Scribd Logo
Carica

Benvenuto in Scribd!

  • 10 Ejemplos para Entender La Máscara Wildcard y El Epílogo ACL

    Caricato da

    Benjamín Vicuña Mackenna
    833 visualizzazioni7 pagine
    Este documento presenta 10 ejemplos para entender el uso de máscaras wildcard en ACLs. Explica que una máscara wildcard permite comparar bits de una IP de origen con una IP de referencia. Luego, cada ejemplo muestra un objetivo de selección diferente (e.g. seleccionar hosts en una subred específica) y proporciona el "binomio" IP de referencia-máscara wildcard correspondiente para lograr ese objetivo.

    Descrizione originale:

    Para estudiantes de informática en Redes

    Titolo originale

    10 Ejemplos Para Entender La Máscara Wildcard y El Epílogo ACL

    Copyright

    © © All Rights Reserved

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Este documento presenta 10 ejemplos para entender el uso de máscaras wildcard en ACLs. Explica que una máscara wildcard permite comparar bits de una IP de origen con una IP de referencia. Luego, cada ejemplo muestra un objetivo de selección diferente (e.g. seleccionar hosts en una subred específica) y proporciona el "binomio" IP de referencia-máscara wildcard correspondiente para lograr ese objetivo.

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    833 visualizzazioni7 pagine

    10 Ejemplos para Entender La Máscara Wildcard y El Epílogo ACL

    Caricato da

    Benjamín Vicuña Mackenna
    Este documento presenta 10 ejemplos para entender el uso de máscaras wildcard en ACLs. Explica que una máscara wildcard permite comparar bits de una IP de origen con una IP de referencia. Luego, cada ejemplo muestra un objetivo de selección diferente (e.g. seleccionar hosts en una subred específica) y proporciona el "binomio" IP de referencia-máscara wildcard correspondiente para lograr ese objetivo.

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 7

    10ejemplosparaentenderlamscarawildcard

    Damosporsentadoquesehanasimiladolasexplicacionesdadasenclasesobrela
    mscarawildcard.Unadeduccininteresantequehemossacadoesquelawildcardsolo
    permitelossiguientesnmeros:0137153163127.Silawildcardeselresultadode
    restar255.255.255.255menoslamscaradered,enalgnoctetoestamosrestandoun
    imparmenosunpar,luegoelresultadoespar.EnlasACLsquevamosaestudiarenesta
    unidaddetrabajo,unamscarawildcardlavamosaasociarconunaIPdereferencia;Estos
    doselementosformarnloquenosotrosvamosallamarbinomio;elbinomioserdela
    forma:

    IPdereferencia mscarawildcard

    192.168.1.72 0.0.0.0
    192.168.1.0 0.0.0.0
    192.168.1.32 0.0.0.31
    172.16.64.0 0.0.31.255
    ..

    CuandonombramosalfiltroocondicindeunaACL(daigualqueseaestndaro
    extendida),nosreferimosalbinomioIPdereferencia+mscarawildcard;binomioquelo
    vamosaenfrentarconcientosdeIPs,algunasdelascualescumplirnlacondicinofiltro
    yotrasnocumplirn.Nadamejorqueentenderloconunaseriedeejemplos:

    1. Seleccionartodosloshostsdelared192.168.1.0/24.seleccionarquieredecirque
    lasIPsdeloshostsdeestaredpasenelfiltroocondicinquenosvaaponerel
    binomioIPdereferenciaymscarawildcard.Cmoproceder?
    LasIPsdedichasubredabarcanelsiguienterango:192.168.1.0-192.168.1.255
    Sicodificamosenbinarioests256IPsyvemoscuntosbitsenlas256IPsson
    coincidentes,observaremosquesonlos24bitsqueconformanlostresprimeros
    octetos(192comoprimerocteto,168comosegundoy1comotercero).Elcuarto
    octetoeselvariable,ycomoseansus8bitsanosotrosnosdaigual(esindiferente
    quesean1o0).SabemosquesilaIPacompararconlacondicinesdelaforma
    192.168.1.xxxxxxxx,esepaquete,mejorsuIPdeorigenesdeunhostdeesared.As
    pues,nosinteresaanalizarlos24primerosbitsdetodaIPdeorigen.Cmo
    creamoselbinomioIPdereferenciamscarawildcard?Muyfcil.

    LaIPdereferenciasaledeponeraceros(0)laristradex192.168.1.0
    Lamscarawildcard(bajolacondicindequesus0secomparanysus1se
    ignoran)sededuceenesecasodelintersdeanalizar,talycomohemos
    dicho,lostresprimerosoctetos;elcuartoloignoramos;daigualelvalorque
    traiga0.0.0.255

    Elbinomioserdelaforma192.168.1.0 0.0.0.255

    Unaformarpida(nosiemprefiablecuandolaIPdereferencianoesunaredo
    subred)desacarelrangodeIPsohostsqueenfrentadosalawildcardvanatener
    comoresultadolaIPdereferenciaessumarelvalorcrticoaunosdelamscaraal
    octetocrticodelaIPdereferencia.Enelejemplo0+255rangodeIPs[1.0-1.255]
    Porejemplo:dadalasiguienteACL,setratadededucirsipermitirobloquearel
    trficodeunpaqueteconIPdeorigen198.51.100.3

    access-list33permit198.51.100.580.0.0.63

    Anlisis:laIPdereferencia198.51.100.58noesladeningunarednisubred.Sera
    errneodeducirquelospaquetespermitidossernaquelloscuyaIPdeorigenest
    enelrango[.58-.58+63=.121]errormuygrave.

    6300111111los26bitsdelaIPdeorigendebenserigualesalos26bitsdela
    IPdereferenciaparaqueelpaqueteseapermitido,esdecirtienenqueserdela
    forma198.51.100.00ylaIPdeorigentieneesosmismos26bits,luegoelpaquetese
    acepta(nosebloquea)

    Otroejemplo:sealasentenciaaccess-list21permit192.0.2.110.0.0.15
    QuharlasentenciaanteriorsievalaunpaqueteconIPdeorigen192.0.11.17?
    lawildcardlevaaexigiratodaIPdeorigenquesus28bitsdemspesosean
    igualesalos28bitsdemspesode192.0.2.11,ynoloson,yaque11es00001011y17
    es00010001porloquedichopaqueteserdenegado.

    Dichodeotromodo,vamosaproponertresformasdeentenderelbinomio:

    1. LaIPdeorigendelpaqueteaevaluarquecumplalacondicintienequeser
    delaforma192.168.1.algoignorarlosunosdelawildcard
    2. Los24bitsdemspesodelaIPaevaluarconelfiltrotienenqueseriguales
    alos24bitsdemspesodelaIPdereferenciaelrouterledicealpaquete
    querecibe:Dametus24primerosbits(3cerosdelawildcard)paraversi
    sonigualesalos24bitsdelaIPdereferencia
    3. SilaIPdeorigenaevaluarlaenfrentamosconlawildcardyhacemosuna
    especiedeANDinversa(cambiandoelparadigmadelamscaradesubred
    yelresultadoeslaIPdereferencia,entonceslaIPdeorigenser
    seleccionada;mejorelpaqueteconlaIPdeorigenserseleccionadopara
    serdescartado(deny)oparapermitirleelpaso(permit).Cuandohablamos
    delaANDinversaqueremosdecirquesiunoctetodelawildcardes0,va
    apasareloctetoenterodelaIPdeorigen.Sies255eloctetodelaIPde
    origenseconvierteen0.VamosaenfrentarlaIPdeorigen192.168.1.37conel
    binomio

    192.168.1.37
    0.0.0.255
    resultado 192.168.1.0

    10ejemplosparaentenderlamscarawildcard
    1/7

    IPdereferencia192.168.1.0=resultado192.168.1.0?SI,luegoelpaqueteque
    lleveesaIPdeorigenlobloquearemos(deny)opermitiremoseltrfico
    (permit).LaACLnosigueensecuencialeyendomssentenciasdelaACL.Si
    laIPdereferencia192.168.1.0noesiguala192.168.1.0seleelasiguiente
    sentenciadelaACL

    VamosaenfrentarlaIPdeorigen192.210.1.37conelbinomio

    192.210.1.37
    0.0.0.255
    resultado 192.210.1.0

    IPdereferencia192.168.1.0=resultado192.210.1.0?NO,luegopasamosala
    siguienteinstruccinoentradadelaACLconfiguradapornosotros
    2. Seleccionarcualquierhost(cualquierIPdeorigen).Esdecir,queseacualsealaIP
    deorigen,alenfrentarlaconlawildcard,elresultadoseaigualalaIPdereferencia.

    Elbinomioserdelaforma0.0.0.0 255.255.255.255

    SedejaalalumnadoquededuzcaquecualquierIPqueseenfrenteaunawildcard
    con32unos,elresultadoser32ceros,quesernigualesalos32cerosdelaIPde
    referenciadelbinomio

    3. SeleccionarexclusivamenteelhostcuyaIPes192.168.1.248(unaysolamente
    unaIPdeorigenparticular)

    Elbinomioserdelaforma192.168.1.248 0.0.0.0

    4. Seleccionarloshostsdelasredes192.168.1.0/24-192.168.7.0/24.Apartirdeesta
    actividad,daremoselbinomiosolucin.serelalumnadoelquelorazoney
    propongaIPsdeorigenenfrentadasconlawildcardyversielresultadodeese
    enfrentamientoesigualonoalaIPdereferencia

    Elbinomioserdelaforma192.168.1.0 0.0.7.255

    5. Seleccionarloshostsdelasubred192.168.1.128/25

    Elbinomioserdelaforma192.168.1.128 0.0.0.127

    6. Seleccionarloshosts192.168.1.1/24-192.168.1.7/24delared192.168.1.0/24

    Elbinomioserdelaforma192.168.1.0 0.0.0.7

    10ejemplosparaentenderlamscarawildcard
    2/7
    7. Seleccionarloshostsimparesdelared192.168.1.0/24

    Elbinomioserdelaforma192.168.1.1 0.0.0.254

    8. Seleccionarloshostsparesdelared192.168.1.0/24

    Elbinomioserdelaforma192.168.1.0 0.0.0.254

    9. Seleccionarloshostsresultantesdedividirlasubred192.168.1.192/64encuatro
    partesyquedarnosconlaterceraparte

    Elbinomioserdelaforma192.168.1.224 0.0.0.15

    10. Seleccionarloshostsdelasubred172.16.64.0/19

    Elbinomioserdelaforma172.16.64.0 0.0.31.255
    2ejemplosextradiferentes:

    ejemplo1extra:laIPdeorigen198.51.100.3seencuentraconlasiguientesentencia
    ACL.Elpaquetesepermiteosedescarta?

    access-list33permit198.51.100.580.0.0.63

    lawildcardnosindicaqueatodaIPdeorigenselevanapedirsus26primerosbits
    quesicoincidenconlos26primerosbitsdelaIPdereferencia192.51.100.58el
    paquetesepermitir.Cmodebenseresos26primerosbits?delaforma
    192.51.100.00(los2bitsdemspesode58son00)permitiremosIPsquese
    encuentrendentrodelrango[192.51.100.0-192.51.100.63]

    Notas:

    Recomendamosalalumnadoqueintentehacerlassiguientesactividadesdela
    presentacinpowerpointincrustadaenlapginaestticadelblogUT10:ACLs


    Actividadesdelasdiapositivas:2830323849717375

    ejecutarelcomandonoaccess-list10elimina la ACL 10 de la configuracin en ejecucin pero


    no de la interfaz donde est ubicada deberemos ejecutar el comando no ip access-group 10
    in

