Extreme Networks B4 Configuracion ACLs Basica
-
Upload
tcpiptrashcan4602 -
Category
Documents
-
view
246 -
download
16
description
Transcript of Extreme Networks B4 Configuracion ACLs Basica
Extreme Training
ConfiguraciónACLs
Agenda
A. Introducción
B. Tipos de Reglas
C. Superposición de Reglas
D. Configuración de Reglas
E. Contadores y Logging
F. Troubleshooting
G. Laboratorio 1
Introducción
Access Control ListsIntroducción
A. Las Listas de Control de Acceso IP (ACLs) consisten en reglas de acceso IP y se usan para decidir el filtrado o transmisión de paquetes sobre el tráfico entrante.
B. El uso de Access Control Lists (excepto las reglas ICMP) se realiza por hardware y no tiene impacto sobre la performance del switch.
C. Cada paquete que ingresa por una puerta es comparado con la lista de acceso, en orden secuencial.
D. Si el paquete coincide con una regla del tipo deny, es descartado.
E. Si el paquete coincide con una regla del tipo permit, es transmitido.
F. Una regla del tipo permit tambien puede aplicar al paquete un perfil de calidad de servicio.
Tiposde
Reglas
Access Control ListsTipos de Reglas
A. Las reglas de una Lista de Acceso IP consisten en una combinación de los siguientes parámetros:– Dirección IP de origen y máscara– Dirección IP de destino y máscara– Rango de puertas TCP o UDP de origen– Rango de puertas TCP o UDP de destino– Puerta física de origen (opcional)– Número de Precedencia (opcional)
B. Existen tres tipos de reglas en las listas de acceso.– Reglas ACL: incluyen reglas para tráfico IP, UDP, TCP, y TCP-
Established. El número máximo permitido de estas reglas es de 255. (En el switch BlackDiamond este límite es de 255 reglas por módulo).
– Reglas de Flujo: incluye reglas para tráfico IP, UCP y TDP rules. El número máximo permitido de estas reglas es de 1024, menos la cantidad de reglas ACL definidas.
– Reglas ICMP: sólo reglas para tráfico ICMP. Estas reglas se implementan por software.
Access Control ListsReglas ACL
A. Una regla es de tipo ACL si se cumple alguna de las siguientes condiciones:
– Es la regla Default– Es una regla TCP permit-established– Se ha especificado un número de precedencia– Se ha especificado una puerta física de ingreso– Se ha especificado un rango de puertas L4
B. Precedencia de reglas ACL:– LA precedencia está fijada por el número de precedencia indicado en la
regla.– Los números de precedencia varían entre 1 y 25600.– La precedencia más alta es el número 1.
Access Control ListsReglas de Flujo
A. Las reglas de Flujo tienen las siguientes restricciones:– La dirección IP debe ser any o estar completamente especificada
(máscara de 32 bits)– Los puertos L4 de origen y destino deben ser any o estar
completamente especificados (máscara de 32 bits). No se permiten rangos.
– No se puede especificar una puerta física de ingreso– No se puede especificar un número de precedencia
B. Precedencia de reglas de Flujo:– Cuanto más específica sea la dirección de destino de la regla, mayor
precedencia tendrá.
Access Control ListsReglas ICMP
A. Implementadas en software
B. No hay opción para asignar tráfico ICMP a un perfil de calidad de servicio.
C. Las reglas ICMP sólo son efectivas si el tráfico es ruteado por la CPU.
D. Precedencia de reglas ICMP:– Cuanto más específica sea la dirección de destino de la regla, mayor
precedencia tendrá.
Access Control ListsRegla Default
A. Si un paquete no concuerda con ninguna regla establecida, el paquete es transmitido asignándosele el perfil de QoS QP1.
B. Si se desea que el paquete sea descartado o que sea transmitido con otro perfil de QoS, es necesario agregar una regla Default.
C. Una regla Default es aquella que especifica el protocolo IP, contiene any en los campos de dirección IP de origen y destino y no incluye información de Capa 4.
D. La regla Default es siempre la última regla en ser evaluada y tiene reservado el número 0.
E. Ejemplo de una regla Default que descarte todo el tráfico:create access-list deny-all ip destination any source any deny port any
F. Ejemplo de una regla Default que permita todo el tráfico con perfil QP4:create access-list deny-all ip destination any source any permit qp4 port any
Superposiciónde
Reglas
Access Control ListsSuperposición de Reglas
A. Sólo se pueden configurar reglas superpuestas si todas ellas tienen un número de precedencia.
B. Si se intenta introducir una regla con número de precedencia que se superponga con reglas existentes, sin número de precedencia, se producirá un error y la regla no será guardada.
C. Si se intenta introducir una regla sin número de precedencia que se superponga con reglas existentes, con o sin número de precedencia, se producirá un error y la regla no será guardada.
Configuraciónde
Reglas
Access Control Lists Configuración de Reglas ACL y de Flujo
A. Regla IP:create access-list <name> ip destination [<dst-ipaddress>/<dst_mask> | any] source [<src_ipaddress>/<src_mask> | any] [permit <qosprofile> | deny] ports [<portlist> | any] {precedence <precedence_num>}
B. Ejemplo de regla ACL:create access-list acl1 ip dest 192.10.1.0/24 source any permit qp3 ports any precedence 10
C. Ejemplo de regla de Flujo:create access-list flow1 ip dest 192.10.2.0/24 source any permit qp3 ports any
Access Control Lists Configuración de Reglas ACL y de Flujo
A. Regla TCP:create access-list <name> tcp destination [<dst-ipaddress> /<dst_mask> | any] ip-port [<dst_port> | range <dst_port_min> <dst_port_max> | any] source [<src_ipaddress>/<src_mask> | any] ip-port [<src_port> | range <src_port_min> <src_port_max> | any] [permit <qosprofile> | permit-established | deny] ports [<portlist> | any] {precedence <precedence_num>}
B. Ejemplo de regla ACL:create access-list acl2 tcp dest 192.10.1.100/32 ip-port range 80 100 source 192.10.2.0/24 ip-port 50 permit qp3 port 3:1
C. Ejemplo de regla de Flujo:create access-list flow2 tcp dest 192.10.3.100/32 ip-port 80 source any ip-port any permit qp5 ports any
Access Control Lists Configuración de Reglas ACL y de Flujo
A. Regla UDP:create access-list <name> udp destination [<dst-ipaddress> /<dst_mask> | any] ip-port [<dst_port> | range <dst_port_min> <dst_port_max> | any] source [<src_ipaddress>/<src_mask> | any] ip-port [<src_port> | range <src_port_min> <src_port_max> | any] [permit <qosprofile> | deny] ports [<portlist> | any] {precedence <precedence_num>}
B. Ejemplo de regla ACL:create access-list acl3 udp dest 192.10.1.0/24 ip-port 80 source 192.10.2.0/24 ip-port any deny ports any precedence 125
C. Ejemplo de regla de Flujo:create access-list flow3 udp dest any ip-port any source 192.10.4.200/32 ip-port any permit qp4 ports any
Access Control Lists Configuración de Reglas ICMP
A. Regla ICMP:create access-list <name> icmp destination [<dst-ipaddress>/<mask> | any] source [<src_ipaddress>/<mask> | any] type <icmp_type> code <icmp_code> [permit | deny] {ports <portlist>} {precedence <number>}
– ICMP Echo request : type 8, code 0– ICMP Echo reply : type 0, code 0– ICMP wildcard: type any, code any
B. Ejemplo:create access-list perm_icmp icmp destination 10.1.0.1/32 source 10.102.0.201/32 type 8 code 0 permit ports any precedence 50
Contadoresy
Logging
Access Control Lists Contadores
A. Cada regla lleva asociado un contador de “hits”, que se incrementa cada vez que la regla es aplicada a un paquete.
B. Ese contador está habilitado por defecto cada vez que se crea una regla. Los comandos para habilitarlo y deshabilitarlo son:enable access-list <name> counterdisable access-list <name> counter
C. El comandoshow access-list-monitorpermite ver el estado de los contadores en tiempo real
Access List Proto Destination Source Hit Count
=========================================================================
flow1 ip 192.10.2.0/24 0.0.0.0/0 154
acl2 tcp 192.10.1.100/32 192.10.2.0/24 32
flow2 tcp 192.10.3.100/32 0.0.0.0/0 8324
acl3 udp 192.10.1.0/24 192.10.2.0/24 2
perm_icmp icmp 10.1.0.1/32 10.102.0.201/32 132
flow3 udp 192.10.5.0/24 192.10.4.200/32 65
Access Control Lists Logging
Fecha y hora
Acción
Drop
Forward
MAC/IP:port
de
Origen
IP
de Destino
A. Cada regla cuenta con la posibilidad de loggear un mensaje al log del switch cada vez que la regla es aplicada a un paquete.
B. Este logging se encuentra deshabilitado por defecto cada vez que se crea una nueva regla. Los comandos para habilitarlo y deshabilitarlo son:enable access-list <name> logdisable access-list <name> log
C. Los mensajes enviados al log son del tipo:08/23/2001 13:52.05 <INFO:KERN> IP Drop: 2-4092 00:00:86:57:56:38/10.0.2.100->10.0.1.100
08/23/2001 13:53.21 <INFO:KERN> Pkt Fwd: 2-4092 00:00:86:57:56:38/10.0.2.100:1028->10.1.0.100:23
08/23/2001 13:53.21 <INFO:KERN> Pkt Fwd: 6-4094 08:00:02:32:66:fa/10.1.0.100:23->10.0.2.100:1028
Troubleshooting
Routing IPTroubleshooting
A. El comandoshow access-listpermite ver configuración importante
* Summit1iTx:71 # sh access-list
Rule Dest/mask:L4DP Src/mask:L4SP Flags Hits
acl1 192.10.1.0/24: 0 0.0.0.0/ 0: 0 I-P-N 0
perm_icm 10.1.0.1/32: 0 10.102.0.201/32:2048 M-P-X 0
acl3 192.10.1.0/24: 80 192.10.2.0/24: 0 U-D-X 0
flow1 192.10.2.0/24: 0 0.0.0.0/ 0: 0 I-P-X 0
acl2 192.10.1.100/32: 80 192.10.2.0/24: 50 T-P-N 0
flow2 192.10.3.100/32: 80 0.0.0.0/ 0: 0 E-P-X 0
flow3 192.10.5.0/24: 0 192.10.4.200/32: 0 U-P-X 0
Flags: I=IP, T=TCP, U=UDP, E=Established, M=ICMP
P=Permit Rule, D=Deny Rule
N=Port Specific Rule, X=Any Port
Indica las puertas de ingreso sobre las
que se aplica la regla
Estos flags indican:
a: regla ACL
f: regla de Flujo TCP/UDP
q: regla de Flujo IP
c: contador habilitado
L: logging habilitado
A.El comandoshow access-list <rule_name>permite ver configuración importante
* Summit1iTx:76 # sh access-list acl1acl1 Protocol: ip Action: permit qp3 Destination: 192.10.1.0/24 any Source: any any Precedence: 10 Rule Number: 252 Hit Count: 0 Flags: acL Ports: 2* Summit1iTx:91 # sh access-list perm_icmpperm_icmp Protocol: icmp Action: permit Log: No Destination: 10.1.0.1/32 Source: 10.102.0.201/32 Hit Count: 0 icmp type: 8 icmp code: 0 Precedence: 50 Ports: any
Routing IPTroubleshooting
Laboratorio 1
Laboratorio 1Access Control Lists
ObjetivoA. Aprender a limitar tráfico IP
B. Aprender a limitar tráfico TCP/UDP
C. Aprender a limitar tráfico ICMP
D. Aprender a priorizar tráfico
Laboratorio 1-AACLs IP
A. Crear las VLANs correspondientes y configurarlas
B. Habilitar ruteo
C. Verificar la conectividad entre VLANs.
D. Permitir todo el tráfico entre las VLAN departamentales y la VLAN Servers.
E. Impedir todo tráfico entre VLANs departamentales.
F. Verificar la conectividad entre VLANs. No usar ping. ¿Por qué?
G. Monitorear la operación de los ACLs
VLAN Servers10.1.0.1/24
VLAN D110.0.1.1/24
VLAN D210.0.2.1/24
Laboratorio 1-AACLs IPUnconfigure switchConfig default del port allCreate vlan serversCreate vlan d1Create vlan d2Config servers ip 10.1.0.1/24Config d1 ip 10.0.1.1/24Config d2 ip 10.0.2.1/24Config servers add ports <portlist>Config d1 add ports <portlist>Config d2 add ports <portlist>Enable ipforward# Permitir todo el tráfico entre las VLAN departamentales y la VLAN ServersCreate access-list ip0 ip destination 10.1.0.0/24 source any permit ports
any precedence 100create access-list ip1 ip destination any source 10.1.0.0/24 permit ports
any precedence 200# Impedir todo tráfico entre VLANs departamentalescreate access-list deny-all ip dest any source any deny ports any# Ver por consola los paquetes permitidos y rechazadosEnable log displayEnable ip0 logEnable ip1 logEnable deny-all log
