Sistema de rede da Dell EMC Criando e aplicando a ACL de gerenciamento na série X
Summary: Sistema de rede da Dell EMC Criando e aplicando a ACL de gerenciamento na série X
Symptoms
Criando e aplicando uma ACL de gerenciamento na série X: Bloqueando o acesso do host ao gerenciamento do switch
Exemplo de cenário e requisitos
Implementar um switch da série X e desejar impedir que usuários de uma sub-rede específica acessem as funções de gerenciamento do switch. Para isso, criaremos uma lista de controle de acesso (ACL), preencheremos com as entradas de controle de acesso (ACEs) relevantes e aplicaremos a ACL a uma interface.
Nesse cenário, o objetivo é impedir que todos os clients na sub-rede 172.31.200.0/24 acessem o endereço IP do switch. O switch tem vários endereços IP, tanto na sub-rede local do client (172.31.200.3) quanto em uma sub-rede sem fio separada.
Se o roteamento estiver ativado na série X, a ACL criada deverá bloquear o acesso ao IP do switch na sub-rede local, bem como qualquer tráfego proveniente da sub-rede do client destinado a outros IPs de sub-rede no switch (por exemplo, de 172.31.200.0/24 a 172.30.200.3).
Ambiente
Rede do cliente: 172.31.200.0/24
Conexão de rede do client: Endereços IP do switch sem marcação VLAN 50, porta Gi 1/0/1
:
VLAN 10 – Wireless – 172.30.200.3/24
VLAN 50 – Clientes 172.31.200.3/24
Etapas para criar
Administração de rede -> Segurança -> ACL
Fig. 1 – Acessando a página de configuração de ACL/ACE na GUI Web
NOTA: A série X não é compatível com a configuração de ACLs/ACEs por meio da CLI. A configuração feita por meio da GUI Web ainda será exibida nos resultados da CLI mostrando a configuração, consulte a Fig. 1a.
Fig. 1a – A ACL final criada usando este artigo. Observe como o switch substitui alguns números de porta por seu uso bem conhecido (23 se torna 'telnet' e 80 se torna 'www')
Criando a ACL
ACL baseada em IPV4 -> Editar -> Adicionar -> Criar um nome (sem espaços) -> OK -> Fechar pop-up
Adicionar entradas (ACEs) a uma ACL
ACE baseada em IPv4 -> (os nomes das ACLs estão na lista suspensa, selecione a que você acabou de criar) -> Editar -> Adicionar -> Preencher as regras de entrada -> Ok
Cada ACE terá como alvo um protocolo de gerenciamento que desejamos bloquear, bem como o destino exclusivo que desejamos bloquear. Precisamos fazer um grupo separado de ACEs para o segundo IP de gerenciamento possível, já que a alternativa é bloquear os protocolos sem levar em conta seu destino – o que bloquearia qualquer um desses protocolos tentando transitar o switch que está muito além do que estamos tentando fazer – ou bloquear sem levar em conta o protocolo e apenas com base no destino, o que negaria qualquer tráfego roteado!
Figo. 3 – Adicionando o ACE para bloquear clientes 172.31.200.0/24 de Telnetting para 172.31.200.3. As Opções em Vermelho são necessárias para os nossos propósitos; logging - circulado em laranja - é opcional.
NOTA: O formato para especificar a máscara em uma ACL/ACE é o inverso do método usado para mascaramento de sub-rede. Para especificar a sub-rede de 172.31.200.0/24 (255.255.255.0), a máscara curinga é 0.0.0.255. Da mesma forma, para especificar um único host (/32 ou 255.255.255.255 na notação de máscara de sub-rede), você usaria a máscara curinga 0.0.0.0.
Repita para cada protocolo (1 para telnet(23), 1 para http(80), 1 para https(443), 1 para ssh(22) [se configurado – o acesso ssh à série X está desativado por padrão] e destino e, finalmente, uma instrução 'permit all' no final para permitir tudo o que não está explicitamente bloqueado – veja Fig. 4) -> Ok
Fig. 4 – Criação da declaração 'permitir tudo'. Caso contrário, isso resultará em uma negação implícita no final da ACL, o que significa que, se o switch chegar ao final da ACL (as regras são aplicadas em ordem de prioridade) e nenhuma das regras tiver correspondido, ele negará o tráfego. Adicionamos uma permissão para evitar negar todo o tráfego especificamente direcionado e todo o tráfego que não fazemos referência.
Quando terminar, as entradas de ACE para sua ACL devem ser semelhantes à Fig. 5, abaixo. A figura omitiu as variáveis que não configuramos para melhor visualização.
Figo. 5 – Editado para maior clareza. Isso mostra todas as ACEs (regras) que compõem uma ACL específica. Veja aqui que estamos bloqueando 4 protocolos diferentes – 22, 23, 80 e 443 – para dois destinos diferentes – 172.31.200.3/32 e 172.30.200.3/32.
Aplicando a ACL a uma interface
Vinculação de ACL - Editar ->> Clique em Editar ícone por porta -> Deixe "Entrada" marcada -> Marque "Selecionar ACL baseada em IPv4 (selecione ACL no menu suspenso se ainda não estiver preenchido) -> OK
Fig. 6 – Aplicação da ACL na interface. Selecionamos a entrada para que todo o tráfego que chega no Gi1/0/1 seja verificado em relação à ACL antes de ser permitido no switch.
Para ACLs que controlam o acesso ao switch, devemos verificar a entrada. As ACLs de saída têm seu lugar, mas lembre-se de que o tráfego negado por uma ACL de saída já transitou pelo fabric interno do switch. Se o tráfego for interrompido, é melhor fazê-lo antes que os recursos sejam desperdiçados sendo permitidos dentro e em todo o fabric do switch. Negar o mais próximo possível da fonte!
NOTA: Nas séries X, as ACLs só podem ser vinculadas a interfaces físicas ou lógicas que agreguem interfaces físicas. Isso significa que as ACLs podem ser vinculadas a portas físicas e LAGs (port-channels), mas as ACLs não podem ser vinculadas a VLANs.