Configuració router VDSL CISCO887VA-K9 amb Movistar

Instruccions per a configurar un router Cisco 887-K amb una VDSL de Movistar:

controller VDSL 0
!
interface Ethernet0
description VDSL-MOVISTAR
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
shutdown

interface FastEthernet1
 no ip address
 !
 interface FastEthernet2
 no ip address
 shutdown
 !
 interface FastEthernet3
 no ip address
 shutdown
 !
 interface Vlan1
 ip address 192.168.0.11 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 !
 interface Dialer0
 ip address negotiated
 no ip redirects
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 ppp authentication pap callin
 ppp pap sent-username adslppp@telefonicanetpa password 0 adslppp
 ppp ipcp route default
 no cdp enable
 !
 ip forward-protocol nd
 !
 ip nat inside source list 10 interface Dialer0 overload
 ip route 0.0.0.0 0.0.0.0 Dialer0
 !
 access-list 10 permit 192.168.0.0 0.0.0.255
 !

 

 

Packet Tracer – Extended ACL’s

Expliquem, en aquest apunt, el funcionament de les Extended ACL’s. A diferència de les Standard, aquestes sí permeten filtrar per capa d’aplicació.

Partint del mateix escenari definit en l’apunt anterior, ara ens interessaria poder filtrar l’accés “només” al servidor FTP (i permetre, en canvi, l’accés a un servidor WWW).

El primer pas serà definir les ACL’s en concret. Les extended s’identificaran amb un número igual o superior al 100. En aquest cas, emprem el 100:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.0.2 eq ftp
access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 192.168.0.2 eq ftp

La primera línia significa que “permetrà” el tràfic des de l’origen 192.168.1.0/24 destinació al host ubicat a 192.168.0.2 sempre i quan el protocol sigui FTP.
La segona línia és similar però, en canvi, denegarà el tràfic des de l’origen ubicat a 192.168.2.0/24.

Ara, apliquem l’ACL definida a la interfície del router que connecta amb el servidor FTP:

router(config)#int f1/0
Router(config-if)#ip access-group 100 out

Fet!

Atenció amb l’aclariment següent: En el moment que s’ha aplicat una determinada ACL en una interfície, la política per defecte s’estableix a directament a deny. Per tant, en el cas que el servidor ubicat a l’adreça 192.168.0.2 també oferís un servidor web que ens agradaria que estigués disponible per ambdues xarxes, haurem de permetre-ho explícitament:

Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.0.2 eq www
Router(config)#access-list 100 permit tcp 192.168.2.0 0.0.0.255 host 192.168.0.2 eq www

Packet Tracer – Standard ACL’s

Expliquem en aquest post com funcionen les llistes de control d’accés en dispositius Cisco emprant el programari Packet Tracer.

Imaginem que disposem de l’escenari següent ja en funcionament:

standardaclscisco
El servidor ubicat a l’adreça de xarxa 192.168.0.2 està executant un servidor de FTP però no voldríem que fos accessible per la xarxa 192.168.2.0/24. Per tal de permetre l’accés al servidor des de la xarxa 192.168.1.0/24 però NO des de la xarxa 192.168.2.0/24 configurarem llistes de control d’accés (ACL: Access Control List) en l’encaminador central.

Per a fer-ho, executarem les comandes següents.

Definim primer una llista de control d’accés (identificada, en aquest cas, pel número 5) que indica que permetrà el pas a la xarxa 192.168.1.0 (atenció amb les màscares) i, en canvi, denegarà el pas a la xarxa 192.168.2.0.

conf t
access-list 5 permit 192.168.1.0 0.0.0.255
access-list 5 deny 192.168.2.0 0.0.0.255

A continuació, accedirem a la configuració de la interfície f1/0 (la interfície del router que es comunica amb el servidor ) i hi aplicarem la ACL definida en el pas anterior en els paquets que surtin d’aquesta interfície:

int f1/0
ip access-group 4 out

Fet!

Ara, des d’una consola del PC ubicat a 192.168.2.2, si executem un ping 192.168.0.2 apareixerà quelcom similar al següent:

Pinging 192.168.0.2 with 32 bytes of data:

Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Ping statistics for 192.168.0.2:    
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

En canvi, des de 192.168.1.3:

ping 192.168.0.2

Pinging 192.168.0.2 with 32 bytes of data:

Reply from 192.168.0.2: bytes=32 time=11ms TTL=127
Reply from 192.168.0.2: bytes=32 time=11ms TTL=127
Reply from 192.168.0.2: bytes=32 time=16ms TTL=127
Reply from 192.168.0.2: bytes=32 time=11ms TTL=127

Ping statistics for 192.168.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 16ms, Average = 12ms

 

Les estàndard ACL son una eina senzilla de configurar però no permeten treballar en capa de transport, sinó solament en capa de xarxa ip. Per tal de poder discernir entre protocols serà necessari emprar les extended ACL’s (que deixaré pendent per un altre post).