4 Replies Latest reply: Nov 13, 2019 8:27 AM by harima1 RSS

    ACL estándar

    harima1

      Hola

       

      Tengo esta topología

      acl-standar.JPG

       

      Lo que busco es bloquear la comunicación entre PC0 y Server0.

      Configuré una acl estándar donde coloqué la dirección origen de la PC0 y aplique en la interfaz Fa1/0 como saliente (out). Verifique que si funciona.

      En mi estudios escuche que la ACL saliente se aplica cerca del destino, es una regla general? o es mejor aplicar una acl extendida que como escuche aplico cerca del origen?

        • 1. Re: ACL estándar
          Ing_Percy

          Hola!

           

          Como has mencionado, es verdad, las ACLs estándar se aplican cerca del destino y la ACLs extendidas cerca del origen. Éstas expresiones son denominadas "buenas prácticas" o recomendaciones que funcionan de forma efectiva de acuerdo al tipo de ACL a elegir, ya que en realidad tu puedes aplicar ACLs como tu creas conveniente de acuerdo a la topología que tengas.

           

          Ahora, aunque tu ACL estándar que has aplicado está funcionando como mencionas, yo te recomendaría que uses la ACL extendida, ya que puedes manejar fácilmente los accesos al configurar desde tu dispositivo origen. Asimismo puedes bloquear por Protocolos TCP/UDP de acuerdo a su número de Puerto, lo cual puedes usar para restringir solo el acceso web entre PC0 y tu Server0.

           

          Saludos!

          • 2. Re: ACL estándar
            harima1

            Gracias por responder, quería saber si te refieres a que es mejor aplicar la acl extendida si hay más routers entre el mi pc y el servidor, verdad? ya que si lo aplico por ejemplo en equipos reales, tendría que tener acceso al último router donde estaría conectado el servidor, sea por consola o por telnet y asi configurar al acl estándar?

             

            Aplique la acl extendida como dijiste para bloquear el acceso web, lo aplique en la interfaz Fa0/0 como entrante (in) y si funciona, ya que aunque puedo hacer ping desde pc0 a server0, cuando coloco el acceso web desde la pc0 no tengo acceso ya que se bloquea por el acl.

            • 3. Re: ACL estándar
              Ing_Percy

              Hi!

               

              Claro, es como dices, ya que mientras sea una configuración local siempre será mejor, aunque yo te lo diría más bien por la variedad de atributos que puedes utilizar para filtrar paquetes, por protocolo IP, TCP, UDP, ICMP  y aún más como puedes ver:

               

              R1(config)#access-list 100 permit ?

                <0-255>  An IP protocol number

                ahp      Authentication Header Protocol

                eigrp    Cisco's EIGRP routing protocol

                esp      Encapsulation Security Payload

                gre      Cisco's GRE tunneling

                icmp     Internet Control Message Protocol

                igmp     Internet Gateway Message Protocol

                ip       Any Internet Protocol

                ipinip   IP in IP tunneling

                nos      KA9Q NOS compatible IP over IP tunneling

                ospf     OSPF routing protocol

                pcp      Payload Compression Protocol

                pim      Protocol Independent Multicast

                tcp      Transmission Control Protocol

                udp      User Datagram Protocol

               

              Me da gusto que funcione tu topología con la acl extendida

               

              Saludos!

              • 4. Re: ACL estándar
                harima1

                Gracias por la ayuda!