Una funcionalidad muy útil que se puede sacar a las accesss-list es la de comprobar si algún tráfico está atravesando el router, es algo parecido a activar un tcpdump en una maquina unix, pero bastante mas rudimentario.
Simplemente consiste en crear una access list en la que configurarmos un permit para el tipo de tráfico que estamos esperando encontrar, junto con la clausula log, y una segunda linea que ponga permit ip any. Lo que conseguimos con esto es, que si el tráfico que estamos buscando pasa por el router nos lo muestre en el log, pero en ningún caso vamos a cortar tráfico.
La verdad es que así contado quizá no se entienda bien, pero vamos a poner un ejemplo en el que se ve bastante claro.
access-list 10 permit 192.168.1.1 log <--- si entra tráfico de este origen meteme una entrada en el log y déjalo pasar
access-list 10 permit any <--- deja pasar el tráfico restante
Si hacemos un show access list vemos que el tráfico de la 192.168.1.1 está atravesando el router.
Router#show access-lists 10
Standard IP access list 10
10 permit 192.168.1.1 log(40 matches) <----40 paquetes de origen 192.168.1.1
20 permit any(149407 matches) <---- el resto de paquetes viene de otros orígenes
Lo bueno que tiene esta práctica es que no tiene en principio impacto sobre el tráfico, ya que en realidad todo el tráfico está permitido. La cagada puede ser que se te olvide poner el permit any, pero bueno, son cosas que pasan :D .
Sobre el impacto en el router, para dispositivos con tarjetería con algo de inteligencia es nulo, ya que el router trabaja con las ACL a nivel de hardware. Para plataformas de routers de gama baja puede tener algo de impacto en la CPU del router, y si tienes la CPU al 98% no sería una buena idea aplicarlo, aunque claro, en un router con una CPU a ese nivel nada que no sea un upgrade de dispositivo es una buena idea.
Aquí os detallo una serie de links a otros artículos sobre ACL.
No hay comentarios:
Publicar un comentario