Download - Resumen Capitulo 5 Y 6
-
7/23/2019 Resumen Capitulo 5 Y 6
1/14
Resumen Capitulo 5 CCNA Exploration 4.0
Qu es una ACL?
La ACL es una configuracin de router que controla si un router permite o deniegapaquetes segn el criterio encontrado en el encabezado del paquete. Las ACL son unos
de los objetos ms comnmente utilizados en el software IOS de Cisco. Las ACL tambinse utilizan para seleccionar los tipos de trfico por analizar, reenviar o procesar de otrasmaneras.Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL serevisa de arriba a abajo, una lnea a la vez, y se busca un patrn que coincida con elpaquete entrante. La ACL hace cumplir una o ms polticas de seguridad corporativas alaplicar una regla de permiso o denegacin para determinar el destino del paquete. Esposible configurar las ACL para controlar el acceso a una red o subred.De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto,no filtra el trfico. El trfico que ingresa al router es enrutado segn la tabla deenrutamiento. Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarsea travs del router lo atraviesan hacia el prximo segmento de la red.
A continuacin, le presentamos pautas para el uso de las ACL:* Utilice las ACL en routers firewall entre su red interna y su red externa, como Internet.* Utilice las ACL en un router situado entre dos partes de la red a fin de controlar el trficoque entra o sale de una parte especfica de su red interna.* Configure las ACL en routers de borde situados en los extremos de la red. Estoproporciona un bfer muy bsico desde la red externa, o entre un rea menos controladay un rea ms sensible de su red.* Configure las ACL para cada protocolo de red configurado en las interfaces del router deborde. Puede configurar las ACL en una interfaz para filtrar los trficos entrantes,salientes o ambos.Las tres P
Puede recordar una regla general para aplicar las ACL en un router mediante las tres P.Puede configurar una ACL por protocolo, por direccin y por interfaz.Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe definiruna ACL para cada protocolo habilitado en la interfaz.Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de unainterfaz. Deben crearse dos ACL por separado para controlar el trfico entrante ysaliente.Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo, FastEthernet 0/0.Escribir una ACL puede ser una tarea desafiante y compleja. Cada interfaz puede tenervarios protocolos y direcciones definidos. El router del ejemplo tiene dos interfacesconfiguradas para IP: AppleTalk e IPX. Es probable que este router necesite 12 ACL por
separado, una ACL para cada protocolo, multiplicada por dos por cada direccin y por dospor la cantidad de puertos.Las ACL realizan las siguientes tareas:* Limitar el trfico de red para mejorar el rendimiento de sta. Por ejemplo, si la polticacorporativa no permite el trfico de video en la red, pueden configurarse y aplicarse las
ACL que bloquean el trfico de video. Esto reduce considerablemente la carga de la red yaumenta su rendimiento.* Brindar control de flujo de trfico. Las ACL pueden restringir el envo de lasactualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las
-
7/23/2019 Resumen Capitulo 5 Y 6
2/14
condiciones de la red, se preserva el ancho de banda.* Proporcionar un nivel bsico de seguridad para el acceso a la red. Las ACL puedenpermitir que un host acceda a una parte de la red y evitar que otro acceda a la mismarea.* Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del router. Porejemplo, una ACL puede permitir el trfico de correo electrnico, pero bloquear todo el
trfico de Telnet.* Controlar las reas de la red a las que puede acceder un cliente.* Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACLpueden permitir o denegar el acceso de un usuario a tipos de archivos, como FTP oHTTP.Las ACL inspeccionan los paquetes de la red segn un criterio, como direccin de origen,de destino, protocolos y nmeros de puerto. Adems de permitir o denegar el trfico, una
ACL puede clasificar el trfico para darle prioridad en la lnea. Esta capacidad es similar atener un pase VIP para un concierto o evento deportivo. El pase VIP le da a determinadosinvitados privilegios que no se ofrecen al pblico en general, como el ingreso a reasrestringidas y asientos en el palco.Cmo funcionan las ACL?
Las listas de acceso definen el conjunto de reglas que proporcionan control adicional paralos paquetes que ingresan a las interfaces de entrada, paquetes que pasan a travs delrouter y paquetes que salen de las interfaces de salida del router. Las ACL no actansobre paquetes que se originan en el mismo router.Las ACL se configuran para ser aplicadas al trfico entrante o saliente.* ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfazde salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas deenrutamiento si el paquete se descarta. Si el paquete est autorizado por las pruebas,luego se procesa para el enrutamiento.* ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego sonprocesados a travs de la ACL de salida.
