Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • IPv4 ACL

    Cargado por

    josetumacho
    3 vistas37 páginas

    Título original

    IPv4 ACL (2)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    3 vistas37 páginas

    IPv4 ACL

    Cargado por

    josetumacho

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 37

    ACCESS LIST

    ACL

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 1


    Que son las ACLs

    • Condiciones aplicadas al trafico que viaja a través de la interfaz del


    router.
    • Indica al router que tipo de paquete acepta o rechaza basándose en
    condiciones especificas.
    • Permite la administración del trafico y asegura el acceso hacia y
    desde una red.
    • Se puede crear en todos los protocolos de red enrutados: IP, IPX …
    • Se pueden configurar en el router para controlar el acceso a una red
    o subred.

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 2


    Definición de ACLs

    • Las ACL se definen según el protocolo, la dirección o el puerto.


    • Para controlar el flujo de tráfico en una interfaz:
    • Se debe definir ACL para cada protocolo enrutado habilitado.
    • Se necesita crear ACLs por separado para cada dirección del tráfico,
    una para el trafico entrante y otra para el saliente.

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 3


    Definición de ACLs

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 4


    Definición de ACLs

    • Estas listas le informan al router qué tipo de paquetes aceptar o


    rechazar. La aceptación y rechazo se pueden basar en ciertas
    condiciones específicas. Las ACL permiten la administración del
    tráfico y aseguran el acceso hacia y desde una red.
    • Es posible crear ACL en todos los protocolos de red enrutados, por
    ejemplo: el Protocolo de Internet (IP) y el Intercambio de paquetes
    de internetwork (IPX). Las ACL se pueden configurar en el router para
    controlar el acceso a una red o subred.
    • Las ACL filtran el tráfico de red, controlando si los paquetes
    enrutados se envían o se bloquean en las interfaces del router.

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 5


    Definición de ACLs
    • Una ACL es un grupo de sentencias que define cómo se
    procesan los paquetes:
    – Entran a las interfaces de entrada
    – Se reenvían a través del router
    – Salen de las interfaces de salida del router

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 6


    Definición de ACLs
    • Razones para crear ACLs:
    - Limitar el tráfico de red y mejorar el rendimiento de la red. Al
    restringir el tráfico de video.
    - Brindar control de flujo de tráfico. Las ACL pueden restringir
    el envío de las actualizaciones de enrutamiento.
    - Proporcionar un nivel básico de seguridad para el acceso a la
    red. Por ejemplo, las ACL pueden permitir que un host acceda a
    una parte de la red y evitar que otro acceda a la misma área
    - Se debe decidir qué tipos de tráfico se envían o bloquean en
    las interfaces del router.
    - Analizar ciertos hosts para permitir o denegar acceso a partes
    de una red.
    • Si las ACL no están configuradas en el router:
    - Todos los paquetes que pasen a través del router tendrán
    acceso a todas las partes de la red.

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 7


    Definición de ACLs

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 8


    Ejecución de las ACLs

    • El orden de las sentencias de la ACL es importante


    • Cuando el router está decidiendo si desea enviar o bloquear un
    paquete, el IOS prueba el paquete, verificando si cumple o no cada
    sentencia de condición, en el orden en que se crearon las sentencias
    • Una vez que se verifica que existe una coincidencia, no se siguen
    verificando otras sentencias de condición
    • Para añadir sentencias en una ACL hay que eliminar la ACL completa
    y volver a crearla con las nuevas sentencias de condiciones

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 9


    Ejecución de las ACLs

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 10


    Tipos de ACLs
    • ACL Estándar (1-99)
    • Permite autorizar o denegar el tráfico desde direcciones IP de origen. No importa
    el destino del paquete ni los puestos involucrados.
    access-list 10 permit 192.168.30.0 0.0.0.255
    • Este ejemplo permite todo el trafico desde la red 192.168.30.0/24. Todo el otro
    trafico se bloquea con esta ACL. Las ACL estándar se crean en el modo de
    configuración global.
    • ACL extendidas (100-199)
    • Filtran los paquetes en función de varios atributos, por ejemplo: tipo de
    protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP
    de origen, puerto TCP o UDP de destino e información opcional de tipo de
    protocolo para una mejor disparidad de control
    access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
    • La ACL permite el tráfico que se origina desde cualquier dirección en la red
    192.168.30.0/24 hacia cualquier puerto 80 de host destino (HTTP). Las ACL
    extendidas se crean en el modo de configuración global

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 11


    Creación de las ACLs
    • Desde el modo de configuración global: (config)#
    • 2 tipos de ACL:
    − ACL estándar → ACL del 1 al 99
    − ACL extendida → ACL del 100 al 199
    • Es importante seleccionar y ordenar lógicamente las ACL de forma
    cuidadosa
    • Se deben seleccionar los protocolos IP que se deben verificar; todos los
    demás protocolos no se verifican
    • Aplicar ACL a interfaces oportunos (tráfico entrante y saliente) → se
    prefiere ACL para saliente (+ eficiente)
    • Hay que asignar un número exclusivo para cada ACL:

