Access Lists Workbook Student Edition Ver1 2 1

UnaCL
Extended
y
0.0.0.0
Listas
de
Permi
tir
Den Standard
y access-
list
Access-
group
Máscara
comodín
Números Access-List
Estándar IP 1 A 99
Extended IP 100 A 199
Código de Tipo de Ethernet 200 A 299
Dirección Ethernet 700 A 799
DECnet DECnet y ampliado 300 A 399
XNS 400 A 499
XNS ampliada 500 A 599
Appletalk 600 A 699
Direcciones MAC de 48 bits 700 A 799
Estándar IPX 800 A 899
Extendida IPX 900 A 999
IPX Protocolo de anuncio de servicios 1000 A 1099
SPX IPX SAP 1000 A 1099
Extendido de 48 bits de direcciones 1100 A 1199
NLSP IPX 1200 A 1299
Estándar IP, rango ampliado 1300 A 1999
IP, ampliada gama ampliada 2000 A 2699
SS7 (voz) 2700 A 2999
Viñas estándar 1 A 100
Viñas ampliada 101 A 200
Viñas simple 201 A 300
Puenteo transparente (Tipo de 200 A 299
Puenteo transparente (Tipo de 700 A 799
Puenteo transparente extendida 1100 A 1199
Puenteo de origen-ruta (tipo de 200 A 299
Puenteo de origen-ruta (tipo de 700 A 799
Producido por: Robb

Jones jonesr@careertech.net
Frederick County Career & Centro de
Tecnología de la Academia de Networking
de Cisco
Las Escuelas Públicas del
Condado de Frederick
Frederick, Maryland, EE.UU.
interior
Cubierta
U el tiempo para revisar este libro para errores.
n
a
g
r
a
d
e
c
i
m
i
e
n
t
o
e
s
p
e
c
i
a
l
M
e
l
v
i
n
B
a
k
e
r
J
i
m
D
o
r
s
c
h
p
a
r
a
t
o
m
a
r
U
n
La forma en que los routers

utilizan listas de acceso
(Puerto de salida - Valor
predeterminado)
El router comprueba si el paquete es enrutable. Si se busca la ruta
en su tabla de enrutamiento.
Luego el router busca una ACL en esa interfaz saliente.
Si no hay ACL del router cambia el paquete fuera de la interfaz a su

destino.
Si existe una ACL, el router verifica el paquete contra las sentencias de

lista de acceso secuencial. A continuación, los permisos o denys cada
paquete que coincida.
Si el paquete no coincide con ninguna declaración escrita de la ACL se

le deniega porque existe un "deny any" impl cito declaración al final de
1
Las listas de acceso estándar
listas de acceso estándar...
...están numerados del 1 al 99.
...filtro (permitir o denegar) sólo direcciones de origen.
...no tienen ninguna información sobre el lugar de destino, por lo
que deben colocados lo más cerca posible del destino .
...trabajar en la capa 3 del modelo OSI.
¿Por qué las ACL est ndar se colocan

cerca del
Si desea bloquear el tráfico del equipo de Juan lleguen a Janet
de ordenador con una lista de acceso estándar que colocaría la
ACL cerca del destino en el Router D, Interfaz E0. Desde su
usando sólo la dirección de origen para permitir o denegar
paquetes la ACL aquí no afectará los paquetes llegando a los
El Router El router
D
SB
1
Un El router S1
E0
S0 S1 S0
E0 E0
El El
equipo de equipo de
El Jimmy's
equipo de Equipo
Si coloca las ACL en un router para bloquear el tráfico al

Router D también bloquea todos los paquetes que se
dirigen a los Routers B y C; porque todos los paquetes
2
Lista de acceso estándar
muestra problemas de
colocación
FA0 FA1
Un
El equip El equipo
o de Juan de Jan
A fin de permitir paquetes desde Juan del equipo para llegar

a Jan equipo que pondría la lista de acceso estándar a la
interfaz del router _F
1_.
E0 S
0 E1
S1
Un router El
El
equipo de El equipo de
Lisa Paul
Lisa ha estado enviando información innecesaria a Pablo. En

caso de que usted coloque la ACL est ndar para denegar
todo el tráfico de Lisa a Pablo? Nombre de router _ S
R
TU e
b Interface
r E1
En caso de que usted coloque la ACL est ndar para denegar el
tráfico por Pablo a Lisa?
Nombre route r r o uterdeuna interfaz E0
3
Colocación de lista de acceso estándar
El Router B
S1 S0
Un router
E0 FA1
S0 S1
S1 El router C
Ricky's El Jenny's
Equipo Equipo
Amanda
Equipo
El El
George's
equipo de equipo de
Equipo
Carrol Kathy
S1
El router D E0 Equipo
S0 de Jeff
El equipo
de Jim
S1
E0 S0 FA1
S1
El router E Router F
Equipo El Melvin's
El
de Linda equipo de Equipo
equipo de
Jackie
Sara
4
Colocación de lista de acceso estándar
1. En caso de que usted coloque una lista de 12. En caso de que usted coloque
acceso estándar para permitir tráfico de Ricky del una ACL para denegar el tr fico de
equipo para llegar a Jeff's equipo? Linda en la computadora llegue a
Jackie's equipo?
2. En caso de que usted coloque una lista de
acceso estándar para denegar el tráfico
procedente del equipo Melvin lleguen a Jenny's
equipo?

acceso estándar para denegar el tr fico a
Carrol's equipo de Sarah equipo?

acceso estándar para permitir tráfico de Ricky
del equipo para llegar a Jeff's equipo?

acceso estándar para denegar el tr fico de
Amanda equipo lleguen a Jeff y Jim's equipo?

acceso estándar para permitir tráfico de Jackie del
equipo para llegar a Linda en la computadora?

acceso estándar para permitir tráfico de Ricky
del equipo para llegar a Carrol y Amanda
equipo?

acceso estándar para denegar el tr fico a Jenny's
equipo de Jackie's equipo?

acceso estándar para permitir tráfico de George
del equipo para llegar a Linda y Sarah equipo?
10. En caso de que usted coloque una ACL para

denegar el tr fico desde Jeff's equipo de llegar a
George's equipo?

acceso estándar para denegar el tr fico a Sarah
equipo de Ricky's equipo?
5
Nombre route r r
ot
eu _RD
Interface E
0
Nombre route r r
ot
eu _rA
Interface E
0
Nombre del router Interface
6
Las listas de acceso extendidas
las listas de acceso extendidas...
...están numeradas del 100 al 199.
...filtro (permitir o denegar) basado en: Dirección de origen
dirección de destino
número de puerto de
protocolo
... están situados cerca de la fuente.
...trabajar tanto en la capa 3 y 4 del modelo OSI.
¿Por qué las ACL extendidas se coloca cerca de la

fuente.
Si desea denegar el tráfico del equipo de Juan lleguen a Janet de

ordenador con una lista de acceso extendida que colocaría la
ACL cerca de la fuente en el Router A, Interfaz E0. Dado que
puede permitir o denegar en función de la dirección de destino
puede reducir la sobrecarga de backbone y no afecta el tráfico a
los Routers B o C.
El Router El router D
B S1 S0 S1
Un El router E0
router FA0
C
S0 S1 S0
E0 E0
El equipo de
El
Janet
equipo de
mate
El Jimmy's Equipo
equipo de
Juan
7
Si coloca las ACL en el Router E para bloquear el tráfico
desde el Router A, funcionará. Sin embargo, los Routers B
y C tendrán que enrutar el paquete antes de que
finalmente sea bloqueado en el router E. Esto aumenta el
8
Lista de acceso extendido
muestra problemas de
colocación
E0 E1
Un
El equipo de
El
Jan
equipo de
Juan
A fin de permitir paquetes desde Juan del equipo para

llegar al equipo Jan debe colocar las listas de acceso
extendidas en la interfaz del router _E
0 .
FA0 S0 FA1
S1
Un El
router
El El equipo de
equipo de Paul
Lisa
Lisa ha estado enviando información innecesaria a Pablo. En caso de

que usted coloque la ACL extendida para denegar todo el tráfico de
Lisa a Pablo?
Routerrn
o
m
e u tr
r
b
_ A
e Interface F_0
En caso de que usted coloque la ACL extendida para denegar el
tráfico por Pablo a Lisa?
Nombre route r R s
ture Interfaz B FA1
9
Colocación de listas de acceso extendidas
El Router B
S1 S0
Un router
FA0 E1
S0 S1
S1 El router C
Ricky's El Jenny's
Equipo Equipo Amanda
Equipo
El El
George's
equipo de equipo de
Equipo
Carrol Kathy
S1
El router FA0 Jeff's
D
S0 Equipo
El equipo
de Jim
S1
FA0 S0 FA1
S1
El router E Router F
Equipo El Melvin's
El
de Linda equipo de Equipo
equipo de
Jackie
Sara
1
Colocación de listas de acceso extendidas
1. En caso de que usted coloque una ACL para Nombre route r r
ot
eu _RD
denegar el tr fico desde Jeff's equipo de llegar a La interfaze F
_0
George's equipo?
Nombre route r r
o
e
tu _rF
2. En caso de que usted coloque una lista de acceso
extendida para
Permitir tráfico de Jackie del equipo para llegar a Interface FA1
Linda en la computadora?
3. En caso de que usted coloque una lista de 12. En caso de que usted
acceso extendida para denegar el tráfico a Carrol's coloque una lista de acceso
equipo de Ricky's equipo? extendida para denegar el tráfico
de Linda en la computadora
4. En caso de que usted coloque una lista de llegue a Jenny's equipo?
acceso extendida para denegar el tráfico a Sarah
equipo desde el equipo de Jackie?

acceso extendida para permitir tráfico de Carrol del
equipo para llegar a Jeff's equipo?

extendida para denegar el tráfico desde el equipo de
Melvin lleguen a Jeff y Jim's equipo?

acceso extendida para permitir tráfico de George
del equipo para llegar a Jeff's equipo?

extendida para permitir tráfico de Jim del equipo
para llegar a Carrol y Amanda equipo?
9. En caso de que usted coloque una ACL para

denegar el tr fico de Linda en la computadora
llegue a Kathy's equipo?

acceso extendida para denegar el tráfico a
Jenny's equipo de Sarah equipo?

acceso extendida para permitir tráfico de George del
equipo para llegar a Linda y Sarah equipo?
1
1
Elegir para filtrar los paquetes entrantes o
salientes de
listas de acceso en el puerto entrante...
...requiere menos CPU.
...denys y filtros de paquetes antes de que el router tiene que
hacer una decisión de enrutamiento.
Listas de acceso en su puerto de salida...

...son salientes por defecto a menos que se especifique lo
contrario.
...aumenta el tiempo de procesamiento de la CPU porque la
decisión de enrutamiento y la conmutación de paquetes al puerto
saliente correcto antes de que sea probado contra la ACL.
Desglose de una sentencia ACL

estándar
permiten
O Carácter comodín
Access-list 1 permit 192.168.90.36 0.0.0.0
Aut nomo
Direcci
1 a 99
Permitir o Direcci
Access-list 78 deny host 192.168.90.36 log
Aut nomo Indica una (Opcional

dirección )
1 a 99 de host Genera
una entrada de
registro en el
router para
cada paquete
10
Desglose de una ACL extendida Declaración
Protocol
o icp,
ICMP,
TCP, Fuente Destino M
UDP, IP máscara áscara
Número
Etc
autónoma comodín comodín
.
del 100 al
199
Access-list 125 permit ip 192.175.63.12 192.168.90.36 0.0.0.0 0.0.0.0
Permitir o Direc Direcci

denegar ción ón de
fuente destino
Número
Protocol
puerto
o icp,
ICMP, (23 = telnet)
TCP,
Número UDP, IP Indica Direcci
autónoma Etc un host ón de
del 100 al . específico. destino
199
Access-list 178 deny tcp host host 192.168.90.36 192.175.63.12 eq 23 log
Permi Direc Indica Eq para

tir o ción un host el
deneg fuente específic operado
ar r=
gt para
> lt
Los protocolos para <
incluyen: neg para
=
Dirección IP IGMP UDP
IPINIP IG
TCP GRE OSPF RP
11
Núms. (Opcional
)
ICMP EIGRP Entero 0-255 Genera
Para que coincida con cualquier una entrada de
registro en el
protocolo de internet el uso de la
router para
propiedad intelectual. cada paquete
que coincida
con esta
declaración
12
¿Qué son las listas de control de acceso
nombradas?
Las ACL nombradas...
...son estándar o las ACL extendidas que tienen un nombre
alfanumérico en lugar de un número. (ej. 1-99 o 100-199)
Listas de acceso nombradas

información
Listas de acceso nombradas...
...identificar con un nombre intuutive ACL en lugar de un
número.
...eliminar los límites impuestos mediante las ACL
numeradas. (798 y 799 para el estándar de Extended)
...provide la capacidad para modificar sus ACL sin borrar y recargar la
versión revisada de la lista de acceso. No sólo le permitirá añadir
declaraciones hasta el final de las declaraciones existentes.
...no son compatibles con cualquier IOS anteriores a la
Aplicar una lista de acceso nombrada

estándar llamado "George"
Escriba un nombre de lista de acceso estándar llamado "George" en el Router A,
Interfaz E1 para bloquear el equipo de Melvin envíe información a Kathy's equipo; pero
permitirá que el resto del tráfico.
Colocar la lista de acceso en:

Nombre del router: Un router
Interfaz:
E1
Access-list
Nombre: George
[Grabando e instalando una ACL]
Router# configure terminal (o

config t) Router(config)#ip access-list George
estándar Router(config-std-nacl)# host deny
72.16.70.35 Router(config-std-nacl)# access-
list permiten que cualquier router(config-std-
nacl)# interfaz e1 Router(config-if)# ip
access-group George fuera Router(config-
11
if)# exit
Router(config)# exit
14
Aplicación de una extensa lista de acceso
nombrada "Gracie"
Escriba un nombre de lista de acceso extendida denominada "Gracie" en el Router A, Interfaz E0 llamado "Gracie" para
negar el tráfico HTTP diseñado para servidor web 192.168.207.27, sino que permitirá a todos los demás el tráfico HTTP
para llegar a la única red 192.168.207.0. Negar el resto de tráfico IP. Tenga en cuenta que pueden existir múltiples
maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router: un router
Interfaz:
E0
Access-list
mail: Gracie
Router# configure terminal (o config t)

Router(config)#ip access-list Gracie ampliada
Router(config-ext-nacl)# deny tcp cualquier host 192.168.207.27 eq
www Router(config-ext-nacl)# permitir tcp any 192.168.207.0 eq
0.0.0.255 www Router(config-ext-nacl)# interfaz e0.
Router(config-if)# ip access-group en Gracie
Router(config-if)# exit
13
Opciones para utilizar máscaras
comodín
Las máscaras comodín se suelen configurar para hacer uno de
cuatro cosas:
1. Coincide con un host específico.
2. Coincide con una subred completa.
3. Coincide con un intervalo específico.
4. Coinciden todas las direcciones.
1. La coincidencia con un host específico.

