Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Extended
y
0.0.0.0
Listas
de
Permi
tir
Den Standard
y access-
list
Access-
group
Máscara
comodín
Números Access-List
Estándar IP 1 A 99
Extended IP 100 A 199
Código de Tipo de Ethernet 200 A 299
Dirección Ethernet 700 A 799
DECnet DECnet y ampliado 300 A 399
XNS 400 A 499
XNS ampliada 500 A 599
Appletalk 600 A 699
Direcciones MAC de 48 bits 700 A 799
Estándar IPX 800 A 899
Extendida IPX 900 A 999
IPX Protocolo de anuncio de servicios 1000 A 1099
SPX IPX SAP 1000 A 1099
Extendido de 48 bits de direcciones 1100 A 1199
NLSP IPX 1200 A 1299
Estándar IP, rango ampliado 1300 A 1999
IP, ampliada gama ampliada 2000 A 2699
SS7 (voz) 2700 A 2999
Viñas estándar 1 A 100
Viñas ampliada 101 A 200
Viñas simple 201 A 300
Puenteo transparente (Tipo de 200 A 299
Puenteo transparente (Tipo de 700 A 799
Puenteo transparente extendida 1100 A 1199
Puenteo de origen-ruta (tipo de 200 A 299
Puenteo de origen-ruta (tipo de 700 A 799
interior
Cubierta
U el tiempo para revisar este libro para errores.
n
a
g
r
a
d
e
c
i
m
i
e
n
t
o
e
s
p
e
c
i
a
l
M
e
l
v
i
n
B
a
k
e
r
J
i
m
D
o
r
s
c
h
p
a
r
a
t
o
m
a
r
U
n
1
Las listas de acceso estándar
listas de acceso estándar...
...están numerados del 1 al 99.
...filtro (permitir o denegar) sólo direcciones de origen.
...no tienen ninguna información sobre el lugar de destino, por lo
que deben colocados lo más cerca posible del destino .
...trabajar en la capa 3 del modelo OSI.
El Router El router
D
SB
1
Un El router S1
E0
S0 S1 S0
E0 E0
El El
equipo de equipo de
El Jimmy's
equipo de Equipo
2
Lista de acceso estándar
muestra problemas de
colocación
FA0 FA1
Un
El equip El equipo
o de Juan de Jan
E0 S
0 E1
S1
Un router El
El
equipo de El equipo de
Lisa Paul
3
Colocación de lista de acceso estándar
El Router B
S1 S0
Un router
E0 FA1
S0 S1
S1 El router C
Ricky's El Jenny's
Equipo Equipo
Amanda
Equipo
El El
George's
equipo de equipo de
Equipo
Carrol Kathy
S1
El router D E0 Equipo
S0 de Jeff
El equipo
de Jim
S1
E0 S0 FA1
S1
El router E Router F
Equipo El Melvin's
El
de Linda equipo de Equipo
equipo de
Jackie
Sara
4
Colocación de lista de acceso estándar
1. En caso de que usted coloque una lista de 12. En caso de que usted coloque
acceso estándar para permitir tráfico de Ricky del una ACL para denegar el tr fico de
equipo para llegar a Jeff's equipo? Linda en la computadora llegue a
Jackie's equipo?
2. En caso de que usted coloque una lista de
acceso estándar para denegar el tráfico
procedente del equipo Melvin lleguen a Jenny's
equipo?
5
Nombre route r r
ot
eu _RD
Interface E
0
Nombre route r r
ot
eu _rA
Interface E
0
6
Las listas de acceso extendidas
las listas de acceso extendidas...
...están numeradas del 100 al 199.
...filtro (permitir o denegar) basado en: Dirección de origen
dirección de destino
número de puerto de
protocolo
... están situados cerca de la fuente.
...trabajar tanto en la capa 3 y 4 del modelo OSI.
El equipo de
El
Janet
equipo de
mate
El Jimmy's Equipo
equipo de
Juan
7
Si coloca las ACL en el Router E para bloquear el tráfico
desde el Router A, funcionará. Sin embargo, los Routers B
y C tendrán que enrutar el paquete antes de que
finalmente sea bloqueado en el router E. Esto aumenta el
8
Lista de acceso extendido
muestra problemas de
colocación
E0 E1
Un
El equipo de
El
Jan
equipo de
Juan
FA0 S0 FA1
S1
Un El
router
El El equipo de
equipo de Paul
Lisa
9
Colocación de listas de acceso extendidas
El Router B
S1 S0
Un router
FA0 E1
S0 S1
S1 El router C
Ricky's El Jenny's
Equipo Equipo Amanda
Equipo
El El
George's
equipo de equipo de
Equipo
Carrol Kathy
S1
El router FA0 Jeff's
D
S0 Equipo
El equipo
de Jim
S1
FA0 S0 FA1
S1
El router E Router F
Equipo El Melvin's
El
de Linda equipo de Equipo
equipo de
Jackie
Sara
1
Colocación de listas de acceso extendidas
1. En caso de que usted coloque una ACL para Nombre route r r
ot
eu _RD
denegar el tr fico desde Jeff's equipo de llegar a La interfaze F
_0
George's equipo?
Nombre route r r
o
e
tu _rF
2. En caso de que usted coloque una lista de acceso
extendida para
Permitir tráfico de Jackie del equipo para llegar a Interface FA1
Linda en la computadora?
3. En caso de que usted coloque una lista de 12. En caso de que usted
acceso extendida para denegar el tráfico a Carrol's coloque una lista de acceso
equipo de Ricky's equipo? extendida para denegar el tráfico
de Linda en la computadora
4. En caso de que usted coloque una lista de llegue a Jenny's equipo?
acceso extendida para denegar el tráfico a Sarah
equipo desde el equipo de Jackie?
1
Nombre del router Interface
1
Elegir para filtrar los paquetes entrantes o
salientes de
listas de acceso en el puerto entrante...
...requiere menos CPU.
...denys y filtros de paquetes antes de que el router tiene que
hacer una decisión de enrutamiento.
Aut nomo
Direcci
1 a 99
Permitir o Direcci
10
Desglose de una ACL extendida Declaración
Protocol
o icp,
ICMP,
TCP, Fuente Destino M
UDP, IP máscara áscara
Número
Etc
autónoma comodín comodín
.
del 100 al
199
Número
Protocol
puerto
o icp,
ICMP, (23 = telnet)
TCP,
Número UDP, IP Indica Direcci
autónoma Etc un host ón de
del 100 al . específico. destino
199
12
¿Qué son las listas de control de acceso
nombradas?
Las ACL nombradas...
...son estándar o las ACL extendidas que tienen un nombre
alfanumérico en lugar de un número. (ej. 1-99 o 100-199)
11
if)# exit
Router(config)# exit
14
Aplicación de una extensa lista de acceso
nombrada "Gracie"
Escriba un nombre de lista de acceso extendida denominada "Gracie" en el Router A, Interfaz E0 llamado "Gracie" para
negar el tráfico HTTP diseñado para servidor web 192.168.207.27, sino que permitirá a todos los demás el tráfico HTTP
para llegar a la única red 192.168.207.0. Negar el resto de tráfico IP. Tenga en cuenta que pueden existir múltiples
maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Ejemplo 1
Dirección: 192.168.50.0 Máscara de subred:
255.255.255.0.
Ejemplo 2
Dirección: 172.16.0.0 255.255.0.0 Máscara de subred:
Ejemplo 3
14
Dirección: 10.0.0.0: Máscara de subred 255.0.0.0
15
3. Coincide con un intervalo específico
Ejemplo 1
Dirección: 10.250.50.112: Máscara de subred
255.255.255.224
255. 255.255.255
Máscara de subred personalizada: -
255. 255.255.224
Comodín: 0. 0. 0. 31
Access-list 125 permitir cualquier 0.0.0.31 10.250.50.112
UDP
Ejemplo 2
Rango de direcciones: 192.168.16.0 a 192.168.16.127
192. 168. 16.127
-192. 168. 16. 0
Comodín: 0. 0. 0.127
Access-list 125 deny ip 192.168.16.0 0.0.0.127
cualquiera (esta ACL se bloquearía la mitad inferior
de la subred).
Ejemplo 3
Dirección: a 172.250.31.63 172.250.16.32
172. 250. 31. 63
-172. 250. 16. 32
Comodín: 0. 0. 15. 31
17
La creación de Máscaras comodín
Al igual que una máscara de subred la máscara comodín indica al
router qué parte de la dirección para verificar o ignorar. Cero (0)
deben coincidir exactamente, uno (1) será ignorado.
Example #1:
Dirección IP y máscara de 204.100.100.0 255.255.255.0
Dirección IP y máscara 204.100.100.0 0.0.0.255
Example #2:
10.10.150.95 0.0.0.0 (Esta dirección debe coincidir exactamente).
Example #3:
10.10.150.95 0.0.0.255 (Cualquier dirección de subred 10.10.150.0
coincidirán.
10.10.150.0 a 10.10.150.255)
Example #4:
Dirección IP y máscara de subred:
192.170.25.30 255.255.255.224
Dirección IP y máscara comodín: 192.170.25.30 0.0.0.31
(restar de la máscara de subred
255.255.255.255 para crear el comodín)
Example #5:
Dirección IP y máscara de 172.24.128.0 255.255.128.0
Dirección IP y máscara 172.24.128.0 0.0.127.255
19
12. Crear una máscara comodín para coincidir
con este rango. Dirección IP:
135.35.230.32
Máscara de subred: 255.255.255.248
20
Problemas de máscara
comodín
Sobre la base de la información dada la lista de direcciones de origen o el
rango utilizable de origen utilizable Las direcciones que se pueden
permitir o denegar para cada acceso
La sentencia de la lista.
Respuesta: 1_9
2
.1
6_8
5
0
.1
5
0
Respuesta: nsd
e
rs _s
d
3. Access-list 125 deny tcp host 172.168.10.1 195.223.50.0 0.0.0.63 fragmentos
Respuesta: 1_9
523
.2
.5
0.1 to
1
_9
52
3.2
.5
0.63
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
21
Respuesta:
22
11. Access-list 110 permit ip 192.168.15.0 192.168.30.10 0.0.0.3 0.0.0.0
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
23
Respuesta:
24
Problemas de máscara
comodín
Sobre la base de la información dada la lista de direcciones de destino
utilizables o rango de direcciones de destino utilizables que estarían
permitidos o denegados para cada
Sentencia de lista de acceso.
Respuesta: 1_7
2.1
68.10
1.
Respuesta: nsd
e
rs _s
d
3. Access-list 150 permit ip 192.168.30.10 0.0.0.0 192.168.15.0 0.0.0.63
Respuesta: 1_9
2
.1
6_8
.1
5
.1 to
1
_9
21
6
8.15
63.
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
Respuesta:
25
Respuesta:
26
Escribir
Las listas de acceso
estándar...
Un router
172.16.70.1 192.168.90.2
E1
E0 S0
El equipo de
Equipo de 210.30.28.0 Jim
Frank
172.16.70.32 192.168.90.36 El equipo
de Kathy
Melvin's 192.168.90.38
Equipo
172.16.70.35
22
Lista de acceso estándar muestra #2
Escribir una lista de acceso estándar para bloquear Jim's equipo envíe información al equipo de
Frank; pero permitirá que el resto del tráfico de la red 192.168.90.0. Permitir todo el tráfico desde
el
Red 210.30.28.0 a alcanzar la red 172.16.70.0. Denegar todo el tráfico. Tenga en cuenta que
pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser
escrito.
[Deshabilitar ACL's]
un
El Router B
S1 FA1
FA0
Interfaz:
Access-list #:
Router(config)#
O
Router(config)#
O
Router(config)# interface
24
25
Lista de acceso estándar problema nº 2
Escribir una lista de acceso estándar para permitir Debbie's equipo para recibir
información de Michael's equipo; pero denegar todo el tráfico de la red 223.190.32.0.
Bloquear todo el tráfico de la red 172.16.0.0. Permitir todo el tráfico. Lista de todas las
opciones de línea de comandos para este problema. Tenga en cuenta que pueden
existir múltiples maneras muchas de las declaraciones individuales en una ACL puede
ser escrito.
Interfaz:
Access-list #:
Router(config)#
O
Router(config)#
Router(config)#
Router(config)#
O
Router(config)# interface
Router(config)# interface
24
Un
router
204.90.30.124 E0
S0 El
Jim's
S1 FA1 equipo
Interfaz:
Access-list #:
Router(config)#
27
Router(config)# interface
Router(config)#
Router(config-std-nacl)#
Router(config-std-nacl)# interface
Router(config)# interface
172.30.225.2 212.180.10.6
172.30.225.3 212.180.10.2
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
28
Router(config-if)# exit
Router(config)# exit
29
Lista de acceso estándar problema nº 6
Escribir una lista de acceso estándar para bloquear y registrar desde 212.180.10.2
172.30.225.0 enviar información a la red. 212.180.10.6 permiso y registro para enviar datos
a la red 172.30.225.0. Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples
maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
(Compruebe el ejemplo en la página 10 para obtener ayuda con la opción de registro).
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
30
Router(config-if)# ip access-group In o fuera (rodee con un
círculo)
Router(config-if)# exit
Router(config)# exit
31
El router C
Un router
S1
S0 FA0
FA0 S1 El 198.32.10.25
192.168.15.172 Router B
S0
FA1
210.140.15.1
192.168.15.3 198.32.10.25
210.140.15.8
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
32
Router(config-if)# exit
Router(config)# exit
33
Lista de acceso estándar problema #8
Escribir una lista de acceso nombrada estándar llamado "Cisco_Lab_A" para permitir el
tráfico desde la mitad inferior de la red 198.32.10.0 a alcanzar la red 192.168.15.0; bloquear
la mitad superior de las direcciones. 198.32.10.192 host permiten llegar a la red
192.168.15.0. Permitir todo el tráfico. Para obtener ayuda con este problema, revise la página
13 o de las m scaras wildcard problemas en las páginas 16 y 17. Para obtener asistencia con
las ACL nombradas revise las páginas 12 y 13.
Router(config)#
Router(config-std-nacl)#
Router(config)# interface
34
Router(config-std-nacl)# interface
Router(config-if)# exit
Router(config)# exit
35
Lista de acceso estándar problema #9
Escribir una lista de acceso estándar para bloquear la red 192.168.255.0 de recibir
información de las siguientes direcciones: 10.250.1.100, 10.250, 10.250.2.1.4.1, y toda la
red 255.255.255.0 10.250.3.0. Permitir que el resto del tráfico. Tenga en cuenta que
pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.
Interfaz: F
_0
Access-list #:
Router(config)#
32
Router(config-if)# exit
Router(config)# exit
Router(config-if)# exit
Router(config)# exit
37
Escribir
Las listas de acceso
extendidas...
32
Un router
34
172.16.70.1 192.168.90.2
FA1
FA0
El El
equipo de equipo de
John's La Celeste
Equipo 172.16.70.32 192.168.90.36 Equipo
172.16.70.35 192.168.90.38
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un círculo)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar o Permitir direcciones
Escribir una lista de acceso extendida para bloquear la red 172.20.70.0 255.255.255.0 de recibir información desde el equipo de
Jackie en 192.168.122.129. Bloquear la mitad inferior de las direcciones IP de red 192.168.122.0 lleguen a Cindy ordenador a
172.20.70.89. Permitir todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones
individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un círculo)
37
Router(config-
if)# exit Router(confi
g)# exit Router# copy
run start
El Router
38
E0 A
218.35.50.1
El
equipo de Juan
218.35.50.12 S1 Rebecca
en
Jan's equipo Rachael's
Equipo Router B FA1 Equipo
218.35.50.10 172.59.2.1 172.59.2.18
Router(config)#
Router(config-ext-nacl)#
Router(config-ext-nacl)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un círculo)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar o Permitir direcciones
Escribir una lista de acceso extendida para permitir al equipo de Juan 218.35.50.12 para enviar información a Rebecca en
equipo en 172.59.2.15; pero no Rachael's equipo en 172.59.2.18. Permitir todo el tráfico. Tenga en cuenta que pueden existir
múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un círculo)
Router(config-
39
S0 El
Router B
E0
Ralph's
computadora
E1 Ordenado
Cindy
192.16.20.7 192.16.20.5 r de Bob El
Equipo equipo de
192.16.20.6 192.18.50.10 192.18.50.12
Router# show configuration (Esto mostrará los grupos de acceso que se asocian
con determinadas interfaces)
Router# show access list 111 (Esto mostrará información detallada acerca de esta
ACL)
Lista de acceso extendido Denegar/Permitir intervalos
Escribir una lista de acceso extendida para bloquear la red 192.18.50.0 de recibir información de la red 192.16.20.0. Permitir
todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL
puede ser escrito.
