Управляем ACL группами в Cisco

Posted by

Итак, у меня есть ipsec туннель между оборудование D-Link DFL 860E и оборудованием Cisco ISR4331-SECK9, настройки данного туннеля позволяют устройствам перед D-Link подключаться к устройствам после Cisco. И вот поставили задачу, нужно организовать правила, посредством которых подключение на конкретные узлы за Cisco можно только с определенных адресов. Первое, что я пока на основе своего малого опыта работы с сетевым оборудование предпринял это сделать простейший лист. Проанализировав, как идет пакет от Source to Destination я понял, что нацеливать (ACL лист) нужно на исходящий интерфейс (out) оборудования Cisco. Ладно это я сделал, тут новая задача (ведь нужно думать всегда наперед), а если правил доступа будет несколько и сетей/устройств тоже, прописывать все по одной строке в общий список, а как же документировать.

Выходом из сложившейся ситуации я увидел пока это использование ACL for Object-Group.  Т.е. можно создать группы Source, группы Destination, группы Service и уже ими управлять в правилах.

Сейчас я покажу один из случает написания правила где нужно разрешить RDP соединение из одной сети к другой.

Предварительные данные:

  • 172.50.50.0/24 –> сеть перед D-Link DFL-860E
  • 172.60.60.0/24 –> сеть после Cisco ISR4331-SECK9

Итак, подключаюсь через SSH клиент с рабочей системы (либо через Putty, либо Terminal ssh) к оборудованию Cisco ISR4331-SECK9

Router#conf t

Шаг №1: Создаю группу хостов (Источник)

Router(config)#object-group network dlink-rdp

Router(config-network-group)#host 172.50.50.112

Router(config-network-group)#exit

Шаг №2: Cоздаю группу хостов (Конечная цель за Cisco)

Router(config)#object-group network cisco-host-rdp

Router(config-network-group)#host 172.60.60.112

Router(config-network-group)#exit

Шаг №3: Создаю группу сервисов

Router(config)#object-group service ipsec-rdp

Router(config-service-group)#tcp 3389

Router(config-service-group)#exit

Шаг №4: Создаю ACL лист доступа:

Router(config)#ip access-list extended 111

На заметку: синтаксис написания правил на основе групп

Группа-Сервис –> Группа-Источник -> Группа-Конечная цель

Router(config-ext-nacl)#permit  object-group ipsec-rdp object-group dlink-rdp object-group cisco-host-rdp

Router(config-ext-nacl)#exit

Шаг №5: Нацеливаю созданный accessлист на интерфейс, смотрящий в сторону локальной сети за Cisco:

Router(config)#interface gigabitEthernet 0/0/0.100

Router(config-subif)#ip access-group 111 out

Router(config)#end

Router#wr mem

Шаг №6: Проверяю, что только RDP соединение теперь в сеть за Cisco возможно, даже обычный PING-запрос не пройдет, т.к. нет правила. Принцип правил написания: все запрещено кроме явного разрешенного.

Итого я для себя вывел новый способ настройки правил, вот его и буду использовать для поставленных задач. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.