Switches 3Com 7900 – Aplicando ACLs em VLANs

Para configurarmos as listas de acesso (ACL) e aplicarmos a uma interface física ou VLAN no Switch 7900 é necessário o vínculo a uma politica de QoS, aplicando a ACL indiretamente à Interface ou VLAN.

No script abaixo iremos negar a rede 192.168.1.0/24 de comunicar-se com a rede 172.31.1.0/24.

Configuração

vlan 192
vlan 172
#
interface Vlan-interface192

ip address 192.168.1.1 255.255.255.0
#
interface Vlan-interface172
ip address 172.31.1.1 255.255.255.0
#
acl number 3001
!criando a ACL avançada 3001
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 172.31.1.0 0.0.0.255
! regra 0 irá negar a origem 192.168.1.0/24 (é obrigatório a utilização de máscara curinga) de comunicar com a rede 172.31.1.0/24. Nesse caso poderíamos ter mais de uma regra!!
quit
traffic classifier rede_192 operator and
! Criando a classificação de tráfego com o nome rede_192
if-match acl 3001
! Efetuando match na ACL 3001
quit
#
traffic behavior rede_172
! Criando o comportamento com o nome rede_172

filter deny
! Criando o filtro negar (deny)
quit
#
qos policy proibe_rede_192_172

!Criando a policy com nome proibe_rede_192_172

classifier rede_192 behavior rede_172
! vinculo do classifier rede_192(ACL) com o behavior rede_172 (deny)
quit
qos vlan-policy proibe_192_172 vlan 192 inbound
! aplicando a politica de QoS na VLAN 192, proibindo a rede 192.168.1.0/24 de comunicar-se com a rede 172.31.1.0/24 no sentido de entrada do Switch

Para aplicarmos a sintaxe a uma porta física (GigabitEthernet) a sintaxe seria:

interface GigabitEthernet 2/0/9
qos apply policy proibe_192_172 inbound

A utilização do script acima para filtro de pacotes negará todas as regras que forem explicitamente escritas, nesse caso permitirá a comunicação da rede 192.168.1.0/24 com qualquer outra rede que não tenha referência nas linhas da ACL 3001 (não importando o permit ou deny da ACL).

Até logo 🙂

 

 

4 thoughts on “Switches 3Com 7900 – Aplicando ACLs em VLANs

  1. Daniel Marques 8 de janeiro de 2013 / 23:23

    Gostaria de saber se vocês ministram treinamentos para alguns integrantes de uma empresa.
    No aguardo.

    Att

    • Diego Dias 10 de janeiro de 2013 / 1:07

      Olá Daniel, obrigado pelo contato! Infelizmente ainda não temos nenhum programa para oferecer como treinamento “in company”, apesar de ser o nosso desejo em um breve futuro.

      Abração

  2. Leonardo Rocha 9 de dezembro de 2014 / 1:06

    Caramba Diego, estou impressionado com a qualidade do teu site, parabens, estou tirando todas minhas duvidas de comware aqui, obrigado pela boa vontade em postar tanta informação util!

    • Diego Dias 12 de dezembro de 2014 / 21:41

      Leornado, obrigado pela mensagem.

      abração

Deixe uma resposta para Leonardo Rocha Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *