CNv6 instructorPPT Chapter4

Capítulo 4: Listas de control
de acceso
Conexión de redes
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 1
Capítulo 4: Secciones y objetivos
 4.1 Operación y configuración de ACL estándar
• Configurar ACL IPv4 estándar.
 4.2 ACL IPv4 extendidas

• Configurar ACL IPv4 extendidas.
 4.3 ACL IPv6

• Configurar ACL IPv6.
 4.4 Solución de problemas de ACL

• Solucionar problemas de ACL.
4.1 Revisión de la
operación y configuración
de ACL estándar
Descripción general del funcionamiento de la ACL
ACL y máscara de comodín
 Una ACL es una lista secuencial de instrucciones permit
(permitir) o deny (denegar), conocidas como “entradas de
control de acceso” (ACE).
 Mientras el tráfico de red pasa a través de una interfaz
configurada con una ACL, el router compara la información
en el paquete de cada ACE.
 Una ACE IPv4 incluye el uso de una máscara de comodín
para filtrar las direcciones IPv4.
ACL y máscara de comodín (cont.)
ACL y máscara de comodín (cont.)
Aplicación de ACL a una interfaz
Aplicación de ACL a una interfaz (cont.)
Una conversación TCP
Los segmentos TCP se

marcan con indicadores
que muestran su
propósito:
 SYN inicia (sincroniza)
la sesión.
 ACK es un acuse de
recibo de un
segmento previsto
que se recibió.
 FIN finaliza la sesión.
Una conversación TCP (cont.)
 Los segmentos de datos TCP también identifican el puerto
que coincide con el servicio solicitado.
Filtrado de paquetes ACL
 El filtrado de paquetes controla el acceso a una red mediante el
análisis de los paquetes entrantes y salientes y la transferencia o
el descarte de estos según criterios determinados.
Tipos de ACL IPv4
ACL IPv4 estándar y extendidas
 Dos tipos de ACLS IPv4 de Cisco:
• Estándar
o Las ACL estándar se pueden utilizar para permitir o denegar el
tráfico de direcciones IPv4 de origen únicamente. El destino del
paquete y los puertos involucrados no se evalúan.
• Extendida
o Las ACL extendidas filtran paquetes IPv4 según varios atributos:
Tipo de protocolo
Dirección IPv4 de origen
Dirección IPv4 de destino
Puertos TCP o UDP de origen
Puertos TCP o UDP de destino
Información optativa de tipo de protocolo para un control más
preciso
Tipos de ACL IPv4
ACL IPv4 estándar y extendidas (cont.)
Tipos de ACL IPv4
ACL IPv4 numeradas y nombradas
 Las ACL estándar y extendidas se pueden crear con un
número o un nombre para identificar la ACL.
Tipos de ACL IPv4
Dónde ubicar las ACL IPv4
Tipos de ACL IPv4
Dónde ubicar las ACL IPv4 (cont.)
 Cada ACL se debe colocar donde tenga más impacto en la eficiencia.
Las reglas básicas son las siguientes:
 Listas ACL extendidas: Coloque las listas ACL extendidas lo más
cerca posible del origen del tráfico que se filtrará.
 Listas ACL estándar: Debido a que en las listas ACL estándares
no se especifican las direcciones de destino, colóquelas tan cerca
del destino como sea posible.
 La ubicación de la ACL y, por lo tanto, el tipo de ACL que se
utiliza, también pueden depender del alcance del control del
administrador de red, del ancho de banda de las redes que
intervienen y de la facilidad de configuración.
Tipos de ACL IPv4
Ejemplo de ubicación de ACL estándar
 El administrador desea impedir que el tráfico que se origina en la red
192.168.10.0/24 llegue a la red 192.168.30.0/24.
Tipos de ACL IPv4
Ejemplo de ubicación de ACL extendida
 Lo que el administrador desea es denegar el tráfico de Telnet y FTP de la
red 192.168.11.0/24 a la red 192.168.30.0/24 de la empresa B. Se debe
permitir que el resto del tráfico de la red .11 salga de la empresa A sin
restricciones.
Configuración de la ACL IPv4 estándar
 Router(config)# access-list número-de-lista-de-acceso
{ deny | permit | remark } origen [ comodín-de-origen ] [ log ]
Aplicación de la ACL IPv4 estándar
ACL IPv4 estándar denominadas
ACL IPv4 estándar denominadas (cont.)
Verificación de las ACL
4.2 ACL IPv4 extendidas
Estructura de las ACL IPv4 extendidas
ACL extendidas
 Las ACL extendidas se utilizan con más frecuencia que las
ACL estándar, porque proporcionan un mayor grado de
control.
Estructura de las ACL IPv4 extendidas
Filtrado de puertos y servicios
 La capacidad de filtrar por protocolos y números de puerto permite
que los administradores de red creen ACL extendidas muy
específicas.
 Se puede especificar una aplicación mediante la configuración del
número o el nombre de un puerto bien conocido.
Configuración de las ACL IPv4 extendidas
Configuración de las ACL extendidas
 Los pasos del procedimiento para configurar ACL extendidas
son los mismos que para las ACL estándar. Primero se
configura la ACL extendida y, a continuación, se activa en una
interfaz. Sin embargo, la sintaxis de los comandos y los
parámetros son más complejos, a fin de admitir las funciones
adicionales proporcionadas por las ACL extendidas.
Configuración de las ACL extendidas (cont.)
Aplicación de ACL extendidas a las interfaces
Configuración de ACL de IPv4 extendidas
Filtrado de tráfico con ACL extendidas
Creación de ACL extendidas denominadas
Verificación de ACL extendidas
Edición de ACL extendidas
 La edición de una ACL extendida se puede lograr mediante

