Professional Documents
Culture Documents
Las Access-list (ACL) son una secuencia de instrucciones permit o deny que se aplican a
los protocolos de capa superior o a las direcciones. Estos comandos controlan si un
router reenva o descarta paquetes segn el encabezado del mismo.
Las ACL realizan las siguientes tareas:
Comunicacin TCP
La sesin comienza, se sincroniza (SYN). Se recibe un acuse de recibo (ACK) del
segmento esperado y se finaliza la sesin (FIN). Cuando la transferencia est
sincronizada se enva un acuse de recibo (SYN/ACK)
Filtrado de paquetes
El filtrado de paquetes estticos controla el acceso a una red mediante el anlisis de los
paquetes, extrae informacin del encabezado y decide si el paquete se reenva o descarta
dependiendo de las reglas de los filtros configurados.
Las instrucciones de una ACL se denominan entradas de control de acceso (ACE), tambin
conocidas como instrucciones de ACL, las ACE se crean para filtrar el trfico segn algunos
criterios especficos, como la direccin de origen o destino, protocolos o nmeros de puertos,
las ACL pueden trabajar en la capa de red (capa 3) o la capa de transporte (capa 4).
El trfico de la red al pasar por alguna interfaz configurada con ACL el router procede a
comparar la informacin del paquete con cada ACE, esto de manera secuencial y si la
informacin coincide con una de las ACE, el router acta segn la orden dada en dicha ACE.
Direccin ip de origen
Tipo de mensaje ICMP
Direccin ip de origen
Direccin ip de destino
Puerto de origen TCP/UDP
Puerto de destino TCP/UDP
Cuando se ejecutan comandos de ACL siempre existe una denegacin implcita. Al final de cada
ACL, este comando bloquea todo el trfico.
ACL estndar: Se utilizan para permitir o denegar trfico de direcciones IPV4 de origen
nicamente. El destino y los puertos no se evalan. Solo trabaja en capa 3.
ACL Extendida: Se utilizan para filtrar paquetes IPV4 por diferentes atributos.
Direccin de origen
Direccin de destino
Puertos TCP/UDP de origen
Puertos TCP/UDP de destino
Las ACL estndar y extendidas se identifican con un nmero o nombre, las ACL numeradas son
eficaces en redes pequeas con un trfico definido. Las ACL identificadas con nombres solo
son posibles a partir de la versin 11.2 del IOS CISCO.
Las ACL numeradas son:
Estandar de la 1 a la 99 y 1300 a 1999
Extendida de 100 a la 199 y 2000 a 2699
Los nmeros del 200 al 1299 son nmeros utilizados por otros protocolos, en su mayora son
antiguos
u
obsoletos.
Mscara wildcard
Las mscaras wildcard son una cadena de 32 bits que el router utiliza para determinar los bits
de la direccin que debe examinar para encontrar una coincidencia. Las ACE usan mscara
wildcard.
La wildcard utiliza los valores uno y cero para filtrar direcciones IP individuales o grupo de
direcciones para permitir o denegar el acceso.
La wildcard se le denomina tambin mscara inversa, ya que los valores son los contrarios a los
de una mscara de red ya que el valor 0 corresponde a una coincidencia y el 1 no.
La
forma
ms
sencilla
de
calcular
una
wildcard
es:
A la direccin 255.255.255.255 se le resta la mscara de red/subred y de esta forma se
consigue la mscara wildcard.
Host: reemplaza la mscara 0.0.0.0, es decir, deben coincidir todos los bits de la ip
dada
Any: sustituye la direccin IP y la mscara 255.255.255.255, esta palabra define que se
le permita o deniegue el acceso a cualquier direccin IP
Creacin de ACL
Las tres P
Al configurar ACL se puede pensar en las tres P: Por Protocolo, Por sentido y Por Interfaz
ACL por Protocolo: Para controlar el flujo de trfico en una interfaz, se debe definir
una ACL para cada protocolo habilitado en la interfaz.
ACL por sentido: Las ACL controlan el trfico entrante o saliente de cada interfaz, una
a la vez, por lo que se deben crear dos ACL diferentes para controlar cada una.
ACL por interfaz: Se puede configurar una ACL para una interfaz especfica.
Ubicacin de ACL
Cada ACL debe colocarse donde tenga mayor impacto en la eficiencia.
ACL extendidas: Las ACL extendidas se colocan lo ms cerca posible del origen del
trfico que se filtrar, dado que el trfico no deseado se deniega cerca de la red de
origen, sin que cruce la infraestructura de la red.
ACL estndar: Se colocan tan cerca del destino como sea posible, ya que , si se coloca
cerca del origen del trfico evitar que llegue a cualquier otra red.
Se elimina la ACL
Con ste comando se muestra la configuracin de las interfaces, cuando se han configurado
ACL en las interfaces, se muestra el nombre o nombre de la ACL y el sentido en el que se le
aplic la ACL
El IOS del router es responsable de la secuencia interna de de las ACE estndar, por lo tanto no
necesariamente la secuencia que posea el router de las ACE sea la misma de cmo se
introdujeron al equipo, mediante HASH, el IOS organiza las ACE de una manera que sea ms
eficiente la bsqueda de las ACE. Esta funcin solo se utiliza para los hosts de ACL extandar,
para ACL extendidas e IPv6 no se usa este algoritmo.
Access-list extendida
Las ACL extendidas se utilizan ms que las ACL estandar ya que proporcionan un grado mayor
de control, debido a que revisan direcciones ip de origen como las ACL estandar pero a su vez
tambin revisan direcciones ip de destino, protocolos y nmeros de puerto.
Para configurar una ACL extendida, se configura similar a una ACL estandar, la diferencia radica
en la sintaxis de los comandos y los parmetros.
El parmetro established permite que solo las respuestas al trfico procedente de la red
192.168.10.0/24 vuelvan a esa red. Si el segmento TCP que regresa tiene los bits ACK o de
restablecimiento (RST) establecidos, que indican que el paquete pertenece a una conexin
existente, se produce una coincidencia. Sin el parmetro established en la instruccin de ACL,
los clientes pueden enviar trfico a un servidor web, pero no recibir el trfico que vuelve de
dicho servidor.
Al igual que con las ACL estandar, las ACL extendidas son aplicadas a una
interfaz con el comando
Access-list IPv6
A diferencia de IPv4 las ACL en IPv6 solo son por nombre, en IPv6 no existen ACL numeradas y
son equivalentes a las ACL extendidas en IPv4, adems en una red que maneje tanto IPv4
como IPv6 no pueden existir una ACL IPv4 y una ACL IPv6 con el mismo nombre.
Comandos de verificacin
Router# Show ip interface brief
Router# Show ipv6 interface brief