Laboratorio 1-BACLs TCP
A. Crear las VLANs correspondientes y configurarlas
B. Habilitar ruteo
C. Verificar la conectividad entre VLANs.
D. Permitir el tráfico telnet desde la VLAN Management a cualquier nodo de las VLANs departamentales
E. Impedir todo otro tráfico telnet entre VLANs.
VLAN Management10.1.0.1/24
VLAN D110.0.1.1/24
VLAN D210.0.2.1/24
Laboratorio 1-BACLs TCPUnconfigure switchConfig default del port allCreate vlan serversCreate vlan d1Create vlan d2Config servers ip 10.1.0.1/24Config d1 ip 10.0.1.1/24Config d2 ip 10.0.2.1/24Config servers add ports <portlist>Config d1 add ports <portlist>Config d2 add ports <portlist>Enable ipforward# Permitir el tráfico Telnet entre la VLAN Management y cualquier nodo de
las VLAN departamentalescreate access-list tel0 tcp dest any ip-port 23 source 10.1.0.0/24 ip-port
any permit ports any precedence 100create access-list tel1 tcp dest 10.1.0.100/32 ip-port any source any ip-
port 23 permit-established ports any precedence 200# Impedir todo otro tráfico Telnet entre las VLANscreate access-list deny-tel0 tcp dest 10.0.0.0/16 ip-port 23 source
10.0.0.0/16 ip-port any deny ports any precedence 300create access-list deny-tel1 tcp dest 10.0.0.0/16 ip-port any source
10.0.0.0/16 ip-port 23 deny ports any precedence 400
Laboratorio 1-CACLs ICMP
A. Crear las VLANs correspondientes y configurarlas
B. Habilitar ruteo
C. Verificar la conectividad entre VLANs.
D. Permitir ping desde la VLAN Management a cualquier otra VLAN.
E. Permitir ping desde cualquier VLAN a la dirección 10.1.0.100.
F. Impedir cualquier otro ping.
G. Verificar la conectividad entre VLANs.
VLAN Servers10.1.0.1/24
VLAN D110.0.1.1/24
VLAN D210.0.2.1/24
Laboratorio 1-CACLs ICMPUnconfigure switchConfig default del port allCreate vlan serversCreate vlan d1Create vlan d2Config servers ip 10.1.0.1/24Config d1 ip 10.0.1.1/24Config d2 ip 10.0.2.1/24Config servers add ports <portlist>Config d1 add ports <portlist>Config d2 add ports <portlist>Enable ipforward# Permitir ping desde la VLAN Core a cualquier otra VLAN.create access-list ping0 icmp destination any source 10.1.0.0/24 type 8 code
0 permit ports any precedence 1100create access-list ping1 icmp destination 10.1.0.0/24 source any type 0 code
0 permit ports any precedence 1200# Permitir ping desde cualquier VLAN a la dirección 10.1.0.100.create access-list ping2 icmp destination 10.1.0.100/32 source any type 8
code 0 permit ports any precedence 1300create access-list ping3 icmp destination any source 10.1.0.100/32 type 0
code 0 permit ports any precedence 1400# Impedir cualquier otro ping.create access-list deny-ping icmp dest any source any type any code any deny
ports any precedence 25600
Laboratorio 1-DPriorización de Tráfico
A. Crear las VLANs correspondientes y configurarlas
B. Habilitar ruteo
C. Conectar un Web Server y un Telnet Server a la VLAN Servers
D. Conectar PCs a las otras VLANs y generar tráfico
E. Asignar al tráfico Telnet el perfil de QoS QP4
F. Asignar al tráfico HTTP el perfil QP5
G. Asignar al resto del tráfico el perfil QP1
VLAN Servers10.1.0.1/24
VLAN D110.0.1.1/24
VLAN D210.0.2.1/24
Laboratorio 1-DPriorización de TráficoUnconfigure switchConfig default del port allCreate vlan serversCreate vlan d1Create vlan d2Config servers ip 10.1.0.1/24Config d1 ip 10.0.1.1/24Config d2 ip 10.0.2.1/24Config servers add ports <portlist>Config d1 add ports <portlist>Config d2 add ports <portlist>Enable ipforward# Asignar al tráfico Telnet el perfil de QoS QP4create access-list tel0 tcp dest any ip-port 23 source any ip-port any
permit qp4 ports any precedence 100create access-list tel1 tcp dest any ip-port any source any ip-port 23
permit qp4 ports any precedence 200# Asignar al tráfico HTTP el perfil QP5create access-list http0 tcp dest any ip-port 80 source any ip-port any
permit qp5 ports any precedence 300create access-list http1 tcp dest any ip-port any source any ip-port 80
permit qp5 ports any precedence 400# Asignar el resto del tráfico al perfil QP1 create access-list allqp1 ip dest any source any permit qp1 ports any
¡ Fin !