De acuerdo

Configuración de ACL Básica y Avanzada

Última respuesta nov. 20, 2020 16:11:10 439 3 2 0 0

Hola a toda la comunidad Huawei en Español en especial a ti que lees este Post.


Vamos a realizar en esta nueva publicación la configuración de ACL (Lista de Control de Acceso) en diferentes escenarios, configurando ACL básica y Avanzada, esta ultima la utilizaremos para filtrar el trafico IP ICMP y TCP.

acl 1


La imagen anterior representa un escenario para la configuración de ACL básica donde se filtrara el tráfico de origen.


ACL BASICA


Paso 1 Creamos una  ACL básica

Las ACL básicas tienen un rango de numeración de 2000 hasta 2999

[Huawei]acl 2001

 

Paso 2 Permitimos o negamos el tráfico con IP de origen. En este ejemplo negaremos el tráfico con IP de origen 192.168.2.0 y permitiremos el resto.

[Huawei-acl-basic-2001]rule 5 deny source 192.168.2.0 0.0.0.255

[Huawei-acl-basic-2001]rule 10 permit source any

 

Paso 3 Aplicamos la ACL creada como salida a la interfaz externa del Router

[Huawei]interface g0/0/0

[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2001


Resultado


acl 2

Ping enviado por el cliente en el segmento de red 192.168.2.0 y que es negado por la ACL


acl 3

Ping enviado por el cliente en el segmento de red 192.168.3.0 y que es permitido por la ACL


ACL AVANZADA


La lista de control de acceso avanzada tiene un rango de enumeración de 3000 a 3999 y permiten el filtrado basado en varios parámetros para admitir un proceso de selección de rutas más detallado. Mientras que una ACL básica proporciona el filtrado basado en la dirección IP de origen, acl avanzada son capaces de filtrar basado en la IP de origen y de destino, los números de puerto de origen y de destino, los protocolos de la capa de red y de transporte y los parámetros que se encuentran dentro de cada capa, tales como clasificadores de tráfico IP y valores de marca TCP (SYN- ACK FIN, etc.).

 

Para este ejemplo filtraremos el tráfico para que el cliente 2 no pueda hacer ´ping al servidor negando el trafico ICMP.

 

Para la PC el filtrado se basara en el protocolo IP negando el acceso al servidor de todo el segmento de red 192.168.3.0

 

Para el cliente 1 el filtrado se aplicara en función al protocolo TCP para que no acceda al servidor a través del puerto destino 80 o www.

 

Paso 1 Creamos la ACL 3000

 

[Huawei]acl 3000


Paso 2 Negamos el trafico ICMP con IP de origen 192.168.2.0 y destino 9.9.9.9

[Huawei-acl-adv-3000]rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 9.9.9.9 0.0.0.0


Paso 3 Negamos el trafico IP con origen 192.168.3.0 y destino 9.9.9.9

[Huawei-acl-adv-3000]rule 10 deny ip source 192.168.3.0 0.0.0.255 destination 9.9.9.9 0.0.0.0


Paso 4 Negamos el trafico TCP con puerto destino 80 e IP de origen 192.168.4.0 y destino 9.9.9.9

[Huawei-acl-adv-3000]rule 15 deny tcp source 192.168.4.0 0.0.0.255 destination 9.9.9.9 0.0.0.0 destination-port eq 80

 

Aplicamos las reglas creada como entrada, a la interfaz interna del Router.

[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

 

Resultados


acl 4

Intentamos hacer ping al servidor desde el cliente 2 pero el mismo Fallo.

acl

Intentamos acceder al servidor desde el mismo cliente 2 pero esta vez con una solicitud http y fue exitosa.


acl 6

Desde la pc2 intentamos acceder al servidor pero la comunicación fue fallida ya que este tráfico le aplicamos una regla que negaba el protocolo IP.


acl 7

Desde el cliente 1 realizamos un ping al servidor y este fue exitoso

acl 8

Realizamos una petición http al servidor desde el mimo cliente 1 pero este fue Fallido ya que la regla que le aplicamos a este segmento de red negaba todo solicitud al puerto 80.


FIN..


#ComunidadEnterprise #UsuarioVIP

  • x
  • convención:

user_3915171
Publicado 2020-9-19 17:42:23
excelente, gracias por tus aportes
Ver más
  • x
  • convención:

luisjre
Publicado 2020-9-20 08:55:15
Experimentado! muy bueno!
Ver más
  • x
  • convención:

Claire
Publicado 2020-11-20 16:11:10
Gracias por la información . Buen post
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.