DM991-CR

USO DA ACL NO CONTROL PLANE

GUIA DE APLICAÇÃO

Agosto/2018
DM991CR – Guia de Aplicação Contatos

CONTATOS

SUPORTE TÉCNICO

A Datacom disponibiliza um portal de atendimento - DmSupport, para auxílio aos clientes no uso e
configuração de nossos equipamentos.

O acesso ao DmSupport pode ser feito através do link: https://supportcenter.datacom.ind.br

Neste portal estão disponíveis firmwares, descritivos técnicos, guia de configuração, MIBs e manuais para
download. Além disto, permite a abertura de chamados para atendimento com a nossa equipe técnica.

Para contato telefônico: +55 51 3933-3122

Salientamos que o atendimento de nosso suporte por telefone ocorre de segunda a sexta-feira das 08h às
17h30.

Importante: Para atendimento de suporte em regime 24x7, favor solicitar cotação ao nosso setor comercial.

INFORMAÇÕES GERAIS
Para qualquer outra informação adicional, visite http://www.datacom.com.br ou entre em contato:

DATACOM
Rua América, 1000

92990-000 – Eldorado do Sul – RS – Brasil

+55 51 3933-3000

Quality Management System

certified by DQS in compliance with

ISO9001 Registration No. (287097 QM)

DATACOM 2
DM991CR – Guia de Aplicação Índice

ÍNDICE

CONTATOS ...................................................................................................................................................................................... 2
SUPORTE TÉCNICO ..................................................................................................................................................................... 2
INFORMAÇÕES GERAIS ................................................................................................................................................................ 2
ÍNDICE.............................................................................................................................................................................................. 3
1 INTRODUÇÃO.......................................................................................................................................................................... 4
1.1 OBJETIVOS .................................................................................................................................................................... 4
1.2 MATERIAIS NECESSÁRIOS .............................................................................................................................................. 4
1.3 CENÁRIO ....................................................................................................................................................................... 4
2 MODELODEOPERAÇÃODASACL............................................................................................................................................. 5
3 CONFIGURAÇÃOEUSODAFUNCIONALIDADE........................................................................................................................... 6
3.1 CONFIGURAÇÃO INICIAL ................................................................................................................................................ 6
3.2 TESTAR O ACESSO AO EQUIPAMENTO ............................................................................................................................ 7
3.3 APLICANDO ACL NO CONTROL PLANE PARA CONTROLAR A GERÊNCIA ........................................................................... 8
3.4 ADICIONANDO REGRAS PARA LIBERAR PROTOCOLOS DE REDE .................................................................................... 10

DATACOM 3
DM991CR – Guia de Aplicação Introdução

1 INTRODUÇÃO

1.1 OBJETIVOS

Descrever um exemplo de uso da funcionalidade de ACL aplicado unicamente ao control plane.

1.2 MATERIAIS NECESSÁRIOS

- 3 computadores (PC)
- 1 roteador DM991CR/DM991CS
- 3 cabos de rede.

1.3 CENÁRIO

- Primeiro computador utiliza o endereço IP 192.168.1.1/24

- Segundo computador utiliza o endereço IP 100.100.0.11/24
- Terceiro computador utiliza o endereço IP 100.100.15.21/24
- DM991CR utiliza o endereço IP 192.168.1.2/24 na interface ethernet0
- DM991CR utiliza o endereço IP 100.100.0.10/16 na interface ethernet1

Figura 1 – Cenário de exemplo

DATACOM 4
DM991CR – Guia de Aplicação Modelo de Operação das ACL

2 MODELO DE OPERAÇÃO DAS ACL

O equipamento permite separar as ACLs para control plane e data plane. Abaixo o diagrama ilustrativo desta
separação:

Figura 2 – Diagrama de operação das ACLs

DATACOM 5
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade

3 CONFIGURAÇÃO E USO DA FUNCIONALIDADE

3.1 CONFIGURAÇÃO INICIAL

Abaixo o exemplo de configuração inicial do equipamento realizada manualmente.

