Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ACL
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
4.1Propósito de las ACL.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 3
Conceptos de ACL.
¿Qué es una ACL?
Los routers toman decisiones de enrutamiento basadas en la información del encabezado del paquete. El
tráfico que ingresa a una interfaz de router se enruta únicamente en función de la información dentro de la
tabla de enrutamiento. El router compara la dirección IP de destino con las rutas de la tabla de enrutamiento
para encontrar la mejor coincidencia y, a continuación, reenvía el paquete según la mejor ruta de coincidencia.
Ese mismo proceso se puede utilizar para filtrar el tráfico mediante una lista de control de acceso (ACL).
Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la
información que se encuentra en el encabezado del paquete. De forma predeterminada, un router no tiene
ninguna ACL configurada. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea
adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si
el paquete se puede reenviar.
Una ACL utiliza una lista secuencial de declaraciones de permiso (permit) o denegación (deny), conocidas
como entradas de control de acceso (ACE).
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 4
Conceptos de ACL.
¿Qué es una ACL?
Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información
dentro del paquete con cada ACE, en orden secuencial, para determinar si el paquete coincide con una de las
ACE. Este proceso se denomina filtrado de paquetes.
Varias tareas realizadas por los routers requieren el uso de ACL para identificar el tráfico. La tabla enumera
algunas de estas tareas con ejemplos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 5
Conceptos de ACL.
¿Qué es una ACL?
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 6
Conceptos de ACL.
¿Qué es una ACL?
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 7
Conceptos de ACL.
¿Qué es una ACL?
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 8
Conceptos de ACL.
¿Qué es una ACL?
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 9
Conceptos de ACL.
¿Qué es una ACL?
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
Conceptos de ACL.
Filtrado de Paquetes
El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes
y la transferencia o el descarte de estos según criterios determinados. El filtrado de paquetes puede
producirse en la capa 3 o capa 4, como se muestra en la ilustración.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
Conceptos de ACL.
Funcionamiento de las ACL
Las ACLs definen el conjunto de reglas que
dan un control añadido a los paquetes que
entran en las interfaces de entrada, los
paquetes que se transmiten a través del router
y los paquetes que salen de las interfaces de
salida del router.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
Conceptos de ACL.
Funcionamiento de las ACL
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
Conceptos de ACL.
Funcionamiento de las ACL
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
Conceptos de ACL.
Funcionamiento de las ACL
Cuando se aplica una ACL a una interfaz, sigue un procedimiento operativo específico. Por ejemplo, a continuación se indican
los pasos operativos que se utilizan cuando el tráfico ha entrado en una interfaz de router con una ACL IPv4 estándar entrante
configurada.
2. El router comienza en la parte superior de la ACL y compara la dirección IPv4 de origen con cada ACE en un orden
secuencial.
3. Cuando se hace una coincidencia, el router lleva a cabo la instrucción, ya sea permitiendo o negando el paquete, y los
restantes ACEs del ACL, si los hay, no son analizados.
4. Si la dirección IPv4 de origen no coincide con ninguna ACE de la ACL, el paquete se descarta porque hay una ACE de
denegación implícita aplicada automáticamente a todas las ACL.
La última declaración ACE de una ACL es siempre una denegación implícita que bloquea todo el tráfico. De forma
predeterminada, esta instrucción se implica automáticamente al final de una ACL aunque esté oculta y no se muestre en la
configuración.
Nota: Una ACL debe tener al menos una instrucción permit, de lo contrario, se denegará todo el tráfico debido a la
sentencia deny ACE implícita.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
Conceptos de ACL.
PACKET TRACER – DEMOSTRACIÓN DE ACL
En esta actividad, observarás cómo se puede utilizar una lista de control de acceso (ACL) para evitar que un
ping llegue a hosts en redes remotas. Después de eliminar la ACL de la configuración, los pings se realizarán
correctamente.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 16
4.2 Máscaras Wildcard en
ACL.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
Máscaras de Wildcard en ACL
Descripción General de la Máscara Wildcard
En el tema anterior, aprendiste sobre el propósito de ACL. En este tema se explica cómo ACL utiliza máscaras
wildcard. Un ACE IPv4 utiliza una máscara wildcard de 32-bit para determinar qué bits de la dirección debe
examinar para obtener una coincidencia. El protocolo de enrutamiento Open Shortest Path First (OSPF)
también utiliza máscaras wildcard/comodín.
Una máscara wildcard es similar a una máscara de subred, ya que utiliza el proceso AND para identificar los
bits de una dirección IPv4 que deben coincidir. Sin embargo, difieren en la forma en que coinciden binarios 1s
y 0s. Sin embargo, a diferencia de una máscara de subred en la que el 1 binario equivale a una coincidencia y
el 0 binario no es una coincidencia, en las máscaras wildcard es al revés.
Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros
binarios:
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
Máscaras de Wildcard en ACL
Descripción General de la Máscara Wildcard
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
Máscaras de Wildcard en ACL
Descripción General de la Máscara Wildcard
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
Máscaras de Wildcard en ACL
Descripción General de la Máscara Wildcard
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 21
Máscaras de Wildcard en ACL
Descripción General de la Máscara Wildcard
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 22
Máscaras de Wildcard en ACL
Tipos de Máscara Wildcard
Usar máscaras wildcard tomará algo de práctica. Consulta los ejemplos para obtener información sobre cómo
se utiliza la máscara wildcard para filtrar el tráfico de un host, una subred y un rango de direcciones IPv4.
En este ejemplo, la máscara wildcard se utiliza para que coincida con una dirección IPv4 de host específica.
Supongamos que ACL 10 necesita una ACE que solo permita el host con la dirección IPv4 192.168.1.1.
Recuerda que «0» es igual a una coincidencia y «1» es igual a ignorar. Para que coincida con una dirección
IPv4 de host específica, se requiere una máscara wildcard que consta de todos los ceros (es decir, 0.0.0.0).
La tabla muestra en binario, la dirección IPv4 del host, la máscara wildcard y la dirección IPv4 permitida.
La máscara de wildcard 0.0.0.0 estipula que cada bit debe coincidir exactamente. Por lo tanto, cuando se
procesa el ACE, la máscara wildcard permitirá sólo la dirección 192.168.1.1. El ACE resultante en ACL 10
sería access-list 10 permit 192.168.1.1 0.0.0.0.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 23
Máscaras de Wildcard en ACL
Tipos de Máscara Wildcard
Wildcard para condicionar con un host.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
Máscaras de Wildcard en ACL
Tipos de Máscara Wildcard
Wildcard para coincida con un subred
IPv4.
Ejemplo 1
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 27
Máscaras de Wildcard en ACL
Cálculo de Máscara Wildcard
Ejemplo 2
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 28
Máscaras de Wildcard en ACL
Cálculo de Máscara Wildcard
Ejemplo 3
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 29
Máscaras de Wildcard en ACL
Cálculo de Máscara Wildcard
Ejemplo 4
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 30
Máscaras de Wildcard en ACL
Palabras Clave de la Máscara Wildcard
Trabajar con representaciones decimales de los bits binarios de máscaras wildcard puede ser tedioso. Para
simplificar esta tarea, Cisco IOS proporciona dos palabras clave para identificar los usos más comunes del
enmascaramiento de wildcard. Las palabras clave reducen las pulsaciones de teclas ACL y facilitan la
lectura del ACE.
host – esta palabra clave sustituye a la máscara 0.0.0.0. Esta máscara indica que todos los bits de
direcciones IPv4 deben coincidir para filtrar solo una dirección de host.
any – esta palabra clave sustituye a la máscara 255.255.255.255. Esta máscara establece que se omita la
dirección IPv4 completa o que se acepte cualquier dirección.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 31
Máscaras de Wildcard en ACL
Palabras Clave de la Máscara Wildcard
Por ejemplo, en la salida del comando, se configuran dos ACL. La ACL 10 ACE permite sólo el host
192.168.10.10 y el ACL 11 ACE permite todos los hosts.
Alternativamente, las palabras clave host y any podría haber sido utilizado para reemplazar la salida
resaltada.
Los siguientes comandos cumplen la misma tarea que los comandos anteriores.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 32
4.3 Pautas para la Creación
de ACL.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 33
Pautas para la Creación de ACL.
Número Limitado de ACL por Interfaz
En un tema anterior, has aprendido cómo se
utilizan las máscaras wildcard en las ACL. Este
tema se centrará en las directrices para la creación
de ACL. Existe un límite en el número de ACL que
se pueden aplicar en una interfaz de router. Por
ejemplo, una interfaz de router dual-stack (es decir,
IPv4 e IPv6) puede tener hasta cuatro ACL
aplicadas, como se muestra en la figura.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 34
Pautas para la Creación de ACL.
Número Limitado de ACL por Interfaz
Asume que R1 tiene dos interfaces apiladas dobles
(dual-stack) que requieren ACL IPv4 e IPv6 de
entrada y salida aplicadas. Como se muestra en la
figura, R1 podría tener hasta 8 ACL configuradas y
aplicadas a las interfaces. Cada interfaz tendría
cuatro ACL: dos ACL para IPv4 y dos ACL para
IPv6. Para cada protocolo, una ACL es para el
tráfico entrante y otra para el tráfico saliente.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 35
Pautas para la Creación de ACL.
Mejores Prácticas de ACL
El uso de las ACL requiere atención a los detalles y mucho cuidado. Los errores pueden ser costosos en
términos de tiempo de inactividad, esfuerzos de solución de problemas y un servicio de red deficiente. Se
requiere una planificación básica antes de configurar un ACL.
La tabla presenta las directrices que forman la base de una lista de mejores prácticas de ACL.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 36
Pautas para la Creación de ACL.
Mejores Prácticas de ACL
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 37
4.4 Tipos de ACL IPv4.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 38
Tipos de ACL IPv4.
ACL Estándar y Extendidas
Los temas anteriores abarcaron el propósito de ACL y las directrices para la creación de ACL. Este tema
abarcará las ACL estándar y extendidas, las ACL con nombre y numeradas, y los ejemplos de ubicación de
estas ACL.
1. ACL estándar: permiten o deniegan paquetes basados únicamente en la dirección IPv4 de origen.
2. ACL extendidas: permiten o deniegan paquetes basados en la dirección IPv4 de origen y la dirección
IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y más.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 39
Tipos de ACL IPv4.
ACL Estándar y Extendidas
La ACL 10 permite hosts en la red de origen
192.168.10.0/24. Debido al “deny any” implícito
al final, todo el tráfico, excepto el tráfico que
proviene de la red 192.168.10.0/24, está
bloqueado con esta ACL.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 40
Tipos de ACL IPv4.
ACL Estándar y Extendidas
En el siguiente ejemplo, un ACL 100 extendido permite el tráfico que se origina desde cualquier host en la
red 192.168.10.0/24 a cualquier red IPv4 si el puerto del host de destino es 80 (HTTP).
Observa cómo la ACL 10 estándar solo es capaz de filtrar por dirección de origen mientras que la ACL 100
extendida está filtrando en la información de origen, capa 3, y protocolo de capa 4 (es decir, TCP) de
destino.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 41
Tipos de ACL IPv4.
ACL Numeradas y Nombradas
ACLs Numeradas.
Los ACLs número 1 a 99, o 1300 a 1999 son ACLs estándar mientras que los ACLs número 100 a 199, o
2000 a 2699 son ACLs extendidos, como se muestra en la salida.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 42
Tipos de ACL IPv4.
ACL Numeradas y Nombradas
ACLs Nombradas.
El método preferido para configurar los ACL es el de los ACL nombrados. Específicamente, se pueden
nombrar ACLs estándar y extendidas para proporcionar información sobre el propósito de las ACL. Por
ejemplo, nombrar un filtro FTP de ACL extendidas es mucho mejor que tener una ACL 100 numerada.
El comando de configuración global ip access-list se utiliza para crear una ACL con nombre, como se
muestra en el siguiente ejemplo.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 43
Tipos de ACL IPv4.
ACL Numeradas y Nombradas
A continuación, se resumen las reglas que se deben seguir para las ACL con nombre.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 44
Tipos de ACL IPv4.
Dónde Ubicar las ACL.
Cada ACL se debe colocar donde
tenga más impacto en la eficiencia.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 45
Tipos de ACL IPv4.
Dónde Ubicar las ACL.
Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. De esta
manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.
Las ACL estándar deben aplicarse lo más cerca posible del origen. Si una ACL estándar se ubicara en el
origen del tráfico, la instrucción “permit” o “deny” se ejecutará según la dirección de origen determinada
independientemente de dónde se dirige el tráfico.
La colocación de la ACL y, por lo tanto, el tipo de ACL utilizada, también puede depender de una variedad de
factores que se enumeran en la tabla.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 46
Tipos de ACL IPv4.
Dónde Ubicar las ACL.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 47
Tipos de ACL IPv4.
Dónde Ubicar las ACL.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 48
Tipos de ACL IPv4.
Ejemplo de Colocación de ACL Estándar.
Siguiendo las pautas para la
colocación de ACL, las ACL estándar
deben ubicarse lo más cerca posible
del destino.
En la ilustración, el administrador
desea impedir que el tráfico que se
origina en la red 192.168.10.0/24
llegue a la red 192.168.30.0/24.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 49
Tipos de ACL IPv4.
Ejemplo de Colocación de ACL Estándar.
Siguiendo las pautas para la
colocación de ACL, las ACL estándar
deben ubicarse lo más cerca posible
del destino.
En la ilustración, el administrador
desea impedir que el tráfico que se
origina en la red 192.168.10.0/24
llegue a la red 192.168.30.0/24.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 50
Tipos de ACL IPv4.
Ejemplo de Colocación de ACL Estándar.
Siguiendo las pautas básicas de colocación, el
administrador colocaría un ACL estándar en el
router R3. Hay dos posibles interfaces en el R3
para aplicar el ACL estándar:
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 51
Tipos de ACL IPv4.
Ejemplo de Colocación de ACL Extendida.
La ACL extendida debe ubicarse lo
más cerca posible del origen. Esto
evita que el tráfico no deseado se
envíe a través de varias redes y luego
sea denegado cuando llegue a destino.