el mismo proceso que se aplica para la edición de una ACL
estándar. Las ACL extendidas se pueden modificar mediante
los métodos siguientes:
• Método 1: Editor de texto
o La ACL se copia y pega en el editor de texto donde se realizan los
cambios. La lista de acceso actual se elimina mediante el comando
no access-list. Luego, la ACL modificada se pega nuevamente en
la configuración.
• Método 2: Números de secuencia
o Los números de secuencia se pueden utilizar para eliminar o
insertar una instrucción de ACL.
Edición de ACL extendidas (cont.)
 Edición de una ACL extendida mediante los números de secuencia:
4.3 ACL IPv6
Creación de ACL IPv6
Tipos de ACL IPv6
Creación de ACL IPv6
Comparación entre ACL IPv4 e IPv6
Aunque las ACL IPv4 e IPv6 son muy similares, hay tres
diferencias fundamentales entre ellas.
 Aplicación de una ACL IPv6
•IPv6 utiliza el comando ipv6 traffic-filter para realizar la
misma función para las interfaces IPv6.
 Ausencia de máscaras de comodín

•Se utiliza la longitud de prefijo para indicar cuánto de una
dirección IPv6 de origen o destino debe coincidir.
 Instrucciones predeterminadas adicionales

•permit icmp any any nd-na
•permit icmp any any nd-ns
Configuración de ACL IPv6
Configuración de topología de IPv6
La configuración de una ACL IPv6 se hace en tres pasos
básicos:
1. En el modo de configuración global, use el comando
access-list nombre para crear una ACL IPv6.
2. En el modo de configuración de ACL con nombre,
utilice las instrucciones permit o deny a fin de
especificar una o más condiciones para determinar si
un paquete se reenvía o descarta.
3. Vuelva al modo EXEC privilegiado.
Configuración de ACL IPv6 (cont.)
 Esta ACL IPv6 hace lo siguiente:
• La primera instrucción da el nombre NO-R3-LAN-ACCESS a la lista
de acceso de IPv6.
• La segunda instrucción deniega todos los paquetes
2001:DB8:CAFE:30::/64 destinados a cualquier red IPv6.
• La tercera instrucción permite el resto de los paquetes IPv6.
Configuración de ACL IPv6 (cont.)
Aplicación de una ACL IPv6 a una interfaz
Ejemplos de ACL IPv6
Ejemplos de ACL IPv6 (cont.)
 El router R1 está configurado con una lista de acceso de IPv6
para denegar el tráfico FTP a 2001:DB8:CAFE:11::/64. Se
deben bloquear los puertos para los datos FTP (puerto 20) y el
control FTP (puerto 21).
 Como se aplica un filtro entrante en la interfaz G0/0 de R1, solo
se denegará el tráfico de la red 2001:DB8:CAFE:10::/64.
1. Las primeras dos instrucciones permit proporcionan acceso desde cualquier dispositivo
al servidor web en 2001:DB8:CAFE:10::10.
2. El resto de los dispositivos tienen denegado el acceso a la red 2001:DB8:CAFE:10::/64.
3. A la PC3 en 2001:DB8:CAFE:30::12 se le permite el acceso por Telnet a la PC2, que
