De acuerdo

Seguridad de red y acceso: configuraciones y aplicaciones básicas y uso de máscaras wildcard en ACL

Última respuesta Sep 02, 2021 11:57:42 212 4 7 0 0

En los routers, las listas de acceso se utilizan a menudo para filtrar direcciones y lograr determinadas políticas de seguridad. Generalmente, la lista de acceso se utiliza para permitir o denegar un segmento de dirección. Por ejemplo:

access-list permit 1 192.168.1.0 0.0.0.3
access-list permit 1 192.168.1.16 0.0.0.15

 

Es posible que los principiantes no definan claramente las máscaras comodín. Pueden pensar que la máscara comodín en una ACL solo puede ser la máscara comodín de la máscara de subred del segmento de dirección en uso en la red. Vea el siguiente ejemplo:

 

Ejemplo 1: existe un segmento de dirección IP 192.168.1.0/29 en una red. Para permitir que todas las computadoras de este segmento de red accedan a Internet, ejecute el comando access-list permit 1 192.168.1.0 0.0.0.7. Sin embargo, si solo 192.168.1.1 y 192.168.1.5 tienen permiso para acceder a Internet, la ACL generalmente se escribe de la siguiente manera:

Access-list permit 1 192.168.1.1 0.0.0.0
Access-list permit 1 192.168.1.5 0.0.0.0
Access-list deny any any

 

Si la máscara comodín o wildcard en una ACL está claramente definida, podemos usar otro método. Antes de esto, revisemos las reglas de coincidencia que utilizan la máscara comodín o wildcard en la ACL.

 

La máscara comodín en una ACL consta de 32 0 y 1. Si el bit es 0, el bit correspondiente de la dirección coincidente debe coincidir con el bit correspondiente de la dirección en la ACL. Por ejemplo:

Matched address: 192.168.1.1 1100 0000.1010 1000.0000 0001.0000 0001
Wildcard mask: 0.0.0.7 0000 0000.0000 0000.0000 0000.0000 0111
IP address in the ACL: 192.168.1.0 1100 0000.1010 1000.0000 0001.0000 0000

 

La parte en rojo y en negrita es la parte que debe coincidir con la dirección en la ACL. Debido a que los primeros 29 bits de la máscara comodín son 0 y los últimos tres bits son 1, los últimos tres bits de la dirección coincidente se ignoran, lo que se denomina no importa. Por lo tanto, los últimos tres bits pueden ser cualquier combinación de 0 y 1.

 

Echemos un vistazo a la siguiente ACL:

 

Access-list permit 1 192.168.1.1 0.0.0.4 (192.168. 1.1 es la dirección de condición coincidente de la ACL).

Suponga que el segmento de direcciones coincidentes en la red es 192.168.0.1. 1.0 / 29.


Dirección
  coincidente

192.168.1.1

1100 0000.

1010 0000.

0000 0001

0000 0

0

01

192.168.1.2

1100 0000.

1010 0000.

0000 0001

0000 0

0

10

192.168.1.3

1100 0000.

1010 0000.

0000 0001

0000 0

0

11

192.168.1.4

1100 0000.

1010 0000.

0000 0001

0000 0

1

00

192.168.1.5

1100 0000.

1010 0000.

0000 0001

0000 0

1

01

192.168.1.6

1100 0000.

1010 0000.

0000 0001

0000 0

1

10

Mascara WildCard

0.0.0.4

0000 0000.

0000 0000.

0000 0000.

0000 0

1

00

Dirección de condición de ACL:

192.168.1.1

1100 0000.

1010 1000.

0000 0001.

0000 0

0

01

 

De acuerdo con la definición de máscara comodín o wildcard de la ACL, solo el bit 30 en 0.0.0.4 es 1. Por lo tanto, la coincidencia entre el bit 30 y este bit puede ignorarse. Los otros bits deben ser los mismos que los bits correspondientes de la dirección de coincidencia de condición 192.168.1.1 en la ACL. Por lo tanto, los dos últimos bits de la dirección de coincidencia de condiciones son 01, y solo las direcciones 192.168.1.1 y 192.168.1.5 son iguales a los dos últimos bits de la dirección de coincidencia de condiciones. Es decir, en el segmento de direcciones 192.168.1.0/29, solo las direcciones 1 y 5 pueden coincidir con la ACL.

 

Nuestra ACL en el ejemplo 1 anterior:

Access-list permit 1 192.168.1.1 0.0.0.0
Access-list permit 1 192.168.1.5 0.0.0.0
Access-list deny any any

 

Puede escribirse como:

Access-list permit 1 192.168.1.1 0.0.0.4

  

El ejemplo anterior muestra que la máscara comodín en una ACL es diferente del código inverso en un protocolo de enrutamiento dinámico.


Comandos de configuración básica de ACL básicas

1. Cree una ACL básica.

Cree una ACL básica numerada y acceda a su vista.

[Huawei] acl [ number ] ac-mwmper [ match-order config ]

 

Cree una ACL básica con nombre y acceda a su vista.

