C3meNd3Z$. 1. Bloqueo de trfico entre LAN_8 y LAN_9 En R2: !

Al trabajar con todo el trfico de una red, es posible realizarlo con una ACL es tandar configure terminal access-list 8 remark bloqueo de LAN_8 access-list 8 deny 10.0.8.0 0.0.0.255 access-list 8 remark Permitir cualquier otro trfico access-list 8 permit any interface fastethernet 0/1 ip access-group 8 out exit ! Lo anterior es suficiente, aunque es mejor bloquear el trfico en ambas direccio nes access-list 9 remark bloqueo de LAN_9 access-list 9 deny 10.0.9.0 0.0.0.255 access-list 9 remark Permitir cualquier otro trfico access-list 9 permit any interface fastethernet 0/0 ip access-group 9 out exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 2. Bloqueo de trfico entre LAN_8 y LAN_10 En R1: ! Como se filtra el trfico de origen, es recomendable colocar la ACL estandar ms c erca del destino configure terminal access-list 8 remark bloqueo de LAN_8 access-list 8 deny 10.0.8.0 0.0.0.255 access-list 8 remark Permitir cualquier otro trfico access-list 8 permit any interface fastethernet 0/0 ip access-group 8 out exit En R2: ! Tal como en el caso anterior, es recomendable las restricciones en ambos extre mos. ! En este caso se considerar compatibilidad con el ejemplo anterior, reescribiend o la ACL 9 no access-list 9 access-list 9 remark bloqueo de LAN_9 access-list 9 deny 10.0.9.0 0.0.0.255 access-list 9 remark bloqueo de LAN_10 access-list 9 deny 10.0.10.0 0.0.0.255 access-list 9 remark Permitir cualquier otro trfico access-list 9 permit any interface fastethernet 0/0 ip access-group 9 out exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 3. Mitad superior de las redes LAN_8, LAN_9 y LAN_10 no tendrn acceso a Internet En R1: ! Aun se puede trabajar con ACL estandar, ya que no se especfica restricciones de talladas a Internet

access-list 20 remark bloqueo de mitad superior, con "abuso" de wildcard access-list 20 deny 10.0.8.128 0.0.3.127 access-list 20 remark Como en otros casos, permitir otro trfico access-list 20 permit any interface serial 0/0/0 ip access-group 20 out exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 4. Mitad superior de las redes con acceso solo a navegacin a servidor 10.100. Mit ad inferior acceso sin restricciones. Internet (o cualquier otro) con iguales re stricciones que mitad superior de las redes En R1: ! Ahora si es necesario trabajar con ACL extendida access-list 101 remark Acceso de mitad superior para puertos 80 y 443 ! Se debe especificar protocolo (TCP, udp, icmp o ip) ! Al ser aplicaciones cliente las que originan el trfico, el puerto "gt 1023" ace pta solo aplicaciones clientes ! La mitad superior de la LAN_10 no puede ser filtrada por el router, ya que no hay trfico A TRAVES de interfaces del mismo. access-list 101 permit tcp 10.0.8.128 0.0.1.127 gt 1023 host 10.0.10.100 eq 80 access-list 101 permit tcp 10.0.8.128 0.0.1.127 gt 1023 host 10.0.10.100 eq 443 access-list 101 remark Bloquear otro trfico de la mitad superior ! Al especificar protocolo IP, se asume cualquier protocolo Capa 4. access-list 101 deny ip tcp 10.0.8.128 0.0.1.127 host 10.0.10.100 access-list 101 remark Acceso sin restricciones para el resto de la red hacia cu alquier destino de LAN_10 access-list 101 permit ip 10.0.8.0 0.0.1.255 10.0.10.0 0.0.0.255 access-list 101 remark Restricciones para cualquier otro origen (internet) access-list 101 permit tcp any gt 1023 host 10.0.10.100 eq 80 access-list 101 permit tcp any gt 1023 host 10.0.10.100 eq 443 access-list 101 remark Bloquear otro trfico de la mitad superior access-list 101 deny ip any host 10.0.10.100 access-list 101 remark Permitir cualquier otro trfico de Internet a LAN_10 access-list 101 permit ip any any interface fastethernet 0/0 ip access-group 101 out ! solo se puede tener una ACL por interfaz, por direccin (in / out) exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5. Restringir la administracin telnet del enrutador R1, nicamente desde la mitad i nferior de las LAN, PC100.100 y PC200.100 ! forma larga, posiblemente ineficiente access-list 177 remark restricciones por cada IP vlida del enrutador access-list 177 permit tcp 10.0.8.0 0.0.3.127 host 10.0.10.1 eq telnet access-list 177 permit tcp 10.0.8.0 0.0.3.127 host 10.0.254.1 eq telnet access-list 177 permit tcp 10.0.8.0 0.0.3.127 host 100.10.10.10 eq telnet access-list 177 permit tcp host 100.0.0.100 host 10.0.10.1 eq telnet access-list 177 permit tcp host 100.0.0.100 host 10.0.254.1 eq telnet access-list 177 permit tcp host 100.0.0.100 host 100.10.10.10 eq telnet access-list 177 permit tcp host 200.0.0.100 host 10.0.10.1 eq telnet access-list 177 permit tcp host 200.0.0.100 host 10.0.254.1 eq telnet access-list 177 permit tcp host 200.0.0.100 host 100.10.10.10 eq telnet ! muy engorroso y sensible a chocar con otras listas de control de acceso. ! forma corta, directamente configurado en lnea vty access-list 77 permit 10.0.8.0 0.0.3.127

access-list 77 permit host 100.0.0.100 access-list 77 permit host 200.0.0.100 line vty 0 4 access-class 77 in exit !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 6. Edicin de lista anterior, para no permitir acceso desde pc8.100, ni desde pc10 0.100 ! En principio, Cisco indica que la ACL debe borrarse y luego escribir nuevament e, pero es posible editarla como acl nombrada (con un nmero) ip access-list standard 77 5 deny host 10.0.8.100 no 20 exit stino@bancoazulsv.com