Para las listas de acceso estándar:
10 permitir 192.168.150.50 Access-List 0.0.0.0
O
10 permitir 192.168.150.50 Access-List (estándar ACL es
asumir una máscara
O 0.0.0.0)
10 permitir 192.168.150.50 Access-List host
Para las listas de acceso extendidas:

Access-list 110 deny ip 192.168.150.50 0.0.0.0
cualquiera o
Access-list 110 deny host IP 192.168.150.50 cualquier
2. Toda una subred coincidente
Ejemplo 1
Dirección: 192.168.50.0 Máscara de subred:
255.255.255.0.
Access-list 25 deny 192.168.50.0 0.0.0.255
Ejemplo 2
Dirección: 172.16.0.0 255.255.0.0 Máscara de subred:
Access-list 12 permitir 172.16.0.0 0.0.255.255
Ejemplo 3
14
Dirección: 10.0.0.0: Máscara de subred 255.0.0.0
Access-list 125 deny udp 10.0.00 0.255.255.255 cualquier
15
3. Coincide con un intervalo específico
Ejemplo 1
Dirección: 10.250.50.112: Máscara de subred
255.255.255.224
255. 255.255.255
Máscara de subred personalizada: -
255. 255.255.224
Comodín: 0. 0. 0. 31
Access-list 125 permitir cualquier 0.0.0.31 10.250.50.112
UDP
Ejemplo 2
Rango de direcciones: 192.168.16.0 a 192.168.16.127
192. 168. 16.127
-192. 168. 16. 0
Comodín: 0. 0. 0.127
Access-list 125 deny ip 192.168.16.0 0.0.0.127
cualquiera (esta ACL se bloquearía la mitad inferior
de la subred).
Ejemplo 3
Dirección: a 172.250.31.63 172.250.16.32
172. 250. 31. 63
-172. 250. 16. 32
Comodín: 0. 0. 15. 31
Access-list 125 permit ip 172.250.16.32 0.0.15.31 cualquier
4. Coincidir con todos.
Para las listas de acceso estándar:

15 Access-List cualquier
permiso o
15 Access-List negar 0.0.0.0 255.255.255.255
Para las listas de acceso extendidas:

175 Access-List permit ip any any
16
O
175 Access-List deny tcp 0.0.0.0 255.255.255.255 cualquier
17
La creación de Máscaras comodín
Al igual que una máscara de subred la máscara comodín indica al
router qué parte de la dirección para verificar o ignorar. Cero (0)
deben coincidir exactamente, uno (1) será ignorado.
La dirección de la fuente puede ser una dirección única, un rango de

direcciones o una subred completa.
Como regla de oro de la m scara es el inverso de la máscara de subred.
Example #1:
Dirección IP y máscara de 204.100.100.0 255.255.255.0
Dirección IP y máscara 204.100.100.0 0.0.0.255
Todos cero (o 0.0.0.0) significa que la dirección debe coincidir

exactamente.
Example #2:
10.10.150.95 0.0.0.0 (Esta dirección debe coincidir exactamente).
Uno será ignorado.
Example #3:
10.10.150.95 0.0.0.255 (Cualquier dirección de subred 10.10.150.0
coincidirán.
10.10.150.0 a 10.10.150.255)
Esto también funciona con subredes.
Example #4:
Dirección IP y máscara de subred:
192.170.25.30 255.255.255.224
Dirección IP y máscara comodín: 192.170.25.30 0.0.0.31
(restar de la máscara de subred
255.255.255.255 para crear el comodín)
Hacer las matemáticas... 255 - 255 = 0 (Este es el inverso de la

máscara de subred.) 255 - 224 = 31
Example #5:
Dirección IP y máscara de 172.24.128.0 255.255.128.0
Dirección IP y máscara 172.24.128.0 0.0.127.255
Hacer las matemáticas... 255 - 255 = 0 (Este es el inverso de la máscara de subred).

255 - 128 = 127
255 - 0 = 255
18
Problemas de máscara comodín
1. Crear una máscara comodín para hacer coincidir
esta dirección exacta. Dirección IP: 192.168.25.70 0 . _ 0 ._ 0 . 0
Máscara de subred: 255.255.255.0.
2. Crear una máscara comodín para coincidir

con este rango. Dirección IP: 210.150.10.0 0 . _0 ._0 . 255
3. Crear una máscara comodín para hacer

coincidir este host. Dirección IP:
195.190.10.35

con este rango. Dirección IP: 172.16.0.0
Máscara de subred: 255.255.0.0

6. Crear una máscara comodín para hacer coincidir

esta dirección exacta. Dirección IP: 165.100.0.130


con este rango. Dirección IP:
171.50.75.128
9. Crear una máscara comodín para hacer

coincidir este host. Dirección IP:
10.250.30.2

210.150.28.16

19
135.35.230.32
20
Problemas de máscara
comodín
Sobre la base de la información dada la lista de direcciones de origen o el
rango utilizable de origen utilizable Las direcciones que se pueden
permitir o denegar para cada acceso
La sentencia de la lista.
1.Access-list 10 permitir 192.168.150.50 0.0.0.0.
Respuesta: 1_9
2
.1
6_8
5
0
.1
5
0
2. Access-list 5 permit any
Respuesta: nsd
e
rs _s
d
3. Access-list 125 deny tcp host 172.168.10.1 195.223.50.0 0.0.0.63 fragmentos
Respuesta: 1_9
523
.2
.5
0.1 to
1
_9
52
3.2
.5
0.63
4. Access-list 11 deny 210.10.10.0 0.0.0.255
Respuesta:
5. Access-list 108 deny ip 172.32.4.0 192.220.10.0 0.0.0.15 0.0.0.255
Respuesta:
6. Access-list 171 niegan cualquier host 175.18.24.10 fragmentos
Respuesta:
7. Access-list 105 permitir 192.168.15.0 0.0.0.255 cualquier
Respuesta:
8. Access-list 109 permitir tcp 172.16.10.0 0.0.0.255 host 192.168.10.1 eq 80
Respuesta:
9. Access-list 111 permit ip any any
Respuesta:
10. Access-list 195 permitir udp 0.0.0.127 172.30.12.0 172.50.10.0 0.0.0.255
21
Respuesta:
22
11. Access-list 110 permit ip 192.168.15.0 192.168.30.10 0.0.0.3 0.0.0.0
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
18. Access-list 160 deny udp 172.16.0.0 0.0.1.255 172.18.10.18 0.0.0.0 gt 22
Respuesta:
19. Access-list 195 permitir icmp 0.0.15.255 172.85.0.0 172.50.10.0 0.0.0.255
Respuesta:
20. Access-list 10 permiten 175.15.120.0 0.0.0.255
Respuesta:
21. Access-list 190 permitir tcp 172.15.0.0 0.0.15.31 cualquier
Respuesta:
23
Respuesta:
24
Problemas de máscara
comodín
Sobre la base de la información dada la lista de direcciones de destino
utilizables o rango de direcciones de destino utilizables que estarían
permitidos o denegados para cada
Sentencia de lista de acceso.
1.Access-list 125 deny tcp host 172.168.10.1 195.223.50.0 0.0.0.63 fragmentos
Respuesta: 1_7
2.1
68.10
1.
2. Access-list 115 permit any cualquier
Respuesta: nsd
e
rs _s
d
Respuesta: 1_9
2
.1
6_8
.1
5
.1 to
1
_9
21
6
8.15
63.
4. Access-list 120 deny tcp 172.32.4.0 192.220.10.0 0.0.0.255 0.0.0.15
Respuesta:
Respuesta:
Respuesta:
7. Access-list 105 permit any 192.168.15.0 0.0.0.255
Respuesta:
Respuesta:
9. Access-list 160 deny udp 172.16.0.0 0.0.1.255 172.18.10.18 0.0.0.0 eq 21
Respuesta:
25
Respuesta:
26
Escribir
Las listas de acceso
estándar...
Un router
172.16.70.1 192.168.90.2
E1
E0 S0
El equipo de
Equipo de 210.30.28.0 Jim
Frank
172.16.70.32 192.168.90.36 El equipo
de Kathy
Melvin's 192.168.90.38
Equipo
172.16.70.35
Lista de acceso estándar muestra #1

Escribir una lista de acceso estándar para bloquear el equipo de Melvin envíe información a
Kathy's equipo; pero permitirá que el resto del tráfico. Tenga en cuenta que pueden existir
múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Interfaz:
E1
Access-list #:
10

Router(config)# access-list 10 deny 172.16.70.35
O
Access-list 10 deny 172.16.70.35
0.0.0.0 o
Access-list 10 deny host 172.16.70.35
Router(config)# access-list 10 permiten 0.0.0.0 255.255.255.255
O ac
cess-list 10 permit any
Router(config)# interface E1
Router(config-if)# ip access-group 10
[Ver información acerca de las listas de control de acceso (ACL)]
Router# show configuration (Esto mostrará los grupos de acceso que se

asocian
Router# show lista de (Esto mostrará información detallada acerca de
22
Lista de acceso estándar muestra #2
Escribir una lista de acceso estándar para bloquear Jim's equipo envíe información al equipo de
Frank; pero permitirá que el resto del tráfico de la red 192.168.90.0. Permitir todo el tráfico desde
el
Red 210.30.28.0 a alcanzar la red 172.16.70.0. Denegar todo el tráfico. Tenga en cuenta que
pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser
escrito.

Interfaz:
E0
Access-list #:
28
Router# configure terminal

Router(config)# access-list 28 deny 192.168.90.36
O
Access-list 28 deny 0.0.0.0 o
192.168.90.36
Access-list 28 deny host 192.168.90.36
Router(config)# access-list 28 permitir 192.168.90.0 0.0.0.255
Router(config)# interface
E0 Router(config-if)# ip access-group
28 Router(config-if)# exit
Router# copy run start
[Deshabilitar ACL's]

Router(config-if)# no ip access-group 28
[Eliminar una ACL]

Router(config-if)# no ip access-group 28
Router(config-
if)# exit Router(config)# no access-list 23
28 Router(config)# exit
FA0 S0
un
El Router B
S1 FA1
FA0
Michael's 172.16.28.36 Debbie's

Equipo Equipo
223.190.32.16 192.16.32.95
Lista de acceso estándar problema nº 1

Escribir una lista de acceso estándar para bloquear Debbie's equipo de recibir información
de Michael's equipo; pero permitirá que el resto del tráfico. Lista de todas las opciones de
línea de comandos para este problema. Tenga en cuenta que pueden existir múltiples

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
O
Router(config)#
O
Router(config-if)# ip access-group in or out (circle one)

24
25
Escribir una lista de acceso estándar para permitir Debbie's equipo para recibir
información de Michael's equipo; pero denegar todo el tráfico de la red 223.190.32.0.
Bloquear todo el tráfico de la red 172.16.0.0. Permitir todo el tráfico. Lista de todas las
opciones de línea de comandos para este problema. Tenga en cuenta que pueden
existir múltiples maneras muchas de las declaraciones individuales en una ACL puede
ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
O
Router(config)#
Router(config)#
Router(config)#
O
Router(config-if)# ip access-group In o fuera (rodee con un

círculo)

24
Un
router
204.90.30.124 E0
S0 El
Jim's
S1 FA1 equipo
Carol 10.250.30.36 192.168.88.4 192.168.88.5

Equipo
Rodney's 204.90.30.125
Equipo
204.90.30.126
Escribir una lista de acceso estándar para bloquear Rodney y Carol equipo envíe
información a Jim de equipo; pero permitirá que el resto del tráfico de la red 204.90.30.0.
Bloquear cualquier otro tráfico. Tenga en cuenta que pueden existir múltiples maneras
muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
27

26
Lista de acceso estándar problema #4
Usando un mínimo número de comandos escriba una lista de acceso
estándar denominado "Ralph" al bloque de Carol equipo envíe información a Jim de
equipo; pero permitirá Jim para recibir datos de Rodney. Bloquear la mitad superior del
rango 204.90.30.0 lleguen a Jim's ordenador permitiendo que la mitad inferior del rango.
Bloquear cualquier otro tráfico. Para obtener ayuda con el bloqueo de la mitad superior del
rango revise la página 13 o la máscara comodín de problemas en las páginas 16 y 17.
Para obtener ayuda con las ACL nombradas revise las páginas 12 y 13.

Nombre del router:
Inter
faz:
Nom
bre de la lista de acceso:
Router(config)#
Router(config-std-nacl)#
Router(config-std-nacl)# interface

círculo)
27

26
El Router B
S1 S0
Un router
172.30.225.1 E1212.180.10.5
S0 S1
E0
S1 El router C
172.30.225.2 212.180.10.6
172.30.225.3 212.180.10.2

Escribir una lista de acceso estándar para bloquear 172.30.225.3 172.30.225.2 y el
envío de información a la red 212.180.10.0; pero permitirá que el resto del tráfico.
Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones
individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#

28
29
Escribir una lista de acceso estándar para bloquear y registrar desde 212.180.10.2
172.30.225.0 enviar información a la red. 212.180.10.6 permiso y registro para enviar datos
a la red 172.30.225.0. Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples
(Compruebe el ejemplo en la página 10 para obtener ayuda con la opción de registro).

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
30
círculo)
31
El router C
Un router
S1
S0 FA0
FA0 S1 El 198.32.10.25
192.168.15.172 Router B
S0
FA1
210.140.15.1
192.168.15.3 198.32.10.25
210.140.15.8

Escribir una lista de acceso estándar para bloquear las direcciones 192.168.15.1 a
192.168.15.31 envíe información a la red 210.140.15.0. No permitir que ningún tráfico
desde 198.32.10.25 para alcanzar la red 210.140.15.0. Permitir todo el tráfico. Para obtener
ayuda con este problema, revise la página 13 o la máscara comodín de problemas en las
páginas 16 y 17.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#

32
33
Escribir una lista de acceso nombrada estándar llamado "Cisco_Lab_A" para permitir el
tráfico desde la mitad inferior de la red 198.32.10.0 a alcanzar la red 192.168.15.0; bloquear
la mitad superior de las direcciones. 198.32.10.192 host permiten llegar a la red
192.168.15.0. Permitir todo el tráfico. Para obtener ayuda con este problema, revise la página
13 o de las m scaras wildcard problemas en las páginas 16 y 17. Para obtener asistencia con
las ACL nombradas revise las páginas 12 y 13.

Nombre del router:
Inter
faz:
Nom
Router(config)#
Router(config-std-nacl)#

34
Router(config-std-nacl)# interface
Router(config-if)# ip access-group In o fuera (rodee

con un círculo)
35
Escribir una lista de acceso estándar para bloquear la red 192.168.255.0 de recibir
información de las siguientes direcciones: 10.250.1.100, 10.250, 10.250.2.1.4.1, y toda la
red 255.255.255.0 10.250.3.0. Permitir que el resto del tráfico. Tenga en cuenta que
pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.

Nombre del router: Ro u t er A
Interfaz: F
_0
Access-list #:
Router(config)#
Router(config)# interfaz F_0

círculo)
32
37
Escribir
Las listas de acceso
extendidas...
32
Un router
34
172.16.70.1 192.168.90.2
FA1
FA0
El El
equipo de equipo de
John's La Celeste
Equipo 172.16.70.32 192.168.90.36 Equipo
172.16.70.35 192.168.90.38
Lista de acceso extendido Denegar o Permitir direcciones

Escribir una lista de acceso extendida para evitar que la computadora de John envíe información al equipo de Mike, pero
permitirá que el resto del tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones

Interfaz: FA0
Access-list #: 110

Router(config)# access-list 110 deny ip 172.16.70.35 0.0.0.0 0.0.0.0 192.168.90.36
O
Access-list 110 deny ip host host 172.16.70.35 192.168.90.36
Router(config)# access-list 110 permit ip any any
O
Access-list 110 permit ip 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255
[Ver información acerca de las listas de control de acceso (ACL)]
fa0 Router(config-if)# ip access-group
110 en Router(config-if)# exit
Escribir una lista de acceso extendida para bloquear la red 172.16.70.0 de recibir información del equipo de Mike en
192.168.90.36. Bloquear la mitad inferior de las direcciones IP de la red 192.168.90.0 desde el equipo de llegar a Gail en
172.16.70.32. Permitir todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones

Interfaz: FA1
Access-list #: 135

O
Access-list 135 deny host 192.168.90.36 IP 172.16.70.0 0.0.0.255
O
Access-list 135 deny ip 192.168.90.0 0.0.0.127 host 172.16.70.32
O
[Deshabilitar ACL's] [Eliminar una ACL]
35
36
Un router El Router B
FA0 172. S0 FA1
S1 192.168.122.52
20.70.15
Cindy Jay
Equipo Equipo
Ordenado El equipo
r de Bob
172.20.70.89 192.168.122.128 de Jackie
172.20.70.80 192.168.122.129
Lista de acceso extendido problema #1 Denegar/permitir direcciones

específicas
Escribir una lista de acceso extendida para evitar Jay equipo reciba información de Cindy equipo. Permitir todo el tráfico. Tenga
en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Router(config-if)# ip access-group Dentro o fuera (rodee con un círculo)
Escribir una lista de acceso extendida para bloquear la red 172.20.70.0 255.255.255.0 de recibir información desde el equipo de
Jackie en 192.168.122.129. Bloquear la mitad inferior de las direcciones IP de red 192.168.122.0 lleguen a Cindy ordenador a

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
37
Router(config-
if)# exit Router(confi
g)# exit Router# copy
run start
El Router
38
E0 A
218.35.50.1
El
equipo de Juan
218.35.50.12 S1 Rebecca
en
Jan's equipo Rachael's
Equipo Router B FA1 Equipo
218.35.50.10 172.59.2.1 172.59.2.18
Lista de acceso extendido problema nº 3 Denegar o Permitir direcciones

específicas
Escriba un nombre de lista de acceso extendida denominada "Lab_166" para permitir que el equipo de Jan en 218.35.50.10 para
recibir paquetes de Rachael's equipo en 172.59.2.18; pero no Rebecca en equipo en 172.59.2.15. Negar todos los otros
paquetes. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede
ser escrito.

Nombre del router:
Inter
faz:
Nom
Router(config)#
Router(config-ext-nacl)#
Router(config-ext-nacl)# interface
Escribir una lista de acceso extendida para permitir al equipo de Juan 218.35.50.12 para enviar información a Rebecca en
equipo en 172.59.2.15; pero no Rachael's equipo en 172.59.2.18. Permitir todo el tráfico. Tenga en cuenta que pueden existir
múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config-
39
if)# exit Router(config)# exit

El Router A
40
S0 El
Router B
E0
Ralph's
computadora
E1 Ordenado
Cindy
192.16.20.7 192.16.20.5 r de Bob El
Equipo equipo de
192.16.20.6 192.18.50.10 192.18.50.12
Lista de acceso extendido Denegar/Permitir intervalos

Escribir una lista de acceso extendida para permitir que la red 192.16.20.0 a recibir paquetes desde la red 192.18.50.0. Denegar
todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.

Nombre del router: El Router B
Interfaz: E1
Access-list #: 111

Router(config)# access-list 111 permit ip 192.18.50.0 0.0.0.255 192.168.20.0 0.0.0.255
Router(config)# access-list 111 deny ip any any
O
Access-list 111 deny ip 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255
Router(config)# interface E1 Router(co
nfig-if)# ip access-group 111
en Router(config-if)# exit
Router(config)# exit [Ver información acerca de las listas de control de acceso (ACL)]
Router# show configuration (Esto mostrará los grupos de acceso que se asocian
con determinadas interfaces)
Router# show access list 111 (Esto mostrará información detallada acerca de esta
ACL)
Escribir una lista de acceso extendida para bloquear la red 192.18.50.0 de recibir información de la red 192.16.20.0. Permitir
puede ser escrito.

Interfaz: E0
Access-list #: 188

O

41
42 Un
FA0 S0 210.250.10.0
204.95.150.11
S0 Rebecca
S1 en
Equipo de Todd
Rachel's equipo
Equipo 204.95.150.12 FA1 Equipo de
204.95.150.10 El 172.59.2.1 172.59.2.18
Router B
Lista de acceso extendido problema nº 5 Denegar/Permitir intervalos

enteros
Escribir una lista de acceso extendida para permitir la red 204.95.150.0 para enviar paquetes a la red 172.59.0.0, pero no la red

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Escribir una lista de acceso extendida para permitir Rachel's ordenador a 204.95.150.10 para recibir información desde la red
172.59.0.0. Denegar todos los otros hosts en la red 204.95.150.0 el acceso desde la red 172.59.2.0. Permitir todo el tráfico.
Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser
escrito.

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config-if)# iipp aacccceessss--ggrroouupp nrtro ot (fu
ineo
D cierrcale(o
rond
ee) e con un círculo)
43
Roouutteerr((ccoonnffiigg
--if)# exit
Rfo)u#te
i exrit(R
cou nftiegr)(#ceoxn
itfi
run start
44
E0 S0 E1
172.120.170 S1 192.168.50.2
.45
E1 S0
Tommy's Equipo Tim's
172.120.170.45
Phyllis's Denise's
Equipo 210.168.70.0 Equipo Equipo
172.120.170.45 10.250.1.0 192.168.50.3 192.168.50.4
Lista de acceso extendido problema nº 7Denegar/Permitir intervalos enteros

Escriba un nombre de lista de acceso extendida denominada "Godzilla" para evitar que la red 172.120.0.0 que envíen
información a la 210.168.70.0 255.255.255.0 10.250.1.0 , y redes; pero va a permitir el tráfico a la red 192.168.50.0. Permitir
puede ser escrito.

Nombre del router:
Inter
faz:
Nom
Router(config)#
Suponiendo que las máscaras de subred predeterminadas escribir una lista de acceso extendida para permitir Tim a
192.168.50.3 para recibir datos desde la red 172.120.0.0. Permitir que la red 192.168.50.0 para recibir información desde su
equipo a Phyllis 172.120.170.45. Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de
las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Route err((ccoonnff iigg-)ex

#ti-ntnearfcalc)
e # interface
Router(config-if)# ip access-group i nrtroouot (fc
ineo
D uierrcale(oro
ndee
) e con un círculo)
45
Routteerr((ccoonnffiigg--if)# exit
Rf
i o)
u#te
exrit(R
con ufti egr)(#ceoxn
it fi
run start
Un
46
S0 El
FA0 S1
192.168.15.20 E1 1
Jim's Carol
Equipo 72.21.50.95 Equipo
Rodney Equipo de
del equipo 192.168.15.43 172.21.50.96 Frank
192.168.15.44 172.21.50.97
Lista de acceso extendido Denegar o Permitir un intervalo de

Escribir una lista de acceso extendida para negar a las primeras 15 direcciones utilizables de la red 192.168.15.0 lleguen a la
red 172.21.0.0. Permitir todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones

Interfaz: FA0
Access-list #: 185

O
185 en Router(config-if)# exit [Ver información acerca de las listas de control de acceso (ACL)]
ACL)
Lista de acceso extendido Denegar o Permitir un intervalo de
Escribir una lista de acceso extendida que permitirá la mitad inferior de la 192.168.15.0 el acceso de red a la red 172.21.50.0.
Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una
ACL puede ser escrito.

Interfaz: FA0
Access-list #: 121

Router(config)# access-list 121 permit ip 192.168.15.0 0.0.0.127 172.21.50.0 0.0.0.255
Router(config)# access-list 121 deny ip any any
O
Access-list 121 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

47
El Router A
48
192.168.195.90 192.168.125.254
E0 E1
S0
El El
La
equipo de 172.31.195.0 equipo de
El equipo
computad 192.168.195.145 192.168.125.17 celeste
ora de
John
192.168.125.108
192.168.195.88
Lista de acceso extendido problema #9 Denegar o Permitir un intervalo de

direcciones
Escribir una lista de acceso extendida para evitar las primeras 31 direcciones utilizables en la red 192.168.125.0 192.168.195.0
lleguen a la red. Permitir todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
direcciones
Escriba un nombre de lista de acceso extendida denominada "Media_Center" para permitir que el rango de direcciones a través
de 172.31.195.7 172.31.195.1 para enviar a la red 192.168.125.0 fecha. Denegar todo el tráfico. Tenga en cuenta que pueden
existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Inter
faz:
Nom

Router(config)#
49
run start
50
192.16.20.5 Un El router
router C
FA0 S0
S1 FA1
S1
172.18.50.10
El equipo
Ralph's de Jill Bob's
172.22.75.9
Equipo
S0 el Router Equipo
B
Cindy 192.16.20.7 172.18.50.11 Barbra's
Equipo
Equipo E1 El equipo de
192.16.20.6 Brad 172.18.50.12
172.22.75.8
172.22.75.10
direcciones
Escribir una lista de acceso extendida para permitir los primeros 3 direcciones utilizables en la red 192.16.20.0 a alcanzar la red
172.22.75.0. Denegar las direcciones desde 192.16.20.4 a 172.22.75.0 192.16.20.31 lleguen a la red. Permitir todo el tráfico.
Tenga en cuenta que hay varias maneras esta ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
direcciones
Escribir una lista de acceso extendida para denegar las direcciones desde 172.22.75.127 172.22.75.8 a través del envío de
datos a la red 172.18.50.0. Negar la primera mitad de las direcciones de la red 172.22.75.0 lleguen a la red 192.16.20.0. Permitir
todo el tráfico. Tenga en cuenta que hay varias maneras esta ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
RRoouut
teerr((cconofnifgi )#g)i#ntienrtfearcfa
e ce
R o ut e r ( c on f i g
Router(config-if)# icpces - if ) # i p a acsc-egsrso-g
up
roup in D oturto(c
oren oirfculeeraon
(reo)dee con un círculo)
51
RRoouut
ter( (ccoonnffiigg--if)# exit
run start
52
FA0 S0 FA1
172.16.70.1 S1 192.168.88.1
FA1 FA0
Ordenador de Peggy's
Bob Equipo
El equipo 172.16.70.155 El equipo de
celeste
192.168.88.200 Denise
172.16.70.145 10.250.1.0 10.250.4.0 192.168.88.204
Lista de acceso extendido problema #13Denegar o Permitir un intervalo de

direcciones
Escribir una lista de acceso extendida para permitir las primeras 63 direcciones utilizables en la red 192.168.88.0 para llegar
a la mitad inferior de las direcciones en la red 172.16.70.0; pero no la mitad superior. Denegar todo el tráfico. Tenga en
cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Lista de acceso extendido problema #14 Denegar/Permitir un intervalo de
direcciones
Escribir una lista de acceso extendida para denegar las direcciones de 10.250.1.63 10.250.1.0 a través del envío de datos a
Denise su equipo. Permitir todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
RRoouutteerr((cc oonfnifgi)g#)# intienrtfearcfaece

Router(config-i#f)
R o u te r ( c o nf i g - i f) ip#aic pca
ecssc-egsrso
-gurpoup orenoturto(o
in D cirfu
ce
lerao(nre
o)dee con un círculo)
RRoouutteerr(co onnffiigg--if)# exit
5
run start
El Router A
54
S0 El Router B
E0 S1
Servidor
192.168.207.25 E1 Web Server
192.168.207.27 210.128.50 210.128.50.11
192.168.207.26 210.128.50.12
Lista de acceso extendido Denegar o Permitir números

Escribir una lista de acceso extendida para denegar el tráfico HTTP diseñado para servidor web 192.168.207.27, sino que
permitirá a todos los demás el tráfico HTTP para llegar a la única red 192.168.207.0. Negar el resto de tráfico IP. Tenga en

Interfaz:
E0
Access-list #:
198

Router(config)# access-list 198 deny tcp any 192.168.207.27 0.0.0.0 eq www
O
Access-list 198 deny tcp cualquier host 192.168.207.27 eq
www Router(config)# access-list 198 permitir tcp any 192.168.207.0 eq 0.0.0.255
www Router(config)# interface E0
Router(config-if)# ip access-group 198 en
Router(config)# exit [Ver información acerca de las listas de control de acceso (ACL)]
ACL)
Lista de acceso extendido Denegar o Permitir números de
Escribir una lista de acceso extendida para permitir pings en cualquier dirección entre hosts de la 210.128.50.0 192.168.207.0 y
redes. Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales
en una ACL puede ser escrito.

Interfaz: E0
Access-list #: 134

Router(config)# access-list 134 permiten 210.128.50.0 192.168.207.0 0.0.0.255 0.0.0.255 icmp echo-REPLY

55
56
E0 S0 E1
172.20.70.1 S1 192.168.33.1
E1 E0
Ordenador de Peggy's
Bob Equipo
El equipo 192.30.76.155 El equipo de
celeste
192.168.33.210 Denise
192.30.76.145 10.250.4.0 172.16.16.0 192.168.33.214
Lista de acceso estándar muestra Denegar o Permitir

Escribir una lista de acceso extendida para permitir Denise y Bob's equipos para ejecutar telnet en el Router B. negar todos los
demás tráfico telnet tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una

Nombre del router: el Router B
Interfaz: (El uso de line vty 0 4 en lugar de una interfaz como E1 le
Line VTY 0 4 permite aplicar esta lista de acceso para todas las l neas vty
con una instrucción)
Access-list #:
45

O
Access-list 45 permiten alojar 192.168.33.214
O
Access-list 45 permiten alojar 92.30.76.155
Router(config)# line vty 0
4 Router(config-if)# ip access-class
45 en Router(config-if)# exit [Ver información acerca de las listas de control de acceso (ACL)]
Router# show lista de acceso 45 (Esto mostrará información detallada acerca d e

esta ACL)
Lista de acceso extendido Denegar o Permitir
Escribir una lista de acceso extendida para negar a direcciones IP 192.30.76.0 FTP a través de 192.30.76.13.
Permitir todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una

Nombre de router: Un router
Interfaz: E0
Access-list # 155

Router(config)# access-list 155 deny tcp any 192.30.76.0 ftp eq 0.0.0.13
Router(config)# access-list 155 permitir tcp any any
O
Access-list 155 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Router(config-if)# ip access-group 155 en
Router(config-
run start

57
Router B
58
10.250.2.0 FA1
S1 192.128.45.8
FA0
E1 Bill's
S0 equipo
El
El
equipo de Jackie
E0 192.128.45.33 equipo de
172.16.125.1 10.250.8.0 Jennifer
Un router
Lista de acceso extendido problema #15 Denegar/Permitir un números de
puerto
Escribir una lista de acceso extendida para permitir el tráfico ICMP desde la red 192.128.45.0 para llegar a la 255.255.255.0 y
172.16.125.0
10.250.2.0 255.255.255.0 redes. Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las
declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface Router(config-

if)# ip access-group
Route Dentro o fuera (rodee con un círculo)
r(config-if)# exit
Lista de acceso extendido problema #16 Denegar o Permitir un números de
puerto
Escriba un nombre de lista de acceso extendida denominada "Peggys_Lab" para negar de 10.250.8.0 10.250.8.127 telnet a
través de alcanzar la red 192.128.45.0. Permitir todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas
de las declaraciones individuales en una ACL puede ser escrito.

Nombre del router:
Inter
faz:
Nom

Router(config)#
Router(config-ext-nacl
Router(config-if)# ip access-group
59
Dentro o fuera (rodee con un círculo)

Router(config-
run start
60 Un
FA0 S0 204.250.10.0
203.194.100.1
Servidor Web #1 S0 El
203.194.100.102 S1 equipo de
Becky
Servidor Web #2 El
FA1 Equipo de
203.194.100.101 El Router B 172.60.18.1 172.60.18.142
Lista de acceso problema Denegar o Permitir

Escribir una lista de acceso para permitir que Becky y ordenador de María a telnet en el Router B. negar todos los otros tr fico de
telnet desde la red 172.60.18.0. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales
en una ACL puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Escribir una lista de acceso extendida para denegar todo el tráfico HTTP diseñado para el servidor web en 203.194.100.102.
Permitir el tráfico HTTP a cualquier otros servidores web. Denegar todos los demás tráfico IP 203.194.100.0 a la red. Tenga en

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
RRo
ouutteerr((ccoonnffi
igg)
)##iinntteerrffaaccee
RRouter(config
o u t e r ( c o n f i g--i iff))# ipaacccceessss--ggrroouupp
#ip inenotrro uot f(uceirrcale(roondee)e con un círculo)
D
RRoouutteerr((ccoonnfifg
i-g-if)# exit
iRfo)u#teexrit(Rcoountfe
irg)(#
61
coexnitfi
run start
62
El Router A
S0 El
E0 S1
E1
192.168.15.25 E1
Bobbie's Servidor Web
Equipo 172.23.50.195 #2
Servidor Web #1 El equipo
192.168.15.82 192.172.10.0 de Gail
192.168.15.125
172.23.50.197
Lista de acceso problema Denegar o Permitir

Escribir una lista de acceso para permitir el tráfico de TFTP a todos los hosts de la red 192.168.15.0. Denegar todos los demás
tráfico TFTP. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.

Nombre del router:
Interfaz:
Access-list #:
Router(config)#
Escribir una lista de acceso extendida que permite que el tráfico de la web desde el servidor web #2 en 172.23.50.196 para
llegar a todos en la red 192.168.15.0. Denegar todos los demás tráfico IP a la 192.172.10.0, y 192.168.15.0 redes. Tenga en

Nombre del router:
Interfaz:
Access-list #:

Router(config)#
Router(config-
63

run start
Los comandos ACL
opcional
Y otras ideas de seguridad de red
A fin de reducir la posibilidad de suplantación de identidad desde fuera de la red

considere agregar las siguientes declaraciones a la red de la lista de acceso de
entrada.
Router# config t
Router(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 cualquier
Router(config)# access-list 100 deny ip 127.0.0.0 cualquier 0.255.255.255
Router(config)# access-list 100 deny ip 224.0.0.0 31.255.255.255
cualquier router(config)# access-list 100 deny ip su subred-# Tu subnet-mask-
# cualquier router(config)# access-list 100 deny any IGMP
Router(config)# access-list 100 deny any redirección ICMP
Router(config)# access-list 100 permit any cualquier
Router(config)# interface E0 (o cualquiera que sea su puerto entrante
es)
Router(config-if)# ip access-group
en router(config-if)# exit
Otra útil herramienta de seguridad es permitir sólo los paquetes IP de su red con la
dirección de origen.
Router# config t
Router(config)# access-list 100 permit ip su subred-# Tu subnet-mask-
# cualquier router(config)# interface E0 (o cualquiera que sea el
puerto de salida está) router(config-if)# ip access-group out
Router(config-if)#
exit router(config)#
exit
Para mantener los paquetes con destinos inalcanzables entren en su red agregar este comando: ip route
0.0.0.0 0.0.0.0 null 0 255
Para proteger contra pitufo y otros ataques agregar los siguientes comandos para cada interfaz externa:
No ip broadcast dirigida
no ip origen-ruta
Feria-cola
Intervalo de scheduler 500
64
Index / Tabla de contenido
Números Access-List.......................................................................Cubierta
interior
¿Qué son las listas de control de acceso?. ..................................................... 1
Listas de acceso información general ............................................................. 1
How routers use Access Lists ......................................................................... 1
Standard Access Lists ...........................................................................................2
¿Por qué las ACL estándar debe colocarse cerca del destino. ...................... 2
Standard Access List Placement Sample Problems ........................................ 3
Los problemas de colocación de lista de acceso estándar .......................... 4-5
Extended Access Lists .................................................................................... 6
¿Por qué las ACL extendidas deben colocarse cerca del destino. .................. 6
Extended Access List Placement Sample Problems ....................................... 7
Lista de acceso extendido los problemas de colocación. .............................8-9
Elegir para filtrar los paquetes entrantes o salientes ..................................... 10
Desglose de una sentencia ACL estándar .................................................... 10
Desglose de una ACL extendida Declaración ............................................... 11
Lo que se denominan listas de control de acceso .............................................. 12
Listas de acceso nombradas información ........................................................... 12
Applying a Standard Named Access List called “George”. .............................12
Applying an Extended Named Access List called “Gracie” ............................ 13
Choices for Using Wildcard Masks........................................................... 14-15
Creating Wildcard Masks .............................................................................. 16
Wildcard Mask Problems ......................................................................... 18-20
Escribir listas de acceso estándar ................................................................. 21-32
Escribir listas de acceso extendidas ........................................................ 33-63
Denegar o Permitir direcciones específicas .................................... 33-39
Denegar o Permitir intervalos enteros ............................................. 40-45
Denegar o Permitir un intervalo de direcciones............................... 46-53
Denegar o Permitir números de puerto. ...........................................54-63
Optional ACL Commands. .............................................................................64
Index / Table of Contents ...............................................................................65
Los números de puerto...............................................................................66-
Cubierta interior
65
66
Los números
de puerto
Los números de puerto son asignados por la ICANN (Internet Corporation for
Assigned Names and Numbers). TCP y UDP utilizados comúnmente las
aplicaciones se les asigna un número de puerto; tales como: - 80 HTTP,
POP3 , FTP - 110 - 20. Cuando una aplicación se comunica con otra
aplicación en otro nodo en la internet, se especifica que la aplicación en cada
transmisión de datos mediante el uso de su número de puerto. También
puede escribir el nombre (ej. Telnet) en lugar del número de puerto (ie. 23).
Intervalo de números de puertos desde 0 hasta 65536 y se dividen en tres
gamas:
Puertos conocidos 0 A 1.023

Puertos registrados 1024 A 49,151
Dinámico y/o puertos privados 49,152 A 65.535
A continuación se muestra una breve lista de algunos puertos utilizados

habitualmente. Para obtener una lista completa de números de puerto ir
a http://www.iana.org/assignments/port-numbers.
Algunos de los números de puerto utilizados comúnmente:
0 Reservados
1 TCPMUX (Servicio Multiplexor Puerto
5 RJE (Remote Job Entry)
7 ECHO
9 Desechar
11 SYSTAT (Usuarios Activos)
13 Día
17 Cita (Cita del día)
18 MSP (protocolo de envío de
19 CHARGEN. (generador de caracteres)
20 FTP-DATA (Protocolo de transferencia de
21 FTP ( Protocolo de transferencia de
22 SSH (Protocolo de inicio de sesión
23 Telnet (Conexión de terminal)
25 SMTP (Protocolo simple de
29 MSG ICP
66
37 Tiempo
39 RLP (Protocolo de Ubicación de
42 NAMESERV Nombre del host (servidor)
43 NICNAME (quién es)
49 LOGIN Protocolo de Host (Login)
53 El DNS (Domain Name Server).
67 BOOTP (Bootstrap Protocol Server).
68 BOOTPS Protocolo Bootstrap (Cliente).
69 TFTP ( Protocolo Trivial de Transferencia de archivos)
70 GOPHER (Servicios Gopher )
75 (Cualquier Privite servicio dial-out)
79 Dedo
80 HTTP ( Protocolo de transferencia de hipertexto)
95 SUPDUP SUPDUP (protocolo)
101 HOSTNAME (NIC Host Name Server).
108 SNAGAS Access Gateway (SNA Server).
109 POP2 (Post Office Protocol, versión 2)
110 POP3 (Post Office Protocol, versión 3).
113 AUTH (Authentication Service)
115 SFTP ( Protocolo de transferencia simple de archivos)
117 Ruta UUCP (Servicio de ruta UUCP)
118 SQLSERV (Servicios de SQL)
119 NNTP (grupo de noticias)
123 NTP ( Tim) Protocolo de red
137 NetBIOS-NS (Servicio de nombres de NetBIOS)
139 NetBIOS-SSN (El servicio de sesión NetBIOS )
143 IMAP (Protocolo de acceso a correo provisional)
150 SQL-NET (El servicio de sesión NetBIOS)
156 SQLSRV (SQL Service)
161 SNMP (Simple Network Management Protocol)
179 BGP (Border Gateway Protocol)
190 GACP Protocolo de Control de acceso (Gateway)
194 IRC (Internet Relay Chat).
197 DLS Ubicación de directorio (Servicio).
389 LDAP (Protocolo ligero de acceso a directorios)
396 IP de Netware (Novell Netware sobre IP )
443 HTTPS (HTTP MCom)
444 SNPP (Protocolo simple de paginación de red)
445 Microsoft-DS
458 Apple QuickTime
546 Cliente DHCP
547 Servidor DHCP
563 SNEWS
569 MSN
68 Cubierta interior

Access Lists Workbook Student Edition Ver1 2 1

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Access Lists Workbook Student Edition Ver1 2 1

Caricato da

Copyright:

Formati disponibili

UnaCL

Producido por: Robb

La forma en que los routers

Luego el router busca una ACL en esa interfaz saliente.

Si no hay ACL del router cambia el paquete fuera de la interfaz a su

Si existe una ACL, el router verifica el paquete contra las sentencias de

Si el paquete no coincide con ninguna declaración escrita de la ACL se

¿Por qué las ACL est ndar se colocan

Si coloca las ACL en un router para bloquear el tráfico al

A fin de permitir paquetes desde Juan del equipo para llegar

Lisa ha estado enviando información innecesaria a Pablo. En

3. En caso de que usted coloque una lista de

4. En caso de que usted coloque una lista de

5. En caso de que usted coloque una lista de

6. En caso de que usted coloque una lista de

7. En caso de que usted coloque una lista de

8. En caso de que usted coloque una lista de

9. En caso de que usted coloque una lista de

10. En caso de que usted coloque una ACL para

11. En caso de que usted coloque una lista de

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

¿Por qué las ACL extendidas se coloca cerca de la

Si desea denegar el tráfico del equipo de Juan lleguen a Janet de

A fin de permitir paquetes desde Juan del equipo para

Lisa ha estado enviando información innecesaria a Pablo. En caso de

5. En caso de que usted coloque una lista de

6. En caso de que usted coloque una lista de acceso

7. En caso de que usted coloque una lista de

8. En caso de que usted coloque una lista de acceso

9. En caso de que usted coloque una ACL para

10. En caso de que usted coloque una lista de

11. En caso de que usted coloque una lista de

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Nombre del router Interface

Listas de acceso en su puerto de salida...

Desglose de una sentencia ACL

Access-list 1 permit 192.168.90.36 0.0.0.0

Access-list 78 deny host 192.168.90.36 log

Aut nomo Indica una (Opcional

Access-list 125 permit ip 192.175.63.12 192.168.90.36 0.0.0.0 0.0.0.0

Permitir o Direc Direcci

Access-list 178 deny tcp host host 192.168.90.36 192.175.63.12 eq 23 log

Permi Direc Indica Eq para

Listas de acceso nombradas

Aplicar una lista de acceso nombrada

Colocar la lista de acceso en: