Listas de Acceso

Permiten identificar paquetes basados en encabezados: IP,

TCP, UDP, etc.
Ejemplos:

Paquetes con IP origen: 1.1.1.1

Paquetes cuya IP destino sea cualquiera contenida en la

subred 10.1.1.0/24

Paquetes con puerto TCP destino 23 (Telnet)

Las ACLs se utilizan para mltiples funciones, principalmente

el filtrado de paquetes

Otras funciones: clasfificar paquetes para aplicarles QoS, para

filtrar o clasificar anuncios de redes en protocolos de
enrutamiento, para aplicar NAT, etc

ACLs

Listas de acceso para filtrado de paquetes

Para filtrar paquetes se debe habilitar una ACL en una interfaz

que procese el paquete en la misma direccin del flujo

ACLs

Tipos de ACLs

Estndares numeradas (1-99, 1300-1999)

Extendidas numeradas (100-199, 2000-2699)

Nombradas

Mejoradas (con nmeros de secuencia)

ACLs

Lgica en una ACL

Una ACL es una lista de uno o ms comandos, cuando el router
procesa un paquete, comparado con la ACL, usa la lgica de la
primera concordancia (first-match)

ACLs

Comandos de configuracin de ACLs

Configuracin general
access-list {1-99 | 1300-1999} {permit | deny} matching-parameters

Ejemplo:
access-list 1 remark Comentario

access-list 1 permit 10.1.1.1

access-list 1 deny 10.1.1.0

0.0.0.255

access-list 1 permit 10.0.0.0

0.255.255.255 log

access-list 1 permit any

Las listas de acceso se procesan de forma secuencial (lnea por lnea).

Al final de cualquier lista siempre existe un deny implicito (deny any)

ACLs

Usando Wildcards
access-list 1 permit 10.1.1.0

0.0.0.255

access-list 1 permit 10.1.0.0

0.0.255.255

access-list 1 permit 10.0.0.0

0.255.255.255

ACLs

Obtener la Wildcard para una subred

Si se quiere obtener los Bits de Wildcard para una

subred solo es necesario invertir la mscara de dicha
subred

A 255.255.255.255 resta la mscara de la subred!

ACLs

Aplicando una ACL

ACLs

Verificando ACLs

ACLs

Listas de Acceso Extendidas

Pueden examinar mltiples partes de los encabezados
de un paquete

Son ms tiles y ms complejas que una ACL estndar

ACLs

10

Listas de Acceso Extendidas (continuacin)

Cuando en una ACL extendida se utiliza las claves TCP
o UDP, opcionalmente se puede especificar el puerto
origen y/o el destino

ACLs

11

Configuracin de ACL extendida

ACLs

12

Filtrado de Paquetes basado en el puerto destino

ACLs

13

Filtrado de Paquetes basado en el puerto origen

ACLs

14

Aplicaciones bien conocidas

ACLs

15

Listas de Acceso Nombradas

Diferencias entre ACLs nombradas y numeradas

Usar nombres en lugar de nmeros puede ayudar a
recordar el uso de la ACL
Usan subcomandos, en lugar de comandos
globales

Funciones de edicin que permiten al usuario

borrar lneas individuales o insertar nuevas

ACLs

16

Configuracin ACL numerada vs nombrada

Router# show access-list

Standard IP access list LISTA_ESTANDAR
10 permit host 1.1.1.1
20 permit host 2.2.2.2
30 permit host 3.3.3.3

ACLs

17

Editando ACL usando nmeros de secuencia

En la primeras versiones IOS de Cisco las funciones de edicin de

una lista numerada eran limitadas
En versiones ms recientes se pueden editar fcilmente tanto listas
numeradas como nombradas
La funcin de edicin de una ACL utiliza nmeros de secuencia
agregadas a cada lnea de la ACL, estos nmeros de secuencia
permiten:
Borrar una sola lnea
Insertar nuevas lneas

Nmeros de secuencia automticos

ACLs

18