4.4. Listas de acceso (Estándar, Extendidas y Nombradas)


Nota: Lastimosamente el contenido completo solo está disponible para miembros… por favor suscríbete

PREGUNTAS!

Las preguntas que encontraras en esta sección, son similares a las que te encontraras en el examen de certificación.
 
logo
SI QUIERES DISFRUTAR DE ESTE CONTENIDO, TE INVITAMOS A QUE TE SUSCRIBAS.

¡PARTICIPEMOS!

Si te quedaron dudas de la lección, escríbela a continuación y así todos podemos participar y ayudarte.
¿Quieres participar en los debates?… por favor suscríbete

NUESTROS CURSOS Foros Listas de acceso (Estándar, Extendidas y Nombradas)

Viendo 15 entradas - de la 1 a la 15 (de un total de 18)
  • Autor
    Entradas
  • #12023
    AdminNG
    Superadministrador
    #17117
    JORGE LIMACHI
    Participante

    Buen dia

    una duda en la pregunta 9 la respuesta que indica es (config)#access-list 10 permit 192.168.10.0 255.255.255.0 pero la wilcard no es correta
    por tanto la respuesta seria Ninguna de las anteriores

    saludos cordiales

    #17122
    AlvaroM
    Superadministrador

    Toda la razón Jorge, muchas gracias!, hemos corregido para que la respuesta correcta sea (config)#access-list 10 permit 192.168.10.0 0.0.0.255.

    Saludos cordiales!

    #18066
    Nicolás Madrid
    Participante

    Hola profe…

    Como seria el comando en una ACL extendida para bloquear toda una red. Por ejemplo en algunas empresas esta bloqueado el acceso a www, o bloquear todas las redes y subredes a todos los router por telnet y ssh, por temas de seguridad. Y no hacerlo de un pc a otro, suponiendo que hayan por ej 50 dispositivos?
    Intente hacerlo poniendo la ip de la red pero igual desde un pc de esa red, tengo acceso.

    Gracias

    #18075
    Nicolás Madrid
    Participante

    Otra pregunta…..

    En las listas de acceso nombradas, con que comando después permitimos todo el otro trafico?. En IPv6 también. Después queda el pc incomunicado cuando solo quería bloquear un acceso a un servidor.

    Gracias

    #18092
    AlvaroM
    Superadministrador

    Hola Nicolás

    Respecto a tu primera pregunta, podrías colocar acá la ACL que intentaste utilizar para bloquear una red lógica?

    Hagamos un ejemplo, supongamos que quieres bloquear la red 192.168.10.0/24 a la IP del router 10.10.10.1. Deberías configurar la ACL en tu Gateway ya que las ACL extendidas se configuran lo más cerca posible al origen de los paquetes. La ACL tendría que quedar así:

    Gateway(config)#access-list 120 deny ip 192.168.10.0 0.0.0.255 host 10.10.10.1
    Gateway(config)#access-list 120 permit ip any any
    
    Gateway(config-if)#access-list 120 in
    

    Respecto a tu segunda pregunta, el comando para permitir todo el tráfico es el mismo que en las ACLs numeradas, por ejemplo:

    Gateway(config)#ip access-list standard ACL_PRUEBA
    Gateway(config-std-nacl)#deny host 192.168.10.1
    Gateway(config-std-nacl)#permit any
    
    ! ó lo siguiente si se tratara de una ACL extendida nombrada
    
    Gateway(config)#ip access-list extended PRUEBA_ACL
    Gateway(config-ext-nacl)#deny ip host 192.168.10.1 host 10.10.10.1
    Gateway(config-ext-nacl)#permit ip any any
    

    Respecto a IPv6 es lo mismo estimado Nicolás, el comando sería

    Gateway(config-ipv6-acl)#permit ipv6 any any

    esto puedes verlo en el minuto 2:05:20 de la clase.

    Atento a cualquier otra consulta!

    Saludos cordiales.

    • Esta respuesta fue modificada hace 2 años, 3 meses por AlvaroM.
    #18096
    Nicolás Madrid
    Participante

    Gracias por la respuesta.

    En la pregunta 1, se bloquea toda esa red, pero la deja incomunicada. por ejemplo hagamos cuenta que esa red que queremos bloquear sea una sala de call center. Nos piden bloquear por ejemplo internet, acceso a redes de gerentes, ing, etc. Por ejemplo solo que tuvieran acceso a un servidor en otra red lógica para sacar archivos. Entonces ahí debería bloquear por red, no por dispositivo o al gateway.
    Otro caso por ejemplo queremos bloquear algunas redes a una persona que va a ser despedida y queremos evitar que haga daño o robe información. Pero si debe tener acceso a los servidores por ej de correo o salir a internet.

    Entonces cómo debería bloquear la red completa que no queremos que lleguen?. en el comando en vez de host y la ip del dispositivo, pongo la de red pero no funciona y sigue habiendo ping.

    Gracias!!

    #18131
    AlvaroM
    Superadministrador

    Hola Nicolás!

    En la pregunta 1 (de tu consulta), con esa configuración no la dejas incomunicada estimado Nicolás ya que tienes después el comando «permit any any», solamente estas bloqueando la comunicación con la IP del router.

    Si quieres bloquear de red a red simplemente colocas la red lógica de destino que deseas bloquear, si quieres bloquear que la red de CALL Center 192.168.10.0/24 no tenga comunicación con la red de gerentes 10.10.10.0/24 la ACL quedaría así:

    Gateway(config)#access-list 120 deny ip 192.168.10.0 0.0.0.255 10.10.10.0 0.0.0.255
    Gateway(config)#access-list 120 permit ip any any

    Con esa lista de acceso bloqueas la comunicación de la 192.168.10.0 con la 10.10.10.0 y permites el resto de comunicación. Ahora, esta ACL no va funcionar si la colocas en la dirección correcta. El donde aplicar la ACL va depender de tu topología.
    En tu caso si la ACL no funciona es porque algo no está correctamente configurado estimado Nicolás… podrías colocar tu ACL acá y la analizamos?

    Atento a tus comentarios! =)

    #19087
    Jose Manrique
    Participante

    Hola Alvaro, en el video justo en el time 1:47:41. Solo para aclarar.

    ¿Por que en la configuración de la interface en una ACL extended en esa parte se coloca el protocolo IP si en la ACL se están filtrando unos paquetes TCP?. Por lo que entiendo es porque se le dice al router que analice hasta hasta capa 3 y que no le interese lo que haya en el header de capa 4.

    Espero que me ayudes aclarar mi duda.

    Saludos

    #19099
    AlvaroM
    Superadministrador

    Hola Jose!

    Es exactamente lo que tú dices.

    Si NO colocamos permit IP, y SOLO colocamos permit TCP, esto quiere decir que SOLAMENTE vamos a permitir paquetes que sean transportados con el protocolo TCP. Recuerda que TCP NO ES EL ÚNICO protocolo que trabaja en la capa de Transporte, y NO ES EL ÚNICO protocolo que SIEMPRE es utilizado para transportar datos. Si no colocamos permit IP, estaríamos BLOQUEANDO los paquetes que son transportados mediante el protocolo de transporte UDP, por ejemplo la telefonía IP estaría bloqueada, el protocolo DNS estaría bloqueado, y muchos otros datos de otros protocolos también estarían bloqueados, el protocolo ICMP que NO trabaja con TCP ni UDP, también estaría bloqueado.
    Es por esta razón que colocamos permit IP, para permitir todos los paquetes, independiente de lo que se tenga más arriba en las diferentes capas.

    Espero que ahora quede claro el panorama!

    Estoy atento a tus comentarios.

    Saludos cordiales.

    • Esta respuesta fue modificada hace 2 años, 2 meses por AlvaroM.
    #19101
    Jose Manrique
    Participante

    Hola Alvaro, gracias por la respuesta. Mi duda ya ha sido aclarada.

    Saludos.

    #22691

    Estimado, respecto al inciso a de la pregunta 2, a cuantas reglas estaría limitada una ACL?

    #22708
    AlvaroM
    Superadministrador

    Hola Javier!

    Buena pregunta, la verdad el límite lo define la plataforma que adquieras. Las ACL son almacenadas (en su mayoría) en la memoria TCAM (hablamos de ellas en CCNP), esta es un tipo de memoria que hace que todas las búsquedas de ACLs se hagan en componentes especializados de Hardware, evitando así una carga de procesamiento al CPU general del dispositivo. Sin embargo una vez que esa memoria TCAM se queda sin capacidad, los paquetes que necesitan una regla de ACL son procesados por el CPU general del dispositivo y esto impacta negativamente en el dispositivo (va comenzar a eliminar paquetes que no pueden ser procesados debido a falta de recursos de procesamiento).

    Así que… el limite aproximado de almacenamiento lo define el límite que tengas en tu memoria TCAM… para ver el límite de las ACEs puedes ejecutar el comando show platform tcam utilization.

    El comando te mostraría un resultado similar al siguiente:

    SW2#show platform tcam utilization
    
    CAM Utilization for ASIC# 0                      Max            Used
                                                 Masks/Values    Masks/values
    
     Unicast mac addresses:                        784/6272         14/29
     IPv4 IGMP groups + multicast routes:          152/1216          6/26
     IPv4 unicast directly-connected routes:       784/6272         14/29
     IPv4 unicast indirectly-connected routes:     280/2240         11/50
     IPv4 policy based routing aces:                 0/0             0/0
     IPv4 qos aces:                                768/768         260/260
     IPv4 security aces:                          1024/1024         43/43
    
    Note: Allocation of TCAM entries per feature uses
    a complex algorithm. The above information is meant
    to provide an abstract view of the current TCAM utilization

    Este mi switch tiene un límite de 1024 ACEs, sin embargo solo es un límite teórico, fíjate el texto de abajo, donde indican que solo te están proporcionando un valor «aproximado» de lo utilizado de la memoria. Sin embargo, estos valores pueden ser modificados para darle más asignación de memoria a las ACEs en tu dispositivo quitando la memoria que se asigna a otras características de la lista.

    Pero al final, todo depende de tu plataforma estimado Javier.

    Atento a tus comentarios.

    Saludos cordiales

    • Esta respuesta fue modificada hace 1 año, 9 meses por AlvaroM.
    #22789

    Muchas gracias estimado, me quedo bastante claro

    #23033

    Hola Álvaro.
    en la pregunta 10, se descarta el paquete porque falta configurar: R1(config)#access-list 45 permit any ??

Viendo 15 entradas - de la 1 a la 15 (de un total de 18)
  • Debes estar registrado para responder a este debate.