Cisco Configurando ACLs de IP Comnmente Usadas

Tabla de Contenido
Configurando ACLs de IP Comnmente Usadas............................................................................1
Introduccin ................1
Prerrequisitos..............................................................................................................2
Versiones de Hardware y Software .......................................................................3
Ejemplos de Configuracin ....3
Permitir a un Host Seleccionado Acceder a la Red ...3
Permitir el Acceso a un Rango de Direcciones IP Contiguas....3
Negar a un Host Seleccionado Acceder a la Red ..4
Negar Trfico de Telnet (Puerto 23, TCP) 5
Permitir Solo a Redes Internas Iniciar una Sesin de TCP ...5
Negar Trfico de FTP (Puerto 21, TCP) ...6
Permitir Pings (ICMP) ..6
Permitir HTTP, Telnet, Mail, POP3, FTP.................................................................7
Permitir Actualizaciones de Enrutamiento ...............................................................7
Informacin Relacionada ...8

Configurando ACLs de IP Comnmente Usadas

Introduccin
Prerrequisitos
Versiones de Hardware y Software
Ejemplos de Configuracin
Permitir a un Host Elegido Acceder a la Red
Permitir el Acceso a un Rango de Direcciones IP Contiguas
Negar a un Host Seleccionado Acceder a la Red
Negar Trfico de Telnet (Puerto 23, TCP)
Permitir Solo a Redes Internas Iniciar una Sesin de TCP
Negar Trfico de FTP (Puerto 21, TCP)
Permitir Pings (ICMP)
Permitir HTTP, Telnet, Mail, POP3, FTP
Permitir Actualizaciones de Enrutamiento Informacin Relacionada

Introduccin
Este documento proporciona ejemplos de configuracin de listas de control de acceso de IP
comnmente usadas (ACL) las cuales se usan frecuentemente para filtrar paquetes de IP basados en la
direccin origen, direccin destino, tipo de paquetes o cualquier combinacin de estos aspectos.
Las ACLs filtran trfico de red controlando si los paquetes enrutados son reenviados o bloqueados en la
interfaz del router. Su router examina cada paquete para determinar si lo reenviar o tirar el paquete
basado en el criterio que especific dentro de la ACL. El criterio de la ACL puede ser la direccin
origen del trfico, la direccin destino del trfico o el protocolo de capa superior.
Los ejemplos en este documento muestran que una ACL es construida usando los siguientes dos pasos:
1. Crear una ACL
2. Aplicar la ACL a una interfaz
La ACL de IP es una coleccin secuencial de condiciones de permitir y negar que se aplican a una
direccin IP. El router compara las direcciones contra las condiciones en la ACL una a la vez. La
primera coincidencia determina si el software IOS de Cisco acepta o rechaza la direccin. Porque el
software IOS de Cisco se detiene de comparar las condiciones despus de la primera coincidencia, el
orden de las condiciones es crtico. Si no hay condiciones que coincidan, el router rechaza la direccin
debido a una negacin implcita a todo.
Hay muchos tipos de ACLs de IP que pueden ser configuradas en el IOS de Cisco, tales como:

ACLs Estndar
ACLs Extendidas
Lock and Key (ACLs dinmicas)
ACLs de IP nombradas

Cisco Configurando ACLs de IP Comnmente Usadas

ACLs Reflexivas
ACLs Basadas-en-Tiempo usando rangos de tiempo
Entradas ACL de IP con comentarios
ACL basada-en-Contexto
Autenticacin proxy
Turbo ACLs
ACLs basadas-en-tiempo Distribuido

Este documento discute algunas ACLs estndar y extendidas comnmente usadas. Para
entender ms acerca de los diferentes tipos de ACLs soportadas en el software IOS de Cisco y
aprender cmo configurar y editar ACLs, refirase a Configurando Listas de Acceso de IP.
La sintaxis de un comando de access-list estndar es mostrada abajo. ACLs estndar controlan el
trfico comparando la direccin origen de los paquetes IP con la direccin configurada en la ACL.
access-list access-list-number {permit|deny} {host|source source-wildcard|any}

ACLs extendidas controlan el trfico comparando las direcciones origen y el destino de los paquetes IP
con las direcciones configuradas en la ACL.
A continuacin se presenta la sintaxis del formato del comando de ACLs extendidas.
IP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard destination destinationwildcard [precedence precedence] [tos tos] [log | log-input] [time-range
time-range-name]

ICMP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcard destination destinationwildcard [icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedenceprecedence] [tos tos] [log | log-input] [time-range time-rangename]

TCP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input] [time-range time-rangename]

UDP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]

La referencia de comandos para una ACL est disponible en Comandos de Servicios IP-

Prerequisitos
Los lectores de este documento debern tener conocimiento bsico del direccionamiento IP. Para
informacin adicionl, refirase a Direccionamiento IP y Subredes para Usuarios Nuevos.

Cisco Configurando ACLs de IP Comnmente Usadas

Versiones de Hardware y Software

Esta configuracin no esta restringida a versiones especficas de software y hardware.
Nota: La informacin presentada en este documento fue creada de dispositivos en un ambiente
especfico de laboratorio. Todos los dispositivos usados en este documento empezaron sin
configuracin (default). Si usted est trabajando en una red activa asegrese de entender el impacto
potencial de cualquier comando antes de usarlo.

Ejemplos de Configuracin
Los siguientes ejemplos de configuracin usan las ACLs ms comunes de IP.
Nota: Para encontrar informacin adicional de los comandos usados en este documento, use el comando
de herramienta de bsqueda del IOS,

Permitir a un Host Seleccionado Acceder a la Red

A continuacin est un ejemplo de un host seleccionado para ser permitido acceder a la red. Todo el
trfico origen del Host B destinado a NetA es permitido, y todo el otro trfico originado desde NetB
destinado a NetA es eliminado.

La siguiente salida de router muestra cmo al host se le permiti el acceso a la red. La configuracin
permite solamente que el host con la direccin IP 192.168.10.1/32 atraviese la interface Ethernet 0 en
R1. Este host tendr acceso a los servicios de IP de NetA. Ningn otro host en NetB tendr acceso a
NetA. No hay una sentencia de negacin en la ACL. Por defecto hay una negacin a todo implcita al
final de cada ACL. Cualquier cosa que no est explcitamente permitido o negado.

Nota: La ACL de arriba filtra los paquetes IP originados desde Host B. Los paquetes destinados al Host
N desde NetA son permitidos.

Permitir el Acceso a un Rango de Direcciones IP Contiguas

El siguiente ejemplo muestra que todos los hosts en NetB con la direccin de red 192.168.10.0/24 son
permitidos para acceder a la red 192.168.200.0/24 en NetA.

Cisco Configurando ACLs de IP Comnmente Usadas

La siguiente configuracin permite a los paquetes IP de quienes el encabezado IP tiene el nmero de red
origen 192.168.10.0/24 y un nmero de red destino 192.168.200.0/24 acceder a NetA. Nuevamente,
existe la negacin implcita a todas las clusulas al final de la ACL la cual niega todo el otro trfico que
pase a travs del Ethernet 0 de entrada en R1.

Negar un Host Seleccionado para Acceder a la Red

El siguiente ejemplo muestra que el trfico originado desde el Host B destinado a NetA est siendo
negado, mientras se permite todo el otro trfico desde NetB para acceder a NetA.

La configuracin siguiente niega todos los paquetes desde el host 192.168.10.1/32 a travs del Ethernet
0 en R1 y permite todo lo dems. Porque hay una negacin implcita en todas las clusulas con cada
ACL, deber permitir explcitamente todo lo dems usando el comando access-list 1 permit any.

Nota: El orden de las sentencias es crtico para la operacin de una ACL. Si el orden de las entradas es
inverso a lo mostrado abajo, la primera lnea coincidira con cada paquete direccin origen. Por lo tanto,
la ACL fallara para bloquear el host 192.168.10.1/32 de acceder a NetA.
access-list 1 permit any
access-list 1 deny host 192.168.10.1

Cisco Configurando ACLs de IP Comnmente Usadas

Negar Trfico de Telnet (TCP, Port 23)

Deshabilitar el acceso de Telnet a su red privada del pblico de la red podra requerir mayores aspectos
de seguridad. El siguiente ejemplo muestra cmo el trfico de Telnet desde NetB (pblico) destinado a
NetA (privado) es negado, permitiendo a NetA iniciar y establecer sesiones de Telnet con NetB
mientras permite todo el otro trfico de IP.

Telnet usa el Puerto 23, de TCP. La siguiente configuracin muestra que todo el trfico TCP
destinado a NetA por el puerto 23 es bloqueado y todo el otro trfico es pemitido.

Permitir Solo a Redes Internas Iniciar una Sesin de TCP

El siguiente ejemplo muestra el trfico TCP originado desde NetA destinado a NetB siendo
permitido, mientras se niega el trfico TCO desde NetB destinado a NetA.

El propsito de la ACL en este ejemplo es lograr lo siguiente:

Permitir a los hosts en NetA iniciar y establecer una sesin TCP a hosts en NetB.
Negar a los hosts en NetB de iniciar y establecer una sesin TCP destinada a hosts en
NetA

Cisco Configurando ACLs de IP Comnmente Usadas

Esta configuracin le permite a un datagrama pasar a travs de una interface Ethernet 0 de

entrada en R1 cuando el datagrama ha reconocido (ACK) o reiniciado los bits (RST) (indicando
una sesin TCP establecida) y tiene un valor de puerto destino ms grande que 1023. Dado que
la mayora de los puertos bien-conocidos para servicios IP usan valores inferiores a 1023,
cualquier datagrama con un puerto destino menor a 1023 y/o un bit ACK/RST no mostrado,
ser negado por la ACL 102. Por lo tanto, cuando un host desde NetB inicia una conexin TCP
enviando el primer paquete TCP (sin paquete de sincrona/inicio bit (SYN/RST)) para un
nmero de puerto menor a 1023, ste ser negado y la sesin TCP fallar. Las sesiones TCP
iniciadas desde NetA destinadas a NetB sern permitidas porque ellas tendrn el bit ACK/RST
para regresar paquetes y estar usando valores de puerto ms grandes que 1023. Para completar
la lista de puertos, refirase al RFC 1700.

Negar Trfico de FTP (TCP, Port 21)

El siguiente ejemplo muestra trfico de FTP (TCP, port 21) y FTP-Data (port 20 ) originado desde
NetB destinado a NetA siendo negado, mientras se permite todo el otro trfico de IP.

FTP usa los puertos 21 y 20. As, el trfico TCP destinado al puerto 21 y puerto 20 es negado y
todo lo dems est explcitamente permitido.

Permitir Pings (ICMP)

El siguiente ejemplo muestra el Protocolo de Control de Mensajes de Internet (ICMP) siendo
permitido, originado desde NetA destinado a NetB, y negando cualquier ping originado desde
NetB destinado a NetA.

Cisco Configurando ACLs de IP Comnmente Usadas

La siguiente configuracin, permite solo paquetes echo-replay (ping respuesta) para entrar en la
interface Ethernet 0 desde NetB hacia NetA. Sin embargo, la configuracin bloquea todos los
paquetes ICMP echo-request cuando los pings son originados en NetB destinados a NetA. Por
lo tanto, los hosts en NetA pueden hacer ping a los hosts en NetB pero los hosts en NetB no
pueden hacer ping a los hosts en NetA.

Permitir HTTP, Telnet, Mail, POP3, FTP

El siguiente ejemplo muestra solo trfico HTTP, Telnet, Simple Mail Transfer Protocol (SMTP), POP3,
y FTP siendo permitido, y niega el resto del trfico originado desde NetB destinado a NetA. Refirase al
diagrama arriba.

La siguiente configuracin permite trfico TCP con valores de puerto destino coincidente con WWW
(puerto 80), Telnet (puerto 23), SMTP (puerto 25), POP3 (puerto 110), o FTP (puerto 21). Note que una
negacin implcita (deny) a todo al final de una ACL niega todo el otro trfico, lo cual no coincide con
la clusula permit.

Permitir Actualizaciones de Enrutamiento

Cada vez que appliqu una ACL de entrada en una interface, asegrese de que las actualizaciones de
enrutamiento no sean filtradas. Para permitir los paquetes del protocolo de enrutamiento, use la ACL
permtinente abajo para asegurar que las actualizaciones de enrutamiento no sean filtradas.
Para permitir Routing Information Protocol (RIP) use:
access-list 102 permit udp any any eq rip

Cisco Configurando ACLs de IP Comnmente Usadas

Para permitir Interior Gateway Routing Protocol (IGRP) use:

access-list 102 permit igrp any any

Para permitir Enhanced IGRP (EIGRP) use:

access-list 102 permit eigrp any any

Para permitir Open Shortest Path First (OSPF) use:

access-list 102 permit ospf any any

Para permitir Border Gateway Protocol (BGP) use:

access-list 102 permit tcp any any eq 179

Informacin Relacionada
TCP/IP Routing and Routed Protocols Support Page

All contents are Copyright 1992--2002 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement.

Cisco Configurando ACLs de IP Comnmente Usadas