Listas de Acceso

(ACL)
Ricardo León Isaza David, MSc.

ING01209
Gestión de Redes y Servicios.
Bibliografía.

• Transmisión de Datos y Redes de Comunicaciones.

Forouzan, Behrouz A. Segunda Edición. McGraw Hill.

• Redes de Computadoras. Tanembaum, Andrew S.

Cuarta Edición. Prentice Hall.

• Networks: Design and Management. Karris, Steven.

Segunda Edición. Orchard Publications
Temas a tratar.
• Introducción a las Listas de acceso
• Máscaras de Red
• Wildcard o máscara inversa
• Generalidades de las Listas de Acceso (ACL)
• Listas de Acceso Estándar (ACLST)
• Listas de Acceso Extendidas (ACLXT)
• Control de tráfico
• Ejercicios
Introducción.
• Corresponden a una enumeración de restricciones
en el tráfico de red, aplicables de manera directa a
los enrutadores y que afectan sus respectivas
interfaces.
• Dichas restricciones pueden tomarse como un control
de flujo o de tráfico en los enrutadores, aunque también
son aplicables a otras funcionalidades, como0 es el caso
de NAT, el establecimiento de conexiones remotas y el
cifrado.
• Su construcción y entendimiento parten del hecho que
es necesario situarse en medio del enrutador a
configurar, a fin de entender el comportamiento del
tráfico de red.
Máscaras de red (un recorderis…)
• Las máscaras de red corresponden a un acompañante de la
dirección IP, la cual permite filtrar la dirección y así
establecer cual es el identificador del host y cual el de la red
a la cual este pertenece.
• Corresponde a una sucesión continua de unos, subdivididas al igual
que las direcciones, en segmentos de 8 bits, y cuyo valor decimal se
relaciona con la posición de los unos y los ceros en el octeto.
Wildcard (máscara inversa)
• Corresponde a un complemento a uno de la máscara que
acompaña a una dirección IP.
• Sirve para ser aplicado en procesos de filtrado o de
selección de paquetes, en consideración de un criterio
específico.
• Existen dos wildcard: 0.0.0.0 y 255.255.255.255, y se
entienden para “cualquier” origen o destino.
Tipos de ACL.
• Se dividen en dos grandes grupos, de acuerdo al
enfoque de filtrado y condiciones de control de
tráfico
• Las condiciones pueden ser: origen, destino, modo de
conexión, puerto, entre otras.
• El filtro del tráfico permite establecer el sentido del flujo
que será objeto de supervisión, permitiendo o filtrando
los paquetes en conformidad a la configuración.
• Se manejarán dos tipos de ACL: estándares y
extendidas.
ACL Estándar (ACL ) ST

• Permiten realizar control de tráfico por comparación de

las direcciones de origen (bien sea redes o host) con las
configuradas en la ACL.
• Su formato general es el siguiente:

• Pueden estar compuestas por una sola línea o un

conjunto de ellas, en todo caso, deben identificarse por
un número entre 1 y 99
• Luego de construirse, las ACL deben aplicarse sobre las
interfaces encargadas de controlar el tráfico de
acuerdo a sus instrucciones.
• Su formato de aplicación en una interfaz es el siguiente:
Veamos…
• Supóngase la existencia de las redes A y B, cuyas
condiciones básicas se evidencian en la imagen
• Se requiere que B permita el tráfico proveniente de A,
por lo que se configurará una ACLST con este fin.

• Dicho tráfico será filtrado en la interfaz que permita su

ingreso: la interfaz serial 0/0. Así, su aplicación sería:

• Si se desea poner un comentario, se emplea remark

ACL Extendidas (ACL ) XT

• Permiten realizar un control de tráfico más amplio, ya que

incluyen además del origen, el destino, modos de
conexión y puertos de servicio.
• Su formato general es el siguiente:

• Pueden estar compuestas por una sola línea o un

conjunto de ellas, en todo caso, deben identificarse por
un número entre 100 y 199
• Luego de construirse, las ACL deben aplicarse sobre las
interfaces encargadas de controlar el tráfico de acuerdo a
sus instrucciones.
• Su formato de aplicación en una interfaz es igual que en ACLST:
Veamos…
• Partiendo del mismo esquema con redes A y B
• Se permitirá en A la realización de ping solo desde el
host 210.160.230.138, ubicado en B. Se permitirá que
cualquier equipo en B tenga acceso al servidor DNS en
A, pero se negará el resto del tráfico.

• Su asignación se realizaría en la interfaz serial 0/0. Así,

su aplicación en dicho puerto sería:
Control de tráfico de la ACL.
• Para establecer correctamente el flujo, es necesario
ubicarse en la mitad del enrutador, y desde allí
observar el sentido del tráfico y las restricciones
que quiere aplicarse.
SE 0/0
FA 0/0

OUT IN

IN OUT
ACL en Vlan.
• Para el caso de las Vlan, la configuración se realiza
de manera similar a lo visto previamente.
• Las restricciones se definen en una lista de acceso,
aplicándolas posteriormente sobre la sub-interfaz
requerida, considerando si es IN/OUT su control de flujo
• Es necesario considerar que las restricciones a nivel de
seriales afectan el tráfico desde el exterior, dejando las
Vlan intactas, mientras que las restricciones a nivel de
subinterfaces Fastethernet afectan el tráfico no solo
desde el exterior, sino entre las mismas Vlan.
Veamos…
• Supóngase la existencia de las redes C y D, cuyas
condiciones básicas se evidencian en la imagen.
• Se pretende restringir el tráfico en la Vlan 3 de C,
impidiendo el tráfico desde la Vlan1 de C, y permitiendo
el tráfico desde la Vlan 2 de C. Se negará otro tráfico
diferente.

• Se implementa en la subinterfaz perteneciente a la Vlan

3 de C, ya que en ella confluyen las restricciones.
Ejercicio…
• Supóngase la existencia de las redes C y D, cuyas
condiciones básicas se evidencian en la imagen.
• Limitar el tráfico en Vlan 2 de D, permitiendo solo
ingresar a consumir un servicio HTTP instalado en ella y
hacer ping desde cualquier equipo a dicho servidor
• Limitar el tráfico de la Vlan 1 de D, permitiendo el tráfico
desde la Vlan 2 de D y la Vlan 1 de C, negando el tráfico
desde la Vlan 2 de C, a excepción del tráfico proveniente
del host 199.32.41.135 y permitiendo solo los primeros
8 hosts de la Vlan 3 de C.
¿Preguntas?
Muchas gracias por su atención.