Escolar Documentos
Profissional Documentos
Cultura Documentos
Tabla de Contenido
Configurando ACLs de IP Comnmente Usadas............................................................................1
Introduccin ................1
Prerrequisitos..............................................................................................................2
Versiones de Hardware y Software .......................................................................3
Ejemplos de Configuracin ....3
Permitir a un Host Seleccionado Acceder a la Red ...3
Permitir el Acceso a un Rango de Direcciones IP Contiguas....3
Negar a un Host Seleccionado Acceder a la Red ..4
Negar Trfico de Telnet (Puerto 23, TCP) 5
Permitir Solo a Redes Internas Iniciar una Sesin de TCP ...5
Negar Trfico de FTP (Puerto 21, TCP) ...6
Permitir Pings (ICMP) ..6
Permitir HTTP, Telnet, Mail, POP3, FTP.................................................................7
Permitir Actualizaciones de Enrutamiento ...............................................................7
Informacin Relacionada ...8
Introduccin
Este documento proporciona ejemplos de configuracin de listas de control de acceso de IP
comnmente usadas (ACL) las cuales se usan frecuentemente para filtrar paquetes de IP basados en la
direccin origen, direccin destino, tipo de paquetes o cualquier combinacin de estos aspectos.
Las ACLs filtran trfico de red controlando si los paquetes enrutados son reenviados o bloqueados en la
interfaz del router. Su router examina cada paquete para determinar si lo reenviar o tirar el paquete
basado en el criterio que especific dentro de la ACL. El criterio de la ACL puede ser la direccin
origen del trfico, la direccin destino del trfico o el protocolo de capa superior.
Los ejemplos en este documento muestran que una ACL es construida usando los siguientes dos pasos:
1. Crear una ACL
2. Aplicar la ACL a una interfaz
La ACL de IP es una coleccin secuencial de condiciones de permitir y negar que se aplican a una
direccin IP. El router compara las direcciones contra las condiciones en la ACL una a la vez. La
primera coincidencia determina si el software IOS de Cisco acepta o rechaza la direccin. Porque el
software IOS de Cisco se detiene de comparar las condiciones despus de la primera coincidencia, el
orden de las condiciones es crtico. Si no hay condiciones que coincidan, el router rechaza la direccin
debido a una negacin implcita a todo.
Hay muchos tipos de ACLs de IP que pueden ser configuradas en el IOS de Cisco, tales como:
ACLs Estndar
ACLs Extendidas
Lock and Key (ACLs dinmicas)
ACLs de IP nombradas
ACLs Reflexivas
ACLs Basadas-en-Tiempo usando rangos de tiempo
Entradas ACL de IP con comentarios
ACL basada-en-Contexto
Autenticacin proxy
Turbo ACLs
ACLs basadas-en-tiempo Distribuido
Este documento discute algunas ACLs estndar y extendidas comnmente usadas. Para
entender ms acerca de los diferentes tipos de ACLs soportadas en el software IOS de Cisco y
aprender cmo configurar y editar ACLs, refirase a Configurando Listas de Acceso de IP.
La sintaxis de un comando de access-list estndar es mostrada abajo. ACLs estndar controlan el
trfico comparando la direccin origen de los paquetes IP con la direccin configurada en la ACL.
access-list access-list-number {permit|deny} {host|source source-wildcard|any}
ACLs extendidas controlan el trfico comparando las direcciones origen y el destino de los paquetes IP
con las direcciones configuradas en la ACL.
A continuacin se presenta la sintaxis del formato del comando de ACLs extendidas.
IP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard destination destinationwildcard [precedence precedence] [tos tos] [log | log-input] [time-range
time-range-name]
ICMP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcard destination destinationwildcard [icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedenceprecedence] [tos tos] [log | log-input] [time-range time-rangename]
TCP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input] [time-range time-rangename]
UDP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
La referencia de comandos para una ACL est disponible en Comandos de Servicios IP-
Prerequisitos
Los lectores de este documento debern tener conocimiento bsico del direccionamiento IP. Para
informacin adicionl, refirase a Direccionamiento IP y Subredes para Usuarios Nuevos.
Ejemplos de Configuracin
Los siguientes ejemplos de configuracin usan las ACLs ms comunes de IP.
Nota: Para encontrar informacin adicional de los comandos usados en este documento, use el comando
de herramienta de bsqueda del IOS,
La siguiente salida de router muestra cmo al host se le permiti el acceso a la red. La configuracin
permite solamente que el host con la direccin IP 192.168.10.1/32 atraviese la interface Ethernet 0 en
R1. Este host tendr acceso a los servicios de IP de NetA. Ningn otro host en NetB tendr acceso a
NetA. No hay una sentencia de negacin en la ACL. Por defecto hay una negacin a todo implcita al
final de cada ACL. Cualquier cosa que no est explcitamente permitido o negado.
Nota: La ACL de arriba filtra los paquetes IP originados desde Host B. Los paquetes destinados al Host
N desde NetA son permitidos.
La siguiente configuracin permite a los paquetes IP de quienes el encabezado IP tiene el nmero de red
origen 192.168.10.0/24 y un nmero de red destino 192.168.200.0/24 acceder a NetA. Nuevamente,
existe la negacin implcita a todas las clusulas al final de la ACL la cual niega todo el otro trfico que
pase a travs del Ethernet 0 de entrada en R1.
La configuracin siguiente niega todos los paquetes desde el host 192.168.10.1/32 a travs del Ethernet
0 en R1 y permite todo lo dems. Porque hay una negacin implcita en todas las clusulas con cada
ACL, deber permitir explcitamente todo lo dems usando el comando access-list 1 permit any.
Nota: El orden de las sentencias es crtico para la operacin de una ACL. Si el orden de las entradas es
inverso a lo mostrado abajo, la primera lnea coincidira con cada paquete direccin origen. Por lo tanto,
la ACL fallara para bloquear el host 192.168.10.1/32 de acceder a NetA.
access-list 1 permit any
access-list 1 deny host 192.168.10.1
Telnet usa el Puerto 23, de TCP. La siguiente configuracin muestra que todo el trfico TCP
destinado a NetA por el puerto 23 es bloqueado y todo el otro trfico es pemitido.
FTP usa los puertos 21 y 20. As, el trfico TCP destinado al puerto 21 y puerto 20 es negado y
todo lo dems est explcitamente permitido.
La siguiente configuracin, permite solo paquetes echo-replay (ping respuesta) para entrar en la
interface Ethernet 0 desde NetB hacia NetA. Sin embargo, la configuracin bloquea todos los
paquetes ICMP echo-request cuando los pings son originados en NetB destinados a NetA. Por
lo tanto, los hosts en NetA pueden hacer ping a los hosts en NetB pero los hosts en NetB no
pueden hacer ping a los hosts en NetA.
La siguiente configuracin permite trfico TCP con valores de puerto destino coincidente con WWW
(puerto 80), Telnet (puerto 23), SMTP (puerto 25), POP3 (puerto 110), o FTP (puerto 21). Note que una
negacin implcita (deny) a todo al final de una ACL niega todo el otro trfico, lo cual no coincide con
la clusula permit.
Informacin Relacionada
TCP/IP Routing and Routed Protocols Support Page
All contents are Copyright 1992--2002 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement.