Extreme Training

Configuración
ACLs
Agenda

A. Introducción
B. Tipos de Reglas
C. Superposición de Reglas
D. Configuración de Reglas
E. Contadores y Logging
F. Troubleshooting
G. Laboratorio 1
Introducción
Access Control Lists
Introducción

A. Las Listas de Control de Acceso IP (ACLs) consisten en reglas

de acceso IP y se usan para decidir el filtrado o transmisión de
paquetes sobre el tráfico entrante.
B. El uso de Access Control Lists (excepto las reglas ICMP) se
realiza por hardware y no tiene impacto sobre la performance
del switch.
C. Cada paquete que ingresa por una puerta es comparado con la
lista de acceso, en orden secuencial.
D. Si el paquete coincide con una regla del tipo deny, es
descartado.
E. Si el paquete coincide con una regla del tipo permit, es
transmitido.
F. Una regla del tipo permit tambien puede aplicar al paquete un
perfil de calidad de servicio.
Tipos
de
Reglas
Access Control Lists
Tipos de Reglas

A. Las reglas de una Lista de Acceso IP consisten en una

combinación de los siguientes parámetros:
– Dirección IP de origen y máscara
– Dirección IP de destino y máscara
– Rango de puertas TCP o UDP de origen
– Rango de puertas TCP o UDP de destino
– Puerta física de origen (opcional)
– Número de Precedencia (opcional)
B. Existen tres tipos de reglas en las listas de acceso.
– Reglas ACL: incluyen reglas para tráfico IP, UDP, TCP, y TCP-
Established. El número máximo permitido de estas reglas es de 255.
(En el switch BlackDiamond este límite es de 255 reglas por módulo).
– Reglas de Flujo: incluye reglas para tráfico IP, UCP y TDP rules. El
número máximo permitido de estas reglas es de 1024, menos la
cantidad de reglas ACL definidas.
– Reglas ICMP: sólo reglas para tráfico ICMP. Estas reglas se
implementan por software.
Access Control Lists
Reglas ACL

A. Una regla es de tipo ACL si se cumple alguna de las siguientes

condiciones:
– Es la regla Default
– Es una regla TCP permit-established
– Se ha especificado un número de precedencia
– Se ha especificado una puerta física de ingreso
– Se ha especificado un rango de puertas L4
B. Precedencia de reglas ACL:
– LA precedencia está fijada por el número de precedencia indicado en la
regla.
– Los números de precedencia varían entre 1 y 25600.
– La precedencia más alta es el número 1.
Access Control Lists
Reglas de Flujo

A. Las reglas de Flujo tienen las siguientes restricciones:

– La dirección IP debe ser any o estar completamente especificada
(máscara de 32 bits)
– Los puertos L4 de origen y destino deben ser any o estar
completamente especificados (máscara de 32 bits). No se permiten
rangos.
– No se puede especificar una puerta física de ingreso
– No se puede especificar un número de precedencia
B. Precedencia de reglas de Flujo:
– Cuanto más específica sea la dirección de destino de la regla, mayor
precedencia tendrá.
Access Control Lists
Reglas ICMP

A. Implementadas en software
B. No hay opción para asignar tráfico ICMP a un perfil de calidad
de servicio.
C. Las reglas ICMP sólo son efectivas si el tráfico es ruteado por
la CPU.
D. Precedencia de reglas ICMP:
– Cuanto más específica sea la dirección de destino de la regla, mayor
precedencia tendrá.
Access Control Lists
Regla Default

A. Si un paquete no concuerda con ninguna regla establecida, el

paquete es transmitido asignándosele el perfil de QoS QP1.
B. Si se desea que el paquete sea descartado o que sea
transmitido con otro perfil de QoS, es necesario agregar una
regla Default.
C. Una regla Default es aquella que especifica el protocolo IP,
contiene any en los campos de dirección IP de origen y
destino y no incluye información de Capa 4.
D. La regla Default es siempre la última regla en ser evaluada y
tiene reservado el número 0.
E. Ejemplo de una regla Default que descarte todo el tráfico:
create access-list deny-all ip destination any
source any deny port any
F. Ejemplo de una regla Default que permita todo el tráfico con
perfil QP4:
create access-list deny-all ip destination any
source any permit qp4 port any
Superposición
de
Reglas
Access Control Lists
Superposición de Reglas

A. Sólo se pueden configurar reglas superpuestas si todas ellas

tienen un número de precedencia.
B. Si se intenta introducir una regla con número de precedencia
que se superponga con reglas existentes, sin número de
precedencia, se producirá un error y la regla no será guardada.
C. Si se intenta introducir una regla sin número de precedencia
que se superponga con reglas existentes, con o sin número de
precedencia, se producirá un error y la regla no será guardada.
Configuración
de
Reglas
Access Control Lists
Configuración de Reglas ACL y de Flujo

