Listas de Control de Acceso.: © 2008 Cisco Systems, Inc. All Rights Reserved. Cisco Confidential Presentation - ID

Listas de Control de
Acceso.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Purpose of ACLs
¿Qué es una ACL?
Purpose of ACLs
Una Conversación TCP
Purpose of ACLs
Filtrado de Paquetes
 El filtrado de paquetes, a veces llamados filtrado de
paquetes estáticos, controla el acceso a una red
mediante el análisis de los paquetes entrantes y
salientes y dejándolos pasar o eliminándolos de
acuerdo a una base de criterios, como la dirección IP
origen, la dirección IP destino, y el protocolo que llleva
el paquete
 Un router actúa como un filtro de paquetes cuando
envía o bloquea un paquete de acuerdo a las reglas del
filtro.
 Una ACL es una lista secuencial de instrucciones
“permit” y “deny”, conocidas como entradas de control
de acceso.
Purpose of ACLs
Filtrado de Paquetes (Cont.)
Purpose of ACLs
Operación de las ACL
La última declaración de una ACL es siempre una negación

implícita. Esta declaración se inserta automáticamente al final
de cada ACL a pesar de que no está presente físicamente. La
negación implícita bloquea todo el tráfico.
Debido a esta negación implícita, una ACL que no tenga por lo
menos una declaración de permiso bloqueará todo el tráfico
Standard versus Extended IPv4 ACLs
Tipos de ACLs IPv4 de Cisco
Standard ACLs
Extended ACLs
Standard versus Extended IPv4 ACLs
ACL Numeradas y Nombradas
Wildcard Masks in ACLs
Introdución a la máscara Wildcard en una ACL
Las máscaras wildcard y máscaras de subred se diferencian
en la forma en que coinciden con 1s y 0s binarios. Las
máscaras wildcard usan las siguientes reglas para que
coincida con 1s y 0s binarios:
 Máscara wildcar con bits 0 – para buscar coincidencia entre
el valor del bit y el correspondiente bit de la dirección.
 Máscara wildcar con bits 1 – para ignorar el valor del bit en
la dirección.
Las máscaras wildcard, a menudo, se conocen como una
máscara inversa. La razón es que, a diferencia de una
máscara de subred en la que el 1 binario corresponde a una
coincidencia con la dirección de red y el 0 binario no, en una
máscara wildcard se cumple lo contrario.
Ejemplos de Máscaras Wildcard: Hosts / Subnets
Ejemplos de Máscara Wildcard: Match Ranges
Calculando la Máscara Wildcard
Calcular la máscara wildcard puede ser un desafio. Un
método es restar la máscara de subred al número
255.255.255.255.
Claves de la Máscara Wildcard
Ejemplos de Máscaras Wildcard
Guidelines for ACL creation
Instrucciones Generales para crear ACLs
 Utilizar las ACL en los routers de firewall ubicado entre
la red interna y una red externa tal como Internet.
 Utilizar las ACL en un router situado entre dos partes
de su red para controlar el tráfico que entra o sale de
una parte específica de su red interna.
 Configurar ACL en routers frontera, es decir routers
situados en los bordes de sus redes.
 Configurar las ACL para cada protocolo de red
configurado en las interfaces del router frontera.
Guidelines for ACL creation
Instrucciones Generales para crear ACLs
Las tres Ps:
 Una ACL por protocolo - Para controlar el flujo de
tráfico en una interfaz, una ACL debe definirse para
cada protocolo habilitado en la interfaz.
 Una ACL por dirección – las ACLs controlan el tráfico
en una dirección a la vez en una interfaz. Se deben
crear dos ACLs separadas para controlar el tráfico
entrante y saliente.
 Una ACL por interfaz - ACL controlan el tráfico por una
interfaz, por ejemplo, GigabitEthernet 0/0.
Guidelines for ACL Placement
¿Dónde ubicar una ACL?
Cada ACL debe ser colocada donde tiene el mayor
impacto en la eficiencia. Las reglas básicas son:
 ACL extendidas: Localizar ACL extendidas lo más cerca
posible del origen del tráfico a ser filtrado.
 ACL estándar: Debido a las ACL estándar no
especifican las direcciones de destino, colóquelas lo más
cerca posible del destino.
La ubicación de la ACL y por lo tanto el tipo de ACL a
utilizar pueden depender , también, del grado de control
del administrador de red, del ancho de banda de las
redes involucradas, y de la facilidad de configuración.
Ubicación de una ACL Estándar
Ubicación de una ACL Extendida
Configure Standard IPv4 ACLs
Declaración de las Entradas
Configurando una ACL Estándar
Example ACL
 access-list 2 deny host 192.168.10.10
 access-list 2 permit 192.168.10.0 0.0.0.255
 access-list 2 deny 192.168.0.0 0.0.255.255
 access-list 2 permit 192.0.0.0 0.255.255.255
Configurando una ACL Estándar (Cont.)
La sintaxis de una ACL estándar es la siguiente:
Router(config)# access-list access-list-number deny permit remark
source [ source-wildcard ] [ log ]
Para remover una, el comando en configuración global

es no access-list .
La palabra clave remark se usa para documentar hacer

listas de acceso mucho más fácil de entender.
Lógica Interna
 Cisco IOS aplica una lógica interna cuando acepta y
procesa las instrucciones de una lista de acceso
estándar. Como se discutió previamente, las
instrucciones de la lista se procesan de forma
secuencial. Por lo tanto, el orden en que se introducen
es importante.
Aplicando ALCs Estándar a las interfaces
Después que una ACL estándar es configurada, es
enlazada a una interface usando el comando ip access-
group en la configuración de interface:
 Router(config-if)# ip access-group { access-list-number |
access-list-name } { in | out }
Para remover una ACL de la interface, primero se

ingresa el comando no ip access-group en la
configuración de interface, y luego se ingresa el
comando no access-list en el modo de configuración global.
Aplicando ALCs Estándar a las interfaces (Cont.)
Creando ACLs Estándar Nombradas
Comentando sobre ACLs
Modify IPv4 ACLs
Editando ACLs Estándar Numeradas
Modify IPv4 ACLs
Editando ACLs Estándar Numeradas (Cont.)
Modify IPv4 ACLs
Editando ACLs Estándar Nombradas
Modify IPv4 ACLs
Verificando ACLs
Modify IPv4 ACLs
Estadísticas de las ACL
Modify IPv4 ACLs
Números de Secuencia de las ACL Estándar
 Otra parte de la lógica interna del IOS involucra al número
de secuencia interno a cada una de las sentencias de una
ACL estándar. Las sentencias asociadas a rangos de IP
pueden ser configuradas primero y después las sentencias
que involucran a un host. Con esta lógica, las sentencias de
host son válidas debido a que sus direcciones IP de host no
son parte de las direcciones IP incluidas en los rangos
anteriores.
 Al aplicar el comando show, las sentencias de host son
mostradas primero, aun que no hayan sido ingresados en
ese orden. El IOS ubica las sentencias asociadas a los host
en ese orden usando una función hashing especial. El orden
resultante optimiza la búsqueda de una entrada de host en
la ACL.
Securing VTY ports with a Standard IPv4 ACL
Configurando una ACL Estándar para asegurar un puerto
VTY
Filtrado de tráfico Telnet o SSH se suele considerar como
función de las ACL extendidas IP, porque filtra un protocolo de
nivel superior. Sin embargo, debido a que el comando access-
class es usado para filtrar sesiones Telnet/SSH entrantes o salientes,
se puede usar una ACL Estándar.
 Router(config-line)# access-class access-list-number { in
[ vrf-also ] | out }
Securing VTY ports with a Standard IPv4 ACL
Verificando el uso de una ACL Estándar usada para
asegurar un puerto VTY
Structure of an Extended IPv4 ACL
ACLs Extendidas
Structure of an Extended IPv4 ACL
Extended ACLs (Cont.)
Configure Extended IPv4 ACLs
Configurando ACLs Extendidas
Los pasos para la configuración de ACL extendidas son las
mismas que para las ACL estándar. La ACL extendida es
configurada primero, y luego es aplicad en una interfaz. Sin
embargo, la sintaxis del comando y los parámetros son más
complejos para poder soportar las características adicionales
proporcionadas por las ACL extendidas.
Aplicando una ACL Extendida a una interface
Filtrando tráfico con una ACL Extendida
Creando ACLs Extendidas Nombradas
Verificando ACLs Extendidas
Editando ACLs Extendidas
La edición de una ACL extendida se puede lograr usando el
mismo proceso usada en la edición de una ACL estándar. Una
ACL extendida puede ser modificada usando:
 Method 1 - Text editor
 Method 2 – Sequence numbers
Limiting Debug Output
Propósito de limitar las salidas Debug con ACL
 Comandos debug (depuración) son herramientas que se
utilizan para ayudar a verificar y solucionar problemas de
funcionamiento de la red.
 Al utilizar algunas opciones de depuración, la salida puede
mostrar más información de la que se necesita o de la que
se puede ver fácilmente.
 En una red productiva, la cantidad de información
proporcionada por comandos debug puede ser abrumador y
puede causar interrupciones en la red.
 Algunos comandos debug se pueden combinar con una lista
de acceso para limitar la salida de modo que sólo se
muestra la información necesaria para la verificación o la
solución de un problema específico.
Configurando ACL para limitar las salidas Debug
El administrador de R2 quiere verificar que el tráfico se enruta
correctamente usando debug ip packet. Para limitar la salida de
depuración se incluirá sólo el tráfico ICMP entre R1 y R3, aplicando la
ACL 101.
Verificando las ACL que limitan las salidas Debug
Processing Packets with ACLs
Lógica de las ACLs Entrantes (Inbound)
 Los paquetes son probados de acuerdo a una ACL
entrante, si es ésta que existe, antes de ser enviados.
 Si un paquete entrante coincide con una sentencia de
la ACL y es permitido, entonces el paquete es
enrutado.
 Si un paquete entrante coincide con una sentencia de
la ACL y es denegado, entonces es dropeado y no es
enrutado.
 Si un paquete entrante no coincide con alguna
sentencia de la ACL, entonces es "implícitamente
denegado" y es dropeado sin ser enrutado.
Lógica de las ACL Salientes (outbound)
 Los paquetes se comprueban primero si son enrutables
antes de ser enviado a la interfaz de salida. Si no hay
ninguna ruta, los paquetes se descartan.
 Si una interfaz de salida no tiene ACL, entonces el
paquete es enviado directamente a esa interfaz.
 Si existe una ACL en la interfaz de salida, el paquete es
chequeado antes de ser enviado a esa interfaz.
 Si un paquete de salida coincide con una sentencia de
la ACL y es permitido, entonces el paquete se envía a
la interfaz.
Lógica de las ACL Salientes (outbound)
 Si un paquete de salida coincide con una sentencia de
la ACL, y no es permitido, entonces es dropeado.
 Si un paquete de salida no cumple las sentencias de la
ACL, entonces es "implícitamente denegado" y
dropeado.
Operaciones Lógicas de las ACL
 Cuando un paquete llega a una interfaz de router, el proceso
de enrutamiento es el mismo, ya sea que se usen o no las
ACL. Cuando la trama entra en una interfaz, el router
verifica si la dirección de destino de Capa 2 coincide con la
dirección de la interfaz de capa 2, o si la trama es una trama
de broadcast.
 Si se acepta la dirección de la trama, la información de
trama es eliminada y el router chequea la existencia de una
ACL en la interfaz de entrada. Si existe una ACL, el paquete
se compara con las sentencias de la lista.
Operaciones Lógicas de las ACL (cont.)
 Si se acepta el paquete, se determina, de acuerdo a las
entradas de la tabla de enrutamiento una interfaz de destino.
Si existe una entrada en la tabla de enrutamiento para el
destino, el paquete es conmutado a la interfaz de salida, de
lo contrario el paquete se descarta.
 A continuación, el router verifica si la interfaz de salida tiene
una ACL. Si existe una ACL, el paquete se compara con las
sentencias de la lista.
 Si no hay ACL o se permite el paquete, el paquete se
encapsula en el nuevo protocolo de Capa 2 y es enviado
fuera de la interfaz hacia el siguiente dispositivo.
Proceso de Decisión de una ACL Estándar
 Las ACL estándar solo examinan la dirección IPv4 de
origen. No se consideran el destino del paquete ni los
puertos implicados.
 Cisco IOS compara las direcciones con cada una de
las condiciones indicadas en la ACL. La primera
coincidencia determina si el IOS acepta o rechaza la
dirección. Debido a que el IOS detiene las pruebas
después de la primera coincidencia, el orden en que se
ingresan las condiciones es crítico. Si no hay
coincidencias, la dirección es rechazada.
Proceso de Decisión de una ACL Extendida
 La ACL primero filtra de acuerdo a la dirección origen, luego
de acuerdo al puerto y al protocolo del origen.
 A continuación, se filtra por la dirección de destino, y luego,
por el puerto y el protocolo de destino, y toma la decisión
final de rechazar o permitir.
Common ACLs Errors
Troubleshooting, Solución de problemas comunes de
ACL - Ejemplo 1
El host 192.168.10.10 no tiene conectividad con

192.168.30.12.
Common ACLs Errors
ACL - Ejemplo 2
La red 192.168.10.0 /24 no puede usar TFTP para

conectarse a la red 192.168.30.0 /24.
Common ACLs Errors
ACL - Ejemplo 3
La red 192.168.11.0 /24 puede usar Telnet para conectarse a
la red 192.168.30.0 /24, pero de acuerdo a las políticas de la
compañía, esta conexión no está permitida.
Common ACLs Errors
ACL - Ejemplo 4
El host 192.168.30.12 está habilitado para conectarse

por Telnet al host 192.168.31.12, pero las políticas de la
compañía no permiten esta conexión.
IPv6 ACL Creation
Tipos de ACLs IPv6
IPv6 ACL Creation
Comparando ACLs IPv4 con ACLs IPv6
Aunque ACLs IPv4 e IPv6 son muy similares, hay tres
diferencias significativas entre ellas
Aplicación de una ACL IPv6
IPv6 usa el comando ipv6 traffic-filter para llevar a cabo la
misma función para las interfaces de IPv6.
 No hay Máscara Wildcard
La longitud de prefijo se utiliza para indicar la cantidad bits de
una dirección IPv6 origen o destino a considerar en la ACL.
 Sentencias adicionales por defecto
permit icmp any any nd-na
permit icmp any any nd-ns
Configuring IPv6 ACLs
Configurando una Topolgía IPv6
Configurando ACLs IPv6
Hay tres pasos básicos para configurar una ACL IPv6:
 En el modo de configuración global, usar el comando ipv6
access-listname para crear una ACL IPv6.
 En el modo de configuración de ACL nombrada, usar la
palabra permit or deny para especificar una o más
condiciones que determinen si el paquete es reenviado a
dropeado.
 Vuelva al modo EXEC privilegiado con el comando end.
Aplicando una ACL IPv6 a una interface
Ejemplos de ACL IPv6
Deny FTP
Restrict Access
Verificando ACLs IPv6

Listas de Control de Acceso.: © 2008 Cisco Systems, Inc. All Rights Reserved. Cisco Confidential Presentation - ID

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Listas de Control de Acceso.: © 2008 Cisco Systems, Inc. All Rights Reserved. Cisco Confidential Presentation - ID

Cargado por

Copyright:

Formatos disponibles

Listas de Control de

La última declaración de una ACL es siempre una negación

Para remover una, el comando en configuración global

La palabra clave remark se usa para documentar hacer

Para remover una ACL de la interface, primero se

El host 192.168.10.10 no tiene conectividad con

La red 192.168.10.0 /24 no puede usar TFTP para

El host 192.168.30.12 está habilitado para conectarse

También podría gustarte