    10ejemplosparaentenderlamscarawildcard
    3/7
    EplogoACL

    1. Consultelaimagen.EstaACLseaplicaaltrficosalientedelrouterenlainterfaz
    queseconectadirectamentealservidor10.0.70.55.Unasolicituddeinformacin
    provenientedeunapginawebseguraseenvadelhost10.0.55.23yestdestinada
    alservidor10.0.70.55.Qulnea(entradaoinstruccin)delalistadeaccesohar
    queelrouterejecuteunaaccin?

    a. lalnea1
    b. lalnea2
    c. lalnea3
    d. lalnea4
    e. lalnea5

    2. Consultelaimagen.Qusepuededeterminarapartirdeesteresultado?


    a. ElrouternorecibiningnpaqueteTelnetde10.35.80.22destinadoa
    10.23.77.101
    b. LaACLnofunciona,porquenohaycoincidenciasparalalnea10.
    c. LaACLsolosupervisaeltrficodestinadoa10.23.77.101desdetreshosts
    especficos.

    10ejemplosparaentenderlamscarawildcard
    4/7

    3. Consultelasiguienteimagen.SuponerquelasIPsdelasLANsonelpropionombre
    delasLAN.Sehadecididoentreotras,implementarlassiguientespolticasde
    seguridad:

    a. alaLANdeservidoresnosevaapoderaccederdesdeINTERNET
    b. laLAN1novaapoderaccederaningunaLANcorporativaniaInternet

    Seleccionelarespuestacorrecta

    a. Configuraraparalapolticaa.unaACLextendidaenrouterR,interface
    se0/0deentradadeltipodenyipanyLANservidoresyconfiguraraparala
    polticab.unaACLestndarenrouterR,interfazfa0/0deentradadeltipo
    denyLAN1
    b. Configuraraparalapolticaa.unaACLextendidaenrouterR,interface
    se0/0deentradadeltipodenyipanyanyyconfiguraraparalapolticab.
    unaACLestndarenrouterR,interfazfa0/0desalidadeltipodenyLAN1
    c. Configuraraparalapolticaa.unaACLextendidaenrouterR,interfazse0/0
    deentradadeltipodenyipanyLANservidoresyconfiguraraparalapoltica
    b.unaACLestndarenrouterR,interfazfa0/0desalidadeltipodenyLAN1

    10ejemplosparaentenderlamscarawildcard
    5/7

    4. Consultelaimagen.UnadministradorderedconfiguraunaACLparalimitarel
    accesoalosservidoresdelaempresa,alojadosenlasubred10.0.10.0.Seleccionela
    respuestacorrecta:

    a. Seobservaunaincongruenciaconelprimerdenyylasubredreferenciadaen
    elsiguientepermit
    b. Sedeniegatodoeltrficoipaunrangodehostsysepermiteelaccesoweb
    alasubred192.168.22.0/28
    c. LaterceraentradadelaACLesladenominadapermisoimplcitopordefecto

    5. Dada la siguiente topologa, queremospermitirexclusivamenteeltrficoHTTPde


    loshostsdelaredBalservidorweb.LaredAyCnovanapoderaccederal
    servidor.PuedehabercomunicacinentrelaszonasA,ByC.SeleccionelaACLy
    ubicacin

    a. router0(config)#access-list101permittcp192.168.2.00.0.0.255host
    192.168.10.1eqwww
    ubicarlaACLenfa1/1desalida
    b. router0(config)#access-list101permittcp192.168.2.00.0.0.255host
    192.168.10.1eqwww
    ubicarlaACLenfa1/1deentrada
    c. router0(config)#access-list101permittcp192.168.2.00.0.0.255host
    192.168.10.1eq443
    ubicarlaACLenfa1/1desalida

    10ejemplosparaentenderlamscarawildcard
    6/7

    Potrebbero piacerti anche