A. Regla IP:
create access-list <name> ip destination [<dst-
ipaddress>/<dst_mask> | any] source
[<src_ipaddress>/<src_mask> | any] [permit
<qosprofile> | deny] ports [<portlist> | any]
{precedence <precedence_num>}
B. Ejemplo de regla ACL:
create access-list acl1 ip dest 192.10.1.0/24
source any permit qp3 ports any precedence 10
C. Ejemplo de regla de Flujo:
create access-list flow1 ip dest 192.10.2.0/24
source any permit qp3 ports any
Access Control Lists
Configuración de Reglas ACL y de Flujo

A. Regla TCP:
create access-list <name> tcp destination
[<dst-ipaddress> /<dst_mask> | any] ip-port
[<dst_port> | range <dst_port_min>
<dst_port_max> | any] source
[<src_ipaddress>/<src_mask> | any] ip-port
[<src_port> | range <src_port_min>
<src_port_max> | any] [permit <qosprofile> |
permit-established | deny] ports [<portlist> |
any] {precedence <precedence_num>}
B. Ejemplo de regla ACL:
create access-list acl2 tcp dest
192.10.1.100/32 ip-port range 80 100 source
192.10.2.0/24 ip-port 50 permit qp3 port 3:1
C. Ejemplo de regla de Flujo:
create access-list flow2 tcp dest
192.10.3.100/32 ip-port 80 source any ip-port
any permit qp5 ports any
Access Control Lists
Configuración de Reglas ACL y de Flujo

A. Regla UDP:
create access-list <name> udp destination
[<dst-ipaddress> /<dst_mask> | any] ip-port
[<dst_port> | range <dst_port_min>
<dst_port_max> | any] source
[<src_ipaddress>/<src_mask> | any] ip-port
[<src_port> | range <src_port_min>
<src_port_max> | any] [permit <qosprofile> |
deny] ports [<portlist> | any] {precedence
<precedence_num>}
B. Ejemplo de regla ACL:
create access-list acl3 udp dest 192.10.1.0/24
ip-port 80 source 192.10.2.0/24 ip-port any
deny ports any precedence 125
C. Ejemplo de regla de Flujo:
create access-list flow3 udp dest any ip-port
any source 192.10.4.200/32 ip-port any permit
qp4 ports any
Access Control Lists
Configuración de Reglas ICMP

A. Regla ICMP:
create access-list <name> icmp destination
[<dst-ipaddress>/<mask> | any] source
[<src_ipaddress>/<mask> | any] type <icmp_type>
code <icmp_code> [permit | deny] {ports
<portlist>} {precedence <number>}
– ICMP Echo request : type 8, code 0
– ICMP Echo reply : type 0, code 0
– ICMP wildcard: type any, code any
B. Ejemplo:
create access-list perm_icmp icmp destination
10.1.0.1/32 source 10.102.0.201/32 type 8 code
0 permit ports any precedence 50
Contadores
y
Logging
Access Control Lists
Contadores

A. Cada regla lleva asociado un contador de “hits”, que se

incrementa cada vez que la regla es aplicada a un paquete.
B. Ese contador está habilitado por defecto cada vez que se crea
una regla. Los comandos para habilitarlo y deshabilitarlo son:
enable access-list <name> counter
disable access-list <name> counter
C. El comando
show access-list-monitor
permite ver el estado de los contadores en tiempo real
Access List Proto Destination Source Hit Count
=========================================================================
flow1 ip 192.10.2.0/24 0.0.0.0/0 154
acl2 tcp 192.10.1.100/32 192.10.2.0/24 32
flow2 tcp 192.10.3.100/32 0.0.0.0/0 8324
acl3 udp 192.10.1.0/24 192.10.2.0/24 2
perm_icmp icmp 10.1.0.1/32 10.102.0.201/32 132
flow3 udp 192.10.5.0/24 192.10.4.200/32 65
Access Control Lists
Logging

A. Cada regla cuenta con la posibilidad de loggear un mensaje al

log del switch cada vez que la regla es aplicada a un paquete.
B. Este logging se encuentra deshabilitado por defecto cada vez
que se crea una nueva regla. Los comandos para habilitarlo y
deshabilitarlo son:
enable access-list <name> log
disable access-list <name> log
C. Los mensajes enviados al log son del tipo:
08/23/2001 13:52.05 <INFO:KERN> IP Drop: 2-4092 00:00:86:57:56:38/10.0.2.100->10.0.1.100
08/23/2001 13:53.21 <INFO:KERN> Pkt Fwd: 2-4092 00:00:86:57:56:38/10.0.2.100:1028->10.1.0.100:23
08/23/2001 13:53.21 <INFO:KERN> Pkt Fwd: 6-4094 08:00:02:32:66:fa/10.1.0.100:23->10.0.2.100:1028

Acción MAC/IP:port IP
Fecha y
Drop de de
hora
Forward Origen Destino
Troubleshooting
Routing IP
Troubleshooting

A. El comando
show access-list
permite ver configuración importante

* Summit1iTx:71 # sh access-list
Rule Dest/mask:L4DP Src/mask:L4SP Flags Hits
acl1 192.10.1.0/24: 0 0.0.0.0/ 0: 0 I-P-N 0
perm_icm 10.1.0.1/32: 0 10.102.0.201/32:2048 M-P-X 0
acl3 192.10.1.0/24: 80 192.10.2.0/24: 0 U-D-X 0
flow1 192.10.2.0/24: 0 0.0.0.0/ 0: 0 I-P-X 0
acl2 192.10.1.100/32: 80 192.10.2.0/24: 50 T-P-N 0
flow2 192.10.3.100/32: 80 0.0.0.0/ 0: 0 E-P-X 0
flow3 192.10.5.0/24: 0 192.10.4.200/32: 0 U-P-X 0
Flags: I=IP, T=TCP, U=UDP, E=Established, M=ICMP
P=Permit Rule, D=Deny Rule
N=Port Specific Rule, X=Any Port
Routing IP
Troubleshooting

A. El comando
show access-list <rule_name>
permite ver configuración importante
* Summit1iTx:76 # sh access-list acl1
acl1 Estos flags indican:
Protocol: ip Action: permit qp3 a: regla ACL
Destination: 192.10.1.0/24 any f: regla de Flujo TCP/UDP
Source: any any q: regla de Flujo IP
Precedence: 10 c: contador habilitado
Rule Number: 252 L: logging habilitado
Hit Count: 0 Flags: acL
Ports:
2
* Summit1iTx:91 # sh access-list perm_icmp Indica las puertas
perm_icmp de ingreso sobre las
Protocol: icmp Action: permit Log: No que se aplica la
Destination: 10.1.0.1/32 regla
Source: 10.102.0.201/32
Hit Count: 0 icmp type: 8 icmp code: 0 Precedence: 50
Ports:
any
Laboratorio 1
Laboratorio 1
Access Control Lists

Objetivo
B. Aprender a limitar tráfico IP
C. Aprender a limitar tráfico TCP/UDP
D. Aprender a limitar tráfico ICMP
E. Aprender a priorizar tráfico
Laboratorio 1-A
ACLs IP

A. Crear las VLANs correspondientes y configurarlas

B. Habilitar ruteo
C. Verificar la conectividad entre VLANs.
D. Permitir todo el tráfico entre las VLAN departamentales y la
VLAN Servers.
E. Impedir todo tráfico entre VLANs departamentales.
F. Verificar la conectividad entre VLANs. No usar ping. ¿Por qué?
G. Monitorear la operación de los ACLs

VLAN Servers
10.1.0.1/24

VLAN D2 VLAN D1
10.0.2.1/24 10.0.1.1/24
Laboratorio 1-A
ACLs IP
Unconfigure switch
Config default del port all
Create vlan servers
Create vlan d1
Create vlan d2
Config servers ip 10.1.0.1/24
Config d1 ip 10.0.1.1/24
Config d2 ip 10.0.2.1/24
Config servers add ports <portlist>
Config d1 add ports <portlist>
Config d2 add ports <portlist>
Enable ipforward
# Permitir todo el tráfico entre las VLAN departamentales y la VLAN Servers
Create access-list ip0 ip destination 10.1.0.0/24 source any permit ports
any precedence 100
create access-list ip1 ip destination any source 10.1.0.0/24 permit ports
any precedence 200
# Impedir todo tráfico entre VLANs departamentales
create access-list deny-all ip dest any source any deny ports any
# Ver por consola los paquetes permitidos y rechazados
Enable log display
Enable ip0 log
Enable ip1 log
Enable deny-all log
Laboratorio 1-B
ACLs TCP

A. Crear las VLANs correspondientes y configurarlas

B. Habilitar ruteo
C. Verificar la conectividad entre VLANs.
D. Permitir el tráfico telnet desde la VLAN Management a
cualquier nodo de las VLANs departamentales
E. Impedir todo otro tráfico telnet entre VLANs.

VLAN Management
10.1.0.1/24

VLAN D2 VLAN D1
10.0.2.1/24 10.0.1.1/24
Laboratorio 1-B
ACLs TCP
Unconfigure switch
Config default del port all
Create vlan servers
Create vlan d1
Create vlan d2
Config servers ip 10.1.0.1/24
Config d1 ip 10.0.1.1/24
Config d2 ip 10.0.2.1/24
Config servers add ports <portlist>
Config d1 add ports <portlist>
Config d2 add ports <portlist>
Enable ipforward
# Permitir el tráfico Telnet entre la VLAN Management y cualquier nodo de
las VLAN departamentales
create access-list tel0 tcp dest any ip-port 23 source 10.1.0.0/24 ip-port
any permit ports any precedence 100
create access-list tel1 tcp dest 10.1.0.100/32 ip-port any source any ip-
port 23 permit-established ports any precedence 200
# Impedir todo otro tráfico Telnet entre las VLANs
create access-list deny-tel0 tcp dest 10.0.0.0/16 ip-port 23 source
10.0.0.0/16 ip-port any deny ports any precedence 300
create access-list deny-tel1 tcp dest 10.0.0.0/16 ip-port any source
10.0.0.0/16 ip-port 23 deny ports any precedence 400
Laboratorio 1-C
ACLs ICMP

A. Crear las VLANs correspondientes y configurarlas

B. Habilitar ruteo
C. Verificar la conectividad entre VLANs.
D. Permitir ping desde la VLAN Management a cualquier otra
VLAN.
E. Permitir ping desde cualquier VLAN a la dirección 10.1.0.100.
F. Impedir cualquier otro ping.
G. Verificar la conectividad entre VLANs.

VLAN Servers
10.1.0.1/24

VLAN D2 VLAN D1
10.0.2.1/24 10.0.1.1/24
Laboratorio 1-C
ACLs ICMP
Unconfigure switch
Config default del port all
Create vlan servers
Create vlan d1
Create vlan d2
Config servers ip 10.1.0.1/24
Config d1 ip 10.0.1.1/24
Config d2 ip 10.0.2.1/24
Config servers add ports <portlist>
Config d1 add ports <portlist>
Config d2 add ports <portlist>
Enable ipforward
# Permitir ping desde la VLAN Core a cualquier otra VLAN.
create access-list ping0 icmp destination any source 10.1.0.0/24 type 8 code
0 permit ports any precedence 1100
create access-list ping1 icmp destination 10.1.0.0/24 source any type 0 code
0 permit ports any precedence 1200
# Permitir ping desde cualquier VLAN a la dirección 10.1.0.100.
create access-list ping2 icmp destination 10.1.0.100/32 source any type 8
code 0 permit ports any precedence 1300
create access-list ping3 icmp destination any source 10.1.0.100/32 type 0
code 0 permit ports any precedence 1400
# Impedir cualquier otro ping.
create access-list deny-ping icmp dest any source any type any code any deny
ports any precedence 25600
Laboratorio 1-D
Priorización de Tráfico

A. Crear las VLANs correspondientes y configurarlas

B. Habilitar ruteo
C. Conectar un Web Server y un Telnet Server a la VLAN Servers
D. Conectar PCs a las otras VLANs y generar tráfico
E. Asignar al tráfico Telnet el perfil de QoS QP4
F. Asignar al tráfico HTTP el perfil QP5
G. Asignar al resto del tráfico el perfil QP1

VLAN Servers
10.1.0.1/24

VLAN D2 VLAN D1
10.0.2.1/24 10.0.1.1/24
Laboratorio 1-D
Priorización de Tráfico
Unconfigure switch
Config default del port all
Create vlan servers
Create vlan d1
Create vlan d2
Config servers ip 10.1.0.1/24
Config d1 ip 10.0.1.1/24
Config d2 ip 10.0.2.1/24
Config servers add ports <portlist>
Config d1 add ports <portlist>
Config d2 add ports <portlist>
Enable ipforward
# Asignar al tráfico Telnet el perfil de QoS QP4
create access-list tel0 tcp dest any ip-port 23 source any ip-port any
permit qp4 ports any precedence 100
create access-list tel1 tcp dest any ip-port any source any ip-port 23
permit qp4 ports any precedence 200
# Asignar al tráfico HTTP el perfil QP5
create access-list http0 tcp dest any ip-port 80 source any ip-port any
permit qp5 ports any precedence 300
create access-list http1 tcp dest any ip-port any source any ip-port 80
permit qp5 ports any precedence 400
# Asignar el resto del tráfico al perfil QP1
create access-list allqp1 ip dest any source any permit qp1 ports any
¡ Fin !