Sesion 15 ACL Standard

ACCESS CONTROL
LIST (ACL)
STANDARD
ACL STANDARD
Las ACL estándar no especifican direcciones destino, de
manera que se debe colocar la ACL estándar lo más cerca
posible del destino.

FORMATO DE UNA LISTA DE ACCESO ESTANDAR
La sintaxis completa del comando es:
Router(config)# access-list Nro-ACL {deny | permit} origen

[origen-wildcard] [log]
Ejemplo:
Router(config)# Access-list 10 permit 192.168.3.20

Se usa la forma no de este comando para eliminar una ACL
standard.
Router(config)# no access-list Nro-ACL

FORMATO DE UNA LISTA DE ACCESO ESTANDAR
Parámetro Descripción
Nro-ACL Número de una ACL. Este es un numero decimal de 1-99 (para una
ACL IP estándar).
Deny Deniega el acceso si las condiciones concuerdan.
Permit Permite el acceso si las condiciones concuerdan.
Origen Número de la red o del host desde el que se envía un paquete. Hay
dos formas de especificar el origen:
 Utilizar una cantidad de 32 bits en un formato de cuatro partes
decimal separado con puntos.
 Se utiliza la palabra clave any como una abreviatura del origen y de
la wildcard origen de 0.0.0.0 255.255.255.255.
Origen-wildcard (opcional) Los bits wildcard para aplicar al origen. Hay dos formas de
especificar el wildcard origen:
 Utilizar una cantidad de 32 bits en un formato de cuatro partes
decimal separado con puntos. Coloca unos en las posiciones de bit
que desea ignorar.
 Se utiliza la palabra clave any como una abreviatura del origen y de
la wildcard origen de 0.0.0.0 255.255.255.255 (Opcinal) hace que se
visualice en la consola un mensaje de conexión informativo acerca
del paquete que concuerda con la entrada que se envía a la consola
(el nivel de los mensajes conectados a la consola se controla con
el comando logging console).
VERIFICACION Y CONTROL DE LISTA DE ACCESO
El comando show ip interface muestra información de la

interfaz ip e indica si a configurado una lista de acceso para
dicha interfaz.
Su sintaxis es la siguiente:
Router# show ip interface <tipo de interfaz nro de interfaz>
Ejemplo:
Router# show ip interface fastethernet 0/0

VERIFICACION Y CONTROL DE LISTA DE ACCESO
El comando show access-list, muestra el contenido de todas

las listas de acceso de un router. Su sintaxis es la siguiente:
Router# show {protocolos} access-lists {Nro-ACL/Nombre de lista}
Ejemplo:
Router# show Standard ip access-lists 1 permite 200.20.20.3

deny 200.20.20.0 0.0.0.255
Listas de Acceso
192.168.1.0 / 24 192.168.2.0 / 24
WAN
192.168.1.0 IP: 192.168.3.0
Mask. 255.255.255.0
Router A Router B
192.168.1.3 S0/0 PPP
.1 S0/0 .1
.1 192.168.2.3
out .2 out
access-list 10 deny host 192.168.2.3 access-list 20 deny host 192.168.1.3

