lunes, 29 de octubre de 2012

ACL Cisco básica

Hoy explicaré un pequeño ejemplo de Access List en un Switch Cisco 3750 de nivel 3, en que un servidor (192.111.222.10) pueda acceder a unas impresoras por el protocolo tcp de una vlan (192.111.14.102, 192.111.14.104 y 192.111.14.105) a unos pc de otra vlan, por tcp y udp.

Así afinamos un poco más nuestra seguridad.

La configuración de las Vlan serán las siguientes:

interface Vlan14
description IMPRESORASTEST
ip address 192.111.14.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!

interface Vlan12
description PCSTEST
ip address 192.111.14.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!


interface Vlan222
description PROVEEDOR
ip address 192.111.222.1 255.255.255.0
ip access-group PERMIT_PROVEEDOR in
no ip redirects
no ip unreachables
no ip proxy-arp
!

Explicaré esta última que engloba las anteriores con algún comando más:

Nombre de la Vlan: Vlan222
Le damos una descripción: PROVEEDOR
Donde definimos el rango con el que trabajar: 192.111.222.X 
La puerta de enlace que va a tener:  192.111.222.1  
Que se aplicará a toda la información de entrada:  in
El añadir la línea "ip access-group PERMIT_PROVEEDOR in" hace que se aplique a esta vlan la ACL.


Ahora vamos a crear la Access List.

Pondrémos el "remark" para añadir comentarios y hacer más visual los comandos.

ip access-list extended PERMIT_PROVEEDOR
 remark PROVEEDOR_VPN
 permit tcp host 192.111.222.10 host 172.77.1.180 established


Damos acceso al proveedor a través de una VPN, 172.77.1.180 ip que le asigna nuestro Firewall, hasta el servidor dentro de nuestra red (192.111.222.10).

 remark PC_ACCESO_PROVEEDOR
 permit tcp host 192.111.222.10 host 192.111.12.10
 permit tcp host 192.111.222.10 host 192.111.12.11
 permit udp host 192.111.222.10 host 192.111.12.10
 permit udp host 192.111.222.10 host 192.111.12.11
 remark PROVEEDOR_ACCESO_PRN
 permit tcp host 192.111.222.10 host 192.111.14.102
 permit tcp host 192.111.222.10 host 192.111.14.103
 permit tcp host 192.111.222.10 host 192.111.14.105
 deny   ip any any
!


Hay que tener presente que no hemos activado el protocolo icmp, así que no podremos hacer ping para verificar que está correcto, bastará con imprimir o compartir carpetas entre host para ver que todo funciona. 

Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).


No hay comentarios: