Cisco: ACLs Dinâmicas

Neste post vou demonstrar o funcionamento da ACL dynamic nos equipamentos Cisco.

Ao fazer uso da ACL dynamic é possível criar uma access-list temporária após o host se autenticar no roteador, desta forma inicialmente teremos apenas liberado o acesso telnet ao host onde após a autenticação será inserido no device uma ACL temporária permitindo o acesso ao ambiente. Após o tempo limite configurado a ACL é removida.

Para demonstrar seu funcionamento iremos fazer uso da topologia abaixo, onde será emulada através do GNS3.

acl_dynamic_01

Primeiramente iremos garantir a conectividade entre os equipamentos.

R1

enable
configure terminal
!
hostname R1
!
interface f0/0
ip address 200.200.200.2 255.255.255.252
no shutdown
description R2
!
interface f0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
!
ip route 100.100.100.0 255.255.255.0 200.200.200.1

R2

enable
configure terminal
!
hostname R2
!
interface f0/0
ip address 200.200.200.1 255.255.255.252
no shutdown
description R1
!
interface f0/1
ip address 100.100.100.1 255.255.255.252
no shutdown
description Host
!
ip route 192.168.1.0 255.255.255.0 200.200.200.2

Uma vez com a conectividade entre os ambientes, iremos prosseguir com a aplicação da ACL.

acl_dynamic_02

A restrição será aplicada no roteador R1.

enable
configure terminal
!
username viniciusbueno secret cisco
!
ip access-list extended BLOCK_IN
permit tcp host 100.100.100.2 host 200.200.200.2 eq telnet
!
dynamic hostlist timeout 20 permit ip host 100.100.100.2 192.168.1.0 0.0.0.255
!
deny ip any any
!
interface f0/0
ip access-group BLOCK_IN in
!
line vty 0 4
login local
autocommand access-enable  host timeout 5

O parâmetro do comando da ACL dynamic:

dynamic dynamic_ACL_name [timeout minutes]  {deny | permit} IP_protocol source_IP_address src_wildcard_mask  destination_IP_address dst_wildcard_mask [established] [log]

Como pode ser visto, foi aplicado a ACL dinâmica no sentido IN do roteador R1, também foi criado um usuário viniciusbueno para realizar a autenticação no equipamento.

Uma vez com esta ACL o Host 100.100.100.1 não conseguira pingar diretamente o Server 192.168.1.10.

Falha no teste de PING.

acl_dynamic_03

Show access-list no roteador R1, onde teve match no deny.

acl_dynamic_04

Agora iremos a partir do host 100.100.100.1 iremos estabelecer o telnet no R1 e realizar a autenticação.

acl_dynamic_05

Como pode ser visto a autenticação foi realizada com sucesso e o telnet encerrado.

Agora vamos verificar o show access-list do roteador R1.

acl_dynamic_06

Como pode ser visto, foi ativado a liberação do acesso ANY a rede 192.168.1.0 ao Host 100.100.100.1.

Agora iremos realizar acesso do Host 100.100.100.1 ao Server 192.168.1.10.

acl_dynamic_07

O acesso ocorreu com sucesso, vamos dar uma olhada no show access-list.

acl_dynamic_08

Reparem que houve match na ACL e também esta informando o tempo restante.

Após o termino a ACL temporária  é desativada, sendo necessário uma nova autenticação.

acl_dynamic_09

E assim finalizamos mais um post.

Tags: