Introduccin

Este documento describe cmo IP listas de control de acceso (ACL) se puede filtrar el trfico de red. Tambin contiene una breve descripcin de los tipos IP ACL, disponibilidad de la funcin, y un ejemplo de su uso en una red. Acceda a la Asesora de Software ( registrados clientela) la herramienta para determinar el apoyo de algunos de los ms avanzados de Cisco IOS IP ACL caractersticas
.

RFC 1700 contiene asignan nmeros de puertos bien conocidos. RFC 1918 que normalmente no debe ser visto en Internet.

contiene la asignacin de direcciones para Internets privadas, las direcciones IP

Nota: ACL tambin puede ser utilizado para fines distintos para filtrar el trfico IP, por ejemplo, la definicin de trfico a direcciones de red Traducir (NAT) o cifrar, o el filtrado de IP no protocolos como AppleTalk o IPX. Una discusin de estas funciones est fuera del alcance de este documento.

Requisitos previos
Requisitos
No hay requisitos previos especficos para este documento. Los conceptos que se discuten actualmente en Cisco IOS en cada funcin de lista de acceso.

Software de prensa 8.3 o posterior. Esto se nota

Componentes usados
Este documento analiza varios tipos de ACL. Algunos de estos estn presentes desde que Cisco IOS versiones de software 8.3 y otros se introdujeron en versiones de software ms tarde. Esto se nota en la discusin de cada tipo.

La informacin de este documento fue creado a partir de los dispositivos en un entorno de laboratorio especficos. Todos los dispositivos utilizados en este documento se inici con un aprobado (por defecto) de configuracin. Si la red est vivo, asegrese de que entienden el impacto potencial de cualquier comando.

Convenios
Consulte la tcnica de Cisco convenios Consejos para obtener ms informacin sobre los convenios documento.

ACL Conceptos
Esta seccin describe los conceptos de ACL.

Mscaras
Las mscaras se utilizan las direcciones IP en la ACL IP para especificar lo que debe ser permitido y denegado. Las mscaras con el fin de configurar las direcciones IP en las interfaces empiezan con 255 y tienen los valores grandes en el lado izquierdo, por ejemplo, la direccin IP 209.165.202.129 con una mscara 255.255.255.224. Mscaras para ACL IP son el reverso, por ejemplo, la mscara de 0.0.0.255. A veces se denomina una mscara inversa o una mascara. Cuando el valor de la mscara se divide en binario (0s y 1s), los resultados determinan que pedacitos de la direccin deben ser considerados en la tramitacin del trfico. Un 0 indica que los bits de direccin deben ser considerados (resultado exacto), un 1 en la mscara es un "no me importa". Esta tabla explica adems el concepto.

Mscara Ejemplo direccin de red (trfico que se va a procesar) mscara direccin de red (binario) mscara (binario) 10.1.1.0 0.0.0.255 00001010.00000001.00000001.00000000 00000000.00000000.00000000.11111111

Sobre la base de la mscara binaria, se puede ver que los tres primeros conjuntos (octetos) debe coincidir con la direccin que figura la red binaria exactamente (00001010.00000001.00000001). El ltimo conjunto de nmeros "no le importa" (0.11111111). Por lo tanto, todo el trfico que se inicia con 10.1.1. partidos desde el ltimo octeto es "no importa". Por lo tanto, con esta mscara, a travs de direcciones de red 10.1.1.1 10.1.1.255 (10.1.1.x) se procesan.

Reste la mscara normal de 255.255.255.255 con el fin de determinar la mscara inversa ACL. En este ejemplo, la mscara inversa se determina para la direccin de red 172.16.1.0 con una mscara normal de 255.255.255.0.

255.255.255.255 - 255.255.255.0 (mscara de lo normal) = 0.0.0.255 (mscara inversa)

Tenga en cuenta estos equivalentes ACL.

El origen / fuente-comodn de 0.0.0.0/255.255.255.255 significa "ninguna".

La fuente / comodn de 10.1.1.2/0.0.0.0 es el mismo "host 10.1.1.2".

ACL de resumen
Nota: Las mscaras de subred tambin se puede representar como una notacin de longitud fija. Por ejemplo, 192.168.10.0/24 representa 192.168.10.0 255.255.255.0.

Esta lista describe cmo resumir una serie de redes en una sola red para la optimizacin del ligamento cruzado anterior. Tenga en cuenta estas redes.

192.168.32.0/24 192.168.33.0/24 192.168.34.0/24 192.168.35.0/24 192.168.36.0/24 192.168.37.0/24 192.168.38.0/24 192.168.39.0/24

Los dos primeros octetos y el ltimo octeto son los mismos para cada red. Esta tabla es una explicacin de cmo resumir estos en una sola red.

El tercer octeto de las redes anteriores se puede escribir como se ve en esta tabla, de acuerdo con la posicin de pedacito octeto y valor de la direccin de cada bit.

Decimales 32 33 34 35 36 37 38 39

128 0 0 0 0 0 0 0 0 M

64 0 0 0 0 0 0 0 0 M

32 1 1 1 1 1 1 1 1 M

16 0 0 0 0 0 0 0 0 M

8 0 0 0 0 0 0 0 0 M

4 0 0 0 0 1 1 1 1 D

2 0 0 1 1 0 0 1 1 D

1 0 1 0 1 0 1 0 1 D

Desde los primeros cinco bits de partido, los ltimos ocho redes se pueden resumir en una sola red (192.168.32.0/21 o 192.168.32.0 255.255.248.0). Las ocho combinaciones posibles de los tres bits de orden inferior son relevantes para los rangos de red en cuestin. Este comando define una ACL que permite esta red. Si se resta 255.255.248.0 (mscara de lo normal) de 255.255.255.255, produce 0.0.7.255.

Lista de acl_permit permiso de acceso IP 192.168.32.0 0.0.7.255

Tenga en cuenta este conjunto de redes para una explicacin ms detallada.

192.168.146.0/24 192.168.147.0/24 192.168.148.0/24 192.168.149.0/24

Los dos primeros octetos y el ltimo octeto son los mismos para cada red. Esta tabla es una explicacin de cmo resumir estos.

El tercer octeto de las redes anteriores se puede escribir como se ve en esta tabla, de acuerdo con la posicin de pedacito octeto y valor de la direccin de cada bit.

Decimales 146 147 148 149

128 1 1 1 1 M

64 0 0 0 0 M

32 0 0 0 0 M

16 1 1 1 1 M

8 0 0 0 0 M

4 0 0 1 1 ?

2 1 1 0 0 ?

1 0 1 0 1 ?

A diferencia del ejemplo anterior, no se puede resumir estas redes en una sola red. Si se resumen a una sola red, se convierten en 192.168.144.0/21 porque hay cinco bits similar en el tercer octeto. Este resumen de la red 192.168.144.0/21 abarca una serie de redes de 192.168.144.0 a 192.168.151.0. Entre estas redes, 192.168.144.0, 192.168.145.0, 192.168.150.0, 192.168.151.0 y no estn en la lista dada de cuatro redes. A fin de cubrir las redes en cuestin, se necesita un mnimo de dos redes de resumen. La propuesta cuatro redes se pueden resumir en estas dos redes:

Para las redes 192.168.146.x y 192.168.147.x, coinciden todos los bits excepto la ltima, que es un "no me importa." Esto puede ser escrito como 192.168.146.0/23 (o 192.168.146.0 255.255.254.0). Para las redes 192.168.148.x y 192.168.149.x, coinciden todos los bits excepto la ltima, que es un "no me importa." Esto puede ser escrito como 192.168.148.0/23 (o 192.168.148.0 255.255.254.0).

Esta salida se define un resumen ACL para las redes anteriores.

! --- Este comando se utiliza para permitir el acceso el acceso de dispositivos con IP ! --- Direcciones en el rango de 192.168.146.0 a 192.168.147.254. access-list 10 permiten a 192.168.146.0 0.0.1.255

! --- Este comando se utiliza para permitir el acceso el acceso de dispositivos con IP ! --- Direcciones en el rango de 192.168.148.0 a 192.168.149.254 access-list 10 permiten a 192.168.148.0 0.0.1.255

Proceso de ACL
El trfico que entra en el router se compara con las entradas ACL basado en el orden que las entradas se producen en el router. Nuevas declaraciones se agregan a la final de la lista. El router sigue buscando hasta que haya un partido. Si no se encuentran coincidencias cuando el router llega a la final de la lista, el trfico se neg. Por esta razn, usted debe tener las entradas azotada con frecuencia en la parte superior de la lista. Hay una implcita niegan para el trfico que no est permitido. Una ACL de entrada nica con un solo negar la entrada tiene el efecto de negar todo el trfico. Usted debe tener al menos una declaracin de permiso en un ACL o todo el trfico est bloqueado. Estos dos ACL (101 y 102) tienen el mismo efecto.

! --- Este comando se utiliza para permitir el trfico IP de 10.1.1.0 ! --- Red 172.16.1.0 a la red. Todos los paquetes con una fuente ! --- No trata en este rango sern rechazadas. lista de acceso IP 101 permite 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255 ! --- Este comando se utiliza para permitir el trfico IP de 10.1.1.0 ! --- Red 172.16.1.0 a la red. Todos los paquetes con una fuente ! --- No trata en este rango sern rechazadas. lista de acceso IP 102 permite 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255 access-list 102 deny ip any any
En este ejemplo, la ltima entrada es suficiente. Usted no necesita las tres primeras entradas porque TCP incluye Telnet y IP incluye TCP, User Datagram Protocol (UDP), e Internet Control Message Protocol (ICMP).

! --- Este comando se utiliza para permitir el trfico de Telnet ! --- De la mquina a la mquina 10.1.1.2 172.16.1.1. access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 eq telnet ! --- Este comando se utiliza para permitir el trfico TCP de ! --- 10.1.1.2 host de mquina a mquina host 172.16.1.1. access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 ! --- Este comando se utiliza para permitir el trfico UDP de ! --- 10.1.1.2 host de mquina a mquina host 172.16.1.1. access-list 101 de acogida udp permiso 10.1.1.2 host 172.16.1.1 ! --- Este comando se utiliza para permitir el trfico IP de ! --- 10.1.1.0 red 172.16.1.10 red. lista de acceso IP 101 permite 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255

Definir los puertos y tipos de mensaje

Adems de la definicin de fuente de ligamento cruzado anterior y el destino, es posible definir los puertos, tipos de mensajes ICMP, y otros parmetros. Una buena fuente de informacin para los puertos bien conocidos es RFC 1700 . tipos de mensajes ICMP se explica en el RFC 792 .

El router puede mostrar un texto descriptivo sobre algunos de los puertos conocidos. Use un? Para obtener ayuda.

access-list 102 host TCP permiso 10.1.1.1 host 172.16.1.1 eq? bgp Border Gateway Protocolo (179) chargen Generador de caracteres (19) cmd comandos remotos (RCMD, 514)
Durante la configuracin, el router tambin convierte los valores numricos a valores ms fciles de usar. Este es un ejemplo donde se escribe el mensaje ICMP tipo y nmero que hace que el router para convertir el nmero a un nombre.

access-list 102 de acogida icmp permiso 10.1.1.1 host 172.16.1.1 14

se convierte en

access-list 102 de acogida icmp permiso 10.1.1.1 host 172.16.1.1 marca de tiempo de respuesta

Aplicar ACL
Puede definir ACL sin aplicarlos. Sin embargo, la ACL no tendr efecto hasta que se aplican a la interfaz del router. Es una buena prctica para aplicar la ACL en la interfaz ms cercana a la fuente del trfico. Como se muestra en este ejemplo, al intentar bloquear el trfico desde el origen al destino, puede aplicar una ACL de entrada a E0 en el router A en lugar de una lista de salida de E1 en el router C. Una lista de acceso tiene una ip negar cualquier cualquier forma implcita al final de cualquier lista de acceso. Si el trfico est relacionado con una solicitud de DHCP y si no est explcitamente permitido, el trfico se ha cado, porque cuando se mira a peticin DHCP en IP, la direccin de origen es s = 0.0.0.0 (ethernet1 / 0), d = 255.255.255.255 , len 604, rcvd dos UDP src = 68, dst = 67. Tenga en cuenta que la direccin IP de origen es 0.0.0.0 y la direccin de destino es 255.255.255.255. Puerto de origen y destino es de 68 67. Por lo tanto, debe permitir este tipo de trfico en su lista de acceso de lo contrario el trfico se redujo debido a negar implcita en la final de la instruccin.

Nota: Para el trfico UDP a pasar, el trfico UDP tambin debe ser PERMITIDO explcitamente por el ligamento cruzado anterior.

Definir, salida, entrada, salida Fuente y Destino

El router utiliza los trminos adentro, afuera, de origen y destino como referencias. El trfico en el router se puede comparar con el trfico en la carretera. Si usted era un oficial de la ley en Pennsylvania y quiso detener un camin que iba desde Maryland hasta Nueva York, la fuente de la camioneta es de Maryland y el destino del camin es de Nueva York. El obstculo se podra aplicar en la frontera de Pensilvania y Nueva York (a) o la frontera de Maryland, Pennsylvania (en).

Cuando se hace referencia a un router, estos trminos tienen estos significados.

Fuera de trfico que ya ha pasado por el router y sale de la interfaz. La fuente es donde ha estado, en el otro lado del router, y el destino es a dnde va. En-El trfico que llega a la interfaz y, a continuacin pasa por el router. La fuente es donde ha sido y es el destino donde va, al otro lado del router. Entrante-Si la lista de acceso es entrante, cuando el router recibe un paquete, el software IOS de Cisco controles de las declaraciones de los criterios de la lista de acceso para un partido. Si el paquete se permite, el software sigue para procesar el paquete. Si el paquete es rechazado, el programa descarta el paquete. Salida-Si la lista de acceso es de salida, despus de que el software recibe y las rutas de un paquete a la interfaz de salida, el software verifica las declaraciones de los criterios de la lista de acceso para un partido. Si el paquete se permite, el programa transmite el paquete. Si el paquete es rechazado, el programa descarta el paquete.

El de ACL tiene una fuente en un segmento de la interfaz a la que se aplica y un destino fuera de cualquier otra interfaz. La ACL a cabo tiene una fuente en un segmento de cualquier otra interfaz de la interfaz a la que se aplica y un destino fuera de la interfaz a la que se aplica.

Modificar ACL
Cuando se edita una ACL, que requiere una atencin especial. Por ejemplo, si tiene la intencin de eliminar una lnea especfica de una ACL numeradas que existe, como se muestra aqu, la ACL se suprimir todo.

! --- La lista de acceso 101 niega icmp de todo a cualquier red de ! --- Pero permite el trfico IP de todo a cualquier red. router # configure terminal Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z. router (config) # access-list 101 negar icmp any any router (config) # access-list 101 permite cualquier ip cualquier router (config) # ^ Z # Show access-list del router Extendido la lista de acceso IP 101 negar icmp any any permiso de cualquier ip cualquier router # * 09 de marzo 00:43:12.784:% SYS-5-CONFIG_I: configurado desde la consola por consola router # configure terminal Introduzca los comandos de configuracin, uno por lnea. router (config) # no access-list 101 negar icmp any any router (config) # ^ Z Terminar con CTRL / Z.

# Show access-list del router router # * 09 de marzo 00:43:29.832:% SYS-5-CONFIG_I: configurado desde la consola por consola

Copiar la configuracin del router a un servidor TFTP o un editor de texto como Bloc de notas con el fin de modificar las ACL numeradas. A continuacin, realice los cambios y copiar la configuracin de nuevo al router.

Tambin puede hacer esto.

router # configure terminal Introduzca los comandos de configuracin, uno por lnea. router (config) # ip access-list prueba ampliada ! --- Los permisos de trfico IP de la mquina host a la mquina host 2.2.2.2 3.3.3.3. router (config-ext-nacl) # ip host 2.2.2.2 permiso de acogida 3.3.3.3 ! --- Www permisos de trfico de la mquina host a la mquina host 1.1.1.1 5.5.5.5. router (config-ext-nacl) # que el sistema que tcp 1.1.1.1 5.5.5.5 eq host www ! --- Trfico ICMP Los permisos de todo a cualquier red. router (config-ext-nacl) # permiso icmp any any ! --- Permite el trfico DNS de la mquina host 6.6.6.6 a 10.10.10.0 red. router (config-ext-nacl) # que el sistema que udp 6.6.6.6 10.10.10.0 0.0.0.255 eq de dominio router (config-ext-nacl) # ^ Z % SYS-5-CONFIG_I:: 1d00h configurado desde la consola de consolas-l # Show access-list del router Extendido de acceso IP lista de pruebas que el sistema que ip 2.2.2.2 3.3.3.3 de acogida permiso de tcp host 1.1.1.1 5.5.5.5 eq host www permiso de icmp any any permitir udp acogida 6.6.6.6 10.10.10.0 0.0.0.255 eq de dominio
Las supresiones son retirados de la ACL y las adiciones se hacen al final de la ACL.

router # configure terminal Introduzca los comandos de configuracin, uno por lnea. router (config) # ip access-list prueba ampliada ! --- Entrada LCA ha sido eliminado. router (config-ext-nacl) # no permite icmp any any ! --- Entrada de ACL agreg.

Terminar con CTRL / Z.

router (config-ext-nacl) # que el sistema que gre 4.4.4.4 8.8.8.8 de acogida router (config-ext-nacl) # ^ Z % SYS-5-CONFIG_I:: 1d00h configurado desde la consola de consolas-l # Show access-list del router Extendido de acceso IP lista de pruebas que el sistema que ip 2.2.2.2 3.3.3.3 de acogida permiso de tcp host 1.1.1.1 5.5.5.5 eq host www permitir udp acogida 6.6.6.6 10.10.10.0 0.0.0.255 eq de dominio gre permiso de acogida de acogida 8.8.8.8 4.4.4.4
Tambin puede agregar lneas de ACL con la norma nmero o nmeros ACL extendida por el nmero de secuencia en Cisco IOS. Esta es una muestra de la configuracin:

Configurar la ACL extendida de esta manera:

Router (config) # access-list 101 tcp cualquier permiso de cualquier Router (config) # access-list 101 udp cualquier permiso de cualquier Router (config) # access-list 101 permite icmp any any Router (config) # exit Router #
Emita el comando de mostrar la lista de acceso para ver las entradas ACL. Los nmeros de secuencia como 10, 20 y 30 tambin aparecen aqu.

Router # show access-list Extendido la lista de acceso IP 101 10 permiten tcp any any 20 udp cualquier permiso de cualquier 30 icmp cualquier permiso de cualquier
Agregue la entrada de la lista de acceso 101 con el nmero de secuencia 5.

Ejemplo 1:

Router # configure terminal Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z. Router (config) # ip access-lista ampliada 101 Router (config-ext-nacl) # 5 tcp negar cualquier eq telnet cualquier Router (config-ext-NaCl) la salida # Router (config) # exit Router #
En la lista de acceso comando de salida se presenta, la secuencia nmero 5 ligamento cruzado anterior se aade como la primera entrada a la lista de acceso 101.

Router # show access-list Extendido la lista de acceso IP 101 5 tcp negar cualquier eq telnet cualquier 10 permiten tcp any any 20 udp cualquier permiso de cualquier 30 icmp cualquier permiso de cualquier Router #
Ejemplo 2:

internetrouter # show access-lists Extendido la lista de acceso IP 101 10 permiten tcp any any Permiso de 15 tcp cualquier host 172.162.2.9 20 que el sistema que udp 172.16.1.21 cualquier 30 que el sistema que udp 172.16.1.22 cualquier internetrouter Introduzca los internetrouter internetrouter internetrouter # configure terminal comandos de configuracin, uno por lnea. Terminar con CTRL / Z. (config) # ip access-lista ampliada 101 (config-ext-nacl) # 18 por tcp cualquier host 172.162.2.11 (config-ext-nacl) # ^ Z

internetrouter # show access-lists Extendido la lista de acceso IP 101 10 permiten tcp any any Permiso de 15 tcp cualquier host 172.162.2.9 Permiso de 18 tcp cualquier host 172.162.2.11 20 que el sistema que udp 172.16.1.21 cualquier 30 que el sistema que udp 172.16.1.22 cualquier internetrouter #
Del mismo modo, puede configurar la lista de acceso estndar en esta forma:

internetrouter (config) # access-list 2 permiso de 172.16.1.2 internetrouter (config) # access-list 2 permiso de 172.16.1.10 internetrouter (config) # access-list 2 permiso de 172.16.1.11 internetrouter # show access-lists Norma lista de acceso IP 2 30 permiten 172.16.1.11 20 permiten 172.16.1.10 10 permiten a 172.16.1.2 internetrouter (config) # ip access-list estndar de 2 internetrouter (config-std-NaCl) # 25 por 172.16.1.7 internetrouter (config-std-NaCl) # 15 por 172.16.1.16 internetrouter # show access-lists Norma lista de acceso IP 2 15 permiten 172.16.1.16 30 permiten 172.16.1.11 20 permiten 172.16.1.10 25 permiten 172.16.1.7 10 permiten a 172.16.1.2
La mayor diferencia en una lista de acceso estndar es que el IOS de Cisco agrega una entrada en orden descendente de la direccin IP, no en un nmero de secuencia.

Este ejemplo muestra las entradas diferentes, por ejemplo, cmo permitir una direccin IP (192.168.100.0) o de las redes (10.10.10.0).

internetrouter # show access-lists Norma lista de acceso IP 19 10 permiten a 192.168.100.0 15 permiten 10.10.10.0, los bits de comodn 0.0.0.255 19 permiso de 201.101.110.0, los bits de comodn 0.0.0.255 25 negar cualquier
Agregue la entrada en la lista de acceso 2 con el fin de permitir que la direccin IP 172.22.1.1:

internetrouter (config) # ip access-list estndar de 2 internetrouter (config-std-NaCl) # 18 permiten 172.22.1.1

Esta entrada se aade en la parte superior de la lista a fin de dar prioridad a la direccin IP determinada en lugar de la red.

internetrouter # show access-lists Norma lista de acceso IP 19 10 permiten a 192.168.100.0 18 permiten 172.22.1.1 15 permiten 10.10.10.0, los bits de comodn 0.0.0.255 19 permiso de 201.101.110.0, los bits de comodn 0.0.0.255 25 negar cualquier
Nota: Las ACL anteriores no son compatibles con Dispositivo de seguridad tales como el ASA PIX Firewall /.

Directrices para cambiar el acceso de las listas cuando se aplican a los mapas de cifrado

Si se agrega a una configuracin existente lista de acceso, no hay necesidad de quitar el mapa de cifrado. Si se aade a ellos directamente, sin la eliminacin de la hoja de cifrado, a continuacin, que es compatible y aceptable. Si necesita modificar o eliminar tus lista de acceso desde un sistema de acceso-listas, se debe quitar el mapa de cifrado de la interfaz. Despus de quitar mapa cifrado, realizar todos los cambios a la lista de acceso y vuelva a agregar el mapa de cifrado. Si realiza cambios, tales como la supresin de la lista de acceso sin la eliminacin del mapa de cifrado, esto no es compatible y puede provocar un comportamiento impredecible.

Solucin de problemas
Cmo puedo eliminar una ACL de una interfaz?
Entra en el modo de configuracin y no entres en la parte delantera del grupo de comando del acceso, como se muestra en este ejemplo, para eliminar una ACL de una interfaz.

interfaz <interfaz> no ip access-group <acl-> nmero de | a cabo

Qu debo hacer cuando mucho trfico es negada?

Si demasiado trfico se niega, el estudio de la lgica de la lista o tratar de definir y aplicar una lista adicional ms amplia. El show ip access-lists comando proporciona una cantidad de paquetes que muestra que la entrada ACL es golpeado.

La palabra clave de registro al final del individuo de las entradas ACL muestra el nmero de ligamento cruzado anterior y si el paquete se ha permitido o denegado, adems de informacin especfica de puerto.

Nota: La palabra clave de registro de entrada existe en el software Cisco IOS versin 11.2 y posterior, y en algunos de Cisco IOS Software Release 11.1 de software basado creado especficamente para el mercado de proveedores de servicio. Mayores de software no es compatible con esta palabra clave. El uso de esta palabra clave incluye la interfaz de entrada y la fuente de direcciones MAC en su caso.

Cmo depurar en el nivel de paquetes que utiliza un router Cisco?

Este procedimiento explica el proceso de depuracin. Antes de empezar, asegrese de que hay ACL no se aplica actualmente, que no es una ACL, y que el cambio rpido no est deshabilitado.

Nota: Tenga mucho cuidado cuando se depura un sistema con mucho trfico. Utilice una ACL con el fin de depurar de trfico especficos. Sin embargo, estar seguro de el proceso y el flujo de trfico.

1.

Utilice la lista de comandos de acceso con el fin de capturar los datos deseados.

En este ejemplo, la captura de datos se establece para la direccin de destino de 10.2.6.6 o la direccin de origen de 10.2.6.6.

lista de acceso IP 101 permite cualquier host 10.2.6.6 access-list 101 que el sistema que IP 10.2.6.6 cualquier
2. Deshabilitar el cambio rpido en las interfaces involucradas. Slo ver el primer paquete si el cambio rpido no est deshabilitado.

3. 4.
5. 6. 7. 8.

interfaz de configuracin no ip route-cache

Utilice el comando terminal del monitor en modo de permitir que el fin de mostrar resultados de la depuracin de comandos y mensajes de error del sistema para la terminal actual y la sesin. Use el paquete debug ip ip 101 o 101 paquetes de depuracin de comandos de detalle con el fin de iniciar el proceso de depuracin. Ejecute el comando no debug all en activar el modo y el comando de configuracin de la interfaz con el fin de detener el proceso de depuracin. Reinicie el almacenamiento en cach.

9. 10.

interfaz de configuracin ip route-cache

Tipos de ACL IP

Esta seccin del documento se describen los tipos de ACL.

Diagrama de red

ACL estndar
ACL estndar son el tipo ms antiguo de la ACL. Su origen se remonta a tan pronto como Cisco IOS Software Release 8.3. ACL estndar de control de trfico por la comparacin de la direccin de origen de los paquetes IP a las direcciones configuradas en la ACL.

Este es el formato de la sintaxis de comandos de una ACL estndar.

-Lista de acceso de la lista de acceso, nmero de permiso de {| deny} {Host | fuente de origen-comodn | any}
En todas las versiones de software, la lista de acceso, nmero puede ser cualquier cosa, desde 1 a 99. En Cisco IOS Software Release 12.0.1, ACL estndar de comenzar a utilizar los nmeros adicionales (1300 a 1999). Estos nmeros adicionales se denominan ampliado IP ACL. Cisco IOS Software Release 11.2 aadido la posibilidad de utilizar el nombre de la lista de ACL estndar.

Una fuente /-comodn ajuste fuente de 0.0.0.0/255.255.255.255 se puede especificar como cualquier otro. El comodn se puede omitir si se trata de todos los ceros. Por lo tanto, el anfitrin 10.1.1.2 0.0.0.0 es el mismo host 10.1.1.2.

Despus de la ACL se define, se debe aplicar a la interfaz (entrante o saliente). En las versiones de software temprano, era el valor predeterminado a cabo cuando una palabra clave a cabo o no se ha especificado. La direccin se debe especificar en versiones de software ms tarde.

interfaz <interfaz> ip access-group nmero {in | out}

Este es un ejemplo de la utilizacin de una ACL estndar con el fin de bloquear todo el trfico excepto el que a partir de 10.1.1.x. fuente

interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group 1 access-list 1 permit 10.1.1.0 0.0.0.255

Extendido ACL
Extendido ACL se introdujeron en Cisco IOS Software Release 8.3. ACL extendidas de control del trfico por la comparacin de las direcciones de origen y destino de los paquetes IP a las direcciones configuradas en la ACL.

