cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
2097
Visitas
25
ÚTIL
6
Respuestas

ACL

Isai
Level 1
Level 1

Hola a toda la comunidad, tengo una duda al implementar una ACL, ¿Cómo puedo hacer para denegar el acceso a las direcciones que son múltiplos de 4?

 

Mi IP de red es 10.0.8.0

 

Por ejemplo, no quiero que pase la 10.0.8.4, 10.0.8.8, 10.0.8.16 y así sucesivamente.

 

Me gustaría saber si alguien me podría explicar

3 SOLUCIONES ACEPTADAS

Soluciones aceptadas

luis_cordova
VIP Alumni
VIP Alumni

Hola @Isai 

 

Creo que una posibilidad sería obligando a que lo dos últimos bits siempre estén apagados(en cero).

Con ello, se podría generar una secuencia de múltiplos de 4.

En tú caso:

deny 10.0.8.0 0.0.0.252

 

Saludos

Ver la solución en mensaje original publicado

@Isai 

 

Con esa opción , obligando que los 2 últimos bits siempre estén en cero, la secuencia sería esta:

 

0000 0000= 0

0000 0100 = 4

0000 1000 = 8

0000 1100 = 12

0001 0000 = 16

0001 0100 = 20

0001 1000 = 24

 

Y así consecutivamente

 

1111 1100 = 252

 

Saludos

 

 

 

 

Ver la solución en mensaje original publicado

Hola @Isai 

 

Las direcciones IP y las wildcard sirven para marcar las direcciones a filtrar.

Lo que se hace con las IP filtradas dependerá de la sentencia anterior.

En tu caso, diría que solo basta con cambiar la sentencia de deny a permit:

 

permit 10.0.8.0 0.0.0.252


Ahora bien, si vas a aplicar la ACL en una red real, debes tener en cuenta que al final de toda ACL hay una denegación implícita que deniega todo lo que no coincida con ninguna sentencia.

 

Por esto, en el primer ejemplo, lo recomendado sería:

 

deny 10.0.8.0 0.0.0.252

permit any  <- esta sentencia permite todo trafico que no coincida antes

 

En el segundo caso, creo que lo recomendado sería:

 

permit 10.0.8.0 0.0.0.252

deny 10.0.8.0 0.0.0.255  <— esta sentencia deniega el tráfico sobrante de esta red

permit any  <- esta sentencia permite todo trafico que no coincida antes

 

La última sentencia sirve para evitar que el tráfico procedente de redes que no pertenecen a la red 10.0.8.0 sean denegadas.

 

Saludos

Ver la solución en mensaje original publicado

6 RESPUESTAS 6

Diana Karolina Rojas
Cisco Employee
Cisco Employee

Hola estimado buenos días,

 

Desafortunadamente creo que no es posible hacer lo que requieres, filtrar direcciones pares e impares es relativamente fácil porque siempre tienes un bit "común" encendido (por ej. access-list 1 permit 10.0.8.1 0.0.0.254 -> con este ejemplo permitirías las direcciones impares porque siempre tienes el bit "1" en común, algo similar ocurriría con las direcciones pares y el bit "2"), no ocurre lo mismo en el caso que planteas.

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

 

Saludos,

 

 

 

 

luis_cordova
VIP Alumni
VIP Alumni

Hola @Isai 

 

Creo que una posibilidad sería obligando a que lo dos últimos bits siempre estén apagados(en cero).

Con ello, se podría generar una secuencia de múltiplos de 4.

En tú caso:

deny 10.0.8.0 0.0.0.252

 

Saludos

@Isai 

 

Con esa opción , obligando que los 2 últimos bits siempre estén en cero, la secuencia sería esta:

 

0000 0000= 0

0000 0100 = 4

0000 1000 = 8

0000 1100 = 12

0001 0000 = 16

0001 0100 = 20

0001 1000 = 24

 

Y así consecutivamente

 

1111 1100 = 252

 

Saludos

 

 

 

 

Muchas gracias, me sirvió mucho, ahora tengo otra pregunta, como puedo hacer ahora lo contario, ¿Cómo puedo hacer que solamente pasen las direcciones con múltiplos de 4?

Hola @Isai 

 

Las direcciones IP y las wildcard sirven para marcar las direcciones a filtrar.

Lo que se hace con las IP filtradas dependerá de la sentencia anterior.

En tu caso, diría que solo basta con cambiar la sentencia de deny a permit:

 

permit 10.0.8.0 0.0.0.252


Ahora bien, si vas a aplicar la ACL en una red real, debes tener en cuenta que al final de toda ACL hay una denegación implícita que deniega todo lo que no coincida con ninguna sentencia.

 

Por esto, en el primer ejemplo, lo recomendado sería:

 

deny 10.0.8.0 0.0.0.252

permit any  <- esta sentencia permite todo trafico que no coincida antes

 

En el segundo caso, creo que lo recomendado sería:

 

permit 10.0.8.0 0.0.0.252

deny 10.0.8.0 0.0.0.255  <— esta sentencia deniega el tráfico sobrante de esta red

permit any  <- esta sentencia permite todo trafico que no coincida antes

 

La última sentencia sirve para evitar que el tráfico procedente de redes que no pertenecen a la red 10.0.8.0 sean denegadas.

 

Saludos

hola @luis_cordova gracias por asistir a @Isai , siempre es un gusto leerte

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: