Cmo funcionan las ACL en Cisco?

I: Conceptos Introduccin Antes que nada, y en caso de que algn lector no sepa (o no recuerde) qu significa ACL, ste es una sigla que traduce lista de control de acceso -Access Control Lists en ingls- y es un mtodo popular en redes para controlar qu nodos de la red tienen qu permisos sobre el sistema que implementa las ACLs. En Cisco, las ACLs son un mecanismo genrico para clasificar conjuntos de direcciones o flujos de datos, en so yo siempre hago mucho nfasis, porque las ACLs en CC A se !en como un mecanismo de seguridad, pero se dan !isos de lo que realmente son" un mecanismo para clasificar direcciones y flujos de datos #n sistema de red, como $quid por ejemplo, es un sistema que %ace algo con el tr&fico que entra y sale de l. Las ACLs interceptan el tr&fico y, para cada paquete, se comparan sus !alores particulares con !alores predefinidos por el administrador en la Lista y, con base en ese condicionamiento, se le aplica a los paquetes alguna acci'n segn lo que quiera el administrador que suceda. La din&mica compleja de las ACLs es el %ec%o de imaginar un s'lo paquete y lle!arlo a una secuencia de paquetes me(clada. El %ec%o es que cuando en una ACL especificamos los !alores que queremos comparar, realmente estamos aplicando eso a cada paquete dentro de un flujo particular de paquetes, as) para dise*arla nos imaginemos s'lo un paquete. !ara "u sir#en las ACLs en Cisco? En el curr)culo de CC A, las ACLs se usan para aplicar una pol)tica de seguridad que permite o niega el acceso de cierta parte de la red a otra La granularidad de las ACLs permite que estas partes sean o bien +C espec)ficos o partes de una subred arbitrariamente, es decir, permite que se conceda o niegue el acceso desde un nico +C %asta otro, de un segmento de red a otro o cualquier combinaci'n que se quiera. En Cisco en general, las ACLs sir!en para clasificar conjuntos de direcciones, por ejemplo una subred o una parte de una subred. +ero m&s all& de eso la palabra importante es ar$itrariamente, porque las reglas de ACLs permiten cosas tan particulares como seleccionar los +Cs que tengan direcciones ,+ con el ltimo octeto en nmero impar (sin importar a qu subredes pertenecen). -sta caracter)stica %ace que Cisco utilice ACLs en cual"uier parte en la "ue se de$a especificar un conjunto de direcciones o un flujo de datos, por ejemplo, en %A& se especifican las direcciones pri!adas o internas creando una ACL que permite las direcciones a traducir. $i se quiere filtrar o alterar la forma en que un protocolo de enrutamiento arma sus actuali(aciones se usan listas de acceso (route-map) , si se quiere alterar la forma en que trabaja la tabla de enrutamiento se usan listas de acceso (policy-$ased routing), si se quiere especificar qu direcciones pasan por una .+ se usan ACLs, etc. (I!'ec). Como se !e, las ACLs son mucho m(s "ue un mecanismo de seguridad y por eso es un tema muy importante si se quiere %acer carrera en las certificaciones de Cisco o tener un buen desempe*o en enrutamiento y conmutaci'n Cisco.

Cmo es una ACL? Las ACLs, como ya coment, son la especificaci'n de una accin a reali(ar sobre pa"uetes "ue cumplan ciertas condiciones #na ACL es un conjunto de reglas identificadas con un nmero o un nombre y cada regla especifica una acci'n y una condici'n, las acciones a aplicar son permitir o denegar todos los paquetes que cumplan la condici'n asociada a la regla. #na ACL se identifica con un nmero o un nombre y todas las reglas que tengan el mismo nmero/nombre %acen parte de la ACL, stos identificadores suelen indicar tambin qu tanta e0presi!idad tendr& la ACL, es decir, qu tan espec)ficas pueden ser las reglas. #n ejemplo de c'mo es conceptualmente una ACL es as)

Lista1de1acceso 2 ACC,3 4 C3 5,C,3 4 Lista1de1acceso 2 ACC,3 6 C3 5,C,3 6 Lista1de1acceso 2 ACC,3 7 C3 5,C,3 7

