Академический Документы
Профессиональный Документы
Культура Документы
Área EEyT
Confeccionado por:
Derechos Reservados
Titular del Derecho: INACAP
N° de inscripción en el Registro de Propiedad Intelectual # __.__de fecha __-__-__.
© INACAP 2003.
LISTAS DE CONTROL DE ACCESO (ACL)
Los routers proporcionan capacidades básicas de filtrado de tráfico, como bloqueo del
tráfico de Internet, con listas de control de acceso (ACL). Una ACL es una colección
secuencial de sentencias de permiso o rechazo que se aplican a direcciones o
protocolos de capa superior. Existen las ACL estándar y extendidas.
Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo
Internet (IP) y el Intercambio de Paquetes de Internetwork (IPX), para filtrar los
paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router
para controlar el acceso a una red o subred.
Conceptos previos:
En los Router Cisco, las listas de acceso tienen un identificador de acuerdo a su tipo. La
siguiente tabla muestra los identificadores.
Las listas de acceso IP estándar y extendidas utilizan una máscara WILDCARD. Al igual
que una dirección IP, una máscara wildcard es una cantidad de 32 bits escrita en un
formato decimal con puntos.
La máscara wildcard le indica al Router qué bits de la dirección usar en las
comparaciones. Los bits de direcciones correspondientes a los bits de máscara wildcard
establecidos en 1 se ignoran en las comparaciones, mientras que los bits de direcciones
de máscara wildcard establecidos en 0 se usan en las comparaciones.
Las listas de acceso extendidas ofrecen mayor control que las listas de acceso estándar,
debido a que permiten habilitar filtrado en base a las direcciones de origen y destino del
paquete IP.
Comandos:
Comando Descripción
Access-list-number Identifica la lista a la que pertenece la
entrada.
Permit / deny Indica si la entrada permite o impide el
tráfico a la red especificada.
Source Indica la dirección IP de origen.
Destination Indica la dirección IP destino.
Source-Wildcard Identifica qué bits del campo de
Destination-Wildcard dirección deben coincidir.
Any Aplicar a todos
Show access-list Muestra las listas de acceso de todos lo
protocolos
EJEMPLOS
INTERNET
10.48.0.3
B C
D
A
Workstation Workstation
Workstation
Workstation
10.51.0.0
Ethernet
E0
Router A 10.48.0.0
• El host B puede comunicarse con el host A. Está permitido por la primera línea
de la lista de acceso, que utiliza una máscara de host implícita.
• El host C no puede comunicarse con el host A. El host D está en una subred que
esta explícitamente permitida por la tercera línea de la lista de acceso.
• El host D puede comunicarse con el host A. El host D esta en una subred que
esta explícitamente permitida por la tercera línea de la lista de acceso.
• Los usuarios de Internet no pueden comunicarse con el host A. Los usuarios que
estén fuera de esta red no están explícitamente permitidos, por lo que son
denegados por defecto con el “deny any” implícito al final de la lista de acceso.
Ejemplo de lista de acceso IP extendida:
INTERNET
Correo
DNS FTP
172.22.1.2
172.22.2.0 B
Navegador
Ethernet E1
E0
Router B 172.22.1.0 Router A
En el ejemplo anterior, la lista de acceso 118 se aplica como saliente a la interfaz Ethernet 0
del router A.
Esta configuración permite que las respuestas a las consultas del navegador del cliente A en
Internet vuelvan a entrar en la red corporativa (ya que se trata de sesiones establecidas).
Las consultas mediante navegador desde orígenes externos no son permitidas explícitamente
y son descartadas por el deny any implícito del final de la lista de acceso.
1.- Es necesario realizar el diseño de red LAN para una empresa con múltiples
sucursales. Se requiere que cada sucursal tenga dos redes:
2.- Indique la configuración para una lista de acceso IP numerada que detenga los
paquetes provenientes de la subred 134.141.7.0, 255.255.255.0, aplicada en una
interfaz serial 0 de un Router. Permita que todos los demás paquetes pasen.
3.- Indique la configuración para una lista de acceso IP que permita solamente
paquetes de las subredes 193.7.6.48/28 a la 193.7.6.128/28, que son enviados al
servidor Web de la subred 128.1.0.0, en la puerta serial 0 de algún Router.
4.- Indique la configuración para una lista de acceso IP que detenga los paquetes
desde la subred 10.3.4.0/24, a cualquier servidor Web, aplicada en la salida de
una interfaz serial 0 de algún Router. También detenga los paquetes del host
134.141.5.4 de entrada en la interfaz serial 0. Permita cualquier otro tráfico.
5.- Indique una máscara Wildcard para poder hacer Match al grupo de subredes que
van desde la 115.10.12.0/22 hasta la 115.10.64.0/22
Impedir que todos los host de la subred 172.16.1.0/24, a excepción del host
172.16.1.3, accedan al servidor web de la subred 172.16.4.0. Permitir que todos
los demás host, incluyendo los del mundo exterior, accedan al servidor Web.
NO
172.16.0.0
B
172.16.1.4 172.16.1.3
Workstation
Workstation Workstation
S0 172.22.3.0
Ethernet E1
E0 E1 E0
172.16.1.0 Router B
Router A 172.16.2.0
172.16.4.0
Workstation
Tower box Tower box Tower box