Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 of 94 1
Direccin Destino
Puertos TCP & UDP
Una lista de acceso de IP enva un mensaje ICMP de host inalcanzable al que enva sobre el paquete rechazado.
Filtros de salida no afectan al trfico originado por el router local.
7 of 94 7
ACLs Extendidas
Pueden filtrar trfico basado en: Direccin Origen Direccin Destino Puertos TCP y UDP
El argumento access-list-number
router(config)#access-list access-list-number {permit|deny} source-prefix source-wildcard
El access-list-number especifica qu protocolo se filtrar y si es una ACL estndar o extendida. Este argumento puede ser reemplazado con el argumento nombre. ACLs Nombradas sern vistas despus.
El argumento {permit|deny}
router(config)#access-list access-list-number {permit|deny} source-prefix source-wildcard
Despus que haya escrito access-list y seleccionado el nmero correcto de la lista de acceso, escriba permit o deny dependiendo de la accin que desea tomar.
El argumento source-prefix
router(config)#access-list access-list-number {permit|deny} source-prefix source-wildcard
El argumento source-prefix puede ser una direccin de subred, un rango de direcciones, o una simple direccin de host.
Ejemplo de source-prefix
En nuestro ejemplo, queremos permitir a todos los hosts en las tres redes LAN el acceso a Internet.
Por lo tanto tenemos escritas tres sentencias, una para cada subred. El argumento source-prefix en este caso es cada direccin de subred de las LANs
El argumento source_wildcard
router(config)#access-list access-list-number {permit|deny} source-prefix source-wildcard El argumento source-wildcard especifica cules bits debern ser verificados en el prefijo-origen (source-prefix).
Comnmente llamada wildcard mask, es un nmero de 32-bit representado en formato decimal-punteado.
Un 0 significa verifica esta posicin de bit. Un 1 significa ignora esta posicin de bit.
Ejemplo de source-wildcard
En este ejemplo, usaremos todos los 1s en el ltimo octeto de la mscara wildcard para cada prefijo-origen.
La mscara de subred para cada LAN tiene todos los 0s en el ltimo octeto.
Aplicar la ACL
Una ACL no puede filtrar trfico hasta que haya sido aplicada a una interface.
Esta es una caracterstica de seguridad del IOS. Usted puede escribir las sentencias de la ACL de forma segura sin que las sentencias afecten inmediatamente en el trfico.
Para ver el porqu, puede preguntarse a s mismo qu le pasara a todo el trfico de IP de la LAN de RTA si la ACL fuera aplicada como se muestra?
Escriba
permit any
31 of 94 31
El argumento protocol
El argumento protocol puede ser un nmero de opciones.
Nos concentraremos en ip, tcp, udp e icmp.
La opcin operator
La opcin operator puede ser usada cuando el argumento protocol es tcp o udp.
La opcin puerto
La opcin puerto es usada cuando la opcin operador es una de lo siguiente:
eq (equal to); gt (greater than); lt (less than); neg (not equal to); or range
Usted puede filtrar trfico de cualquier puerto TCP o UDP escribiendo el nmero de puerto o su correspondiente nombre.
2003 Cisco Systems, Inc. All rights reserved.
La opcin established
Agregando la palabra clave established a la sentencia de la ACL, usted est solicitando que la sesin TCP o UDP deber ser establecida.
Por ejemplo, permitir a los hosts detrs de su firewall establecer conexiones con host externos.
Host externos pueden enviar paquetes de regreso al origen solo si el origen inici la sesin.
Note que el permit IP any any permite todo el otro trfico en la interface.
ACLs Nombradas
Una caracterstica importante en las versiones de IOS 11.2 y posteriores es la habilidad de nombrar a las ACLs. Las ventajas incluyen:
Nombres intuitivos que puedan posiblemente identificar el propsito de la ACL. ACLs no limitadas; las ACLs numeradas tienen un rango limitado. La habilidad de eliminar entradas sin tener que rescribir la ACL completa; nuevas lneas son agregadas al final de la lista, tal y como en las ACLs numeradas. Reduce la cantidad de escritura; no neceista escribir access-list y access-list-number para cada sentencia.
show ip interface
muestra las access-lists aplicadas a la interfaceentrada y salida.
show running-config
muestra todas las listas de acceso y en cules interfaces estn aplicadas
El comando remark le permite hacer comentarios dentro de la configuracin de la ACL para documentar la configuracin activa.
Los comentarios son desplegados cuando escriba el comando show run. Sin embargo, no ver los comentarios mostrados con el comando show access-list.