LICENCIATURA EM ENG.

DE SISTEMAS E INFORMTICA Redes e Servios de Banda Larga

Actividade 2 - ACLs (Access Control Lists)

As ACLs so utilizadas para filtrar o trfego no Switch. As polticas podem ser aplicadas para permitir ou negar certos tipos de trfego de e para as subredes, endereos Mac, portos ou VLANs.

Equipamento necessrio:
Um OmniSwitch e 2 PCs.

Objectivo:
Esta actividade tem como objectivo familiarizar os alunos com a definio de listas de acesso num comutador OmniSwitch.

Access Control List

ACL 1. Depois de fazer login, execute o comando seguinte. Se retornar WORKING, significa que o switch arrancou da directoria certa. show running-directory Running configuration: WORKING 2. Caso tenha devolvido CERTIFIED, reinicie o switch com o comando: reload working no rollback-timeout Crie duas VLANS, 2 e 3, com os nomes Rede A e Rede B. show vlan show vlan 1 port vlan 2 name Rede A show vlan 2 vlan 2 port default 8/13 (#3) Adicione routing atravs da associao de endereos IP s VLANS, 192.168.x0.1 e 192.168.x1.1 (x = N da bancada). vlan 2 router ip 192.168.x0.1 (#3) Adicione um PC a cada uma das VLANs. Atribua aos PCs os endereos IP 192.168.x0.100 e 192.168.x1.100 com os default gateways apropriados. Verifique se consegue fazer ping entre os dois PCs.

3.

4.

5.

Pg. 1/4

LICENCIATURA EM ENG. DE SISTEMAS E INFORMTICA Redes e Servios de Banda Larga

Uma vez que no h regras definidas, as mquinas devem comunicar. Agora vamos criar uma regra para impedir o trfego entre os dois PCs. Para configurar as ACLs precisa de definer trs parmetros. Estes so a condio (condition), a aco (action) e a regra (rule). A condio define o fluxo de trfego que vamos filtrar, a aco define o que fazer com esse trfego e a regra aplica a poltica de QoS. As ACLs so uma funo das polticas no OmniSwitch. Para criar regras temos que primeiro activar a QoS. 1. Para activar QoS no switch: qos enable 2. Criar uma condio, com o nome acl_cond, para identificar o fluxo do trfego: policy condition acl_cond source ip 192.168.11.100 destination ip 192.168.10.100 Indica o trfego que flui do PC 192.168.11.100 para o PC 192.168.10.100. Especificar a aco, com o nome acl_action, a aplicar: policy action acl_action disposition drop Especifica a aco drop. Criar uma regra, com o nome acl_rule, para a condio e aco anteriores: policy rule acl_rule condition acl_cond action acl_action enable Visualizar os detalhes das condies / aces / regras: show policy condition show policy action show policy rule

3.

4.

5.

Pg. 2/4

LICENCIATURA EM ENG. DE SISTEMAS E INFORMTICA Redes e Servios de Banda Larga

Para verificar que a regra est configurada correctamente, o switch d a possibilidade de testar. 1. Testar a regra: show policy classify L3 Testa todas as regras pendentes (nvel 3 = IP) ou: show policy classify L3 source ip 192.168.11.100 192.168.10.100 O parmetro classify permite testar a regra antes de a aplicar.

destination

ip

2.

Visualizar o QOS: show qos config Deve poder ver que existem alteraes de polticas pendentes. Isto verifica-se porque ainda no foram aplicadas as regras. Aplicar as regras de QOS: qos apply Visualizar o QOS: show qos config Deve verificar que j no h regras pendentes. Os pings entre os PCs devem ser negados.

3.

4.

Tente criar uma regra para apenas permitir trfego SSH para o 192.168.x0.100, mas bloquear todo o restante trfego. Nota: Use o parmetro PRECEDENCE quando criar a regra para primeiro permitir o trfego SSH, e depois fazer o drop do resto do trfego. As regras com o valor mais alto de precedncia so processadas primeiro. Repor configuraes Antes de terminar a actividade remova as VLANs criadas e desactive o QOS: no vlan 2 no vlan 3 qos disable Este passo fundamental para uma utilizao correcta do laboratrio.

Concluso
Este laboratrio introduziu as ACLs num Omniswitch. As ACLs permitem criar regras para permitir ou bloquear fluxos de trfego especficos. Adicionalmente, o parmetro precedence pode ser usado para determinar a ordem pela qual cada regra aplicada.

Pg. 3/4

LICENCIATURA EM ENG. DE SISTEMAS E INFORMTICA Redes e Servios de Banda Larga

Sintaxe dos comandos

show vlan [vid] show vlan [vid] port {slot/port | link_agg} vlan vid [enable | disable] [name description] vlan vid router ip ip_address [[mask] subnet_mask] [forward | no forward] [e2 | snap] qos {enable | disable} policy condition condition_name [source ip ip_address [mask netmask]] [destination ip ip_address [mask netmask]] [source ip port port[-port]] [destination ip port port[-port]] [source tcp port port[-port]] [destination tcp port port[-port]] [source udp port port[-port]] [destination udp port port[-port]] [ip protocol protocol] policy condition condition_name no [] no policy condition condition_name policy action action_name [disposition {accept | drop | deny}] [gateway ip ip_address] [default gateway ip ip_address] policy action action_name no [] no policy action action_name policy rule rule_name [enable | disable] [precedence precedence] [condition condition] [action action] no policy rule rule_name show [applied] policy action [action_name] show [applied] policy condition [condition_name] show [applied] [bridged | routed | multicast] policy rule [rule_name] show policy classify {l2 | l3 | multicast} [applied] [source ip ip_address] [destination ip ip_address] [ip protocol protocol] [source ip port port] [destination ip port port] show qos config qos apply

Pg. 4/4