Professional Documents
Culture Documents
Configuración
ACLs
Agenda
A. Introducción
B. Tipos de Reglas
C. Superposición de Reglas
D. Configuración de Reglas
E. Contadores y Logging
F. Troubleshooting
G. Laboratorio 1
Introducción
Access Control Lists
Introducción
A. Implementadas en software
B. No hay opción para asignar tráfico ICMP a un perfil de calidad
de servicio.
C. Las reglas ICMP sólo son efectivas si el tráfico es ruteado por
la CPU.
D. Precedencia de reglas ICMP:
– Cuanto más específica sea la dirección de destino de la regla, mayor
precedencia tendrá.
Access Control Lists
Regla Default
A. Regla IP:
create access-list <name> ip destination [<dst-
ipaddress>/<dst_mask> | any] source
[<src_ipaddress>/<src_mask> | any] [permit
<qosprofile> | deny] ports [<portlist> | any]
{precedence <precedence_num>}
B. Ejemplo de regla ACL:
create access-list acl1 ip dest 192.10.1.0/24
source any permit qp3 ports any precedence 10
C. Ejemplo de regla de Flujo:
create access-list flow1 ip dest 192.10.2.0/24
source any permit qp3 ports any
Access Control Lists
Configuración de Reglas ACL y de Flujo
A. Regla TCP:
create access-list <name> tcp destination
[<dst-ipaddress> /<dst_mask> | any] ip-port
[<dst_port> | range <dst_port_min>
<dst_port_max> | any] source
[<src_ipaddress>/<src_mask> | any] ip-port
[<src_port> | range <src_port_min>
<src_port_max> | any] [permit <qosprofile> |
permit-established | deny] ports [<portlist> |
any] {precedence <precedence_num>}
B. Ejemplo de regla ACL:
create access-list acl2 tcp dest
192.10.1.100/32 ip-port range 80 100 source
192.10.2.0/24 ip-port 50 permit qp3 port 3:1
C. Ejemplo de regla de Flujo:
create access-list flow2 tcp dest
192.10.3.100/32 ip-port 80 source any ip-port
any permit qp5 ports any
Access Control Lists
Configuración de Reglas ACL y de Flujo
A. Regla UDP:
create access-list <name> udp destination
[<dst-ipaddress> /<dst_mask> | any] ip-port
[<dst_port> | range <dst_port_min>
<dst_port_max> | any] source
[<src_ipaddress>/<src_mask> | any] ip-port
[<src_port> | range <src_port_min>
<src_port_max> | any] [permit <qosprofile> |
deny] ports [<portlist> | any] {precedence
<precedence_num>}
B. Ejemplo de regla ACL:
create access-list acl3 udp dest 192.10.1.0/24
ip-port 80 source 192.10.2.0/24 ip-port any
deny ports any precedence 125
C. Ejemplo de regla de Flujo:
create access-list flow3 udp dest any ip-port
any source 192.10.4.200/32 ip-port any permit
qp4 ports any
Access Control Lists
Configuración de Reglas ICMP
A. Regla ICMP:
create access-list <name> icmp destination
[<dst-ipaddress>/<mask> | any] source
[<src_ipaddress>/<mask> | any] type <icmp_type>
code <icmp_code> [permit | deny] {ports
<portlist>} {precedence <number>}
– ICMP Echo request : type 8, code 0
– ICMP Echo reply : type 0, code 0
– ICMP wildcard: type any, code any
B. Ejemplo:
create access-list perm_icmp icmp destination
10.1.0.1/32 source 10.102.0.201/32 type 8 code
0 permit ports any precedence 50
Contadores
y
Logging
Access Control Lists
Contadores
Acción MAC/IP:port IP
Fecha y
Drop de de
hora
Forward Origen Destino
Troubleshooting
Routing IP
Troubleshooting
A. El comando
show access-list
permite ver configuración importante
* Summit1iTx:71 # sh access-list
Rule Dest/mask:L4DP Src/mask:L4SP Flags Hits
acl1 192.10.1.0/24: 0 0.0.0.0/ 0: 0 I-P-N 0
perm_icm 10.1.0.1/32: 0 10.102.0.201/32:2048 M-P-X 0
acl3 192.10.1.0/24: 80 192.10.2.0/24: 0 U-D-X 0
flow1 192.10.2.0/24: 0 0.0.0.0/ 0: 0 I-P-X 0
acl2 192.10.1.100/32: 80 192.10.2.0/24: 50 T-P-N 0
flow2 192.10.3.100/32: 80 0.0.0.0/ 0: 0 E-P-X 0
flow3 192.10.5.0/24: 0 192.10.4.200/32: 0 U-P-X 0
Flags: I=IP, T=TCP, U=UDP, E=Established, M=ICMP
P=Permit Rule, D=Deny Rule
N=Port Specific Rule, X=Any Port
Routing IP
Troubleshooting
A. El comando
show access-list <rule_name>
permite ver configuración importante
* Summit1iTx:76 # sh access-list acl1
acl1 Estos flags indican:
Protocol: ip Action: permit qp3 a: regla ACL
Destination: 192.10.1.0/24 any f: regla de Flujo TCP/UDP
Source: any any q: regla de Flujo IP
Precedence: 10 c: contador habilitado
Rule Number: 252 L: logging habilitado
Hit Count: 0 Flags: acL
Ports:
2
* Summit1iTx:91 # sh access-list perm_icmp Indica las puertas
perm_icmp de ingreso sobre las
Protocol: icmp Action: permit Log: No que se aplica la
Destination: 10.1.0.1/32 regla
Source: 10.102.0.201/32
Hit Count: 0 icmp type: 8 icmp code: 0 Precedence: 50
Ports:
any
Laboratorio 1
Laboratorio 1
Access Control Lists
Objetivo
B. Aprender a limitar tráfico IP
C. Aprender a limitar tráfico TCP/UDP
D. Aprender a limitar tráfico ICMP
E. Aprender a priorizar tráfico
Laboratorio 1-A
ACLs IP
VLAN Servers
10.1.0.1/24
VLAN D2 VLAN D1
10.0.2.1/24 10.0.1.1/24
Laboratorio 1-A
ACLs IP
Unconfigure switch
Config default del port all
Create vlan servers
Create vlan d1
Create vlan d2
Config servers ip 10.1.0.1/24
Config d1 ip 10.0.1.1/24
Config d2 ip 10.0.2.1/24
Config servers add ports <portlist>
Config d1 add ports <portlist>
Config d2 add ports <portlist>
Enable ipforward
# Permitir todo el tráfico entre las VLAN departamentales y la VLAN Servers
Create access-list ip0 ip destination 10.1.0.0/24 source any permit ports
any precedence 100
create access-list ip1 ip destination any source 10.1.0.0/24 permit ports
any precedence 200
# Impedir todo tráfico entre VLANs departamentales
create access-list deny-all ip dest any source any deny ports any
# Ver por consola los paquetes permitidos y rechazados
Enable log display
Enable ip0 log
Enable ip1 log
Enable deny-all log
Laboratorio 1-B
ACLs TCP
VLAN Management
10.1.0.1/24
VLAN D2 VLAN D1
10.0.2.1/24 10.0.1.1/24
Laboratorio 1-B
ACLs TCP
Unconfigure switch
Config default del port all
Create vlan servers
Create vlan d1
Create vlan d2
Config servers ip 10.1.0.1/24
Config d1 ip 10.0.1.1/24
Config d2 ip 10.0.2.1/24
Config servers add ports <portlist>
Config d1 add ports <portlist>
Config d2 add ports <portlist>
Enable ipforward
# Permitir el tráfico Telnet entre la VLAN Management y cualquier nodo de
las VLAN departamentales
create access-list tel0 tcp dest any ip-port 23 source 10.1.0.0/24 ip-port
any permit ports any precedence 100
create access-list tel1 tcp dest 10.1.0.100/32 ip-port any source any ip-
port 23 permit-established ports any precedence 200
# Impedir todo otro tráfico Telnet entre las VLANs
create access-list deny-tel0 tcp dest 10.0.0.0/16 ip-port 23 source
10.0.0.0/16 ip-port any deny ports any precedence 300
create access-list deny-tel1 tcp dest 10.0.0.0/16 ip-port any source
10.0.0.0/16 ip-port 23 deny ports any precedence 400
Laboratorio 1-C
ACLs ICMP
VLAN Servers
10.1.0.1/24
VLAN D2 VLAN D1
10.0.2.1/24 10.0.1.1/24
Laboratorio 1-C
ACLs ICMP
Unconfigure switch
Config default del port all
Create vlan servers
Create vlan d1
Create vlan d2
Config servers ip 10.1.0.1/24
Config d1 ip 10.0.1.1/24
Config d2 ip 10.0.2.1/24
Config servers add ports <portlist>
Config d1 add ports <portlist>
Config d2 add ports <portlist>
Enable ipforward
# Permitir ping desde la VLAN Core a cualquier otra VLAN.
create access-list ping0 icmp destination any source 10.1.0.0/24 type 8 code
0 permit ports any precedence 1100
create access-list ping1 icmp destination 10.1.0.0/24 source any type 0 code
0 permit ports any precedence 1200
# Permitir ping desde cualquier VLAN a la dirección 10.1.0.100.
create access-list ping2 icmp destination 10.1.0.100/32 source any type 8
code 0 permit ports any precedence 1300
create access-list ping3 icmp destination any source 10.1.0.100/32 type 0
code 0 permit ports any precedence 1400
# Impedir cualquier otro ping.
create access-list deny-ping icmp dest any source any type any code any deny
ports any precedence 25600
Laboratorio 1-D
Priorización de Tráfico
VLAN Servers
10.1.0.1/24
VLAN D2 VLAN D1
10.0.2.1/24 10.0.1.1/24
Laboratorio 1-D
Priorización de Tráfico
Unconfigure switch
Config default del port all
Create vlan servers
Create vlan d1
Create vlan d2
Config servers ip 10.1.0.1/24
Config d1 ip 10.0.1.1/24
Config d2 ip 10.0.2.1/24
Config servers add ports <portlist>
Config d1 add ports <portlist>
Config d2 add ports <portlist>
Enable ipforward
# Asignar al tráfico Telnet el perfil de QoS QP4
create access-list tel0 tcp dest any ip-port 23 source any ip-port any
permit qp4 ports any precedence 100
create access-list tel1 tcp dest any ip-port any source any ip-port 23
permit qp4 ports any precedence 200
# Asignar al tráfico HTTP el perfil QP5
create access-list http0 tcp dest any ip-port 80 source any ip-port any
permit qp5 ports any precedence 300
create access-list http1 tcp dest any ip-port any source any ip-port 80
permit qp5 ports any precedence 400
# Asignar el resto del tráfico al perfil QP1
create access-list allqp1 ip dest any source any permit qp1 ports any
¡ Fin !