Este es el formato de la sintaxis de comandos de ACL extendida. Las lneas estn envueltos aqu para espaciar consideraciones.

IP
access-list lista de acceso de nmeros [Dinmica dinmica de nombre de tiempo de espera de minutos []] {Negar | permiso} fuente de protocolo de la fuente-comodn destino comodn destino [prioridad prioridad] [TOS] [registro | registro de entrada] [intervalo de tiempo de tiempo-nombre de rango]

ICMP
access-list lista de acceso de nmeros [Dinmica dinmica de nombre de tiempo de espera de minutos []] {Negar | permiso} fuente icmp fuente comodn destino destino comodn [[Tipo icmp icmp-code] |-mensaje icmp]

[Prioridad prioridad] [TOS] [registro | registro de entrada] [Intervalo de tiempo de tiempo-nombre de rango]

TCP
access-list lista de acceso de nmeros [Dinmica dinmica de nombre de tiempo de espera de minutos []] {Negar | permiso} tcp fuente de origen-comodn [operador [puerto]] destino destino comodn [operador [puerto]] [Establecido] [prioridad prioridad] [TOS] [Registro | registro de entrada] [intervalo de tiempo de tiempo-nombre de rango]

UDP
access-list lista de acceso de nmeros [Dinmica dinmica de nombre de tiempo de espera de minutos []] {Negar | permiso} udp fuente de origen-comodn [operador [puerto]] destino destino comodn [operador [puerto]] [Prioridad prioridad] [TOS] [registro | registro de entrada] [Intervalo de tiempo de tiempo-nombre de rango]
En todas las versiones de software, la lista de acceso, nmero puede ser 101 a 199. En Cisco IOS Software Release 12.0.1, extendida ACL comenzar a utilizar los nmeros adicionales (2000 a 2699). Estos nmeros adicionales se denominan ampliado IP ACL. Cisco IOS Software Release 11.2 aadido la posibilidad de utilizar el nombre de la lista de ACL extendida.

El valor de 0.0.0.0/255.255.255.255 se puede especificar como cualquier otro. Despus de la ACL se define, se debe aplicar a la interfaz (entrante o saliente). En las versiones de software temprano, era el valor predeterminado a cabo cuando una palabra clave a cabo o no se ha especificado. La direccin se debe especificar en versiones de software ms tarde.

interfaz <interfaz> ip access-group {nmero | nombre} {in | out}

Esta ACL extendida se utiliza para permitir el trfico en la red 10.1.1.x (interior) y recibir respuestas de ping desde el exterior mientras se evita que los pings no solicitada de gente de fuera, permitiendo que el resto del trfico.

interfaz Ethernet0 / 1 direccin IP 172.16.1.2 255.255.255.0 ip access-group 101 en access-list 101 negar cualquier icmp 10.1.1.0 0.0.0.255 eco lista de acceso IP 101 permite cualquier 10.1.1.0 0.0.0.255
Nota: Algunas aplicaciones, tales como gestin de redes requieren pings para una funcin keepalive. Si este es el caso, es posible que desee limitar el bloqueo de ping entrante o ser ms granular permite / IP negado.

Lock and Key (ACL dinmico)

Cerradura y llave, tambin conocido como ACL dinmicas, se introdujo en Cisco IOS Software Release 11.1. Esta funcin depende de Telnet, autenticacin (local o remota), y ACL extendida.

Bloqueo y configuracin de las teclas se inicia con la aplicacin de una ACL extendida para bloquear el trfico a travs del router. Los usuarios que deseen recorrer el router son bloqueados por la ACL extendida hasta que telnet al router y se autentican. La conexin Telnet a continuacin, gotas y una ACL de una sola entrada dinmica se agrega a la ACL extendida que existe. Esto permite el trfico para un perodo de tiempo determinado; tiempos de inactividad y absoluta es posible.

Este es el formato de la sintaxis de comandos de bloqueo y la configuracin de clave con autenticacin local.

nombre de usuario nombre de usuario Contrasea interfaz <interfaz> ip access-group {nmero | nombre} {in | out}
El ligamento cruzado anterior de una sola entrada de este comando se agrega dinmicamente a la ACL que existe despus de la autenticacin.

lista de acceso access-list-nmero dinmico nombre {permiso | deny} [protocolo] {Fuente de origen-comodn | any} {destino destino comodn | any} [Prioridad prioridad] [TOS] [establecido] [registro | registro de entrada] [Operador de destino, puerto | puerto de destino] lnea vty line_range inicio de sesin local
Este es un ejemplo bsico de cerradura y llave.

Usuario Contrasea prueba 0 prueba

! --- Diez (minutos) es el tiempo de inactividad. prueba de nombre de usuario autocomando acceso a habilitar tiempo de espera de acogida 10 interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group 101 en access-list 101 permite tcp cualquier host 10.1.1.1 eq telnet ! --- 15 (minutos) es el tiempo de espera absoluta. access-list 101 testlist tiempo de espera de 15 ip dinmica permiso 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 lnea vty 0 4 inicio de sesin local
Despus de que el usuario en 10.1.1.2 establece una conexin Telnet con 10.1.1.1, la ACL se aplica dinmica. La conexin se dej caer, y el usuario puede ir a la red 172.16.1.x.

IP con nombre ACL

ACL nombradas IP se introdujeron en Cisco IOS Software Release 11.2. Esto permite que las ACL estndar y extendida a dar nombres en lugar de nmeros.

Este es el formato de la sintaxis de comandos de ACL IP con nombre.

ip access-list {ampliado | Normas nombre}

Este es un ejemplo TCP:

{Permiso | deny} tcp fuente de origen-comodn [operador [puerto]] destino destino comodn [operador [puerto]] [establecido] [Prioridad prioridad] [TOS] [registro] [intervalo de tiempo de tiempo-nombre de rango]
Este es un ejemplo de la utilizacin de una ACL nombrada con el fin de bloquear todo el trfico excepto la conexin Telnet desde el host 10.1.1.2 para acoger 172.16.1.1.

interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group en in_to_out ip de acceso lista ampliada in_to_out tcp acogida permiso 10.1.1.2 host 172.16.1.1 eq telnet

Reflexivo ACL
Reflexivo ACL se introdujeron en Cisco IOS Software Release 11.3. Reflexivo ACL permitir que los paquetes IP que se filtra sobre la base de informacin de la sesin de capa superior. Se utilizan generalmente para permitir el trfico saliente y para limitar el trfico de entrada en respuesta a las sesiones que se originan dentro del router.

ACL reflexiva slo puede definirse con el nombre IP ACL extendida. No se puede definir con nmeros o estndar llamado ACL IP, o con otro protocolo ACL. Reflexivo ACL se pueden utilizar en combinacin con otros ACL extendida estndar y esttica.

Esta es la sintaxis de varios comandos de ACL reflexiva.

interfaz ip access-group {nmero | nombre} {in | out} ip de acceso lista ampliada nombre permiso de cualquier protocolo cualquier reflejar] [nombre timeoutseconds ip de acceso lista ampliada nombre evaluar nombre

Este es un ejemplo del permiso de trfico ICMP saliente y entrante, mientras que slo permite el trfico TCP que ha puesto en marcha por el trfico en el interior, otros se negaron.

ip-reflexiva lista de espera 120 interfaz Ethernet0 / 1 direccin IP 172.16.1.2 255.255.255.0 ip-grupo de acceso inboundfilters en

ip-grupo de acceso a outboundfilters ip de acceso lista ampliada inboundfilters permiso de icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 evaluar tcptraffic ! --- Esto se relaciona la parte reflexiva de la ACL outboundfilters ACL, --- Llamado tcptraffic!, A la inboundfilters ACL. ip de acceso lista ampliada outboundfilters permiso de icmp 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255 permiso de tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflejan tcptraffic

Basado en las ACL tiempo utilizando rangos de tiempo

ACL en funcin del tiempo se introdujeron en Cisco IOS Software Release 12.0.1.T. Aunque similar a la ACL extendida en la funcin, que permiten el control de acceso basado en el tiempo. Un intervalo de tiempo se crea que define determinadas horas del da y semana a fin de aplicar las ACL basadas en el tiempo. El rango de tiempo es identificado por un nombre y, a continuacin hace referencia a una funcin. Por lo tanto, las restricciones de tiempo se imponen a la propia funcin. El rango de tiempo se basa en el reloj del sistema del router. El reloj del router puede ser utilizado, pero la caracterstica que mejor funciona con Network Time Protocol (NTP) de sincronizacin.

Estos son los comandos de ACL basadas en el tiempo.

! --- Define un rango de tiempo de llamada. tiempo de intervalo de tiempo de alcance de nombre ! --- Define los tiempos peridicos. das peridico de la semana-hh: mm [das de la semana-] hh: mm ! --- O, define los tiempos absolutos. Absoluta] [hora de inicio fecha [finales de fecha y hora] ! --- El rango de tiempo utilizado en la ACL real. ip access-list nombre | tiempo <extended_definition> alcance name_of_time nmero alcance
En este ejemplo, una conexin Telnet se permite desde el interior a la red fuera de los lunes, mircoles y viernes durante horas de oficina:

interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group 101 en access-list 101 tcp permiso 10.1.1.0 172.16.1.0 0.0.0.255 0.0.0.255 telnet eq tiempo alcance EVERYOTHERDAY rangos de tiempo EVERYOTHERDAY Mircoles peridico de lunes a viernes 08:00-17:00

Comentadas las entradas ACL IP

Comentado IP de las entradas ACL se introdujeron en Cisco IOS Software Release 12.0.2.T. Comentarios que ACL ms fcil de entender y se puede utilizar para el estndar o extendido IP ACL.

Este es el comentario a nombre de IP sintaxis de comandos de ACL.

ip access-list {estndar | extendido} lista de acceso de nombre observacin de la observacin

Este es el comentario nmero IP de la sintaxis de comandos de ACL.

access-list-lista de nmeros de acceso comentario comentario

Este es un ejemplo de comentar una ACL numeradas.

interfaz Ethernet0 / 0 la direccin IP 10.1.1.1 255.255.255.0 ip access-group 101 en access-list 101 permit_telnet comentario access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 eq telnet

-Control de acceso basado en contexto

control de acceso basado en contexto (CBAC) se introdujo en Cisco IOS Software Release 12.0.5.T y requiere la funcin de Servidor de seguridad de Cisco IOS conjunto. CBAC inspecciona el trfico que viaja a travs del servidor de seguridad para descubrir y gestionar la informacin de estado para las sesiones TCP y UDP. Esta informacin de estado se utiliza para crear las aberturas temporales en las listas de acceso del servidor de seguridad. ip Configurar inspeccionar las listas en la direccin del flujo de la iniciacin de trfico para permitir el trfico de retorno y las conexiones de datos adicionales para la sesin admisible, las sesiones que se origin desde el interior de la red interna protegida, con el fin de hacer esto.

