Todavia queda el computador administrador, pero ese es mas fácil.
access-list 101 deny icmp any host 152.74.25.10 echo access-list 101 permit ip any host 152.74.25.10Ya listas las ACLs y agregadas a la configuración del router es hora de asociarlas a las interfaces respectivas. En el mapa la Vlan 70 y 80 se encuentran en el RouterF por la interfaz 0/0. Por mi cuenta tenia mi propio teorema sobre como asignar las ACLs a las interfaces y lo hacia pensando en la interfaz como una puerta. Si quería hacer algo con los paquetes entrantes ponía la ACL como out y si quería hacer algo con los paquetes salientes la ponía como in , pero en no todos los casos funciona eso y para estar seguros haremos algo más.
Primero asignemos estas listas de control de acceso a sus interfaces, la 'acl' de los servidores va en la subinterfaz .80 del interfaz 0/0 del RouterF. Entonces el comando sería el siguiente:
ROUTERF(config)#interface fastEthernet 0/0.80 ROUTERF(config-subif)#ip access-group 100 outdentro de la interfaz se pone ese comando en el cual decimos mirando hacia donde pondremos la 'acl'. Los mismo para el pc administrador de la Vlan 70
ROUTERF(config)#interface fastEthernet 0/0.70 ROUTERF(config-subif)#ip access-group 101 outY para verificar que las access-lists están bien configuradas, se hará un ping desde cualquier equipo hacia los servidores y hacia el computador administrador. Después de eso en el RouterF en modo EXEC, se ejecuta el comando show access-lists y tiene que dar un resultado similar a:
ROUTERF#show access-lists
Standard IP access list 1
permit host 152.74.25.10
Extended IP access list 100
deny icmp any host 152.74.25.2 echo (8 match(es))
deny icmp any host 152.74.25.3 echo
permit tcp any host 152.74.25.2 eq www (5 match(es))
permit udp any host 152.74.25.3 eq domain (3 match(es))
Extended IP access list 101
deny icmp any host 152.74.25.10 echo
permit ip any host 152.74.25.10Cuando muestra match(es), significa que la access-list quedó bien configurada y funciona bien.Bueno un consejo al momento de hacer una ACL es tener bien claro, que es lo que se tiene que hacer y donde hacerlo. Recuerden que las ACL estándar se colocan lo más cerca del origen y las extendidas lo más cerca del destino.
Que nos vaya bonito, Chaus!
SI NO TIENEN EL MAPA PÍDANME LO POR INTERNO.-
No hay comentarios:
Publicar un comentario