Acl

Listas de control de acceso
2006 Cisco Systems, Inc. Todos los derechos reservados.
Informacin pblica de Cisco
Objetivos
Explicar cmo se usan las ACL para asegurar la red

de una sucursal de una empresa mediana
Configurar las ACL estndar en la red de una

sucursal de una empresa mediana
Configurar las ACL extendidas en la red de una

Describir las ACL complejas en la red de una

Implementar, verificar y resolver problemas de las

ACL en un entorno de red empresarial
LISTAS DE CONTROL DE ACCESO

Uno de los mtodos ms comunes de filtrado de trfico es el uso de (ACL). Las ACL pueden utilizarse para administrar y
filtrar el trfico que ingresa a una red, as como tambin el trfico que sale de ella.
El tamao de una ACL vara desde una sentencia que permite o deniega el trfico de un origen, hasta cientos de sentencias
que permiten o deniegan paquetes de varios orgenes. El uso principal de las ACL es identificar los tipos de paquetes que
se deben aceptar o denegar.
Las ACL identifican el trfico para varios usos, por ejemplo:
Especificar hosts internos para NAT
Identificar o clasificar el trfico para funciones avanzadas tales como QoS y colas
Restringir el contenido de las actualizaciones de enrutamiento
Limitar el resultado de la depuracin
Controlar el acceso de terminales virtuales a los routers
El uso de las ACL puede provocar los siguientes problemas potenciales:
La carga adicional sobre el router para verificar todos los paquetes se traduce en menos tiempo para el reenvo de
paquetes.
Las ACL con diseos defectuosos colocan una carga an mayor sobre el router y podran interrumpir el uso de la red.
Las ACL colocadas de forma incorrecta bloquean el trfico que debe ser permitido y permiten el trfico que debe ser
bloqueado.
Explicacin de cmo se usan las ACL para

asegurar la red de una sucursal de una empresa
mediana
Por ejemplo, puede decir: "Slo permitir el acceso Web a usuarios de la red A. Denegar el acceso Web a
usuario de la red B, pero permitirles los otros accesos". Consulte la figura a fin de analizar la ruta de decisin
que utiliza el filtro de paquetes para realizar esta tarea

mediana
TIPOS DE ACL
Al crear listas de control de acceso, el administrador de red tiene varias opciones. La complejidad de las pautas de diseo
determina el tipo de ACL necesaria.
Hay tres clases de ACL:
ACL estndar
La ACL estndar es la ms simple de las tres clases. Al crear una ACL IP estndar, las ACL filtran segn la direccin IP de
origen de un paquete. Las ACL estndar permiten o deniegan el acceso de acuerdo con la totalidad del protocolo, como
IP. De esta manera, si un dispositivo host es denegado por una ACL estndar, se deniegan todos los servicios
provenientes de ese host. Este tipo de ACL sirve para permitir el acceso de todos los servicios de un usuario especfico,
o LAN, a travs de un router y, a la vez, denegar el acceso de otras direcciones IP. Las ACL estndar estn identificadas
por el nmero que se les ha asignado. Para las listas de acceso que permiten o deniegan el trfico IP, el nmero de
identificacin puede variar entre 1 y 99 y entre 1300 y 1999.
ACL extendidas
Las ACL extendidas filtran no slo segn la direccin IP de origen, sino tambin segn la direccin IP de destino, el protocolo
y los nmeros de puertos. Las ACL extendidas se utilizan ms que las ACL estndar porque son ms especficas y
ofrecen un mayor control. El rango de nmeros de las ACL extendidas va de 100 a 199 y de 2000 a 2699.
ACL nombradas
Las ACL nombradas (NACL, Named ACL) son ACL estndar o extendidas a las que se hace referencia mediante un nombre
descriptivo en lugar de un nmero. Cuando se configuran ACL nombradas, el IOS del router utiliza un modo de
subcomando de NACL.

mediana
los tipos y los formatos de las ACL.
PROCESAMIENTO DE LAS ACL

El administrador aplica una ACL entrante o saliente a una interfaz de router. La direccin se considera entrante o saliente
desde la perspectiva del router. El trfico que ingresa a un interfaz ser entrante y el trfico que sale de ella ser saliente.
Cuando un paquete llega a una interfaz, el router controla los siguientes parmetros:
Hay una ACL asociada con la interfaz?
La ACL es entrante o saliente?
El trfico coincide con los criterios para permitir o para denegar?
Una ACL aplicada en direccin saliente a una interfaz no tiene efectos sobre el trfico entrante en esa misma interfaz.
Cada interfaz de un router puede tener una ACL por direccin para cada protocolo de red. Respecto al protocolo IP, una
interfaz puede tener una ACL entrante y una ACL saliente al mismo tiempo.
Las ACL aplicadas a una interfaz agregan latencia al trfico. Incluso una ACL larga puede afectar el rendimiento del router.

mediana
Cmo las ACL se pueden identificarse mediante
nombres o numeracin estandarizados.

mediana
Dnde deben ubicarse las ACL en una red.
En la figura, el administrador desea que el trfico que se origina en la red 192.168.10.0/24 no ingrese a la
red 192.168.30.0/24. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar trfico a
otros lugares. La solucin es colocar una ACL estndar en la interfaz de entrada de R3 para detener todo
el trfico desde la direccin de origen 192.168.10.0/24. Una ACL estndar cumple con los requerimientos
porque slo se centra en las direcciones IP de origen.
10

mediana
Dnde deben ubicarse las ACL en una red.
Considere que los administradores slo pueden colocar las ACL en los dispositivos que ellos controlan. Por lo
tanto, su ubicacin debe determinarse segn la extensin del control del administrador de red. En esta figura, el
administrador de las redes 192.168.10.0/24 y 192.168.11.0/24 (designadas en este ejemplo Diez y Once,
respectivamente) desea denegar el trfico Telnet y FTP desde Once a la red 192.168.30.0/24 (Treinta en este
ejemplo). Al mismo tiempo, se debe permitir todo el trfico restante desde Diez
11

mediana
consideraciones para crear las ACL.
12
Configuracin de las ACL estndar en la red de

una sucursal de una empresa mediana
Por qu es importante el orden en el cual se introducen
las declaraciones de criterios en una ACL.
13

Por qu es importante el orden en el cual se introducen las declaraciones de
criterios en una ACL cmo configurar una ACL estndar.
Lgica de las ACL estndar
En la figura, se revisan las direcciones de origen de los paquetes que ingresan a Fa0/0:
access-list 2 deny 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
Si los paquetes tienen permiso, se enrutan a travs del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta
en la interfaz de entrada.
14

Cmo configurar una ACL estndar.
15

Cmo usar mscaras wildcard con las ACL.
16

Cmo aplicar una ACL estndar a una interfaz.
17

Proceso para editar las ACL numeradas.
18

Cmo crear una ACL con nombre.
19

Cmo supervisar y verificar las ACL.
20

Proceso para editar las ACL con nombre.
21
Configuracin de las ACL extendidas en la red

Cmo configurar ACL extendidas.
22

23

Cmo aplicar una ACL extendida a una interfaz.
24

Cmo crear ACL extendidas con nombre.
25
Descripcin de las ACL complejas en la red de

Cmo resolver problemas comunes de ACL.
26
Implementacin, verificacin y resolucin de

problemas de las ACL en un entorno de red
empresarial
Cree, ubique y verifique una ACL estndar o extendida
y verifique su ubicacin.
Verifique la funcionalidad de la ACL y resuelva los
problemas segn sea necesario.
27
RESUMEN
Una lista de control de acceso (ACL) es:
Una serie de declaraciones para permitir (permit) o denegar
(deny) contenido, que se utiliza para filtrar el trfico
ACL estndar
Se identifica por los nmeros de 1 a 99 y de 1300 a 1999
Filtra el trfico segn la direccin IP de origen
ACL extendida
Se identifica por los nmeros de 100 a 199 y de 2000 a 2699
Filtra el trfico segn
Direccin IP de origen
Direccin IP de destino
Protocolo
Nmero de puerto
28
RESUMEN
ACL con nombre
Se usa con IOS versin 11.2 y superior
Se puede usar tanto para una ACL estndar como para una ACL
extendida
Las ACL usan mscaras wildcard (WCM)

Se describen como lo opuesto a una mscara de subred
Motivo
0 verifica el bit
1 ignora el bit
29
RESUMEN
Implementacin de las ACL
1 crear la ACL
2 ubicar la ACL en una interfaz
Las ACL estndar se ubican lo ms cerca posible del

destino
Las ACL extendidas se ubican lo ms cerca posible del origen
Use los siguientes comandos para verificar y resolver

problemas de una ACL
Show access-list
Show interfaces
Show run
30

Acl

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Acl

Cargado por

Copyright:

Formatos disponibles

Listas de control de acceso

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Explicar cmo se usan las ACL para asegurar la red

Configurar las ACL estndar en la red de una

Configurar las ACL extendidas en la red de una

Describir las ACL complejas en la red de una

Implementar, verificar y resolver problemas de las

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

LISTAS DE CONTROL DE ACCESO

Especificar hosts internos para NAT

Restringir el contenido de las actualizaciones de enrutamiento

Limitar el resultado de la depuracin

Controlar el acceso de terminales virtuales a los routers

El uso de las ACL puede provocar los siguientes problemas potenciales:

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Explicacin de cmo se usan las ACL para

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Explicacin de cmo se usan las ACL para

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Explicacin de cmo se usan las ACL para

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

PROCESAMIENTO DE LAS ACL

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Explicacin de cmo se usan las ACL para

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Explicacin de cmo se usan las ACL para

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Explicacin de cmo se usan las ACL para

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Explicacin de cmo se usan las ACL para

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Configuracin de las ACL estndar en la red de

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Configuracin de las ACL estndar en la red de

Lgica de las ACL estndar

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Informacin pblica de Cisco

Configuracin de las ACL estndar en la red de

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Configuracin de las ACL estndar en la red de

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco

Configuracin de las ACL estndar en la red de

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco