Tecnología

Inicio

Cómo configurar las ACL

June 21

Cómo configurar las ACL


Protección de la red es el trabajo número uno de todos los administradores. El mantenimiento de una red segura no debe interferir con el servicio que ofrece a sus usuarios, pero es una prioridad, si usted quiere asegurarse de que sus clientes obtengan el servicio que están pagando. La aplicación de listas de control de acceso (ACL) en el puerto de entrada de la red, donde el tráfico entra por primera vez, es su mejor oportunidad para reducir al mínimo las amenazas de seguridad y ataques.

Instrucciones

1 Decidir cuál es el protocolo de Internet (IP) que desea permitir y que se debe bloquear. Hay una lista de elementos comunes que se bloquean cuando se trata de el puerto de entrada, tales como el tráfico procedente de una dirección IP privada. La razón por la que se llama privada se debe a que es sólo para uso interno; que nunca debería estar recibiendo el tráfico procedente de una dirección privada que entraban en su conexión a Internet. IPs que pertenecen a sus interfaces de red troncal se debe confiar en esta lista para que puedan permitir que el tráfico fluya al cliente. No hay límite al número de direcciones IP que puede permitir o denegar.

2 Construir su lista de palabras, nombres o IPs de dispositivos en el formato de su router aceptará; utilizar un bloc de notas, y hacerlo antes de tiempo. La sintaxis de una lista de acceso básico se puede escribir como "lista de acceso x permiso / denegación IP xxxx xxxx ninguna." Pensar en el tráfico como una carta que viene a su casa. Cada letra tiene una dirección de correo fuente (como una dirección IP de origen) y una dirección de destino para la persona que recibe la carta (dirección IP de destino).

3 Elegir un número para tomar el lugar de la primera x. Cada ACL tiene un único número o nombre que identifica a dicha lista. Uno a 99 se consideran números ACL estándar; nada más alto o con un nombre de texto real se considera una lista ampliada. Puede manipular las listas extendidas con más opciones y la creatividad que las listas estándar, que se construyen de una sola manera. Las listas ampliadas permiten editar sin necesidad de retirar toda la lista y empezar de nuevo.

4 Elija una acción para el router para llevar a cabo, ya sea para permitir o negar. Esto es importante porque le dice al router para aceptar (permiso) o eliminar (negar) el tráfico basándose en una dirección IP que coincide con una de las entradas. Al final de cada lista hay una declaración oculto "negar". Tenga en cuenta cuando vaya a configurar la lista que ordenar las cosas. Un router comparará una fuente de entrada y de IP de destino de un paquete en el orden de la lista de arriba a abajo. Una vez que se ha encontrado una coincidencia para permitir o denegar, el router realiza la acción sin comparar el resto de la lista de las direcciones IP. Una vez que se encuentra una coincidencia IP, el router empuja el tráfico o la deja caer y no utiliza el resto de las entradas en la lista.

5 Elija un protocolo. En este ejemplo estamos utilizando IP, ya que es estándar y es la opción más utilizada. Si estaba configurando una lista ampliada, opciones adicionales serían protocolo de control de transmisión (TCP), el protocolo de datagramas de usuario (UPD) o protocolo de mensajes de control de Internet (ICMP).

6 Escoja una IP. El primer conjunto de xxxx representan la dirección IP que desea permitir o denegar para la dirección IP de origen. Complete los números necesarios, que van de 0 a 255. Si alguna vez ves una IP con un número superior a 255, entonces hay un error.

7 Elija una máscara comodín. Una máscara le dice al enrutador qué números de cheques y que pasarán por alto para la fuente. Si hay un 0 en la que x es, a continuación, pasar por alto ese número. Si hay un 1 a través de 255, entonces el router comprueba que el número para ver si está permitido. Los números para la máscara también van de 0 a 255; un ejemplo sería el siguiente: 0.0.0.255. Esta máscara hace caso omiso de las 3 primeras posiciones y permite que todos los números en la última posición.

8 Entrar y aplicar sus configuraciones al router. Por ejemplo, una lista de acceso negar todas las direcciones IP 10.0.0.0 y permitiendo todo lo demás sería así (sólo escribir lo que está dentro de las comillas, y cuyo texto es el material de referencia adicional para proporcionar más detalles sobre lo que cada uno realiza una acción de comando):

"Configure terminal" pulse la tecla enter (comando para entrar en el modo de configuración)
"Lista de acceso 4 negar cualquier 10.0.0.0 0.255.255.255" Pulse la tecla ENTER (sistema para evitar que todas las direcciones IP 10.0.0.0)
"Lista de acceso 4, permiten ninguna", oprima la tecla enter (comando para permitir que todos los demás IPs)
"Final", pulse la tecla enter (comando para salir del modo de configuración)
"Escribir en la memoria", pulse la tecla enter (comando para guardar los cambios)

Cada lista de acceso termina con que oculta comunicado "negar", pero esto se puede cambiar usando el "permiso cualquier cualquier" comando para permitir que todos, y el router permitirá que todos los demás IP en la interfaz antes de que intenta hacer coincidir la "denegar todo" al final de la lista de acceso.

"Cualquier" es un comando que toma el lugar de una dirección IP y una máscara adicional para el destino. Para obtener una lista de acceso estándar, esto es lo que se utiliza por lo general debido a que está intentando limitar la dirección IP de origen en lugar de la dirección IP de destino en la que la fuente está tratando de ir.

Consejos y advertencias

  • Las listas de acceso no funcionarán hasta que no se aplican a una interfaz.