resumen capitulo 5 y 6

7/23/2019 Resumen Capitulo 5 Y 6

1/14

Resumen Capitulo 5 CCNA Exploration 4.0

Qu es una ACL?

La ACL es una configuracin de router que controla si un router permite o deniegapaquetes segn el criterio encontrado en el encabezado del paquete. Las ACL son unos

de los objetos ms comnmente utilizados en el software IOS de Cisco. Las ACL tambinse utilizan para seleccionar los tipos de trfico por analizar, reenviar o procesar de otrasmaneras.Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL serevisa de arriba a abajo, una lnea a la vez, y se busca un patrn que coincida con elpaquete entrante. La ACL hace cumplir una o ms polticas de seguridad corporativas alaplicar una regla de permiso o denegacin para determinar el destino del paquete. Esposible configurar las ACL para controlar el acceso a una red o subred.De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto,no filtra el trfico. El trfico que ingresa al router es enrutado segn la tabla deenrutamiento. Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarsea travs del router lo atraviesan hacia el prximo segmento de la red.

A continuacin, le presentamos pautas para el uso de las ACL:* Utilice las ACL en routers firewall entre su red interna y su red externa, como Internet.* Utilice las ACL en un router situado entre dos partes de la red a fin de controlar el trficoque entra o sale de una parte especfica de su red interna.* Configure las ACL en routers de borde situados en los extremos de la red. Estoproporciona un bfer muy bsico desde la red externa, o entre un rea menos controladay un rea ms sensible de su red.* Configure las ACL para cada protocolo de red configurado en las interfaces del router deborde. Puede configurar las ACL en una interfaz para filtrar los trficos entrantes,salientes o ambos.Las tres P

Puede recordar una regla general para aplicar las ACL en un router mediante las tres P.Puede configurar una ACL por protocolo, por direccin y por interfaz.Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe definiruna ACL para cada protocolo habilitado en la interfaz.Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de unainterfaz. Deben crearse dos ACL por separado para controlar el trfico entrante ysaliente.Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo, FastEthernet 0/0.Escribir una ACL puede ser una tarea desafiante y compleja. Cada interfaz puede tenervarios protocolos y direcciones definidos. El router del ejemplo tiene dos interfacesconfiguradas para IP: AppleTalk e IPX. Es probable que este router necesite 12 ACL por

separado, una ACL para cada protocolo, multiplicada por dos por cada direccin y por dospor la cantidad de puertos.Las ACL realizan las siguientes tareas:* Limitar el trfico de red para mejorar el rendimiento de sta. Por ejemplo, si la polticacorporativa no permite el trfico de video en la red, pueden configurarse y aplicarse las

ACL que bloquean el trfico de video. Esto reduce considerablemente la carga de la red yaumenta su rendimiento.* Brindar control de flujo de trfico. Las ACL pueden restringir el envo de lasactualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las


2/14

condiciones de la red, se preserva el ancho de banda.* Proporcionar un nivel bsico de seguridad para el acceso a la red. Las ACL puedenpermitir que un host acceda a una parte de la red y evitar que otro acceda a la mismarea.* Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del router. Porejemplo, una ACL puede permitir el trfico de correo electrnico, pero bloquear todo el

trfico de Telnet.* Controlar las reas de la red a las que puede acceder un cliente.* Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACLpueden permitir o denegar el acceso de un usuario a tipos de archivos, como FTP oHTTP.Las ACL inspeccionan los paquetes de la red segn un criterio, como direccin de origen,de destino, protocolos y nmeros de puerto. Adems de permitir o denegar el trfico, una

ACL puede clasificar el trfico para darle prioridad en la lnea. Esta capacidad es similar atener un pase VIP para un concierto o evento deportivo. El pase VIP le da a determinadosinvitados privilegios que no se ofrecen al pblico en general, como el ingreso a reasrestringidas y asientos en el palco.Cmo funcionan las ACL?

Las listas de acceso definen el conjunto de reglas que proporcionan control adicional paralos paquetes que ingresan a las interfaces de entrada, paquetes que pasan a travs delrouter y paquetes que salen de las interfaces de salida del router. Las ACL no actansobre paquetes que se originan en el mismo router.Las ACL se configuran para ser aplicadas al trfico entrante o saliente.* ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfazde salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas deenrutamiento si el paquete se descarta. Si el paquete est autorizado por las pruebas,luego se procesa para el enrutamiento.* ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego sonprocesados a travs de la ACL de salida.

Las sentencias de la ACL operan en orden secuencial. Comparan los paquetes con laACL, de arriba hacia abajo, una sentencia a la vez.Una sentencia implcita final cubre todos los paquetes para los cuales las condiciones noresultan verdaderas. Esta ltima prueba coincide con todos los dems paquetes yproduce una "denegacin" del paquete. En lugar de salir o entrar a una interfaz, el routerdescarta todos los paquetes restantes. La ltima sentencia generalmente se denomina"implicit deny any statement" (denegar implcitamente una sentencia) o "deny all traffic"(denegar todo el trfico). Debido a esta sentencia, una ACL debe contar con, al menos,una sentencia de permiso; de lo contrario, la ACL bloquea todo el trfico.Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede haber una ACL porprotocolo, por direccin y por interfaz.Tipos de ACL de Cisco

Hay dos tipos de ACL Cisco: estndar y extendidas.ACL estndarLas ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP deorigen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permitetodo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any"(denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar secrean en el modo de configuracin global.

ACL extendidasLas ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo


3/14

de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP deorigen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo parauna mejor disparidad de control. En la figura, la ACL 103 permite el trfico que se originadesde cualquier direccin en la red 192.168.30.0/24 hacia cualquier puerto 80 de host dedestino (HTTP). Las ACL extendidas se crean en el modo de configuracin global.Los comandos para las ACL se explican en los prximos temas.

Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes mspequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no leinforma el propsito de la ACL. Por ello, si se parte del IOS de Cisco Versin 11.2, puedeutilizar un nombre para identificar una ACL de Cisco.La figura resume la regla para especificar las ACL numeradas y las ACL denominadas.En cuanto a las ACL, si se pregunta por qu se saltean los nmeros del 200 al 1299, larespuesta es porque esos nmeros son utilizados por otros protocolos. Este curso secentra slo en las ACL IP. Por ejemplo, los nmeros del 600 al 699 son utilizados por

AppleTalk y los nmeros del 800 al 899 por IPX.Una conversacin TCP

Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este control

puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sinembargo, las ACL tambin pueden configurarse para controlar el trfico de red segn elpuerto TCP que se utiliza.Cuando solicita datos de un servidor Web, IP se encarga de la comunicacin entre la PC yel servidor. TCP se encarga de la comunicacin entre su navegador Web (aplicacin) y elsoftware de servidor de red. Cuando enva un correo electrnico, visita una pgina Web odescarga un archivo, TCP es el responsable de desglosar los datos en paquetes para IP,antes de enviarlos, y de integrar los datos de los paquetes al recibirlosRecuerde que TCP ofrece un servicio orientado a la conexin, confiable y de stream debytes. El trmino "orientado a la conexin" significa que las dos aplicaciones que utilizanTCP deben establecer una conexin TCP entre s antes de intercambiar datos. TCP es unprotocolo full-duplex, que significa que cada conexin TCP admite un par de streams de

bytes, y cada stream fluye en una direccin. TCP incluye un mecanismo de control de flujopara cada stream de bytes que permite al receptor limitar la cantidad de datos que eltransmisor puede enviar. TCP tambin implementa un mecanismo de control decongestin.

Filtrado de paquetes

El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla elacceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea suingreso segn un criterio establecido.

Un router acta como filtro de paquetes cuando reenva o deniega paquetes segn las

reglas de filtrado. Cuando un paquete llega al router de filtrado de paquetes, ste extraedeterminada informacin del encabezado del paquete y toma decisiones segn las reglasde filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El filtrado de paquetesacta en la capa de red del modelo de interconexin de sistema abierto (OSI, OpenSystems Interconnection) o en la capa Internet de TCP/IP.Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas paradeterminar la autorizacin o denegacin del trfico segn las direcciones IP de origen y dedestino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas sedefinen mediante las listas de control de acceso o ACL.


4/14

La ACL puede extraer la siguiente informacin del encabezado del paquete, probarlarespecto de las reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientescriterios:* Direccin IP de origen* Direccin IP de destino* Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores y probarla respecto delas reglas. La informacin de las capas superiores incluye:* Puerto TCP/UDP de origen* Puerto TCP/UDP de destino

CISCO - CCNA 3 --------- Captulo 6 ------ Resumen22:12 ERIOL--MK 1 COMMENT

Ruteo Inter-VLANUna VLAN es tcnicamente un dominio de broadcast diferente, por lo que de forma predeterminada no pueden

comunicarse entre s, salvo se usen diferentes tcnicas de ruteo inter-vlan cada una de los cuales tiene sus

ventajas y sus desventajas, a continuacin mostrar un ejemplo de una tcnica llamada "Router-on-a-stick",

que en resumen consiste en configurar una interfaz fsica de un Router para operar como un enlace troncal en

el puerto de un switch, el Router efectua el ruteo intervlan de forma interna mediante el uso de subinterfaces,

una subinterfaz es una interfaz virtual(va software) que se crea en una interfaz fsica, por lo que se asocia cada

subinterfaz con un nmero de VLAN, asi que podemos tener varias subinterfaces creadas en una misma

interfaz fsica, lo cual presenta ventajas y desventajas que enumeramos a continuacin.

Ventajas
http://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.htmlhttp://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.html#comment-formhttp://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.html#comment-formhttp://1.bp.blogspot.com/-ylY-aQ_Z-mU/UCiIja6gPpI/AAAAAAAAAbY/ThrbXmVKXpw/s1600/Sin+t%C3%ADtulo.pnghttp://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.html#comment-formhttp://eriolmkprogramming.blogspot.com/2012/08/cisco-ccna-3-capitulo-6-resumen.html


5/14

Fcil de implementar solo se requiere crear una subinterfaz por cada VLAN en el Router.

Mucho ms econmica que tener un Router por VLAN.

Mucho mejor latencia que tener un Router por VLAN.

Desventajas

Los Routers son ms lentos que los switches para ruteo inter-VLAN, lo ideal es tener un switch

multicapa.

Si se necesita incrementar el nmero de puertos, entre ms puertos requiera un Router ms costoso

resulta.

Estamos expuestos al buen funcionamiento de una sola interfaz fsica en el Router, esto es un nico

punto de fallo.

http://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.html
http://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.htmlhttp://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.htmlhttp://3.bp.blogspot.com/-pn7w_BQ_rjE/UCiGbdYDTeI/AAAAAAAAAbQ/PXeq939Yj8s/s1600/blogger-logo.pnghttp://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.html


6/14

http://XOMALLI.blogspot.mx

Dertalles de Ruteo Inter-Vlan

El enrutamiento inter VLAN se realiza utilizando un router dedicado o un

switch multicapa.

El enrutamiento inter VLAN facilita la comunicacin entre dispositivos

aislados por los lmites de la VLAN.

El enrutamiento inter VLAN tradicional requiere de la configuracin de un

router con interfaces fsicas mltiples, conectadas fsicamente para separar

las VLAN en un switch.

El modelo router-on-a-stick proporciona una funcionalidad similar al

enrutamiento inter VLAN tradicional a un costo reducido, pero proporciona

menor rendimiento en las redes ocupadas.

El enrutamiento inter VLAN tradicional utiliza las interfaces fsicas del

router, mientras que el enrutamiento inter VLAN del router-on-a-stick

utiliza interfaces lgicas de la interfaz fsica.

Para reducir el riesgo de problemas en la configuracin del switch, router o

direccin IP, es necesario verificar la configuracin de cada dispositivo.

Uso del router como gateway


7/14

El enrutamiento tradicional requiere de routers que tengan interfaces fsicas

mltiples para facilitar el enrutamiento inter VLAN. El router realiza el

enrutamiento al conectar cada una de sus interfaces fsicas a una VLAN nica.

Adems, cada interfaz est configurada con una direccin IP para la subred

asociada con la VLAN conectada a sta. Al configurar las direcciones IP en las

interfaces fsicas, los dispositivos de red conectados a cada una de las VLAN

pueden comunicarse con el router utilizando la interfaz fsica conectada a la misma

VLAN. En esta configuracin los dispositivos de red pueden utilizar el router como

un gateway para acceder a los dispositivos conectados a las otras VLAN.

Interfaces y sub interfaces

Para superar las limitaciones de hardware del enrutamiento inter VLAN basado en

interfaces fsicas del router, se utilizan subinterfaces virtuales y enlaces troncales,

como en el ejemplo del router-on-a-stick descrito anteriormente. Las subinterfaces

son interfaces virtuales basadas en software asignadas a interfaces fsicas. Cada

subinterfaz se configura con su propia direccin IP, mscara de subred y asignacin

de VLAN nica, permitiendo que una interfaz fsica nica sea parte en forma

simultnea de mltiples redes lgicas. Esto resulta til cuando se realiza el

enrutamiento inter VLAN en redes con mltiples VLAN y pocas interfaces fsicas

del router.

Al configurar el enrutamiento inter VLAN mediante el modelo router-on-a-stick, la

interfaz fsica del router debe estar conectada al enlace troncal en el switch

adyacente. Las subinterfaces se crean para cada VLAN/subred nica en la red. Acada subinterfaz se le asigna una direccin IP especfica a la subred de la cual ser

parte y se configura en tramas con etiqueta de la VLAN para la VLAN con la cual

interactuar la interfaz. De esa manera, el router puede mantener separado el

trfico de cada subinterfaz a medida que atraviesa el enlace troncal hacia el switch.

Configuracin de la subinterfazLa configuracin de las subinterfaces del router es similar a la configuracin de las

interfaces fsicas, excepto que es necesario crear la subinterfaz y asignarla a una

VLAN.

Antes de asignar una direccin IP a una subinterfaz, es necesario configurar la

subinterfaz para que funcione en una VLAN especfica mediante el comando

encapsulation dot1q vlan id. Una vez asignada la VLAN, el comando ip address

172.17.10.1 255.255.255.0 asigna la subinterfaz a la direccin IP apropiada para esa

VLAN.


8/14

A diferencia de una interfaz fsica tpica, las subinterfaces no estn habilitadas con

el comando no shutdown en el nivel de modo de configuracin de la subinterfaz del

software IOS de Cisco. Sin embargo, cuando la interfaz fsica est habilitada con el

comando no shutdown, todas las subinterfaces configuradas estn habilitadas. De

manera similar, si la interfaz fsica est deshabilitada, todas las subinterfaces estn

deshabilitadas.

Lmites del puertoLas interfaces fsicas estn configuradas para tener una interfaz por VLAN en la

red. En las redes con muchas VLAN, no es posible utilizar un nico router para

realizar el enrutamiento inter VLAN. Los routers tienen limitaciones fsicas para

evitar que contengan una gran cantidad de interfaces fsicas. Sin embargo, si es una

prioridad evitar el uso de subinterfaces, puede utilizar mltiples routers pararealizar el enrutamiento inter VLAN para todas las VLAN.

Las subinterfaces permiten ampliar el router para acomodar ms VLAN que las

permitidas por las interfaces fsicas. El enrutamiento inter VLAN en grandes

ambientes con muchas VLAN puede acomodarse mejor si se utiliza una interfaz

fsica nica con muchas subinterfaces.

RendimientoDebido a que no existe contencin para ancho de banda en interfaces fsicas

separadas, las interfaces fsicas tienen un mejor rendimiento cuando se lascompara con el uso de subinterfaces. El trfico de cada VLAN conectada tiene

acceso al ancho de banda completo de la interfaz fsica del router conectado a dicha

VLAN para el enrutamiento inter VLAN.

Cuando se utilizan subinterfaces para el enrutamiento inter VLAN, el trfico que se

est enrutando compite por ancho de banda en la interfaz fsica nica. En una red
http://1.bp.blogspot.com/-NkKpc3gyGKM/UCiJbRNXSiI/AAAAAAAAAbg/XDG7jP1NiYE/s1600/g.png


9/14

ocupada, esto puede causar un cuello de botella en la comunicacin. Para balancear

la carga de trfico en una interfaz fsica, las subinterfaces se configuran en

mltiples interfaces fsicas, lo que da como resultado una menor contencin entre

el trfico de la VLAN.

Puertos de acceso y puertos de enlace troncal

La conexin de las interfaces fsicas para el enrutamiento inter VLAN requiere que

los puertos del switch estn configurados como puertos de acceso. Las

subinterfaces requieren que el puerto del switch est configurado como un puerto

de enlace troncal, para que pueda aceptar el trfico etiquetado de la VLAN en el

enlace troncal. Al utilizar subinterfaces, muchas VLAN pueden enrutarse sobre un

enlace troncal nico, en lugar de utilizar una interfaz fsica nica para cada VLAN.

Costo

Con respecto a la parte financiera, resulta ms econmico utilizar subinterfaces, en

lugar de interfaces fsicas separadas. Los routers que tienen muchas interfaces

fsicas son ms caros que los routers con una interfaz nica. Adems, si tiene un

router con muchas interfaces fsicas, cada interfaz est conectada a un puerto del

switch separado, lo que consume puertos del switch adicionales en la red. Los

puertos del switch son un recurso costoso en switches de alto rendimiento. Al

consumir puertos adicionales para las funciones de enrutamiento inter VLAN, el

switch y el router elevan el costo total de la solucin de enrutamiento inter VLAN.

Complejidad

El uso de subinterfaces para el enrutamiento inter VLAN tiene como resultado una

configuracin fsica menos compleja que el uso de interfaces fsicas separadas,

debido a que la cantidad de cables de red fsica que interconectan el router con el

switch es menor. Con menos cables, hay menos confusin acerca de dnde est

conectado el cable en el switch. Dado que las VLAN son entroncadas en un enlace

nico, resulta ms fcil resolver el problema de las conexiones fsicas.
http://1.bp.blogspot.com/-CZr72iuMCWs/UCiKBd3m9YI/AAAAAAAAAbo/B7p0M004W5U/s1600/gr.pnghttp://1.bp.blogspot.com/-CZr72iuMCWs/UCiKBd3m9YI/AAAAAAAAAbo/B7p0M004W5U/s1600/gr.png


10/14

Verificar configuracin del router

Para verificar la configuracin del router, utilice el comando show running-config en el modo EXEC

privilegiado. Este comando muestra la configuracin operativa actual del router. Puede ver las direcciones IP

que se configuraron para cada una de las interfaces del router, as como tambin el estado operativo de la

interfaz.

Verificar la configuracin del router

El comando show running-config confirma que la subinterfaz F0/0.10 en el router R1 se configur para

permitir el acceso al trfico de la VLAN 100 y no de la VLAN 10. Quizs esto fue un error de mecanografa.

Con la correcta verificacin, los problemas de configuracin del router se resuelven rpidamente, lo que

permite que el enrutamiento inter VLAN funcione bien nuevamente. Recuerde que las VLAN estn conectadas

directamente, siendo sta la manera en que ingresan a la tabla de enrutamiento.

Las subredes son la clave para implementar el enrutamiento inter VLAN. Las

VLAN corresponden a subredes nicas en la red. Para que el enrutamiento inter

VLAN funcione, es necesario conectar un router a todas las VLAN, ya sea por medio

de interfaces fsicas separadas o subinterfaces de enlace troncal. Toda interfaz o

subinterfaz necesita que se le asigne una direccin IP que corresponda a la subred

para la cual est conectada. Esto permite que los dispositivos en la VLAN secomuniquen con la interfaz del router y habiliten el enrutamiento del trfico a otras

VLAN conectadas al router.
http://4.bp.blogspot.com/-3oOKNgHHjvQ/UCiK15aiWoI/AAAAAAAAAbw/TpIqxqAwOIM/s1600/gt.png


11/14

Comandos de verificacin

Antes aprendi que toda interfaz, o subinterfaz, necesita que se le asigne una

direccin IP que corresponda a la subred para la cual est conectada. Un error

comn es configurar incorrectamente una direccin IP para una subinterfaz. Los

resultados del comando show running-config. El comando show ip interface es otro

comando til. La segunda rea resaltada muestra la direccin IP incorrecta.

Enrutamiento Clasico

El enrutamiento inter VLAN es el proceso de trfico de enrutamiento entre

diferentes VLAN, mediante un router dedicado o un switch multicapa. El

enrutamiento inter VLAN facilita la comunicacin entre los dispositivos aislados

por los lmites de la VLAN.

La topologa de enrutamiento inter VLAN que utiliza un router externo con

subinterfaces con enlace troncal a un switch de Capa 2 se llama router-on-a-stick.

Con esta opcin, es importante configurar una direccin IP en cada subinterfazlgica, as como tambin el nmero de VLAN asociadas.

Las redes conmutadas modernas utilizan interfaces virtuales del switch en los

switches multicapas para habilitar el enrutamiento inter VLAN.

Los switches Catalyst 2960 pueden utilizarse en un escenario de router-on-a-stick,
http://2.bp.blogspot.com/-D5kJ5kzeFyI/UCiMfZ9p3GI/AAAAAAAAAb4/GiujYMvn2H0/s1600/f.png


12/14

mientras que los switches Catalyst 3560 pueden utilizarse para la opcin de

switching multicapa para el enrutamiento inter VLAN.

PROCESO DE CONFIGURACION ACL

El proceso de creacin de una ACL se lleva a cabo creando la lista y posteriormente asocindola a

una interfaz entrante o saliente.

Configuracin de ACL estndar

Router(config)#access-list[1-99][permit|deny][direccin de origen][mascara comodn]Donde:

1-99 Identifica el rango y la lista.Permit|deny indica si esta entrada permitir o bloquear el trfico a partir de la direccinespecificada.

Direccin de origen identifica la direccin IP de origen.Mascara comodn o wildcard identifica los bits del campo de la direccin que sern comprobados.La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).

Asociacin de la lista a una interfaz

Router(config-if)#ip access-group[n de lista de acceso][in|out]Donde:

Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz.In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.Ejemplo de una ACL estndar denegando una red:

Router#configure terminalRouter(config)#access-list 10 deny 192.168.1.0 0.0.0.0Router(config)#access-list 10 permit anyRouter(config)#interface serial 0Router(config-if)#ip access-group 10 inSe ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,

Posteriormente se asocio la ACL a la interfaz Serial 0.

Configuracin de ACL extendida

El proceso de configuracin de una ACL IP extendida es el siguiente:


13/14

Router(config)#access-list[100-199][permit|deny][protocol][direccin de origen][mascaracomodn][direccin de destino][mascara de destino][puerto][establisehed][log]100-199 identifica el rango y nmero de listaPermit|deny: indica si la entrada permitir o bloqueara la direccin especificada.Protocolo: como por ejemplo IP, TCP, UDP, ICMPDireccin origen y destino: identifican direcciones IP de origen y destino.Mascara wildcard origen y mascara destino: Son las mascaras comodn. Las 0 indican las posicionesque deben coincidir, y los 1 las que noimportan.

Puerto opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq(distinto que) y un nmero de puerto de protocolo correspondiente.

Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que l rafico TCP pase si elpaquete utiliza una conexin ya establecida (por ejemplo posee un conjunto de bits ACK)

Log: (opcional) Enva un mensaje de registro a la consola a un servidor syslog determinado.Algunos de los nmeros de puertos ms conocidos:

20 Datos del protocolo FTP21 FTP23 Telnet25 SMTP69 TFTP53 DNS

Asociacin de la lista a una interfaz

Router(config-if)#ip access-group[n de lista de acceso][in|out]Donde:

Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz.In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.

Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red:

Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80Router(config)#access-list 120 permit ip any any


14/14

Router(config)#interface serial 1Router(config-if)#ip access-group 120 inSe ha denegado al host 204.204.10.1, (identificndolo con la abreviatura host) hacia el puerto 80

de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta

ACL se asocio a la interfaz Serial 1 como entrante.

Aplicacin de una ACL a la linea de telnet

Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una

lista de acceso estndar y asociarla a la Line VTY. El proceso de creacin se lleva a cabo como una

ACL estndar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la

Lnea de telnet es el siguiente:

router(config)#line vty 0 4router(config-line)#access-class[N de lista de acceso][in|out]

Como eliminar las listas de acceso

Desde el modo interfaz donde se aplico la lista:

Router(config-if)#no ip access-group[N de lista de acceso]Desde el modo global elimine la ACL

router(config)#no access-list[N de lista de acceso]

resumen capitulo 5 y 6

Documents