Descripcin General de la Lista de Acceso IP

Descargue este captulo

Descripcin General de la Lista de Acceso IP
Feedback
Contenidos
Descripcin General de la Lista de Acceso IP
Encontrar la informacin de la caracterstica
Contenido
Informacin sobre las listas de acceso IP
Beneficios de las Listas de Acceso IP
Los Routers de Borde y los Routers de Firewall Deben Usar Listas de Acceso
Definicin de una Lista de Acceso
Procesamiento del Software de una Lista de Acceso
Reglas de la Lista de Acceso
Sugerencias tiles para Crear Listas de Acceso IP
Listas de Acceso con Nombre o Numeradas
Listas de Acceso Estndar o Ampliadas
Campos de Paquetes IP que se Pueden Filtrar para Controlar el Acceso
Mscara Comodn para las Direcciones de una Lista de Acceso
Nmeros de Secuencia de la Lista de Acceso
Registro de Listas de Acceso
Alternativa al registro de la lista de acceso
Funciones Adicionales de la Lista de Acceso IP
Listas de Acceso Basadas en Tiempo y Basadas en Tiempo DIstribuido
Tipos de Listas de Acceso IP
Dnde se Aplica una Lista de Acceso
Adonde ir despus
Referencias adicionales
Documentos Relacionados
Estndares
MIB
RFC
Asistencia Tcnica
Informacin de la caracterstica para la descripcin de la lista de IP Access
Descripcin General de la Lista de Acceso IP
Primera publicacin: De agosto el 18 de 2006
ltima actualizacin: De agosto el 18 de 2006
Las listas de control de acceso (ACLs) realizan el filtrado de paquetes para controlar qu paquetes se desplazan por la red y
dnde. Tal control proporciona la Seguridad ayudando a limitar el trfico de la red, a restringir el acceso de los usuarios y de los
dispositivos a la red, y a evitar que el trfico deje una red. Las listas de IP Access pueden reducir la ocasin del spoofing y de
los establecimientos de rechazo del servicio y permitir el acceso del usuario dinmico, temporal con un Firewall.
Las listas de IP Access se pueden tambin utilizar para los propsitos con excepcin de la Seguridad, tal como Control del
ancho de banda, restringiendo el contenido de las actualizaciones de ruteo, redistribuyendo las rutas, accionando las llamadas
del Marcado a pedido (DDR), limitando la salida de los debugs, e identificando o clasificando el trfico para las caractersticas
del Calidad de Servicio (QoS). Este mdulo proporciona una descripcin de las listas de IP Access.
Encontrar la informacin de la caracterstica
Su versin de software puede no soportar todas las caractersticas documentadas en este mdulo. Para la ltimas informacin y
advertencias de la caracterstica, vea los Release Note para su plataforma y versin de software. Para encontrar la informacin
sobre las caractersticas documentadas en este mdulo, y ver una lista de las versiones en las cuales se soporta cada
caracterstica, vea informacin de la caracterstica para la seccin de la descripcin de la lista de IP Access.
Utilice el Cisco Feature Navigator para encontrar la informacin sobre el soporte del Soporte de la plataforma y de la imagen del
software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no
se requiere.
Contenido
Informacin sobre las listas de acceso IP
Adonde ir despus
Referencias adicionales
Informacin de la caracterstica para la descripcin de la lista de IP Access
Informacin sobre las listas de acceso IP
Beneficios de las Listas de Acceso IP
Los Routers de Borde y los Routers de Firewall Deben Usar Listas de Acceso
Definicin de una Lista de Acceso
Procesamiento del Software de una Lista de Acceso
Reglas de la Lista de Acceso
Sugerencias tiles para Crear Listas de Acceso IP
Listas de Acceso con Nombre o Numeradas
Listas de Acceso Estndar o Ampliadas
Campos de Paquetes IP que se Pueden Filtrar para Controlar el Acceso
Mscara Comodn para las Direcciones de una Lista de Acceso
Nmeros de Secuencia de la Lista de Acceso
Registro de Listas de Acceso
Funciones Adicionales de la Lista de Acceso IP
Listas de Acceso Basadas en Tiempo y Basadas en Tiempo DIstribuido
Tipos de Listas de Acceso IP
Dnde se Aplica una Lista de Acceso
Beneficios de las Listas de Acceso IP
Las listas de control de acceso (ACLs) realizan el filtrado de paquetes para controlar qu paquetes se desplazan por la red y
dnde. Tal control puede restringir el acceso de los usuarios y de los dispositivos a la red, proporcionando a una medida de
Seguridad. Las Listas de acceso pueden salvar a los recursos de red reduciendo el trfico. Las Listas de acceso proporcionan
las ventajas diversas, dependiendo de cmo se utilizan. Muchas de las ventajas entran en las categoras siguientes:
Trfico no deseado o usuarios del bloque
Las Listas de acceso pueden filtrar entrante o los paquetes de salida en una interfaz, de tal modo controlando el acceso basado
en las direcciones de origen, las direcciones destino, o la autenticacin de usuario. Usted puede tambin utilizar las Listas de
acceso para determinar remiten o se bloquean qu tipos de trfico en las interfaces del router. Por ejemplo, usted puede
permitir que el trfico del email sea ruteado, pero al mismo tiempo bloquea todo el trfico de Telnet.
Reduzca la ocasin de los ataques DOS
Hay varias maneras de reducir la ocasin de los establecimientos de rechazo del servicio. Por ejemplo, especificando los IP
Source Address, usted puede controlar si el trfico de los hosts, las redes, o los usuarios acceden su red. Usted puede filtrar en
los valores especficos del Tiempo para vivir (TTL) en los paquetes para controlar cuntos saltos puede tomar un paquete antes
de alcanzar a un router en su red. Configurando la caracterstica de la Intercepcin de trfico de TCP, usted puede evitar que
los servidores sean inundados con los pedidos una conexin.
Controle el acceso a las lneas de terminal virtual
Usted puede poner una lista de acceso en la lnea entrante acceso del vty (Telnet) de los ciertos Nodos o redes. Usted puede
tambin poner una lista de acceso en el acceso saliente del vty, bloqueando o permitiendo el acceso de Telnet a los otros
dispositivos.
Restrinja el contenido de las actualizaciones de ruteo
Las Listas de acceso pueden controlar las actualizaciones de ruteo que son enviadas, recibidas, o redistribuidas.
Proporcione el Control del ancho de banda
Una lista de acceso en un link lento puede prevenir el trfico en exceso.
Identifique o clasifique el trfico para las caractersticas de QoS
Las Listas de acceso pueden proporcionar la prevencin de congestionamiento fijando la Prioridad IP para el WRED o el CAR.
Puede proporcionar la administracin de la congestin para el Class-Based Weighted Fair Queuing (WFQ), la cola prioritaria, y
el formar la cola a medida.
Llamadas del Marcado a pedido del activador (DDR)
Una lista de acceso puede aplicar la marca y desconectar los criterios.
Resultado del comando de debug del lmite
Una lista de acceso puede limitar la salida de los debugs basada en un direccionamiento o un protocolo.
Proporcione el control NAT
Las Listas de acceso pueden controlar que los direccionamientos son traducidos por el Network Address Translation (NAT).
Autentique las peticiones entrantes del RSH y RCP
Para permitir al Cisco IOS Software para recibir shell remoto las peticiones entrantes del protocolo del (RCP) del protocolo (rsh)
y de la copia remota, los clientes deben configurar las bases de datos de autenticacin para controlar el acceso al router. Las
Listas de acceso pueden simplificar la identificacin de los usuarios locales, de los host remotos, y de los usuarios remotos en la
configuracin de autenticacin de la base de datos.
Los Routers de Borde y los Routers de Firewall Deben Usar Listas de Acceso
Hay muchas razones para configurar las Listas de acceso; por ejemplo, usted puede utilizar las Listas de acceso para restringir
el contenido de las actualizaciones de ruteo o para proporcionar el control de flujo de trfico. Una de las razones ms
importantes de configurar las Listas de acceso es proporcionar un nivel de seguridad bsico para su red controlando el acceso a
l. Si usted no configura las Listas de acceso en su router, todos los paquetes que pasaban a travs del router se podran
permitir sobre todas las partes de su red.
Una lista de acceso puede permitir un host acceda una parte de su red y evite que otro host acceda la misma rea. En el
cuadro 1, aplicando una lista de acceso apropiada a las interfaces del router, el host A se permite acceder la red de los
Recursos Humanos y el host B se previene de acceder la red de los Recursos Humanos.
Cuadro 1 filtros de trfico para evitar que el trfico sea ruteado a una red
Las Listas de acceso se deben utilizar en los routeres de escudo de proteccin, que se colocan a menudo entre su red interna y
una red externa tal como Internet. Usted puede tambin utilizar las Listas de acceso en un router colocado entre dos partes de
su red, al trfico de control que ingresa o que sale una parte de especfica su red interna.
Para proporcionar algunas ventajas de la Seguridad de las Listas de acceso, usted debe por lo menos configurar las Listas de
acceso en los Router del borde Routers situado en los bordes de sus redes. Tal lista de acceso proporciona un buffer bsico
de la red externa o de un rea menos controlada de su propia red en una ms rea delicada de su red. En estos Router del
borde, usted debe configurar las Listas de acceso para cada Network Protocol configurado en las interfaces del router. Usted
puede configurar las Listas de acceso para filtrar trfico entrante o trfico saliente o ambos en una interfaz.
Las Listas de acceso se definen sobre una base del por-protocolo. Es decir usted debe definir las Listas de acceso para cada
protocolo habilitado en una interfaz si usted quiere al flujo del trfico de control para ese protocolo.
Definicin de una Lista de Acceso
Una lista de acceso es una lista secuencial que consiste en por lo menos una permit declaracin y posiblemente una o ms
deny declaraciones. En el caso de las listas de IP Access, las declaraciones pueden aplicarse a los IP Addresses, a los
protocolos IP de la capa superior, o a otros campos en los paquetes IP. La lista de acceso es identificada y referida por un
nombre o un nmero. La lista de acceso acta como filtro de paquete, los filtrados de paquetes basados en los criterios
definidos en la lista de acceso.
Una lista de acceso puede ser configurada, pero no toma el efecto hasta que la lista de acceso sea cualquier aplicada a una
interfaz (con ip access-group el comando), a una lnea de terminal virtual (vty) (con access-class el comando), o referido por
un cierto otro comando que valide una lista de acceso. Las Listas de acceso tienen muchas aplicaciones, y por lo tanto muchos
comandos del Cisco IOS Software validan una referencia a una lista de acceso en su sintaxis de los comandos. Varios
comandos pueden hacer referencia a la misma lista de acceso.
En el fragmento de configuracin siguiente, las primeras tres lneas son un ejemplo de una lista de IP Access nombrada los
branchoffices, que se aplica a la interfaz serial 0 en los paquetes entrantes. Ningunas fuentes con excepcin de sas en las
redes especificadas por cada direccin de origen y par de la mscara pueden acceder esta interfaz. Los destinos para los
paquetes que vienen de las fuentes en la red 172.20.7.0 estn sin restriccin. El destino para los paquetes que vienen de las
fuentes en la red 172.29.2.0 debe ser 172.25.5.4.
ip access-list extended branchoffices
10 permit 172.20.7.0 0.0.0.3 any
20 permit 172.29.2.0 0.0.0.255 host 172.25.5.4
!
interface serial 0
ip access-group branchoffices in
Procesamiento del Software de una Lista de Acceso
Los pasos generales siguientes describen cmo el Cisco IOS Software procesa una lista de acceso cuando se aplica a una
interfaz, un vty, o es referido por un cierto otro comando cisco ios. Estos pasos se aplican a una lista de acceso que tenga 13 o
a menos entradas de lista de acceso.
El software recibe un paquete del IP y prueba las partes de cada paquete que es filtrado contra las condiciones en la
lista de acceso, un en un momento de la condicinpermit ( deny o declaracin). Por ejemplo, el software prueba a las
direcciones de origen y de destino del paquete contra las direcciones de origen y de destino en a permit o deny la
declaracin.
Si un paquete no coincide con la sentencia de una lista de acceso, el paquete se prueba respecto a la siguiente
sentencia de la lista.
Si un paquete y una sentencia de una lista de acceso coinciden, el resto de las sentencias de la lista se salta y el acceso
se permite o se deniega para el paquete en funcin de lo especificado en la sentencia coincidente. La primera entrada con la
que el paquete coincida determina si el software permite o niega el paquete. Es decir, despus de la primera coincidencia,
no se considera ninguna entrada posterior.
Si la lista de acceso niega un paquete, el software desecha el paquete y vuelve un mensaje ICMP imposible acceder al
host.
Si no coincide ninguna condicin, el software descarta el paquete. Esto es porque cada lista de acceso termina con una
declaracin na escrito, deny implcita. Es decir, si el paquete no ha recibido permiso en el momento de la prueba con
respecto a cada sentencia, se deniega.
En versiones posteriores del Cisco IOS tales como versin 12,4, 12.2S, y 12.0S, por abandono, una lista de acceso que tenga
ms de 13 entradas de lista de acceso se procesa diferentemente a partir de la una que tiene 13 o menos entradas. Para ser
ms eficiente, una lista de acceso con ms de 13 entradas se procesa usando un algoritmo trie-basado de las operaciones de
bsqueda. Este proceso suceder automticamente; no necesita ser configurado.
Reglas de la Lista de Acceso
Tenga las reglas y las caractersticas siguientes de las Listas de acceso presente al crear uno:
Solamente se permite una lista de acceso por interfaz, por protocolo y por direccin.
La lista de acceso debe contener por lo menos una permit declaracin o bien se niegan todos los paquetes.
Dado que el software detiene la prueba de condiciones despus de la primera coincidencia, el orden de las condiciones
es fundamental. El mismo permit o deny las declaraciones especificadas en una diversa orden poda dar lugar a un
paquete que era pasado bajo una circunstancia y negado en otra circunstancia.
Si se hace referencia a una lista de acceso por el nombre en un comando, pero no existe la lista de acceso, pasan todos
los paquetes. Es decir, una interfaz o un comando con una lista de acceso vaca aplicada a ella permite todo el trfico.
Las listas y las listas de acceso ampliadas de acceso estndar no pueden tener el mismo nombre.
Paquetes de proceso de listas de acceso entrante que llegan al router. Los paquetes entrantes se procesan antes de
rutearse a una interfaz saliente. Una lista de acceso de entrada es eficiente porque ahorra la sobrecarga de las bsquedas
de ruteo si el paquete va a ser desechado por ser denegado por las pruebas de filtrado. Si las pruebas permiten el paquete,
se procesa para el ruteo. Para las listas entrantes, permit significa continan procesando el paquete despus de recibirlo en
una interfaz de entrada; deny significa el descarte del paquete.
Las listas de acceso salientes procesan los paquetes antes de que salgan del router. Los paquetes de entrada se rutean
a la interfaz saliente y se procesan a travs de la lista de acceso saliente. Para las listas salientes, permit significa la envan
al bfer de salida; deny significa el descarte del paquete.
Una lista de acceso puede controlar el trfico que llega al router o que deja el router, pero no el trfico que se origina en
el router.
Sugerencias tiles para Crear Listas de Acceso IP
Las extremidades siguientes le ayudarn a evitar las consecuencias involuntarias y a ayudarle a crear las Listas de acceso ms
eficientes, tiles.
Cree la lista de acceso antes de aplicarla a una interfaz (o a otra parte), porque si usted aplica una lista de acceso
inexistente a una interfaz y despus procede a configurar la lista de acceso, se ejecuta la primera declaracin, y la
declaracin deny implcita que sigue podra causarle los problemas del acceso inmediato.
Otra razn para configurar una lista de acceso antes de aplicarla es porque una interfaz con una lista de acceso vaca
aplicada permite todo el trfico.
Todas las Listas de acceso necesitan por lo menos una permit declaracin; en caso contrario, se deniegan todos los
paquetes y no pasa ningn trfico.
Porque el software para las condiciones de prueba despus de que encuentre la primera coincidencia (a permit o deny
a la declaracin), usted reducir el tiempo de procesamiento y los recursos si usted pone las declaraciones que los paquetes
son ms probable de hacer juego al principio de la lista de acceso. Hay que colocar las condiciones que ocurren con ms
frecuencia antes que las que ocurren con menos frecuencia.
Organice la lista de acceso de modo que las referencias ms especficas de una red o subred aparezcan antes que las
ms generales.
Utilice la declaracin permit any any si usted quiere permitir el resto de los paquetes negados no ya. Usando la
declaracin permit any any en efecto evita negar el resto de los paquetes con el enunciado de negacin implcito en el
extremo de una lista de acceso. No haga su primera entrada de lista de acceso permit any any porque todo el trfico
conseguir a travs; ningn paquete alcanzar la prueba subsiguiente. De hecho, una vez que usted especifica permit any
any, todo el trfico negado no ya conseguir a travs.
Aunque todas las Listas de acceso terminen con una declaracin deny implcita, recomendamos el uso de una
declaracin deny explcita (por ejemplo, deny ip any any). En la mayora de las Plataformas, usted puede visualizar la
cuenta de los paquetes negados publicando show access-list el comando, as descubriendo ms informacin sobre quin
est rechazando su lista de acceso. Solamente los paquetes negados por las declaraciones deny explcitas se cuentan, que
es porqu la declaracin deny explcita rendir a ms los datos completos para usted.
Mientras que crea una lista de acceso o despus de crearla, puede ser que desee eliminar una entrada.
- No puede eliminar una entrada de una lista de acceso numerada; el intento de hacerlo eliminar la lista de acceso
entera. Si desea eliminar una entrada, debe eliminar la lista de acceso entera y comenzar de nuevo.
Puede eliminar una entrada de una lista de acceso guardada. Utilice no permit u no deny ordene para borrar la
entrada apropiada.
Para hacer el propsito de las sentencias individuales ms scannable y facilmente comprensible de un vistazo, usted
puede escribir una observacin til antes o despus de cualquier declaracin usando remark el comando.
Si usted quiere negar el acceso a un host determinado o a una red y descubrir si alguien de esa red o host est
intentando acceder, incluya log la palabra clave con la declaracin deny correspondiente para registrar los paquetes
negados de esa fuente para usted.
Esta sugerencia se aplica al emplazamiento de la lista de acceso. Cuando intente ahorrar recursos, recuerde que una
lista de acceso de entrada aplica las condiciones del filtro antes de la bsqueda en la tabla de ruteo. Una lista de acceso de
salida aplica las condiciones de filtro despus de la bsqueda en la tabla de ruteo.
Listas de Acceso con Nombre o Numeradas
Todas las Listas de acceso se deben identificar por un nombre o un nmero. Nombrado y las listas de acceso numeradas tenga
diversa sintaxis de los comandos. Las listas de acceso denominadas son compatibles con el Cisco IOS Release 11.2 y
Posterior. Las listas de acceso denominadas son ms convenientes que las listas de acceso numeradas porque usted puede
especificar un nombre significativo que sea ms fcil de recordar y de asociarse a un propsito. Usted puede reordenar las
declaraciones adentro o agregar las declaraciones a una lista de acceso denominada.
La lista de acceso denominada es ms nueva que las listas de acceso numeradas y soporta las caractersticas siguientes que
no se soportan en las listas de acceso numeradas:
Filtracin del indicador TCP
Filtracin de la opcin IP
puertos noncontiguous
Listas de acceso reflexivas
capacidad de borrar las entradas con no permit o no deny el comando
No los comandos all que validan una lista de acceso numerada validarn una lista de acceso denominada. Por ejemplo, las
lneas de terminal virtual utilizan solamente las listas de acceso numeradas.
Listas de Acceso Estndar o Ampliadas
Todas las Listas de acceso son estndar o listas de acceso ampliadas. Si usted se prepone solamente filtrar en una direccin
de origen, la lista de acceso estndar ms simple es suficiente. Para filtrar en cualquier cosa con excepcin de una direccin de
origen, una lista de acceso ampliada es necesaria.
Las listas de acceso denominadas se especifican como estndar o extendidas sobre la base de la palabra clave
standard o extended en ip access-list la sintaxis de los comandos.
Las listas de acceso numeradas se especifican como estndar o extendido sobre la base de su nmero en access-list la
sintaxis de los comandos. Las listas de IP Access estndar se numeran 1 a 99 o 1300 a 1999; las listas de acceso IP
ampliado se numeran 100 a 199 o 2000 a 2699. El rango de las listas de IP Access estndar era inicialmente solamente 1 a
99, y fue ampliado posteriormente con el rango 1300 a 1999 (los nmeros de intervencin fueron asignados a otros
protocolos). El rango de la lista de acceso ampliada fue ampliado semejantemente.
Listas de Acceso Estndar
Las listas de IP Access estndar prueban solamente a las direcciones de origen de los paquetes (a excepcin de dos
excepciones). Porque las listas de acceso estndar prueban a las direcciones de origen, son muy eficientes en el bloqueo del
trfico cerca de un destino. Hay dos excepciones cuando el direccionamiento en una lista de acceso estndar no es una
direccin de origen:
En las Listas de acceso salientes del VTY, cuando alguien est intentando al telnet, el direccionamiento en la entrada de
lista de acceso se utiliza como direccin destino bastante que una direccin de origen.
Al filtrar las rutas, usted est filtrando la red que es hecha publicidad a usted bastante que una direccin de origen.
Listas de acceso ampliadas
Las listas de acceso ampliadas son buenas para bloquear el trfico dondequiera. Las listas de acceso ampliadas prueban a las
direcciones de origen y de destino y otros datos del paquete del IP, tales como protocolos, los nmeros del puerto TCP o UDP,
Tipo de servicio (ToS), precedencia, los indicadores TCP, las opciones IP, y valor de TTL. Las listas de acceso ampliadas
pueden tambin proporcionar las capacidades que no pueden las listas de acceso estndar, por ejemplo el siguiente:
Opciones de filtracin IP
Indicadores de filtracin TCP
Fragmentos noninitial de filtracin de los paquetes (vase el mdulo el refinar de una lista de IP Access)
Entradas del time basado (vase el time basado y las listas de acceso basadas en el tiempo distribuidas seccionar y el
mdulo que refina una lista de IP Access)
Listas de acceso dinmicas (vase la seccin de las listas de IP Access de la seccin los tipos)
Listas de acceso reflexivas (vase tipos de la seccin los de listas de IP Access seccionar y del mdulo que configuran
el [Reflexive Access Lists] de filtracin de la sesin IP)
Observelos paquetes que estn conforme a una lista de acceso ampliada no sern conmutados autnomo.
Campos de Paquetes IP que se Pueden Filtrar para Controlar el Acceso
Usted puede utilizar una lista de acceso ampliada para filtrar en un de los despus de los campos en un paquete del IP. La
direccin de origen y la direccin destino son los dos lo ms frecuentemente campos especificados en los cuales basar una lista
de acceso:
Direccin de origen Especifica a una direccin de origen a los paquetes de control que vienen de los ciertos
dispositivos de interconexin de redes u hosts.
Direccin destino Especifica a una direccin destino a los paquetes de control que son enviados a los ciertos
dispositivos de interconexin de redes u hosts.
Protocolo Especifica protocolo IP indicado por la palabra clave eigrp gre icmp igmp ip ipinip nos ospf tcp, o udp, o
indicado por un nmero entero en el rango a partir de la 0 a 255 (representando un protocolo de Internet). Si usted
especifica un protocolo de capa de transporte (icmp igmp tcp, o udp), el comando tiene un sintaxis especfico.
Puertos y puertos NON-contiguos Especifica el TCP o el UDP vira hacia el lado de babor por un nombre del
puerto o un nmero del puerto. Los nmeros del puerto pueden ser nmeros del puerto noncontiguous. Los nmeros del
puerto pueden ser tiles para filtrar el trfico o el trfico HTTP de Telnet, por ejemplo.
Indicadores TCP Especifica que los paquetes hacen juego cualquier indicador o todos los indicadores fijados en
los paquetes TCP. La filtracin en los indicadores especficos TCP puede ayudar a prevenir los paquetes falsos de la
sincronizacin.
Opciones IP Especifica las opciones IP; una razn para filtrar en las opciones IP es evitar que saturen al Routers con
los paquetes falsos que los contienen.
Valor de TTL Especifica los valores de TTL indicados por un operador y posiblemente un rango de los valores. La
filtracin en el valor de TTL puede controlar quin puede alcanzar una interfaz basada en cuntos saltos lejos es la fuente.
Tal filtracin puede tambin evitar que los paquetes alcancen el nivel de proceso.
Mscara Comodn para las Direcciones de una Lista de Acceso
El filtrado de direcciones usa enmascaramiento de comodn para indicar al software si debe verificar o ignorar los bits de la
direccin IP correspondientes al comparar los bits de direccin de una entrada de lista de acceso con un paquete que se enva
a la lista de acceso. Cuidadosamente fijando las mscaras comodn, usted puede especificar uno o ms IP Addresses para las
pruebas del permit or deny.
El enmascaramiento de comodn para bits de direccin IP utiliza el nmero 1 y el nmero 0 para especificar cmo trata el
software los bits correspondientes de la direccin IP. En ocasiones, una mscara comodn se denomina mscara invertida, ya
que el significado de 1 y 0 es el contrario que en una mscara de subred (red).
Una mscara comodn mordi 0 significa el control el valor en bits correspondiente; deben hacer juego.
Una mscara comodn mordi 1 significa ignora eso valor en bits correspondiente; no necesitan hacer juego.
