- Este debate tiene 19 respuestas, 9 mensajes y ha sido actualizado por última vez el hace 1 mes, 2 semanas por
.
-
Entradas
-
Buen dia
una duda en la pregunta 9 la respuesta que indica es (config)#access-list 10 permit 192.168.10.0 255.255.255.0 pero la wilcard no es correta
por tanto la respuesta seria Ninguna de las anterioressaludos cordiales
Toda la razón Jorge, muchas gracias!, hemos corregido para que la respuesta correcta sea (config)#access-list 10 permit 192.168.10.0 0.0.0.255.
Saludos cordiales!
Hola profe…
Como seria el comando en una ACL extendida para bloquear toda una red. Por ejemplo en algunas empresas esta bloqueado el acceso a www, o bloquear todas las redes y subredes a todos los router por telnet y ssh, por temas de seguridad. Y no hacerlo de un pc a otro, suponiendo que hayan por ej 50 dispositivos?
Intente hacerlo poniendo la ip de la red pero igual desde un pc de esa red, tengo acceso.Gracias
Otra pregunta…..
En las listas de acceso nombradas, con que comando después permitimos todo el otro trafico?. En IPv6 también. Después queda el pc incomunicado cuando solo quería bloquear un acceso a un servidor.
Gracias
Hola Nicolás
Respecto a tu primera pregunta, podrías colocar acá la ACL que intentaste utilizar para bloquear una red lógica?
Hagamos un ejemplo, supongamos que quieres bloquear la red 192.168.10.0/24 a la IP del router 10.10.10.1. Deberías configurar la ACL en tu Gateway ya que las ACL extendidas se configuran lo más cerca posible al origen de los paquetes. La ACL tendría que quedar así:
Gateway(config)#access-list 120 deny ip 192.168.10.0 0.0.0.255 host 10.10.10.1 Gateway(config)#access-list 120 permit ip any any Gateway(config-if)#access-list 120 in
Respecto a tu segunda pregunta, el comando para permitir todo el tráfico es el mismo que en las ACLs numeradas, por ejemplo:
Gateway(config)#ip access-list standard ACL_PRUEBA Gateway(config-std-nacl)#deny host 192.168.10.1 Gateway(config-std-nacl)#permit any ! ó lo siguiente si se tratara de una ACL extendida nombrada Gateway(config)#ip access-list extended PRUEBA_ACL Gateway(config-ext-nacl)#deny ip host 192.168.10.1 host 10.10.10.1 Gateway(config-ext-nacl)#permit ip any any
Respecto a IPv6 es lo mismo estimado Nicolás, el comando sería
Gateway(config-ipv6-acl)#permit ipv6 any any
esto puedes verlo en el minuto 2:05:20 de la clase.
Atento a cualquier otra consulta!
Saludos cordiales.
Gracias por la respuesta.
En la pregunta 1, se bloquea toda esa red, pero la deja incomunicada. por ejemplo hagamos cuenta que esa red que queremos bloquear sea una sala de call center. Nos piden bloquear por ejemplo internet, acceso a redes de gerentes, ing, etc. Por ejemplo solo que tuvieran acceso a un servidor en otra red lógica para sacar archivos. Entonces ahí debería bloquear por red, no por dispositivo o al gateway.
Otro caso por ejemplo queremos bloquear algunas redes a una persona que va a ser despedida y queremos evitar que haga daño o robe información. Pero si debe tener acceso a los servidores por ej de correo o salir a internet.Entonces cómo debería bloquear la red completa que no queremos que lleguen?. en el comando en vez de host y la ip del dispositivo, pongo la de red pero no funciona y sigue habiendo ping.
Gracias!!
Hola Nicolás!
En la pregunta 1 (de tu consulta), con esa configuración no la dejas incomunicada estimado Nicolás ya que tienes después el comando «permit any any», solamente estas bloqueando la comunicación con la IP del router.
Si quieres bloquear de red a red simplemente colocas la red lógica de destino que deseas bloquear, si quieres bloquear que la red de CALL Center 192.168.10.0/24 no tenga comunicación con la red de gerentes 10.10.10.0/24 la ACL quedaría así:
Gateway(config)#access-list 120 deny ip 192.168.10.0 0.0.0.255 10.10.10.0 0.0.0.255
Gateway(config)#access-list 120 permit ip any anyCon esa lista de acceso bloqueas la comunicación de la 192.168.10.0 con la 10.10.10.0 y permites el resto de comunicación. Ahora, esta ACL no va funcionar si la colocas en la dirección correcta. El donde aplicar la ACL va depender de tu topología.
En tu caso si la ACL no funciona es porque algo no está correctamente configurado estimado Nicolás… podrías colocar tu ACL acá y la analizamos?Atento a tus comentarios! =)
Hola Alvaro, en el video justo en el time 1:47:41. Solo para aclarar.
¿Por que en la configuración de la interface en una ACL extended en esa parte se coloca el protocolo IP si en la ACL se están filtrando unos paquetes TCP?. Por lo que entiendo es porque se le dice al router que analice hasta hasta capa 3 y que no le interese lo que haya en el header de capa 4.
Espero que me ayudes aclarar mi duda.
Saludos
Hola Jose!
Es exactamente lo que tú dices.
Si NO colocamos permit IP, y SOLO colocamos permit TCP, esto quiere decir que SOLAMENTE vamos a permitir paquetes que sean transportados con el protocolo TCP. Recuerda que TCP NO ES EL ÚNICO protocolo que trabaja en la capa de Transporte, y NO ES EL ÚNICO protocolo que SIEMPRE es utilizado para transportar datos. Si no colocamos permit IP, estaríamos BLOQUEANDO los paquetes que son transportados mediante el protocolo de transporte UDP, por ejemplo la telefonía IP estaría bloqueada, el protocolo DNS estaría bloqueado, y muchos otros datos de otros protocolos también estarían bloqueados, el protocolo ICMP que NO trabaja con TCP ni UDP, también estaría bloqueado.
Es por esta razón que colocamos permit IP, para permitir todos los paquetes, independiente de lo que se tenga más arriba en las diferentes capas.Espero que ahora quede claro el panorama!
Estoy atento a tus comentarios.
Saludos cordiales.
Hola Javier!
Buena pregunta, la verdad el límite lo define la plataforma que adquieras. Las ACL son almacenadas (en su mayoría) en la memoria TCAM (hablamos de ellas en CCNP), esta es un tipo de memoria que hace que todas las búsquedas de ACLs se hagan en componentes especializados de Hardware, evitando así una carga de procesamiento al CPU general del dispositivo. Sin embargo una vez que esa memoria TCAM se queda sin capacidad, los paquetes que necesitan una regla de ACL son procesados por el CPU general del dispositivo y esto impacta negativamente en el dispositivo (va comenzar a eliminar paquetes que no pueden ser procesados debido a falta de recursos de procesamiento).
Así que… el limite aproximado de almacenamiento lo define el límite que tengas en tu memoria TCAM… para ver el límite de las ACEs puedes ejecutar el comando show platform tcam utilization.
El comando te mostraría un resultado similar al siguiente:
SW2#show platform tcam utilization CAM Utilization for ASIC# 0 Max Used Masks/Values Masks/values Unicast mac addresses: 784/6272 14/29 IPv4 IGMP groups + multicast routes: 152/1216 6/26 IPv4 unicast directly-connected routes: 784/6272 14/29 IPv4 unicast indirectly-connected routes: 280/2240 11/50 IPv4 policy based routing aces: 0/0 0/0 IPv4 qos aces: 768/768 260/260 IPv4 security aces: 1024/1024 43/43 Note: Allocation of TCAM entries per feature uses a complex algorithm. The above information is meant to provide an abstract view of the current TCAM utilizationEste mi switch tiene un límite de 1024 ACEs, sin embargo solo es un límite teórico, fíjate el texto de abajo, donde indican que solo te están proporcionando un valor «aproximado» de lo utilizado de la memoria. Sin embargo, estos valores pueden ser modificados para darle más asignación de memoria a las ACEs en tu dispositivo quitando la memoria que se asigna a otras características de la lista.
Pero al final, todo depende de tu plataforma estimado Javier.
Atento a tus comentarios.
Saludos cordiales
- Debes estar registrado para responder a este debate.