Professional Documents
Culture Documents
Limitar el trfico de red y mejorar el desempeo de la red. Brindar control de flujo de trfico. Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo: Al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le deniega el acceso a dicha red.
Se debe decidir que tipos de trfico se envan o bloquean en las interfaces del router.
Una ACL (Lista de Control de Acceso) es un grupo de sentencias que define cmo los paquetes: Entran a las interfaces de entrada.
IP extendido
Appletalk IPX IPX extendido
100-199
600-699 800-899 900-999
1000-1099
Aplicando: a una Interface fastethernet 0/0 Router(config)# interface fastethernet 0/0 Router(config-if)# ip access-group 1 out
MASCARA WILDCARD
Una mscara wildcard es una cantidad de 32 bits que se
de bits correspondiente.
Un bit 1 de una mscara wildcard significa "no verificar (ignorar) el valor de bit correspondiente". Una mscara wildcard se compara con una direccin IP. Las mscaras wildcard y las mscaras de subred IP operan de manera diferente.
MASCARA WILDCARD
Bits de mscara wildcard
MASCARA WILDCARD
Bits de mscara wildcard
MASCARA WILDCARD
Esta poltica no verifica ningn BIT de la direccin IP de la red, ya que la wildcard esta compuesto por bits de 1. En el segundo caso la poltica es permitir el acceso a todas las redes usando la palabra reservada ANY.
EJEMPLO DE ACL
Host 1 WAN IP: 201.1.1.0 Mask. 255.255.255.0 Host 2 S0 (DTE) .1 IP=200.20.20.0 Mask=255.255.255.0 Router A PPP Host 4
Router C
IP=210.20.20.0 Mask=255.255.255.0
access-list 20 permit 200.20.20.2 access-list 20 deny any . . interface FatsEthernet 0/0 ip access-group 20 Out
El host 2 (200.20.20.2) tendr acceso a la red 210.10.10.0 y el resto de hosts de la red 200.20.20.0 se deniega su acceso a dicha red (210.10.10.0).
EJEMPLO DE ACL
Host 1 WAN IP: 201.1.1.0 Mask. 255.255.255.0 F0/0 200.20.20.2 Host 2 IP=200.20.20.0 Mask=255.255.255.0 Router A S0/0 (DTE) .1 Host 4
IP=210.10.10.0 Mask=255.255.255.0
Host 5
WAN PPP IP: 201.2.2.0 Mask. 255.255.255.0 S0/1 DCE Router C F0/0
access-list standard Lista1 permit 200.20.20.2 deny 200.20.20.0 0.0.0.255 . . interface FastEthernet 0/0 ip access-group Lista1 Out
IP=210.20.20.0 Mask=255.255.255.0
El host 2 tendr acceso a la red 210.10.10.0 y el resto de los hosts de la red 200.20.20.0 se deniega su acceso a la red 210.10.10.0