Si usted no suministra una mscara comodn una direccin de origen o de destino en una sentencia de lista de acceso, el
software asume una mscara comodn implcita de 0.0.0.0, significando que todos los valores deben hacer juego.
A diferencia de las mscaras de subred, que requieren bits contiguos que identifiquen la red y la subred, las mscaras comodn
permiten bits no contiguos en la mscara.
El cuadro 1 muestra los ejemplos de los IP Addresses y de las mscaras de una lista de acceso, junto con las direcciones
correspondientes que se consideran una coincidencia.
Direccin Mscara comodn Resultados de la coincidencia
0.0.0.0 255.255.255.255 Todos los direccionamientos harn juego las
condiciones de la lista de acceso.
172.18.0.0/16 0.0.255.255 Red 172.18.0.0
172.18.5.2/16 0.0.0.0 Solamente coincidencias de 172.18.5.2 del host
172.18.8.0 0.0.0.7 Solamente coincidencias de la subred
172.18.8.0/29
172.18.8.8 0.0.0.7 Solamente coincidencias de la subred
172.18.8.8/29
172.18.8.15 0.0.0.3 Solamente coincidencias de la subred
172.18.8.15/30
10.1.2.0 0.0.254.255 (bits noncontiguous
en la mscara)
Hace juego cualquier red pares en el rango de
10.1.2.0 a 10.1.254.0
Nmeros de Secuencia de la Lista de Acceso
La capacidad de aplicar nmeros de secuencia a las entradas de la lista de acceso simplifica los cambios de la lista de acceso.
Antes de la funcin IP Access List Entry Sequence Numbering no haba manera de especificar la posicin de una entrada
dentro de una lista de acceso. Si deseaba insertar una entrada en medio de una lista existente, tena que remover todas las
entradas que hubiera tras la posicin deseada, aadir la nueva entrada y despus volver a ingresar todas las entradas
removidas. Este mtodo era pesado y propenso a errores.
Esta funcin permite que los usuarios aadan nmeros de secuencia a entradas de listas de acceso y que cambien su
secuencia. Cuando aada una nueva entrada, especifique el nmero de secuencia para que est en la posicin deseada de la
lista de acceso. En caso necesario, las entradas incluidas actualmente en la lista de acceso se pueden volver a secuenciar para
crear espacio donde insertar la nueva entrada.
Registro de Listas de Acceso
El Cisco IOS Software puede proporcionar los mensajes de registracin sobre los paquetes permitidos o negados por un solo
estndar o entrada de la lista del acceso IP ampliado. Es decir, cualquier paquete que haga juego la entrada har un mensaje
de registracin informativo sobre el paquete ser enviado a la consola. El nivel de mensajes registrados a la consola es
controlado por logging console el comando global configuration.
El primer paquete que acciona la entrada de lista de acceso causa un mensaje de registracin inmediato, y los paquetes
subsiguientes se recoge sobre cinco minutos los intervalos antes de que se visualicen o se registren. El mensaje de registracin
incluye el nmero de lista de acceso, si el paquete fue permitido o negado, la direccin IP de origen del paquete, y el nmero de
paquetes de esa fuente permiti o neg en cinco minutos el intervalo anterior.
Sin embargo, usted puede utilizar ip access-list log-update el comando de fijar el nmero de paquetes que, cuando
coincidencia una lista de acceso (y se permiten o se niegan), hagan el sistema generar un mensaje del registro. Usted puede
ser que quiera hacer esto para recibir los mensajes del registro ms con frecuencia que en cinco minutos los intervalos.
Advierta si usted fijan number-of-matches el argumento a 1, un mensaje del registro se enva inmediatamente, bastante que
ocultndolo; cada paquete que hace juego una lista de acceso causa un mensaje del registro. Una configuracin de 1
no se recomienda porque el volumen de mensajes del registro podra abrumar el sistema.
Incluso si usted utiliza ip access-list log-update el comando, el temporizador permanece cinco minutos en efecto, as que cada
cach se vacia en el final de 5 minutos, sin importar la cuenta de los mensajes en cada cach. Sin importar cuando se enva el
mensaje del registro, se vacia el cach y la cuenta reajust a 0 para ese mensaje la misma manera que es cuando un umbral no
se especifica.
Observela instalacin de explotacin forestal pudo caer algunos paquetes del mensaje de registracin si hay demasiado que se
dirigir o si hay ms de un mensaje de registracin que se dirigir en 1 segundo. Este comportamiento evita que el router
cause un crash debido a demasiados paquetes del registro. Por lo tanto, la instalacin de explotacin forestal no se
debe utilizar como una herramienta de la factura o fuente exacta del nmero de coincidencias a una lista de acceso.
Alternativa al registro de la lista de acceso
Los paquetes que corresponden con una entrada en un ACL con una opcin del registro son proceso conmutado. No se
recomienda para utilizar la opcin del registro en los ACL, sino utiliza bastante la exportacin de NetFlow y hace juego en una
interfaz de destino del null0. Esto se hace en la trayectoria CEF. La interfaz de destino del null0 se fija para cualquier paquete
que sea cado por el ACL.
Funciones Adicionales de la Lista de Acceso IP
Adems de los pasos bsicos para crear una lista de acceso estndar o ampliada, puede mejorar las listas de acceso tal como
se indica a continuacin. Cada uno de estos mtodos se describe totalmente en el mdulo titulado "Refinado de una Lista de
Acceso".
