Packet Tracer – Standard ACL’s

Expliquem en aquest post com funcionen les llistes de control d’accés en dispositius Cisco emprant el programari Packet Tracer.

Imaginem que disposem de l’escenari següent ja en funcionament:

standardaclscisco
El servidor ubicat a l’adreça de xarxa 192.168.0.2 està executant un servidor de FTP però no voldríem que fos accessible per la xarxa 192.168.2.0/24. Per tal de permetre l’accés al servidor des de la xarxa 192.168.1.0/24 però NO des de la xarxa 192.168.2.0/24 configurarem llistes de control d’accés (ACL: Access Control List) en l’encaminador central.

Per a fer-ho, executarem les comandes següents.

Definim primer una llista de control d’accés (identificada, en aquest cas, pel número 5) que indica que permetrà el pas a la xarxa 192.168.1.0 (atenció amb les màscares) i, en canvi, denegarà el pas a la xarxa 192.168.2.0.

conf t
access-list 5 permit 192.168.1.0 0.0.0.255
access-list 5 deny 192.168.2.0 0.0.0.255

A continuació, accedirem a la configuració de la interfície f1/0 (la interfície del router que es comunica amb el servidor ) i hi aplicarem la ACL definida en el pas anterior en els paquets que surtin d’aquesta interfície:

int f1/0
ip access-group 4 out

Fet!

Ara, des d’una consola del PC ubicat a 192.168.2.2, si executem un ping 192.168.0.2 apareixerà quelcom similar al següent:

Pinging 192.168.0.2 with 32 bytes of data:

Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Ping statistics for 192.168.0.2:    
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

En canvi, des de 192.168.1.3:

ping 192.168.0.2

Pinging 192.168.0.2 with 32 bytes of data:

Reply from 192.168.0.2: bytes=32 time=11ms TTL=127
Reply from 192.168.0.2: bytes=32 time=11ms TTL=127
Reply from 192.168.0.2: bytes=32 time=16ms TTL=127
Reply from 192.168.0.2: bytes=32 time=11ms TTL=127

Ping statistics for 192.168.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 16ms, Average = 12ms

 

Les estàndard ACL son una eina senzilla de configurar però no permeten treballar en capa de transport, sinó solament en capa de xarxa ip. Per tal de poder discernir entre protocols serà necessari emprar les extended ACL’s (que deixaré pendent per un altre post).

Gerard

Gerard Farràs i Ballabriga.