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 12


    Creación de las ACLs

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 13


    ACLs estándar

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 14


    Creación de ACLs Estándar

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 15


    Creación de ACLs Estándar

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 16


    Creación de ACLs Estándar

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 17


    Creación de ACLs Estándar

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 18


    Creación de ACLs Estándar

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 19


    Bits de la máscara de wildcard

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 20


    ACLs estándar. Ejemplos

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 21


    ACLs estándar. Ejemplos (II)

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 22


    ACLs extendidas
    • Ofrecen una mayor cantidad de opciones de control que las ACLs
    estándares, son más versátiles
    • Verifican direcciones origen y destino de los paquetes, protocolos,
    números de puerto y otros parámetros específicos
    • Las ACLs extendidas usan un número dentro del intervalo del 100 al 199
    • Al final de la sentencia de la ACL extendida, se puede especificar
    opcionalmente el número de puerto de protocolo TCP o UDP para el que
    se aplica la sentencia:
    - 20 y 21: datos y programa FTP
    - 23: Telnet
    - 25: SMTP
    - 53: DNS
    - 69: TFTP

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 23


    ACLs extendidas

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 24


    ACLs extendidas. Ejemplos

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 25


    ACLs extendidas. Ejemplos (II)

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 26


    ACLs nombradas

    • Permiten que las ACL IP estándar y extendidas se identifiquen con


    una cadena alfanumérica (nombre) en lugar de la representación
    numérica actual (1 a 199)
    • Se usan si:
    – Se desea identificar intuitivamente las ACL utilizando un nombre
    alfanumérico
    – Existen más de 99 ACL simples y 100 extendidas que se deben
    configurar en un router para un protocolo determinado
    • Tener en cuenta que:
    - No son compatibles con
    versiones < 11.2 del IOS
    - No se puede usar el mismo
    nombre en varias ACLs

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 27


    ACLs nombradas

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 28


    ACLs y protocolos
    • ACLs pueden controlar la mayoría de los protocolos en un router Cisco
    • El protocolo al que tiene que aplicarse la ACL se indica como un número en el
    intervalo de números de protocolo
    • Sólo se puede especificar una ACL por protocolo y por trafico en interfaz
    • Para algunos protocolos, se pueden agrupar hasta 2 ACL a una interfaz (entrante
    y saliente). Con otros protocolos, se agrupa sólo 1 ACL
    • Si ACL es entrante, se comprueba al recibir el paquete
    • Si ACL es saliente, se comprueba después de recibir y enrutar un paquete a la
    interfaz saliente
    • Nombrar o numerar un protocolo IP:
    – usando las palabras reservadas: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos,
    ospf, tcp, o udp, o bien
    – con un nº entero (0 a 255) , que representa un nº de protocolo IP
    – la palabra reservada ip indica cualquier protocolo Internet
    – los protocolos y sus números correspondientes se enumeran en RFC 1700,
    juntoOct2015-Feb2016
    Semestre con los números de puerto Ing Carlos Vásquez 29
    Ubicación de las ACLs

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 30


    Verificación de las ACLs. Comandos

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 31


    Acceso a Terminales Virtuales

    • ACLs extendidas y estándar se aplican a paquetes que viajan a través


    de un router.
    • No diseñadas para bloquear paquetes que se originan dentro del
    router.
    • Una lista de acceso extendida Telnet saliente, por defecto no impide
    las sesiones Telnet iniciadas por el router.

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 32


    Acceso a Terminales Virtuales

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 33


    Ejercicios
    • Escriba los comandos que aplican la ACL del diagrama

    Router2(config)# interface ethernet 0


    Router2(config-if)# ip access-group 10 out

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 34


    Ejercicios

    Qué hace la siguiente lista de acceso?.


    access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21
    access-list 111 permit tcp any any

    ¿Escriba los comandos que colocan esta ACL en la ubicación correcta?


    Router2(config)# interface fa0/0
    Router2(config-if)# ip access-group 111 in

    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 35


    Ejercicios

    Cree una lista de acceso para permitir todo el tráfico de la red


    192.168.14.0 a la red 192.168.17.0
    Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255
    192.168.17.0 0.0.0.255
    Router1(config)# interface FastEthernet0
    Router1(config-if)# ip access-group 101 in
    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 36
    Ejercicios
    Cree una lista de acceso
    para denegar sólo el tráfico
    de correo electrónico, ping y
    TFTP que vaya de la red
    192.168.16.0 al host
    192.168.17.5

    Router2(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255


    192.168.17.5 0.0.0.0 eq 25
    Router2(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255
    192.168.17.5 0.0.0.0
    Router2(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255
    192.168.17.5 0.0.0.0 eq 69
    Router2(config)# access-list 111 permit ip any any
    Router2(config)# interface FastEthernet0
    Router2(config-if)# ip access-group 111 in
    Semestre Oct2015-Feb2016 Ing Carlos Vásquez 37

    También podría gustarte