Page 371 - Untitled
P. 371

CAPÍTULO 7: SEGURIDAD EN CAPA 3


                            ---ACL estándar nombrada---
                            Router(config)# access-list standard PRUEBA-ESTANDAR
                            Router(config-std-nacl)# permit 10.10.1.1
                            Router(config-std-nacl)# permit 192.168.2.3


                       Exactamente  lo  mismo  ocurre  con  aquellas  extendidas,  creada  la  ACL  resulta
                    innecesario identificarla en cada sentencia.

                            ---ACL extendida numerada---
                            Router(config)#  access-list  101  deny  tcp  host  10.10.1.1    10.0.0.0
                            0.255.255.255 eq 80
                            Router(config)# access-list 101 deny udp any any
                            Router(config)# access-list 101 deny tcp 192.168.1.0  0.0.0.255 any eq
                            telnet
                            Router(config)# access-list 101 permit ip any any

                            ---ACL extendida nombrada---
                            Router(config)# access-list extended PRUEBA-EXTENDIDA
                            Router(config-ext-nacl)#       deny    tcp    host    10.10.1.1         10.0.0.0
                            0.255.255.255 eq 80 Router(config-ext-nacl)# deny udp any any
                            Router(config-ext-nacl)# deny tcp 192.168.1.0  0.0.0.255 any eq telnet
                            Router(config-ext-nacl)# permit ip any any

                       Una  vez  definida,  bastará  con  aplicarla  en  la  interfaz  y  dirección  necesaria
                    haciendo uso del comando ip access-group [nombre] [in|out]:

                            Router(config)# int Fa0/0
                            Router(config-if)# ip access-group PRUEBA-EXTENDIDA out


                    Edición de ACL ya creadas


                       Una de las grandes ventajas que ofrece este método de configuración consiste en
                    la posibilidad de controlar el orden de las sentencias, permitiendo definir la posición
                    que ocupará un determinado filtro a la hora de crearlo. Por ejemplo, imagina que
                    resulta  necesario  permitir  el  tráfico  de  la  IP  10.10.1.2  en  la  ACL  estándar  recién
                    configurada, debiendo ocupar el lugar más alto de la lista.


                       La primera acción a  llevar a cabo consiste en  comprobar el orden actual de  los
                    filtros, objetivo que se logra ejecutando un show ip access-list [nombre].

                            Router# show ip access-list PRUEBA-ESTANDAR
                            Standard IP access list PRUEBA-ESTANDAR
                                    10 permit 10.10.1.1
                                    20 permit 192.168.2.3


                       Los números 10 y 20 hacen referencia a la posición de cada uno de ellos dentro de
                    la ACL, los cuales han sido asignados automáticamente por IOS en relación con el
                    orden  de  configuración.  Sin  embargo,  se  ha  solicitado  habilitar  el  tráfico  de  una

                                                                                                          355
   366   367   368   369   370   371   372   373   374   375   376