Como realizar listas de accesos para telefonía ip e internet

Hola a todos.
Tengo una duda quería ver si me podrían dar una mano.

Tengo dos routers.
router 1------------>192.168.1.0
router 2------------>192.168.2.1

el router 1 está conectado al router 1 (que es el que tiene salida a internet, a su vez en la red 1 funciona telefonía ip). Mi intención es darle sólo internet y telefonía ip a la red 2 pero que esta red no tenga acceso a nada más.

alguien podría decirme cómo me convendría hacer la access list??

Saludos y muchas gracias.

pd.es decir el router dos la idea es que quede afuera de la red 1 excepto por estos servicios (telefonía e internet).

Utilizas la herramienta de simulación Packet Tracer y una topología de red muy sencilla, formada por un router, dos switch y 2PCs, cada uno de ellos en una subred.

Trabaja desde el modo de configuración global: (config)#

Hay dos tipos de ACL y utilizan una numeración para identificarse:
•ACL estándar: del 1 al 99
•ACL extendida: del 100 al 199


ACLs estándar: sintaxis

Las ACL estándar en un router Cisco siempre se crean primero y luego se asignan a una interfaz.

Tienen la configuración siguiente:

Router(config)# access-list numACL permit|deny origen [wild-mask]

El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99.

Se aplican a los interfaces con: 

Router (config-if)# ip access-group numACL in|out
•In: tráfico a filtrar que ENTRA por la interfaz del router
•out : tráfico a filtrar que SALE por la interfaz del router.
•wild-mask: indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora. Por ejemplo, si queremos indicar un único host 192.168.1.1 especifico: 192.168.1.1 con wild-mask 0.0.0.0 y si queremos especificar toda la red clase C correspondiente lo hacemos con 192.168.1.0 y wild-mask 0.0.0.255.

Para la creación de ACL estándar en importante:
•Seleccionar y ordenar lógicamente las ACL.
•Seleccionar los protocolos IP que se deben verificar.
•Aplicar ACL a interfaces para el tráfico entrante y saliente.
•Asignar un número exclusivo para cada ACL.

Ejemplo 1

Supongamos que queremos crear en un Router0 una ACL con el número 1 (numACL) que deniegue el host 192.168.1.2. Desde configuración global:

Router0(config)# access-list 1 deny 192.168.1.2 0.0.0.0

Si queremos eliminar una ACL:

Router0(config)# no access-list 

Para mostrar las ACL:

Router0# show access-list
Standard IP access list 1
deny host 192.168.1.2
permit any


Recordar que para salir del modo de configuración global (config) hay que escribir 'exit'.

Ahora hay que utilizar el comando de configuración de interfaz para seleccionar una interfaz a la que aplicarle la ACL:

Router0(config)# interface FastEthernet 0/0

Por último utilizamos el comando de configuración de interfaz ip access-group para activar la ACL actual en la interfaz como filtro de salida:

Router0(config-if)# ip access-group 1 out

Ejemplo 2

Tenemos la siguiente topología de red.



Vamos a definir una ACL estándar que permita el trafico de salida de la red 192.168.1.0/24.

La primera cuestión que se plantea es ¿dónde instalar la ACL? ¿en qué router? ¿en qué interfaz de ese router?.

En este caso no habría problema porque solo tenemos un router, el Router0. Pero la regla siempre es instalar la ACL lo más cerca posible del destino.

Router0#configure terminal
Router0(config)#access-list 1 permit  192.168.1.0    0.0.0.255
Router0(config)#interface S0/0/0
Router0(config-if)#ip access-group 1 out


Ahora borramos la ACL anterior y vamos a definir una ACL estándar que deniegue un host concreto.

Router0(config)#no access-list 1
Router0(config)#access-list 1 deny 192.168.1.10 0.0.0.0 Router0(config)
#access-list 1 permit 192.168.1.0 0.0.0.255
Router0(config)#interface S0/0/0
Router0(config-if)#ip access-group 1 out

ACLs extendidas

Las ACL extendidas filtran paquetes IP según:

•Direcciones IP de origen y destino
•Puertos TCP y UDP de origen y destino
•Tipo de protocolo (IP, ICMP, UDP, TCP o número de puerto de protocolo).

Las ACLs extendidas usan un número dentro del intervalo del 100 al 199.

Al final de la sentencia de la ACL extendida se puede especificar, opcionalmente, el número de puerto de protocolo TCP o UDP para el que se aplica la sentencia:

•20 y 21: datos y programa FTP
•23: Telnet
•25: SMTP
•53: DNS
•69: TFTP
Definir ACL extendida, sintaxis:
Router(config)# access-list numACL {permit|deny} protocolo fuente
[mascara-fuente destino mascara-destino operador operando] [established]
•numACL: Identifica número de lista de acceso utilizando un número dentro del intervalo 100-199
•protocolo: IP, TCP, UDP, ICMP, GRE, IGRP
•fuente | destino: Identificadores de direcciones origen y destino
•mascara-fuente | mascara-destino: Máscaras de wildcard
•operador: lt, gt, eq, neq
•operando: número de puerto
•established: permite que pase el tráfico TCP si el paquete utiliza una conexión establecida. ◦Respecto a los protocolos:
◦Sólo se puede especificar una ACL por protocolo y por interfaz.
◦Si ACL es entrante, se comprueba al recibir el paquete.
◦Si ACL es saliente, se comprueba después de recibir y enrutar el paquete a la interfaz saliente.
◦Se puede nombrar o numerar un protocolo IP.


Asociar ACL a interfaz, sintaxis:

Router(config-if)# ip access-group num_ACL {in | out}

Ejemplo 1

En el esquema anterior, denegar FTP entre las subredes y permitir todo lo demás.

Router0(config)# access-list 101 deny tcp 192.168.2.0  0.0.0.255 192.168.1.0   0.0.0.255 eq 21
Router0(config)# access-list 101 deny tcp 192.168.2.0  0.0.0.255 192.168.1.0 0.0.0.255 eq 20
Router(config)# access-list 101 permit ip any any
Router(config)# interface F0/1
Router0(config-if)#ip access-group 101 in

Ejemplo 2

En el esquema anterior, denegar solo telnet a la subred 192.168.1.0.

Router0(config)# access-list 101 deny tcp 192.168.1.0  0.0.0.255  any eq 23
Router(config)# access-list 101 permit ip any any
Router(config)# interface F0/0
Router0(config-if)#ip access-group 101 out


Ubicación de las ACLs

Es muy importante el lugar donde se ubique una ACL ya que influye en la reducción del tráfico innecesario.

El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino.

La regla es colocar las:
•ACL estándar lo más cerca posible del destino (no especifican direcciones destino).
•ACL extendidas lo más cerca posible del origen del tráfico denegado. Así el tráfico no deseado se filtra sin atravesar la infraestrucra de red

suerte