S0 Rebecca
S1 en
Equipo de Todd
Rachel's equipo
Equipo 204.95.150.12 FA1 Equipo de
204.95.150.10 El 172.59.2.1 172.59.2.18
Router B
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar/Permitir intervalos
Escribir una lista de acceso extendida para permitir Rachel's ordenador a 204.95.150.10 para recibir información desde la red
172.59.0.0. Denegar todos los otros hosts en la red 204.95.150.0 el acceso desde la red 172.59.2.0. Permitir todo el tráfico.
Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser
escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config-if)# iipp aacccceessss--ggrroouupp nrtro ot (fu
ineo
D cierrcale(o
rond
ee) e con un círculo)
43
Roouutteerr((ccoonnffiigg
--if)# exit
Rfo)u#te
i exrit(R
cou nftiegr)(#ceoxn
itfi
g)# exit Router# copy
run start
Un router El Router B
44
E0 S0 E1
172.120.170 S1 192.168.50.2
.45
E1 S0
Tommy's Equipo Tim's
172.120.170.45
Phyllis's Denise's
Equipo 210.168.70.0 Equipo Equipo
172.120.170.45 10.250.1.0 192.168.50.3 192.168.50.4
Router(config)#
Router(config-ext-nacl)#
Router(config-ext-nacl)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar/Permitir intervalos
Suponiendo que las máscaras de subred predeterminadas escribir una lista de acceso extendida para permitir Tim a
192.168.50.3 para recibir datos desde la red 172.120.0.0. Permitir que la red 192.168.50.0 para recibir información desde su
equipo a Phyllis 172.120.170.45. Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de
las declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Routteerr((ccoonnffiigg--if)# exit
Rf
i o)
u#te
exrit(R
con ufti egr)(#ceoxn
it fi
g)# exit Router# copy
run start
Un
46
S0 El
FA0 S1
192.168.15.20 E1 1
Jim's Carol
Equipo 72.21.50.95 Equipo
Rodney Equipo de
del equipo 192.168.15.43 172.21.50.96 Frank
192.168.15.44 172.21.50.97
Router# show access list 185 (Esto mostrará información detallada acerca de esta
ACL)
Lista de acceso extendido Denegar o Permitir un intervalo de
Escribir una lista de acceso extendida que permitirá la mitad inferior de la 192.168.15.0 el acceso de red a la red 172.21.50.0.
Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una
ACL puede ser escrito.
192.168.195.90 192.168.125.254
E0 E1
S0
El El
La
equipo de 172.31.195.0 equipo de
El equipo
computad 192.168.195.145 192.168.125.17 celeste
ora de
John
192.168.125.108
192.168.195.88
Interfaz:
Access-list #:
Router(config)#
Router(config-if)# exit
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un círculo)
Lista de acceso extendido problema #10 Denegar o Permitir un intervalo de
direcciones
Escriba un nombre de lista de acceso extendida denominada "Media_Center" para permitir que el rango de direcciones a través
de 172.31.195.7 172.31.195.1 para enviar a la red 192.168.125.0 fecha. Denegar todo el tráfico. Tenga en cuenta que pueden
existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Router(config-ext-nacl)#
Router(config-ext-nacl)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un círculo)
49
Router(config-if)# exit
if)# exit Router(confi
g)# exit Router# copy
run start
50
192.16.20.5 Un El router
router C
FA0 S0
S1 FA1
S1
172.18.50.10
El equipo
Ralph's de Jill Bob's
172.22.75.9
Equipo
S0 el Router Equipo
B
Cindy 192.16.20.7 172.18.50.11 Barbra's
Equipo
Equipo E1 El equipo de
192.16.20.6 Brad 172.18.50.12
172.22.75.8
172.22.75.10
Lista de acceso extendido problema #11 Denegar o Permitir un intervalo de
direcciones
Escribir una lista de acceso extendida para permitir los primeros 3 direcciones utilizables en la red 192.16.20.0 a alcanzar la red
172.22.75.0. Denegar las direcciones desde 192.16.20.4 a 172.22.75.0 192.16.20.31 lleguen a la red. Permitir todo el tráfico.
