marcotrujillo@hotmail.

com

ACL extendidas (1/9)

Las ACL extendidas se utilizan con ms frecuencia que las ACL

estndar porque ofrecen un mayor control. Las ACL extendidas
verifican las direcciones de paquetes de origen y destino, y tambin los
protocolos y nmeros de puerto. Esto ofrece mayor flexibilidad para
establecer qu verifica la ACL.

Una ACL extendida puede permitir el trfico de correo electrnico de

Fa0/0 a destinos especficos S0/0, al mismo tiempo que deniega la
transferencia de archivos y la navegacin en la red. Una vez
descartados los paquetes, algunos protocolos devuelven un paquete al
emisor, indicando que el destino era inalcanzable.

Es posible configurar mltiples sentencias en una sola ACL. Cada una

de estas sentencias debe tener el mismo nmero de lista de acceso,
para poder relacionar las sentencias con la misma ACL.

Puede haber tanta cantidad de sentencias de condicin como sean

necesarias, siendo la nica limitacin la memoria disponible en el
router. Por cierto, cuantas ms sentencias se establezcan, mayor ser
la dificultad para comprender y administrar la ACL.

marcotrujillo@hotmail.com

ACL extendidas (3/9)

Al final de la sentencia de la ACL extendida, se obtiene ms

precisin con un campo que especifica el Protocolo para el control
de la transmisin (TCP) o el nmero de puerto del Protocolo de
datagrama del usuario (UDP). Los nmeros de Puerto conocidos
parar TCP/IP se muestran en la Figura.

marcotrujillo@hotmail.com

ACL extendidas (2/9)

La sintaxis de una sentencia ACL extendida
puede ser muy extensa y a menudo, se vuelve
engorrosa en la ventana terminal. Las wildcards
tambin tienen la opcin de utilizar las palabras
clave host o any en el comando.

marcotrujillo@hotmail.com

ACL extendidas (4/9)

Las operaciones lgicas pueden especificarse como
igual (eq), desigual (neq), mayor a (gt) y menor a (lt)
aqullas que efectuarn las ACL extendidas en
protocolos especficos.
Las ACL extendidas utilizan el nmero de lista de
acceso entre 100 y 199 (tambin entre 2000 y 2699 en
IOS recientes).
El comando ip access-group enlaza una ACL extendida
existente a una interfaz. Recuerde que slo se permite
una ACL por interfaz por protocolo por direccin. El
formato del comando es:
Router(config-if)#ip access-group access-list-number {in | out}

marcotrujillo@hotmail.com

marcotrujillo@hotmail.com

Ejemplos ACL extendidas (5/9)

Planifique, configure y aplique una ACL extendida para permitir o denegar trfico
especfico. Sarajevo desea impedir que cualquier estacin de trabajo en la subred
192.168.14.0 haga telnet a cualquier lugar fuera de la subred. Se debe permitir todo
el trfico restante.

Sarajevo(config)#access-list 101 deny tcp 192.168.14.0 0.0.0.255 any eq 23

Sarajevo(config)#access-list 101 permit ip any any
Sarajevo(config)#interface fastethernet 0/0
Sarajevo(config-if)#ip access-group 101 in
Sarajevo(config-if)#end

Ejemplos ACL extendidas (6/9)

Mexico(config)#access-list 101 deny ip host 198.77.116.7 host 12.0.0.3

Mexico(config)#access-list 101 permit ip any any
Mexico(config)#interface fastethernet 0/0
Mexico(config-if)#ip access-group 101 in
Mexico(config-if)#end

marcotrujillo@hotmail.com

marcotrujillo@hotmail.com

Ejemplos ACL extendidas (7/9)

Configure una lista de acceso extendida 101 que permita el acceso al servidor telnet local en la
direccin 12.0.0.14 desde el escritorio del administrador ubicado en 13.0.0.5. No permita otro
trfico a ninguna de las dos LAN de Yakarta desde ninguno de los otros routers.

Configure una lista de acceso extendida para el router local Mexico_City. Un

administrador de red desea bloquear el acceso al host 12.0.0.3 desde el host
198.77.116.7. Decide colocar la lista de acceso en el puerto Fast Ethernet entrante
del router Mexico_City, para que est lo mas cerca de la fuente que sea posible.

Ejemplos ACL extendidas (8/9)

Cree una lista de acceso extendida 101, que deniegue el trfico tcp a la red
192.168.13.0 desde los hosts en la red 192.168.12.0. Un estudiante de esta
clase sugiere una lista de acceso en serial 0 saliente.

Debido al deny
implcito al final
de la lista de
acceso, las LAN
de Yakarta no
podrn ser
accesadas.

Jakarta(config)#access-list 101 permit tcp host 13.0.0.5 host 12.0.0.14 eq 23

Jakarta(config)#interface serial 0/0
Jakarta(config-if)#ip access-group 101 in
Jakarta(config-if)#end
Jakarta#show access-lists
Jakarta#show ip interface serial 0/0

Kuwait(config)#access-list 101 deny tcp 192.168.12.0 0.0.0.255 192.168.13.0 0.255.255.255

Kuwait(config)#access-list 101 permit ip any any
Kuwait(config)#interface serial 0/0
Kuwait (config-if)#ip access-group 101 out
Kuwait(config-if)#end

marcotrujillo@hotmail.com

marcotrujillo@hotmail.com

Ejemplos ACL extendidas (9/9)

Cree una lista de acceso extendida 101, que impida que se hagan peticiones locales de trfico ftp
desde 192.168.12.0 a cualquiera que no sea 192.168.11.0, pero que permita todo el trfico
restante. Un estudiante de este curso sugiere que una forma de hacer esto es impedir que todas
las peticiones de trfico ftp salgan de Abuja a travs de la interfaz serial..

Abuja(config)#access-list 101 deny tcp 192.168.12.0 0.0.0.255 any eq 21

Abuja(config)#access-list 101 permit ip any any
Abuja(config)#interface serial 0/0
Abuja(config-if)#ip access-group 101 out
Abuja(config-if)#end

Verificacin de las ACL

Existen varios comandos show que verifican el contenido y

ubicacin de las ACL en el router.

El comando show ip interface muestra informacin de la interfaz IP

e indica si se ha establecido alguna ACL.

El comando show access-lists muestra el contenido de todas las

ACL en el router. Para ver una lista especfica, agregue el nombre
o nmero ACL como opcin a este comando.

El comando show running-config tambin revela las listas de

acceso en el router y la informacin de asignacin de interfaz.

Estos comandos show verifican los contenidos y ubicacin de las

listas. Tambin se recomienda verificar las listas de acceso usando
trfico de ejemplo para asegurarse que la lgica de la lista de
acceso sea correcta.

marcotrujillo@hotmail.com

marcotrujillo@hotmail.com

Reglas bsicas de las ACL (1/2)

Reglas bsicas de las ACL (2/2)

Una lista de acceso por protocolo y por direccin.

Primero se examina la condicin de concordancia. El permiso o

rechazo se examina SLO si la concordancia es cierta.

Se deben aplicar las listas de acceso estndar que se encuentran lo ms

cerca posible del destino.

Siempre, las lneas nuevas se agregan al final de la lista de acceso.

El comando no access-list x elimina toda la lista. No es posible
agregar y quitar lneas de manera selectiva en las ACL numeradas.

Una lista de acceso IP enva un mensaje ICMP llamado de host

fuera de alcance al emisor del paquete rechazado y descarta el
paquete en la papelera de bits.

Se debe tener cuidado cuando se descarta una lista de acceso. Si

la lista de acceso se aplica a una interfaz de produccin y se la
elimina, segn sea la versin de IOS, puede haber una deny any
(denegar cualquiera) por defecto aplicada a la interfaz, y se detiene
todo el trfico.

Los filtros salientes no afectan al trfico que se origina en el router

local.

Se deben aplicar las listas de acceso extendidas que se encuentran lo ms

cerca posible del origen.

Utilice la referencia de la interfaz entrante y saliente como si estuviera

mirando el puerto desde adentro del router.

Las sentencias se procesan de forma secuencial desde el principio de la

lista hasta el final hasta que se encuentre una concordancia, si no se
encuentra ninguna, se rechaza el paquete.

Hay un deny any (denegar cualquiera) implcito al final de todas las listas
de acceso. Esto no aparece en la lista de configuracin.

Las entradas de la lista de acceso deben realizar un filtro desde lo

particular a lo general. Primero se deben denegar hosts especfico y por
ltimo los grupos o filtros generales.