Como crear, editar y buscar problemas en las listas de acceso, y sin Gui … que eso da mas puntos de cabezonería.
Para crear la lista de acceso:
Standard:
access-list [1-99] [permit|deny] [ip origen] [wildcard mask] Si no pones la mascara se toma por defecto que es 0.0.0.0 (todos los bits de coincidencia).
Extendida:
access-list [100-199] [permit|deny] [protocolo] [ip origen] [wildcard mask] [ip destino] [wildcard mask] [puerto] [established] [log]
Dentro de puerto se puede poner:
lt: Menor que …
gt: Mayor que …
eq: Igual a
neq: Distinto de
El established se usa para que deje pasar las conexiones (de de entrada solo) que ya están establecidas
Con nombre:
ip access-list [standard|extended] [nombre] (y luego lo que toque dependiendo del tipo de Acl)
Una vez que tienes la ACL creada tienes que asociarla a un interface.
interface xx/xx
ip access group [numero de la ACL|nombre de la ACL] [in|out]
Hay otros tipos de listas de acceso que yo no he usado jamas (tengo que mirar como se configuran).
ACL dinámicas: Dependen de si autenticas o no.
ACL reflexivas: Filtran a nivel 5
ACL basadas en tiempo: Eso mismo .. franjas horarias.
Los protocolos que se suelen usar:
eigrp, gre, icmp, igmp, ip, ospf, pcp (payload compression protocol (en la vida)), tcp, udp
Y algunos comandos utiles:
show ip interface xx/xx
show access-list o show access-lists xx
Y algunas cosas mas:
Una misma lista puede estar asociada a varios interfaces, también puedes tener varias listas en el mismo interface.
Intenta simplificar las cosas todo lo que puedas, intenta poner las reglas con mas match al principio de la ACL.
Todas las listas tienen que tener al menos un permit de lo contrario lo deniegas todo.
Siempre crea la lista de acceso antes de asociarla al interface, si lo haces al revés puede pasar de todo.
Me faltan algunas cosas … a ver si saco un rato mañana para terminarlo…