tiene la dirección IPv6 2001:DB8:CAFE:11::11.
4. El resto de los dispositivos tiene denegado el acceso por Telnet a la PC2.
5. El resto del tráfico IPv6 se permite al resto de los destinos.
6. La lista de acceso de IPv6 se aplica a la interfaz G0/0 en sentido de entrada,
por lo que solo la red 2001:DB8:CAFE:30::/64 se ve afectada.
Verificación de ACL IPv6
Verificación de ACL IPv6 (cont.)
Verificación de ACL IPv6 (cont.)
4.4 Solución de problemas de
ACL
Procesamiento de paquetes con ACL
Lógica entrante y saliente de ACL
Lógica entrante y saliente de ACL
Operaciones lógicas de ACL
 Cuando una trama ingresa a una interfaz, el router revisa si la dirección de capa 2 de
destino coincide con la dirección de capa 2 de la interfaz, o si dicha trama es una trama
de difusión.
 Si se acepta la dirección de la trama, se desmonta la información de la trama y el router
revisa si hay una ACL en la interfaz de entrada.
 Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista.
 Si el paquete coincide con una instrucción, se permite o se deniega.
 Si se acepta el paquete, se compara con las entradas en la tabla de routing para
determinar la interfaz de destino.
 Si existe una entrada para el destino en la tabla de routing, el paquete se conmuta a la
interfaz de salida. De lo contrario, se descarta.
 A continuación, el router revisa si la interfaz de salida tiene una ACL. Si existe una ACL, el
paquete se prueba en relación con las instrucciones de la lista. Si el paquete coincide con
una instrucción, se permite o se deniega.
 Si no hay una ACL o si se permite el paquete, este se encapsula en el nuevo protocolo de
capa 2 y se reenvía por la interfaz al siguiente dispositivo.
Errores comunes de ACL
Solución de problemas de ACL IPv4. Ejemplo 1
 El host 192.168.10.10 no tiene conectividad de Telnet con
192.168.30.12.
 La red 192.168.10.0 /24 no puede utilizar TFTP para
conectarse a la red 192.168.30.0 /24.
 La red 192.168.11.0 /24 puede usar Telnet para conectarse a
192.168.30.0 /24, pero no se permitirá esta conexión.
 El host 192.168.30.12 puede conectarse a 192.168.31.12
mediante Telnet, pero esta conexión no debe permitirse.
 El host 192.168.30.12 puede usar Telnet para conectarse a
192.168.31.12, pero no se permitirá esta conexión.
 El R1 está configurado con una ACL IPv6 para denegar el
acceso FTP desde la red :10 a la red :11, pero la PC1 todavía
puede conectarse al servidor FTP que se ejecuta en la PC2.
Solución de problemas de ACL IPv6.
Ejemplo 1 (cont.)
Solución de problemas de ACL IPv6.
Ejemplo 1 (cont.)
 R3 está configurado con ACL IPv6 RESTRICTED-ACCESS que debe aplicar
la siguiente política a la LAN de R3:
 Sin embargo, después de configurar la ACL, la PC3 no puede llegar a la red

