Posts com a tag: Access-list

Editor e Simulador de access-list

comments (3) Comentários
Por André Ortega, 04/02/2010 09:37

Para quem dificuldade em criar access-lists ou apenas para conferir o resultado da ACL antes de aplicá-la, uma boa opção é o Cisco ACL Editor and Simulator (que não é desenvolvido pela Cisco). Com este programa inserimos as informações e ele cria a ACL.

ACL Editor and Simulator

Além de criar, também é possível verificar o que acontecerá com o tráfego que passar pela lista de acesso. Com a access-list já criada, clique no ícone com a engrenagem para iniciar a simulação. Especifique o tráfego, indicando se é TCP, UDP, o IP de origem e destino, bem como as portas e pronto.

Esta funcionalidade lembra o Packet Tracer, que temos no ASDM (ASA/PIX), e que talvez um dia seja integrado no IOS.

ACL Editor and Simulator

O programa é pago, mas conta com uma demo de 30 dias para testá-lo.

Para fazer o download do Cisco ACL Editor and Simulator visite a página do desenvolvedor.

Até a próxima.

Leia também:


Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

categories Dicas, IOS, Routers, Uteis | tags , ,

Object Groups para ACLs

comments Seja o primeiro a comentar
Por André Ortega, 06/01/2009 09:42

Assim como nos firewalls, a partir da versão 12.4(20)T, é possível criar nos rotadores Cisco grupos com hosts ou serviços para serem utilizados nas access-list.

Por exemplo, podemos criar um grupo com os servidores FTP e um grupo com os serviços que estes servidores podem acessar. Depois basta utilizá-los nas ACLs.

A grande vantagem dos object groups é que serviços e/ou host podem ser adicionados ou removidos do grupo sem a necessidade de editar a ACL inteira.

Para utilização os object groups temos 3 restrições:
- Suportam apenas IPv4
- Podem ser aplicadas apenas em interfaces layer 3 (interfaces roteadas e interfaces VLANs)
- Os object groups podem ser aplicadas apenas em ACL estendida e nomeada

Exemplo:

BrainworkGW01#conf t

! Grupo com os servidores FTP (FTP_SERVER é o nome do grupo)
! Podemos também definir uma rede ou subnet, ao invés de hosts apenas

BrainworkGW01(config)#object-group network FTP_SERVER
BrainworkGW01(config-network-group)# host 209.165.200.23
BrainworkGW01(config-network-group)# host 209.165.200.24

! Grupo com os serviços/portas utilizados pelos servidores FTP(FTP_SERVICE é o nome do grupo)

BrainworkGW01(config)#object-group service FTP_SERVICE
BrainworkGW01(config-service-group)# tcp eq ftp
BrainworkGW01(config-service-group)# icmp echo
BrainworkGW01(config-service-group)# tcp smtp
BrainworkGW01(config-service-group)# tcp telnet
BrainworkGW01(config-service-group)# udp domain

! ACL extended e named (obrigatório) onde utilizaremos os grupos (ACL_FTP é o nome da access-list)

BrainworkGW01(config)#ip access-list extended ACL_FTP

! Grupos criados anteriormente são utilizados na ACL, onde permitimos que os servidores FTP
! do grupo FTP_SERVER, acessem os serviços definidos no grupo FTP_SERVICE

BrainworkGW01(config-ext-nacl)#permit object-group FTP_SERVICE object-group FTP_SERVER any

! Aplique a ACL na interface desejada (onde estão os servidores FTP, neste exemplo)

BrainworkGW01(config)#int f0/0
BrainworkGW01(config-if)#ip access-group ACL_FTP in

Mais detalhes sobre os object groups podem ser encontrados no site da Cisco.

Até a próxima.

Leia também:


Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

categories Cisco, Dicas, IOS, Tecnologias, Uteis | tags , , ,

Editando ACL numerada

comments Seja o primeiro a comentar
Por André Ortega, 28/11/2008 07:16

Access-lists são com certeza umas das features mais utilizadas nos roteadores. Servem para bloquear/liberar tráfego que passa pelo roteador, escolher as redes que passarão por NAT, que tráfego será criptografado em uma VPN, quais rotas serão distribuídas por um determinado protocolo de roteamento e podem ainda ser utilizadas em uma infinidade de situações.

Podemos dividir as ACLs em dois tipos: Numeradas e Nomeadas.

Até algum tempo atrás as ACLs nomeadas tinham uma grande vantagem em relação as ACLs numeradas, pois com elas era possível editar uma linha da ACL sem a necessidade de deletar toda a access-list. Enquanto que para editar um ACL numerada você tinha que deletar toda a ACL, editar no bloco de notas e colocar novamente no roteador.

Mas a partir da versão 12.3 do IOS é possível editar uma ACL numerada da mesma forma que uma ACL nomeada. Para isso foi adicionado ao software a função de adicionar um número de seqüencia para cada linha de uma ACL, seja ela numerada ou nomeada. Assim é possível excluir, alterar ou incluir novas linhas a ACL.

Exemplo:

! A ACL pode ser criada normalmente ou via IP Access-list

Brainwork01#conf t
Brainwork01(config)#access-list 100 permit tcp 10.10.1.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.2.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.3.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.4.0 0.0.0.255 any
Brainwork01(config)#exit

! Observe que cada linha da ACL tem um identificador

Brainwork01#sh access-lists
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    20 permit tcp 10.10.2.0 0.0.0.255 any
    30 permit tcp 10.10.3.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any

! Para adicionar uma nova entrada à ACL existente, basta tratá-la como uma ACL nomeada
! Por exemplo, vamos colocar uma nova regra, entre a entrada 10 e 20

Brainwork01#conf t
Brainwork01(config)#ip access-list extended 100
Brainwork01(config-ext-nacl)#15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
Brainwork01(config-ext-nacl)#end

! Pronto, a nova linha foi adicionada onde queríamos

Brainwork01#sh access-list
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
    20 permit tcp 10.10.2.0 0.0.0.255 any
    30 permit tcp 10.10.3.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any

! Para excluir uma entrada pontualmente, basta entrar no modo de edição
! e apontar o identificador da linha a ser excluída (30 no exemplo abaixo)

Brainwork01#conf t
Brainwork01(config)#ip access-list extended 100
Brainwork01(config-ext-nacl)#no 30
Brainwork01(config-ext-nacl)#end

! Mais uma vez a ACL 100 foi editada, sem a necessidade de ser excluída

Brainwork01#sh access-lists
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
    20 permit tcp 10.10.2.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any
Brainwork01#

Caso uma nova entrada seja adicionada, sem que o número de seqüencia seja informado, ela será automaticamente inserida no fim da ACL.

Até a próxima.

Leia também:


Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

categories Cisco, Dicas, IOS, Uteis | tags , ,

Tema Brainwork 0.2(beta)