LISTAS DE CONTROL DE ACCESO Las listas de control de acceso (ACL) son un conjunto de lineamientos que permiten tener control

sobre las entradas y salidas que se generan en cada una de las interfaces de un router. Esto permite controlar segmentos de red, hosts e inclusive servicios que se estn utilizando tales como TELNET, WEB, etc. Se cuentan con varios tipos de ACL, pero solo haremos mencin de las siguientes: LISTAS DE CONTROL DE ACCESO ESTANDAR NUMERADAS Si se tiene el siguiente diagrama de red:

10.10.10.0/30

192.168.1.0/24

192.168.2.0/24

192.168.4.0/24

192.168.3.0/24

Si se tienen los siguientes requerimientos de trfico en la red: Se tiene que tomar en cuenta que primero debe de existir comunicacin en toda la red. a) Los segmentos 2 y 4 no tienen acceso al segmento 5 b) El primer host del segmento 1 y el primer host del segmento 4 no tienen acceso al segmento 2. En el caso del a) los segmento 2 y 4 sern bloqueados al intentar alcanzar al segmento 5, entonces esta lista de control de acceso se crear en el router b en el momento en que la informacin salga de la interfaz f0/1. La lista queda as: b>en b#configure terminal Enter configuration commands, one per line. End with CNTL/Z. b(config)#access-list 10 deny 192.168.2.0 0.0.0.255

b(config)#access-list 10 deny 192.168.3.0 0.0.0.255 b(config)#access-list 10 permit any La manera de hacer efectiva esta lista en una interfaz especfica es de la siguiente manera: b(config)#interface fastethernet 0/1 b(config-if)#ip access-group 10 out b(config-if)#end b# %SYS-5-CONFIG_I: Configured from console by console wr Building configuration... [OK] b# En el b) los host especificados se les niega el acceso al tratar de alcanza el segmento 2, por lo tanto la lista se crear en el router a, y quedara de la siguiente manera: a>en a#configure terminal Enter configuration commands, one per line. End with CNTL/Z. a(config)#access-list 20 deny host 192.168.1.2 a(config)#access-list 20 deny host 192.168.3.2 a(config)#access-list 20 permit any Y para que la lista tenga efecto se asigna a la interfaz directamente implicada: a(config)#interface fastethernet 0/1 a(config-if)#ip access-group 20 out a(config-if)#exit a(config)#end a# %SYS-5-CONFIG_I: Configured from console by console wr Building configuration... [OK] En el caso de la access-list 10 deny 192.168.2.0 0.0.0.255, el dato 0.0.0.255 se conoce como wildcard y esta relacionada con la mscara de subred, mientras que esta ltima supervisa las redes, el wildcard lo hace con los host. La lista no solo niega si no tambin puede aceptar.

La razn por la que se agreg el permit any es porque al final de cada lista de acceso existe un deny any implcito que podra afectar los resultados deseados en el trfico de informacin. Si uno se equivoca al declarar una lista, es preferible negarla por completo porque cualquier modificacin que se aplique se pondr al final de la lista. Se niega de la siguiente manera: no access-list 10 y esto elimina todo su contenido. Si uno desea ver las listas creadas en el router podemos utilizar el comando show runningconfig o el comando show access-lists. LISTAS DE CONTROL DE ACCESO EXTENDIDAS NUMERADAS Mientras que las listas estndar se numeran del 1 al 99, las extendidas se numeran del 100 al 199 y estas nos permiten controlar el trfico de servicios en la red como telnet, web, etc. Considerando el siguiente diagrama de red.

En este ejemplo se niega el trfico FTP desde la subred 192.168.11.0 hacia la subred 192.168.10.0, pero permite todo el otro trfico. Tomando en cuenta que las listas extendidas manejan puertos de comunicacin, el FTP requiere los puertos 20 y 21, los cuales tienen que ser especificados de la siguiente manera: R1(config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 any eq 20 R1(config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 any eq 21 R1(config)#access-list 101 permit ip any any R1(config)#interface fastethernet 0/1 R1(config-if)#ip access-group 101 in

Ahora en este ejemplo se niega el trfico de Telnet desde 192.168.10.0 hacia el router R1 pero permite todo el otro trfico IP de cualquier otro origen a cualquier destino. Utilizando el mismo diagrama de red quedara de la siguiente manera la configuracin quedara de la siguiente manera. R1(config)#access-list 105 deny tcp 192.168.10.0 0.0.0.255 any eq 23 R1(config)#access-list 105 permit ip any any R1(config)#interface fastethernet 0/0 R1(config-if)#ip access-group 105 in Si se tuviera el siguiente diagrama de red:

192.168.10.0/24

Y se deseara negar el servicio web y web seguro en Internet al segmento 192.168.10.0, la configuracin se realizara en el router R2: R2(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq 80 R2(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq 443 R2(config)#access-list 110 permit ip any any R2(config)#interface serial 0/0 R2(config-if)#ip access-group 110 out