Академический Документы
Профессиональный Документы
Культура Документы
Wildcards
"Wildcard" significa "comodn", como el joker en el juego de naipes.
Tanto en la direccin de origen, como (en el caso de las ACL extendidas)
en la direccin de destino, se especifican las direcciones como dos grupos
de nmeros: un nmero IP, y una mscara wildcard.
Si se traduce a binario, los "1" en la mscara wildcard significan que en la
direccin IP correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la mscara wildcard es igual a la
mscara de subred, cambiando los "0" por "1" y los "1" por "0" (en
binario).
Sin embargo, las mscaras wildcard tambin permiten ms; por ejemplo,
se pueden denegar todas las mquinas con nmeros IP impares, o permitir
el rango de IP 1-31, en varias subredes a la vez.
Ejemplos:
Permitir o denegar un IP especfico: 172.16.0.1 0.0.0.0. Se puede abreviar
como host 172.16.0.1.
Permitir o denegar una subred: 172.16.0.0 0.0.0.255. (El ejemplo
corresponde a una subred /24, es decir, mscara de subred =
255.255.255.0.)
Permitir o denegar a todos: 0.0.0.0 255.255.255.255. Se puede abreviar
como any.
Las ACL estndar se colocan cerca del destino del trfico. Esto se debe a
sus limitaciones: no se puede distinguir el destino.
Las ACL extendidas se colocan cerca del origen del trfico, por eficiencia
- es decir, para evitar trfico innecesario en el resto de la red.
ACL estndar
Sintaxis para un rengln (se escribe en el modo de configuracin global):
access-list (nmero) (deny | permit) (ip origen) (wildcard origen)
ip access-group 1 out
ACL extendidas
Sintaxis para cada rengln:
access-list (nmero) (deny | permit) (protocolo) (IP origen) (wildcard
origen) (IP destino) (wildcard destino)
[(operador) (operando)]
El "protocolo" puede ser (entre otros) IP (todo trfico de tipo TCP/IP), TCP,
UDP, ICMP.
El "operando" puede ser un nmero de puerto (por ejemplo 21), o una sigla
conocida, por ejemplo, "ftp".
Ejemplo 1: Repetir el ejemplo de la ACL estndar, pero se especifica que se
quiere permitir o denegar el trfico con destino al servidor, que est en
172.16.0.1:
access-list 101 permit ip host 172.17.3.10 host 172.16.0.1
access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1
access-list 101 permit ip any any
Comandos varios
show ip interface (muestra asignaciones de ACL)
show access-lists (muestra el contenido de las ACL)
debug ip packet 101 [detail] (permite analizar cmo se aplican las ACL)