4.4. Listas de acceso (Estándar, Extendidas y Nombradas)

Buenos días Arnold!

Hemos hecho unas modificaciones a la pregunta 10 ya que no se entendía muy bien… la ACL ahora son estas:

R1(config)#access-list 180 permit ip host 172.16.1.10 any
R1(config)#access-list 180 deny ip 172.16.1.0 0.0.0.255 any

De todas formas la respuesta se mantiene y es exactamente debido a la razón que mencionas, la regla implícita deny all está denegando los paquetes recibidos ya que no existe coincidencia con ninguna de las ACEs presentes. Faltaría ejecutar el comando

access-list 180 permit ip any any

Espero que ahora quede claro, atento a tus comentarios!

Saludos cordiales.

Hola Andrés, si bien no es necesario para CCNA, sí lo utilizamos para CCNP. Te envíe el link de descarga a tu correo electrónico.

Saludos!

Hola Gianfranco

Las reglas genéricas que configuras en un firewall para denegar o permitir el acceso del tráfico, son ACLs; así que conceptualmente es lo mismo, no existen diferencias. Por ejemplo cuando configuras listas de acceso por la CLI en un firewall ASA, esas mismas reglas las veras configuradas en la interfaz gráfica del firewall.

Ahora si hablas de configurar ACLs en dispositivos de red como Routers o Switches Vs configurar un Firewall dedicado, hay que tener en cuenta algunas cuestiones. Primero la diferencia es que un firewall es un dispositivo que esta netamente dedicado a la seguridad y obviamente tiene otras funciones que un router o switch no puede tener, y ocurre lo mismo al otro lado, cada dispositivo tiene su función, si bien en los routers o switches puedes configurar ACLs, no fueron diseñados para funcionar como dispositivos de seguridad especializados, su función principal es conmutar y enrutar; si utilizas un dispositivo para realizar TODAS las funciones de una red, estarías arriesgándote a que el dispositivo llegue a su pico de rendimiento y comience a tener fallas; al final todo depende de tu presupuesto y tu diseño… en un switch ya viste que puedes tener funciones de Wireless, funciones de enrutamiento, funciones de conmutación, funciones de seguridad… de nuevo, es posible utilizarlo para todo? si… es recomendado? No, además que mucho depende del rendimiento que tenga tu dispositivo y del tamaño de tu red.
Por otro lado, si utilizas 1 solo dispositivo para realizar todas las funciones en tu red, te arriesgas a que cuando caiga ese dispositivo, absolutamente TODA tu red va dejar de funcionar, tienes un único punto de falla.

Al final respondiendo a tu consulta, la respuesta es SÍ, se puede tener control del tráfico con ACLs y con Firewall en la misma red; en muchas redes se utiliza el propio switch para restringir la comunicación interVLAN a nivel de SVIs, y se utiliza un firewall en el perímetro de la red para protegerte contra amenazas externas; en otras redes se utilizan 2 firewalls, uno para la comunicación interVLAN, y otro para el perímetro de la red; en otros se utilizan más firewalls, uno para la comunicación interVLAN, otro para los servidores, otro para el perímetro. Al final TODO DEPENDE del diseño que tengas, de las áreas que necesites proteger, del lugar donde está configurado tu Gateway, de los servicios que ofreces, de tu presupuesto, etc.

Atento a tus comentarios.

Saludos!

Hola Rodny,

a) access-list 1 permit 192.168.10.0 0.0.0.254

b) access-list 1 permit 192.168.10.1 0.0.0.254

c) access-list 1 permit 192.168.10.0 0.0.0.31

d) Lo que se me ocurre en este momento, es que podrías permitir las últimas 15 IPs con access-list 1 permit 192.168.10.240 0.0.0.15 , y después crear reglas individuales que permitan las otras 5 IPs, o 6 (si no cuentas la IP de broadcast).

Saludos!