Hoy explicaré un pequeño ejemplo de Access List en un Switch Cisco 3750 de nivel 3, en que un servidor (192.111.222.10) pueda acceder a unas impresoras por el protocolo tcp de una vlan (192.111.14.102, 192.111.14.104 y 192.111.14.105) a unos pc de otra vlan, por tcp y udp.
La configuración de las Vlan serán las siguientes:
interface Vlan14
description IMPRESORASTEST
ip address 192.111.14.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Vlan12
description PCSTEST
ip address 192.111.14.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Vlan222
description PROVEEDOR
ip address 192.111.222.1 255.255.255.0
ip access-group PERMIT_PROVEEDOR in
no ip redirects
no ip unreachables
no ip proxy-arp
!
Explicaré esta última que engloba las anteriores con algún comando más:
Nombre de la Vlan: Vlan222
Le damos una descripción: PROVEEDOR
Donde definimos el rango con el que trabajar: 192.111.222.X
La puerta de enlace que va a tener: 192.111.222.1
Que se aplicará a toda la información de entrada: in
El añadir la línea "ip access-group PERMIT_PROVEEDOR in" hace que se aplique a esta vlan la ACL.
Ahora vamos a crear la Access List.
Pondrémos el "remark" para añadir comentarios y hacer más visual los comandos.
ip access-list extended PERMIT_PROVEEDOR
remark PROVEEDOR_VPN
permit tcp host 192.111.222.10 host 172.77.1.180 established
Damos acceso al proveedor a través de una VPN, 172.77.1.180 ip que le asigna nuestro Firewall, hasta el servidor dentro de nuestra red (192.111.222.10).
remark PC_ACCESO_PROVEEDOR
permit tcp host 192.111.222.10 host 192.111.12.10
permit tcp host 192.111.222.10 host 192.111.12.11
permit udp host 192.111.222.10 host 192.111.12.10
permit udp host 192.111.222.10 host 192.111.12.11
remark PROVEEDOR_ACCESO_PRN
permit tcp host 192.111.222.10 host 192.111.14.102
permit tcp host 192.111.222.10 host 192.111.14.103
permit tcp host 192.111.222.10 host 192.111.14.105
deny ip any any
!
Hay que tener presente que no hemos activado el protocolo icmp, así que no podremos hacer ping para verificar que está correcto, bastará con imprimir o compartir carpetas entre host para ver que todo funciona.
Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).
Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).
