Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porMiguela Reyna Modificado hace 10 años
1
111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID
2
2 © 2004, Cisco Systems, Inc. All rights reserved. Session Number Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Título Título Listas control de acceso (ACL) Gracias A: Luis Eduardo Ochaeta Módulo 2 Capítulo 11 Curriculum: CCNA
3
333 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 3 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
4
444 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 4 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
5
555 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Objetivos CCNA 640-801 ICND 640-811
6
666 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Introducción Que son las ACLs? Limita el tráfico Control de flujo Segmentación Seguridad
7
777 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com ¿Cómo funcionan?
8
888 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Números para las ACLs
9
999 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 9 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
10
10 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Wilcard Mask Regla 0 verificar 1 no verificar
11
11 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Ejemplo: Verificando la dirección de red 10.0.0.0 subnet/mask: 255.0.0.0 wilcard/mask: 0.255.255.255 172.16.0.0 subnet/mask: 255.255.0.0 wilcard/mask: 0.0.255.255 192.168.1.0 subnet/mask: 255.255.255.0 wilcard/mask: 0.0.0.255 OJO: la wilcard mask en este caso es lo contrario a la mascara de subred Ejemplo extra: verificando la subred 25.0.0.0 (se están prestando 4 bits para hacer 16 subredes) Subnet/mask: 255.240.0.0 Subnet/mask (en binario) 11111111.11110000.00000000.00000000 Wildcard/mask:0.15.255.255 Wildcard/mask (en binario) 00000000.00001111.11111111.11111111
12
12 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Ejercicio 192.168.0.10 192.168.0.11 ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? -A una PC de la LAN? 0.0.0.255 0.0.0.0
13
13 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 13 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
14
14 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com ACL estandard Parámetros Dirección IP origen Número de ACL (1 - 99) Permitir o denegar (permit/deny)
15
15 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Implementación access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255 !(Nota: cualquier otro acceso está implícitamente denegado) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out Out In En modo de configuración global En modo de configuración de interface
16
16 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Ejercicio 192.168.0.10 192.168.0.11 ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? -Una Pc de la LAN? -Escriba la ACL para permitir paso de paquetes de la LAN hacia la WAN 168.200.5.0
17
17 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 17 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
18
18 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com ACL extendida Algoritmo Parámetros Dirección IP origen Wildcard mask origen Dirección Ip destino Wildcard mask destino Protocolo Permit / Deny
19
19 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Implementación Router(config)# access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask operator operand] Router(config-if)# ip access-group access-list- number {in | out} Sintaxis
20
20 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Ejercicio Una Subred y dos PCs en la primera mitad y dos PCs en la segunda mitad. WebServer 172.16.0.0 255.255.255.0 192.168.11.0 255.255.255.0 ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? -La LAN de la derecha? Escriba la ACL para denegar paso de paquetes de la PC1 hacia la WAN
21
21 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 21 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
22
22 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com ACLs nombradas Ejemplo
23
23 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 23 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
24
24 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Ubicación de las ACLs NOTA: esta regla siempre aplica si se están utilizando subinterfaces
25
25 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 25 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
26
26 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Verificación
27
27 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 27 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
28
28 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Recomendaciones Configurar las ACLs en routers fronterizos Configurar las ACLs para permitir conexiones consideradas aceptables y denegar todas las demás El mejor lugar para definir una ACL es en un host, mediante un editor de texto Utilice la palabra clave established, si existe la posibilidad que que se produzca coincidencia si el datagrama TCP tiene establecidos los bits de acuse de recibo (ACK). OJO: Si se usan filtros de entrada sólo en la interfaz que sale desde el router al mundo exterior, no se verá reducido el rendimiento de la redes internas.
29
29 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 29 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones Nota extra
30
30 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Nota extra Listas de control de acceso basadas en el tiempo Comando Remark Asegurando el acceso al router por la Terminal Virtual Asegurando el acceso al router por Web Lock–and-Key
31
31 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Listas de control de acceso basadas en el tiempo Utilizando el comando Time-range es posible configurar una lista de control de acceso para que verifique la hora de activación.
32
32 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Remark Para crear una breve descripción de la ACL se utiliza el comando remark para IOS (12.0.2(T) en adelante).
33
33 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com VTY Ud puede crear una ACL para poder filtrar el tráfico de acceso al Router por una de las 5 terminales virtuales, asignando la ACL con el comando access-class. Lab_A(config)#access-list 5 permit 200.100.50.0 0.0.0.255 Lab_A(config)#access-list 5 permit host 192.168.1.1 Lab_A(config)#line vty 0 4 Lab_A(config-line)#access-class 5 in
34
34 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Asegurando el acceso por Web Además de asegurar el acceso por terminales virtuales, podemos asegurar la entrada al router para la interface Web del Router. LAb_A(config)#access-list 17 permit 202.206.100.0 0.0.0.255 LAb_A (config)#ip http server LAb_A (config)#ip http access-class 17
35
35 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com Lock and Key Lock and Key es una herramienta dentro del router que nos permite abrir un agujero en el Firewall sin comprometer la seguridad de nuestra red interna, esto se hace a travez de la configuración de una ACL dinámica, para que en el momento de autenticarse el usuario, no se verifique la IP y así la ACL no deniegue los paquetes.
36
36 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. http://cisco.mayanearth.com © 2004, Cisco Systems, Inc. All rights reserved. 36 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones Nota extra
37
37 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID http://cisco.mayanearth.com
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.