Escolar Documentos
Profissional Documentos
Cultura Documentos
GUIA DE APLICAÇÃO
Agosto/2018
DM991CR – Guia de Aplicação Contatos
CONTATOS
SUPORTE TÉCNICO
A Datacom disponibiliza um portal de atendimento - DmSupport, para auxílio aos clientes no uso e
configuração de nossos equipamentos.
Neste portal estão disponíveis firmwares, descritivos técnicos, guia de configuração, MIBs e manuais para
download. Além disto, permite a abertura de chamados para atendimento com a nossa equipe técnica.
Salientamos que o atendimento de nosso suporte por telefone ocorre de segunda a sexta-feira das 08h às
17h30.
Importante: Para atendimento de suporte em regime 24x7, favor solicitar cotação ao nosso setor comercial.
INFORMAÇÕES GERAIS
Para qualquer outra informação adicional, visite http://www.datacom.com.br ou entre em contato:
DATACOM
Rua América, 1000
+55 51 3933-3000
DATACOM 2
DM991CR – Guia de Aplicação Índice
ÍNDICE
CONTATOS ...................................................................................................................................................................................... 2
SUPORTE TÉCNICO ..................................................................................................................................................................... 2
INFORMAÇÕES GERAIS ................................................................................................................................................................ 2
ÍNDICE.............................................................................................................................................................................................. 3
1 INTRODUÇÃO.......................................................................................................................................................................... 4
1.1 OBJETIVOS .................................................................................................................................................................... 4
1.2 MATERIAIS NECESSÁRIOS .............................................................................................................................................. 4
1.3 CENÁRIO ....................................................................................................................................................................... 4
2 MODELODEOPERAÇÃODASACL............................................................................................................................................. 5
3 CONFIGURAÇÃOEUSODAFUNCIONALIDADE........................................................................................................................... 6
3.1 CONFIGURAÇÃO INICIAL ................................................................................................................................................ 6
3.2 TESTAR O ACESSO AO EQUIPAMENTO ............................................................................................................................ 7
3.3 APLICANDO ACL NO CONTROL PLANE PARA CONTROLAR A GERÊNCIA ........................................................................... 8
3.4 ADICIONANDO REGRAS PARA LIBERAR PROTOCOLOS DE REDE .................................................................................... 10
DATACOM 3
DM991CR – Guia de Aplicação Introdução
1 INTRODUÇÃO
1.1 OBJETIVOS
- 3 computadores (PC)
- 1 roteador DM991CR/DM991CS
- 3 cabos de rede.
1.3 CENÁRIO
DATACOM 4
DM991CR – Guia de Aplicação Modelo de Operação das ACL
DATACOM 5
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade
Configuração
router#show running-config
Building configuration...
!
version 8.9 Beta
!
terminal length 22
terminal timeout 300
!
no enable secret
!
aaa authentication login local
aaa authentication ppp default local
no aaa authentication enable
aaa authorization exec default none
aaa username admin password hash J9qYR9m.35W.E
!
hostname router
!
no banner
!
ip routing
no ip multicast-routing
ip pmtu-discovery
ip default-ttl 64
no ip rp-filter
no ip icmp ignore all
no ip icmp ignore broadcasts
no ip icmp ignore bogus
ip icmp rate dest-unreachable 100
ip icmp rate echo-reply 0
ip icmp rate param-prob 100
ip icmp rate time-exceed 100
ip fragment high 262144
ip fragment low 196608
ip fragment time 30
no ip tcp ecn
no ip tcp syncookies
!
no ipx routing
!
access-policy accept
!
no ip nat helper ftp
no ip nat helper irc
no ip nat helper tftp
!
interface ethernet 0
ip address 192.168.1.2 255.255.255.0
no ipx network
mtu 1500
txqueuelen 100
speed auto
no transparent-bridge
no shutdown
DATACOM 6
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade
!
interface ethernet 1
ip address 100.100.0.10 255.255.0.0
no ipx network
mtu 1500
txqueuelen 100
speed auto
no transparent-bridge
no shutdown
!
interface loopback 0
ip address 127.0.0.1 255.0.0.0
no shutdown
!
interface serial 0
encapsulation hdlc
no invert txclock
no ip address
no ipx network
keepalive interval 10
keepalive timeout 25
mtu 1500
txqueuelen 1024
tx-ring 400
shutdown
!
no ip dhcp server
no ip dhcp relay
no ip dns relay
no ip domain lookup
no ip ssh server
no ip telnet server
!
crypto
auto-reload 180
l2tp pool ethernet 0
# ping -c 5 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.622 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=0.602 ms
64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=0.566 ms
64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=0.606 ms
64 bytes from 192.168.1.2: icmp_seq=5 ttl=64 time=0.602 ms
DATACOM 7
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade
# ping -c 5 100.100.0.10
PING 100.100.0.10 (100.100.0.10) 56(84) bytes of data.