access-list 10 permit any access-list 20 permit any
… ….
interface fastethernet 0/0 interface fastethernet 0/0
ip access-group 10 out ip access-group 20 out
RouterA (DTE)
Router> enable
Router# configure terminal
RouterA(config)# interface fastethernet 0/0
RouterA(config-if)# ip address 192.168.1.1 255.255.255.0
RouterA(config-if)# no shutdown
RouterA(config-if)# exit
RouterA(config)# interface serial 0/0
RouterA(config-if)# ip address 192.168.3.1 255.255.255.0
RouterA(config-if)# encapsulation ppp
RouterA(config-if)# no shutdown
RouterA(config)# access-list 10 deny host 192.168.2.3
RouterA(config)# access-list 10 permit any
RouterA(config)# interface fastethernet 0/0
RouterA(config-if)# ip access-group 10 out
RouterA(config)# router rip
RouterA(config-router)#network 192.168.1.0
RouterA(config-router)#network 192.168.3.0
RouterA(config-router)# exit
RouterA(config)# exit
RouterA# write memory
RouterB (DCE)
Router> enable
RouterB(config)# interface fastethernet 0/0
RouterB(config-if)# ip address 192.168.2.1 255.255.255.0
RouterB(config-if)# no shutdown
RouterB(config-if)# exit
RouterB(config)# interface serial 0/0
RouterB(config-if)# ip address 192.168.3.2 255.255.255.0
RouterB(config-if)# encapsulation ppp
RouterB(config-if)# clock rate 64000
RouterB(config-if)# no shutdown
RouterB(config)# access-list 20 deny host 192.168.1.3
RouterB(config)# access-list 20 permit any
RouterB(config)# interface fastethernet 0/0
RouterB(config-if)# ip access-group 20 out
RouterB(config)# router rip
RouterB(config-router)# network 192.168.2.0
RouterB(config-router)# exit
RouterB(config)# exit
RouterB# write memory
LISTA DE ACCESO
access-list 10 deny host 192.168.1.3 DTE
S0/1 D
access-list 10 permit any WAN RD
… F0/0
interface fastethernet 0/0 DCE
ip access-group 10 out S0/1 200.3.3.0/24
DTE B
S0/0 RB OUT
WAN
F0/0
192.168.4.0/24
DCE
S0/0 200.1.1.0/24
A
RA S0/1
DCE WAN 192.168.2.0/24
F0/0
200.2.2.0/24 S0/1
DTE C access-list 20 deny host 192.168.1.3
RC access-list 20 permit any
F0/0 …
interface fastethernet 0/0
OUT
ip access-group 20 out
.3
192.168.1.0/24
192.168.3.0/24
RouterA
Router> enable
Router(config)# hostname RA
RA(config)# interface fastethernet 0/0
RA(config-if)# ip address 192.168.1.1 255.255.255.0
RA(config-if)# no shutdown
RA(config-if)# exit
RA(config)# interface serial 0/0
RA(config-if)# encapsulation ppp
RA(config-if)# clock rate 64000
RA(config-if)# exit
RouterA
RA(config)# interface serial 0/1
RA(config-if)# encapsulation ppp
RA(config-if)# clock rate 64000
RA(config-if)# exit
RA(config)# router rip
RA(config-router)# network 192.168.1.0
RA(config-router)# exit
RA(config)# exit
RA# write memory
RouterB
Router> enable
Router(config)# hostname RB
RB(config)# interface fastethernet 0/0
RB(config-if)# ip address 192.168.2.1 255.255.255.0
RB(config-if)# no shutdown
RB(config-if)# exit
RB(config)# interface serial 0/0
RB(config-if)# encapsulation ppp
RB(config-if)# exit
RouterB
RB(config)# interface serial 0/1
RB(config-if)# encapsulation ppp
RB(config-if)# clock rate 64000
RB(config-if)# exit
RB(config)# access-list 10 deny host 192.168.1.3
RB(config)# access-list 10 permit any
RB(config)# interface fastethernet 0/0
RouterB(config-if)# ip access-group 10 out
RouterB(config)# router rip
RouterB(config-router)# exit
RouterB(config)# exit
RouterB# write memory
RouterC
Router> enable
Router(config)# hostname RC
RC(config)# interface fastethernet 0/0
RC(config-if)# ip address 192.168.3.1 255.255.255.0
RC(config-if)# no shutdown
RC(config-if)# exit
RC(config)# interface serial 0/1
RC(config-if)# ip address 200.2.2.2 255.255.255.0
RC(config-if)# encapsulation ppp
RC(config-if)# no shutdown
RC(config-if)# exit
RouterC
RC(config)# access-list 20 deny host 192.168.1.3

RC(config)# access-list 20 permit any
RC(config)# interface fastethernet 0/0
RC(config-if)# ip access-group 20 out
RC(config-if)# exit
RC(config)# router rip
RC(config-router)# network 192.168.3.0
RC(config-router)# network 200.2.2.0
RC(config-router)# exit
RC(config)# exit
RC# write memory
RouterD
Router> enable
Router(config)# hostname RD
RD(config)# interface fastethernet 0/0
RD(config-if)# ip address 192.168.4.1 255.255.255.0
RD(config-if)# no shutdown
RD(config-if)# exit
RD(config)# interface serial 0/1
RD(config-if)# ip address 200.3.3.2 255.255.255.0
RD(config-if)# encapsulation ppp
RD(config-if)# no shutdown
RD(config-if)# exit
RouterD
RD(config)# router rip
RD(config-router)# network 192.168.4.0
RD(config-router)# network 200.3.3.0
RD(config-router)# exit
RD(config)# exit
RD# write memory

EJEMPLO DE LISTA DE ACCESO
F 0/0 192.168.3.0/24
S 0/0
200.30.30.0/24 R2
OUT
S 0/1
S 0/0
F 0/0 200.40.40.0/24
R1
OUT S 0/0
S
0/1
S 0/0
30.0.0.0/8 S 0/0
R3 R4
200.50.50.0/24
OUT F 0/0 F 0/0
192.168.5.0/24
172.20.0.0/16
1. Utilizar enrutamiento IGRP.