La 2 es el nombre o nmero que identifica la ACL, por lo tanto todas las reglas anteriores componen la ACL 2, una sola ACL. $i cierto paquete cumple la condici'n4 se le aplica la Acci'n4, si un paquete cumple la condici'n 6 se le aplica la acci'n 6 y as) sucesi!amente. Las acciones son s'lo permitir o denegar y las condiciones dependen del tipo de ACL, las m&s simples, las est&ndar especifican !alores para comparar con la direcci'n ,+ origen de cada paquete, en las m&s e0presi!as, llamadas e0tendidas, las condiciones permiten especificar !alores para comparar tanto con la direcci'n ,+ origen como con la ,+ destino e incluso protocolos de capa 8 y par&metros de capa 8 como puertos y banderas de la cone0i'n 9C+. La l'gica de funcionamiento de las ACLs es que una #e) "ue se cumpla una condicin, se aplica su accin correspondiente y no se e*aminan m(s reglas de la ACL -sto para disminu)r la cantidad de procesamiento del enrutador, pero tambin tiene una consecuencia, si una regla abarca un conjunto de direcciones y otra un subconjunto del primero, la regla de subconjunto debe estar antes de la regla del conjunto completo. +or ejemplo, si yo especifico en una regla denegar el acceso a un host de cierta subred y en otra permitir toda la subred, la ACL dir)a permita el acceso a todos los hosts de la subred X menos al host Y. $i la ACL se escribe con la regla de la subred antes que la regla del %ost, la ACL permitir)a incluso al %ost, porque la regla de %ost cumplir)a tambin la regla de la subred y la regla del %ost nunca se e0aminar)a. En otras palabras, las reglas m(s espec+ficas de$en estar al principio de la ACL para e!itar que las reglas genererales se apliquen siempre y nunca se e0aminen las espec)ficas. :inalmente todas las ACLs terminan, impl+citamente, con una regla No permitir nada ms Condicin , -alor.e/eferencia 0itsAComparar, donde -alor.e/eferencia tiene el formato de direccin I! y 0itsAComparar es una m(scara 1ildcard

La condici'n entonces es un !alor que el administrador !a a escribir arbitrariamente con el fin de aplicar la acci'n a los paquetes que la cumplan. La condici'n en ACLs est&ndar consiste en una direccin de referencia y una m&scara 1ildcard que indica "u $its de la direccin origen de los pa"uetes comparar con la direccin de referencia que indic' el administrador. +or ejemplo" si yo en mi red tengo una subred de direcci'n 4;6.4<=.4.>/6<, para indicar el tr&fico que pro!enga de todos los %osts de esa subred se escribir)a la condici'n 4;6.4<=.4.> >.>.>.<7, la direcci'n es una direcci'n de referencia y no se puede entender sin la ?ildcard porque sta dice qu bits se !an a comparar. Cada $it en cero en la 2C hace comparar el $it correspondiente en la dir ,+ origen de los paquetes interceptados con la direcci'n de referencia escrita por el administrador. $i yo quisiera aplicar una acci'n s'lo a los %osts de direcci'n impar de esta misma subred escribir)a la condici'n 4;6.4<=.4.4 >.>.>.<6, note que traduciendo el ltimo octeto de la @C a binario <6 A >>44444>, el cero al final le indica al enrutador "ue compare el 3ltimo $it de la direccin de referencia con el 3ltimo $it de cada pa"uete interceptado, por lo tanto, como sabemos que todo nmero impar en binario tiene que tener el ltimo bit en 4, la condici'n se cumple para cada paquete que tenga los primeros 7 octetos y el ltimo bit iguales a la direcci'n de referencia, es decir, toda direcci'n ,+ de la forma 4;6.4<=.4.BimparC, con el ltimo octeto en binario as) > 2 2 2 2 2 2 4, donde 2 es un bit cualquiera, porque un 4 en la 2C significa no comparar el bit con la direcci'n de referencia. $i no lo comprende, tradu(ca los nmeros impares menores que <7 a binario y !er& el patr'n. +or ejemplo ; A >>>>4>>4, una direcci'n 4;6.4<=.4.; cumple la condici'n pero 4;6.4<=.4.= no la cumple, porque = A >>>>4>>> y el ltimo bit no es 4, no todos los bits de la direcci'n ,+ origen de ste paquete particular coinciden con la direcci'n de referencia, el ltimo no coincide. ote tambin que si yo pusiera una condici'n >.>.>.4 6DD.6DD.6DD.567, eso significar)a que sin importar la red de la que pro!enga el paquete (la @C indica no comparar los primeros 74 bits, o en otras palabras, no importa qu tenga ni la direcci'n de referencia ni la direcci'n origen de los paquetes en los primeros 74 bits), la acci'n se aplicar)a a los paquetes cuyo origen sea una direcci'n impar (las que tienen el ltimo bit en 4). 'er( "ue con eso puede usted deducir "u condicin se aplicar+a a los pa"uetes "ue pro#engan de direcciones I! con el 3ltimo octeto en #alor par? (+or fa!or no lo deje en un comentario). Cmo aplicar las ACL? :inalmente, dado que entendemos la l'gica fundamental de las ACLs, debemos mirar un ltimo aspecto conceptual" Ec'mo se aplicanF. La idea es que el tr(fico de red circula en dos sentidos y en ambos sentidos los patrones de direccin I! origen y destino se intercam$ian, por lo tanto y como las ACLs se aplican a una interfa( en particular, es necesario tener en cuenta en qu sentido se aplica, porque en un sentido las reglas aplican y en otro sentido no aplicar&n porque las direcciones origen no ser&n las mimas. Es decir, si dos +Cs est&n transfiriendo un arc%i!o, %ay dos flujos de datos, uno del +C4 al +C6 en el que la direcci'n ,+ origen de todos los paquetes en ese sentido tienen la direcci'n ,p del +C4 pero el tr&fico de retorno tendr& como direcci'n ,+ origen la del +C6. Lo anterior nos indica que si dise*amos una ACL que en una de sus reglas aplica una acci'n a la direcci'n del +C4, %ay que aplicarla en una interfa( en el sentido en el que ese flujo de datos pro!enga del +C4. El sentido del flujo se entiende como de entrada o salida

