Listas de control de acceso

© 2006 Cisco Systems, Inc. Todos los derechos reservados.

Información pública de Cisco

1

Objetivos

Explicar cómo se usan las ACL para asegurar la red
de una sucursal de una empresa mediana

Configurar las ACL estándar en la red de una
sucursal de una empresa mediana

Configurar las ACL extendidas en la red de una
sucursal de una empresa mediana

Describir las ACL complejas en la red de una
sucursal de una empresa mediana

Implementar, verificar y resolver problemas de las
ACL en un entorno de red empresarial

© 2006 Cisco Systems, Inc. Todos los derechos reservados.

Información pública de Cisco

2

LISTAS DE CONTROL DE ACCESO
Uno de los métodos más comunes de filtrado de tráfico es el uso de (ACL). Las ACL pueden utilizarse para administrar y
filtrar el tráfico que ingresa a una red, así como también el tráfico que sale de ella.
El tamaño de una ACL varía desde una sentencia que permite o deniega el tráfico de un origen, hasta cientos de sentencias
que permiten o deniegan paquetes de varios orígenes. El uso principal de las ACL es identificar los tipos de paquetes que
se deben aceptar o denegar.
Las ACL identifican el tráfico para varios usos, por ejemplo:

Especificar hosts internos para NAT

Identificar o clasificar el tráfico para funciones avanzadas tales como QoS y colas

Restringir el contenido de las actualizaciones de enrutamiento

Limitar el resultado de la depuración

Controlar el acceso de terminales virtuales a los routers

El uso de las ACL puede provocar los siguientes problemas potenciales:

La carga adicional sobre el router para verificar todos los paquetes se traduce en menos tiempo para el reenvío de
paquetes.

Las ACL con diseños defectuosos colocan una carga aún mayor sobre el router y podrían interrumpir el uso de la red.

Las ACL colocadas de forma incorrecta bloquean el tráfico que debe ser permitido y permiten el tráfico que debe ser
bloqueado.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.

Información pública de Cisco

3

pero permitirles los otros accesos". Consulte la figura a fin de analizar la ruta de decisión que utiliza el filtro de paquetes para realizar esta tarea © 2006 Cisco Systems. Información pública de Cisco 4 . puede decir: "Sólo permitir el acceso Web a usuarios de la red A. Denegar el acceso Web a usuario de la red B. Todos los derechos reservados. Inc.Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana  Por ejemplo. .

Información pública de Cisco 5 . Todos los derechos reservados.Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana © 2006 Cisco Systems. Inc.

Cuando se configuran ACL nombradas. Las ACL estándar están identificadas por el número que se les ha asignado. como IP. De esta manera. Hay tres clases de ACL:  ACL estándar La ACL estándar es la más simple de las tres clases. se deniegan todos los servicios provenientes de ese host. Para las listas de acceso que permiten o deniegan el tráfico IP. el administrador de red tiene varias opciones.  ACL nombradas Las ACL nombradas (NACL. El rango de números de las ACL extendidas va de 100 a 199 y de 2000 a 2699. o LAN. las ACL filtran según la dirección IP de origen de un paquete. Al crear una ACL IP estándar. © 2006 Cisco Systems. el número de identificación puede variar entre 1 y 99 y entre 1300 y 1999. La complejidad de las pautas de diseño determina el tipo de ACL necesaria.TIPOS DE ACL Al crear listas de control de acceso. Las ACL estándar permiten o deniegan el acceso de acuerdo con la totalidad del protocolo. Todos los derechos reservados.  ACL extendidas Las ACL extendidas filtran no sólo según la dirección IP de origen. Named ACL) son ACL estándar o extendidas a las que se hace referencia mediante un nombre descriptivo en lugar de un número. Inc. Las ACL extendidas se utilizan más que las ACL estándar porque son más específicas y ofrecen un mayor control. denegar el acceso de otras direcciones IP. a la vez. el protocolo y los números de puertos. Información pública de Cisco 6 . a través de un router y. el IOS del router utiliza un modo de subcomando de NACL. sino también según la dirección IP de destino. si un dispositivo host es denegado por una ACL estándar. Este tipo de ACL sirve para permitir el acceso de todos los servicios de un usuario específico.

© 2006 Cisco Systems. Información pública de Cisco 7 . Inc.Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana los tipos y los formatos de las ACL. Todos los derechos reservados.

una interfaz puede tener una ACL entrante y una ACL saliente al mismo tiempo. Inc. Las ACL aplicadas a una interfaz agregan latencia al tráfico. Todos los derechos reservados. Incluso una ACL larga puede afectar el rendimiento del router. Cuando un paquete llega a una interfaz. © 2006 Cisco Systems. el router controla los siguientes parámetros: ¿Hay una ACL asociada con la interfaz? ¿La ACL es entrante o saliente? ¿El tráfico coincide con los criterios para permitir o para denegar? Una ACL aplicada en dirección saliente a una interfaz no tiene efectos sobre el tráfico entrante en esa misma interfaz.PROCESAMIENTO DE LAS ACL El administrador aplica una ACL entrante o saliente a una interfaz de router. La dirección se considera entrante o saliente desde la perspectiva del router. El tráfico que ingresa a un interfaz será entrante y el tráfico que sale de ella será saliente. Respecto al protocolo IP. Cada interfaz de un router puede tener una ACL por dirección para cada protocolo de red. Información pública de Cisco 8 .

Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana Cómo las ACL se pueden identificarse mediante nombres o numeración estandarizados. Todos los derechos reservados. Inc. © 2006 Cisco Systems. Información pública de Cisco 9 .

0/24. el administrador desea que el tráfico que se origina en la red 192. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.10.10. Información pública de Cisco 10 .168.30. En la figura. Inc.168. Todos los derechos reservados.0/24.Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana Dónde deben ubicarse las ACL en una red. © 2006 Cisco Systems. Una ACL estándar cumple con los requerimientos porque sólo se centra en las direcciones IP de origen.168.0/24 no ingrese a la red 192. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar tráfico a otros lugares.

 Considere que los administradores sólo pueden colocar las ACL en los dispositivos que ellos controlan.10. respectivamente) desea denegar el tráfico Telnet y FTP desde Once a la red 192.168. se debe permitir todo el tráfico restante desde Diez © 2006 Cisco Systems.30.0/24 (Treinta en este ejemplo). su ubicación debe determinarse según la extensión del control del administrador de red. Información pública de Cisco .0/24 (designadas en este ejemplo Diez y Once.168.Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana Dónde deben ubicarse las ACL en una red. Inc. En esta figura. Al mismo tiempo.11. Por lo tanto.0/24 y 192. Todos los derechos reservados. 11 . el administrador de las redes 192.168.

© 2006 Cisco Systems. Información pública de Cisco 12 . Todos los derechos reservados. Inc.Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana consideraciones para crear las ACL.

Inc. Información pública de Cisco 13 . © 2006 Cisco Systems.Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Por qué es importante el orden en el cual se introducen las declaraciones de criterios en una ACL. Todos los derechos reservados.

0.255.0. se revisan las direcciones de origen de los paquetes que ingresan a Fa0/0:  access-list 2 deny 192.255  access-list 2 permit 192.10.168.255.0 0.1  access-list 2 permit 192.0.255  access-list 2 deny 192.0. © 2006 Cisco Systems.Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Por qué es importante el orden en el cual se introducen las declaraciones de criterios en una ACL cómo configurar una ACL estándar. Si se les niega el permiso.10.0 0.  Lógica de las ACL estándar  En la figura.168. se los descarta en la interfaz de entrada.255. se enrutan a través del router hacia una interfaz de salida.0 0.255  Si los paquetes tienen permiso.0.0. Todos los derechos reservados. Información pública de Cisco 14 . Inc.168.

Información pública de Cisco 15 . Inc. © 2006 Cisco Systems. Todos los derechos reservados.Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Cómo configurar una ACL estándar.

© 2006 Cisco Systems. Información pública de Cisco 16 . Inc.Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Cómo usar máscaras wildcard con las ACL. Todos los derechos reservados.

Inc. © 2006 Cisco Systems.Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Cómo aplicar una ACL estándar a una interfaz. Información pública de Cisco 17 . Todos los derechos reservados.

© 2006 Cisco Systems. Todos los derechos reservados. Inc.Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Proceso para editar las ACL numeradas. Información pública de Cisco 18 .

Información pública de Cisco 19 .Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Cómo crear una ACL con nombre. © 2006 Cisco Systems. Todos los derechos reservados. Inc.

Información pública de Cisco 20 .Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Cómo supervisar y verificar las ACL. © 2006 Cisco Systems. Inc. Todos los derechos reservados.

© 2006 Cisco Systems. Todos los derechos reservados. Información pública de Cisco 21 . Inc.Configuración de las ACL estándar en la red de una sucursal de una empresa mediana Proceso para editar las ACL con nombre.

© 2006 Cisco Systems. Todos los derechos reservados. Información pública de Cisco 22 . Inc.Configuración de las ACL extendidas en la red de una sucursal de una empresa mediana Cómo configurar ACL extendidas.

Todos los derechos reservados. Información pública de Cisco 23 . Inc.Configuración de las ACL extendidas en la red de una sucursal de una empresa mediana © 2006 Cisco Systems.

Configuración de las ACL extendidas en la red de una sucursal de una empresa mediana Cómo aplicar una ACL extendida a una interfaz. Inc. © 2006 Cisco Systems. Todos los derechos reservados. Información pública de Cisco 24 .

Configuración de las ACL extendidas en la red de una sucursal de una empresa mediana Cómo crear ACL extendidas con nombre. Información pública de Cisco 25 . Inc. © 2006 Cisco Systems. Todos los derechos reservados.

Inc. Información pública de Cisco 26 .Descripción de las ACL complejas en la red de una sucursal de una empresa mediana Cómo resolver problemas comunes de ACL. Todos los derechos reservados. © 2006 Cisco Systems.

Implementación. Información pública de Cisco 27 . Todos los derechos reservados. verificación y resolución de problemas de las ACL en un entorno de red empresarial  Cree. ubique y verifique una ACL estándar o extendida y verifique su ubicación.  Verifique la funcionalidad de la ACL y resuelva los problemas según sea necesario. Inc. © 2006 Cisco Systems.

Información pública de Cisco 28 . Inc. que se utiliza para filtrar el tráfico  ACL estándar –Se identifica por los números de 1 a 99 y de 1300 a 1999 –Filtra el tráfico según la dirección IP de origen  ACL extendida –Se identifica por los números de 100 a 199 y de 2000 a 2699 –Filtra el tráfico según •Dirección IP de origen •Dirección IP de destino •Protocolo •Número de puerto © 2006 Cisco Systems.RESUMEN  Una lista de control de acceso (ACL) es: Una serie de declaraciones para permitir (permit) o denegar (deny) contenido. Todos los derechos reservados.

RESUMEN  ACL con nombre –Se usa con IOS versión 11.2 y superior –Se puede usar tanto para una ACL estándar como para una ACL extendida  Las ACL usan máscaras wildcard (WCM) –Se describen como lo opuesto a una máscara de subred •Motivo –0  verifica el bit –1  ignora el bit © 2006 Cisco Systems. Información pública de Cisco 29 . Todos los derechos reservados. Inc.

Información pública de Cisco 30 . Inc.RESUMEN  Implementación de las ACL –1° crear la ACL –2° ubicar la ACL en una interfaz •Las ACL estándar se ubican lo más cerca posible del destino •Las ACL extendidas se ubican lo más cerca posible del origen  Use los siguientes comandos para verificar y resolver problemas de una ACL –Show access-list –Show interfaces –Show run © 2006 Cisco Systems. Todos los derechos reservados.