Páginas

lunes, 29 de octubre de 2012

ACL Cisco básica

Hoy explicaré un pequeño ejemplo de Access List en un Switch Cisco 3750 de nivel 3, en que un servidor (192.111.222.10) pueda acceder a unas impresoras por el protocolo tcp de una vlan (192.111.14.102, 192.111.14.104 y 192.111.14.105) a unos pc de otra vlan, por tcp y udp.

Así afinamos un poco más nuestra seguridad.

La configuración de las Vlan serán las siguientes:

interface Vlan14
description IMPRESORASTEST
ip address 192.111.14.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!

interface Vlan12
description PCSTEST
ip address 192.111.14.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!


interface Vlan222
description PROVEEDOR
ip address 192.111.222.1 255.255.255.0
ip access-group PERMIT_PROVEEDOR in
no ip redirects
no ip unreachables
no ip proxy-arp
!

Explicaré esta última que engloba las anteriores con algún comando más:

Nombre de la Vlan: Vlan222
Le damos una descripción: PROVEEDOR
Donde definimos el rango con el que trabajar: 192.111.222.X 
La puerta de enlace que va a tener:  192.111.222.1  
Que se aplicará a toda la información de entrada:  in
El añadir la línea "ip access-group PERMIT_PROVEEDOR in" hace que se aplique a esta vlan la ACL.


Ahora vamos a crear la Access List.

Pondrémos el "remark" para añadir comentarios y hacer más visual los comandos.

ip access-list extended PERMIT_PROVEEDOR
 remark PROVEEDOR_VPN
 permit tcp host 192.111.222.10 host 172.77.1.180 established


Damos acceso al proveedor a través de una VPN, 172.77.1.180 ip que le asigna nuestro Firewall, hasta el servidor dentro de nuestra red (192.111.222.10).

 remark PC_ACCESO_PROVEEDOR
 permit tcp host 192.111.222.10 host 192.111.12.10
 permit tcp host 192.111.222.10 host 192.111.12.11
 permit udp host 192.111.222.10 host 192.111.12.10
 permit udp host 192.111.222.10 host 192.111.12.11
 remark PROVEEDOR_ACCESO_PRN
 permit tcp host 192.111.222.10 host 192.111.14.102
 permit tcp host 192.111.222.10 host 192.111.14.103
 permit tcp host 192.111.222.10 host 192.111.14.105
 deny   ip any any
!


Hay que tener presente que no hemos activado el protocolo icmp, así que no podremos hacer ping para verificar que está correcto, bastará con imprimir o compartir carpetas entre host para ver que todo funciona. 

Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).


No hay comentarios:

Publicar un comentario