10 o la red 11, y no puede utilizar SSH en el host en 2001:DB8:CAFE:11::11.
(cont.)
(cont.)
(cont.)
 El R3 está configurado con ACL IPv6 DENY-ACCESS que debe aplicar la

siguiente política a la LAN de R3:
 Sin embargo, después de aplicar la ACL a la interfaz: la red 10 aún es

accesible desde la red :30.
(cont.)
(cont.)
4.5 Resumen del capítulo
Resumen del capítulo
Resumen
 Los routers no filtran tráfico de manera predeterminada. El tráfico que ingresa al
router se enruta solamente en función de la información de la tabla de routing.
 Una ACL es una lista secuencial de instrucciones permit o deny. La última
instrucción de una ACL siempre es una denegación implícita de cualquier
instrucción que bloquee todo el tráfico. Para que la denegación implícita de
cualquier instrucción al final de la ACL no bloquee todo el tráfico, se puede agregar
la instrucción permit ip any any.
 Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router
compara la información dentro del paquete con cada entrada, en orden secuencial,
para determinar si el paquete coincide con una de las instrucciones. Si se encuentra
una coincidencia, el paquete se procesa según corresponda.
 Las ACL pueden aplicarse al tráfico entrante o el tráfico saliente.
 Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones
IPv4 de origen únicamente. La regla básica para la colocación de una ACL estándar
es colocarla cerca del destino.
 Las ACL extendidas filtran paquetes según varios atributos: el tipo de protocolo, la
dirección IPv4 de origen o de destino y los puertos de origen o de destino. La regla
básica para la colocación de una ACL extendida es colocarla lo más cerca posible
del origen.
Resumen (continuación)
 El comando de configuración global access-list define una ACL estándar con un número en el
intervalo de 1 a 99 o una ACL extendida con un número en el intervalo de 100 a 199. El comando
ip access-list standard nombre se utiliza para crear una ACL estándar denominada, mientras
que el comando ip access-list extended nombre se utiliza para una lista de acceso extendida.
 Una vez configurada la ACL, se la vincula a una interfaz con el comando ip access-group en
modo de configuración de interfaz. Un dispositivo puede tener solo una ACL por protocolo, por
dirección y por interfaz.
 Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la
interfaz y, a continuación, introduzca el comando global no access-list para eliminar la ACL
completa.
 Los comandos show running-config y show access-lists sirven para verificar la configuración
de ACL. El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido
en el que se aplicó.
 El comando access-class configurado en modo de configuración de línea se utiliza para conectar
una ACL a una línea VTY en particular.
 A diferencia de IPv4, las ACL IPv6 no son necesarias para la opción estándar o extendida.
 En el modo de configuración global, use el comando ipv6 access-list name para crear una ACL
IPv6. A diferencia de las ACL IPv4, las ACL IPv6 no usan máscaras de comodín. En cambio, se
utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe
coincidir.
 Una vez configurada la ACL IPv6, se la vincula a una interfaz con el comando ipv6 traffic-filter.
Resumen (continuación)
 A diferencia de IPv4, las ACL IPv6 no admiten la opción estándar o extendida.
 En el modo de configuración global, use el comando ipv6 access-list name para
crear una ACL IPv6.
 A diferencia de las ACL IPv4, las ACL IPv6 no usan máscaras de comodín. En
cambio, se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6
de origen o destino debe coincidir.
 Una vez configurada la ACL IPv6, se la vincula a una interfaz con el comando
ipv6 traffic-filter.

CNv6 instructorPPT Chapter4

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CNv6 instructorPPT Chapter4

Enviado por

Direitos autorais:

Formatos disponíveis

Capítulo 4: Listas de control

 4.2 ACL IPv4 extendidas

 4.3 ACL IPv6

 4.4 Solución de problemas de ACL

Los segmentos TCP se

 La edición de una ACL extendida se puede lograr mediante

 Edición de una ACL extendida mediante los números de secuencia:

 Ausencia de máscaras de comodín

 Instrucciones predeterminadas adicionales

 Sin embargo, después de configurar la ACL, la PC3 no puede llegar a la red

 El R3 está configurado con ACL IPv6 DENY-ACCESS que debe aplicar la

 Sin embargo, después de aplicar la ACL a la interfaz: la red 10 aún es

Você também pode gostar