Las sentencias de la ACL operan en orden secuencial. Comparan los paquetes con laACL, de arriba hacia abajo, una sentencia a la vez.Una sentencia implcita final cubre todos los paquetes para los cuales las condiciones noresultan verdaderas. Esta ltima prueba coincide con todos los dems paquetes yproduce una "denegacin" del paquete. En lugar de salir o entrar a una interfaz, el routerdescarta todos los paquetes restantes. La ltima sentencia generalmente se denomina"implicit deny any statement" (denegar implcitamente una sentencia) o "deny all traffic"(denegar todo el trfico). Debido a esta sentencia, una ACL debe contar con, al menos,una sentencia de permiso; de lo contrario, la ACL bloquea todo el trfico.Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede haber una ACL porprotocolo, por direccin y por interfaz.Tipos de ACL de Cisco
Hay dos tipos de ACL Cisco: estndar y extendidas.ACL estndarLas ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP deorigen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permitetodo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any"(denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar secrean en el modo de configuracin global.
ACL extendidasLas ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo
-
7/23/2019 Resumen Capitulo 5 Y 6
3/14
de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP deorigen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo parauna mejor disparidad de control. En la figura, la ACL 103 permite el trfico que se originadesde cualquier direccin en la red 192.168.30.0/24 hacia cualquier puerto 80 de host dedestino (HTTP). Las ACL extendidas se crean en el modo de configuracin global.Los comandos para las ACL se explican en los prximos temas.
Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes mspequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no leinforma el propsito de la ACL. Por ello, si se parte del IOS de Cisco Versin 11.2, puedeutilizar un nombre para identificar una ACL de Cisco.La figura resume la regla para especificar las ACL numeradas y las ACL denominadas.En cuanto a las ACL, si se pregunta por qu se saltean los nmeros del 200 al 1299, larespuesta es porque esos nmeros son utilizados por otros protocolos. Este curso secentra slo en las ACL IP. Por ejemplo, los nmeros del 600 al 699 son utilizados por
AppleTalk y los nmeros del 800 al 899 por IPX.Una conversacin TCP
Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este control
puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sinembargo, las ACL tambin pueden configurarse para controlar el trfico de red segn elpuerto TCP que se utiliza.Cuando solicita datos de un servidor Web, IP se encarga de la comunicacin entre la PC yel servidor. TCP se encarga de la comunicacin entre su navegador Web (aplicacin) y elsoftware de servidor de red. Cuando enva un correo electrnico, visita una pgina Web odescarga un archivo, TCP es el responsable de desglosar los datos en paquetes para IP,antes de enviarlos, y de integrar los datos de los paquetes al recibirlosRecuerde que TCP ofrece un servicio orientado a la conexin, confiable y de stream debytes. El trmino "orientado a la conexin" significa que las dos aplicaciones que utilizanTCP deben establecer una conexin TCP entre s antes de intercambiar datos. TCP es unprotocolo full-duplex, que significa que cada conexin TCP admite un par de streams de
bytes, y cada stream fluye en una direccin. TCP incluye un mecanismo de control de flujopara cada stream de bytes que permite al receptor limitar la cantidad de datos que eltransmisor puede enviar. TCP tambin implementa un mecanismo de control decongestin.
Filtrado de paquetes
El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla elacceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea suingreso segn un criterio establecido.
Un router acta como filtro de paquetes cuando reenva o deniega paquetes segn las
reglas de filtrado. Cuando un paquete llega al router de filtrado de paquetes, ste extraedeterminada informacin del encabezado del paquete y toma decisiones segn las reglasde filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El filtrado de paquetesacta en la capa de red del modelo de interconexin de sistema abierto (OSI, OpenSystems Interconnection) o en la capa Internet de TCP/IP.Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas paradeterminar la autorizacin o denegacin del trfico segn las direcciones IP de origen y dedestino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas sedefinen mediante las listas de control de acceso o ACL.
-
7/23/2019 Resumen Capitulo 5 Y 6
4/14
La ACL puede extraer la siguiente informacin del encabezado del paquete, probarlarespecto de las reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientescriterios:* Direccin IP de origen* Direccin IP de destino* Tipo de mensaje ICMP
La ACL tambin puede extraer informacin de las capas superiores y probarla respecto delas reglas. La informacin de las capas superiores incluye:* Puerto TCP/UDP de origen* Puerto TCP/UDP de destino
CISCO - CCNA 3 --------- Captulo 6 ------ Resumen22:12 ERIOL--MK 1 COMMENT
Ruteo Inter-VLANUna VLAN es tcnicamente un dominio de broadcast diferente, por lo que de forma predeterminada no pueden
comunicarse entre s, salvo se usen diferentes tcnicas de ruteo inter-vlan cada una de los cuales tiene sus
ventajas y sus desventajas, a continuacin mostrar un ejemplo de una tcnica llamada "Router-on-a-stick",
que en resumen consiste en configurar una interfaz fsica de un Router para operar como un enlace troncal en
el puerto de un switch, el Router efectua el ruteo intervlan de forma interna mediante el uso de subinterfaces,
una subinterfaz es una interfaz virtual(va software) que se crea en una interfaz fsica, por lo que se asocia cada
subinterfaz con un nmero de VLAN, asi que podemos tener varias subinterfaces creadas en una misma
interfaz fsica, lo cual presenta ventajas y desventajas que enumeramos a continuacin.
Ventajas
http://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.htmlhttp://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.html#comment-formhttp://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.html#comment-formhttp://1.bp.blogspot.com/-ylY-aQ_Z-mU/UCiIja6gPpI/AAAAAAAAAbY/ThrbXmVKXpw/s1600/Sin+t%C3%ADtulo.pnghttp://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.html#comment-formhttp://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.html -
7/23/2019 Resumen Capitulo 5 Y 6
5/14
Fcil de implementar solo se requiere crear una subinterfaz por cada VLAN en el Router.
Mucho ms econmica que tener un Router por VLAN.
Mucho mejor latencia que tener un Router por VLAN.
Desventajas
Los Routers son ms lentos que los switches para ruteo inter-VLAN, lo ideal es tener un switch
multicapa.
Si se necesita incrementar el nmero de puertos, entre ms puertos requiera un Router ms costoso
resulta.
Estamos expuestos al buen funcionamiento de una sola interfaz fsica en el Router, esto es un nico
punto de fallo.
http://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.html
http://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.htmlhttp://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.htmlhttp://3.bp.blogspot.com/-pn7w_BQ_rjE/UCiGbdYDTeI/AAAAAAAAAbQ/PXeq939Yj8s/s1600/blogger-logo.pnghttp://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.html -
7/23/2019 Resumen Capitulo 5 Y 6
6/14
http://XOMALLI.blogspot.mx
Dertalles de Ruteo Inter-Vlan
El enrutamiento inter VLAN se realiza utilizando un router dedicado o un
switch multicapa.
El enrutamiento inter VLAN facilita la comunicacin entre dispositivos
aislados por los lmites de la VLAN.
El enrutamiento inter VLAN tradicional requiere de la configuracin de un
router con interfaces fsicas mltiples, conectadas fsicamente para separar
las VLAN en un switch.
El modelo router-on-a-stick proporciona una funcionalidad similar al
enrutamiento inter VLAN tradicional a un costo reducido, pero proporciona
menor rendimiento en las redes ocupadas.
El enrutamiento inter VLAN tradicional utiliza las interfaces fsicas del
router, mientras que el enrutamiento inter VLAN del router-on-a-stick
utiliza interfaces lgicas de la interfaz fsica.
Para reducir el riesgo de problemas en la configuracin del switch, router o
direccin IP, es necesario verificar la configuracin de cada dispositivo.
Uso del router como gateway
-
7/23/2019 Resumen Capitulo 5 Y 6
7/14
El enrutamiento tradicional requiere de routers que tengan interfaces fsicas
mltiples para facilitar el enrutamiento inter VLAN. El router realiza el
enrutamiento al conectar cada una de sus interfaces fsicas a una VLAN nica.
Adems, cada interfaz est configurada con una direccin IP para la subred
asociada con la VLAN conectada a sta. Al configurar las direcciones IP en las
interfaces fsicas, los dispositivos de red conectados a cada una de las VLAN
pueden comunicarse con el router utilizando la interfaz fsica conectada a la misma
VLAN. En esta configuracin los dispositivos de red pueden utilizar el router como
un gateway para acceder a los dispositivos conectados a las otras VLAN.
Interfaces y sub interfaces
Para superar las limitaciones de hardware del enrutamiento inter VLAN basado en
interfaces fsicas del router, se utilizan subinterfaces virtuales y enlaces troncales,
como en el ejemplo del router-on-a-stick descrito anteriormente. Las subinterfaces
son interfaces virtuales basadas en software asignadas a interfaces fsicas. Cada
subinterfaz se configura con su propia direccin IP, mscara de subred y asignacin
de VLAN nica, permitiendo que una interfaz fsica nica sea parte en forma
simultnea de mltiples redes lgicas. Esto resulta til cuando se realiza el
enrutamiento inter VLAN en redes con mltiples VLAN y pocas interfaces fsicas
del router.
Al configurar el enrutamiento inter VLAN mediante el modelo router-on-a-stick, la
interfaz fsica del router debe estar conectada al enlace troncal en el switch
adyacente. Las subinterfaces se crean para cada VLAN/subred nica en la red. Acada subinterfaz se le asigna una direccin IP especfica a la subred de la cual ser
parte y se configura en tramas con etiqueta de la VLAN para la VLAN con la cual
interactuar la interfaz. De esa manera, el router puede mantener separado el
trfico de cada subinterfaz a medida que atraviesa el enlace troncal hacia el switch.
Configuracin de la subinterfazLa configuracin de las subinterfaces del router es similar a la configuracin de las
interfaces fsicas, excepto que es necesario crear la subinterfaz y asignarla a una
VLAN.
Antes de asignar una direccin IP a una subinterfaz, es necesario configurar la
subinterfaz para que funcione en una VLAN especfica mediante el comando
encapsulation dot1q vlan id. Una vez asignada la VLAN, el comando ip address
172.17.10.1 255.255.255.0 asigna la subinterfaz a la direccin IP apropiada para esa
VLAN.
-
7/23/2019 Resumen Capitulo 5 Y 6
8/14
A diferencia de una interfaz fsica tpica, las subinterfaces no estn habilitadas con
el comando no shutdown en el nivel de modo de configuracin de la subinterfaz del
software IOS de Cisco. Sin embargo, cuando la interfaz fsica est habilitada con el
comando no shutdown, todas las subinterfaces configuradas estn habilitadas. De
manera similar, si la interfaz fsica est deshabilitada, todas las subinterfaces estn
deshabilitadas.
Lmites del puertoLas interfaces fsicas estn configuradas para tener una interfaz por VLAN en la
red. En las redes con muchas VLAN, no es posible utilizar un nico router para
realizar el enrutamiento inter VLAN. Los routers tienen limitaciones fsicas para
evitar que contengan una gran cantidad de interfaces fsicas. Sin embargo, si es una
prioridad evitar el uso de subinterfaces, puede utilizar mltiples routers pararealizar el enrutamiento inter VLAN para todas las VLAN.
Las subinterfaces permiten ampliar el router para acomodar ms VLAN que las
permitidas por las interfaces fsicas. El enrutamiento inter VLAN en grandes
ambientes con muchas VLAN puede acomodarse mejor si se utiliza una interfaz
fsica nica con muchas subinterfaces.
RendimientoDebido a que no existe contencin para ancho de banda en interfaces fsicas
separadas, las interfaces fsicas tienen un mejor rendimiento cuando se lascompara con el uso de subinterfaces. El trfico de cada VLAN conectada tiene
acceso al ancho de banda completo de la interfaz fsica del router conectado a dicha
VLAN para el enrutamiento inter VLAN.
Cuando se utilizan subinterfaces para el enrutamiento inter VLAN, el trfico que se
est enrutando compite por ancho de banda en la interfaz fsica nica. En una red
http://1.bp.blogspot.com/-NkKpc3gyGKM/UCiJbRNXSiI/AAAAAAAAAbg/XDG7jP1NiYE/s1600/g.png -
7/23/2019 Resumen Capitulo 5 Y 6
9/14
ocupada, esto puede causar un cuello de botella en la comunicacin. Para balancear
la carga de trfico en una interfaz fsica, las subinterfaces se configuran en
mltiples interfaces fsicas, lo que da como resultado una menor contencin entre
el trfico de la VLAN.
Puertos de acceso y puertos de enlace troncal
La conexin de las interfaces fsicas para el enrutamiento inter VLAN requiere que
los puertos del switch estn configurados como puertos de acceso. Las
subinterfaces requieren que el puerto del switch est configurado como un puerto
de enlace troncal, para que pueda aceptar el trfico etiquetado de la VLAN en el
enlace troncal. Al utilizar subinterfaces, muchas VLAN pueden enrutarse sobre un
enlace troncal nico, en lugar de utilizar una interfaz fsica nica para cada VLAN.
Costo
Con respecto a la parte financiera, resulta ms econmico utilizar subinterfaces, en
lugar de interfaces fsicas separadas. Los routers que tienen muchas interfaces
fsicas son ms caros que los routers con una interfaz nica. Adems, si tiene un
router con muchas interfaces fsicas, cada interfaz est conectada a un puerto del
switch separado, lo que consume puertos del switch adicionales en la red. Los
puertos del switch son un recurso costoso en switches de alto rendimiento. Al
consumir puertos adicionales para las funciones de enrutamiento inter VLAN, el
switch y el router elevan el costo total de la solucin de enrutamiento inter VLAN.
Complejidad
El uso de subinterfaces para el enrutamiento inter VLAN tiene como resultado una
configuracin fsica menos compleja que el uso de interfaces fsicas separadas,
debido a que la cantidad de cables de red fsica que interconectan el router con el
switch es menor. Con menos cables, hay menos confusin acerca de dnde est
conectado el cable en el switch. Dado que las VLAN son entroncadas en un enlace
nico, resulta ms fcil resolver el problema de las conexiones fsicas.
http://1.bp.blogspot.com/-CZr72iuMCWs/UCiKBd3m9YI/AAAAAAAAAbo/B7p0M004W5U/s1600/gr.pnghttp://1.bp.blogspot.com/-CZr72iuMCWs/UCiKBd3m9YI/AAAAAAAAAbo/B7p0M004W5U/s1600/gr.png -
7/23/2019 Resumen Capitulo 5 Y 6
10/14
Verificar configuracin del router
Para verificar la configuracin del router, utilice el comando show running-config en el modo EXEC
privilegiado. Este comando muestra la configuracin operativa actual del router. Puede ver las direcciones IP
que se configuraron para cada una de las interfaces del router, as como tambin el estado operativo de la
interfaz.
Verificar la configuracin del router
El comando show running-config confirma que la subinterfaz F0/0.10 en el router R1 se configur para
permitir el acceso al trfico de la VLAN 100 y no de la VLAN 10. Quizs esto fue un error de mecanografa.
Con la correcta verificacin, los problemas de configuracin del router se resuelven rpidamente, lo que
permite que el enrutamiento inter VLAN funcione bien nuevamente. Recuerde que las VLAN estn conectadas
directamente, siendo sta la manera en que ingresan a la tabla de enrutamiento.
Las subredes son la clave para implementar el enrutamiento inter VLAN. Las
VLAN corresponden a subredes nicas en la red. Para que el enrutamiento inter
VLAN funcione, es necesario conectar un router a todas las VLAN, ya sea por medio
de interfaces fsicas separadas o subinterfaces de enlace troncal. Toda interfaz o
subinterfaz necesita que se le asigne una direccin IP que corresponda a la subred
para la cual est conectada. Esto permite que los dispositivos en la VLAN secomuniquen con la interfaz del router y habiliten el enrutamiento del trfico a otras
VLAN conectadas al router.
http://4.bp.blogspot.com/-3oOKNgHHjvQ/UCiK15aiWoI/AAAAAAAAAbw/TpIqxqAwOIM/s1600/gt.png -
7/23/2019 Resumen Capitulo 5 Y 6
11/14
Comandos de verificacin
Antes aprendi que toda interfaz, o subinterfaz, necesita que se le asigne una
direccin IP que corresponda a la subred para la cual est conectada. Un error
comn es configurar incorrectamente una direccin IP para una subinterfaz. Los
resultados del comando show running-config. El comando show ip interface es otro
comando til. La segunda rea resaltada muestra la direccin IP incorrecta.
Enrutamiento Clasico
El enrutamiento inter VLAN es el proceso de trfico de enrutamiento entre
diferentes VLAN, mediante un router dedicado o un switch multicapa. El
enrutamiento inter VLAN facilita la comunicacin entre los dispositivos aislados
por los lmites de la VLAN.
La topologa de enrutamiento inter VLAN que utiliza un router externo con
subinterfaces con enlace troncal a un switch de Capa 2 se llama router-on-a-stick.
Con esta opcin, es importante configurar una direccin IP en cada subinterfazlgica, as como tambin el nmero de VLAN asociadas.
Las redes conmutadas modernas utilizan interfaces virtuales del switch en los
switches multicapas para habilitar el enrutamiento inter VLAN.
Los switches Catalyst 2960 pueden utilizarse en un escenario de router-on-a-stick,
http://2.bp.blogspot.com/-D5kJ5kzeFyI/UCiMfZ9p3GI/AAAAAAAAAb4/GiujYMvn2H0/s1600/f.png -
7/23/2019 Resumen Capitulo 5 Y 6
12/14
mientras que los switches Catalyst 3560 pueden utilizarse para la opcin de
switching multicapa para el enrutamiento inter VLAN.
PROCESO DE CONFIGURACION ACL
El proceso de creacin de una ACL se lleva a cabo creando la lista y posteriormente asocindola a
una interfaz entrante o saliente.
Configuracin de ACL estndar
Router(config)#access-list[1-99][permit|deny][direccin de origen][mascara comodn]Donde:
1-99 Identifica el rango y la lista.Permit|deny indica si esta entrada permitir o bloquear el trfico a partir de la direccinespecificada.
Direccin de origen identifica la direccin IP de origen.Mascara comodn o wildcard identifica los bits del campo de la direccin que sern comprobados.La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociacin de la lista a una interfaz
Router(config-if)#ip access-group[n de lista de acceso][in|out]Donde:
Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz.In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.Ejemplo de una ACL estndar denegando una red:
Router#configure terminalRouter(config)#access-list 10 deny 192.168.1.0 0.0.0.0Router(config)#access-list 10 permit anyRouter(config)#interface serial 0Router(config-if)#ip access-group 10 inSe ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,
Posteriormente se asocio la ACL a la interfaz Serial 0.
Configuracin de ACL extendida
El proceso de configuracin de una ACL IP extendida es el siguiente:
-
7/23/2019 Resumen Capitulo 5 Y 6
13/14
Router(config)#access-list[100-199][permit|deny][protocol][direccin de origen][mascaracomodn][direccin de destino][mascara de destino][puerto][establisehed][log]100-199 identifica el rango y nmero de listaPermit|deny: indica si la entrada permitir o bloqueara la direccin especificada.Protocolo: como por ejemplo IP, TCP, UDP, ICMPDireccin origen y destino: identifican direcciones IP de origen y destino.Mascara wildcard origen y mascara destino: Son las mascaras comodn. Las 0 indican las posicionesque deben coincidir, y los 1 las que noimportan.
Puerto opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq(distinto que) y un nmero de puerto de protocolo correspondiente.
Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que l rafico TCP pase si elpaquete utiliza una conexin ya establecida (por ejemplo posee un conjunto de bits ACK)
Log: (opcional) Enva un mensaje de registro a la consola a un servidor syslog determinado.Algunos de los nmeros de puertos ms conocidos:
20 Datos del protocolo FTP21 FTP23 Telnet25 SMTP69 TFTP53 DNS
Asociacin de la lista a una interfaz
Router(config-if)#ip access-group[n de lista de acceso][in|out]Donde:
Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz.In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.
Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red:
Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80Router(config)#access-list 120 permit ip any any
-
7/23/2019 Resumen Capitulo 5 Y 6
14/14
Router(config)#interface serial 1Router(config-if)#ip access-group 120 inSe ha denegado al host 204.204.10.1, (identificndolo con la abreviatura host) hacia el puerto 80
de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta
ACL se asocio a la interfaz Serial 1 como entrante.
Aplicacin de una ACL a la linea de telnet
Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una
lista de acceso estndar y asociarla a la Line VTY. El proceso de creacin se lleva a cabo como una
ACL estndar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la
Lnea de telnet es el siguiente:
router(config)#line vty 0 4router(config-line)#access-class[N de lista de acceso][in|out]
Como eliminar las listas de acceso
Desde el modo interfaz donde se aplico la lista:
Router(config-if)#no ip access-group[N de lista de acceso]Desde el modo global elimine la ACL
router(config)#no access-list[N de lista de acceso]