Professional Documents
Culture Documents
L
Extended
y
0.0.0.0
Listas
de
acceso
Permi
tir
Libro
Den Standard
Versin 1.2
y access-
list
Access-
group
Mscara
comodn
Nmeros Access-List
Estndar IP 1 A 99
Extended IP 100 A 199
Cdigo de Tipo de Ethernet 200 A 299
Direccin Ethernet 700 A 799
DECnet DECnet y ampliado 300 A 399
XNS 400 A 499
XNS ampliada 500 A 599
Appletalk 600 A 699
Direcciones MAC de 48 bits 700 A 799
Estndar IPX 800 A 899
Extendida IPX 900 A 999
IPX Protocolo de anuncio de servicios 1000 A 1099
(SAP)
SPX IPX SAP 1000 A 1099
Extendido de 48 bits de direcciones 1100 A 1199
MAC IPX
NLSP 1200 A 1299
Estndar IP, rango ampliado 1300 A 1999
IP, ampliada gama ampliada 2000 A 2699
SS7 (voz) 2700 A 2999
Vias estndar 1 A 100
Vias ampliada 101 A 200
Vias simple 201 A 300
Puenteo transparente (Tipo de 200 A 299
protocolo)transparente (Tipo de
Puenteo 700 A 799
proveedor)
Puenteo transparente extendida 1100 A 1199
Puenteo de origen-ruta (tipo de 200 A 299
protocolo)de origen-ruta (tipo de
Puenteo 700 A 799
proveedor)
interior
Cubierta
U el tiempo para revisar este libro para errores.
n
a
g
r
a
d
e
c
i
m
i
e
n
t
o
e
s
p
e
c
i
a
l
M
e
l
v
i
n
B
a
k
e
r
J
i
m
D
o
r
s
c
h
p
a
r
a
t
o
m
a
r
Qu son las listas de control de acceso?
UCLs...
n ...son una lista secuencial de instrucciones que le indican al router
que los paquetes para permitir o denegar.
El
El
equipo de
equipo de
Janet
mate
El Jimmy's
equipo de Equipo
Juan
2
Lista de acceso estndar
muestra problemas de
colocacin
FA0 FA1
Un
router
El equip El equipo
o de Juan de Jan
E0 S0 E1
S1
Un router El
Router B
El
equipo de El equipo de
Lisa Paul
3
Colocacin de lista de acceso estndar
El Router B
S1 S0
Un router
E0 FA1
S0 S1
S1 El router C
Ricky's El Jenny's
Equipo Equipo
Amanda
Equipo
El El
George's
equipo de equipo de
Equipo
Carrol Kathy
S1
El router D E0 Equipo
S0 de Jeff
El equipo
de Jim
S1
E0 S0 FA1
S1
El router E Router F
Equipo El Melvin's
El
de Linda equipo de Equipo
equipo de
Jackie
Sara
4
Colocacin de lista de acceso estndar
1. En caso de que usted coloque una lista de 12. En caso de que usted coloque
acceso estndar para permitir trfico de Ricky del una ACL para denegar el tr fico de
equipo para llegar a Jeff's equipo? Linda en la computadora llegue a
Jackie's equipo?
2. En caso de que usted coloque una lista de
acceso estndar para denegar el trfico
procedente del equipo Melvin lleguen a Jenny's
equipo?
Nombre route r r
ot
eu___rA
Interface E
0
6
Las listas de acceso extendidas
las listas de acceso extendidas...
...estn numeradas del 100 al 199.
...filtro (permitir o denegar) basado en: Direccin de origen
direccin de destino
nmero de puerto de
protocolo
... estn situados cerca de la fuente.
...trabajar tanto en la capa 3 y 4 del modelo OSI.
El El equipo de
equipo de Janet
mate
El Jimmy's Equipo
equipo de
Juan
7
Si coloca las ACL en el Router E para bloquear el trfico
desde el Router A, funcionar. Sin embargo, los Routers B
y C tendrn que enrutar el paquete antes de que
finalmente sea bloqueado en el router E. Esto aumenta el
volumen de trfico de red intil.
8
Lista de acceso extendido
muestra problemas de
colocacin
E0 E1
Un
router
El equipo de
El
Jan
equipo de
Juan
FA0 S0 FA1
S1
Un El
router Router B
El El equipo de
equipo de Paul
Lisa
9
Colocacin de listas de acceso extendidas
El Router B
S1 S0
Un router
FA0 E1
S0 S1
S1 El router C
Ricky's El Jenny's
Equipo Equipo Amanda
Equipo
El El
George's
equipo de equipo de
Equipo
Carrol Kathy
S1
El router FA0 Jeff's
D
S0 Equipo
El equipo
de Jim
S1
FA0 S0 FA1
S1
El router E Router F
Equipo El Melvin's
El
de Linda equipo de Equipo
equipo de
Jackie
Sara
1
0
Colocacin de listas de acceso extendidas
1. En caso de que usted coloque una ACL para Nombre route r r
ot
eu_
_ _RD
denegar el tr fico desde Jeff's equipo de llegar a La interfaze F
_0
George's equipo?
Nombre route r r
o
t
eu_
__rF
2. En caso de que usted coloque una lista de acceso
extendida para
Permitir trfico de Jackie del equipo para llegar a Interface FA1
Linda en la computadora?
3. En caso de que usted coloque una lista de 12. En caso de que usted
acceso extendida para denegar el trfico a Carrol's coloque una lista de acceso
equipo de Ricky's equipo? extendida para denegar el trfico
de Linda en la computadora
4. En caso de que usted coloque una lista de llegue a Jenny's equipo?
acceso extendida para denegar el trfico a Sarah
equipo desde el equipo de Jackie?
1
1
Nombre del router Interface
1
2
Elegir para filtrar los paquetes entrantes o
salientes de
listas de acceso en el puerto entrante...
...requiere menos CPU.
...denys y filtros de paquetes antes de que el router tiene que
hacer una decisin de enrutamiento.
Aut nomo
Direcci
1 a 99 n
fuente
Permitir o Direcci
denegar n
fuente
Access-list 78 deny host 192.168.90.36 log
Nmero de
Protocol
puerto
o icp,
ICMP, (23 = telnet)
TCP,
Nmero UDP, IP Indica Direcci
autnoma Etc un host n de
del 100 al . especfico. destino
199
12
Qu son las listas de control de acceso
nombradas?
Las ACL nombradas...
...son estndar o las ACL extendidas que tienen un nombre
alfanumrico en lugar de un nmero. (ej. 1-99 o 100-199)
14
Aplicacin de una extensa lista de acceso
nombrada "Gracie"
Escriba un nombre de lista de acceso extendida denominada "Gracie" en el Router A, Interfaz E0 llamado "Gracie" para
negar el trfico HTTP diseado para servidor web 192.168.207.27, sino que permitir a todos los dems el trfico HTTP
para llegar a la nica red 192.168.207.0. Negar el resto de trfico IP. Tenga en cuenta que pueden existir mltiples
maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Ejemplo 1
Direccin: 192.168.50.0 Mscara de subred:
255.255.255.0.
Ejemplo 2
Direccin: 172.16.0.0 255.255.0.0 Mscara de subred:
Ejemplo 3
14
Direccin: 10.0.0.0: Mscara de subred 255.0.0.0
15
3. Coincide con un intervalo especfico
Ejemplo 1
Direccin: 10.250.50.112: Mscara de subred
255.255.255.224
255. 255.255.255
Mscara de subred personalizada: -
255. 255.255.224
Comodn: 0. 0. 0. 31
Access-list 125 permitir cualquier 0.0.0.31 10.250.50.112
UDP
Ejemplo 2
Rango de direcciones: 192.168.16.0 a 192.168.16.127
192. 168. 16.127
-192. 168. 16. 0
Comodn: 0. 0. 0.127
Access-list 125 deny ip 192.168.16.0 0.0.0.127
cualquiera (esta ACL se bloqueara la mitad inferior
de la subred).
Ejemplo 3
Direccin: a 172.250.31.63 172.250.16.32
172. 250. 31. 63
-172. 250. 16. 32
Comodn: 0. 0. 15. 31
17
La creacin de Mscaras comodn
Al igual que una mscara de subred la mscara comodn indica al
router qu parte de la direccin para verificar o ignorar. Cero (0)
deben coincidir exactamente, uno (1) ser ignorado.
