Acl cisco
Páginas: 8 (1919 palabras)
Publicado: 15 de marzo de 2011
¿DONDE UBICAR LAS ACL? 5.1.8
• La ubicación adecuada de las ACL para filtrar el tráfico no deseado proporciona un funcionamiento más eficiente de la red. • Las ACL pueden actuar como firewalls para filtrar paquetes y eliminar el tráfico no deseado. El lugar donde ubique las ACL puede reducir el tráfico innecesario. Por ejemplo, el tráfico que se deniega en un destino remoto no debe usar losrecursos de la red en el camino hacia ese destino. • Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas básicas son: 1. Ubicar las ACL estándar lo más cerca del destino posible, dado que las ACL estandar no especifican las direcciones de destino. 1. Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado sefiltra sin atravesar la infraestructura de red.
¿DONDE UBICAR LAS ACL? 5.1.8
Consideremos un ejemplo de dónde colocar las ACL en nuestra red. 1. La ubicación de la interfaz y la red depende de lo que desee que realice la ACL. 2. En la figura, el administrador desea que el tráfico que se origina en la red 192.168.10.0/24 no ingrese a la red 192.168.30.0/24. 3. Una ACL en la interfaz de salida deR1 deniega a R1 la posibilidad de enviar tráfico a otros lugares. 4. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.168.10.0/24. 5. Una ACL estándar cumple con los requerimientos porque sólo se centra en las direcciones IP de origen.
¿DONDE UBICAR LAS ACL? 5.1.8
¿DONDE UBICAR LAS ACL? 5.1.8
Considere quelos administradores sólo pueden colocar las ACL en los dispositivos que ellos controlan. Por lo tanto, su ubicación debe determinarse según la extensión del control del administrador de red. En la siguiente figura, el administrador de las redes 192.168.10.0/24 y 192.168.11.0/24 (designadas en este ejemplo Diez y Once, respectivamente) desea denegar el tráfico Telnet y FTP desde Once a la red192.168.30.0/24 (Treinta en este ejemplo). Al mismo tiempo, se debe permitir todo el tráfico restante desde Diez. Hay varias maneras de realizar esta tarea. Una ACL extendida en R3 que bloquea el tráfico Telnet y FTP desde Once podría realizar la tarea, pero el administrador no controla R3. Esa solución sigue permitiendo, además, que el tráfico no deseado atraviese toda la red, sólo para bloquearlo enel destino. Esto afecta la eficacia general de la red.
¿DONDE UBICAR LAS ACL? 5.1.8
Una solución es utilizar una ACL extendida de salida que especifique las direcciones de origen y de destino (Diez y Treinta respectivamente), y diga "El tráfico Telnet y FTP desde Diez no puede llegar hasta Treinta." Coloque esta ACL extendida en el puerto de salida S0/0/0 de R1. Una desventaja de estasolución es que el tráfico desde Once también está sujeto a cierto procesamiento de la ACL, incluso si se permite el tráfico Telnet y FTP. La mejor solución es acercarse al origen y colocar una ACL extendida en la interfaz de entrada Fa0/2 de R1. Esto garantiza que los paquetes desde Diez no ingresen a R1 y que luego no puedan atravesar hacia Once ni incluso ingresar a R2 o R3. Aún se permite el tráficocon otras.
¿DONDE UBICAR LAS ACL? 5.1.8
Mejores prácticas 5.1.9
• • • • Utilizar las ACL requiere atención al detalle y un gran cuidado. Los errores pueden ser costosos en lo que respecta a tiempo de inactividad, tareas de resolución de problemas y un servicio de red deficiente. Antes de comenzar a configurar una ACL, se requiere una planificación básica. La figura presenta pautas queconforman la base de la lista de mejores prácticas de una ACL.
Configuracion de la ACL estándar 5.2.2
•Para configurar las ACL estándar numeradas en un router Cisco, primero debe crear la ACL estándar y, luego, activarla en una interfaz. •El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99. •El software IOS de Cisco Versión 12.0.1 extendió el...