[Huawei] acl name aci-name { basic | acl-number } | match-order config }

  

2. Configure una regla para la ACL básica.

[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name }

  

En la vista de ACL básica, puede ejecutar este comando para configurar una regla para la ACL básica


Caso: use una ACL básica para filtrar el tráfico de datos

 

i1


Figura 1. Ejemplo de una ACL básica para filtrar el tráfico de datos. 


Requerimientos:

Para evitar que el host del usuario en el segmento de red 192.168.1.0/24 acceda a la red donde el servidor reside, configure una ACL básica en el router. Una vez completada la configuración, la ACL ajusta los paquetes de datos cuyas direcciones IP de origen están en el segmento de red 192.168.1.0/24 y permite otros paquetes de datos.

 

1. Configure las direcciones y rutas IP en el enrutador.

2. Cree una ACL básica en el router para evitar que la red del segmento 192.168.1.0/24 no acceda a la red donde reside el servidor.

[Router] acl 2000
[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] rule permit Source any

 

3. Configure el filtrado de tráfico en la dirección entrante de GE 0/0/1.

[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
[Router-GigabitEthernet0/0/1] quit

 

Comandos de configuración básica de ACL avanzadas (1)

Cree una ACL avanzada.

Cree una ACL avanzada numerada y acceda a su vista.

[Huawei] acl [ number ] acl-mwmper [ match-order config ]

  

Cree una ACL avanzada con nombre y acceda a su vista.

[Huawei] acl name acl-namme { advance | acl-nuwber} [ match-order config ]


Comandos de configuración básica de ACL avanzadas (2)

Configure una regla para la ACL avanzada.

 

Puede configurar reglas de ACL avanzadas de acuerdo con los tipos de protocolo de los paquetes IP. Los parámetros varían según los tipos de protocolo.

 

Cuando el tipo de protocolo es IP, el formato del comando es:

rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard| any } | source { source-addresssource-wildcard| any } 
| time-range time-name| [ dsep dscp| [ tos fos| precedence precedence} | }

  

En la vista de ACL avanzada, puede ejecutar este comando para configurar una regla para la ACL avanzada.

 

Cuando el tipo de protocolo es TCP, el formato del comando es:

rule [ rule-id] { deny | permit } { protocol-number| tep } [ destination { destination-address destination-wildcard| any } |
destination-port { eq port | gt port | It port | range port-start port-end } | 
source { source-address source-wildcard| any } |
source-port { eq port | gt port | It port | range port-start port-end } | tep-flag { ack | fin | syn } * | time-range time-name |]

 

En la vista de ACL avanzada, puede ejecutar este comando para configurar una regla para la ACL avanzada.


Caso: Utilice ACL avanzadas para evitar que los hosts de usuario en diferentes segmentos de red se comuniquen (1)

 

i2

Figura 2. Ejemplo de aplicación para una ACL avanzada 


Requerimientos:

Los departamentos de una empresa están conectados a través del router. Para facilitar la gestión de la red,

 

El administrador asigna direcciones IP de diferentes segmentos de red a los departamentos de I + D y marketing. La compañía requiere que el enrutador evite que los hosts de los usuarios en diferentes segmentos de la red se comuniquen para garantizar la seguridad de la información.

 

1. Configure las direcciones y rutas IP en el router.

2. Cree la ACL 3001 y configure las reglas para que la ACL rechace los paquetes desde el departamento de I + D hasta el departamento de marketing.

[Router]acl 3001
[Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255
destination 10.1.2.0 0.0.0.255
[Router-acl-adv-3001] quit

 

3. Cree la ACL 3002 y configure las reglas para que la ACL rechace los paquetes desde el departamento de marketing hasta el departamento de I + D + i.

[Router] acl 3002
[Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255
destination 10.1.1.0 0.0.0.255
[Router-acl-adv-3002] quit

  

Caso: Utilice ACL avanzadas para evitar que los hosts de usuarios en diferentes segmentos de red se comuniquen (2)


Requerimientos:

Los departamentos de una empresa están conectados a través del router. Para facilitar la gestión de la red, el administrador asigna direcciones IP de diferentes segmentos de red a los departamentos de I + D y marketing.

 

La compañía requiere que el router evite que los hosts de los usuarios en diferentes segmentos de la red se comuniquen para garantizar la seguridad de la información.

 

4. Configure el filtrado de tráfico en la dirección entrante de GE 0/0/1 y

GE0/ 0/2.

[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filterinbound acl 3001
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] traffic-filter inbound acl 3002
[Router-GigabitEthernet0/0/2] quit

 

Saludos.

 

FIN.

 

También te puede interesar:

 

Balanceo con rutas estáticas y configuración VRRP

Configuracion: Router on a stick o Intervlan

Configuraciones Básicas en un Router Huawei Parte I

 

Conoce más de esta línea de productos en:

Foro de routers de Huawei

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


  • x
  • Opciones:

user_2837985
Publicado 2021-9-1 13:11:32
amigo best
Ver más
  • x
  • Opciones:

Jfriash
VIP Author Publicado 2021-9-1 21:51:38
Excelente muchas gracias!
Ver más
  • x
  • Opciones:

cardelher
HCIE VIP Author Publicado 2021-9-2 11:12:19
Excelente info!! Gracias
Ver más
  • x
  • Opciones:

Guaman
Publicado 2021-9-2 11:57:42
muy buena informacion
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.