el 07-23-2020 05:16 PM
Hola buenas tardes a toda la comunidad, necesito un poco de orientación con una práctica de ejemplo de ACL, mis puntos a realizar son los siguientes:
1. Crear una lista de acceso que no permita a la VLAN 10, 70, 45 Y 20 la comunicación por HTTP a todos sus dispositivos.
2. Crear ACL que solo permita la comunicación por HTTPS las direcciones impares con Facebook y google.
3. Crear ACL que Crear una ACL que sólo permita a la VLAN 100 la comunicación por TELNET
La parte 1 ya la tengo completa y funciona bien, esta es mi configuración:
access-list 100 deny TCP 10.0.17.0 0.0.0.255 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.17.0 0.0.0.255 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.19.0 0.0.0.63 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.19.0 0.0.0.63 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.18.128 0.0.0.127 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.18.128 0.0.0.127 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.8.0 0.0.1.255 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.8.0 0.0.1.255 host 172.217.5.174 eq 80
int s0/0/1
ip access-group 100 out
exit
access-list 100 permit ip any any
En lo que tengo duda son en los últimos 2 puntos, adjunto imágen de mi práctica de ejemplo
¡Resuelto! Ir a solución.
07-23-2020 05:48 PM - editado 07-23-2020 05:52 PM
Hola @Isai
Para el punto 2, puedes crear una entrada para cada red de tu topologia y permitir solo los impares a la IP de facebook y otra con la IP de Google, indicando el puerto HTTPS.
En una discusión anterior te había explicado un poco como hacer para filtrar por pares e impares.
En resumen, dejamos indicado la IP del primer host valido, pues tiene el bit 1 encendido y en la wildcard dejamos en 0 el ultimo bit.
La ACL se podría aplicar en la interfaz Gig0/0, con direccion de salida(out) en el router INTERNET1
access-list 101 permit TCP 10.0.17.1 0.0.0.254 host IP facebook eq 443 <-- puerto HTTPS
access-list 101 permit TCP 10.0.19.1 0.0.0.62 host IP facebook eq 443
access-list 101 permit TCP 10.0.18.129 0.0.0.126 host IP facebook eq 443
access-list 101 permit TCP 10.0.8.1 0.0.1.254 host IP facebook eq 443
Debes tener una entrada por cada red que tenga hosts de tu topología.
Para Google, repites la ACL, cambiando la IP de facebook por la de Google, y la puedes aplicar en la interfaz Gig0/0, con dirección de salida(out) en el router INTERNET2.
Para el punto 3, puedes crear una ACL estándar que solo permita la VLAN 100 y aplicarla en las lineas VTY(obviamente, debes habilitar telnet en los dispositivos previamente).
Por ejemplo:
access-list 10 permit redVLAN100 wildcardVLAN100
line vty 0 4
ip access-class 10 in
Esto lo puedes repetir en todos tus dispositivos de comunicación.
Saludos
07-23-2020 05:48 PM - editado 07-23-2020 05:52 PM
Hola @Isai
Para el punto 2, puedes crear una entrada para cada red de tu topologia y permitir solo los impares a la IP de facebook y otra con la IP de Google, indicando el puerto HTTPS.
En una discusión anterior te había explicado un poco como hacer para filtrar por pares e impares.
En resumen, dejamos indicado la IP del primer host valido, pues tiene el bit 1 encendido y en la wildcard dejamos en 0 el ultimo bit.
La ACL se podría aplicar en la interfaz Gig0/0, con direccion de salida(out) en el router INTERNET1
access-list 101 permit TCP 10.0.17.1 0.0.0.254 host IP facebook eq 443 <-- puerto HTTPS
access-list 101 permit TCP 10.0.19.1 0.0.0.62 host IP facebook eq 443
access-list 101 permit TCP 10.0.18.129 0.0.0.126 host IP facebook eq 443
access-list 101 permit TCP 10.0.8.1 0.0.1.254 host IP facebook eq 443
Debes tener una entrada por cada red que tenga hosts de tu topología.
Para Google, repites la ACL, cambiando la IP de facebook por la de Google, y la puedes aplicar en la interfaz Gig0/0, con dirección de salida(out) en el router INTERNET2.
Para el punto 3, puedes crear una ACL estándar que solo permita la VLAN 100 y aplicarla en las lineas VTY(obviamente, debes habilitar telnet en los dispositivos previamente).
Por ejemplo:
access-list 10 permit redVLAN100 wildcardVLAN100
line vty 0 4
ip access-class 10 in
Esto lo puedes repetir en todos tus dispositivos de comunicación.
Saludos
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad