repr
Páginas: 4 (934 palabras)
Publicado: 7 de noviembre de 2013
ACL estándar
Sintaxis para un renglón (se escribe en el modo de configuración global):
access-list (número) (deny | permit) (ip origen) (wildcard origen)
Ejemplo: Bloquear toda la subred172.17.3.0/24, excepto la máquina 172.17.3.10.
access-list 1 permit host 172.17.3.10
access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any
Para asignarlo a una interface:
interface F0
ipaccess-group 1 out
ACL extendidas
Sintaxis para cada renglón:
access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino)
[(operador)(operando)]
El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP, ICMP.
El "operando" puede ser un número de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp".Ejemplo 1: Repetir el ejemplo de la ACL estándar, pero se especifica que se quiere permitir o denegar el tráfico con destino al servidor, que está en 172.16.0.1:
access-list 101 permit ip host172.17.3.10 host 172.16.0.1
access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1
access-list 101 permit ip any any
Ejemplo 2: Permitir tráfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, paratodos. Denegar todo lo demás.
access-list 102 permit icmp any host 172.16.0.1
access-list 102 permit tcp any host 172.16.0.1 eq www
Comandos varios
show ip interface (muestra asignaciones de ACL)show access-lists (muestra el contenido de las ACL)
debug ip packet 101 [detail] (permite analizar cómo se aplican las ACL)
Puntos varios, que se deben recordar
Una ACL es una lista de una o másinstrucciones.
Se asigna una lista a una o más interfaces.
Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; elprotocolo usado.
El router analiza cada paquete, comparándolo con la ACL correspondiente.
El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente...
Sintaxis para un renglón (se escribe en el modo de configuración global):
access-list (número) (deny | permit) (ip origen) (wildcard origen)
Ejemplo: Bloquear toda la subred172.17.3.0/24, excepto la máquina 172.17.3.10.
access-list 1 permit host 172.17.3.10
access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any
Para asignarlo a una interface:
interface F0
ipaccess-group 1 out
ACL extendidas
Sintaxis para cada renglón:
access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino)
[(operador)(operando)]
El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP, ICMP.
El "operando" puede ser un número de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp".Ejemplo 1: Repetir el ejemplo de la ACL estándar, pero se especifica que se quiere permitir o denegar el tráfico con destino al servidor, que está en 172.16.0.1:
access-list 101 permit ip host172.17.3.10 host 172.16.0.1
access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1
access-list 101 permit ip any any
Ejemplo 2: Permitir tráfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, paratodos. Denegar todo lo demás.
access-list 102 permit icmp any host 172.16.0.1
access-list 102 permit tcp any host 172.16.0.1 eq www
Comandos varios
show ip interface (muestra asignaciones de ACL)show access-lists (muestra el contenido de las ACL)
debug ip packet 101 [detail] (permite analizar cómo se aplican las ACL)
Puntos varios, que se deben recordar
Una ACL es una lista de una o másinstrucciones.
Se asigna una lista a una o más interfaces.
Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; elprotocolo usado.
El router analiza cada paquete, comparándolo con la ACL correspondiente.
El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente...
Leer documento completo
Regístrate para leer el documento completo.