Tenga en cuenta que hay varias maneras esta ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Lista de acceso extendido problema #12 Denegar o Permitir un intervalo de
direcciones
Escribir una lista de acceso extendida para denegar las direcciones desde 172.22.75.127 172.22.75.8 a través del envío de
datos a la red 172.18.50.0. Negar la primera mitad de las direcciones de la red 172.22.75.0 lleguen a la red 192.16.20.0. Permitir
todo el tráfico. Tenga en cuenta que hay varias maneras esta ACL puede ser escrito.
Interfaz:
Access-list #:
RRoouut
teerr((cconofnifgi )#g)i#ntienrtfearcfa
e ce
R o ut e r ( c on f i g
Router(config-if)# icpces - if ) # i p a acsc-egsrso-g
up
roup in D oturto(c
oren oirfculeeraon
(reo)dee con un círculo)
51
RRoouut
ter( (ccoonnffiigg--if)# exit
if)# exit Router(confi
g)# exit Router# copy
run start
Un router El Router B
52
FA0 S0 FA1
172.16.70.1 S1 192.168.88.1
FA1 FA0
Ordenador de Peggy's
Bob Equipo
El equipo 172.16.70.155 El equipo de
celeste
192.168.88.200 Denise
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Lista de acceso extendido problema #14 Denegar/Permitir un intervalo de
direcciones
Escribir una lista de acceso extendida para denegar las direcciones de 10.250.1.63 10.250.1.0 a través del envío de datos a
Denise su equipo. Permitir todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones
individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
S0 El Router B
E0 S1
Servidor
192.168.207.25 E1 Web Server
192.168.207.26 210.128.50.12
Router# show configuration (Esto mostrará los grupos de acceso que se asocian
con determinadas interfaces)
Router# show access list 198 (Esto mostrará información detallada acerca de esta
ACL)
Lista de acceso extendido Denegar o Permitir números de
Escribir una lista de acceso extendida para permitir pings en cualquier dirección entre hosts de la 210.128.50.0 192.168.207.0 y
redes. Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales
en una ACL puede ser escrito.
E0 S0 E1
172.20.70.1 S1 192.168.33.1
E1 E0
Ordenador de Peggy's
Bob Equipo
El equipo 192.30.76.155 El equipo de
celeste
192.168.33.210 Denise
10.250.2.0 FA1
S1 192.128.45.8
FA0
E1 Bill's
S0 equipo
El
El
equipo de Jackie
E0 192.128.45.33 equipo de
172.16.125.1 10.250.8.0 Jennifer
Un router
Lista de acceso extendido problema #15 Denegar/Permitir un números de
puerto
Escribir una lista de acceso extendida para permitir el tráfico ICMP desde la red 192.128.45.0 para llegar a la 255.255.255.0 y
172.16.125.0
10.250.2.0 255.255.255.0 redes. Denegar todo el tráfico. Tenga en cuenta que pueden existir múltiples maneras muchas de las
declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)#
Router(config-ext-nacl
Router(config-ext-nacl)# interface
Router(config-if)# ip access-group
59
Servidor Web #1 S0 El
203.194.100.102 S1 equipo de
Becky
Servidor Web #2 El
FA1 Equipo de
203.194.100.101 El Router B 172.60.18.1 172.60.18.142
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar o Permitir
Escribir una lista de acceso extendida para denegar todo el tráfico HTTP diseñado para el servidor web en 203.194.100.102.