• La ubicación adecuada de las ACL para filtrar el tráfico no deseado proporciona un funcionamiento más eficiente de la red. • Las ACL pueden actuar como firewalls para filtrar paquetes y eliminar el tráfico no deseado. El lugar donde ubique las ACL puede reducir el tráfico innecesario. Por ejemplo, el tráfico que se deniega en un destino remoto no debe usar losrecursos de la red en el camino hacia ese destino. • Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas básicas son: 1. Ubicar las ACL estándar lo más cerca del destino posible, dado que las ACL estandar no especifican las direcciones de destino. 1. Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado sefiltra sin atravesar la infraestructura de red.
¿DONDE UBICAR LAS ACL? 5.1.8
Consideremos un ejemplo de dónde colocar las ACL en nuestra red. 1. La ubicación de la interfaz y la red depende de lo que desee que realice la ACL. 2. En la figura, el administrador desea que el tráfico que se origina en la red 192.168.10.0/24 no ingrese a la red 192.168.30.0/24. 3. Una ACL en la interfaz de salida deR1 deniega a R1 la posibilidad de enviar tráfico a otros lugares. 4. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.168.10.0/24. 5. Una ACL estándar cumple con los requerimientos porque sólo se centra en las direcciones IP de origen.
¿DONDE UBICAR LAS ACL? 5.1.8
¿DONDE UBICAR LAS ACL? 5.1.8
Considere quelos administradores sólo pueden colocar las ACL en los dispositivos que ellos controlan. Por lo tanto, su ubicación debe determinarse según la extensión del control del administrador de red. En la siguiente figura, el administrador de las redes 192.168.10.0/24 y 192.168.11.0/24 (designadas en este ejemplo Diez y Once, respectivamente) desea denegar el tráfico Telnet y FTP desde Once a la red192.168.30.0/24 (Treinta en este ejemplo). Al mismo tiempo, se debe permitir todo el tráfico restante desde Diez. Hay varias maneras de realizar esta tarea. Una ACL extendida en R3 que bloquea el tráfico Telnet y FTP desde Once podría realizar la tarea, pero el administrador no controla R3. Esa solución sigue permitiendo, además, que el tráfico no deseado atraviese toda la red, sólo para bloquearlo enel destino. Esto afecta la eficacia general de la red.
¿DONDE UBICAR LAS ACL? 5.1.8
Una solución es utilizar una ACL extendida de salida que especifique las direcciones de origen y de destino (Diez y Treinta respectivamente), y diga "El tráfico Telnet y FTP desde Diez no puede llegar hasta Treinta." Coloque esta ACL extendida en el puerto de salida S0/0/0 de R1. Una desventaja de estasolución es que el tráfico desde Once también está sujeto a cierto procesamiento de la ACL, incluso si se permite el tráfico Telnet y FTP. La mejor solución es acercarse al origen y colocar una ACL extendida en la interfaz de entrada Fa0/2 de R1. Esto garantiza que los paquetes desde Diez no ingresen a R1 y que luego no puedan atravesar hacia Once ni incluso ingresar a R2 o R3. Aún se permite el tráficocon otras.
¿DONDE UBICAR LAS ACL? 5.1.8
Mejores prácticas 5.1.9
• • • • Utilizar las ACL requiere atención al detalle y un gran cuidado. Los errores pueden ser costosos en lo que respecta a tiempo de inactividad, tareas de resolución de problemas y un servicio de red deficiente. Antes de comenzar a configurar una ACL, se requiere una planificación básica. La figura presenta pautas queconforman la base de la lista de mejores prácticas de una ACL.
Configuracion de la ACL estándar 5.2.2
•Para configurar las ACL estándar numeradas en un router Cisco, primero debe crear la ACL estándar y, luego, activarla en una interfaz. •El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99. •El software IOS de Cisco Versión 12.0.1 extendió el...
Leer documento completo
Regístrate para leer el documento completo.