Page 360 - Untitled
P. 360

REDES CISCO: Curso práctico de formación para la certificación CCNA

            Origen: 192.168.10.0/24 (VLAN10), denegar.
            Origen: 192.168.10.100 (Host en VLAN 10), permitir.
            Origen: Cualquiera, permitir.
            Destino: Red 172.20.0.0/16.


               ¿En  qué  router,  interfaz  y dirección  será configurada?  Una  ACL  estándar  debe
            estar  ubicada  lo  más  cercano  posible  al  destino,  siendo  en  este  caso  la  red
            172.20.0.0, la cual forma  parte de R1. Por lo  tanto, la ACL será  aplicada  en  dicho
            router. La interfaz correcta es aquella que conecta directamente con el destino, en
            este caso la Fa0/0, y la dirección de salida, porque los paquetes de la VLAN10 son
            procesados por R1 y deben ser reenviados a través de la misma.


               ¿En qué orden  deben ser definidas las  entradas en la  ACL? A excepción  de  un
            host, se solicita bloquear una subred al completo. Los filtros son procesados en el
            mismo orden en que han sido configurados, y desde que exista una coincidencia se
            ejecuta  la  acción  establecida  en  él.  Es  por  ello  que  la  primera  sentencia  debe  ser
            aquella que permita el tráfico del host, la segunda, bloquear la subred completa, y
            por último, permitir cualquier tipo de comunicación, de tal manera que:

                    1.- Dir. Origen: 192.168.10.100 -> Permitir
                    2.- Dir. Origen: Red 192.168.10.0/24 -> Denegar
                    3.- Dir. Origen: any -> Permitir

               ¿Por qué una ACL estándar debe estar ubicada lo más cercano posible al destino?
            Las ACL estándar son muy sencillas y tan solo basan su filtrado en una dirección de
            origen,  ya  sea  de  host,  o  de  red.  Imagina,  que  por  error,  fuera  configurada  en  la
            interfaz Fa0/0 de R2 en dirección de entrada. Ello daría como resultado que todos los
            paquetes de la VLAN 10 fueran descartados de manera inmediata sin tener en cuenta
            el destino de cada uno de ellos. El objetivo consiste en bloquearlos solo para la red
            172.20.0.0, sin embargo, en este caso se denegarían para cualquier comunicación.


               Paso 2: Configurar la ACL en el router.

               Decididos  el  orden  de  las  sentencias  y  el  router  donde  será  aplicada,  tan  solo
            bastaría  proceder  a  ello  haciendo  uso  de  los  comandos  analizados  en  párrafos
            anteriores.

                    R1(config)# access-list 1 permit 192.168.10.100
                    R1(config)# access-list 1 deny 192.168.10.0  0.0.0.255
                    R1(config)# access-list 1 permit any

               Paso 3: Aplicar la ACL en la interfaz y dirección seleccionada.


               Por último, aplicarla en Fa0/0 con dirección de salida.

            344
   355   356   357   358   359   360   361   362   363   364   365