Dell EMC Networking Creación y aplicación de la ACL de administración en la serie X
Summary: Dell EMC Networking Creación y aplicación de la ACL de administración en la serie X
Symptoms
Creación y aplicación de una ACL de administración en la serie X: Bloqueo del acceso de host a la administración de switches
Ejemplo de escenario y requisitos
Implementar un switch de la serie X y evitar que los usuarios de una subred específica accedan a las funciones de administración del switch. Para ello, crearemos una lista de control de acceso (ACL), la completaremos con las entradas de control de acceso (ACE) pertinentes y aplicaremos la ACL a una interfaz.
En este escenario, el propósito es bloquear el acceso de todos los clientes de la subred 172.31.200.0/24 a la dirección IP del switch. El switch tiene varias direcciones IP, tanto en la subred local del cliente (172.31.200.3) como en una subred inalámbrica independiente.
Si el enrutamiento está habilitado en la serie X, la ACL creada debe bloquear el acceso a la IP del switch en la subred local, así como a cualquier tráfico originado desde la subred del cliente destinado a otras IP de subred en el switch (por ejemplo, de 172.31.200.0/24 a 172.30.200.3).
Environment
Red del cliente: 172.31.200.0/24
Conexión de red del cliente: VLAN 50 sin etiqueta, puerto Gi 1/0/1
Direcciones IP del switch:
VLAN 10: inalámbrica: 172.30.200.3/24
VLAN 50: clientes 172.31.200.3/24
Pasos para crear
Administración de redes -> Seguridad -> ACL
Fig. 1 – Acceso a la página de configuración de ACL/ACE en la WebGUI
NOTA: La serie X no es compatible con la configuración de ACL/ACE a través de la CLI. La configuración realizada a través de WebGUI se seguirá mostrando en las salidas de la CLI que muestran la configuración, consulte la Fig. 1a.
Fig. 1a: la ACL final creada con este artículo. Observe cómo el switch sustituye algunos números de puerto por su uso conocido (23 se convierte en 'telnet' y 80 se convierte en 'www')
Creación de la ACL
ACL basada en IPV4 -> Editar -> Agregar -> Crear un nombre (sin espacios) -> Aceptar -> Cerrar ventana emergente
Agregar entradas (ACE) a una ACL
ACE basada en IPv4 -> (Los nombres de ACL están en el menú desplegable, seleccione el que acaba de hacer) -> Editar -> Agregar -> Completar las reglas de entrada -> Ok
Cada ACE se dirigirá a un protocolo de administración que deseamos bloquear, así como al destino único que deseamos bloquear. Necesitamos crear un grupo separado de ACE para la segunda IP de administración posible, ya que la alternativa es bloquear los protocolos sin tener en cuenta su destino, lo que bloquearía cualquiera de estos protocolos que intenten transitar por el switch, que está mucho más allá de lo que estamos tratando de hacer, o bloquear sin tener en cuenta el protocolo y solo en función del destino, lo que negaría cualquier tráfico enrutado.
Higo. 3 – Adición de la ACE para bloquear 172.31.200.0/24 clientes de Telnetting a 172.31.200.3. Las Opciones en Rojo son necesarias para nuestros propósitos; El registro, marcado con un círculo naranja, es opcional.
NOTA: El formato para especificar la máscara en una ACL/ACE es el método inverso al utilizado para el enmascaramiento de subred. Para especificar la subred de 172.31.200.0/24 (255.255.255.0), la máscara comodín es 0.0.0.255. Del mismo modo, para especificar un solo host (/32 o 255.255.255.255 en notación de máscara de subred) utilizaría la máscara comodín de 0.0.0.0.
Repita para cada protocolo (1 para telnet(23), 1 para http(80), 1 para https(443), 1 para ssh(22) [si está configurado – el acceso ssh a la serie X está deshabilitado de forma predeterminada] y destino, y finalmente una declaración 'allow all' al final para permitir todo lo que no esté bloqueado explícitamente – ver Fig. 4) -> Ok
Fig. 4 – Crear la declaración 'permitir todo'. Si no se agrega esto, se producirá una denegación implícita al final de la ACL, lo que significa que si el switch llega al final de la ACL (las reglas se aplican en orden de prioridad) y ninguna de las reglas coincide, denegará el tráfico. Añadimos un permiso para evitar denegar todo el tráfico específicamente dirigido y todo el tráfico al que no hacemos referencia en absoluto.
Cuando haya terminado, las entradas ACE de la ACL deben tener un aspecto similar al de la Fig. 5 que aparece a continuación. La figura omitió las variables que no configuramos para una mejor visualización.
Higo. 5 – Editado para mayor claridad. Esto muestra todas las ACE (reglas) que componen una ACL en particular. Estamos bloqueando 4 protocolos diferentes: 22, 23, 80 y 443, a dos destinos diferentes: 172.31.200.3/32 y 172.30.200.3/32.
Aplicación de la ACL a una interfaz
Vinculación de ACL -> Editar -> Haga clic en el icono Editar por puerto -> Deje seleccionada la opción "Ingreso" -> Marque "Seleccionar ACL basada en IPv4" (seleccione ACL en el menú desplegable si aún no está completado) -> Aceptar
Fig. 6 – Aplicación de la ACL a la interfaz. Seleccionamos ingress para que todo el tráfico que entra en Gi1/0/1 se verifique con la ACL antes de que se permita seguir en el switch.
En el caso de las ACL que controlan el acceso al switch, debemos verificar el ingreso. Las ACL de salida tienen su lugar, pero recuerde que el tráfico denegado por una ACL de salida ya ha transitado por el fabric interno del switch. Si el tráfico se va a descartar, es mejor hacerlo antes de que se desperdicien recursos permitidos dentro y a través del fabric del switch. ¡Negar lo más cerca posible de la fuente!
NOTA: En la serie X, las ACL solo se pueden vincular a interfaces físicas o lógicas que agregan interfaces físicas. Esto significa que las ACL se pueden vincular a puertos físicos y LAG (canales de puerto), pero las ACL no se pueden vincular a VLAN.