Access Lists Workbook Student Edition Ver1 2-1

UnaC
L
Extended
y
0.0.0.0
Listas
de
acceso
Permi
tir
Libro
Den Standard
Versin 1.2
y access-
list
Access-
group
Mscara
comodn
Nmeros Access-List
Estndar IP 1 A 99
Extended IP 100 A 199
Cdigo de Tipo de Ethernet 200 A 299
Direccin Ethernet 700 A 799
DECnet DECnet y ampliado 300 A 399
XNS 400 A 499
XNS ampliada 500 A 599
Appletalk 600 A 699
Direcciones MAC de 48 bits 700 A 799
Estndar IPX 800 A 899
Extendida IPX 900 A 999
IPX Protocolo de anuncio de servicios 1000 A 1099
(SAP)
SPX IPX SAP 1000 A 1099
Extendido de 48 bits de direcciones 1100 A 1199
MAC IPX
NLSP 1200 A 1299
Estndar IP, rango ampliado 1300 A 1999
IP, ampliada gama ampliada 2000 A 2699
SS7 (voz) 2700 A 2999
Vias estndar 1 A 100
Vias ampliada 101 A 200
Vias simple 201 A 300
Puenteo transparente (Tipo de 200 A 299
protocolo)transparente (Tipo de
Puenteo 700 A 799
proveedor)
Puenteo transparente extendida 1100 A 1199
Puenteo de origen-ruta (tipo de 200 A 299
protocolo)de origen-ruta (tipo de
Puenteo 700 A 799
proveedor)
Producido por: Robb

Jones jonesr@careertech.net
Frederick County Career & Centro de
Tecnologa de la Academia de Networking
de Cisco
Las Escuelas Pblicas del
Condado de Frederick
Frederick, Maryland, EE.UU.
interior
Cubierta
U el tiempo para revisar este libro para errores.
n
a
g
r
a
d
e
c
i
m
i
e
n
t
o
e
s
p
e
c
i
a
l
M
e
l
v
i
n
B
a
k
e
r
J
i
m
D
o
r
s
c
h
p
a
r
a
t
o
m
a
r
Qu son las listas de control de acceso?
UCLs...
n ...son una lista secuencial de instrucciones que le indican al router
que los paquetes para permitir o denegar.
Listas de acceso informacin general

UnCceso listas...
...se leen secuencialmente.
...se configuran de modo que tan pronto como el paquete coincide
con una declaracin que deja de comparar y permisos o denys el
paquete.
...deben estar escritas para cuidar del trfico ms abundante primero.
...debe estar configurado en el router antes puede denegar los
paquetes.
...puede ser escrito para todos los protocolos enrutados compatibles;
pero cada uno debe tener un protocolo enrutado ACL diferente para
cada interfaz.
...debe aplicarse a una interfaz para trabajar.
La forma en que los routers
utilizan listas de acceso
(Puerto de salida - Valor
predeterminado)
El router comprueba si el paquete es enrutable. Si se busca la ruta
en su tabla de enrutamiento.
Luego el router busca una ACL en esa interfaz saliente.
Si no hay ACL del router cambia el paquete fuera de la interfaz a su

destino.
Si existe una ACL, el router verifica el paquete contra las sentencias de

lista de acceso secuencial. A continuacin, los permisos o denys cada
paquete que coincida.
Si el paquete no coincide con ninguna declaracin escrita de la ACL se

le deniega porque existe un "deny any" impl cito declaracin al final de
cada ACL.
1
Las listas de acceso estndar
listas de acceso estndar...
...estn numerados del 1 al 99.
...filtro (permitir o denegar) slo direcciones de origen.
...no tienen ninguna informacin sobre el lugar de destino, por lo
que deben colocados lo ms cerca posible del destino .
...trabajar en la capa 3 del modelo OSI.
Por qu las ACL est ndar se colocan

cerca del
destino.
Si desea bloquear el trfico del equipo de Juan lleguen a Janet
de ordenador con una lista de acceso estndar que colocara la
ACL cerca del destino en el Router D, Interfaz E0. Desde su
usando slo la direccin de origen para permitir o denegar
paquetes la ACL aqu no afectar los paquetes llegando a los
Routers B o C.
El Router El router
B D
S1
Un S0 El router S1
router E0 C E0
S0 S1 S0
E0 E0
El
El
equipo de
equipo de
Janet
mate
El Jimmy's
equipo de Equipo
Juan
Si coloca las ACL en un router para bloquear el trfico al

Router D tambin bloquea todos los paquetes que se
dirigen a los Routers B y C; porque todos los paquetes
tienen la misma direccin de origen.
2
Lista de acceso estndar
muestra problemas de
colocacin
FA0 FA1
Un
router
El equip El equipo
o de Juan de Jan
A fin de permitir paquetes desde Juan del equipo para llegar

a Jan equipo que pondra la lista de acceso estndar a la
interfaz del router _F
1_.
E0 S0 E1
S1
Un router El
Router B
El
equipo de El equipo de
Lisa Paul
Lisa ha estado enviando informacin innecesaria a Pablo. En

caso de que usted coloque la ACL est ndar para denegar
todo el trfico de Lisa a Pablo? Nombre de router _ R
S
TU____e
b Interface
r E1
En caso de que usted coloque la ACL est ndar para denegar el
trfico por Pablo a Lisa?
Nombre route r r o
___uterdeuna interfaz E0
3
Colocacin de lista de acceso estndar
El Router B
S1 S0
Un router
E0 FA1
S0 S1
S1 El router C
Ricky's El Jenny's
Equipo Equipo
Amanda
Equipo
El El
George's
equipo de equipo de
Equipo
Carrol Kathy
S1
El router D E0 Equipo
S0 de Jeff
El equipo
de Jim
S1
E0 S0 FA1
S1
El router E Router F
Equipo El Melvin's
El
de Linda equipo de Equipo
equipo de
Jackie
Sara
4
Colocacin de lista de acceso estndar
1. En caso de que usted coloque una lista de 12. En caso de que usted coloque
acceso estndar para permitir trfico de Ricky del una ACL para denegar el tr fico de
equipo para llegar a Jeff's equipo? Linda en la computadora llegue a
Jackie's equipo?
2. En caso de que usted coloque una lista de
acceso estndar para denegar el trfico
procedente del equipo Melvin lleguen a Jenny's
equipo?

acceso estndar para denegar el tr fico a
Carrol's equipo de Sarah equipo?

acceso estndar para permitir trfico de Ricky
del equipo para llegar a Jeff's equipo?

acceso estndar para denegar el tr fico de
Amanda equipo lleguen a Jeff y Jim's equipo?

acceso estndar para permitir trfico de Jackie del
equipo para llegar a Linda en la computadora?

acceso estndar para permitir trfico de Ricky
del equipo para llegar a Carrol y Amanda
equipo?

acceso estndar para denegar el tr fico a Jenny's
equipo de Jackie's equipo?

acceso estndar para permitir trfico de George
del equipo para llegar a Linda y Sarah equipo?
10. En caso de que usted coloque una ACL para

denegar el tr fico desde Jeff's equipo de llegar a
George's equipo?

acceso estndar para denegar el tr fico a Sarah
equipo de Ricky's equipo?
5
Nombre route r r
ot
eu_
_ _RD
Interface E
0
Nombre route r r
ot
eu___rA
Interface E
0
Nombre del router Interface
6
Las listas de acceso extendidas
las listas de acceso extendidas...
...estn numeradas del 100 al 199.
...filtro (permitir o denegar) basado en: Direccin de origen
direccin de destino
nmero de puerto de
protocolo
... estn situados cerca de la fuente.
...trabajar tanto en la capa 3 y 4 del modelo OSI.
Por qu las ACL extendidas se coloca cerca de la

fuente.
Si desea denegar el trfico del equipo de Juan lleguen a Janet de

ordenador con una lista de acceso extendida que colocara la
ACL cerca de la fuente en el Router A, Interfaz E0. Dado que
puede permitir o denegar en funcin de la direccin de destino
puede reducir la sobrecarga de backbone y no afecta el trfico a
los Routers B o C.
El Router El router D
B S1 S0 S1
Un El router E0
FA0
router C
S0 S1 S0
E0 E0
El El equipo de
equipo de Janet
mate
El Jimmy's Equipo
equipo de
Juan
7
Si coloca las ACL en el Router E para bloquear el trfico
desde el Router A, funcionar. Sin embargo, los Routers B
y C tendrn que enrutar el paquete antes de que
finalmente sea bloqueado en el router E. Esto aumenta el
volumen de trfico de red intil.
8
Lista de acceso extendido
muestra problemas de
colocacin
E0 E1
Un
router
El equipo de
El
Jan
equipo de
Juan
A fin de permitir paquetes desde Juan del equipo para

llegar al equipo Jan debe colocar las listas de acceso
extendidas en la interfaz del router _E
0 .
FA0 S0 FA1
S1
Un El
router Router B
El El equipo de
equipo de Paul
Lisa
Lisa ha estado enviando informacin innecesaria a Pablo. En caso de

que usted coloque la ACL extendida para denegar todo el trfico de
Lisa a Pablo?
Routerrn
o
m
_
e
r
b
____ u te
A
r Interface F_0
En caso de que usted coloque la ACL extendida para denegar el
trfico por Pablo a Lisa?
Nombre route r R s
tu___re Interfaz B FA1
9
Colocacin de listas de acceso extendidas
El Router B
S1 S0
Un router
FA0 E1
S0 S1
S1 El router C
Ricky's El Jenny's
Equipo Equipo Amanda
Equipo
El El
George's
equipo de equipo de
Equipo
Carrol Kathy
S1
El router FA0 Jeff's
D
S0 Equipo
El equipo
de Jim
S1
FA0 S0 FA1
S1
El router E Router F
Equipo El Melvin's
El
de Linda equipo de Equipo
equipo de
Jackie
Sara
1
0
Colocacin de listas de acceso extendidas
1. En caso de que usted coloque una ACL para Nombre route r r
ot
eu_
_ _RD
denegar el tr fico desde Jeff's equipo de llegar a La interfaze F
_0
George's equipo?
Nombre route r r
o
t
eu_
__rF
2. En caso de que usted coloque una lista de acceso
extendida para
Permitir trfico de Jackie del equipo para llegar a Interface FA1
Linda en la computadora?
3. En caso de que usted coloque una lista de 12. En caso de que usted
acceso extendida para denegar el trfico a Carrol's coloque una lista de acceso
equipo de Ricky's equipo? extendida para denegar el trfico
de Linda en la computadora
4. En caso de que usted coloque una lista de llegue a Jenny's equipo?
acceso extendida para denegar el trfico a Sarah
equipo desde el equipo de Jackie?

acceso extendida para permitir trfico de Carrol del
equipo para llegar a Jeff's equipo?

extendida para denegar el trfico desde el equipo de
Melvin lleguen a Jeff y Jim's equipo?

acceso extendida para permitir trfico de George
del equipo para llegar a Jeff's equipo?

extendida para permitir trfico de Jim del equipo
para llegar a Carrol y Amanda equipo?
9. En caso de que usted coloque una ACL para

denegar el tr fico de Linda en la computadora
llegue a Kathy's equipo?

acceso extendida para denegar el trfico a
Jenny's equipo de Sarah equipo?

acceso extendida para permitir trfico de George del
equipo para llegar a Linda y Sarah equipo?
1
1
1
2
Elegir para filtrar los paquetes entrantes o
salientes de
listas de acceso en el puerto entrante...
...requiere menos CPU.
...denys y filtros de paquetes antes de que el router tiene que
hacer una decisin de enrutamiento.
Listas de acceso en su puerto de salida...

...son salientes por defecto a menos que se especifique lo
contrario.
...aumenta el tiempo de procesamiento de la CPU porque la
decisin de enrutamiento y la conmutacin de paquetes al puerto
saliente correcto antes de que sea probado contra la ACL.
Desglose de una sentencia ACL

estndar
permiten
O Carcter comodn
Negar Mscara
Access-list 1 permit 192.168.90.36 0.0.0.0
Aut nomo
Direcci
1 a 99 n
fuente
Permitir o Direcci
denegar n
fuente
Access-list 78 deny host 192.168.90.36 log
Aut nomo Indica una (Opcional

direccin )
1 a 99 de host Genera
especfico. una entrada de
registro en el
router para
cada paquete
que coincida
10 con esta
declaracin
Desglose de una ACL extendida Declaracin
Protocol
o icp,
ICMP,
TCP, Fuente Destino M
UDP, IP mscara scara
Nmero
Etc
autnoma comodn comodn
.
del 100 al
199
Access-list 125 permit ip 192.175.63.12 192.168.90.36 0.0.0.0 0.0.0.0
Permitir o Direc Direcci

denegar cin n de
fuente destino
Nmero de
Protocol
puerto
o icp,
ICMP, (23 = telnet)
TCP,
Nmero UDP, IP Indica Direcci
autnoma Etc un host n de
del 100 al . especfico. destino
199
Access-list 178 deny tcp host host 192.168.90.36 192.175.63.12 eq 23 log
Permi Direc Indica Eq para

tir o cin un host el
deneg fuente especfico. operado
ar r =
gt para
> lt
Los protocolos para <
incluyen: neg para
=
Direccin IP IGMP UDP
IPINIP IG
TCP GRE OSPF RP
11
Nms. (Opcional
)
ICMP EIGRP Entero 0-255 Genera
Para que coincida con cualquier una entrada de
registro en el
protocolo de internet el uso de la
router para
propiedad intelectual. cada paquete
que coincida
con esta
declaracin
12
Qu son las listas de control de acceso
nombradas?
Las ACL nombradas...
...son estndar o las ACL extendidas que tienen un nombre
alfanumrico en lugar de un nmero. (ej. 1-99 o 100-199)
Listas de acceso nombradas

informacin
Listas de acceso nombradas...
...identificar con un nombre intuutive ACL en lugar de un
nmero.
...eliminar los lmites impuestos mediante las ACL
numeradas. (798 y 799 para el estndar de Extended)
...provide la capacidad para modificar sus ACL sin borrar y recargar la
versin revisada de la lista de acceso. No slo le permitir aadir
declaraciones hasta el final de las declaraciones existentes.
...no son compatibles con cualquier IOS anteriores a la
versin 11.2.
...no puede repetir el mismo nombre en varias ACL.
Aplicar una lista de acceso nombrada
estndar llamado "George"
Escriba un nombre de lista de acceso estndar llamado "George" en el Router A,
Interfaz E1 para bloquear el equipo de Melvin enve informacin a Kathy's equipo; pero
permitir que el resto del trfico.
Colocar la lista de acceso en:

Nombre del router: Un router
Interfaz:
E1
Access-list
Nombre: George
[Grabando e instalando una ACL]
Router# configure terminal (o

config t) Router(config)#ip access-list George
estndar Router(config-std-nacl)# host deny
72.16.70.35 Router(config-std-nacl)# access-
list permiten que cualquier router(config-std-
nacl)# interfaz e1 Router(config-if)# ip
access-group George fuera Router(config-
11
if)# exit
Router(config)# exit
14
Aplicacin de una extensa lista de acceso
nombrada "Gracie"
Escriba un nombre de lista de acceso extendida denominada "Gracie" en el Router A, Interfaz E0 llamado "Gracie" para
negar el trfico HTTP diseado para servidor web 192.168.207.27, sino que permitir a todos los dems el trfico HTTP
para llegar a la nica red 192.168.207.0. Negar el resto de trfico IP. Tenga en cuenta que pueden existir mltiples
maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router: un router
Interfaz:
E0
Access-list
mail: Gracie
Router# configure terminal (o config t)

Router(config)#ip access-list Gracie ampliada
Router(config-ext-nacl)# deny tcp cualquier host 192.168.207.27 eq
www Router(config-ext-nacl)# permitir tcp any 192.168.207.0 eq
0.0.0.255 www Router(config-ext-nacl)# interfaz e0.
Router(config-if)# ip access-group en Gracie
Router(config-if)# exit
13
Opciones para utilizar mscaras
comodn
Las mscaras comodn se suelen configurar para hacer uno de
cuatro cosas:
1. Coincide con un host especfico.
2. Coincide con una subred completa.
3. Coincide con un intervalo especfico.
4. Coinciden todas las direcciones.
1. La coincidencia con un host especfico.

Para las listas de acceso estndar:
10 permitir 192.168.150.50 Access-List 0.0.0.0
O
10 permitir 192.168.150.50 Access-List (estndar ACL es
asumir una mscara
O 0.0.0.0)
10 permitir 192.168.150.50 Access-List host
Para las listas de acceso extendidas:

Access-list 110 deny ip 192.168.150.50 0.0.0.0
cualquiera o
Access-list 110 deny host IP 192.168.150.50 cualquier
2. Toda una subred coincidente
Ejemplo 1
Direccin: 192.168.50.0 Mscara de subred:
255.255.255.0.
Access-list 25 deny 192.168.50.0 0.0.0.255
Ejemplo 2
Direccin: 172.16.0.0 255.255.0.0 Mscara de subred:
Access-list 12 permitir 172.16.0.0 0.0.255.255
Ejemplo 3
14
Direccin: 10.0.0.0: Mscara de subred 255.0.0.0
Access-list 125 deny udp 10.0.00 0.255.255.255 cualquier
15
3. Coincide con un intervalo especfico
Ejemplo 1
Direccin: 10.250.50.112: Mscara de subred
255.255.255.224
255. 255.255.255
Mscara de subred personalizada: -
255. 255.255.224
Comodn: 0. 0. 0. 31
Access-list 125 permitir cualquier 0.0.0.31 10.250.50.112
UDP
Ejemplo 2
Rango de direcciones: 192.168.16.0 a 192.168.16.127
192. 168. 16.127
-192. 168. 16. 0
Comodn: 0. 0. 0.127
Access-list 125 deny ip 192.168.16.0 0.0.0.127
cualquiera (esta ACL se bloqueara la mitad inferior
de la subred).
Ejemplo 3
Direccin: a 172.250.31.63 172.250.16.32
172. 250. 31. 63
-172. 250. 16. 32
Comodn: 0. 0. 15. 31
Access-list 125 permit ip 172.250.16.32 0.0.15.31 cualquier
4. Coincidir con todos.
Para las listas de acceso estndar:

15 Access-List cualquier
permiso o
15 Access-List negar 0.0.0.0 255.255.255.255
Para las listas de acceso extendidas:

175 Access-List permit ip any any
16
O
175 Access-List deny tcp 0.0.0.0 255.255.255.255 cualquier
17
La creacin de Mscaras comodn
Al igual que una mscara de subred la mscara comodn indica al
router qu parte de la direccin para verificar o ignorar. Cero (0)
deben coincidir exactamente, uno (1) ser ignorado.
La direccin de la fuente puede ser una direccin nica, un rango de

direcciones o una subred completa.
Como regla de oro de la m scara es el inverso de la mscara de subred.
Example #1:
Direccin IP y mscara de 204.100.100.0 255.255.255.0
subred: IP y mscara
Direccin 204.100.100.0 0.0.0.255
comodn:
Todos cero (o 0.0.0.0) significa que la direccin debe coincidir
exactamente.
Example #2:
10.10.150.95 0.0.0.0 (Esta direccin debe coincidir exactamente).
Uno ser ignorado.
Example #3:
10.10.150.95 0.0.0.255 (Cualquier direccin de subred 10.10.150.0
coincidirn.
10.10.150.0 a 10.10.150.255)
Esto tambin funciona con subredes.
Example #4:
Direccin IP y mscara de subred:
192.170.25.30 255.255.255.224
Direccin IP y mscara comodn: 192.170.25.30 0.0.0.31
(restar de la mscara de subred
255.255.255.255 para crear el comodn)
Hacer las matemticas... 255 - 255 = 0 (Este es el inverso de la

mscara de subred.) 255 - 224 = 31
Example #5:
Direccin IP y mscara de 172.24.128.0 255.255.128.0
subred:
Direccin IP y mscara 172.24.128.0 0.0.127.255
comodn:
Hacer las matemticas... 255 - 255 = 0 (Este es el inverso de la mscara de subred).
255 - 128 = 127
255 - 0 = 255
18
Problemas de mscara comodn
1. Crear una mscara comodn para hacer coincidir
esta direccin exacta. Direccin IP: 192.168.25.70
Mscara de subred: 255.255.255.0. 0 . _0 ._0 . 0
2. Crear una mscara comodn para coincidir

con este rango. Direccin IP: 210.150.10.0
Mscara de subred: 255.255.255.0. 0 . _0 ._0 . 255
3. Crear una mscara comodn para hacer

coincidir este host. Direccin IP:
195.190.10.35
Mscara de subred: 255.255.255.0.

