- Este debate tiene 22 respuestas, 10 mensajes y ha sido actualizado por última vez el hace 2 años, 5 meses por
.
-
Entradas
-
Buenos días Arnold!
Hemos hecho unas modificaciones a la pregunta 10 ya que no se entendía muy bien… la ACL ahora son estas:
R1(config)#access-list 180 permit ip host 172.16.1.10 any R1(config)#access-list 180 deny ip 172.16.1.0 0.0.0.255 any
De todas formas la respuesta se mantiene y es exactamente debido a la razón que mencionas, la regla implícita deny all está denegando los paquetes recibidos ya que no existe coincidencia con ninguna de las ACEs presentes. Faltaría ejecutar el comando
access-list 180 permit ip any any
Espero que ahora quede claro, atento a tus comentarios!
Saludos cordiales.
Alvaro,
Buenas noches, por favor podrias compartir la imagen de un switch para que se pueda ejecutar en GNS3, o podrias compartir el link de donde lo descargas.De antemano te agradezco la respuesta.
Saludos Cordiales
Andres VicenteHola Andrés, si bien no es necesario para CCNA, sí lo utilizamos para CCNP. Te envíe el link de descarga a tu correo electrónico.
Saludos!
Buenas noches, una consulta cual es la diferencia de configurar ACL y el firewall ? Se puede tener un control de trafico mediante acl y firewall en una red ? Que es lo recomendable o en que situacion usar el acl ?
Hola Gianfranco
Las reglas genéricas que configuras en un firewall para denegar o permitir el acceso del tráfico, son ACLs; así que conceptualmente es lo mismo, no existen diferencias. Por ejemplo cuando configuras listas de acceso por la CLI en un firewall ASA, esas mismas reglas las veras configuradas en la interfaz gráfica del firewall.
Ahora si hablas de configurar ACLs en dispositivos de red como Routers o Switches Vs configurar un Firewall dedicado, hay que tener en cuenta algunas cuestiones. Primero la diferencia es que un firewall es un dispositivo que esta netamente dedicado a la seguridad y obviamente tiene otras funciones que un router o switch no puede tener, y ocurre lo mismo al otro lado, cada dispositivo tiene su función, si bien en los routers o switches puedes configurar ACLs, no fueron diseñados para funcionar como dispositivos de seguridad especializados, su función principal es conmutar y enrutar; si utilizas un dispositivo para realizar TODAS las funciones de una red, estarías arriesgándote a que el dispositivo llegue a su pico de rendimiento y comience a tener fallas; al final todo depende de tu presupuesto y tu diseño… en un switch ya viste que puedes tener funciones de Wireless, funciones de enrutamiento, funciones de conmutación, funciones de seguridad… de nuevo, es posible utilizarlo para todo? si… es recomendado? No, además que mucho depende del rendimiento que tenga tu dispositivo y del tamaño de tu red.
Por otro lado, si utilizas 1 solo dispositivo para realizar todas las funciones en tu red, te arriesgas a que cuando caiga ese dispositivo, absolutamente TODA tu red va dejar de funcionar, tienes un único punto de falla.Al final respondiendo a tu consulta, la respuesta es SÍ, se puede tener control del tráfico con ACLs y con Firewall en la misma red; en muchas redes se utiliza el propio switch para restringir la comunicación interVLAN a nivel de SVIs, y se utiliza un firewall en el perímetro de la red para protegerte contra amenazas externas; en otras redes se utilizan 2 firewalls, uno para la comunicación interVLAN, y otro para el perímetro de la red; en otros se utilizan más firewalls, uno para la comunicación interVLAN, otro para los servidores, otro para el perímetro. Al final TODO DEPENDE del diseño que tengas, de las áreas que necesites proteger, del lugar donde está configurado tu Gateway, de los servicios que ofreces, de tu presupuesto, etc.
Atento a tus comentarios.
Saludos!
Buenas tardes.
Me podrían facilitar un ejemplo donde se definan reglas en una o varias ACL que permita :
Dada la siguiente dirección de red 192.168.10.0 /24
a- Permitir solo los host pares.
b- Permitir solo los host impares
c- Permitir los 30 primeros host.
d- Permitir los 20 ultimos host.Gracias.
Hola Rodny,
a) access-list 1 permit 192.168.10.0 0.0.0.254
b) access-list 1 permit 192.168.10.1 0.0.0.254
c) access-list 1 permit 192.168.10.0 0.0.0.31
d) Lo que se me ocurre en este momento, es que podrías permitir las últimas 15 IPs con access-list 1 permit 192.168.10.240 0.0.0.15 , y después crear reglas individuales que permitan las otras 5 IPs, o 6 (si no cuentas la IP de broadcast).
Saludos!
- Debes estar registrado para responder a este debate.