Post on 21-Apr-2015
FUNDAMENTOS DE ACCESS CONTROL LIST (ACL)
Las ACL son listas secuenciales de sentencias de
permiso o rechazo que se aplican a una interfaz del
router.
La aceptación y rechazo se pueden basar en ciertas
especificaciones, como dirección origen, dirección
destino y número de puerto.
Cualquier tráfico que pasa por la interfaz debe de cumplir
ciertas condiciones que forman parte de la ACL.
Cada ACL sobre cada interfaz, actúa en un sentido,
distinguiendo tanto sentido de entrada como de salida.
QUE ES UNA LISTA DE ACCESO
Limitar el tráfico de red y mejorar el desempeño
de la red.
Brindar control de flujo de tráfico.
Proporcionar un nivel básico de seguridad para el
acceso a la red. Por ejemplo: Al Host A se le
permite el acceso a la red de Recursos Humanos,
y al Host B se le deniega el acceso a dicha red.
Se debe decidir que tipos de tráfico se envían o bloquean en
las interfaces del router.
RAZONES PARA EL USO
RAZONES PARA EL USO
Limitación del tráfico de red
Una ACL (Lista de Control de Acceso) es un grupo
de sentencias que define cómo los paquetes:
• Entran a las interfaces de entrada.
• Se reenvían a través del router.
• Salen de las interfaces de salida del router.
COMO FUNCIONAN LAS LISTAS DE ACCESO
FUNCIONAMIENTO DE LAS ACL
1. Definir la ACLRouter(config)# access-list Nro-ACL {permit|deny} {condición}Ejemplo:
Router(config)# Access-list 1 permit 192.168.3.10 Router(config)# Access-list 1 deny any
2. Aplicar las ACL en una interfazRouter(config-if)# Protocolo access-group Nro-ACL/Nombre-ACL In/OutEjemplo:
Router(config)# Interface fastethernet 0/0Router(config)# IP Access-group 1 out
CONFIGURACION DE LAS ACL
Cuando se usa, un número para identificar una ACL el
número debe de estar de acuerdo a los siguiente:
Protocolo Intervalo
IP 1-99
IP extendido 100-199
Appletalk 600-699
IPX 800-899
IPX extendido 900-999
Protocolo de publicación de servicio IPX 1000-1099
PROTOCOLOS CON ACL ESPECIFICADAS POR NUMEROS
EJEMPLO:
Políticas:
Router(config)# access-list 1 permit 200.20.20.3
Router(config)# access-list 1 deny 200.20.20.0 0.0.0.255
Aplicando: a una Interface fastethernet 0/0
Router(config)# interface fastethernet 0/0
Router(config-if)# ip access-group 1 out
TAREAS DE CONFIGURACION DE LAS ACL
• Una máscara wildcard es una cantidad de 32 bits que se
divide en cuatro octetos, en la que cada octeto contiene 8
bits.
• Un bit de máscara wildcard de 0 significa "verificar el valor
de bits correspondiente“.
• Un bit 1 de una máscara wildcard significa "no verificar
(ignorar) el valor de bit correspondiente".
• Una máscara wildcard se compara con una dirección IP.
• Las máscaras wildcard y las máscaras de subred IP operan
de manera diferente.
MASCARA WILDCARD
MASCARA WILDCARD
Bits de máscara wildcard
MASCARA WILDCARD
Bits de máscara wildcard
Esta política no verifica ningún BIT de la dirección IP de la
red, ya que la wildcard esta compuesto por bits de “1”.
En el segundo caso la política es permitir el acceso a todas
las redes usando la palabra reservada “ANY”.
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
se puede usar esto:
Router(config)# access-list 1 permit any
MASCARA WILDCARD
Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0
Router(config)# access-list 1 permit 172.30.16.29
Router(config)# access-list 1 permit host 172.30.16.29
Las 3 definiciones de la lista 1 son iguales.
WILDCARD PARA UN HOST ESPECIFICO
El host 2 (200.20.20.2) tendrá acceso a la red 210.10.10.0 y el resto de hosts de la red 200.20.20.0 se deniega su acceso a dicha red (210.10.10.0).
Router A
WANIP: 201.1.1.0
Mask. 255.255.255.0
PPPRouter B
Host 1
Host 2
Host 4
Host 5IP=200.20.20.0Mask=255.255.255.0
access-list 20 permit 200.20.20.2access-list 20 deny any….….interface FatsEthernet 0/0ip access-group 20 Out
.1
IP=210.10.10.0Mask=255.255.255.0
S0 (DTE) .2S0 (DCE)
IP=210.20.20.0Mask=255.255.255.0
Router C
OUT
EJEMPLO DE ACL
F0/0
El host 2 tendrá acceso a la red 210.10.10.0 y el resto de los hosts de la red 200.20.20.0 se deniega su acceso a la red 210.10.10.0
Router A
WANIP: 201.1.1.0
Mask. 255.255.255.0
PPPRouter B
Host 1
Host 2
Host 4
Host 5
IP=200.20.20.0Mask=255.255.255.0
access-list standard Lista1 permit 200.20.20.2 deny 200.20.20.0 0.0.0.255….….interface FastEthernet 0/0ip access-group Lista1 Out
.1
IP=210.10.10.0Mask=255.255.255.0
S0/0 (DTE)
.2
S0/0 (DCE)
IP=210.20.20.0Mask=255.255.255.0
Router C
Out
EJEMPLO DE ACL
200.20.20.2
S0/1
S0/1
WANIP: 201.2.2.0
Mask. 255.255.255.0
PPP
DTE
DCE
F0/0
F0/0
F0/0