del enrutador por la interfa(, es decir, si el tr&fico sale del enrutador por la interfa( espec)fica o el tr&fico entra al enrutador por esa interfa(.

$upongamos que el +C4 tiene la direcci'n 4G6.4G.6>.6>/68, el +C6 tiene la direcci'n 4;6.4<=.6>>.6>>/68 y nuestro enrutador es el Hate?ay del +C4 por la interfa( :astet%ernet >/>. $i el flujo de datos %acia el +C6, sale por una interfa( serial digamos la serial >/>, Een qu interfa( y en qu sentido los paquetes de este flujo tienen como direcci'n ,+ origen la direcci'n ,+ del +C4F $i la ACL !a a ser aplicada en la :a >/>, el flujo de datos de +C4 a +C6 entrando a :a >/> tiene como direcci'n origen +C4, en la direcci'n de salida el origen es +C6 y la regla no aplicar)a. En la interfa( serial, el flujo de datos entrante tendr)a como origen +C6 y de salida tendr)a como origen +C4. 5ado lo anterior, si yo dise*o una ACL con una regla que diga permitir 172.17.20.20 0.0.0.0, sta regla s'lo encontrar)a paquetes coincidentes en la interfa( fa >/> si la aplico de entrada y en la interfa( serial >/> si la aplico de salida.

Cmo funcionan las ACLs? II: ACLs est(ndar 8u son ACLs? Las ACLs son un mecanismo que usan di!ersos dispositi!os y aplicaciones para filtrar o clasificar el tr&fico que interceptan. En Cisco las ACLs se usan en muc%os conte0tos, en CC A se usan como mecanismo de seguridad para filtrar selecti!amente tr&fico que cru(a por el enrutador. #na ACL es un conjunto de reglas contra las que se compara cada paquete que cruce una interfa( en la que se instal' la lista de acceso. Cada paquete se compara contra las reglas una por una empe(ando por la primera y continuando con las siguientes. $'lo si el paquete no corresponde a lo que indica una regla se contina con las siguientes, una !e( que el paquete se corresponde con una de las reglas de la ACL, se le aplica la acci'n asociada a la regla y no se compara el paquete con ninguna otra regla. Las ACLs entonces son reglas, una por l)nea, que se identifican con un nmero o una palabra y que identifican flujos de datos o conjuntos de direcciones. Cada regla %ace uso de una direcci'n de referencia y una m&scara ?ildcard que condicionan la acci'n a ejecutar sobre un paquete en cuesti'n. La condici'n consiste en que los paquetes coincidan con la direcci'n de referencia en los bits que la m&scara ?ildcard tenga en cero, por lo tanto si una ?ildcard es >.>.>.> significa que todos los bits de la direcci'n origen o destino de un paquete que cruce la interfa( por la que est& instalada la ACL se comparar& bit a bit con la direcci'n de referencia, de esa manera yo especifico una direcci'n completa de %ost. La dificultad de dise*ar e instalar ACLs radica en la dificultad de concebir los patrones de tr&fico como un conjunto de paquetes %eterogneos que pasan por una interfa( en una direcci'n en particular. 8u es una ACL est(ndar 9'tandard ACLs:? 5entro de las ACL m&s comunes est&n las ACL est&ndar y las ACL e0tendidas, diferenciadas entre s) por su granularidad" las e0tendidas permiten m&s detalles de filtrado, ambos tipos de listas se pueden numerar o nombrar. 5entro de las menos comunes est&n las que CC A E0ploration llama complejas" ligadas a rangos de tiempo, refle0i!as y din&micas. Las m&s simples en todo sentido son las ACLs est&ndar, que permiten defnir tr&fico con base en las direcciones ,+ de origen de los paquetes que correspondan con las reglas de la ACL. Las ACL est&ndar entonces especifican un s'lo par direcci'n de referencia/?ildcard contra el que se comparan todos los paquetes que entren o salgan de la interfa( en la que se instale la ACL, en otras palabras, una ACL est&ndar filtra tr&fico con base en la direcci'n ,+ origen de los paquetes. Estas ACL se crean en modo de configuraci'n global con el comando access-list seguido de un nmero de 1 a 99 o de 1300 a 1999, stos rangos identifican que el tipo de ACL es est&ndar, otros rangos identifican ACLs e0tendidas (4>> a 4;; y 6>>> a 6<;;). Cada regla debe tener el mismo nmero para pertenecer a la misma ACL, si el nmero cambia, la regla en particular pertenecer& a otra ACL. Luego de Access-list <n mero! sigue la acci'n a ejecutar (permit o den") y

finalmente la condici'n que deben cumplir los paquetes para aplicarles la acci'n o continuar e0aminando m&s reglas. Las ACL est&ndar usan un s'lo par direcci'n/?ildcard para especificar la condici'n que deben cumplir los paquetes para que se les aplique la acci'n permit o den". La condici'n e0amina la direcci'n ,+ origen de cada paquete y la compara con el par direcci'n/?ildcard pero s'lo en los bits en los que la ?ildcard tenga ceros.

Cmo se configuran ACL est(ndar? Los pasos generales para configurar ACLs son 7" 4. Crear la ACL en modo de configuraci'n global 6. Aplicar la ACL en una interfa( indicando la direcci'n del tr&fico al que se le !a a aplicar 7. .erificar su funcionamiento La creaci'n de la ACL consiste en crear una secuencia de reglas con un mismo identificador, cuyo orden filtre el tr&fico segn los objeti!os. Cada regla tiene la forma access-list <n! # permit $ den" % <re&erencia1! <'ildcard1!, donde n es el nmero que identifica la ACL (> a ;; ' 47>> a 4;;; para ACLs est&ndar) y referencia /?ildcard son los pares con los que se comparar&n los paquetes para aplicarles la acci'n . Entonces una ACL tiene la forma"

access1list InJ permit Ireferencia4J I?ildcard4J access1list InJ deny Ireferencia6J I?ildcard6J

Como todas las reglas coinciden en el nmero (n), la ACL est& compuesta por todas las reglas listadas. +ara simplificar, puse permit y deny pero en las reglas se puede elegir cualquiera de las dos segn los objeti!os perseguidos. 9odas las ACLs terminan impl)citamente en una regla deny any, es decir, al final de la lista, cualquier paquete que no %aya correspondido con ninguna regla se !a a descartar por defecto. +ara aplicar una ACL, sta ya debe estar creada. Las listas de acceso se aplican en una interfa(, por lo tanto %ay que ingresar en modo de interfa( y el comando tiene la forma ip access-group <n! #in $ out% donde n es el nmero comn a todas las reglas de la ACL y las palabras in(out indican en qu sentido se aplicar&n las reglas y sto tiene importantes implicaciones" el tr&fico en una direcci'n tiene ciertas direcciones ,+ origen pero en la otra direcci'n stas mismas direcciones ser&n ,+ destino.

