Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
3225
Visitas
5
ÚTIL
1
Respuestas

Permitir IP'S impares y bloquear Telnet con ACL

Ir a solución
Isai
Level 1
Level 1

el ‎07-23-2020 05:16 PM

Hola buenas tardes a toda la comunidad, necesito un poco de orientación con una práctica de ejemplo de ACL, mis puntos a realizar son los siguientes:

 

 

1. Crear una lista de acceso que no permita a la VLAN 10, 70, 45 Y 20 la comunicación por HTTP a todos sus dispositivos.

2. Crear ACL que solo permita la comunicación por HTTPS las direcciones impares  con Facebook y google.

3. Crear ACL que Crear una ACL que sólo permita a la VLAN 100 la comunicación por TELNET

 

La parte 1 ya la tengo completa y funciona bien, esta es mi configuración:

 

access-list 100 deny TCP 10.0.17.0 0.0.0.255 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.17.0 0.0.0.255 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.19.0 0.0.0.63 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.19.0 0.0.0.63 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.18.128 0.0.0.127 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.18.128 0.0.0.127 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.8.0 0.0.1.255 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.8.0 0.0.1.255 host 172.217.5.174 eq 80
int s0/0/1
ip access-group 100 out
exit
access-list 100 permit ip any any

 

En lo que tengo duda son en los últimos 2 puntos, adjunto imágen de mi práctica de ejemplo

Vista previa de archivo
117 KB
0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
luis_cordova
VIP Alumni
VIP Alumni

‎07-23-2020 05:48 PM - editado ‎07-23-2020 05:52 PM

Hola @Isai 

 

Para el punto 2, puedes crear una entrada para cada red de tu topologia y permitir solo los impares a la IP de facebook y otra con la IP de Google, indicando el puerto HTTPS.

En una discusión anterior te había explicado un poco como hacer para filtrar por pares e impares.

En resumen, dejamos indicado la IP del primer host valido, pues tiene el bit 1 encendido y en la wildcard dejamos en 0 el ultimo bit.

La ACL se podría aplicar en la interfaz Gig0/0, con direccion de salida(out) en el router INTERNET1

 

access-list 101 permit TCP 10.0.17.1 0.0.0.254 host IP facebook eq 443 <-- puerto HTTPS

access-list 101 permit TCP 10.0.19.1 0.0.0.62 host IP facebook eq 443 

access-list 101 permit TCP 10.0.18.129 0.0.0.126 host IP facebook eq 443 

access-list 101 permit TCP 10.0.8.1 0.0.1.254 host IP facebook eq 443 

Debes tener una entrada por cada red que tenga hosts de tu topología.

 

Para Google, repites la ACL, cambiando la IP de facebook por la de Google, y la puedes aplicar en la interfaz Gig0/0, con dirección de salida(out) en el router INTERNET2.

 

Para el punto 3, puedes crear una ACL estándar que solo permita la VLAN 100 y aplicarla en las lineas VTY(obviamente, debes habilitar telnet en los dispositivos previamente).

Por ejemplo:

access-list 10 permit redVLAN100 wildcardVLAN100

line vty 0 4

ip access-class 10 in

 

Esto lo puedes repetir en todos tus dispositivos de comunicación.

 

Saludos

Ver la solución en mensaje original publicado

1 RESPUESTA 1

Ir a solución
luis_cordova
VIP Alumni
VIP Alumni

‎07-23-2020 05:48 PM - editado ‎07-23-2020 05:52 PM

Hola @Isai 

 

Para el punto 2, puedes crear una entrada para cada red de tu topologia y permitir solo los impares a la IP de facebook y otra con la IP de Google, indicando el puerto HTTPS.

En una discusión anterior te había explicado un poco como hacer para filtrar por pares e impares.

En resumen, dejamos indicado la IP del primer host valido, pues tiene el bit 1 encendido y en la wildcard dejamos en 0 el ultimo bit.

La ACL se podría aplicar en la interfaz Gig0/0, con direccion de salida(out) en el router INTERNET1

 

access-list 101 permit TCP 10.0.17.1 0.0.0.254 host IP facebook eq 443 <-- puerto HTTPS

access-list 101 permit TCP 10.0.19.1 0.0.0.62 host IP facebook eq 443 

access-list 101 permit TCP 10.0.18.129 0.0.0.126 host IP facebook eq 443 

access-list 101 permit TCP 10.0.8.1 0.0.1.254 host IP facebook eq 443 

Debes tener una entrada por cada red que tenga hosts de tu topología.

 

Para Google, repites la ACL, cambiando la IP de facebook por la de Google, y la puedes aplicar en la interfaz Gig0/0, con dirección de salida(out) en el router INTERNET2.

 

Para el punto 3, puedes crear una ACL estándar que solo permita la VLAN 100 y aplicarla en las lineas VTY(obviamente, debes habilitar telnet en los dispositivos previamente).

Por ejemplo:

access-list 10 permit redVLAN100 wildcardVLAN100

line vty 0 4

ip access-class 10 in

 

Esto lo puedes repetir en todos tus dispositivos de comunicación.

 

Saludos

Navegue y encuentre contenido personalizado de la comunidad

Videos de R&S Documentos de R&S Blogs de R&S
Customers Also Viewed These Support Documents