ACL Extendida

Se utilizan con ms frecuencia que las estndar porque ofrecen un mayor control. Verifican las direcciones de paquetes de origen y destino, y tambin protocolos y nmeros de puerto. Se puede permitir o rechazar el acceso de los paquetes segn el lugar donde se originaron y su destino, as como el tipo de protocolo y nmerod de puerto o servicio que se utiliza. Es posible configurar varias declaraciones en una sola ACL. Las listas extendidas se asignan en la interfaz que est ms cercana a donde se origina el trfico, para no cargar la red con trfico que finalmente se filtrar. La sintaxis completa del comando ACL extendida es: Router(config)# access-list numero_ACL deny|permit protocolo direccin_origen mascara_wildcard_dir_origen direccin_destino mascara_wildcard_dir_ destino eq|gt|lt nmero_puerto Donde: Protocolo puede ser TCP, UDP, ICMP o IP. ICMP se utiliza para filtrar ping. eq significa igual (=); gt significa mayor que (>); lt significa menor que (<) El nmero de puerto aplica para TCP y UDP. Recuerde que el nmero de ACL extendida es cualquier nmero dentro del rango de 100 al 199 de 2000 a 2699. El comando ip access-group asigna la ACL extendida existente a una interfaz. Slo se permite una ACL por interfaz por protocolo por direccin. La sintaxis es: Router(config-if)#ip access-group numero_ACL in | out

Ejemplo 1: Cree una lista de acceso para permitir todo el trfico de la red 192.168.14.0 a la red 192.168.17.0 Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0 0.0.0.255 Router1(config)# interface FastEthernet0 Router1(config-if)# ip access-group 101 in Como es una ACL extendida, se debe asignar lo ms cerca de donde se origina el trfico, es decir, cerca de la red 192.168.14.0, que est en la FastEthernet0 de Router1 . El nmero de la ACL se escoge dentro del rango de 100 a 199. Como las dos direcciones que se filtran son direcciones de red de clase C, para la mscara wildcard los tres primeros octetos son los que se verifican con cero y el ltimo con unos, dando una mscara wildcard de 0.0.0.255 Recordando que al final, de forma implcita est una sentencia que deniega todo, tendramos : Router1(config)# access-list 101 deny ip any any Finalmente se asigna a la interfaz FastEthernet0 a la entrada, ya que es la ruta que seguira el paquete al seguir su camino hacia la red destino. Ejemplo 2: Cree una lista de acceso para denegar slo el trfico de correo electrnico, ping y TFTP que vaya de la red 192.168.16.0 al host 192.168.17.5 Router2(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 25 Router2(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 Router2(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 69 Router2(config)# access-list 111 permit any any Router2(config)# interface FastEthernet0

Router2(config-if)#

ip

access-group

111

in

La explicacin de esta ACL es que se quiere denegar correo electrnico (puerto 25 de TCP), ping (ICMP) y TFTP (puerto 69 de UDP). Con esta informacin, procedemos a la primera parte de la configuracin de la ACL. Luego con la ltima condicin de la ACL anulamos el efecto del deny any any del final. Inmediatamente la ACL es asignada a la interfaz de red que est ms cerca de donde se origina el trfico, y se asigna a la entada (in) por la direccin que tendra el paquete al viajar del origen al destino sealado.