LICENCIATURA EM ENG. DE SISTEMAS E
INFORMÁTICA
Redes e Serviços de Banda Larga
Actividade 2 - ACLs (Access Control Lists)
As ACLs são utilizadas para filtrar o tráfego no Switch. As políticas podem ser aplicadas
para permitir ou negar certos tipos de tráfego de e para as subredes, endereços Mac,
portos ou VLANs.
Equipamento necessário:
Um OmniSwitch e 2 PCs.
Objectivo:
Esta actividade tem como objectivo familiarizar os alunos com a definição de
listas de acesso num comutador OmniSwitch.
Access Control List
ACL
1. Depois de fazer login, execute o comando seguinte. Se retornar WORKING,
significa que o switch arrancou da directoria certa.
Î show running-directory
Running configuration: WORKING
2.
Caso tenha devolvido CERTIFIED, reinicie o switch com o comando:
Î reload working no rollback-timeout
3.
Crie duas VLANS, 2 e 3, com os nomes “Rede A” e “Rede B”.
Î show vlan
Î show vlan 1 port
Î vlan 2 name “Rede A”
Î show vlan 2
Î vlan 2 port default 8/13
Î … (#3)
4.
Adicione routing através da associação de endereços IP às VLANS, 192.168.x0.1 e
192.168.x1.1 (x = Nº da bancada).
Î vlan 2 router ip 192.168.x0.1
Î … (#3)
5.
Adicione um PC a cada uma das VLANs. Atribua aos PCs os endereços IP
192.168.x0.100 e 192.168.x1.100 com os default gateways apropriados. Verifique se
consegue fazer ping entre os dois PCs.
Pág. 1/4
LICENCIATURA EM ENG. DE SISTEMAS E
INFORMÁTICA
Redes e Serviços de Banda Larga
Uma vez que não há regras definidas, as máquinas devem comunicar. Agora vamos criar
uma regra para impedir o tráfego entre os dois PCs.
Para configurar as ACLs precisa de definer três parâmetros. Estes são a condição
(condition), a acção (action) e a regra (rule). A condição define o fluxo de tráfego que
vamos filtrar, a acção define o que fazer com esse tráfego e a regra aplica a política de
QoS.
As ACLs são uma função das políticas no OmniSwitch. Para criar regras temos que
primeiro activar a QoS.
1.
Para activar QoS no switch:
Î qos enable
2.
Criar uma condição, com o nome “acl_cond”, para identificar o fluxo do tráfego:
Î policy condition acl_cond source ip 192.168.11.100 destination ip
192.168.10.100
Indica o tráfego que flui do PC 192.168.11.100 para o PC 192.168.10.100.
3.
Especificar a acção, com o nome “acl_action”, a aplicar:
Î policy action acl_action disposition drop
Especifica a acção drop.
4.
Criar uma regra, com o nome “acl_rule”, para a condição e acção anteriores:
Î policy rule acl_rule condition acl_cond action acl_action enable
5.
Visualizar os detalhes das condições / acções / regras:
Î show policy condition
Î show policy action
Î show policy rule
Pág. 2/4
LICENCIATURA EM ENG. DE SISTEMAS E
INFORMÁTICA
Redes e Serviços de Banda Larga
Para verificar que a regra está configurada correctamente, o switch dá a possibilidade de
testar.
1.
Testar a regra:
Î show policy classify L3
Testa todas as regras pendentes (nível 3 = IP) ou:
Î show policy classify L3 source ip 192.168.11.100
192.168.10.100
O parâmetro classify permite testar a regra antes de a aplicar.
destination
ip
2.
Visualizar o QOS:
Î show qos config
Deve poder ver que existem alterações de políticas pendentes. Isto verifica-se porque
ainda não foram aplicadas as regras.
3.
Aplicar as regras de QOS:
Î qos apply
4.
Visualizar o QOS:
Î show qos config
Deve verificar que já não há regras pendentes.
Os pings entre os PCs devem ser negados.
Tente criar uma regra para apenas permitir tráfego SSH para o 192.168.x0.100, mas
bloquear todo o restante tráfego.
Nota: Use o parâmetro PRECEDENCE quando criar a regra para primeiro permitir o
tráfego SSH, e depois fazer o drop do resto do tráfego. As regras com o valor mais alto de
precedência são processadas primeiro.
Repor configurações
Antes de terminar a actividade remova as VLANs criadas e desactive o QOS:
Î no vlan 2
Î no vlan 3
Î qos disable
Este passo é fundamental para uma utilização correcta do laboratório.
Conclusão
Este laboratório introduziu as ACLs num Omniswitch. As ACLs permitem criar regras
para permitir ou bloquear fluxos de tráfego específicos. Adicionalmente, o parâmetro
precedence pode ser usado para determinar a ordem pela qual cada regra é aplicada.
Pág. 3/4
LICENCIATURA EM ENG. DE SISTEMAS E
INFORMÁTICA
Redes e Serviços de Banda Larga
Sintaxe dos comandos
show vlan [vid]
show vlan [vid] port {slot/port | link_agg}
vlan vid [enable | disable] [name description]
vlan vid router ip ip_address [[mask] subnet_mask] [forward | no forward] [e2 | snap]
qos {enable | disable}
policy condition condition_name
[source ip ip_address [mask netmask]]
[destination ip ip_address [mask netmask]]
[source ip port port[-port]]
[destination ip port port[-port]]
[source tcp port port[-port]]
[destination tcp port port[-port]]
[source udp port port[-port]]
[destination udp port port[-port]]
[ip protocol protocol]
policy condition condition_name no […]
no policy condition condition_name
policy action action_name
[disposition {accept | drop | deny}]
[gateway ip ip_address]
[default gateway ip ip_address]
policy action action_name no […]
no policy action action_name
policy rule rule_name [enable | disable] [precedence precedence] [condition condition] [action
action]
no policy rule rule_name
show [applied] policy action [action_name]
show [applied] policy condition [condition_name]
show [applied] [bridged | routed | multicast] policy rule [rule_name]
show policy classify {l2 | l3 | multicast} [applied]
[source ip ip_address]
[destination ip ip_address]
[ip protocol protocol]
[source ip port port]
[destination ip port port]
show qos config
qos apply
Pág. 4/4
Download
