Access-lists dinâmicas são ferramentas interessantes, que podem, por exemplo, nos permitir identificar o usuário antes de dar acesso a um determinado recurso (Lock-and-key).
Com o Lock-and-key configurado, o usuário pode ter acesso a uma host ou rede que era bloqueado inicialmente. Para isso o usuário deve primeiro se autenticar no roteador, via Telnet. Após autenticado a ACL dinâmica é inserida na interface, permitindo o tráfego. Após o tempo limite configurado a ACL é removida, voltando ao cenário inicial (tráfego negado).
Exemplo: Neste cenário o roteador BrainRT01 não permite nenhum tipo de tráfego, além do Telnet para sua Loopback. Apenas após o usuário do Host1 se autenticar ele poderá ter acesso ao Server1.
! Crie um usuário (ou quantos desejar), para autenticação local
username brainwork password cisco123
!
! Crie uma Loopback que será usada para autenticação. Também é possível usar a interface física.
interface Loopback0
ip address 172.16.1.1 255.255.255.255
!
! A primeira linha na ACL 101 permite apenas o Telnet para autenticação (loopback)
access-list 101 permit tcp 1.1.1.0 0.0.0.255 host 172.16.1.1 eq telnet
! Entrada dinâmica na ACL 101, que permitirá acesso total, após autenticação
! Neste exemplo ela ficará ativa 30 minutos após a autenticação, com ou sem tráfego
access-list 101 dynamic testlist timeout 30 permit ip any any
! Aplique a access-list 101 na interface por onde o usuário se conectará
interface FastEthernet0/1
ip address 1.1.1.1 255.255.255.0
ip access-group 101 in
!
line vty 0 4
password cisco
! Indique que a autenticação será local
login local
! Após se autenticar será encerrado o Telnet, e se não tiver atividade a sessão é finalizada, após 5 minutos
autocommand access-enable host timeout 5
Após configurar o roteador o usuário do Host1 deve dar um Telnet no IP 172.16.1.1, e informar o usuário e senha configurados.
Imediatamente após a conexão o usuário é desconectado, afinal ele não deve ter acesso ao equipamento propriamente. Alias CUIDADO: Após habilitar o comando “autocommand access-enable host timeout 5” na line, o acesso ao equipamento deverá ser feito pela console!!!
Com o usuário autenticado, a ACL dinâmica é adicionada e o usuário passará a ter acesso, como desejado.
Access-list antes da autenticação:
BrainRT01#sh access-lists
Extended IP access list 101
10 permit tcp 1.1.1.0 0.0.0.255 host 172.16.1.1 eq telnet (53 matches)
20 Dynamic testlist permit ip any any
permit ip host 1.1.1.2 any (12 matches) (time left 599)
BrainRT01#Access-list depois da autenticação:
BrainRT01#sh access-lists
Extended IP access list 101
10 permit tcp 1.1.1.0 0.0.0.255 host 172.16.1.1 eq telnet (41 matches)
20 Dynamic testlist permit ip any any
permit ip host 1.1.1.2 any (320 matches) (time left 599)
BrainRT01#
Informações sobre o impacto na performance, pré-requisitos e outros, podem ser encontrado nestes dois links: Link 1, Link 2.
Até a próxima.
Interessante. Já tinha ouvido falar mas nunca vi nenhum exemplo. Parabéns.