Cisco: ACLs Reflexiva

Neste post vou demonstrar o funcionamento da ACL reflexiva nos equipamentos Cisco.

Ao fazer uso da ACL reflexiva é possível criar filtros trabalhando com a camada de sessão, não apenas na camada de transporte.

acl_reflexiva_01

Para este processo se utiliza duas ACLs uma no sentido outbound, onde é setado a inspeção do tráfego, e uma no sentido inbound, onde é setado o retorno da sessão.

Este tipo de ACL se aplica apenas em ACL estendida e nomeada.

Para demonstrar seu funcionamento iremos fazer uso da topologia abaixo, onde será emulada através do GNS3.

acl_reflexiva_02

Primeiramente iremos garantir a conectividade entre os equipamentos.

SITE_A

enable
configure terminal
!
hostname SITE_A
!
router eigrp 10
network 192.168.1.0 0.0.0.255
network 1.1.1.0 0.0.0.3
no auto-summary
exit
!
interface f0/0
ip address 1.1.1.1 255.255.255.252
no shutdown
description L2L
!
interface f0/1
ip address 192.168.1.1 255.255.255.0
no shutdown

SITE_B

enable
configure terminal
!
hostname SITE_B
!
router eigrp 20
network 10.10.10.0 0.0.0.255
network 2.2.2.0 0.0.0.3
no auto-summary
exit
!
interface f0/0
ip address 2.2.2.1 255.255.255.252
no shutdown
description L2L
!
interface f0/1
ip address 10.10.10.1 255.255.255.0
no shutdown

L2L

enable
configure terminal
!
hostname L2L
!
router eigrp 10
redistribute eigrp 20
network 1.1.1.0 0.0.0.3
no auto-summary
exit
!
router eigrp 20
redistribute eigrp 10
network 2.2.2.0 0.0.0.3
no auto-summary
exit
!
interface f0/0
ip address 1.1.1.2 255.255.255.252
no shutdown
!
interface f0/1
ip address 2.2.2.2 255.255.255.252
no shutdown

Uma vez com a conectividade entre os ambientes, iremos prosseguir com a aplicação da ACL.

acl_reflexiva_03

A restrição será aplicada no roteador SITE_A.

enable
configure terminal
!
ip access-list extended BLOCK-OUT
permit icmp any any
permit tcp any any reflect tcp-traffic
permit udp any any eq 123 reflect ntp-traffic timeout 5
!
ip access-list extended BLOCK-IN
permit icmp any any
evaluate tcp-traffic
evaluate ntp-traffic
!
interface f0/0
ip access-group BLOCK-OUT out
ip access-group BLOCK-IN in

Reparem que as ACLs foram aplicadas no roteador SITE_A

acl_reflexiva_05

Porém ao aplicar apenas estas listas de acesso a sessão EIGRP com o roteador L2L ficou down

acl_reflexiva_04

Para corrigir este problema será necessário acrescentar as ACLs abaixo

 enable
configure terminal
!
ip access-list extended BLOCK-OUT
permit eigrp any any
!
ip access-list extended BLOCK-IN
permit eigrp any any

Reparem que a sessão foi restabelecida

acl_reflexiva_06

Agora iremos a partir do Host_A (192.168.1.10) acessar o serviço HTTP (TCP/80) do Host_B (10.10.10.10)

acl_reflexiva_07

Como pode ser visto o acesso funcionou perfeitamente. No show também é possível ver o match da regra

acl_reflexiva_08

E assim finalizamos mais um post.

Tags: