Doc. Versión 3.

0 – 2020 1
 UNIVERSIDAD TÉCNICA DEL NORTE
IBARRA - ECUADOR

FACULTAD INGENIERIA EN CIENCIAS APLICADAS

Ingeniería en Electrónica y Redes de Comunicación
Materia: NETWORKING III
Nivel: 9no.
Prof. Fabián Cuzme Rodríguez
UNIDAD III

ACCESS LIST
ACL
Objetivo
• Aplicar técnicas y herramientas modernas en software y técnicas de
diseño para administrar de mejor manera las redes de comunicación,
aplicando filtrado de paquetes con ACLs.

Doc. Versión 3.0 – 2020 4

Que son las ACLs
• Condiciones aplicadas al trafico que viaja a través de la interfaz del
router.
• Indica al router que tipo de paquete acepta o rechaza basándose en
condiciones especificas.
• Permite la administración del tráfico y asegura el acceso hacia y
desde una red.
• Se puede crear en todos los protocolos de red enrutados: IP, IPX …
• Se pueden configurar en el router para controlar el acceso a una red
o subred.

Doc. Versión 3.0 – 2020 5

Definición de ACLs
• Las ACL se definen según el protocolo, la dirección o el puerto.
• Para controlar el flujo de tráfico en una interfaz:
• Se debe definir ACL para cada protocolo enrutado habilitado.
• Se necesita crear ACLs por separado para cada dirección del tráfico, una para
el trafico entrante y otra para el saliente.

Doc. Versión 3.0 – 2020 6

Definición de ACLs

Doc. Versión 3.0 – 2020 7

Definición de ACLs
• Estas listas le informan al router qué tipo de paquetes aceptar o
rechazar. La aceptación y rechazo se pueden basar en ciertas
condiciones específicas. Las ACL permiten la administración del tráfico
y aseguran el acceso hacia y desde una red.
• Es posible crear ACL en todos los protocolos de red enrutados, por
ejemplo: el Protocolo de Internet (IP) y el Intercambio de paquetes de
internetwork (IPX). Las ACL se pueden configurar en el router para
controlar el acceso a una red o subred.
• Las ACL filtran el tráfico de red, controlando si los paquetes
enrutados se envían o se bloquean en las interfaces del router.

Doc. Versión 3.0 – 2020 8

Definición de ACLs
• Una ACL es un grupo de sentencias que define cómo se procesan los paquetes:
– Entran a las interfaces de entrada
– Se reenvían a través del router
– Salen de las interfaces de salida del router

Doc. Versión 3.0 – 2020 9

Doc. Versión 3.0 – 2020 10
Definición de ACLs
• Razones para crear ACLs:
- Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico de
video.
- Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las
actualizaciones de enrutamiento.
- Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las
ACL pueden permitir que un host acceda a una parte de la red y evitar que otro
acceda a la misma área
- Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del
router.
- Analizar ciertos hosts para permitir o denegar acceso a partes de una red.
• Si las ACL no están configuradas en el router:
- Todos los paquetes que pasen a través del router tendrán acceso a todas las partes
de la red.

Doc. Versión 3.0 – 2020 11

Definición de ACLs

Doc. Versión 3.0 – 2020 12

Ejecución de las ACLs
• El orden de las sentencias de la ACL es importante
• Cuando el router está decidiendo si desea enviar o bloquear un
paquete, el IOS prueba el paquete, verificando si cumple o no cada
sentencia de condición, en el orden en que se crearon las sentencias
• Una vez que se verifica que existe una coincidencia, no se siguen
verificando otras sentencias de condición
• Para añadir sentencias en una ACL hay que eliminar la ACL completa y
volver a crearla con las nuevas sentencias de condiciones

Doc. Versión 3.0 – 2020 13

Ejecución de las ACLs

Doc. Versión 3.0 – 2020 14

Tipos de ACLs
• ACL Estándar (1-99)
• Permite autorizar o denegar el tráfico desde direcciones IP de origen. No importa el destino
del paquete ni los puestos involucrados.
access-list 10 permit 192.168.30.0 0.0.0.255
• Este ejemplo permite todo el trafico desde la red 192.168.30.0/24. Todo el otro trafico se
bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración global.
• ACL extendidas (100-199)
• Filtran los paquetes en función de varios atributos, por ejemplo: tipo de protocolo,
direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puerto
TCP o UDP de destino e información opcional de tipo de protocolo para una mejor
disparidad de control
access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
• La ACL permite el tráfico que se origina desde cualquier dirección en la red 192.168.30.0/24
hacia cualquier puerto 80 de host destino (HTTP). Las ACL extendidas se crean en el modo de
configuración global

Doc. Versión 3.0 – 2020 15

Creación de las ACLs
• Desde el modo de configuración global: (config)#
• 2 tipos de ACL:
− ACL estándar → ACL del 1 al 99
− ACL extendida → ACL del 100 al 199
• Es importante seleccionar y ordenar lógicamente las ACL de forma
cuidadosa
• Se deben seleccionar los protocolos IP que se deben verificar; todos los
demás protocolos no se verifican
• Aplicar ACL a interfaces oportunos (tráfico entrante y saliente) → se
prefiere ACL para saliente (+ eficiente)
• Hay que asignar un número exclusivo para cada ACL:

Doc. Versión 3.0 – 2020 16

Doc. Versión 3.0 – 2020 17
Doc. Versión 3.0 – 2020 18
Creación de las ACLs

Doc. Versión 3.0 – 2020 19

ACLs estándar

Doc. Versión 3.0 – 2020 20

Creación de ACLs Estándar

Doc. Versión 3.0 – 2020 21

Creación de ACLs Estándar

Doc. Versión 3.0 – 2020 22

Creación de ACLs Estándar

Doc. Versión 3.0 – 2020 23

Creación de ACLs Estándar

Doc. Versión 3.0 – 2020 24

Creación de ACLs Estándar

Doc. Versión 3.0 – 2020 25

Bits de la máscara de wildcard

Doc. Versión 3.0 – 2020 26

ACLs estándar. Ejemplos

Doc. Versión 3.0 – 2020 27

ACLs estándar. Ejemplos (II)

Doc. Versión 3.0 – 2020 28

ACLs extendidas
• Ofrecen una mayor cantidad de opciones de control que las ACLs estándares, son
más versátiles
• Verifican direcciones origen y destino de los paquetes, protocolos, números de
puerto y otros parámetros específicos
• Las ACLs extendidas usan un número dentro del intervalo del 100 al 199
• Al final de la sentencia de la ACL extendida, se puede especificar opcionalmente
el número de puerto de protocolo TCP o UDP para el que se aplica la sentencia:
- 20 y 21: datos y programa FTP
- 23: Telnet
- 25: SMTP
- 53: DNS
- 69: TFTP

Doc. Versión 3.0 – 2020 29

ACLs extendidas

Doc. Versión 3.0 – 2020 30

ACLs extendidas. Ejemplos

Doc. Versión 3.0 – 2020 31

ACLs extendidas. Ejemplos (II)

Doc. Versión 3.0 – 2020 32

ACLs nombradas
• Permiten que las ACL IP estándar y extendidas se
identifiquen con una cadena alfanumérica
(nombre) en lugar de la representación numérica
actual (1 a 199)
• Se usan si:
– Se desea identificar intuitivamente las ACL
utilizando un nombre alfanumérico
– Existen más de 99 ACL simples y 100 extendidas
que se deben configurar en un router para un
protocolo determinado
• Tener en cuenta que:
- No son compatibles con versiones < 11.2 del IOS
- No se puede usar el mismo nombre en varias
ACLs

Doc. Versión 3.0 – 2020 33

ACLs nombradas

Doc. Versión 3.0 – 2020 34

ACLs y protocolos
• ACLs pueden controlar la mayoría de los protocolos en un router Cisco
• El protocolo al que tiene que aplicarse la ACL se indica como un número en el intervalo de números de
protocolo
• Sólo se puede especificar una ACL por protocolo y por trafico en interfaz
• Para algunos protocolos, se pueden agrupar hasta 2 ACL a una interfaz (entrante y saliente). Con otros
protocolos, se agrupa sólo 1 ACL
• Si ACL es entrante, se comprueba al recibir el paquete
• Si ACL es saliente, se comprueba después de recibir y enrutar un paquete a la interfaz saliente
• Nombrar o numerar un protocolo IP:
– usando las palabras reservadas: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp, o udp, o bien
– con un nº entero (0 a 255) , que representa un nº de protocolo IP
– la palabra reservada ip indica cualquier protocolo Internet
– los protocolos y sus números correspondientes se enumeran en RFC 1700, junto con los números de
puerto.

Doc. Versión 3.0 – 2020 35

Ubicación de las ACLs

Doc. Versión 3.0 – 2020 36

Verificación de las ACLs. Comandos

Doc. Versión 3.0 – 2020 37

Acceso a Terminales Virtuales
• ACLs extendidas y estándar se aplican a paquetes que viajan a través
de un router.
• No diseñadas para bloquear paquetes que se originan dentro del
router.
• Una lista de acceso extendida Telnet saliente, por defecto no impide
las sesiones Telnet iniciadas por el router.

Doc. Versión 3.0 – 2020 38

Acceso a Terminales Virtuales

Doc. Versión 3.0 – 2020 39

Doc. Versión 3.0 – 2020 40
Ejercicios
• Escriba los comandos que aplican la ACL del diagrama

Router2(config)# interface ethernet 0

Router2(config-if)# ip access-group 10 out

Doc. Versión 3.0 – 2020 41

Ejercicios

¿Qué hace la siguiente lista de acceso?.

access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21
access-list 111 permit tcp any any

¿Escriba los comandos que colocan esta ACL en la ubicación correcta?

Router2(config)# interface fa0/0
Router2(config-if)# ip access-group 111 in

Doc. Versión 3.0 – 2020 42

Ejercicios
Cree una lista de acceso para permitir
todo el tráfico de la red 192.168.14.0 a la
red 192.168.17.0

Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0 0.0.0.255

Router1(config)# interface FastEthernet0
Router1(config-if)# ip access-group 101 in

Doc. Versión 3.0 – 2020 43

Ejercicios
Cree una lista de acceso para
denegar sólo el tráfico de correo
electrónico, ping y TFTP que vaya de
la red 192.168.16.0 al host
192.168.17.5

Router2(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 25

Router2(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0
Router2(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 69
Router2(config)# access-list 111 permit ip any any
Router2(config)# interface FastEthernet0
Router2(config-if)# ip access-group 111 in

Doc. Versión 3.0 – 2020 44

ACL IPv6

Doc. Versión 3.0 – 2020 45

Creación de una ACL IPv6
• En IPv6 solo hay un tipo que corresponde a la ACL extendida con
nombre.
• Una ACL en IPv4 y una ACL IPv6 no pueden tener el mismo nombre

Doc. Versión 3.0 – 2020 46

Creación de una ACL IPv6
• Consideraciones:
• El comando para aplicar una ACL IPv6 a una interfaz es ipv6 traffic-
filter
• Las ACL IPv6 no usan máscaras de comodín, especifican la longitud
del prefijo.
• Una ACL IPv6 agrega dos instrucciones permit implícitas al final de
cada lista de acceso.
• permit icmp any any nd-na
• permit icmp any any nd-ns
• deny ipv6 any any statement

Doc. Versión 3.0 – 2020 47

Configuración de ACL IPv6

Doc. Versión 3.0 – 2020 48

Configuración de ACL IPv6

En este ejemplo:
• La primera instrucción da el nombre IPv6 ACL NO-
R3-LAN-ACCESS.
• La segunda instrucción deniega todos los
paquetes IPv6 de 2001:DB8:CAFE:30::/64 con
destino a a cualquier red IPv6.
• La tercera instrucción permite el resto de los
paquetes IPv6.

Doc. Versión 3.0 – 2020 49

Configuración de ACL IPv6
• Una vez configurada, una ACL IPv6 se vincula a una interfaz con el
siguiente comando de interfaz:
• ipv6 traffic-filter access-list-name {in | out}

El comando aplica la ACL IPv6 NO-R3-LAN-

ACCESS en sentido de entrada a la interfaz
S0/0/0 de R1.

Doc. Versión 3.0 – 2020 50

Configuración de ACL IPv6

Doc. Versión 3.0 – 2020 51

Configuración de ACL IPv6
• En este ejemplo, una ACL IPv6 permite el acceso limitado de usuarios
de LAN del R3 a las LAN en el R1.
1. Estas ACE permiten el acceso desde cualquier dispositivo hasta el servidor web
(2001:DB8:CAFE:10::10).
2. El resto de los dispositivos tienen denegado el acceso a la red
2001:DB8:CAFE:10::/64.
3. A la PC3 (2001:DB8:CAFE:30::12) se le permite el acceso por Telnet a la PC2
(2001:DB8:CAFE:11::11).
4. El resto de los dispositivos tiene denegado el acceso por Telnet a la PC2.
5. El resto del tráfico IPv6 se permite al resto de los destinos.
6. La lista de acceso IPv6 se aplica en sentido de entrada a la interfaz G0/0 , por lo
que solo la red 2001:DB8:CAFE:30::/64 se ve afectada

Doc. Versión 3.0 – 2020 52

Verificar ACL IPv6

Doc. Versión 3.0 – 2020 53