Итак, у меня есть ipsec туннель между оборудование D-Link DFL 860E и оборудованием Cisco ISR4331-SECK9, настройки данного туннеля позволяют устройствам перед D-Link подключаться к устройствам после Cisco. И вот поставили задачу, нужно организовать правила, посредством которых подключение на конкретные узлы за Cisco можно только с определенных адресов. Первое, что я пока на основе своего малого опыта работы с сетевым оборудование предпринял это сделать простейший ACL лист. Проанализировав, как идет пакет от Source to Destination я понял, что нацеливать (ACL лист) нужно на исходящий интерфейс (out) оборудования Cisco. Ладно это я сделал, тут новая задача (ведь нужно думать всегда наперед), а если правил доступа будет несколько и сетей/устройств тоже, прописывать все по одной строке в общий список, а как же документировать.
Выходом из сложившейся ситуации я увидел пока это использование ACL for Object-Group. Т.е. можно создать группы Source, группы Destination, группы Service и уже ими управлять в правилах.
Сейчас я покажу один из случает написания правила где нужно разрешить RDP соединение из одной сети к другой.
Предварительные данные:
- 172.50.50.0/24 –> сеть перед D-Link DFL-860E
- 172.60.60.0/24 –> сеть после Cisco ISR4331-SECK9
Итак, подключаюсь через SSH клиент с рабочей системы (либо через Putty, либо Terminal ssh) к оборудованию Cisco ISR4331-SECK9
Router#conf t
Шаг №1: Создаю группу хостов (Источник)
Router(config)#object-group network dlink-rdp
Router(config-network-group)#host 172.50.50.112
Router(config-network-group)#exit
Шаг №2: Cоздаю группу хостов (Конечная цель за Cisco)
Router(config)#object-group network cisco-host-rdp
Router(config-network-group)#host 172.60.60.112
Router(config-network-group)#exit
Шаг №3: Создаю группу сервисов
Router(config)#object-group service ipsec-rdp
Router(config-service-group)#tcp 3389
Router(config-service-group)#exit
Шаг №4: Создаю ACL лист доступа:
Router(config)#ip access-list extended 111
На заметку: синтаксис написания правил на основе групп
Группа-Сервис –> Группа-Источник -> Группа-Конечная цель
Router(config-ext-nacl)#permit object-group ipsec-rdp object-group dlink-rdp object-group cisco-host-rdp
Router(config-ext-nacl)#exit
Шаг №5: Нацеливаю созданный access—лист на интерфейс, смотрящий в сторону локальной сети за Cisco:
Router(config)#interface gigabitEthernet 0/0/0.100
Router(config-subif)#ip access-group 111 out
Router(config)#end
Router#wr mem
Шаг №6: Проверяю, что только RDP соединение теперь в сеть за Cisco возможно, даже обычный PING-запрос не пройдет, т.к. нет правила. Принцип правил написания: все запрещено кроме явного разрешенного.
Итого я для себя вывел новый способ настройки правил, вот его и буду использовать для поставленных задач. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.