Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 136 vistas

    Funcionamiento de Las ACL

    Cargado por

    Yamid Gamba
    Las ACL funcionan comprobando cada sentencia de arriba a abajo y aplicando la acción de la primera coincidencia. Si no hay coincidencias, se aplica implícitamente una sentencia deny any. Para crear ACL estándar se usa el comando access-list para definir las sentencias y luego ip access-group para aplicarlas a una interfaz.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Funcionamiento de Las ACL

    Cargado por

    Yamid Gamba
    136 vistas3 páginas
    Las ACL funcionan comprobando cada sentencia de arriba a abajo y aplicando la acción de la primera coincidencia. Si no hay coincidencias, se aplica implícitamente una sentencia deny any. Para crear ACL estándar se usa el comando access-list para definir las sentencias y luego ip access-group para aplicarlas a una interfaz.

    Título original

    Funcionamiento de las ACL

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Las ACL funcionan comprobando cada sentencia de arriba a abajo y aplicando la acción de la primera coincidencia. Si no hay coincidencias, se aplica implícitamente una sentencia deny any. Para crear ACL estándar se usa el comando access-list para definir las sentencias y luego ip access-group para aplicarlas a una interfaz.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    136 vistas3 páginas

    Funcionamiento de Las ACL

    Cargado por

    Yamid Gamba
    Las ACL funcionan comprobando cada sentencia de arriba a abajo y aplicando la acción de la primera coincidencia. Si no hay coincidencias, se aplica implícitamente una sentencia deny any. Para crear ACL estándar se usa el comando access-list para definir las sentencias y luego ip access-group para aplicarlas a una interfaz.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 3

    Funcionamiento de las ACL

    Para explicar el funcionamiento utilizaremos el software Cisco IOS.

    El orden de las sentencias ACL es importante .

     Cuando el router está decidiendo si se envía o bloquea un paquete, el IOS prueba


    el paquete, verifica si cumple o no cada sentencia de condición, en el orden en que
    se crearon las sentencias .
     Una vez que se verifica que existe una coincidencia, no se siguen verificando
    otras sentencias de condición .
    Por lo tanto, Cisco IOS verifica si los paquetes cumplen cada sentencia de condición de arriba
    hacia abajo, en orden. Cuando se encuentra una coincidencia, se ejecuta la acción de aceptar o
    rechazar y ya no se continua comprobando otras ACL. 

    Por ejemplo, si una ACL permite todo el tráfico y está ubicada en la parte superior de la lista, ya no
    se verifica ninguna sentencia que esté por debajo.

    Si no hay coincidencia con ninguna de las ACL existentes en el extremo de la lista se coloca por
    defecto una sentencia implícitadeny any (denegar cualquiera). Y, aunque la línea deny any no sea
    visible sí que está ahí y no permitirá que ningún paquete que no coincida con alguna de las ACL
    anteriores sea aceptado. Se puede añadir de forma explícita por aquello de 'verla' escrita y tener
    esa tranquilidad.
    Veamos el proceso completo: 

    1. Cuando entra una trama a través de una interfaz, el router verifica si la dirección de
    capa 2 (MAC) concuerda o si es una trama de broadcast. 
    2. Si se acepta la dirección de la trama, la información de la trama se elimina y el router
    busca una ACL en la interfaz entrante. 
    3. Si existe una ACL se comprueba si el paquete cumple las condiciones de la lista. 
    4. Si el paquete cumple las condiciones, se ejecuta la acción de aceptar o rechazar el
    paquete. 
    5. Si se acepta el paquete en la interfaz, se compara con las entradas de la tabla de
    enrutamiento para determinar la interfaz destino y conmutarlo a aquella interfaz.
    Luego el router verifica si la interfaz destino tiene una ACL.
    6. Si existe una ACL, se compara el paquete con las sentencias de la lista y si
    el paquete concuerda con una sentencia, se acepta o rechaza el paquete según
    se indique. 
    7. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el nuevo protocolo
    de capa 2 y se envía por la interfaz hacia el dispositivo siguiente.
    Creación de ACL
    Utilizamos la herramienta de simulación Packet Tracer y una topología de red muy sencilla,
    formada por un router, dos switch y 2PCs, cada uno de ellos en una subred.

    Trabajaremos desde el modo de configuración global: (config)# 

    Hay dos tipos de ACL y utilizan una numeración para identificarse: 

     ACL estándar: del 1 al 99 


     ACL extendida: del 100 al 199 
    ACLs estándar: sintaxis
    Las ACL estándar en un router Cisco siempre se crean primero y luego se asignan a una interfaz.

    Tienen la configuración siguiente: 

    Router(config)# access-list numACL permit|deny origen [wild-mask]


    El comando de configuración global access-list define una ACL estándar con un número entre 1 y
    99.

    Se aplican a los interfaces con:  

    Router (config-if)# ip access-group numACL in|out


     In: tráfico a filtrar que ENTRA por la interfaz del router
     out : tráfico a filtrar que SALE por la interfaz del router. 
     wild-mask: indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora.
    Por ejemplo, si queremos indicar un único host 192.168.1.1 especifico: 192.168.1.1 con
    wild-mask 0.0.0.0 y si queremos especificar toda la red clase C correspondiente lo
    hacemos con 192.168.1.0 y wild-mask 0.0.0.255. 
    Para la creación de ACL estándar en importante:

     Seleccionar y ordenar lógicamente las ACL.


     Seleccionar los protocolos IP que se deben verificar.
     Aplicar ACL a interfaces para el tráfico entrante y saliente.
     Asignar un número exclusivo para cada ACL. 
    Ejemplo 1
    Supongamos que queremos crear en un Router0 una ACL con el número 1 (numACL)
    que deniegue el host 192.168.1.2. Desde configuración global: 

    Router0(config)# access-list 1 deny 192.168.1.2 0.0.0.0


    Si queremos eliminar una ACL:

    Router0(config)# no access-list  
    Para mostrar las ACL:

    Router0# show access-list 


    Standard IP access list 1
    deny host 192.168.1.2
    permit any 
    Recordar que para salir del modo de configuración global (config) hay que escribir 'exit'. 

    Ahora hay que utilizar el comando de configuración de interfaz para seleccionar una interfaz a la
    que aplicarle la ACL:

    Router0(config)# interface FastEthernet 0/0


    Por último utilizamos el comando de configuración de interfaz ip access-group para activar la ACL
    actual en la interfaz como filtro de salida:

    Router0(config-if)# ip access-group 1 out


    Ejemplo 2
    Tenemos la siguiente topología de red. 
    Vamos a definir una ACL estándar que permita el trafico de salida de la red 192.168.1.0/24.

    La primera cuestión que se plantea es ¿dónde instalar la ACL? ¿en qué router? ¿en qué interfaz
    de ese router?. 

    En este caso no habría problema porque solo tenemos un router, el Router0. Pero la regla siempre
    es instalar la ACL lo más cerca posible del destino. 
    Router0#configure terminal
    Router0(config)#access-list 1 permit  192.168.1.0    0.0.0.255
    Router0(config)#interface S0/0/0
    Router0(config-if)#ip access-group 1 out
    Ahora borramos la ACL anterior y vamos a definir una ACL estándar que deniegue un host
    concreto.

    Router0(config)#no access-list 1
    Router0(config)#access-list 1 deny 192.168.1.10 0.0.0.0 Router0(config)
    #access-list 1 permit 192.168.1.0 0.0.0.255
    Router0(config)#interface S0/0/0
    Router0(config-if)#ip access-group 1 out

    También podría gustarte