Usted puede imponer las fechas y hora cuando permit o deny las declaraciones en una lista de acceso ampliada estn
en efecto, haciendo su lista de acceso ms granular y especfica a un perodo de tiempo absoluto o peridico.
Despus de que usted cree una lista de acceso denominada, usted puede ser que quiera agregar las entradas o cambiar
la pedido de las entradas, conocida como resequencing una lista de acceso.
Puede obtener una granularidad ms fina al filtrar paquetes mediante el filtrado de fragmentos no iniciales de los
paquetes.
Listas de Acceso Basadas en Tiempo y Basadas en Tiempo DIstribuido
Las listas de acceso basadas en el tiempo implementan las entradas de lista de acceso basadas en las pocas determinadas
del da o de la semana. Esto es una ventaja cuando usted no quiere las entradas de lista de acceso siempre en efecto o en
efecto tan pronto como sean aplicadas. Utilice las listas de acceso basadas en el tiempo para hacer la aplicacin de las
condiciones del permit or deny granular, sobre la base de la Fecha y hora.
Las listas de acceso basadas en el tiempo distribuidas son las que se soportan en el linecards para los Cisco 7500 Series
Router. Los paquetes destinados para una interfaz configurada con las listas de acceso basadas en el tiempo son conmutados
distribuido con el linecard.
Tipos de Listas de Acceso IP
Hay varios tipos de Listas de acceso que sean distintas debido a cmo se accionan, su naturaleza temporal, o cmo su
comportamiento diferencia de una lista de acceso ordinaria.
Proxy de Autenticacin
El proxy de autenticacin proporciona autenticacin y autorizacin dinmicas usuario, y autentica a los usuarios contra los
protocolos de autenticacin estndar de la industria TACACS+ y RADIUS. La autenticacin y la autorizacin de las conexiones
de los usuarios proporciona una proteccin ms slida contra los ataques a la red.
Control de Acceso Basado en Contexto
El Control de acceso basado en el contexto (CBAC) examina la informacin no slo de la capa de red y de la capa de
transporte, pero tambin la informacin del Application Layer Protocol (tal como informacin FTP) para aprender sobre el estado
del TCP y de las conexiones UDP. El CBAC mantiene la informacin de estado de la conexin de las conexiones individuales.
Esta informacin de estado se utiliza para tomar decisiones inteligentes sobre si los paquetes deben permitirse o denegarse, y
crea y elimina dinmicamente aperturas temporales en el firewall.
Listas de acceso dinmicas con la caracterstica Cerrojo y Llave
Las listas de acceso dinmicas proporcionan el Acceso temporario a los usuarios sealados que estn utilizando Telnet para
alcanzar los host designados con un Firewall. Las listas de acceso dinmicas implican la autenticacin de usuario y la
autorizacin.
Listas de acceso reflexivas
Las Listas de acceso reflexivas proporcionan la filtracin en las sesiones de la capa superior protocolo IP. Contienen las
entradas temporarias que se crean automticamente cuando una nueva sesin IP comienza. Se jerarquizan dentro de las listas
de IP Access extendidas, Nombradas que se aplican a una interfaz. Las Listas de acceso reflexivas se configuran tpicamente
en los Router del borde, que pasan el trfico entre un interno y una red externa. stos son a menudo routeres de escudo de
proteccin. Las Listas de acceso reflexivas no terminan con un enunciado de negacin implcito porque se jerarquizan dentro de
una lista de acceso y las declaraciones subsiguientes necesitan ser examinadas.
Dnde se Aplica una Lista de Acceso
Si usted est aplicando una lista de acceso a una interfaz, considere cuidadosamente si especificarla como in (entrante) o out
(saliente). Aplicando una lista de acceso a los controles de interfaces entrantes o salientes el trfico que ingresar o deja la
interfaz o el nivel de proceso del router (en el caso de la filtracin en los valores TTL).
Cuando una lista de acceso de entrada se aplica a una interfaz, despus de que el software reciba un paquete, el
software marca el paquete contra las sentencias de lista de acceso. Si la lista de acceso permite el paquete, el software
contina procesando el paquete. Por lo tanto, la filtracin en los paquetes entrantes puede salvar a los recursos del router
porque los paquetes filtrados no pasarn a travs del router.
Las Listas de acceso que se aplican a los paquetes salientes son los filtrados de paquetes que han pasado ya a travs
del router. Los paquetes que pasan la lista de acceso se transmiten (enviado) hacia fuera la interfaz.
La caracterstica que parte TCP ACL del Control Protocol por satlite de la tarifa basada (RBSCP) es un ejemplo de una
caracterstica que se pueda utilizar en una interfaz saliente. Los controles de la lista de acceso que los paquetes son
conforme a partir TCP ACK.
Las Listas de acceso se pueden utilizar en las maneras con excepcin de aplicarlas a las interfaces. Los siguientes son lugares
adicionales para aplicar una lista de acceso.
Para restringir entrante y las conexiones salientes entre un vty determinado (en un dispositivo de Cisco) y los
dispositivos de red en los direccionamientos en una lista de acceso, aplique una lista de acceso a una lnea. Vea acceso
que controla el mdulo a una lnea de terminal virtual.
Referirse a una lista de acceso debug de un comando limita la cantidad de informacin visualizada solamente a la
informacin permitida por la lista de acceso, tal como fuentes, destinos, o protocolos, por ejemplo.
Las Listas de acceso se pueden utilizar para controlar las actualizaciones de ruteo, para controlar el Dial-on-Demand
Routing (DDR), y para controlar las caractersticas del Calidad de Servicio (QoS), por ejemplo. Vea los captulos de
configuracin apropiados para usar las Listas de acceso con estas caractersticas.
Adonde ir despus
Usted debe primero decidir lo que usted quiere restringir, y despus selecciona el tipo de lista de acceso que alcance su meta.
Despus, usted crear una lista de acceso que permita o niegue los paquetes basados en los valores en los campos que usted
especifica, y finalmente, usted aplicar la lista de acceso (que determina su colocacin).
Asumiendo usted tiene decidido qu usted quiere restringir y qu tipo de lista de acceso usted necesita, su siguiente paso es
crear una lista de acceso. Creando una lista de acceso basada en la direccin de origen, describen a la direccin destino, o el
protocolo en creando una lista de IP Access y aplicndola el mdulo a una interfaz. Usted podra crear una lista de acceso que
filtra en otros campos, segn lo descrito en crear una lista de IP Access para filtrar las opciones IP, los indicadores TCP, los
puertos Noncontiguous, o los valores de TTL. Si usted quiere controlar el acceso a una lnea virtual, vea el acceso que
controla a una lnea de terminal virtual. Si el propsito de su lista de acceso es controlar las actualizaciones de ruteo o las
caractersticas de QoS, por ejemplo, consideran el captulo de tecnologa apropiado.
Referencias adicionales
Documentos Relacionados
Tema relacionado Ttulo del documento
Comandos de Cisco IOS El Cisco IOS domina los comandos list,
todos las versiones
Comandos de la lista de IP Access: sintaxis de
comandos completa, modo de comandos, historial de
comandos, valores predeterminados, directrices de uso
y ejemplos
Referencia de Comandos de IP Application
Services de Cisco IOS
Filtrando en la direccin de origen, la direccin destino,
o el protocolo
"Creacin de una Lista de Acceso IP y su
Aplicacin a una Interfaz"
Filtrando en las opciones IP, los indicadores TCP, los
puertos noncontiguous, o TTL
Creando una lista de IP Access para filtrar
las opciones IP, los indicadores TCP, los
puertos Noncontiguous, o los valores de TTL

Acceso de restriccin a una lnea del vty. Acceso que controla a una lnea de terminal
virtual
Estndares
Estndar Ttulo
Ninguno
MIB
MIB Link del MIB
Ninguno Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de
funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:
http://www.cisco.com/cisco/web/LA/support/index.html
RFC
RFC Ttulo
Ninguno
Asistencia Tcnica
Descripcin Link
El Web site del soporte y de la documentacin
de Cisco proporciona los recursos en lnea
para descargar la documentacin, el software,
y las herramientas. Utilice estos recursos para
instalar y para configurar el software y para
resolver problemas y para resolver los
problemas tcnicos con los Productos Cisco y
las Tecnologas. El acceso a la mayora de las
herramientas en el Web site del soporte y de
la documentacin de Cisco requiere una
identificacin del usuario y una contrasea del
cisco.com.
http://www.cisco.com/cisco/web/LA/support/index.html
Informacin de la caracterstica para la descripcin de la lista de IP Access
La tabla 2 muestra las funciones de este mdulo y proporciona links a informacin de configuracin especfica.
Utilice el Cisco Feature Navigator para encontrar la informacin sobre el soporte del Soporte de la plataforma y de la imagen del
software. El Cisco Feature Navigator le permite para determinar qu imgenes del software soportan una versin de software,
un conjunto de caractersticas, o una plataforma especfico. Para acceder a Cisco Feature Navigator, vaya a
http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 2 solamente la versin de software que introdujo el soporte para una caracterstica dada en un
tren de versin de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versin
de software tambin soportan esa caracterstica.
Nombre de la
funcin Versiones Informacin sobre la Funcin
Descripcin
General de la
Lista de
Acceso IP
12.0(32)S4 Las listas de control de acceso (ACLs) realizan el filtrado de paquetes
para controlar qu paquetes se desplazan por la red y dnde. Tal
control proporciona la Seguridad ayudando a limitar el trfico de la red,
a restringir el acceso de los usuarios y de los dispositivos a la red, y a
evitar que el trfico deje una red. Las listas de IP Access pueden
reducir la ocasin del spoofing y de los establecimientos de rechazo del
servicio y permitir el acceso del usuario dinmico, temporal con un
Firewall.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word
partner does not imply a partnership relationship between Cisco and any other company. (1005R)
Las direcciones IP (Internet Protocol) y los nmeros de telfono utilizados en este documento no son direcciones y nmeros de
telfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topologa de red y otras figuras
incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o nmeros de telfono reales
en contenido ilustrativo es involuntario y fortuito.
Cisco Systems, Inc. 2006 del todos los derechos reservados.
1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generacin del PDF: 6 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074091_sec_access_list_ov_ps6922_TSD_Products_Configuration_Guide_Chapter.html