Un ACL básica más que puede servir de patrón para hacer otras. Este sería la típico configuración entre dos PC o más.
Tenemos un servidor en una red al que solo queremos que pueda llegar a un PC.
Queremos que un PC (110.1.110.55) puedan llegar al servidor (110.1.115.10) de una red aislada, pero que el servidor no pueda acceder a ellos.
interface Vlan 115
description RED_SEGURA
ip address 110.11.115.1 255.255.255.0
Configuramos la ACL para que solo pueda llagar un PC (110.1.110.55) al servidor (110.1.115.10) y el servidor solo pueda ver un PC
ip access-list extended Permit_RED_SEGURA_entrada
remark PC_con_acceso_RED_SEGURA
permit icmp host 110.1.110.55 host 110.1.115.10
permit ip host 110.11.110.55 host 110.1.115.10
permit tcp host 110.11.110.55 host 110.1.115.10
permit udp host 110.11.110.55 host 110.1.115.10
deny ip any any
!
Modificamos la configuración de la Vlan
interface Vlan 115
description RED_SEGURA
ip address 110.1.115.1 255.255.255.0
ip access-group Permit_RED_SEGURA_entrada out
Vamos un poco más, ahora queremos que 2 PCs (110.1.110.55 y 110.1.111.73) puedan llegar al servidor (110.1.115.10) , pero el servidor solo pueda llegar a uno de ellos:
La flechas indican la dirección de los permisos.
Añadimos una ACL nueva con las IP de los 2 PC que tendrán permiso para llegar al servidor
ip access-list extended Permit_RED_SEGURA_salida
remark PC1_con_acceso_RED_SEGURA
permit icmp host 110.1.115.10 host 110.1.111.73
permit ip host 110.1.115.10 host 110.1.111.73
permit tcp host 110.1.115.10 host 110.1.111.73
permit udp host 110.1.115.10 host 110.1.111.73
remark PC2_con_acceso_RED_SEGURA
permit icmp host 110.1.115.10 host 110.1.110.55
permit ip host 110.1.115.10 host 110.1.110.55
permit tcp host 110.1.115.10 host 110.1.110.55
permit udp host 110.1.115.10 host 110.1.110.55
deny ip any any
Modificamos la configuración de VLAN 115
interface Vlan 115
description RED_SEGURA
ip address 110.1.115.1 255.255.255.0
ip access-group Permit_RED_SEGURA_entrada out
ip access-group Permit_RED_SEGURA_salida in
Ya lo tenemos, con este patrón podemos añadir más PC para que lleguen al servidor, si que este pueda acceder a ellos.
Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).
Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).
Gon
No hay comentarios:
Publicar un comentario