Configuração
router#show running-config
Building configuration...
!
version 8.9 Beta
!
terminal length 22
terminal timeout 300
!
no enable secret
!
aaa authentication login local
aaa authentication ppp default local
no aaa authentication enable
aaa authorization exec default none
aaa username admin password hash J9qYR9m.35W.E
!
hostname router
!
no banner
!
ip routing
no ip multicast-routing
ip pmtu-discovery
ip default-ttl 64
no ip rp-filter
no ip icmp ignore all
no ip icmp ignore broadcasts
no ip icmp ignore bogus
ip icmp rate dest-unreachable 100
ip icmp rate echo-reply 0
ip icmp rate param-prob 100
ip icmp rate time-exceed 100
ip fragment high 262144
ip fragment low 196608
ip fragment time 30
no ip tcp ecn
no ip tcp syncookies
!
no ipx routing
!
access-policy accept
!
no ip nat helper ftp
no ip nat helper irc
no ip nat helper tftp
!
interface ethernet 0
ip address 192.168.1.2 255.255.255.0
no ipx network
mtu 1500
txqueuelen 100
speed auto
no transparent-bridge
no shutdown

DATACOM 6
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade

!
interface ethernet 1
ip address 100.100.0.10 255.255.0.0
no ipx network
mtu 1500
txqueuelen 100
speed auto
no transparent-bridge
no shutdown
!
interface loopback 0
ip address 127.0.0.1 255.0.0.0
no shutdown
!
interface serial 0
encapsulation hdlc
no invert txclock
no ip address
no ipx network
keepalive interval 10
keepalive timeout 25
mtu 1500
txqueuelen 1024
tx-ring 400
shutdown
!
no ip dhcp server
no ip dhcp relay
no ip dns relay
no ip domain lookup
no ip ssh server
no ip telnet server
!
crypto
auto-reload 180
l2tp pool ethernet 0

O usuário deve salvar a configuração através do seguinte comando:

router#copy running-config startup-config
Building configuration...
[OK]

3.2 TESTAR O ACESSO AO EQUIPAMENTO

Para testar o acesso será utilizado o ping a partir de três máquinas descritas no cenário ilustrado
anteriormente.

1 – Ping a partir da máquina: 192.168.1.1

# ping -c 5 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.622 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=0.602 ms
64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=0.566 ms
64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=0.606 ms
64 bytes from 192.168.1.2: icmp_seq=5 ttl=64 time=0.602 ms

--- 192.168.1.2 ping statistics ---

DATACOM 7
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade

5 packets transmitted, 5 received, 0% packet loss, time 4000ms

rtt min/avg/max/mdev = 0.566/0.599/0.622/0.032 ms

2 – Ping a partir da máquina: 100.100.0.11

# ping -c 5 100.100.0.10
PING 100.100.0.10 (100.100.0.10) 56(84) bytes of data.
64 bytes from 100.100.0.10: icmp_seq=1 ttl=64 time=0.563 ms
64 bytes from 100.100.0.10: icmp_seq=2 ttl=64 time=0.620 ms
64 bytes from 100.100.0.10: icmp_seq=3 ttl=64 time=0.569 ms
64 bytes from 100.100.0.10: icmp_seq=4 ttl=64 time=0.619 ms
64 bytes from 100.100.0.10: icmp_seq=5 ttl=64 time=0.625 ms

--- 100.100.0.10 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4000ms
rtt min/avg/max/mdev = 0.563/0.599/0.625/0.031 ms

3 – Ping a partir da máquina: 100.100.15.21

# ping -c 5 100.100.0.10
PING 100.100.0.10 (100.100.0.10) 56(84) bytes of data.
64 bytes from 100.100.0.10: icmp_seq=1 ttl=64 time=1.32 ms
64 bytes from 100.100.0.10: icmp_seq=2 ttl=64 time=0.607 ms
64 bytes from 100.100.0.10: icmp_seq=3 ttl=64 time=0.627 ms
64 bytes from 100.100.0.10: icmp_seq=4 ttl=64 time=0.585 ms
64 bytes from 100.100.0.10: icmp_seq=5 ttl=64 time=0.640 ms

--- 100.100.0.10 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4000ms
rtt min/avg/max/mdev = 0.585/0.756/1.325/0.286 ms

Todas as máquinas possuem conectividade com o roteador DM991-CR.

3.3 APLICANDO ACL NO CONTROL PLANE PARA CONTROLAR A GERÊNCIA

O exemplo a seguir cria uma ACL associada ao control plane com duas regras. A primeira regra será utilizada
para aceitar apenas pacotes que tenham origem na rede 100.100.0.0/24, já a segunda regra será utilizada para
que todos os pacotes que não se encaixarem na primeira regra sejam descartados:

router(config)#access-list mngt accept ip 100.100.0.0 0.0.0.255 any

router(config)#access-list mngt drop ip any any
router(config)#management access-class mngt in

DATACOM 8
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade

Foi criada uma ACL chamada mngt com duas regras:

1- Aceitar qualquer pacote da rede 100.100.0.0/24

2- Descartar qualquer pacote de qualquer rede.

É importante que a ordem das regras seja respeitada: primeiro as regras que aceitam
pacotes e por fim a regra que descarta tudo.

O usuário pode salvar a configuração através do seguinte comando:

router#copy running-config startup-config
Building configuration...
[OK]

Para testar o acesso com a configuração de ACL será utilizado novamente o ping a partir de três máquinas
descritas no cenário ilustrado anteriormente.

1 – Ping a partir da máquina: 192.168.1.1

# ping -c 5 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.

--- 192.168.1.2 ping statistics ---

5 packets transmitted, 0 received, 100% packet loss, time 4032ms

2 – Ping a partir da máquina: 100.100.0.11

# ping -c 5 100.100.0.10
PING 100.100.0.10 (100.100.0.10) 56(84) bytes of data.
64 bytes from 100.100.0.10: icmp_seq=1 ttl=64 time=2.00 ms
64 bytes from 100.100.0.10: icmp_seq=2 ttl=64 time=0.714 ms
64 bytes from 100.100.0.10: icmp_seq=3 ttl=64 time=0.663 ms
64 bytes from 100.100.0.10: icmp_seq=4 ttl=64 time=0.701 ms
64 bytes from 100.100.0.10: icmp_seq=5 ttl=64 time=0.715 ms

--- 100.100.0.10 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.663/0.959/2.003/0.522 ms

3 – Ping a partir da máquina: 100.100.15.21

# ping -c 5 100.100.0.10
PING 100.100.0.10 (100.100.0.10) 56(84) bytes of data.

--- 100.100.0.10 ping statistics ---

5 packets transmitted, 0 received, 100% packet loss, time 3999ms

DATACOM 9
DM991CR – Guia de Aplicação Configuração e Uso da funcionalidade

Exibindo os contadores das regras da ACL:

router#show access-lists mngt
IP access list mngt
accept ip 100.100.0.0 0.0.0.255 any (5 matches)
drop ip any any (10 matches)

Nota-se que os pacotes aceitos e descartados estão de acordo com os testes realizados, ou seja, pacotes da
rede 100.100.0.0/24 foram aceitos e todos os demais descartados.

O exemplo apresentado acima é muito utilizado para restringir acessos à gerência, o que
permite o acesso ao equipamento (gerência remota Telnet e SSH) apenas para endereços
IP de origem conhecidos.

3.4 ADICIONANDO REGRAS PARA LIBERAR PROTOCOLOS DE REDE

Em algumas situações é necessário liberar protocolos de rede mantidos pelo próprio equipamento. Um
exemplo claro disto é quando o DM991CR opera como servidor DHCP para a rede local. Se a ACL no control
plane estiver ativa para restringir o acesso à gerência, é necessário configurar uma regra na ACL que permita o
protocolo DHCP funcionar (não descartar os pacotes relacionados). Para estes casos, se faz necessário a
criação de uma regra que aceite pacotes que tenham origem ou destino na porta TCP/UDP do
serviço/protocolo. A necessidade deste tipo de regra se aplica a todos os protocolos quando a ACL no control
plane estiver ativa, tais como: SNMP, TACACS+, BGP, RIP, OSPF, DHCP, DNS, NTP, etc.

Segue exemplo de ACL liberando o funcionamento do serviço DHCP para a rede local. O DHCP faz uso das
portas 67 e 68.

router(config)#access-list mngt accept ip 100.100.0.0 0.0.0.255 any

router(config)#access-list mngt accept udp any eq 68 any eq 67
router(config)#access-list mngt drop ip any any
router(config)#management access-class mngt in

DATACOM 10