Académique Documents
Professionnel Documents
Culture Documents
EjemplodeunaACLparapermitirtrficodenavegacinsloenhorariosdeoficina
EjemplodeunaACLparapermitirtrficodenavegacinsloenhorariosdeoficina
yutilizacindeunaACLreflexivaparaeltrficoderetorno.
Fecha:18deEnero2013Clase:CCNASecurityv1.1intensivo
Escenarioconequiposreales,PacketTracertnosoportaestasfunciones.
1.Creamoslaventanadetiempo
Rosario#configt
Rosario(config)#timerangeOFICINA
Rosario(configtimerange)#periodicweekdays9:00to18:00
Rosario(configtimerange)#end
Rosario#
2.CreamoslaACLinterna(permisosdesalida)
Rosario#configt
Rosario(config)#ipaccesslistextendedFILTRO
Rosario(configextnacl)#remarkACLparacontrolartraficosaliente
Rosario(configextnacl)#permitudp192.168.1.00.0.0.255anyeqdomain(pararesolucindeDNS)
Rosario(configextnacl)#permittcp192.168.1.00.0.0.255anyeq443timerangeOFICINA
Rosario(configextnacl)#permittcp192.168.1.00.0.0.255anyeqwwwtimerangeOFICINA
Rosario(configextnacl)#permittcp192.168.1.00.0.0.255host192.168.1.1eqtelnet(paragestinvaFa0/0)
Rosario(configextnacl)#end
Rosario#
3.CreamoslaACLexterna(permisosdeentradadetrficoderetorno)
Rosario(config)#ipaccesslistextendedexternal_ACL
Rosario(configextnacl)#evaluatewebonlyreflexiveACL(permitirloquegenereelreflectdeinternal_ACL)
Rosario(configextnacl)#evaluatednsonlyreflexiveACL(permitirloquegenereelreflectdeinternal_ACL)
Rosario(configextnacl)#permittcpanyanyeqtelnet(paragestinvaFa0/1)
Rosario(configextnacl)#exit
Rosario(config)#ipaccesslistextendedinternal_ACL
Rosario(configextnacl)#permittcpanyanyeqwwwreflectwebonlyreflexiveACLtimeout300(tiempoen
segundos)
Rosario(configextnacl)#permitudpanyanyeqdomainreflectdnsonlyreflexiveACLtimeout10(tiempoen
segundos)
Rosario(configextnacl)#end
Rosario#
4.Verificamosconfiguracin
http://www.vilarrasa.com.ar/time_acl.htm
1/4
11/4/2016
EjemplodeunaACLparapermitirtrficodenavegacinsloenhorariosdeoficina
Rosario#shrunn
resumido
!
interfaceFastEthernet0/0
ipaddress192.168.1.1255.255.255.0
ipaccessgroupFILTROin
ipnatinside
!
interfaceFastEthernet0/1
ipaddress192.168.72.253255.255.255.0
ipaccessgroupexternal_ACLin
ipaccessgroupinternal_ACLout
ipnatoutside
!
!
ipnatinsidesourcelist100interfaceFastEthernet0/1overload
!
ipaccesslistextendedFILTRO
remarkACLparacontrolartraficosaliente
permitudp192.168.1.00.0.0.255anyeqdomain
permittcp192.168.1.00.0.0.255anyeq443timerangeOFICINA
permittcp192.168.1.00.0.0.255anyeqwwwtimerangeOFICINA
permittcp192.168.1.00.0.0.255host192.168.1.1eqtelnet
ipaccesslistextendedexternal_ACL
evaluatewebonlyreflexiveACL
evaluatednsonlyreflexiveACL
permittcpanyanyeqtelnet
ipaccesslistextendedinternal_ACL
permittcpanyanyeqwwwreflectwebonlyreflexiveACLtimeout300
permitudpanyanyeqdomainreflectdnsonlyreflexiveACLtimeout10
!
accesslist100permitip192.168.1.00.0.0.255any(afectadaalPAT)
!
!
timerangeOFICINA
periodicweekdays9:00to18:00
!
end
5.Verificamosfuncionamiento(generandotrficohttpdesdeunPC192.168.1.123conectadaaFa0/0)
Rosario#shaccesslist
ExtendedIPaccesslist100(trficoqueselerealizPAT)
10permitip192.168.1.00.0.0.255any(1635matches)
ExtendedIPaccesslistFILTRO
10permitudp192.168.1.00.0.0.255anyeqdomain(25matches)
20permittcp192.168.1.00.0.0.255anyeq443timerangeOFICINA(active)(67matches)(estdentrodel
horario)
30permittcp192.168.1.00.0.0.255anyeqwwwtimerangeOFICINA(active)(207matches)(estdentrodel
horario)
40permittcp192.168.1.00.0.0.255host192.168.1.1eqtelnet(65matches)(TelnetPC>routerdesdeFa0/0)
ExtendedIPaccesslistexternal_ACL
10evaluatewebonlyreflexiveACL(1)
20evaluatednsonlyreflexiveACL(2)
30permittcpanyanyeqtelnet(1528matches)(TelnetPC>routerdesdeFa0/1)
ExtendedIPaccesslistinternal_ACL
10permittcpanyanyeqwwwreflectwebonlyreflexiveACL(522matches)
20permitudpanyanyeqdomainreflectdnsonlyreflexiveACL(50matches)
ReflexiveIPaccesslistwebonlyreflexiveACL(1)(ventanadetrficohttpderetorno)
permittcphost173.194.42.4eqwwwhost192.168.72.253eq1458(11matches)(timeleft295)(trficoIN
permitidoporventanadetiempo,debencumplirrequisitos
http://www.vilarrasa.com.ar/time_acl.htm
2/4
11/4/2016
EjemplodeunaACLparapermitirtrficodenavegacinsloenhorariosdeoficina
permittcphost173.194.42.2eqwwwhost192.168.72.253eq1442(3matches)(timeleft289)decapas3y4
respectoaltrficosalienteenACLinternal_ACL)
permittcphost74.125.134.95eqwwwhost192.168.72.253eq1441(3matches)(timeleft287)
permittcphost200.32.12.27eqwwwhost192.168.72.253eq1437(3matches)(timeleft287)(tiempoen
segundosparaquesecierreeltrficoentrantedeestalnea)
permittcphost200.32.12.27eqwwwhost192.168.72.253eq1436(7matches)(timeleft2)
permittcphost200.32.12.27eqwwwhost192.168.72.253eq1434(7matches)(timeleft2)
ReflexiveIPaccesslistdnsonlyreflexiveACL(2)(ventanadetrficodnsderetorno)
permitudphost8.8.8.8eqdomainhost192.168.72.253eq53856(2matches)(timeleft1)
permitudphost8.8.8.8eqdomainhost192.168.72.253eq56244(2matches)(timeleft1)
permitudphost8.8.8.8eqdomainhost192.168.72.253eq58377(2matches)(timeleft0)
Rosario#
6.Cambiamoslahoradelrouter(paranoesperaralas18:01)
Rosario#clockset19:00:00feb182013
Rosario#shclock
19:00:04.635UTCMonFeb182013
Rosario#shaccesslists
resumido
ExtendedIPaccesslistFILTRO
10permitudp192.168.1.00.0.0.255anyeqdomain(41matches)
20permittcp192.168.1.00.0.0.255anyeq443timerangeOFICINA(inactive)(113matches)(porlotantose
denegartodoeltrficoalfinal
30permittcp192.168.1.00.0.0.255anyeqwwwtimerangeOFICINA(inactive)(351matches)delaACLporel
denyipanyanyimplcito)
40permittcp192.168.1.00.0.0.255host192.168.1.1eqtelnet(338matches)
resumido
Rosario#
7.SincronizandofechayhoracontraunservidorNTPparalaACLbasadasentiempo,delocontrariolafechay
hora
puedenperderseenelreiniciodelrouteryporlotantolaACLnobloqueaopermitecomocorresponde.
Rosario#shclock
*0:3:53.112UTCMonMar11993
Rosario#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Rosario(config)#ntpserver192.168.1.2
Rosario(config)#ntpupdatecalendar
Rosario(config)#^Z
Rosario#shclock
*16:12:28.46UTCFriApr112014
Rosario#
(2013)Networkingbrokemymind
(2014)Networkingforlonelynights
Rosario,Argentina
http://www.vilarrasa.com.ar/time_acl.htm
3/4
11/4/2016
EjemplodeunaACLparapermitirtrficodenavegacinsloenhorariosdeoficina
http://www.vilarrasa.com.ar/time_acl.htm
4/4