  |
| TOPOLOGÍA REFERENCIA [https://i.imgur.com/WqtpC2j.png] |
Las Listas de Acceso (ACL=Access List), son utilizadas en su mayoría de veces para bloquear y permitir acceso a ciertos segmentos dentro de una red.
Existen dos variaciones de estas listas de acceso:
1-Las listas de acceso estándar (ACL STANDARD)
2-Las listas de acceso extendidas (ACL EXTENDED)
Se caracterizan porque las ACL estándar se limitan a solo ejecutar reglas que se restrinjan a una dirección IP con la que trabajara ya sea, nuevamente, bloqueándola o permitiendola en aquel segmento de la red que se desee asignar la lista.
Para especificar las direcciones con la que deberá trabajar la ACL se hace uso de la Wildcard, la que en palabras simples se puede definir cómo; la máscara VLSM pero invertida ya que esta es requerida para especificar el número de hosts existentes dentro de una red.
Cada ACL se debe colocar donde tenga más impacto en la eficiencia
- ACL extendidas: colocar las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.
- ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible. Si coloca una ACL estándar en el origen del tráfico, evitará de forma eficaz que ese tráfico llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.(cosa que se hará este ejemplo)
La edición de una ACL requiere especial atención. Por ejemplo, si se intenta eliminar una línea específica de una ACL numerada (no ip access-list 1-199), se eliminará la ACL entera.
En este laboratorio veremos la creación y configuración de una ACL (Access Control List/Lista de Control de Acceso) estándar, la cual utilizaremos para bloquear la entrada (in) de un virtual pc para que este no tenga comunicación con el resto de la topología, pero el resto si tenga comunicación con el.
Iniciaremos por el Router R2:
R2(config)#int s2/0
R2(config-if)#ip add 192.168.0.1 255.255.255.0
R2(config-if)#no shut
R2(config)#ip route 10.0.0.0 255.255.255.0 192.168.0.2
Pasaremos al Router R1:
R1(config)#int s2/0
R1(config-if)#ip add 192.168.0.2 255.255.255.0
R1(config-if)#no shut
R1(config)#access-list 1 deny 10.0.0.3 0.0.0.0 *Wildcard=TODO CERO YA QUE ES UN HOST ESPECIFICO, de lo contrario (wildcard=0.0.0.255)se bloquearía toda la red perteneciente a 10.0.0.0
R1(config)#access-list 1 permit any [permitir conexión por parte de cualquiera (el resto), esto se hace para que PC1 si tenga conexión en este ejemplo]
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.1 255.255.255.0
R1(config-if)#ip access-group 1 in
R1(config-if)#no shut
Estructura:
-access-list (número) deny (ip) (wildcard)
ejemplo: access-list 1 deny 10.0.0.2 0.0.0.255 [wildcard de /24]
*Las listas de acceso pueden ser creadas de las siguiente formas igualmente=
-access-list (número) deny host (ip)
(wildcard)
-ip access-list standar (número) deny (ip)
-ip access-group (número de lista creada) (in/out)
para asignar la ACL a una interfaz y si debiese de
aplicarse a las peticiones de entrada (in) de la ip bloqueada o las de
salida (out).
*Número de lista para las estándar es desde 1-99 y para las extendidas es 100-199
*Número de lista para las estándar es desde 1-99 y para las extendidas es 100-199
PC1:
PC1>ip 10.0.0.2 255.255.255.0 10.0.0.1
PC2:
PC2>ip 10.0.0.3 255.255.255.0 10.0.0.1
Comprobar configuraciones viendo si se prohíbe conexión para PC2 donde probaremos con un ping si existe conexión con el Router R2:
*Debería de salir algo así (primer ping sin la ACL activa, segundo ping con ACL"ip access-group 1 in" puesto):PC2>ping 192.168.0.2
Comprobar conexión viendo si existe conexión por parte de PC1 hacia PC2 (igualmente un ping desde R1 o R2 seria valido):
PC1>ping 10.0.0.3
Comprobar configuraciones desde Router R1 con el comando:
R1#show ip access-list
Comando adicionales vistos en esta configuración:
-IP ADD
-HOSTNAME
-IP ROUTE
Comentarios
Publicar un comentario