Está en la página 1de 74

LISTAS DE CONTROL DE ACCESO

Curso: CCN4 Exploration

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

Qu son las ACLs?

Una lista de acceso es una serie secuencial de comandos o filtros.

Estas listas le dicen al router que tipo de paquetes:


Aceptar (accept) o Denegar (deny)

La aceptacin y rechazo se pueden basar en ciertas condiciones especficas Los ACLs se aplican en las interfaces del router.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

Qu son las ACLs?

El router examina cada paquete para determinar si lo enva hacia adelante o lo elimina, basado en las condiciones especificadas en el ACL.
Algunos criterios de decisin del ACL son: Direccin IP origen Direccin IP destino Protocolos UDP o TCP Upper-layer (TCP/UDP) port numbers

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

Qu son las ACLs?

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

Una ACL por protocolo:

Qu son las ACLs?

Para controlar el flujo de trfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Una ACL por direccin: Las ACL controlan el trfico en una direccin a la vez por interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y saliente. Una ACL por interfaz:

Las ACL controlan el trfico para una interfaz, por ejemplo, Fastethernet 0/0.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

Cmo trabajan las ACLs?

Una ACL es un grupo de sentencias que definen si los paquetes son aceptados o rechazados ya sea que estn ingresando o saliendo de una interfaz. Las ACLs operan en orden secuencial y lgico. Si una condicin de coincidencia es verdadera, el paquete es permitido o denegado y el resto de sentencias ACLs no son revisadas. Si todas las sentencias no han coincidido, una sentencia implcita deny any es localizada al final de la lista por defecto (no es visible). Al inicio cuando estamos aprendiendo como crear ACLs, es una buena idea aadir un deny any de forma explicita para reforzar la presencia dinmica de la lnea de comando.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

Cmo trabajan las ACLs?


ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

Cmo trabajan las ACLs?

ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a travs de la ACL de salida.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

Las listas de control de acceso operan en orden secuencial y lgico. Evalan los paquetes de arriba hacia abajo. Una vez que una sentencia de la lista de control de acceso tiene una coincidencia, el paquete salta el resto de sentencias.
Si una condicin de coincidencia es verdadera, el paquete es permitido o denegado.

Cmo trabajan las ACLs?

Solo puede existir una access list por protocolo y por interfaz. Existe un deny any implcito al final de cada access list. Las ACLs no bloquean los paquetes que se originan dentro del router (Ejemplo ping, telnet, etc)
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

Tipos de ACLs
1. ACL IP Estndar Slo puede filtrar la direccin IP Origen Se coloca lo mas cerca posible al destino

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

10

Tipos de ACLs
2. ACL Extendidas
Puede filtrar:
Direccin IP Origen Direccin IP Destino

Protocolo (TCP, UDP)


Nmero de Puerto (Telnet 23, http 80, etc.) Y otros parmetros

Rick

11
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

11

Tipos de ACL: Intervalos

Rick

12
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

12

Creacin de ACLs Estndar : 2 pasos

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

13

Creacin de ACLs Estndar : 2 pasos

(Standard IP)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

14

Ubicacin de las ACL


Las reglas bsicas son:
Ubicar las ACLs extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red. Como las ACLs estndar no especifican las direcciones de destino, colquelas lo ms cerca del destino posible.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

15

Ejemplo 1
172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Tarea:
Permitir slo al host 172.16.30.2 salir de la red Sales.

Denegar a todos los otros hosts en la red Sales de abandonar la red 172.16.30.0/24.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

16

Aprendiendo mediantes ejemplos!!


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Paso 1 Sentencias ACLs con el deny any implcito el cual es aadido de forma automtica Test Condition RouterB(config)#access-list 10 permit 172.16.30.2 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255

(Standard IP)
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

17

Desde el Web Site de Cisco


172.16.20.0/24 172.16.40.0/24 s0 s0 .1 s0 .2 RouterA .1 e0 RouterB .1 e0 s1 .1 .2 RouterC .1 e0 Administration Sales Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Applying ACLs You can define ACLs without applying them. However, the ACLs will have no effect until they are applied to the router's interface. It is a good practice to apply the Standard ACLs on the interface closest to the destination of the traffic and Extended ACLs on the interface closest to the source. Defining In, Out, Source, and Destination Out - Traffic that has already been routed by the router and is leaving the interface
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

18

CASO 1: Aplicando la ACL en la interfaz Ethernet


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Paso 2 Aplicando en la(s) interfaz(es) RouterB(config)#access-list 10 permit 172.16.30.2 0.0.0.0 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

19

CASO 2: Aplicando la ACL en las interfaces Seriales


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Paso 2 o en las interfaces salientes Cual es preferible y por qu? RouterB(config)#access-list 10 permit 172.16.30.2 0.0.0.0 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255

RouterB(config)# interface s 0
RouterB(config-if)# ip access-group 10 out RouterB(config)# interface s 1
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

20

CASO 2: Aplicando la ACL en las interfaces Seriales


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Debido al deny any, este tiene un efecto adverso de tambin denegar paquetes desde la red Administration para alcanzar la red Engineering; y de la red Engineering para alcanzar la red Administration. RouterB(config)#access-list 10 permit 172.16.30.2 0.0.0.0 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterB(config)# interface s 0 RouterB(config-if)# ip access-group 10 out RouterB(config)# interface s 1
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

21

ACL: La mejor opcin


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Opcin preferida, esta ACL trabajar en todas las interfaces existente o nuevas del Router B. RouterB(config)#access-list 10 permit 172.16.30.2 0.0.0.0 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

22

Ejemplo 2
172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Tarea:
Permitir slo a los host 172.16.30.2, 172.16.30.3, 172.16.30.4, 172.16.30.5 salir de la red Sales.

Denegar a todos los otros hosts en la red Sales de abandonar la red 172.16.30.0/24.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

23

Ejemplo 2
172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Una vez que una condicin se cumple, todas las otras sentencias son ignoradas, de forma que el deny any solo se aplica a los paquete que no tienen coincidencia
RouterB(config)#access-list 10 permit 172.16.30.2 0.0.0.0 RouterB(config)#access-list 10 permit 172.16.30.3 0.0.0.0 RouterB(config)#access-list 10 permit 172.16.30.4 0.0.0.0 RouterB(config)#access-list 10 permit 172.16.30.5 0.0.0.0 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

24

Ejemplo 2
172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Para remover una ACL, usar el comando no access-list. El comando no ip access-group remueve la aplicacin de la ACL en la interfaz , es mejor usar ambas para remover completamente la ACL RouterB(config)#no access-list 10 RouterB(config)# interface e 0

RouterB(config-if)# no ip access-group 10 in

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

25

Example 3
s0 RouterA .1 e0 .1

Ejemplo 3
172.16.20.0/24 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Tarea: Denegar slo al host 172.16.30.2 de salir de la red Sales. Permitir a todos los otros hosts en la red Sales abandonar la red 172.16.30.0/24.

La palabra clave any puede ser usada para representar todas las direcciones IP
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

26

Example 3
s0 RouterA .1 e0 .1

Ejemplo 3
172.16.20.0/24 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

El orden importa !!! Que pasara si las dos sentencias a continuacin fueran invertidas?, El deny any implcito tendra alguna coincidencia? No, la sentencia permit any abarcar a todos los paquetes. RouterB(config)#access-list 10 deny 172.16.30.2 0.0.0.0 RouterB(config)#access-list 10 permit any Implicit deny any -do not need to add this, discussed later

RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255


RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

27

Example 3
RouterA .1 e0

172.16.20.0/24 s0 .1

Ejemplo 3
s0 .2 s1 RouterB .1 .1 e0

172.16.40.0/24 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

El orden importa: En este caso todos los paquetes sern permitidos, puesto que todos los paquetes coincidirn con la primera sentencia ACL. Una vez que un condicin es alcanzada, todas las otras sentencias son ignoradas. La segunda regla de la lista de acceso y el deny any implcito jams ser usado. Por lo tanto, esto no hara lo que nosotros deseamos. RouterB(config)#access-list 10 permit any RouterB(config)#access-list 10 deny 172.16.30.2 0.0.0.0 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterB(config)# interface e 0
2007 Cisco 10 Systems,in Inc. Todos los derechos reservados. RouterB(config-if)# ip access-group Cisco Public

28

Nota sobre la listas de acceso entrantes (inbound)


Cuando una ACL es aplicada en una interfaz en direccin inbound, los paquetes son revisados contra la lista de acceso antes que el proceso de bsqueda en la tabla de enrutamiento ocurra. Estaremos viendo en un momento como las listas de acceso outbound trabajan, estas son aplicadas despus de que el proceso de decisin es hecho, despus de que el proceso de bsqueda en la tabla de enrutamiento se lleva a cabo y una interfaz de salida es determinada Una vez que un paquete es denegado por una ACL, el router enva un mensaje ICMP Destination Unreachable con un valor para el cdigo de Administratively Prohibited al paquete origen.
RouterB(config)#access-list RouterB(config)#access-list Implicit deny any (do not RouterB(config)#access-list 10 deny 172.16.30.2 0.0.0.0 10 permit any need to add this, discussed later): 10 deny 0.0.0.0 255.255.255.255

RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

29

Uso de las Wildcard Masks:


A wildcard mask address: Tells how much of the packets source IP address (or destination IP address) needs to match for this condition to be true.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

30

Time for Wildcard Masks!


A wildcard mask is a 32-bit quantity that is divided into four octets. A wildcard mask is paired with an IP address. The numbers one and zero in the mask are used to identify how to treat the corresponding IP address bits. The term wildcard masking is a nickname for the ACL mask-bit matching process and comes from of an analogy of a wildcard that matches any other card in the game of poker. Wildcard masks have no functional relationship with subnet masks. They are used for different purposes and follow different rules. Subnet masks start from the left side of an IP address and work towards the right to extend the network field by borrowing bits from the host field. Wildcard masks are designed to filter individual or groups of IP addresses permitting or denying access to resources based on the address.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

31

Wildcard Masks!

Trying to figure out how wildcard masks work by relating them to subnet masking will only confuse the entire matter. The only similarity between a wildcard mask and a subnet mask is that they are both thirty-two bits long and use ones and zeros for the mask.
This is not entirely true. Although it is very important that you understand how a wildcard mask works, it can also be thought as an inverse subnet mask. We will see examples in a moment
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

32

Wildcard Masks!

Test Condition
Test Conditon

10101100.00010000.00000000.00000000 00000000.00000000.11111111.11111111 -----------------------------------A Match Matching packets will look like this

10101100.00010000.any value.any value

The packet

Wildcard masking used to identify how to treat the corresponding IP address bits. 0 - check the corresponding bit value. 1 - do not check (ignore) that corresponding bit value.

A zero in a bit position of the access list mask indicates that the corresponding bit in the address must be checked and must match for condition to be true.
A one in a bit position of the access list mask indicates the corresponding bit in the address is not interesting, does not need to match, and can be ignored.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

33

Wildcard Masks!
Test Condition
Test Conditon

A Match

10101100.00010000.00000000.00000000 00000000.00000000.11111111.11111111 -----------------------------------Debe No es necesario The packet Coincidir que coincida 10101100.00010000.any value.any value

Resulting in the bits that must match or doesnt Matching packets will look like this.matter. 0 - check the corresponding bit value. 1 - do not check (ignore) that corresponding bit value.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

34

Ejemplo 4 Usando Wildcard Masks


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Tarea:
Se desea que Router A permita trfico desde toda la red Sales y slo desde la estacin 172.16.50.2

Denegar todo otro trafico que ingrese a la red Administration.


2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

35

Ejemplo 4 Usando Wildcard Masks


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

RouterA(config)#access-list 11 permit 172.16.30.0 0.0.0.255 RouterA(config)#access-list 11 permit 172.16.50.2 0.0.0.0


172.16.30.0 0.0.0.255 0 check - make sure first octet is 172 0 check - make sure second octet is 16 0 check - make sure third octet is 30 255 - dont check (permit any fourth octet)
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

172.16.50.2 0.0.0.0 0 check - make sure first octet is 172 0 check - make sure second octet is 16 0 check - make sure third octet is 50 0 check - make sure fourth octet is 2

36

Ejemplo 4 Usando Wildcard Masks


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

RouterA(config)#access-list 11 permit 172.16.30.0 0.0.0.255 0 = check, we want this to match, 1 = dont check (dont care) 172.16.30.0 0.0.0.255 10101100 . 00010000 . 00011110 . 00000000 00000000 . 00000000 . 00000000 . 11111111 ----------------------------------------Test Conditon

172.16.30.0
172.16.30.1 172.16.30.255

10101100 . 00010000 . 00011110 . 00000000


10101100 . 00010000 . 00011110 . 00000001 ... (through) 10101100 . 00010000 . 00011110 . 11111111
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

The packet(s)

37

Ejemplo 4 Usando Wildcard Masks


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

RouterA(config)#access-list 11 permit 172.16.50.2 0.0.0.0 0 = check, we want this to match, 1 = dont check (dont care) 172.16.50.2 0.0.0.0 10101100 . 00010000 . 00110010 . 00000010 00000000 . 00000000 . 00000000 . 00000000 ----------------------------------------Test Conditon

172.16.50.2

10101100 . 00010000 . 00110010 . 00000010

The packet(s)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

38

Ejemplo 4 Usando Wildcard Masks


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

No olvidar de aplicar la lista de acceso a la interfaz. RouterA(config)#access-list 11 permit 172.16.30.0 0.0.0.255 RouterA(config)#access-list 11 permit 172.16.50.2 0.0.0.0

RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 out

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

39

Ejemplo 4 Usando Wildcard Masks


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

No olvidarse del deny any implcito. Es buena idea para los principiantes que se incluya la sentencia deny any solo como recuerdo RouterA(config)#access-list 11 permit 172.16.30.0 0.0.0.255 RouterA(config)#access-list 11 permit 172.16.50.2 0.0.0.0 RouterA(config)#access-list 11 deny 0.0.0.0 255.255.255.255 RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 out

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

40

Ejemplo 4 Usando Wildcard Masks


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

RouterA(config)#access-list 11 deny 0.0.0.0 255.255.255.255 0 = check, we want this to match, 1 = dont check (dont care)
0.0.0.0 00000000 . 00000000 . 00000000 . 00000000 ----------------------------------------255.255.255.255 11111111 . 11111111 . 11111111 . 11111111
Test Conditon

0.0.0.0
0.0.0.1

00000000 . 00000000 . 00000000 . 00000000


00000000 . 00000000 . 00000000 . 00000001 ... (through)

The packet(s)

255.255.255.255 11111111 . 11111111 . 11111111 . 11111111


2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

41

Palabra clave any


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

RouterA(config)#access-list 11 deny 0.0.0.0 255.255.255.255 Or RouterA(config)#access-list 11 deny any


any = 0.0.0.0 255.255.255.255

Simply put, the any option substitutes 0.0.0.0 for the IP address and 255.255.255.255 for the wildcard mask.
This option will match any address that it is compared against.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

42

Palabra clave any de Ejemplo 3


172.16.20.0/24 172.16.40.0/24 RouterB .1 e0 s1 .1 s0 .2 RouterC .1 e0 s0 RouterA .1 e0 .1 s0 .2

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

RouterB(config)#access-list 10 deny 172.16.30.2 RouterB(config)#access-list 10 permit any or RouterB(config)#access-list 10 permit 0.0.0.0 255.255.255.255

De un ejemplo previo: Denegar slo al host 172.16.30.2 de salir de la red Sales. Permitir a todos los otros hosts en la red Sales abandonar la red 172.16.30.0/24. La palabra clave any puede ser usada para representar todas las direcciones IP
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

43

But can reach this interface

A note about outbound access lists


172.16.20.0/24 172.16.40.0/24 s0 s0 .1 s0 .2 RouterA .1 e0 RouterB .1 e0 s1 .1 .2 RouterC .1 e0 Administration

Denied

Sales

Engineering

Denied
172.16.10.2/24

172.16.10.3/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

RouterA(config)#access-list 11 permit 172.16.30.0 0.0.0.255 RouterA(config)#access-list 11 permit 172.16.50.2 0.0.0.0 RouterA(config)#access-list 11 deny 0.0.0.0 255.255.255.255 RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 out
This will deny packets from 172.16.30.0/24 from reaching all devices in the 172.16.10.0/24 Administration LAN, except RouterAs Ethernet 0 interface, of 172.16.10.1. The access list will need to be applied on Router As Serial 0 interface for it to be denied on RouterAs Ethernet 0 interface. A better soluton is to use an Extended Access list. (coming)
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

44

ACL: host option


RouterB(config)#access-list 10 permit 192.168.1.100 0.0.0.0 RouterB(config)#access-list 10 permit host 192.168.1.100 Permit the following hosts:

Network/Subnet Mask
A. 172.16.10.100 B. 192.168.1.100

Address/Wildcard Mask
172.16.10.100 0.0.0.0 192.168.1.100 0.0.0.0

The host option substitutes for the 0.0.0.0 mask.


This mask requires that all bits of the ACL address and the packet address match. The host keyword precedes the IP address.

This option will match just one address.


replaced by replaced by host 172.16.10.100 host 192.168.1.100
Cisco Public

172.16.10.100 0.0.0.0 192.168.1.100 0.0.0.0

2007 Cisco Systems, Inc. Todos los derechos reservados.

45

Ranges with Wildcard Masks - Extra


Wildcard masks can be used to define some ranges of IP address. Note: It is possible to get overly complicate your access lists when trying to do a range. Many times using multiple access lists are easier to configure, easier to understand, and you are less likely to make a mistake. We will do our best to understand this, but it is not imperative that you do. If you are with me so far, but I lose you here, dont worry about it. For example: The administrator wants to use IP wildcard masking bits to permit, match subnets 172.30.16.0 to 172.30.31.0. access-list 20 permit 172.30.16.0 0.0.15.255
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

46

Ranges with Wildcard Masks


Match subnets 172.30.16.0 to 172.30.31.0 access-list 20 permit 172.30.16.0 0.0.15.255
Whats happening (well see its easier than this):

The easiest way to see how we did this is to show it in binary

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

47

Ranges with Wildcard Masks


Match subnets 172.30.16.0 to 172.30.31.0 access-list 20 permit 172.30.16.0 0.0.15.255

172.30.16.0 0.0.15.255 172.30.16.0 172.30.16.1

10101100 . 00011110 . 00010000 . 00000000 00000000 . 00000000 . 00001111 . 11111111 ----------------------------------------10101100 . 00011110 . 00010000 . 00000000 10101100 . 00011110 . 00010000 . 00000001 through . . .

172.30.31.254 10101100 . 00011110 . 00011111 . 11111110 172.30.31.255 10101100 . 00011110 . 00011111 . 11111115

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

48

Ranges with Wildcard Masks


Match subnets 172.30.16.0 to 172.30.31.0 access-list 20 permit 172.30.16.0 0.0.15.255 Debe coincidir
172.30.16.0 0.0.15.255

Cualquier Valor

10101100 . 00011110 . 00010000 . 00000000 00000000 . 00000000 . 00001111 . 11111111 -----------------------------------------

172.30.16.0
172.30.16.1

10101100 . 00011110 . 00010000 . 00000000


10101100 . 00011110 . 00010000 . 00000001 through . . .

172.30.31.254 10101100 . 00011110 . 00011111 . 11111110 172.30.31.255 10101100 . 00011110 . 00011111 . 11111115

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

49

Ranges with Wildcard Masks


Match subnets 172.30.16.0 to 172.30.31.0 access-list 20 permit 172.30.16.0 0.0.15.255
Debe conicidir Cualquier Valor

172.30.16.0
0.0.15.255 172.30.16.0

10101100 . 00011110 . 00010000 . 00000000


00000000 . 00000000 . 00001111 . 11111111 ----------------------------------------10101100 . 00011110 . 00010000 . 00000000

through . . .
172.30.31.255 10101100 . 00011110 . 00011111 11111111 The subnets 172.30.16.0 through 172.30.31.0 have . the subnet mask 255.255.240.0 in common. This gives us the wildcard mask: 0.0.15.255 (255.255.255.255 255.255.240.). Using the first permitted subnet, 172.30.16.0, gives us the address for our test condition. This will not work for all ranges but does in some cases like this one.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

50

Verificando las ACLs

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

51

Verificando las ACLs

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

52

Nota: Mas de una interfaz puede usar la misma ACL


2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

53

Filtrar el trfico Telnet

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

54

Edicin de ACLs numeradas

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

55

Operacin de ACLs

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

56

Inbound Standard Access Lists

Inbound Access Lists


RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 in Con ACLs inbound el IOS revisa el paquete antes de que ste sea enve al Proceso de la Tabla de Enrutamiento. Con ACLs Outbound el IOS revisa el paquete despus que ese ste se enva al Proceso de la Tabla de Enrutamiento, excepto que este destinado a la propia interfaz del router. Estos es porque la interfaz de salida no es conocida hasta que el proceso de
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

57

Standard ACL

We will see why in a moment.

The full syntax of the standard ACL command is: Router(config)#access-list access-list-number {deny | permit} source [source-wildcard ] [log] The no form of this command is used to remove a standard ACL. This is the syntax: (Deletes entire ACL!)
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

58

ACLs Extendidas

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

59

Listas de Acceso Extendidas

Las ACL Extendidas son usadas mas frecuentemente que las ACLs Estndar porque ellas proveen un rango mayor de control. Las ACLs Extendidas revisan las direcciones origen y de destino de los paquetes as como son capaces de revisar por protocolos y nmeros de puertos. Esto da gran flexibilidad para describir qu la ACL revisar. A los paquetes se les es permitidos o denegado el acceso basado en donde los paquetes se originaron y cual es su destino, as como el tipo
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

60

Listas de Acceso Extendidas

Operator and operand can also refer to ICMP Types and Codes or whatever the protocol is being checked. If the operator and operand follow the source address it refers to the source port If the operator and operand follow the destination address it refers to the destination port.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

61

Extended Access Lists - Examples

port number or protocol name

The ip access-group command links an existing extended ACL to an interface. Remember that only one ACL per interface, per direction, per protocol is allowed. The format of the command is: Router(config-if)#ip access-group access-list-number {in | out}
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

62

Ejemplo 1: ACL Extendida


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Port 80

Tarea: Se desea que Router A permita trfico desde la estacin de trabajo 172.16.50.2 de la red Engineering y sea capaz de acceder al servidor web en la red Administration con la direccin IP 172.16.10.2 y la direccin de puerto 80. Todo el otro trafico es denegado
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

63

Listas de Acceso Extendidas


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Port 80

RouterA(config)#access-list 110 permit tcp host 172.16.50.2 host 172.16.10.2 eq 80 RouterA(config)#inter e 0 RouterA(config-if)#ip access-group 110 out

Why is better to place the ACL on RouterA instead of RouterC? Why is the e0 interface used instead of s0 on RouterA? Well see in a moment!
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

64

Ejemplo 2: ACL Extendida


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Port 80

Tarea:
Se desea que Router A permita a cualquier estacin dentro de la red Sales sea capaz de acceder al servidor web en la red Administration con la direccin IP 172.16.10.2 y la direccin de puerto 80. Todo el otro trafico es denegado.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

65

Ejemplo 2: ACL Extendida


172.16.20.0/24 s0 RouterA .1 e0 .1 s0 .2 RouterB .1 e0 172.16.40.0/24 s1 .1 s0 .2 RouterC .1 e0

Administration

Sales

Engineering

172.16.10.3/24 172.16.10.2/24

172.16.30.3/24 172.16.30.2/24

172.16.50.3/24 172.16.50.2/24

Port 80

RouterA(config)#access-list 110 permit tcp 172.16.30.0 0.0.0.255 host 172.16.10.2 eq 80 RouterA(config)#inter e 0 RouterA(config-if)#ip access-group 110 out

When configuring access list statements, use the ? to walk yourself through the command!
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

66

Inbound Extended Access Lists

Inbound Access Lists


RouterA(config)# interface e 0 RouterA(config-if)#ip access-group 11 in
Con ACLs inbound el IOS revisa el paquete antes de que ste sea envi al Proceso de la Tabla de Enrutamiento.

Con ACLs Outbound el IOS revisa el paquete despus que ese ste se enva al Proceso de la Tabla de Enrutamiento, excepto que este destinado a la propia interfaz del router. Estos es porque la interfaz de salida no es conocida hasta que el proceso de reenvo es hecho
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

67

Notes from www.cisco.com


En el siguiente ejemplo, la ltima entrada es suficiente. Usted no necesita las tres primeras entradas puesto que TCP incluye a Telnet, e IP incluye TCP, User Datagram Protocol (UDP), e Internet Control Message Protocol (ICMP).
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

68

Placing ACLs Extended Example

deny telnet deny ftp permit any

Source 10.0.0.0/8 Destination 172.16.0.0/16

Policy is to deny telnet or FTP Router A LAN to Router D LAN. All other traffic must be permitted. Several approaches can accomplish this policy. The recommended approach uses an extended ACL specifying both source and destination addresses.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

69

Placing ACLs Extended Example


deny telnet deny ftp permit any

Source 10.0.0.0/8

RouterA

Destination 172.16.0.0/16

interface fastethernet 0/1 access-group 101 in access-list 101 deny tcp any 172.16.0.0 0.0.255.255 eq telnet access-list 101 deny tcp any 172.16.0.0 0.0.255.255 eq ftp access-list 101 permit ip any any

Place this extended ACL in Router A. Then, packets do not cross Router A's Ethernet, do not cross the serial interfaces of Routers B and C, and do not enter Router D. Traffic with different source and destination addresses will still be permitted.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

70

Placing ACLs Extended Example

deny telnet deny ftp permit any

Source 10.0.0.0/8

RouterA

Destination 172.16.0.0/16

interface fastethernet 0/1 access-group 101 in access-list 101 deny tcp any 172.16.0.0 0.0.255.255 eq telnet access-list 101 deny tcp any 172.16.0.0 0.0.255.255 eq ftp access-list 101 permit ip any any

If the permit ip any any is not used, then no traffic is permitted. Be sure to permit ip and not just tcp or all udp traffic will be denied.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

71

Placing ACLs Standard Example

Source 10.0.0.0/8

deny 10.0.0.0 permit any


Destination 172.16.0.0/16

RouterD

interface fastethernet 0/0 access-group 10 in access-list 10 deny 10.0.0.0 0.255.255.255 access-list 10 permit any

Standard ACLs do not specify destination addresses, so they should be placed as close to the destination as possible.
If a standard ACL is put too close to the source, it will not only deny the intended traffic, but all other traffic to all other networks.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

72

Placing ACLs Standard Example

Source 10.0.0.0

deny 10.0.0.0 permit any


Destination 172.16.0.0/16

RouterD

interface fastethernet 0/0 access-group 10 in access-list 10 deny 10.0.0.0 0.255.255.255 access-list 10 permit any

Better to use extended access lists, and place them close to the source, as this traffic will travel all the way to RouterD before being denied.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

73

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Public

74