Mscara de subred: 255.255.0.0

6. Crear una mscara comodn para hacer coincidir

esta direccin exacta. Direccin IP: 165.100.0.130


con este rango. Direccin IP:
171.50.75.128
9. Crear una mscara comodn para hacer

coincidir este host. Direccin IP:
10.250.30.2

210.150.28.16

19
135.35.230.32
20
Problemas de mscara
comodn
Sobre la base de la informacin dada la lista de direcciones de origen o el
rango utilizable de origen utilizable Las direcciones que se pueden
permitir o denegar para cada acceso
La sentencia de la lista.
1.Access-list 10 permitir 192.168.150.50 0.0.0.0.
Respuesta: 1_9
2.1
6_8
5
0
.1
5
0
2. Access-list 5 permit any
Respuesta: __nsd
d
e
rs___s
3. Access-list 125 deny tcp host 172.168.10.1 195.223.50.0 0.0.0.63 fragmentos
Respuesta: 1_9
523
.2
.5
0._1_ to
1
_9
52
3.2
.5
0._6_3
4. Access-list 11 deny 210.10.10.0 0.0.0.255
Respuesta:
5. Access-list 108 deny ip 172.32.4.0 192.220.10.0 0.0.0.15 0.0.0.255
Respuesta:
6. Access-list 171 niegan cualquier host 175.18.24.10 fragmentos
Respuesta:
7. Access-list 105 permitir 192.168.15.0 0.0.0.255 cualquier
Respuesta:
8. Access-list 109 permitir tcp 172.16.10.0 0.0.0.255 host 192.168.10.1 eq 80
Respuesta:
9. Access-list 111 permit ip any any
Respuesta:
10. Access-list 195 permitir udp 0.0.0.127 172.30.12.0 172.50.10.0 0.0.0.255
21
Respuesta:
22
11. Access-list 110 permit ip 192.168.15.0 192.168.30.10 0.0.0.3 0.0.0.0
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
18. Access-list 160 deny udp 172.16.0.0 0.0.1.255 172.18.10.18 0.0.0.0 gt 22
Respuesta:
19. Access-list 195 permitir icmp 0.0.15.255 172.85.0.0 172.50.10.0 0.0.0.255
Respuesta:
20. Access-list 10 permiten 175.15.120.0 0.0.0.255
Respuesta:
21. Access-list 190 permitir tcp 172.15.0.0 0.0.15.31 cualquier
Respuesta:
23
Respuesta:
24
Problemas de mscara
comodn
Sobre la base de la informacin dada la lista de direcciones de destino
utilizables o rango de direcciones de destino utilizables que estaran
permitidos o denegados para cada
Sentencia de lista de acceso.
1.Access-list 125 deny tcp host 172.168.10.1 195.223.50.0 0.0.0.63 fragmentos
Respuesta: 1_7
2.1
6_8
._1_0
1.
_
2. Access-list 115 permit any cualquier
Respuesta: __nsd
d
e
rs___s
Respuesta: 1_9
2.1
6_8
.1
5
._1_ to
1
_9
21
6
8
_._1_5
_6
_.3
4. Access-list 120 deny tcp 172.32.4.0 192.220.10.0 0.0.0.255 0.0.0.15
Respuesta:
Respuesta:
Respuesta:
7. Access-list 105 permit any 192.168.15.0 0.0.0.255
Respuesta:
Respuesta:
9. Access-list 160 deny udp 172.16.0.0 0.0.1.255 172.18.10.18 0.0.0.0 eq 21
Respuesta:
25
Respuesta:
26
Escribir
Las listas de acceso
estndar...
Un router
172.16.70.1 192.168.90.2
E1
E0 S0
El equipo de
Equipo de 210.30.28.0 Jim
Frank
172.16.70.32 192.168.90.36 El equipo
de Kathy
Melvin's 192.168.90.38
Equipo
172.16.70.35
Lista de acceso estndar muestra #1

Escribir una lista de acceso estndar para bloquear el equipo de Melvin enve informacin a
Kathy's equipo; pero permitir que el resto del trfico. Tenga en cuenta que pueden existir
mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Interfaz:
E1
Access-list #:
10

Router(config)# access-list 10 deny 172.16.70.35
O
Access-list 10 deny 172.16.70.35
0.0.0.0 o
Access-list 10 deny host 172.16.70.35
Router(config)# access-list 10 permiten 0.0.0.0 255.255.255.255
O ac
cess-list 10 permit any
Router(config)# interface E1
Router(config-if)# ip access-group 10
[Ver informacin acerca de las listas de control de acceso (ACL)]
Router# show configuration (Esto mostrar los grupos de acceso que se

asocian
con determinadas interfaces)
Router# show lista de (Esto mostrar informacin detallada acerca de
acceso 10 esta ACL)
22
Lista de acceso estndar muestra #2
Escribir una lista de acceso estndar para bloquear Jim's equipo enve informacin al equipo de
Frank; pero permitir que el resto del trfico de la red 192.168.90.0. Permitir todo el trfico desde
el
Red 210.30.28.0 a alcanzar la red 172.16.70.0. Denegar todo el trfico. Tenga en cuenta que
pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser
escrito.

Interfaz:
E0
Access-list #:
28
Router# configure terminal

Router(config)# access-list 28 deny 192.168.90.36
O
Access-list 28 deny 0.0.0.0 o
192.168.90.36
Access-list 28 deny host 192.168.90.36
Router(config)# access-list 28 permitir 192.168.90.0 0.0.0.255
Router(config)# interface
E0 Router(config-if)# ip access-group
28 Router(config-if)# exit
Router# copy run start
[Deshabilitar ACL's]

Router(config-if)# no ip access-group 28
[Eliminar una ACL]

Router(config-if)# no ip access-group 28
Router(config-
if)# exit Router(config)# no access-list 23
28 Router(config)# exit
FA0 S0
un
Router El Router B
223.190 FA1
.32.1 S1
192.16.32.94
FA0
Michael's 172.16.28.36 Debbie's

Equipo Equipo
223.190.32.16 192.16.32.95
Lista de acceso estndar problema n 1

Escribir una lista de acceso estndar para bloquear Debbie's equipo de recibir informacin
de Michael's equipo; pero permitir que el resto del trfico. Lista de todas las opciones de
lnea de comandos para este problema. Tenga en cuenta que pueden existir mltiples

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
O
Router(config)#
O
Router(config-if)# ip access-group in or out (circle one)

24
25
Escribir una lista de acceso estndar para permitir Debbie's equipo para recibir
informacin de Michael's equipo; pero denegar todo el trfico de la red 223.190.32.0.
Bloquear todo el trfico de la red 172.16.0.0. Permitir todo el trfico. Lista de todas las
opciones de lnea de comandos para este problema. Tenga en cuenta que pueden
existir mltiples maneras muchas de las declaraciones individuales en una ACL puede
ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
O
Router(config)#
Router(config)#
Router(config)#
O
Router(config-if)# ip access-group In o fuera (rodee con un

crculo)

24
Un
router
204.90.30.124 E0
S0 El
10.250.30.35 Router
B Jim's
S1 FA1 equipo
Carol 10.250.30.36 192.168.88.4 192.168.88.5

Equipo
Rodney's 204.90.30.125
Equipo
204.90.30.126

Escribir una lista de acceso estndar para bloquear Rodney y Carol equipo enve
informacin a Jim de equipo; pero permitir que el resto del trfico de la red 204.90.30.0.
Bloquear cualquier otro trfico. Tenga en cuenta que pueden existir mltiples maneras
muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
27

26
Lista de acceso estndar problema #4
Usando un mnimo nmero de comandos escriba una lista de acceso
estndar denominado "Ralph" al bloque de Carol equipo enve informacin a Jim de
equipo; pero permitir Jim para recibir datos de Rodney. Bloquear la mitad superior del
rango 204.90.30.0 lleguen a Jim's ordenador permitiendo que la mitad inferior del rango.
Bloquear cualquier otro trfico. Para obtener ayuda con el bloqueo de la mitad superior del
rango revise la pgina 13 o la mscara comodn de problemas en las pginas 16 y 17.
Para obtener ayuda con las ACL nombradas revise las pginas 12 y 13.

Nombre del router:
Inter
faz:
Nom
bre de la lista de acceso:
Router(config)#
Router(config-std-nacl)#
Router(config-std-nacl)# interface

crculo)
27

26
El Router B
S1 S0
Un router
172.30.225.1 E1212.180.10.5
S0 S1
E0
S1 El router C
172.30.225.2 212.180.10.6
172.30.225.3 212.180.10.2

Escribir una lista de acceso estndar para bloquear 172.30.225.3 172.30.225.2 y el
envo de informacin a la red 212.180.10.0; pero permitir que el resto del trfico.
Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones
individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#

28
29
Escribir una lista de acceso estndar para bloquear y registrar desde 212.180.10.2
172.30.225.0 enviar informacin a la red. 212.180.10.6 permiso y registro para enviar datos
a la red 172.30.225.0. Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples
(Compruebe el ejemplo en la pgina 10 para obtener ayuda con la opcin de registro).

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
30
crculo)
31
El router C
Un router
S0 S1
FA0
FA0 S1 El 198.32.10.25
192.168.15.172 Router B
S0
FA1
210.140.15.1
192.168.15.3 198.32.10.25
210.140.15.8

Escribir una lista de acceso estndar para bloquear las direcciones 192.168.15.1 a
192.168.15.31 enve informacin a la red 210.140.15.0. No permitir que ningn trfico
desde 198.32.10.25 para alcanzar la red 210.140.15.0. Permitir todo el trfico. Para obtener
ayuda con este problema, revise la pgina 13 o la mscara comodn de problemas en las
pginas 16 y 17.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#

32
33
Escribir una lista de acceso nombrada estndar llamado "Cisco_Lab_A" para permitir el
trfico desde la mitad inferior de la red 198.32.10.0 a alcanzar la red 192.168.15.0; bloquear
la mitad superior de las direcciones. 198.32.10.192 host permiten llegar a la red
192.168.15.0. Permitir todo el trfico. Para obtener ayuda con este problema, revise la pgina
13 o de las m scaras wildcard problemas en las pginas 16 y 17. Para obtener asistencia con
las ACL nombradas revise las pginas 12 y 13.

Nombre del router:
Inter
faz:
Nom
Router(config)#
Router(config-std-nacl)#

34
Router(config-std-nacl)# interface
Router(config-if)# ip access-group In o fuera (rodee

con un crculo)
35
Escribir una lista de acceso estndar para bloquear la red 192.168.255.0 de recibir
informacin de las siguientes direcciones: 10.250.1.100, 10.250, 10.250.2.1.4.1, y toda la
red 255.255.255.0 10.250.3.0. Permitir que el resto del trfico. Tenga en cuenta que
pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.

Nombre del router: Ro__
_ u t er A
Interfaz: F
_0
Access-list #:
Router(config)#
Router(config)# interfaz F_0

crculo)
32
37
Escribir
Las listas de acceso
extendidas...
32
Un router
34
172.16.70.1 192.168.90.2
FA1
FA0
El El
equipo de equipo de
John's Gail Mike La Celeste
Equipo 172.16.70.32 192.168.90.36 Equipo
172.16.70.35 192.168.90.38
Lista de acceso extendido Denegar o Permitir direcciones

muestra
Escribir una lista#1 especficas
de acceso extendida para evitar que la computadora de John enve informacin al equipo de Mike, pero
permitir que el resto del trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones

Interfaz: FA0
Access-list #: 110

Router(config)# access-list 110 deny ip 172.16.70.35 0.0.0.0 0.0.0.0 192.168.90.36
O
Access-list 110 deny ip host host 172.16.70.35 192.168.90.36
Router(config)# access-list 110 permit ip any any
O
Access-list 110 permit ip 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255
fa0 Router(config-if)# ip access-group [Ver informacin acerca de las listas de control de acceso (ACL)]
110 en Router(config-if)# exit Router# show configuration (Esto mostrar los grupos de acceso
Router(config)# exit que
se asocian con determinadas
interfaces)
Router# show access list 110 (Esto mostrar informacin detallada
acerca de esta ACL)
muestra
Escribir #2
una lista especficas
de acceso extendida para bloquear la red 172.16.70.0 de recibir informacin del equipo de Mike en
192.168.90.36. Bloquear la mitad inferior de las direcciones IP de la red 192.168.90.0 desde el equipo de llegar a Gail en
172.16.70.32. Permitir todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones

Interfaz: FA1
Access-list #: 135

O
Access-list 135 deny host 192.168.90.36 IP 172.16.70.0 0.0.0.255
O
Access-list 135 deny ip 192.168.90.0 0.0.0.127 host 172.16.70.32
O
fa1 Router(config-if)# ip access-group
135 en Router(config-if)# exit
[Deshabilitar ACL's] [Eliminar una ACL]
Router# configure terminal Router# configure terminal

Router(config)# interface E1 Router(config)# interface E1
Router(config-if)# no ip access-group 135 fuera Router(config-if)# no ip access-group 135 fuera
Router(config-if)# exit Router(config-if)# exit
Router(config)# no access-list 135
Router(config)# exit Router(config)# exit
35
36
Un router El Router B
FA0 172. S0 FA1
S1 1 92.168.122.52
20.70.15
Cindy Jay
Equipo Equipo
Ordenado El equipo
r de Bob
172.20.70.89 192.168.122.128 de Jackie
172.20.70.80 192.168.122.129
Lista de acceso extendido problema #1 Denegar/permitir direcciones

especficas
Escribir una lista de acceso extendida para evitar Jay equipo reciba informacin de Cindy equipo. Permitir todo el trfico. Tenga
en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Router(config-if)# ip access-group Dentro o fuera (rodee con un crculo)
problema
Escribir nacceso
una lista de 2 extendida para bloquear la red 172.20.70.0
especficas
255.255.255.0 de recibir informacin desde el equipo de
Jackie en 192.168.122.129. Bloquear la mitad inferior de las direcciones IP de red 192.168.122.0 lleguen a Cindy ordenador a

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
37
Router(config-
if)# exit Router(confi
g)# exit Router# copy
run start
El Router
38
E0 A
218.35.50.1 S0
El
equipo de Juan
218.35.50.12 S1 Rebecca
en
Jan's equipo Rachael's
Equipo Router B FA1
172.59.2.15 Equipo
218.35.50.10 172.59.2.1 172.59.2.18
Lista de acceso extendido problema n 3 Denegar o Permitir direcciones

especficas
Escriba un nombre de lista de acceso extendida denominada "Lab_166" para permitir que el equipo de Jan en 218.35.50.10 para
recibir paquetes de Rachael's equipo en 172.59.2.18; pero no Rebecca en equipo en 172.59.2.15. Negar todos los otros
paquetes. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL puede
ser escrito.

Nombre del router:
Inter
faz:
Nom
Router(config)#
Router(config-ext-nacl)#
Router(config-ext-nacl)# interface
problema
Escribir #4acceso extendida para permitir al equipo de
una lista de especficas
Juan 218.35.50.12 para enviar informacin a Rebecca en
equipo en 172.59.2.15; pero no Rachael's equipo en 172.59.2.18. Permitir todo el trfico. Tenga en cuenta que pueden existir
mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config-
39
if)# exit Router(config)# exit

El Router A
40
S0 El
Router B
E0 S1
Ralph's
computadora E1 Ordenado
Cindy
192.16.20.7 192.16.20.5 r de Bob El
Equipo equipo de
192.16.20.6 192.18.50.10 192.18.50.11 Barbra
192.18.50.12
Lista de acceso extendido Denegar/Permitir intervalos

muestra
Escribir una lista#3
de acceso extendida para permitir que la red enteros
192.16.20.0 a recibir paquetes desde la red 192.18.50.0. Denegar
todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.

Nombre del router: El Router B
Interfaz: E1
Access-list #: 111

Router(config)# access-list 111 permit ip 192.18.50.0 0.0.0.255 192.168.20.0 0.0.0.255
Router(config)# access-list 111 deny ip any any
O
Access-list 111 deny ip 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255
Router(config)# interface E1 Router(co
nfig-if)# ip access-group 111
en Router(config-if)# exit
Router# show configuration (Esto mostrar los grupos de acceso que se asocian
Router# show access list 111 (Esto mostrar informacin detallada acerca de esta
ACL)
muestra
Escribir #4
una lista enteros
de acceso extendida para bloquear la red 192.18.50.0 de recibir informacin de la red 192.16.20.0. Permitir
puede ser escrito.