Permitir el tráfico HTTP a cualquier otros servidores web. Denegar todos los demás tráfico IP 203.194.100.0 a la red. Tenga en
cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
RRo
ouutteerr((ccoonnffi
igg)
)##iinntteerrffaaccee
RRouter(config
o u t e r ( c o n f i g--i iff))# ipaacccceessss--ggrroouupp
#ip inenotrro uot f(uceirrcale(roondee)e con un círculo)
D
RRoouutteerr((ccoonnfifg
i-g-if)# exit
iRfo)u#teexrit(Rcoountfe
irg)(#
61
coexnitfi
g)# exit Router# copy
run start
62
El Router A
S0 El
E0 S1
E1
192.168.15.25 E1
Bobbie's Servidor Web
Equipo 172.23.50.195 #2
Servidor Web #1 El equipo
192.168.15.82 192.172.10.0 de Gail
192.168.15.125
172.23.50.197
Interfaz:
Access-list #:
Router(config)#
Router(config)# interface
Router(config-if)# ip access-group in or out (circle one)
Router(config-if)# exit
Router(config)# exit
Lista de acceso extendido Denegar o Permitir
Escribir una lista de acceso extendida que permite que el tráfico de la web desde el servidor web #2 en 172.23.50.196 para
llegar a todos en la red 192.168.15.0. Denegar todos los demás tráfico IP a la 192.172.10.0, y 192.168.15.0 redes. Tenga en
cuenta que pueden existir múltiples maneras muchas de las declaraciones individuales en una ACL puede ser escrito.
Interfaz:
Access-list #:
Router(config)# interface
Router(config-if)# ip access-group Dentro o fuera (rodee con un círculo)
Router(config-
63
Router# config t
Router(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 cualquier
Router(config)# access-list 100 deny ip 172.16.0.0 0.0.255.255 cualquier
Router(config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 cualquier
Router(config)# access-list 100 deny ip 127.0.0.0 cualquier 0.255.255.255
Router(config)# access-list 100 deny ip 224.0.0.0 31.255.255.255
cualquier router(config)# access-list 100 deny ip su subred-# Tu subnet-mask-
# cualquier router(config)# access-list 100 deny any IGMP
Router(config)# access-list 100 deny any redirección ICMP
Router(config)# access-list 100 permit any cualquier
Router(config)# interface E0 (o cualquiera que sea su puerto entrante
es)
Router(config-if)# ip access-group
en router(config-if)# exit
Router(config)# exit
Otra útil herramienta de seguridad es permitir sólo los paquetes IP de su red con la
dirección de origen.
Router# config t
Router(config)# access-list 100 permit ip su subred-# Tu subnet-mask-
# cualquier router(config)# interface E0 (o cualquiera que sea el
puerto de salida está) router(config-if)# ip access-group out
Router(config-if)#
exit router(config)#
exit
Para mantener los paquetes con destinos inalcanzables entren en su red agregar este comando: ip route
Para proteger contra pitufo y otros ataques agregar los siguientes comandos para cada interfaz externa:
No ip broadcast dirigida
no ip origen-ruta
Feria-cola
Intervalo de scheduler 500
64
Index / Tabla de contenido
Números Access-List.......................................................................Cubierta
interior
¿Qué son las listas de control de acceso?. ..................................................... 1
Listas de acceso información general ............................................................. 1
How routers use Access Lists ......................................................................... 1
Standard Access Lists ...........................................................................................2
¿Por qué las ACL estándar debe colocarse cerca del destino. ...................... 2
Standard Access List Placement Sample Problems ........................................ 3
Los problemas de colocación de lista de acceso estándar .......................... 4-5
Extended Access Lists .................................................................................... 6
¿Por qué las ACL extendidas deben colocarse cerca del destino. .................. 6
Extended Access List Placement Sample Problems ....................................... 7
Lista de acceso extendido los problemas de colocación. .............................8-9
Elegir para filtrar los paquetes entrantes o salientes ..................................... 10
Desglose de una sentencia ACL estándar .................................................... 10
Desglose de una ACL extendida Declaración ............................................... 11
Lo que se denominan listas de control de acceso .............................................. 12
Listas de acceso nombradas información ........................................................... 12
Applying a Standard Named Access List called “George”. .............................12
Applying an Extended Named Access List called “Gracie” ............................ 13
Choices for Using Wildcard Masks........................................................... 14-15
Creating Wildcard Masks .............................................................................. 16
Wildcard Mask Problems ......................................................................... 18-20
Escribir listas de acceso estándar ................................................................. 21-32
Escribir listas de acceso extendidas ........................................................ 33-63
Denegar o Permitir direcciones específicas .................................... 33-39
Denegar o Permitir intervalos enteros ............................................. 40-45
Denegar o Permitir un intervalo de direcciones............................... 46-53
Denegar o Permitir números de puerto. ...........................................54-63
Optional ACL Commands. .............................................................................64
Index / Table of Contents ...............................................................................65
Los números de puerto...............................................................................66-
Cubierta interior
65
66
Los números
de puerto
Los números de puerto son asignados por la ICANN (Internet Corporation for
Assigned Names and Numbers). TCP y UDP utilizados comúnmente las
aplicaciones se les asigna un número de puerto; tales como: - 80 HTTP,
POP3 , FTP - 110 - 20. Cuando una aplicación se comunica con otra
aplicación en otro nodo en la internet, se especifica que la aplicación en cada
transmisión de datos mediante el uso de su número de puerto. También
puede escribir el nombre (ej. Telnet) en lugar del número de puerto (ie. 23).
Intervalo de números de puertos desde 0 hasta 65536 y se dividen en tres
gamas:
0 Reservados
1 TCPMUX (Servicio Multiplexor Puerto
5 RJE (Remote Job Entry)
7 ECHO
9 Desechar
11 SYSTAT (Usuarios Activos)
13 Día
17 Cita (Cita del día)
18 MSP (protocolo de envío de
19 CHARGEN. (generador de caracteres)
20 FTP-DATA (Protocolo de transferencia de
21 FTP ( Protocolo de transferencia de
22 SSH (Protocolo de inicio de sesión
23 Telnet (Conexión de terminal)
25 SMTP (Protocolo simple de
29 MSG ICP
66
37 Tiempo
39 RLP (Protocolo de Ubicación de
42 NAMESERV Nombre del host (servidor)
43 NICNAME (quién es)
49 LOGIN Protocolo de Host (Login)
53 El DNS (Domain Name Server).
67 BOOTP (Bootstrap Protocol Server).
68 BOOTPS Protocolo Bootstrap (Cliente).
69 TFTP ( Protocolo Trivial de Transferencia de archivos)
70 GOPHER (Servicios Gopher )
75 (Cualquier Privite servicio dial-out)
79 Dedo
80 HTTP ( Protocolo de transferencia de hipertexto)
95 SUPDUP SUPDUP (protocolo)
101 HOSTNAME (NIC Host Name Server).
108 SNAGAS Access Gateway (SNA Server).
109 POP2 (Post Office Protocol, versión 2)
110 POP3 (Post Office Protocol, versión 3).
113 AUTH (Authentication Service)
115 SFTP ( Protocolo de transferencia simple de archivos)
117 Ruta UUCP (Servicio de ruta UUCP)
118 SQLSERV (Servicios de SQL)
119 NNTP (grupo de noticias)
123 NTP ( Tim) Protocolo de red
137 NetBIOS-NS (Servicio de nombres de NetBIOS)
139 NetBIOS-SSN (El servicio de sesión NetBIOS )
143 IMAP (Protocolo de acceso a correo provisional)
150 SQL-NET (El servicio de sesión NetBIOS)
156 SQLSRV (SQL Service)
161 SNMP (Simple Network Management Protocol)
179 BGP (Border Gateway Protocol)
190 GACP Protocolo de Control de acceso (Gateway)
194 IRC (Internet Relay Chat).
197 DLS Ubicación de directorio (Servicio).
389 LDAP (Protocolo ligero de acceso a directorios)
396 IP de Netware (Novell Netware sobre IP )
443 HTTPS (HTTP MCom)
444 SNPP (Protocolo simple de paginación de red)
445 Microsoft-DS
458 Apple QuickTime
546 Cliente DHCP
547 Servidor DHCP
563 SNEWS
569 MSN
68 Cubierta interior