Dynamic ACL

Dynamic ACL

Dupa cum probabil stiti deja, exista mai multe tipuri de ACL-uri Cisco: Standard, Extendend, Dynamic, Reflexive, IP Named, Time Based, etc. Mai putin folosite, ACL-urile dinamice sau  “Lock and Key ACL” permit unui anumit tip de trafic sa tranziteze un router, numai dupa ce utilizatorul se logheaza pe routerul respectiv. Si pentru ca un exemplu lamureste deseori cel mai bine lucrurile, sa consideram diagrama de mai jos:

lock-and-key

Vrem sa permitem accesul PC-ului la reteaua noastra Network numai dupa ce acesta se logheaza pe Router-ul nostru de border. In felul acesta suntem siguri ca resursele din retea nu vor fi accesate decat de utilizatorii care au anumite drepturi de access, iar traficul “nelegitim” va fi dropat inainte de a intra in retea. Iata cum vom proceda: Cream un “dynamic ACL”, il setam pe interfata E0 pe input si apoi rulam automat la logare comanda “access-enable” pentru ca utilizatorul sa nu ajunga sa primeasca acces pe Router dar sa se genereze intrarea dinamica din ACL.

Router(config)# ip access-list extended my-dynamic-acl
 Router(config-ext-nacl)# 10 dynamic MY-ACL permit ip any any
 Router(config-ext-nacl)#  20 permit tcp any host 171.68.117.189 eq telnet
Router(config)# interface E0
 Router(config-if)# ip access-group my-dynamic-acl in
Router#sh ip access-lists my-dynamic-acl
 Extended IP access list my-dynamic-acl
 10 Dynamic MY-ACL permit ip any any
 20 permit tcp any host 171.68.117.189 eq telnet

Varianta 1: doar daca ne logam cu un anumit user (liviu in exemplul nostru) vom genera intrarea dinamica in ACL. Ceilalti useri vor putea face telnet pe Router insa ACL-ul nu se va modifica pentru a permite trafic catre Network.

Router(config)# username liviu autocommand access-enable host timeout 10 
# in 10 minute de inactivitate intrarea dinamica va expira
Router(config)# line vty 0 15
 Router(config-line)# login local

Varianta 2: generam intrarea dinamica in ACL pentru orice logare pe Router.

Router(config)# line vty 0 15
 Router(config-line)# autocommand access-enable host timeout 10

Dupa ce facem telnet de pe PC pe Router vom obtine mesajul:

[Connection to 171.68.117.189 closed by foreign host]

dar ni se va permite tranzitul print Router si accesul la Network.

Router #sh ip access-lists my-dynamic-acl
 Extended IP access list my-dynamic-acl
 10 Dynamic MY-ACL permit ip any any
 10 permit ip host 171.68.109.158 any 
# observati mai sus ca a aparut aceasta intrare in ACL 
 20 permit tcp any host 171.68.117.189 eq telnet

ATENTIE! : intrarea generata in ACL are ca sursa IP-ul de pe care s-a facut telnet desi linia “Dynamic” contine ca sursa orice ip (any)

Va rog sa-mi spuneti cum putem face sa accesam totusi Router-ul via telnet daca ne aflam in varianta 2 (nu ne logam cu user/pass), pentru ca “autocommand access-enable” in VTY nu ne va mai permite cel putin teoretic sa intram pe Router.

3 Comments

  1. banuiesc ca este vorba de comanda “autocommand-options nohangup” rulata in modul line.

  2. Author

    corect. mai exista insa o solutie la fel de eleganta 🙂

  3. Author

    hint: se foloseste “rotary” in VTY

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.