Interfaz: E0
Access-list #: 188

O

Router(config-if)# no ip access-group 188 Router(config-if)# no ip access-group 188
41
42 Un
router S0
FA0 210.250.10.0
204.95.150.11
S0 Rebecca
en
Equipo de Todd S1 equipo
Rachel's
Equipo 204.95.150.12 FA1 172.59.2.15 Equipo de
204.95.150.10 El 172.59.2.1 David.
172.59.2.18
Router B
Lista de acceso extendido problema n 5 Denegar/Permitir intervalos

enteros
Escribir una lista de acceso extendida para permitir la red 204.95.150.0 para enviar paquetes a la red 172.59.0.0, pero no la red

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
problema
Escribir nacceso
una lista de 6 extendida para permitir Rachel's ordenador
enteros a 204.95.150.10 para recibir informacin desde la red
172.59.0.0. Denegar todos los otros hosts en la red 204.95.150.0 el acceso desde la red 172.59.2.0. Permitir todo el trfico.
Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser
escrito.

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config-if)#
Router(config-if)# ip ip access-group
access-group o (circle
in or out
Dentro one) con un crculo)
fuera (rodee
43
Router(config-
Router(config)#
if)# exit
exit Router(confi
run start
44
E0 S0 E1
172.120.170 S1 192.168.50.2
.45
E1 S0
Tommy's Equipo Tim's
172.120.170.45
Phyllis's Denise's
Equipo 210.168.70.0 Equipo Equipo
172.120.170.45 10.250.1.0 192.168.50.3 192.168.50.4
Lista de acceso extendido problema n 7 Denegar/Permitir intervalos enteros

Escriba un nombre de lista de acceso extendida denominada "Godzilla" para evitar que la red 172.120.0.0 que enven
informacin a la 210.168.70.0 255.255.255.0 10.250.1.0 , y redes; pero va a permitir el trfico a la red 192.168.50.0. Permitir
puede ser escrito.

Nombre del router:
Inter
faz:
Nom
Router(config)#
problema
Suponiendo que #8
las mscaras de subred predeterminadasenteros
escribir una lista de acceso extendida para permitir Tim a
192.168.50.3 para recibir datos desde la red 172.120.0.0. Permitir que la red 192.168.50.0 para recibir informacin desde su
equipo a Phyllis 172.120.170.45. Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de
las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config)# interface interface
Router(config-if)# ip
Router(config-if)# ip access-group
access-group o (circle
in or out
Dentro one) con un crculo)
fuera (rodee
45
Router(config-if)#
Router(config- exit
Router(config)#
exit
run start
Un
46
router S0 El
FA0 S1 Router B
192.168.15.20 E1 1
Jim's Carol
Equipo 72.21.50.95 Equipo
Rodney Equipo de
del equipo 192.168.15.43 172.21.50.96 Frank
192.168.15.44 172.21.50.97
Lista de acceso extendido Denegar o Permitir un intervalo de

muestra
Escribir una lista#5 direcciones
de acceso extendida para negar a las primeras 15 direcciones utilizables de la red 192.168.15.0 lleguen a la
red 172.21.0.0. Permitir todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones

Interfaz: FA0
Access-list #: 185

O
ACL)
Lista de acceso extendido Denegar o Permitir un intervalo de
muestra
Escribir una lista#6 direcciones
de acceso extendida que permitir la mitad inferior de la 192.168.15.0 el acceso de red a la red 172.21.50.0.
Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una
ACL puede ser escrito.

Interfaz: FA0
Access-list #: 121

Router(config)# access-list 121 permit ip 192.168.15.0 0.0.0.127 172.21.50.0 0.0.0.255
Router(config)# access-list 121 deny ip any any
O
Access-list 121 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

Router(config)# interface fa0 Router(config)# interface fa0
Router(config-if)# no ip access-group 121 en Router(config-if)# no ip access-group 121 en
47
El Router A
48
192.168.195.90 192.168.125.254
E0 E1
S0
El El
equipo de 172.31.195.0 equipo de
La Gail El equipo
computad 192.168.195.145 Mike
192.168.125.17 celeste
ora de
John
192.168.125.108
192.168.195.88
Lista de acceso extendido problema #9 Denegar o Permitir un intervalo de

direcciones
Escribir una lista de acceso extendida para evitar las primeras 31 direcciones utilizables en la red 192.168.125.0 192.168.195.0
lleguen a la red. Permitir todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
direcciones
Escriba un nombre de lista de acceso extendida denominada "Media_Center" para permitir que el rango de direcciones a travs
de 172.31.195.7 172.31.195.1 para enviar a la red 192.168.125.0 fecha. Denegar todo el trfico. Tenga en cuenta que pueden
existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Inter
faz:
Nom

Router(config)#
49
Router(config-
run start
50
192.16.20.5 Un El router
router C
FA0 S0 S1
S1 FA1
172.18.50.10
El equipo
de Jill
Ralph's Bob's
172.22.75.9
Equipo
S0 el Router Equipo
B
Barbra's
Cindy 192.16.20.7 172.18.50.11 Equipo
Equipo E1 El equipo de
Brad 172.18.50.12
192.16.20.6 172.22.75.8 172.22.75.10
direcciones
Escribir una lista de acceso extendida para permitir los primeros 3 direcciones utilizables en la red 192.16.20.0 a alcanzar la red
172.22.75.0. Denegar las direcciones desde 192.16.20.4 a 172.22.75.0 192.16.20.31 lleguen a la red. Permitir todo el trfico.
Tenga en cuenta que hay varias maneras esta ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
direcciones
Escribir una lista de acceso extendida para denegar las direcciones desde 172.22.75.127 172.22.75.8 a travs del envo de
datos a la red 172.18.50.0. Negar la primera mitad de las direcciones de la red 172.22.75.0 lleguen a la red 192.16.20.0. Permitir
todo el trfico. Tenga en cuenta que hay varias maneras esta ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config-if)# ip access-group or out (circle
in Dentro o fueraone)
(rodee con un crculo)
51
Router(config-
run start
52
FA0 S0 FA1
172.16.70.1 S1 192.168.88.1
FA1 FA0
Ordenador de Peggy's
Bob Equipo
El equipo El equipo de
celeste
172.16.70.155 192.168.88.200 Denise
172.16.70.145 10.250.1.0 10.250.4.0 192.168.88.204

direcciones
Escribir una lista de acceso extendida para permitir las primeras 63 direcciones utilizables en la red 192.168.88.0 para llegar
a la mitad inferior de las direcciones en la red 172.16.70.0; pero no la mitad superior. Denegar todo el trfico. Tenga en
cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Lista de acceso extendido problema #14 Denegar/Permitir un intervalo de
direcciones
Escribir una lista de acceso extendida para denegar las direcciones de 10.250.1.63 10.250.1.0 a travs del envo de datos a
Denise su equipo. Permitir todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config-if)# ip access-group or out (circle
in Dentro o fueraone)
(rodee con un crculo)
Router(config-
53
run start
El Router A
54
S0 El Router B
E0 S1
Servidor
192.168.207.25 E1 Web Server
Web
192.168.207.27 210.128.50 210.128.50.11
192.168.207.26 .10 210.128.50.12
Lista de acceso extendido Denegar o Permitir nmeros

muestra
Escribir una lista#7 de puerto
de acceso extendida para denegar el trfico HTTP diseado para servidor web 192.168.207.27, sino que
permitir a todos los dems el trfico HTTP para llegar a la nica red 192.168.207.0. Negar el resto de trfico IP. Tenga en

Interfaz:
E0
Access-list #:
198

Router(config)# access-list 198 deny tcp any 192.168.207.27 0.0.0.0 eq www
O
Access-list 198 deny tcp cualquier host 192.168.207.27 eq
www Router(config)# access-list 198 permitir tcp any 192.168.207.0 eq 0.0.0.255
www Router(config)# interface E0
Router(config-if)# ip access-group 198 en
Router(config)# exit [Ver informacin acerca de las listas de control de acceso (ACL)]
ACL)
Lista de acceso extendido Denegar o Permitir nmeros de
muestra
Escribir #8
una lista puerto
de acceso extendida para permitir pings en cualquier direccin entre hosts de la 210.128.50.0 192.168.207.0 y
redes. Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales
en una ACL puede ser escrito.

Interfaz: E0
Access-list #: 134

Router(config)# access-list 134 permiten 210.128.50.0 192.168.207.0 0.0.0.255 0.0.0.255 icmp echo-REPLY

Router(config-if)# no ip access-group 134 fuera Router(config-if)# no ip access-group 134 fuera
55
56
E0 S0 E1
172.20.70.1 S1 192.168.33.1
E1 E0
Ordenador de Peggy's
Bob Equipo
El equipo El equipo de
celeste
192.30.76.155 192.168.33.210 Denise
192.30.76.145 10.250.4.0 172.16.16.0 192.168.33.214
Lista de acceso estndar muestra Denegar o Permitir

#9 una lista de acceso extendida para permitir Denise y Bob's
Escribir Telnet
equipos para ejecutar telnet en el Router B. negar todos los
dems trfico telnet tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una

Nombre del router: el Router B
Interfaz: (El uso de line vty 0 4 en lugar de una interfaz como E1 le
Line VTY 0 4 permite aplicar esta lista de acceso para todas las l neas vty
con una instruccin)
Access-list #:
45

O
Access-list 45 permiten alojar 192.168.33.214
O
Access-list 45 permiten alojar 92.30.76.155
Router(config)# line vty 0
4 Router(config-if)# ip access-class
Router# show lista de acceso 45 (Esto mostrar informacin detallada acerca de

esta ACL)
Lista de acceso extendido Denegar o Permitir
muestra
Escribir #10
una lista nmeros
de acceso extendida para negar a direcciones IP 192.30.76.0 FTP de puerto
a travs de 192.30.76.13.
Permitir todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una

Nombre de router: Un router
Interfaz: E0
Access-list # 155

Router(config)# access-list 155 deny tcp any 192.30.76.0 ftp eq 0.0.0.13
Router(config)# access-list 155 permitir tcp any any
O
Access-list 155 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Router(config-if)# ip access-group 155 en
Router(config-
run start

Router(config-if)# no ip access-group 155 Router(config-if)# no ip access-group 155
57
Router B
58
10.250.2.0 FA1
S1 192.128.45.8
FA0
E1 Bill's
S0 equipo
El
El
equipo de Jackie
E0 192.128.45.33 equipo de
Jennifer
172.16.125.1 10.250.8.0
Un router 192.128.45.35
Lista de acceso extendido problema #15
172.16.70.1 Denegar/Permitir un nmeros de
puerto
Escribir una lista de acceso extendida para permitir el trfico ICMP desde la red 192.128.45.0 para llegar a la 255.255.255.0 y
172.16.125.0
10.250.2.0 255.255.255.0 redes. Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las
declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface Router(config-

if)# ip access-group
Route Dentro o fuera (rodee con un crculo)
r(config-if)# exit
Lista de acceso extendido problema #16 Denegar o Permitir un nmeros de
puerto
Escriba un nombre de lista de acceso extendida denominada "Peggys_Lab" para negar de 10.250.8.0 10.250.8.127 telnet a
travs de alcanzar la red 192.128.45.0. Permitir todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas
de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Inter
faz:
Nom

Router(config)#
Router(config-ext-nacl
59
Dentro o fuera (rodee con un crculo)

Router(config-
run start
60 Un
router S0
FA0 204.250.10.0
203.194.100.1
Servidor Web #1 S0 El
203.194.100.102 S1 equipo de
Becky
Servidor Web #2 El
203.194.100.101 FA1 172.60.18.140 Equipo de
El Router B 172.60.18.1 Mara
172.60.18.142
Lista de acceso problema Denegar o Permitir

#17 una lista de acceso para permitir que Becky
Escribir nmeros
y ordenadorde puerto
de Mara a telnet en el Router B. negar todos los otros tr fico de
telnet desde la red 172.60.18.0. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales
en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
problema
Escribir #18
una lista de nmeros
acceso extendida para denegar todo el trfico de puerto
HTTP diseado para el servidor web en 203.194.100.102.
Permitir el trfico HTTP a cualquier otros servidores web. Denegar todos los dems trfico IP 203.194.100.0 a la red. Tenga en

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config)#interface
Router(config-if)# ip
Router(config-if)# ipaccess-group
access-group in or out
Dentro (circle(rodee
o fuera one) con un crculo)
Router(config-if)#
Router(config- exit
Router(config)#
61
if)# exit
exit Router(confi
run start
62
El Router A
S0 El
E0 S1 Router B
E1
192.168.15.25 E1
Bobbie's Servidor Web
Equipo 172.23.50.195 #2
Servidor Web #1 El equipo
192.168.15.82 172.23.50.196
192.168.15.125 192.172.10.0 de Gail
172.23.50.197
Lista de acceso problema Denegar o Permitir

#19 una lista de acceso para permitir el trficonmeros
Escribir de los
de TFTP a todos puerto
hosts de la red 192.168.15.0. Denegar todos los dems
trfico TFTP. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
problema
Escribir #20
una lista de nmeros
acceso extendida que permite que el trfico deelpuerto
de la web desde servidor web #2 en 172.23.50.196 para
llegar a todos en la red 192.168.15.0. Denegar todos los dems trfico IP a la 192.172.10.0, y 192.168.15.0 redes. Tenga en

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config-
63

run start
Los comandos ACL
opcional
Y otras ideas de seguridad de red
A fin de reducir la posibilidad de suplantacin de identidad desde fuera de la red

