Translate

quinta-feira, 25 de abril de 2013

Configuração simples de QoS

Neste cenário pretende-se mostrar que após a aplicação de uma política de QoS no Router, deixa de ser possível aceder ao Server por telnet a partir do PC:


1) Configuração básica de rede em todos os activos:

PC(config): interface fastethernet 0/0
PC(config-if): no shutdown
PC(config-if): ip address 10.10.10.1 255.0.0.0
PC(config-if): exit

ROUTER(config): interface fastethernet 1/0
ROUTER(config-if): no shutdown
ROUTER(config-if): ip address 10.10.10.254 255.0.0.0
ROUTER(config-if): exit
ROUTER(config): interface fastethernet 0/0
ROUTER(config-if): no shutdown
ROUTER(config-if): ip address 192.168.1.254 255.255.255.0
ROUTER(config-if): exit

SERVER(config): interface fastethernet 0/0
SERVER(config-if): no shutdown
SERVER(config-if): ip address 192.168.1.1 255.255.255.0
SERVER(config-if): exit

2) Configuração de roteamento:

PC(config): no ip routing
PC(config): ip default-gateway 10.10.10.254

SERVER(config): no ip routing
SERVER(config): ip default-gateway 192.168.1.254

3) Criação de access-list no Router:

ROUTER(config): ip access-list extended OUTBOUND
ROUTER(config-ext-nacl): permit tcp host 10.10.10.1 host 192.168.1.1

Nota: Pretende-se incluir apenas o PC e o SERVER para simplificar

4) Definição de política de QoS (MQC) no Router:

a) Criação de "Class-map" para escolher o que controlar, neste caso pretende-se controlar ambas as condições ao mesmo tempo: o acesso por telnet e a access-list "OUTBOUND", daí o comando "match-all":

ROUTER(config): class-map match-all CONTROLE
ROUTER(config-cmap): match access-group name OUTBOUND
ROUTER(config-cmap): match protocol telnet
ROUTER(config-cmap): exit

b) Criação de "Policy-map" para escolher o que fazer com o que se escolheu antes. Neste caso, pretende-se impedir o acesso ao server na porta 23, daí o comando "drop":

ROUTER(config): policy-map NO_TELNET
ROUTER(config-pmap): class CONTROLE
ROUTER(config-pmap-c): drop

c) Aplicação da regra anterior ao interface no sentido "outbound":

ROUTER(config): interface fastethernet 0/0
ROUTER(config-if): service-policy output NO_TELNET

5) Testar no PC:

No PC fazer um telnet ao SERVER e verificar que não é possível entrar na porta 23:


6) Testar no Router:

ROUTER: show policy-map interface fastethernet 0/0

Nota: Verificar o incremento de pacotes à medida que se testam sucessivamente