Donaciones

Que es el comando access-class en router CISCO y cual es su función

Blog admin 22:12
Cuando accesamos de forma remota al router mediante las lineas VTY, a veces es necesario agregar cierta seguridad adicional, por ejemplo que se pueda acceder solo desde una PC en especifico (administrador de la red) o desde una sub-red (grupo administradores)
La restricción del acceso a VTY es una técnica que permite definir las direcciones IP a las que se les permite acceder remotamente al proceso de EXEC del router. Puede controlar qué direcciones IP pueden acceder remotamente al router mediante la configuración de una ACL y una instrucción access-class en las líneas VTY. Utilice esta técnica con SSH para mejorar aún más la seguridad de acceso administrativo.
El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada (en un dispositivo de Cisco) y las direcciones en una lista de acceso.
La sintaxis del comando access-class es la siguiente:
Router (config)# access-class access-list-number { in [ vrf-also ] |out }
El parámetro in limita las conexiones de entrada entre las direcciones en la lista de acceso y el dispositivo de Cisco, mientras que el parámetro out limita las conexiones de salida entre un dispositivo de Cisco en particular y las direcciones en la lista de acceso.
En la figura 1, se muestra un ejemplo en el que se permite que un rango de direcciones acceda a las líneas VTY de 0 a 4. La ACL de la ilustración se configuró para permitir que la red 192.168.10.0 acceda a las líneas VTY de 0 a 4, pero para denegar las demás redes.
Para configurar listas de acceso en los VTY, se debe tener en cuenta lo siguiente:
  • Se pueden aplicar listas de acceso numeradas y nombradas a los VTY.
  • Se deben establecer restricciones idénticas en todos los VTY, porque un usuario puede intentar conectarse a cualquiera de ellos.
Las listas de acceso se aplican a los paquetes que se transportan a través de un router, no están diseñadas para bloquear los paquetes que se originan en el router. De manera predeterminada, las ACL de salida no evita las conexiones de acceso remoto que se inician desde el router.
Ejemplo.



Por ejemplo si queremos permitir la conexión remota solo desde la red 192.168.10.0/24 y denegar cualquier intento de conexion proveniente de otra red, lo hariamos de la siguiente manera.



Con esto cualquier equipo que no pertenezca a la red 192.168.10.0/24 e intente conectarse, la conexión sera rechazada.
Tags:

Publicar un comentario

0 Comentarios