Esta es la sintaxis para CBAC.

ip inspeccionar nombre-el nombre del protocolo de inspeccin [segundos de tiempo de espera]

Este es un ejemplo del uso de CBAC con el fin de inspeccionar el trfico de salida. ACL extendida 111 normalmente bloquear el trfico de retorno que no sea ICMP sin agujeros apertura CBAC para el trfico de retorno.

ip inspeccionar myfw nombre de tiempo de espera FTP 3600 ip inspeccionar myfw nombre de tiempo de espera http 3600 ip inspeccionar myfw nombre de tiempo de espera TCP 3600 ip inspeccionar myfw nombre de tiempo de espera udp 3600 ip inspeccionar myfw nombre de tiempo de espera tftp 3600 interfaz Ethernet0 / 1 direccin IP 172.16.1.2 255.255.255.0 ip access-group 111 en ip inspeccionar myfw a cabo access-list 111 negar cualquier icmp 10.1.1.0 0.0.0.255 eco access-list 111 permite icmp cualquier 10.1.1.0 0.0.0.255

Autenticacin Proxy
proxy de autenticacin se introdujo en Cisco IOS Software Release 12.0.5.T. Esto requiere que usted tiene la caracterstica de Cisco IOS Firewall de conjunto. proxy de autenticacin se utiliza para autenticar a los usuarios entrante o saliente, o ambas cosas. Los usuarios que son normalmente bloqueados por un ligamento cruzado anterior se puede abrir un explorador para navegar por el servidor de seguridad y autenticacin en un servidor TACACS + o RADIUS. El servidor pasa las entradas ACL adicionales hasta el router con el fin de permitir a los usuarios a travs despus de la autenticacin.

proxy de autenticacin es similar a la llave de acceso (ACL dinmicas). Estas son las diferencias:

Llave se activa mediante una conexin telnet al router. proxy de autenticacin est activada a travs de HTTP a travs del router. proxy de autenticacin debe utilizar un servidor externo. proxy de autenticacin puede controlar la adicin de mltiples listas dinmicas. Cierre con llave slo se puede aadir. proxy de autenticacin tiene un tiempo de espera absoluta, pero no tiempo de inactividad. Llave tiene ambas cosas.

Consulte el Cisco Secure Software Integrado de configuracin libro de cocina para ver ejemplos de proxy de autenticacin.

Turbo ACL
Turbo ACL se introdujeron en Cisco IOS Software Release 12.1.5.T y se encuentran slo en el 7200, 7500, y otras plataformas de gama alta. El turbo funcin ACL est diseada para procesar ACL de manera ms eficiente a fin de mejorar el rendimiento del router.

Utilice la lista de acceso compilado de comandos para ACL turbo. Este es un ejemplo de una ACL compilado.

access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 eq telnet access-list 101 host TCP permiso 10.1.1.2 host 172.16.1.1 eq ftp access-list 101 de acogida udp permiso 10.1.1.2 host 172.16.1.1 eq syslog access-list 101 de acogida udp permiso 10.1.1.2 host 172.16.1.1 eq tftp access-list 101 de acogida udp permiso 10.1.1.2 host 172.16.1.1 eq ntp
Despus de la ACL estndar o extendida se define, utilice el comando de configuracin global con el fin de compilar.

! --- Indica al router para compilar. acceso a la lista compilada Interfaz Ethernet0 / 1 direccin IP 172.16.1.2 255.255.255.0 ! --- Se aplica a la interfaz. ip access-group 101 en
El acceso se presenta lista de comandos muestra las estadsticas compiladas sobre la ACL.

Distribuido basado en ACL Tiempo

Distribuido ACL basadas en el tiempo se introdujeron en Cisco IOS Software Release 12.2.2.T a fin de aplicar las ACL basadas en el tiempo en VPN habilitado 7.500 routers de la serie. Antes de la introduccin de la distribucin caracterstica de ACL basado en el tiempo, ACL basados en el tiempo no contaron con el apoyo de las tarjetas de lnea para los routers de la serie Cisco 7500. Si ACL basadas en el tiempo se han configurado, se comportaron como ACL normales. Si una interfaz en una tarjeta de lnea se configura con ACL basadas en el tiempo, la conmutacin de paquetes en la interfaz no se distribuyeron a travs de conmutacin de la tarjeta de lnea, sino transmitida al procesador de ruta con el fin de proceso.

La sintaxis de distribucin basado en el tiempo ACL es la misma que la ACL basadas en el tiempo con la adicin de los comandos en lo que respecta a la situacin de la Comisin Interamericana de procesador de comunicacin (IPC), los mensajes entre el procesador y la tarjeta de ruta de la lnea.

depuracin alcance ipc tiempo mostrar el alcance ipc tiempo rangos de tiempo ipc clara

Reciba ACL
Reciba ACL se utilizan con el fin de aumentar la seguridad en los routers Cisco 12000 por la proteccin del procesador ruta gigabit (GRP) del router de trfico innecesario y potencialmente nefasto. Reciba ACL se agrega como una dispensa especial para el acelerador de mantenimiento de Cisco IOS Software Release 12.0.21S2 e integrado en 12.0 (22) S. Consulte la GSR: Recibir las listas de control de acceso para ms informacin.

Infraestructura ACL Proteccin

ACL de infraestructura se utiliza con el fin de minimizar el riesgo y la eficacia de la infraestructura ataque directo con el permiso explcito de slo el trfico autorizado para el equipamiento de las infraestructuras al tiempo que permite todo el trfico de trnsito. Consulte la Proteccin de la base: Proteccin de la Infraestructura listas de control de acceso para ms informacin.

Trnsito de ACL
ACL de trnsito se utilizan para aumentar la seguridad de la red ya que permite de forma explcita slo el trfico necesarios en la red o redes. Consulte las listas de control de trnsito de Filtros en su ventaja para obtener ms informacin.

Cisco Apoyo Comunitario - Conversaciones destacados

Cisco Comunidad Ayuda es un foro para que usted pueda hacer y contestar preguntas, compartir sugerencias, y colaborar con sus pares. A continuacin se presentan algunas de las conversaciones ms recientes y relevantes sucediendo ahora mismo.