Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Temp
Temp
Al trabajar con todo el trfico de una red, es posible realizarlo con una ACL es tandar configure terminal access-list 8 remark bloqueo de LAN_8 access-list 8 deny 10.0.8.0 0.0.0.255 access-list 8 remark Permitir cualquier otro trfico access-list 8 permit any interface fastethernet 0/1 ip access-group 8 out exit ! Lo anterior es suficiente, aunque es mejor bloquear el trfico en ambas direccio nes access-list 9 remark bloqueo de LAN_9 access-list 9 deny 10.0.9.0 0.0.0.255 access-list 9 remark Permitir cualquier otro trfico access-list 9 permit any interface fastethernet 0/0 ip access-group 9 out exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 2. Bloqueo de trfico entre LAN_8 y LAN_10 En R1: ! Como se filtra el trfico de origen, es recomendable colocar la ACL estandar ms c erca del destino configure terminal access-list 8 remark bloqueo de LAN_8 access-list 8 deny 10.0.8.0 0.0.0.255 access-list 8 remark Permitir cualquier otro trfico access-list 8 permit any interface fastethernet 0/0 ip access-group 8 out exit En R2: ! Tal como en el caso anterior, es recomendable las restricciones en ambos extre mos. ! En este caso se considerar compatibilidad con el ejemplo anterior, reescribiend o la ACL 9 no access-list 9 access-list 9 remark bloqueo de LAN_9 access-list 9 deny 10.0.9.0 0.0.0.255 access-list 9 remark bloqueo de LAN_10 access-list 9 deny 10.0.10.0 0.0.0.255 access-list 9 remark Permitir cualquier otro trfico access-list 9 permit any interface fastethernet 0/0 ip access-group 9 out exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 3. Mitad superior de las redes LAN_8, LAN_9 y LAN_10 no tendrn acceso a Internet En R1: ! Aun se puede trabajar con ACL estandar, ya que no se especfica restricciones de talladas a Internet
access-list 20 remark bloqueo de mitad superior, con "abuso" de wildcard access-list 20 deny 10.0.8.128 0.0.3.127 access-list 20 remark Como en otros casos, permitir otro trfico access-list 20 permit any interface serial 0/0/0 ip access-group 20 out exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 4. Mitad superior de las redes con acceso solo a navegacin a servidor 10.100. Mit ad inferior acceso sin restricciones. Internet (o cualquier otro) con iguales re stricciones que mitad superior de las redes En R1: ! Ahora si es necesario trabajar con ACL extendida access-list 101 remark Acceso de mitad superior para puertos 80 y 443 ! Se debe especificar protocolo (TCP, udp, icmp o ip) ! Al ser aplicaciones cliente las que originan el trfico, el puerto "gt 1023" ace pta solo aplicaciones clientes ! La mitad superior de la LAN_10 no puede ser filtrada por el router, ya que no hay trfico A TRAVES de interfaces del mismo. access-list 101 permit tcp 10.0.8.128 0.0.1.127 gt 1023 host 10.0.10.100 eq 80 access-list 101 permit tcp 10.0.8.128 0.0.1.127 gt 1023 host 10.0.10.100 eq 443 access-list 101 remark Bloquear otro trfico de la mitad superior ! Al especificar protocolo IP, se asume cualquier protocolo Capa 4. access-list 101 deny ip tcp 10.0.8.128 0.0.1.127 host 10.0.10.100 access-list 101 remark Acceso sin restricciones para el resto de la red hacia cu alquier destino de LAN_10 access-list 101 permit ip 10.0.8.0 0.0.1.255 10.0.10.0 0.0.0.255 access-list 101 remark Restricciones para cualquier otro origen (internet) access-list 101 permit tcp any gt 1023 host 10.0.10.100 eq 80 access-list 101 permit tcp any gt 1023 host 10.0.10.100 eq 443 access-list 101 remark Bloquear otro trfico de la mitad superior access-list 101 deny ip any host 10.0.10.100 access-list 101 remark Permitir cualquier otro trfico de Internet a LAN_10 access-list 101 permit ip any any interface fastethernet 0/0 ip access-group 101 out ! solo se puede tener una ACL por interfaz, por direccin (in / out) exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5. Restringir la administracin telnet del enrutador R1, nicamente desde la mitad i nferior de las LAN, PC100.100 y PC200.100 ! forma larga, posiblemente ineficiente access-list 177 remark restricciones por cada IP vlida del enrutador access-list 177 permit tcp 10.0.8.0 0.0.3.127 host 10.0.10.1 eq telnet access-list 177 permit tcp 10.0.8.0 0.0.3.127 host 10.0.254.1 eq telnet access-list 177 permit tcp 10.0.8.0 0.0.3.127 host 100.10.10.10 eq telnet access-list 177 permit tcp host 100.0.0.100 host 10.0.10.1 eq telnet access-list 177 permit tcp host 100.0.0.100 host 10.0.254.1 eq telnet access-list 177 permit tcp host 100.0.0.100 host 100.10.10.10 eq telnet access-list 177 permit tcp host 200.0.0.100 host 10.0.10.1 eq telnet access-list 177 permit tcp host 200.0.0.100 host 10.0.254.1 eq telnet access-list 177 permit tcp host 200.0.0.100 host 100.10.10.10 eq telnet ! muy engorroso y sensible a chocar con otras listas de control de acceso. ! forma corta, directamente configurado en lnea vty access-list 77 permit 10.0.8.0 0.0.3.127
access-list 77 permit host 100.0.0.100 access-list 77 permit host 200.0.0.100 line vty 0 4 access-class 77 in exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 6. Edicin de lista anterior, para no permitir acceso desde pc8.100, ni desde pc10 0.100 ! En principio, Cisco indica que la ACL debe borrarse y luego escribir nuevament e, pero es posible editarla como acl nombrada (con un nmero) ip access-list standard 77 5 deny host 10.0.8.100 no 20 exit stino@bancoazulsv.com