Example #1:
Direccin IP y mscara de 204.100.100.0 255.255.255.0
subred: IP y mscara
Direccin 204.100.100.0 0.0.0.255
comodn:
Todos cero (o 0.0.0.0) significa que la direccin debe coincidir
exactamente.
Example #2:
10.10.150.95 0.0.0.0 (Esta direccin debe coincidir exactamente).
Example #3:
10.10.150.95 0.0.0.255 (Cualquier direccin de subred 10.10.150.0
coincidirn.
10.10.150.0 a 10.10.150.255)
Example #4:
Direccin IP y mscara de subred:
192.170.25.30 255.255.255.224
Direccin IP y mscara comodn: 192.170.25.30 0.0.0.31
(restar de la mscara de subred
255.255.255.255 para crear el comodn)
Example #5:
Direccin IP y mscara de 172.24.128.0 255.255.128.0
subred:
Direccin IP y mscara 172.24.128.0 0.0.127.255
comodn:
Hacer las matemticas... 255 - 255 = 0 (Este es el inverso de la mscara de subred).
255 - 128 = 127
255 - 0 = 255
18
Problemas de mscara comodn
1. Crear una mscara comodn para hacer coincidir
esta direccin exacta. Direccin IP: 192.168.25.70
Mscara de subred: 255.255.255.0. 0 . _0 ._0 . 0
19
12. Crear una mscara comodn para coincidir
con este rango. Direccin IP:
135.35.230.32
Mscara de subred: 255.255.255.248
20
Problemas de mscara
comodn
Sobre la base de la informacin dada la lista de direcciones de origen o el
rango utilizable de origen utilizable Las direcciones que se pueden
permitir o denegar para cada acceso
La sentencia de la lista.
Respuesta: 1_9
2.1
6_8
5
0
.1
5
0
Respuesta: __nsd
d
e
rs___s
Respuesta: 1_9
523
.2
.5
0._1_ to
1
_9
52
3.2
.5
0._6_3
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
21
Respuesta:
22
11. Access-list 110 permit ip 192.168.15.0 192.168.30.10 0.0.0.3 0.0.0.0
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
23
Respuesta:
24
Problemas de mscara
comodn
Sobre la base de la informacin dada la lista de direcciones de destino
utilizables o rango de direcciones de destino utilizables que estaran
permitidos o denegados para cada
Sentencia de lista de acceso.
Respuesta: 1_7
2.1
6_8
._1_0
1.
_
Respuesta: __nsd
d
e
rs___s
Respuesta: 1_9
2.1
6_8
.1
5
._1_ to
1
_9
21
6
8
_._1_5
_6
_.3
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
25
Respuesta:
26
Escribir
Las listas de acceso
estndar...
Un router
172.16.70.1 192.168.90.2
E1
E0 S0
El equipo de
Equipo de 210.30.28.0 Jim
Frank
172.16.70.32 192.168.90.36 El equipo
de Kathy
Melvin's 192.168.90.38
Equipo
172.16.70.35
[Deshabilitar ACL's]
un
Router El Router B
223.190 FA1
.32.1 S1
192.16.32.94
FA0
Interfaz:
Access-list #:
Router(config)#
O
Router(config)#
O
Router(config)# interface
24
25
Lista de acceso estndar problema n 2
Escribir una lista de acceso estndar para permitir Debbie's equipo para recibir
informacin de Michael's equipo; pero denegar todo el trfico de la red 223.190.32.0.
Bloquear todo el trfico de la red 172.16.0.0. Permitir todo el trfico. Lista de todas las
opciones de lnea de comandos para este problema. Tenga en cuenta que pueden
existir mltiples maneras muchas de las declaraciones individuales en una ACL puede
ser escrito.
Interfaz:
Access-list #:
Router(config)#
O
Router(config)#
Router(config)#
Router(config)#
O
Router(config)# interface
Router(config)# interface
24
Un
router
204.90.30.124 E0
S0 El
10.250.30.35 Router
B Jim's
S1 FA1 equipo
Interfaz:
Access-list #:
Router(config)#
27
Router(config)# interface
Router(config)#
Router(config-std-nacl)#
Router(config-std-nacl)# interface
Router(config)# interface
172.30.225.2 212.180.10.6
172.30.225.3 212.180.10.2
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
28
Router(config-if)# exit
Router(config)# exit
29
Lista de acceso estndar problema n 6
Escribir una lista de acceso estndar para bloquear y registrar desde 212.180.10.2
172.30.225.0 enviar informacin a la red. 212.180.10.6 permiso y registro para enviar datos
a la red 172.30.225.0. Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples
maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
(Compruebe el ejemplo en la pgina 10 para obtener ayuda con la opcin de registro).
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
30
Router(config-if)# ip access-group In o fuera (rodee con un
crculo)
Router(config-if)# exit
Router(config)# exit
31
El router C
Un router
S0 S1
FA0
FA0 S1 El 198.32.10.25
192.168.15.172 Router B
S0
FA1
210.140.15.1
192.168.15.3 198.32.10.25
210.140.15.8
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
32
Router(config-if)# exit
Router(config)# exit
33
Lista de acceso estndar problema #8
Escribir una lista de acceso nombrada estndar llamado "Cisco_Lab_A" para permitir el
trfico desde la mitad inferior de la red 198.32.10.0 a alcanzar la red 192.168.15.0; bloquear
la mitad superior de las direcciones. 198.32.10.192 host permiten llegar a la red
192.168.15.0. Permitir todo el trfico. Para obtener ayuda con este problema, revise la pgina
13 o de las m scaras wildcard problemas en las pginas 16 y 17. Para obtener asistencia con
las ACL nombradas revise las pginas 12 y 13.
Router(config)#
Router(config-std-nacl)#
Router(config)# interface
34
Router(config-std-nacl)# interface
Router(config-if)# exit
Router(config)# exit
35
Lista de acceso estndar problema #9
Escribir una lista de acceso estndar para bloquear la red 192.168.255.0 de recibir
informacin de las siguientes direcciones: 10.250.1.100, 10.250, 10.250.2.1.4.1, y toda la
red 255.255.255.0 10.250.3.0. Permitir que el resto del trfico. Tenga en cuenta que
pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.
Interfaz: F
_0
Access-list #:
Router(config)#
Router(config-if)# exit
Router(config)# exit
37
Escribir
Las listas de acceso
extendidas...
32
Un router
34
172.16.70.1 192.168.90.2
FA1
FA0
El El
equipo de equipo de
John's Gail Mike La Celeste
Equipo 172.16.70.32 192.168.90.36 Equipo
172.16.70.35 192.168.90.38
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un crculo)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar o Permitir direcciones
problema
Escribir nacceso
una lista de 2 extendida para bloquear la red 172.20.70.0
especficas
255.255.255.0 de recibir informacin desde el equipo de
Jackie en 192.168.122.129. Bloquear la mitad inferior de las direcciones IP de red 192.168.122.0 lleguen a Cindy ordenador a
172.20.70.89. Permitir todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones
individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un crculo)
37
Router(config-
if)# exit Router(confi
g)# exit Router# copy
run start
El Router
38
E0 A
218.35.50.1 S0
El
equipo de Juan
218.35.50.12 S1 Rebecca
en
Jan's equipo Rachael's
Equipo Router B FA1
172.59.2.15 Equipo
218.35.50.10 172.59.2.1 172.59.2.18
Router(config)#
Router(config-ext-nacl)#
Router(config-ext-nacl)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un crculo)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar o Permitir direcciones
problema
Escribir #4acceso extendida para permitir al equipo de
una lista de especficas
Juan 218.35.50.12 para enviar informacin a Rebecca en
equipo en 172.59.2.15; pero no Rachael's equipo en 172.59.2.18. Permitir todo el trfico. Tenga en cuenta que pueden existir
mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un crculo)
Router(config-
39
S0 El
Router B
E0 S1
Ralph's
computadora E1 Ordenado
Cindy
192.16.20.7 192.16.20.5 r de Bob El
Equipo equipo de
192.16.20.6 192.18.50.10 192.18.50.11 Barbra
192.18.50.12
Router# show access list 111 (Esto mostrar informacin detallada acerca de esta
ACL)
Lista de acceso extendido Denegar/Permitir intervalos
muestra
Escribir #4
una lista enteros
de acceso extendida para bloquear la red 192.18.50.0 de recibir informacin de la red 192.16.20.0. Permitir
todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.
S0 Rebecca
en
Equipo de Todd S1 equipo
Rachel's
Equipo 204.95.150.12 FA1 172.59.2.15 Equipo de
204.95.150.10 El 172.59.2.1 David.
172.59.2.18
Router B
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar/Permitir intervalos
problema
Escribir nacceso
una lista de 6 extendida para permitir Rachel's ordenador
enteros a 204.95.150.10 para recibir informacin desde la red
172.59.0.0. Denegar todos los otros hosts en la red 204.95.150.0 el acceso desde la red 172.59.2.0. Permitir todo el trfico.
Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser
escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config)# interface
Router(config-if)#
Router(config-if)# ip ip access-group
access-group o (circle
in or out
Dentro one) con un crculo)
fuera (rodee
Router(config-if)# exit
43
Router(config-
Router(config)#
if)# exit
exit Router(confi
g)# exit Router# copy
run start
Un router El Router B
44
E0 S0 E1
172.120.170 S1 192.168.50.2
.45
E1 S0
Tommy's Equipo Tim's
172.120.170.45
Phyllis's Denise's
Equipo 210.168.70.0 Equipo Equipo
172.120.170.45 10.250.1.0 192.168.50.3 192.168.50.4
Router(config)#
Router(config-ext-nacl)#
Router(config-ext-nacl)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar/Permitir intervalos
problema
Suponiendo que #8
las mscaras de subred predeterminadasenteros
escribir una lista de acceso extendida para permitir Tim a
192.168.50.3 para recibir datos desde la red 172.120.0.0. Permitir que la red 192.168.50.0 para recibir informacin desde su
equipo a Phyllis 172.120.170.45. Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de
las declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config-ext-nacl)#
Router(config)# interface interface
Router(config-if)# ip
Router(config-if)# ip access-group
access-group o (circle
in or out
Dentro one) con un crculo)
fuera (rodee
45
Router(config-if)#
Router(config- exit
Router(config)#
if)# exit Router(confi
exit
g)# exit Router# copy
run start
Un
46
router S0 El
FA0 S1 Router B
192.168.15.20 E1 1
Jim's Carol
Equipo 72.21.50.95 Equipo
Rodney Equipo de
del equipo 192.168.15.43 172.21.50.96 Frank
192.168.15.44 172.21.50.97
Router# show access list 185 (Esto mostrar informacin detallada acerca de esta
ACL)
Lista de acceso extendido Denegar o Permitir un intervalo de
muestra
Escribir una lista#6 direcciones
de acceso extendida que permitir la mitad inferior de la 192.168.15.0 el acceso de red a la red 172.21.50.0.
Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una
ACL puede ser escrito.
192.168.195.90 192.168.125.254
E0 E1
S0
El El
equipo de 172.31.195.0 equipo de
La Gail El equipo
computad 192.168.195.145 Mike
192.168.125.17 celeste
ora de
John
192.168.125.108
192.168.195.88
Interfaz:
Access-list #:
Router(config)#
Router(config-if)# exit
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un crculo)
Lista de acceso extendido problema #10 Denegar o Permitir un intervalo de
direcciones
Escriba un nombre de lista de acceso extendida denominada "Media_Center" para permitir que el rango de direcciones a travs
de 172.31.195.7 172.31.195.1 para enviar a la red 192.168.125.0 fecha. Denegar todo el trfico. Tenga en cuenta que pueden
existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Router(config-ext-nacl)#
Router(config-ext-nacl)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un crculo)
49
Router(config-if)# exit
Router(config-
if)# exit Router(confi
g)# exit Router# copy
run start
50
192.16.20.5 Un El router
router C
FA0 S0 S1
S1 FA1
172.18.50.10
El equipo
de Jill
Ralph's Bob's
172.22.75.9
Equipo
S0 el Router Equipo
B
Barbra's
Cindy 192.16.20.7 172.18.50.11 Equipo
Equipo E1 El equipo de
Brad 172.18.50.12
192.16.20.6 172.22.75.8 172.22.75.10
Lista de acceso extendido problema #11 Denegar o Permitir un intervalo de
direcciones
Escribir una lista de acceso extendida para permitir los primeros 3 direcciones utilizables en la red 192.16.20.0 a alcanzar la red
172.22.75.0. Denegar las direcciones desde 192.16.20.4 a 172.22.75.0 192.16.20.31 lleguen a la red. Permitir todo el trfico.
Tenga en cuenta que hay varias maneras esta ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Lista de acceso extendido problema #12 Denegar o Permitir un intervalo de
direcciones
Escribir una lista de acceso extendida para denegar las direcciones desde 172.22.75.127 172.22.75.8 a travs del envo de
datos a la red 172.18.50.0. Negar la primera mitad de las direcciones de la red 172.22.75.0 lleguen a la red 192.16.20.0. Permitir
todo el trfico. Tenga en cuenta que hay varias maneras esta ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config)# interface
Router(config-if)# ip access-group
Router(config-if)# ip access-group or out (circle
in Dentro o fueraone)
(rodee con un crculo)
51
Router(config-
Router(config-if)# exit
if)# exit Router(confi
g)# exit Router# copy
run start
Un router El Router B
52
FA0 S0 FA1
172.16.70.1 S1 192.168.88.1
FA1 FA0
Ordenador de Peggy's
Bob Equipo
El equipo El equipo de
celeste
172.16.70.155 192.168.88.200 Denise
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Lista de acceso extendido problema #14 Denegar/Permitir un intervalo de
direcciones
Escribir una lista de acceso extendida para denegar las direcciones de 10.250.1.63 10.250.1.0 a travs del envo de datos a
Denise su equipo. Permitir todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones
individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config)# interface
Router(config-if)# ip access-group
Router(config-if)# ip access-group or out (circle
in Dentro o fueraone)
(rodee con un crculo)
Router(config-
Router(config-if)# exit
if)# exit Router(confi
g)# exit Router# copy
53
run start
El Router A
54
S0 El Router B
E0 S1
Servidor
192.168.207.25 E1 Web Server
Web
192.168.207.27 210.128.50 210.128.50.11
Router# show access list 198 (Esto mostrar informacin detallada acerca de esta
ACL)
Lista de acceso extendido Denegar o Permitir nmeros de
muestra
Escribir #8
una lista puerto
de acceso extendida para permitir pings en cualquier direccin entre hosts de la 210.128.50.0 192.168.207.0 y
redes. Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales
en una ACL puede ser escrito.
E0 S0 E1
172.20.70.1 S1 192.168.33.1
E1 E0
Ordenador de Peggy's
Bob Equipo
El equipo El equipo de
celeste
192.30.76.155 192.168.33.210 Denise
10.250.2.0 FA1
S1 192.128.45.8
FA0
E1 Bill's
S0 equipo
El
El
equipo de Jackie
E0 192.128.45.33 equipo de
Jennifer
172.16.125.1 10.250.8.0
Un router 192.128.45.35
Lista de acceso extendido problema #15
172.16.70.1 Denegar/Permitir un nmeros de
puerto
Escribir una lista de acceso extendida para permitir el trfico ICMP desde la red 192.128.45.0 para llegar a la 255.255.255.0 y
172.16.125.0
10.250.2.0 255.255.255.0 redes. Denegar todo el trfico. Tenga en cuenta que pueden existir mltiples maneras muchas de las
declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)#
Router(config-ext-nacl
Router(config-ext-nacl)# interface
Router(config-if)# ip access-group
59
Servidor Web #1 S0 El
203.194.100.102 S1 equipo de
Becky
Servidor Web #2 El
203.194.100.101 FA1 172.60.18.140 Equipo de
El Router B 172.60.18.1 Mara
172.60.18.142
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar o Permitir
problema
Escribir #18
una lista de nmeros
acceso extendida para denegar todo el trfico de puerto
HTTP diseado para el servidor web en 203.194.100.102.
Permitir el trfico HTTP a cualquier otros servidores web. Denegar todos los dems trfico IP 203.194.100.0 a la red. Tenga en
cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)#interface
Router(config)# interface
Router(config-if)# ip
Router(config-if)# ipaccess-group
access-group in or out
Dentro (circle(rodee
o fuera one) con un crculo)
Router(config-if)#
Router(config- exit
Router(config)#
61
if)# exit
exit Router(confi
g)# exit Router# copy
run start
62
El Router A
S0 El
E0 S1 Router B
E1
192.168.15.25 E1
Bobbie's Servidor Web
Equipo 172.23.50.195 #2
Servidor Web #1 El equipo
192.168.15.82 172.23.50.196
192.168.15.125 192.172.10.0 de Gail
172.23.50.197
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar o Permitir
problema
Escribir #20
una lista de nmeros
acceso extendida que permite que el trfico deelpuerto
de la web desde servidor web #2 en 172.23.50.196 para
llegar a todos en la red 192.168.15.0. Denegar todos los dems trfico IP a la 192.172.10.0, y 192.168.15.0 redes. Tenga en
cuenta que pueden existir mltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un crculo)
Router(config-
63
Router# config t
Router(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 cualquier
Router(config)# access-list 100 deny ip 172.16.0.0 0.0.255.255 cualquier
Router(config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 cualquier
Router(config)# access-list 100 deny ip 127.0.0.0 cualquier 0.255.255.255
Router(config)# access-list 100 deny ip 224.0.0.0 31.255.255.255
cualquier router(config)# access-list 100 deny ip su subred-# Tu subnet-mask-
# cualquier router(config)# access-list 100 deny any IGMP
Router(config)# access-list 100 deny any redireccin ICMP
Router(config)# access-list 100 permit any cualquier
Router(config)# interface E0 (o cualquiera que sea su puerto entrante
es)
Router(config-if)# ip access-group
en router(config-if)# exit
Router(config)# exit
Otra til herramienta de seguridad es permitir slo los paquetes IP de su red con la
direccin de origen.
Router# config t
Router(config)# access-list 100 permit ip su subred-# Tu subnet-mask-
# cualquier router(config)# interface E0 (o cualquiera que sea el
puerto de salida est) router(config-if)# ip access-group out
Router(config-if)#
exit router(config)#
exit
Para mantener los paquetes con destinos inalcanzables entren en su red agregar este comando: ip route
Para proteger contra pitufo y otros ataques agregar los siguientes comandos para cada interfaz externa:
No ip broadcast dirigida
no ip origen-ruta
Feria-cola
Intervalo de scheduler 500
64
Index / Tabla de contenido
Nmeros Access-List.......................................................................Cubierta
interior
Qu son las listas de control de acceso?. ..................................................... 1
Listas de acceso informacin general. ............................................................ 1
How routers use Access Lists. ........................................................................ 1
Standard Access Lists. .................................................................................... 2
Por qu las ACL estndar debe colocarse cerca del destino. ...................... 2
Standard Access List Placement Sample Problems. ....................................... 3
Los problemas de colocacin de lista de acceso estndar. ......................... 4-5
Extended Access Lists. ................................................................................... 6
Por qu las ACL extendidas deben colocarse cerca del destino. .................. 6
Extended Access List Placement Sample Problems. ...................................... 7
Lista de acceso extendido los problemas de colocacin. .............................8-9
Elegir para filtrar los paquetes entrantes o salientes. .................................... 10
Desglose de una sentencia ACL estndar. ................................................... 10
Desglose de una ACL extendida Declaracin. .............................................. 11
Lo que se denominan listas de control de acceso. ............................................ 12
Listas de acceso nombradas informacin. ........................................................ 12
Applying a Standard Named Access List called George. .............................12
Applying an Extended Named Access List called Gracie. ........................... 13
Choices for Using Wildcard Masks........................................................... 14-15
Creating Wildcard Masks. ................................................................................16
Wildcard Mask Problems. ........................................................................ 18-20
Escribir listas de acceso estndar. ............................................................ 21-32
Escribir listas de acceso extendidas. ....................................................... 33-63
Denegar o Permitir direcciones especficas. ................................... 33-39
Denegar o Permitir intervalos enteros. ............................................ 40-45
Denegar o Permitir un intervalo de direcciones............................... 46-53
Denegar o Permitir nmeros de puerto. .......................................... 54-63
Optional ACL Commands. .............................................................................64
Index / Table of Contents. ..............................................................................65
Los nmeros de puerto...............................................................................66-
Cubierta interior
65
66
Los nmeros
de puerto
Los nmeros de puerto son asignados por la ICANN (Internet Corporation for
Assigned Names and Numbers). TCP y UDP utilizados comnmente las
aplicaciones se les asigna un nmero de puerto; tales como: - 80 HTTP,
POP3 , FTP - 110 - 20. Cuando una aplicacin se comunica con otra
aplicacin en otro nodo en la internet, se especifica que la aplicacin en cada
transmisin de datos mediante el uso de su nmero de puerto. Tambin
puede escribir el nombre (ej. Telnet) en lugar del nmero de puerto (ie. 23).
Intervalo de nmeros de puertos desde 0 hasta 65536 y se dividen en tres
gamas:
0 Reservados
1 TCPMUX (Servicio Multiplexor Puerto
5 RJE TCP)
(Remote Job Entry)
7 ECHO
9 Desechar
11 SYSTAT (Usuarios Activos)
13 Da
17 Cita (Cita del da)
18 MSP (protocolo de envo de
19 CHARGEN. mensajes) de caracteres)
(generador
20 FTP-DATA (Protocolo de transferencia de
21 FTP archivos - Datos)
( Protocolo de transferencia de
22 SSH archivos - Control).
(Protocolo de inicio de sesin
23 Telnet remoto)
(Conexin de terminal)
25 SMTP (Protocolo simple de
29 MSG ICP transferencia de correo)
66
37 Tiempo
39 RLP (Protocolo de Ubicacin de
42 NAMESERV recursos
Nombre del host (servidor)
43 NICNAME (quin es)
49 LOGIN Protocolo de Host (Login)
53 El DNS (Domain Name Server).
67 BOOTP (Bootstrap Protocol Server).
68 BOOTPS Protocolo Bootstrap (Cliente).
69 TFTP ( Protocolo Trivial de Transferencia de archivos)
70 GOPHER (Servicios Gopher )
75 (Cualquier Privite servicio dial-out)
79 Dedo
80 HTTP ( Protocolo de transferencia de hipertexto)
95 SUPDUP SUPDUP (protocolo)
101 HOSTNAME (NIC Host Name Server).
108 SNAGAS Access Gateway (SNA Server).
109 POP2 (Post Office Protocol, versin 2)
110 POP3 (Post Office Protocol, versin 3).
113 AUTH (Authentication Service)
115 SFTP ( Protocolo de transferencia simple de archivos)
117 Ruta UUCP (Servicio de ruta UUCP)
118 SQLSERV (Servicios de SQL)
119 NNTP (grupo de noticias)
123 NTP ( Tim) Protocolo de red
137 NetBIOS-NS (Servicio de nombres de NetBIOS)
139 NetBIOS-SSN (El servicio de sesin NetBIOS )
143 IMAP (Protocolo de acceso a correo provisional)
150 SQL-NET (El servicio de sesin NetBIOS)
156 SQLSRV (SQL Service)
161 SNMP (Simple Network Management Protocol)
179 BGP (Border Gateway Protocol)
190 GACP Protocolo de Control de acceso (Gateway)
194 IRC (Internet Relay Chat).
197 DLS Ubicacin de directorio (Servicio).
389 LDAP (Protocolo ligero de acceso a directorios)
396 IP de Netware (Novell Netware sobre IP )
443 HTTPS (HTTP MCom)
444 SNPP (Protocolo simple de paginacin de red)
445 Microsoft-DS
458 Apple QuickTime
546 Cliente DHCP
547 Servidor DHCP
563 SNEWS
569 MSN
68 Cubierta interior