Ccna2 Acl

Capítulo 6: Access Lists
Última actualización: 14 de Enero de 2004
Autor:
Eduardo Collado
edu@eduangi.com
Capítulo 6:
Cisco CCNA -CNAP Profesor: Eduardo Collado Cabeza 1
Contenido
• Configuración de Access Lists
Capítulo 6:
Por qué utilizar Access Lists
• Gestionar el tráfico IP a medida que el acceso crece

• Filtrar los paquetes que pasan por el router
Capítulo 6:
Aplicaciones de los Access Lists
• Permiten o deniegan el movimiento de los paquetes a través del router.

• Permiten o deniegan el acceso a las vty de/desde otro lugar
• Sin access lists, todos los paquetes deben ser transmitidos a otras partes de
la red
Capítulo 6:
Otros usos de los Access Lists
• Especial cuidado para el tráfico basado en paquetes de test (p.e.

Actualizaciones de routing)
Capítulo 6:
Tipos de Access Lists
• Estándar
• Comprueba la dirección de origen
• Generalmente permite o deniega la suite de protocolos completo
• Extendida
• Comprueba las direcciones origen y destino
• Generalmente permite o deniega protocolos específicos
Capítulo 6:
Cómo Identificar un Access Lists
ACL Estándar (1-99) condiciones de test para todos los paquetes IP desde una
dirección de origen.
ACL Extendida (100-199) condiciones de test y direcciones de origen y destino,
protocolos específicos de la pila TCP/IP. Y puertos de destino.
ACL Estándar (1300-1999) (rango expandido).
ACL Extendida (2000-2699) (rango expandido).
Otros números de ACL se pueden utilizar para otros protocolos de red
Capítulo 6:
Probando paquetes con Access Lists Estándar
Capítulo 6:
Probando paquetes con Access Lists Extendidos
Capítulo 6:
Operación de ACL salientes
Capítulo 6:
• Si no se encuentra un ACL para el paquete, este es descartado.
Lista de pruebas Test: Permitir o Denegar
Capítulo 6:
Wildcard Bits: Como comprobar la correspondencia con los
bits de direcciones
• 0 significa comprobar el valor del bit correspondiente de la dirección.

• 1 significa ignorar el valor del correspondiente bit de dirección.
Capítulo 6:
Wildcard Bits para encontrar la ocuirrencia
de una dirección de host
• Comprobar TODOS los bits de la dirección

• Verificar la dirección IP del host, p.e.
Por ejemplo, 172.30.16.29 0.0.0.0 comprueba todos lso bitsw de la

dirección.
Se puede abreviar esta wildcard mask utilizando la dirección IP
precedida por la palabra host (host 172.30.16.29).
Capítulo 6:
Wildcard Bits para encontrar subredes
• Comprobar las subredes 172.30.16.0/24 a 172.30.31.0/24.

Address and wildcard mask:
172.30.16.0 0.0.15.255
Capítulo 6:
Configuración de Access Lists
• Los números de ACLs indican que protocolo se está filtrando.

• Se permite un ACL por interfaz, por protocolo, por dirección.
• El orden de las reglas del ACL controla el test.
• Situar la regla más resctrictiva al incio de la lista.
• Existe un deny implícito en la última regla. Cada ACL necesita al
menos una regla.
• Crear los ACL antes de aplicarlos a los interfaces.
• Los ACL filtran el tráfico que atraviesa el router; no filtran el tráfico
originado en el router.
Capítulo 6:
ACL Estándar (Ejemplo 1)
• Sólo permite la red 172.16.0.0

Capítulo 6:
• Deniega el equipo 172.16.4.13

Capítulo 6:
• Deniega la subred 172.16.4.0/24

Capítulo 6:
Configuración de ACLs extendidos
Router(config)#access-list número_de_access-list
{permit | deny} protocolo origen wildcard_de_origen [puerto]
destino wildcard_de_destino [puerto]
• Configura los parámetros para esta entrada
Router(config-if)#ip access-group número_de_access-list

{in | out}
• Activa la ACL extendida en este interfaz
Capítulo 6:
ACL Extendido (Ejemplo 1)
• Deniega el FTP desde la subred 172.16.4.0/24 a la subred 172.16.3.0/24 de salida

en el interfaz ethernet 0. Permite todo el otro tipo de tráfico
Capítulo 6:
ACL Extendido (Ejemplo 2)
•Deniega sólo el Telnet desde la subred 172.16.4.0/24 saliedo por la

ethernet 0.
Capítulo 6:
•Permite el resto del tráfico.
Utilizando ACLs nombrados
Router(config)#ip access-list {standard | extended} nombre
• El nombre alfanumérico tiene que ser único.
Router(config) {std- | ext-}nacl)[número] {permit | deny}

{condiciones de test del access list}
{permit | deny} {condiciones de test del access list}
no {permit | deny} {ip access list test conditions}
• Permite o deniega sentencias que no tienen número.

• “no” borra el ACL.
Router(config-if)#ip access-group nombre {in | out}
• Activa el ACL nombrado IP en el interfaz.

Capítulo 6:
Filtrando el acceso vty del router
• Cinco líneas de terminales virtuales en el router (0 a 4).

• Filtra direcciones que pueden acceder dentro de los puertos vty
del router.
• Filtrar el acceso vty hacia afuera del router.
Capítulo 6:
Cómo controlar el acceso vty
• Configurar un ACL estándar.

• Utilizar el modo de configuraicón de linea para filtrar el acceso con
el comando access-class.
• Realizar identica restriccción en cada vty.
Capítulo 6:
Comandos vty
Router(config)#line vty {número_de_vty | rango-vty}
• Entrar en la configuración del/los vty
Router(config-line)#access-class número_de_access-
list {in | out}
• Restringir las conexiones vty salientes o entrantes para las

direcciones del access list
Capítulo 6:
Ejemplo de acceso al vty
Controlando el acceso de entrada

access-list 12 permit 192.168.1.0 0.0.0.255
(implicit deny all)
!
line vty 0 4
access-class 12 in
• Permite sólo a los hosts de la red 192.168.1.0 0.0.0.255 conectarse

al router por vty
Capítulo 6:
Principios de configuración de los ACLs
•El orden de los parámetros del access list es crucial.

–Recomendación: Utilizar un editor de texo en el PC para crear las sentencias
del access-list, entonces copiar y pegar en el router.
–El proceso de arriba a abajo es importante.
–Poner las restricciones más específicas al principio.
•No reordenar o borrar sentencias.

–Utiliza el comando no access-list [número] para borrar el ACL completo.
–Excepción: Los ACLs nombrados permiten borrar sentencias individuales.
•Un deny está siempre implícito al final de cada access-list.

–A no ser que el ACL termine con un explícitop permit any.
Capítulo 6:
Donde colocar los ACLs IP
•Colocar los ACLs extendidos cerca del origen.

•Colocar los ACLs estádard cerca del destino.
Capítulo 6:
Verificando los ACLs
wg_ro_a#show ip interfaces e0
Ethernet0 is up, line protocol is up
Internet address is 10.1.1.11/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 1
Proxy ARP is enabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Feature Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
Capítulo 6: <text ommitted>
Monitorizando los ACLs
wg_ro_a#show {protocolo} access-list {número_de_access-list}
wg_ro_a#show access-lists {número_de_access-list}
wg_ro_a#show access-lists
Standard IP access list 1
permit 10.2.2.1
permit 10.3.3.1
permit 10.4.4.1
permit 10.5.5.1
Extended IP access list 101
permit tcp host 10.22.22.1 any eq telnet
permit tcp host 10.33.33.1 any eq ftp
permit tcp host 10.44.44.1 any eq ftp-data
Capítulo 6:
Bibliografía del Tema 6
• “Guía del Segundo Año” Ed. Cisco Press [Cap.6]
Capítulo 6:

Ccna2 Acl

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ccna2 Acl

Uploaded by

Copyright:

Available Formats

Capítulo 6: Access Lists

Última actualización: 14 de Enero de 2004

• Configuración de Access Lists

• Gestionar el tráfico IP a medida que el acceso crece

• Permiten o deniegan el movimiento de los paquetes a través del router.

• Especial cuidado para el tráfico basado en paquetes de test (p.e.

• 0 significa comprobar el valor del bit correspondiente de la dirección.

• Comprobar TODOS los bits de la dirección

Por ejemplo, 172.30.16.29 0.0.0.0 comprueba todos lso bitsw de la

• Comprobar las subredes 172.30.16.0/24 a 172.30.31.0/24.

• Los números de ACLs indican que protocolo se está filtrando.

• Sólo permite la red 172.16.0.0

• Deniega el equipo 172.16.4.13

• Deniega la subred 172.16.4.0/24

• Configura los parámetros para esta entrada

Router(config-if)#ip access-group número_de_access-list

• Activa la ACL extendida en este interfaz

• Deniega el FTP desde la subred 172.16.4.0/24 a la subred 172.16.3.0/24 de salida

•Deniega sólo el Telnet desde la subred 172.16.4.0/24 saliedo por la

Router(config)#ip access-list {standard | extended} nombre

• El nombre alfanumérico tiene que ser único.

Router(config) {std- | ext-}nacl)[número] {permit | deny}

• Permite o deniega sentencias que no tienen número.

Router(config-if)#ip access-group nombre {in | out}

• Activa el ACL nombrado IP en el interfaz.

• Cinco líneas de terminales virtuales en el router (0 a 4).

• Configurar un ACL estándar.

Router(config)#line vty {número_de_vty | rango-vty}

• Entrar en la configuración del/los vty

• Restringir las conexiones vty salientes o entrantes para las

Controlando el acceso de entrada

• Permite sólo a los hosts de la red 192.168.1.0 0.0.0.255 conectarse

•El orden de los parámetros del access list es crucial.

•No reordenar o borrar sentencias.

•Un deny está siempre implícito al final de cada access-list.

•Colocar los ACLs extendidos cerca del origen.

wg_ro_a#show {protocolo} access-list {número_de_access-list}

wg_ro_a#show access-lists {número_de_access-list}

• “Guía del Segundo Año” Ed. Cisco Press [Cap.6]

You might also like