64 bytes from 100.100.0.10: icmp_seq=1 ttl=64 time=0.563 ms
64 bytes from 100.100.0.10: icmp_seq=2 ttl=64 time=0.620 ms
64 bytes from 100.100.0.10: icmp_seq=3 ttl=64 time=0.569 ms
64 bytes from 100.100.0.10: icmp_seq=4 ttl=64 time=0.619 ms
64 bytes from 100.100.0.10: icmp_seq=5 ttl=64 time=0.625 ms
# ping -c 5 100.100.0.10
PING 100.100.0.10 (100.100.0.10) 56(84) bytes of data.
64 bytes from 100.100.0.10: icmp_seq=1 ttl=64 time=1.32 ms
64 bytes from 100.100.0.10: icmp_seq=2 ttl=64 time=0.607 ms
64 bytes from 100.100.0.10: icmp_seq=3 ttl=64 time=0.627 ms
64 bytes from 100.100.0.10: icmp_seq=4 ttl=64 time=0.585 ms
64 bytes from 100.100.0.10: icmp_seq=5 ttl=64 time=0.640 ms
O exemplo a seguir cria uma ACL associada ao control plane com duas regras. A primeira regra será utilizada
para aceitar apenas pacotes que tenham origem na rede 100.100.0.0/24, já a segunda regra será utilizada para
que todos os pacotes que não se encaixarem na primeira regra sejam descartados:
DATACOM 8
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade
É importante que a ordem das regras seja respeitada: primeiro as regras que aceitam
pacotes e por fim a regra que descarta tudo.
Para testar o acesso com a configuração de ACL será utilizado novamente o ping a partir de três máquinas
descritas no cenário ilustrado anteriormente.
# ping -c 5 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
# ping -c 5 100.100.0.10
PING 100.100.0.10 (100.100.0.10) 56(84) bytes of data.
64 bytes from 100.100.0.10: icmp_seq=1 ttl=64 time=2.00 ms
64 bytes from 100.100.0.10: icmp_seq=2 ttl=64 time=0.714 ms
64 bytes from 100.100.0.10: icmp_seq=3 ttl=64 time=0.663 ms
64 bytes from 100.100.0.10: icmp_seq=4 ttl=64 time=0.701 ms
64 bytes from 100.100.0.10: icmp_seq=5 ttl=64 time=0.715 ms
# ping -c 5 100.100.0.10
PING 100.100.0.10 (100.100.0.10) 56(84) bytes of data.
DATACOM 9
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade
Nota-se que os pacotes aceitos e descartados estão de acordo com os testes realizados, ou seja, pacotes da
rede 100.100.0.0/24 foram aceitos e todos os demais descartados.
O exemplo apresentado acima é muito utilizado para restringir acessos à gerência, o que
permite o acesso ao equipamento (gerência remota Telnet e SSH) apenas para endereços
IP de origem conhecidos.
Em algumas situações é necessário liberar protocolos de rede mantidos pelo próprio equipamento. Um
exemplo claro disto é quando o DM991CR opera como servidor DHCP para a rede local. Se a ACL no control
plane estiver ativa para restringir o acesso à gerência, é necessário configurar uma regra na ACL que permita o
protocolo DHCP funcionar (não descartar os pacotes relacionados). Para estes casos, se faz necessário a
criação de uma regra que aceite pacotes que tenham origem ou destino na porta TCP/UDP do
serviço/protocolo. A necessidade deste tipo de regra se aplica a todos os protocolos quando a ACL no control
plane estiver ativa, tais como: SNMP, TACACS+, BGP, RIP, OSPF, DHCP, DNS, NTP, etc.
Segue exemplo de ACL liberando o funcionamento do serviço DHCP para a rede local. O DHCP faz uso das
portas 67 e 68.
DATACOM 10