Diapositiva 1

Listas de Control de Acceso (ACL)Universidad Politcnica SalesianaACL estndarConfiguracin de ACL estndarRouter(config)#access-list[1-99][permit|deny][direccin de origen][mascara comodn]

1-99Identifica el rango y la lista.Permit|denyindica si esta entrada permitir o bloquear el trfico a partir de la direccin especificada.Direccin de origen identifica la direccin IP de origen.Mascara comodn o wildcardidentifica los bits del campo de la direccin que sern comprobados. Los 0 indican las posiciones que deben coincidir, y los 1 las que no importan.

Asociacin de la lista a una interfazRouter(config-if)#ip access-group[n de lista de acceso][in|out]Donde:Nmero de lista de accesoindica el nmero de lista de acceso que ser aplicada a esa interfaz.In|outselecciona si la lista de acceso se aplicar como filtro de entrada o de salida.

Ejemplo de una ACL estndar denegando una redRouter#configure terminalRouter(config)#access-list 10 deny 192.168.1.0 0.0.0.0Router(config)#access-list 10 permit anyRouter(config)#interface serial 0Router(config-if)#ip access-group 10 inACL ExtendidaConfiguracin de una ACL IP extendidaRouter(config)#access-list[100-199] [permit|deny] [protocol] [direccin de origen] [mascara comodn] [direccin de destino] [mascara de destino] [puerto]

100-199identifica el rango y nmero de lista

Protocolo: como por ejemplo IP, TCP, UDP, ICMPDireccin origen y destino: identifican direcciones IP de origen y destino.Mascara wildcard origen y mascara destinoPuertoopcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un nmero de puerto de protocolo correspondiente.

Configuracin de una ACL IP extendidaAlgunos de los nmeros de puertos ms conocidos:20 Datos del protocolo FTP21 FTP23 Telnet25 SMTP69 TFTP53 DNSAsociacin de la lista a una interfazRouter(config-if)#ip access-group[n de lista de acceso][in|out

Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una redRouter(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80Router(config)#access-list 120 permit ip any anyRouter(config)#interface serial 1Router(config-if)#ip access-group 120 inEliminar las listas de accesoDesde el modo interfaz donde se aplico la lista:Router(config-if)#no ip access-group[N de lista de acceso]Desde el modo global elimine la ACLRouter(config)#no access-list[N de lista de acceso]

Redes Pblicas Redes PrivadasUniversidad Politcnica SalesianaRedes Pblicas Redes Privadas

Redes Pblicas Redes PrivadasRedes Pblicas Redes Privadas

NAT y PATUniversidad Politcnica Salesiana

NATNAT(Network Address Translation-Traduccin de Direccin de Red) Es un mecanismo utilizado porencaminadoresIP para intercambiar paquetes entre dos redes que se asignan mutuamentedireccionesincompatibles.NAT Estticoip nat inside source static 10.0.0.2 200.0.0.1

interface fastethernet 0/0ip nat inside

interface serial 2/0ip nat outside

show ip nat translationsPAT (NAT DINMICO)La forma ms utilizada de NAT proviene del NAT dinmico, ya que toma mltiples direcciones IP privadas y las traduce a una nica direccin IP pblica utilizando diferentes puertos. Esto se conoce tambin como PAT (Port Address Translation), NAT de nica direccin , NAT multiplexado a nivel de puerto o sobrecarga (overload).PAT

Configuracin PAT1. Primero deberemos definir una lista de acceso IP estndar que permita las direcciones locales internas que se deben traducir: Router(config)# access-list 5 permit 172.16.0.0 0.0.0.2552. Establecer la traduccin dinmica de origen, especificando la lista de acceso definida en el paso anterior.Router(config)# ip nat inside source list 5 interface serial0/0 overloadnota: la palabra overload habilita PATConfiguracin PAT3. Especificar la direccin global como un conjunto que se usar para la sobrecarga.Router(config)# ip nat pool 1 179.9.8.20 netmask 255.255.255.240oRouter(config)# ip nat pool xxx 200.0.0.3 200.0.0.6 netmask 255.255.255.248

Configuracin PAT4. Establecer la traduccin de sobrecarga:Router(config)# ip nat inside source list 5 pool xxx overload5. Especificar la interfaz interna y marcarla como conectada al interior.Router(config)# interface e0Router(config-if)# ip nat insideRouter(config-if)# exit 6. Especificar la interfaz externa y marcarla como conectada al exterior.Router(config)# interface s0Router(config-if)# ip nat outsideRouter(config-if)# exitPAT Dinmico (Resumen)(rango privado) access-list 5 permit 172.16.0.0 0.0.0.255(rango publico) ip nat pool id_pool 200.0.0.3 200.0.0.6 netmask 255.255.255.248(mapeo) ip nat inside source list 5 pool nombre_pool overload