considere agregar las siguientes declaraciones a la red de la lista de acceso de
entrada.
Router# config t
Router(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 cualquier
Router(config)# access-list 100 deny ip 127.0.0.0 cualquier 0.255.255.255
Router(config)# access-list 100 deny ip 224.0.0.0 31.255.255.255
cualquier router(config)# access-list 100 deny ip su subred-# Tu subnet-mask-
# cualquier router(config)# access-list 100 deny any IGMP
Router(config)# access-list 100 deny any redireccin ICMP
Router(config)# access-list 100 permit any cualquier
Router(config)# interface E0 (o cualquiera que sea su puerto entrante
es)
en router(config-if)# exit
Otra til herramienta de seguridad es permitir slo los paquetes IP de su red con la
direccin de origen.
Router# config t
Router(config)# access-list 100 permit ip su subred-# Tu subnet-mask-
# cualquier router(config)# interface E0 (o cualquiera que sea el
puerto de salida est) router(config-if)# ip access-group out
Router(config-if)#
exit router(config)#
exit
Para mantener los paquetes con destinos inalcanzables entren en su red agregar este comando: ip route
0.0.0.0 0.0.0.0 null 0 255
Para proteger contra pitufo y otros ataques agregar los siguientes comandos para cada interfaz externa:
No ip broadcast dirigida
no ip origen-ruta
Feria-cola
Intervalo de scheduler 500
64
Index / Tabla de contenido
Nmeros Access-List.......................................................................Cubierta
interior
Qu son las listas de control de acceso?. ..................................................... 1
Listas de acceso informacin general. ............................................................ 1
How routers use Access Lists. ........................................................................ 1
Standard Access Lists. .................................................................................... 2
Por qu las ACL estndar debe colocarse cerca del destino. ...................... 2
Standard Access List Placement Sample Problems. ....................................... 3
Los problemas de colocacin de lista de acceso estndar. ......................... 4-5
Extended Access Lists. ................................................................................... 6
Por qu las ACL extendidas deben colocarse cerca del destino. .................. 6
Extended Access List Placement Sample Problems. ...................................... 7
Lista de acceso extendido los problemas de colocacin. .............................8-9
Elegir para filtrar los paquetes entrantes o salientes. .................................... 10
Desglose de una sentencia ACL estndar. ................................................... 10
Desglose de una ACL extendida Declaracin. .............................................. 11
Lo que se denominan listas de control de acceso. ............................................ 12
Listas de acceso nombradas informacin. ........................................................ 12
Applying a Standard Named Access List called George. .............................12
Applying an Extended Named Access List called Gracie. ........................... 13
Choices for Using Wildcard Masks........................................................... 14-15
Creating Wildcard Masks. ................................................................................16
Wildcard Mask Problems. ........................................................................ 18-20
Escribir listas de acceso estndar. ............................................................ 21-32
Escribir listas de acceso extendidas. ....................................................... 33-63
Denegar o Permitir direcciones especficas. ................................... 33-39
Denegar o Permitir intervalos enteros. ............................................ 40-45
Denegar o Permitir un intervalo de direcciones............................... 46-53
Denegar o Permitir nmeros de puerto. .......................................... 54-63
Optional ACL Commands. .............................................................................64
Index / Table of Contents. ..............................................................................65
Los nmeros de puerto...............................................................................66-
Cubierta interior
65
66
Los nmeros
de puerto
Los nmeros de puerto son asignados por la ICANN (Internet Corporation for
Assigned Names and Numbers). TCP y UDP utilizados comnmente las
aplicaciones se les asigna un nmero de puerto; tales como: - 80 HTTP,
POP3 , FTP - 110 - 20. Cuando una aplicacin se comunica con otra
aplicacin en otro nodo en la internet, se especifica que la aplicacin en cada
transmisin de datos mediante el uso de su nmero de puerto. Tambin
puede escribir el nombre (ej. Telnet) en lugar del nmero de puerto (ie. 23).
Intervalo de nmeros de puertos desde 0 hasta 65536 y se dividen en tres
gamas:
Puertos conocidos 0 A 1.023

Puertos registrados 1024 A 49,151
Dinmico y/o puertos privados 49,152 A 65.535
A continuacin se muestra una breve lista de algunos puertos utilizados

habitualmente. Para obtener una lista completa de nmeros de puerto ir
a http://www.iana.org/assignments/port-numbers.
Algunos de los nmeros de puerto utilizados comnmente:
0 Reservados
1 TCPMUX (Servicio Multiplexor Puerto
5 RJE TCP)
(Remote Job Entry)
7 ECHO
9 Desechar
11 SYSTAT (Usuarios Activos)
13 Da
17 Cita (Cita del da)
18 MSP (protocolo de envo de
19 CHARGEN. mensajes) de caracteres)
(generador
20 FTP-DATA (Protocolo de transferencia de
21 FTP archivos - Datos)
( Protocolo de transferencia de
22 SSH archivos - Control).
(Protocolo de inicio de sesin
23 Telnet remoto)
(Conexin de terminal)
25 SMTP (Protocolo simple de
29 MSG ICP transferencia de correo)
66
37 Tiempo
39 RLP (Protocolo de Ubicacin de
42 NAMESERV recursos
Nombre del host (servidor)
43 NICNAME (quin es)
49 LOGIN Protocolo de Host (Login)
53 El DNS (Domain Name Server).
67 BOOTP (Bootstrap Protocol Server).
68 BOOTPS Protocolo Bootstrap (Cliente).
69 TFTP ( Protocolo Trivial de Transferencia de archivos)
70 GOPHER (Servicios Gopher )
75 (Cualquier Privite servicio dial-out)
79 Dedo
80 HTTP ( Protocolo de transferencia de hipertexto)
95 SUPDUP SUPDUP (protocolo)
101 HOSTNAME (NIC Host Name Server).
108 SNAGAS Access Gateway (SNA Server).
109 POP2 (Post Office Protocol, versin 2)
110 POP3 (Post Office Protocol, versin 3).
113 AUTH (Authentication Service)
115 SFTP ( Protocolo de transferencia simple de archivos)
117 Ruta UUCP (Servicio de ruta UUCP)
118 SQLSERV (Servicios de SQL)
119 NNTP (grupo de noticias)
123 NTP ( Tim) Protocolo de red
137 NetBIOS-NS (Servicio de nombres de NetBIOS)
139 NetBIOS-SSN (El servicio de sesin NetBIOS )
143 IMAP (Protocolo de acceso a correo provisional)
150 SQL-NET (El servicio de sesin NetBIOS)
156 SQLSRV (SQL Service)
161 SNMP (Simple Network Management Protocol)
179 BGP (Border Gateway Protocol)
190 GACP Protocolo de Control de acceso (Gateway)
194 IRC (Internet Relay Chat).
197 DLS Ubicacin de directorio (Servicio).
389 LDAP (Protocolo ligero de acceso a directorios)
396 IP de Netware (Novell Netware sobre IP )
443 HTTPS (HTTP MCom)
444 SNPP (Protocolo simple de paginacin de red)
445 Microsoft-DS
458 Apple QuickTime
546 Cliente DHCP
547 Servidor DHCP
563 SNEWS
569 MSN
68 Cubierta interior

Access Lists Workbook Student Edition Ver1 2-1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Access Lists Workbook Student Edition Ver1 2-1

Uploaded by

Copyright:

Available Formats

UnaC

Producido por: Robb

Listas de acceso informacin general

Luego el router busca una ACL en esa interfaz saliente.

Si no hay ACL del router cambia el paquete fuera de la interfaz a su

Si existe una ACL, el router verifica el paquete contra las sentencias de

Si el paquete no coincide con ninguna declaracin escrita de la ACL se

Por qu las ACL est ndar se colocan

Si coloca las ACL en un router para bloquear el trfico al

A fin de permitir paquetes desde Juan del equipo para llegar

Lisa ha estado enviando informacin innecesaria a Pablo. En

3. En caso de que usted coloque una lista de

4. En caso de que usted coloque una lista de

5. En caso de que usted coloque una lista de

6. En caso de que usted coloque una lista de

7. En caso de que usted coloque una lista de

8. En caso de que usted coloque una lista de

9. En caso de que usted coloque una lista de

10. En caso de que usted coloque una ACL para

11. En caso de que usted coloque una lista de

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Por qu las ACL extendidas se coloca cerca de la

Si desea denegar el trfico del equipo de Juan lleguen a Janet de

A fin de permitir paquetes desde Juan del equipo para

Lisa ha estado enviando informacin innecesaria a Pablo. En caso de

5. En caso de que usted coloque una lista de

6. En caso de que usted coloque una lista de acceso

7. En caso de que usted coloque una lista de

8. En caso de que usted coloque una lista de acceso

9. En caso de que usted coloque una ACL para

10. En caso de que usted coloque una lista de

11. En caso de que usted coloque una lista de

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Listas de acceso en su puerto de salida...

Desglose de una sentencia ACL

Aut nomo Indica una (Opcional

Access-list 125 permit ip 192.175.63.12 192.168.90.36 0.0.0.0 0.0.0.0

Permitir o Direc Direcci

Access-list 178 deny tcp host host 192.168.90.36 192.175.63.12 eq 23 log

Permi Direc Indica Eq para

Listas de acceso nombradas

Colocar la lista de acceso en:

[Grabando e instalando una ACL]

Router# configure terminal (o

Colocar la lista de acceso en:

[Grabando e instalando una ACL]

Router# configure terminal (o config t)