2. Denegar que el Host 192.168.5.2 y el Host 192.168.5.3 tenga acceso a la red
30.0.0.0/8 y los demás Host si puedan hacerlo.
3. Denegar que el Host 192.168.3.3 tenga acceso a la red 172.20.0.0/16 y los
demás Host si puedan hacerlo.
4. Denegar que el Host 172.20.0.3 tenga acceso a la red 192.168.5.0 y los demás
Host si puedan hacerlo.
ROUTER 1
Router> enable
Router(config)# hostname R1
R1(config)# interface fastethernet 0/0
R1(config-if)# ip address 30.0.0.1 255.0.0.0
R1(config-if)# no shutdown
R1(config-if)# exit

R1(config)# interface serial 0/0
R1(config-if)# encapsulation ppp
R1(config-if)# clock rate 64000
R1(config-if)# exit
ROUTER 1
R1(config)# router igrp 100

R1(config-if)# network 30.0.0.0
R1(config-if)# exit

R1(config)# access-list 10 deny host 192.168.5.2
R1(config)# access-list 10 permit any
R1(config-if)# ip access-group 10 out
R1(config-if)# exit
R1(config)# exit
R1# write memory
ROUTER 2
Router> enable
R2(config-if)# exit

R2(config-if)# exit
ROUTER 2
R2(config-if)# exit

R2(config-if)# exit
ROUTER 3
Router> enable
R3(config-if)# exit


R3(config-if)# ip address 200.40 40.2 255.255.255.0
R3(config-if)# exit


R3(config-if)# exit
ROUTER 3

R3(config-if)# exit
R3(config-if)# exit
R3(config)# exit
R3# write memory
ROUTER 4
Router> enable
R4(config-if)# exit

R4(config-if)# exit
ROUTER 4

R4(config-if)# exit
R4(config)# exit
R4# write memory

R4(config-if)# exit
R4(config)# exit
R4# write memory
EJEMPLO DE LISTA DE ACCESO 2
192.168.3.0/24
OUT
F 0/0
S 0/0
200.30.30.0/24 R2
S 0/1 F 0/1
192.168.4.0/24
S 0/0
F 0/0 200.40.40.0/24
R1
OUT S 0/0
192.168.1.0/24
S 0/1
S 0/0
S 0/0
R3 R4
200.50.50.0/24
OUT F 0/0 F 0/0
192.168.5.0/24
192.168.2.0/24
1.- Utilizar enrutamiento IGRP.
2.- Denegar que el Host 192.168.1.2 de la red 192.168.1.0/24 tenga acceso a la red
192.168.2.0 y los demás Host si puedan hacerlo.
192.168.1.0 y los demás Host si puedan hacerlo.
192.168.3.0 y los demas Host si puedan hacerlo.
ROUTER 1
Router> enable
R1(config-if)# exit

R1(config-if)# exit
ROUTER 1

R1(config-if)# exit

R1(config-if)# exit
R1(config)# exit
R1# write memory
ROUTER 2
Router> enable
R2(config-if)# exit

R2(config-if)# exit

R2(config-if)# exit

ROUTER 2
R2(config-if)# exit
R2(config-if)# exit

R1(config-if)# exit
R1(config)# exit
R1# write memory
ROUTER 3
Router> enable
R3(config-if)# exit


R3(config-if)# ip address 200.40 40.2 255.255.255.0
R3(config-if)# exit


R3(config-if)# exit
ROUTER 3

R3(config-if)# exit

R3(config-if)# exit
R3(config)# exit
R3# write memory
ROUTER 4
Router> enable
R4(config-if)# exit


R4(config-if)# exit


R4(config-if)# exit
R4(config)# exit
R4# write memory

Sesion 15 ACL Standard

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Sesion 15 ACL Standard

Hochgeladen von

Copyright:

Verfügbare Formate

ACCESS CONTROL

Las ACL estándar no especifican direcciones destino, de

manera que se debe colocar la ACL estándar lo más cerca

posible del destino.

La sintaxis completa del comando es:

Router(config)# access-list Nro-ACL {deny | permit} origen

Router(config)# Access-list 10 permit 192.168.3.20

Router(config)# no access-list Nro-ACL

El comando show ip interface muestra información de la

Router# show ip interface <tipo de interfaz nro de interfaz>

Router# show ip interface fastethernet 0/0

El comando show access-list, muestra el contenido de todas

Router# show {protocolos} access-lists {Nro-ACL/Nombre de lista}

Router# show Standard ip access-lists 1 permite 200.20.20.3

access-list 10 deny host 192.168.2.3 access-list 20 deny host 192.168.1.3

RC(config)# access-list 20 deny host 192.168.1.3

RD(config)# router rip

RD(config-router)# network 192.168.4.0

RD(config-router)# network 200.3.3.0

RD# write memory

1. Utilizar enrutamiento IGRP.

R1(config)# router igrp 100

R3(config)# interface serial 0/1

R3(config)# interface serial 0/0

R3(config)# router igrp 100

R4(config)# router igrp 100

R1(config)# router igrp 100

R1(config)# access-list 20 deny host 192.168.5.3

R3(config)# interface serial 0/1

R3(config)# interface serial 0/0

R3(config)# router igrp 100

R3(config)# access-list 30 deny host 192.168.1.2

R4(config)# interface serial 0/0

R4(config)# router igrp 100

Das könnte Ihnen auch gefallen