interface serial >/> ip access1group InJ BinKoutC

:inalmente !erificar la ACL se %ace con !arios comandos, uno es sho' access-list, que muestra todas las listas de acceso acti!as y cu&ntos paquetes %an correspondido (matc%) con cada regla. El comando que muestra si una interfa( tiene una ACL aplicada y en qu direcci'n es sho' ip inter&ace, este comando muestra muc%a informaci'n, por la mitad de toda esa informaci'n dice in$ound ACL ;ut$ound ACL

s%o? access1list s%o? ip interface serial >/>

8u consideraciones hay "ue tener para instalar ACLs? .enegacin por defecto y Log La primera consideraci'n importante es tener en cuenta siempre que las listas de acceso terminan en denegaci'n por defecto, por lo tanto, si una ACL s'lo tiene reglas de denegaci'n lo nico que logra es denegar 9353 el tr&fico. #na ACL debe tener siempre por lo menos una regla de permitir. Algunos administradores prefieren poner una regla final, sea den" an" o permit an" de manera e0pl)cita para poder !er con sho' access-list cu&ntos paquetes se %an filtrado por la ltima regla o mejor, cu&ntos paquetes no %an correspondido con ninguna otra regla. 3tros administradores usan la lista de acceso para recolectar informaci'n sobre el tr&fico de la red, combinando reglas que terminan con la palabra log que %ace que la ACL genere entradas de registro como si fueran mensajes del sistema. Combinar reglas permit con log %ace que la acl e!idencie algn tr&fico que se necesita saber c'mo se est& comportando. ;rden de #erificacin: /eglas espec+ficas y generales Como cada regla se !erifica en secuencia comen(ando por la primera, si una regla es general, es decir, abarca m&s direcciones o flujos de datos que otra, sta regla deber)a ir despus de las m&s espec)ficas. +ara ilustrar sto, obser!e el siguiente ejemplo" yo quiero bloquear un %ost de la red 4;6.4<=.4.>/68 pero permitir el resto de esta red, necesito dos reglas" permitir la red y denegar el %ost, como la regla para la red es m&s general e incluye el %ost mismo, ponerla de primera !a a tener como efecto que nunca se mire la regla que dice denegar el %ost, porque siempre aplicar& la primera y no se !erificar&n m&s reglas, permitiendo al %ost transmitir informaci'n cuando el objeti!o era denegar precisamente ese %ost. La regla se deber)a escribir de la siguiente manera"

access1list 4 deny 4;6.4<=.4.4 >.>.>.> access1list 4 permit 4;6.4<=.4.> >.>.>.6DD

La anterior ACL tiene como resultado, cuando se aplica a una interfa(, que s'lo el tr&fico perteneciente a la red 4;6.4<=.4.>, e0cepto el %ost 4;6.4<=.4.4, puede salir por la interfa( en la que se aplique. Lo anterior siempre y cuando, el tr&fico tenga como or)genes stas direcciones. &r(fico con or+gen en el enrutador

:inalmente, cierto tr&fico pro!eniente del enrutador no pasa por las listas de acceso, por ejemplo, el acceso a .9L (telnet/ss%) al enrutador no es e0aminado por las ACL, por lo tanto %ay que poner una regla especial para este tr&fico. La regla se llama access-group <n! y debe ser ACL est&ndar. #na regla de este tipo limita el acceso por telnet al enrutador s'lo a los %osts que correspondan a la lista especificada.

Cmo funcionan las ACLs? III: ACLs e*tendidas 5espus de re!isar los conceptos de las Listas de Control de Acceso (ACL) y las ACLs est&ndar, lleg' la %ora de e0aminar el funcionamiento de las ACL e0tendidas y su configuraci'n. Caracter+sticas de las ACL est(ndar: poca granularidad Antes de comentar las cualidades de las ACL e0tendidas (e0tended ACL) debemos recordar las ACL est&ndar y !er qu diferencia funcionan tienen las e0tendidas respecto a las primeras, es decir, para !alorar los beneficios de las e0tendidas. La idea de las ACLs est(ndar es filtrar tr&fico con base en las direcciones origen de los paquetes que entran o salen de una interfa(, aquella en la que se instala la ACL. Lo anterior implica un ni!el b&sico de filtrado" direcciones ,+ origen de todos los paquetes interceptados, para ilustrarlo con un ejemplo, digamos que deseamos filtrar el tr&fico pro!eniente de la red 4;6.4<=.4.>/6<, pero que de esa red queremos permitir un %ost en particular y las dem&s redes diferentes deber)an pasar. A stas alturas tenemos muy claro que las ACLs son conjuntos de reglas con un identificador com3n y que las reglas aplican una accin a los paquetes que cumplan una condicin que, en el caso de las ACL est&ndar, es que tengan la direcci'n origen coincidente con la direcci'n de referencia. La ACL que filtra el tr&fico como se solicita (bloquear 4;6.4<=.4.>/6<, permitir un %ost 4;6.4<=.4.4 y permitir paquetes de cualquier otra subred) creamos la siguiente ACL"

access1list 4 permit 4;6.4<=.4.4 >.>.>.> access1list 4 deny 4;6.4<=.4.> >.>.>.<7 access1list 4 permit any

En efecto, cada !e( que llegue un paquete se comparar&n las direcciones ,+ origen de cada uno con cada una de las reglas de la lista de acceso, si el paquete corresponde con alguna, se aplica la acci'n (permit o den") y no se compara con ninguna otra regla. En este caso, la regla permite primero el %ost, luego niega la red y finalmente permite cualquier otra cosa. La acl descrita significa que todo el tr&fico del %ost particular se !a a permitir, no se puede bloquear un tr&fico espec)fico que pro!enga del %ost, se deniega o se permite todo el tr&fico y ser)a deseable bloquear s'lo una porci' de su tr&fico, algo de lo que %ace ste

%ost en caso de ser necesario. +ara la red tambin sucede lo mismo" si se pudiera bloquear s'lo el tr&fico que sale de esa red a un destino espec)fico sin bloquear todo el tr&fico con origen en esta red ser)a muc%o mejor. Ese es el problema que resuel!e la ACL e0tendida. ACLs e*tendidas A diferencia de lo que sucede con la ACL est&ndar, las e0tendidas permiten especificar hacia dnde se dirige el tr(fico y con sta caracter)stica, yo puedo bloquear o permitir un tr&fico mucho m(s espec+fico: s'lo tr&fico que pro!iene del %ost pero se dirige a una red en particular o a otro %ost en particular o s'lo el tr&fico de una red que se dirige a otra red en particular. El truco se logra con el %ec%o de permitir comparar las direcciones destino de los paquetes contra la acl, no s'lo las direcciones origen. 5entro de lo que %emos !enido manejando, %ablamos que una acl est& compuesta por un conjunto de reglas todas con el mismo identificador, que cada regla era una l)nea compuesta por una acci'n y una condici'n que el paquete debe cumplir para aplicarle la acci'n (permitir o denegar). Las condiciones en las acl estandar est&n compuestas por una direcci'n de referencia y una ?ildcard que dice qu bits de la direcci'n origen de los paquetes se deben comparar con la direcci'n de referencia, en las acls e0tendidas se especifica dos pares de direcciones de referencia/?ildcard, un par para la direcci'n origen de los paquetes y otro par para la direcci'n destino de los mismos. .amos a e0tender el ejemplo que !enimos usando y usar sta idea de filtrado m&s granular. El requisito dado es permitir un %ost de una red, el resto de la red la !amos a bloquear y cualquier otra red la !amos a permitir. +ara e0tender el ejemplo digamos que queremos permitir el tr&fico del %ost, e0cepto lo que !aya a un %ost particular, digamos el 4G6.4<.4.4, y que de la red completa queremos permitir lo que !aya a un ser!idor en especial de la empresa, digamos el 4;6.4<=.6.4. Las reglas de la acl estandar nos sir!en de inicio, como de costumbre lo m&s espec)fico lo !amos a poner de primero en la regla para e!itar que las reglas m&s generales incluyan a las particulares.

access1list 4>> deny ip 4;6.4<=.4.4 >.>.>.> 4G6.4<.4.4 >.>.>.> access1list 4>> permit ip 4;6.4<=.4.4 >.>.>.> >.>.>.> 6DD.6DD.6DD.6DD access1list 4>> permit ip 4;6.4<=.4.> >.>.>.<7 4;6.4<=.6.4 >.>.>.> access1list 4>> deny ip 4;6.4<=.4.> >.>.>.<7 >.>.>.> 6DD.6DD.6DD.6DD access1list 4>> permit ip any any

En sta lista obser!amos !arias cosas nue!as" ip, las acl e0tendidas no s'lo permiten especificar las direcciones origen y destino sino discriminar por protocolos e incluso por par(metros particulares de cada protocolo pero eso lo !eremos luego, por lo pronto lo importante es que ip indica que todos los protocolos que se encapsulan dentro de ip ser&n afectados por sta lista de acceso. En este caso, la palabra ip para los protocolos es similar a any en las direcciones, casi todo se encapsula en ip por lo tanto especificar ip es como especificar cualquier protocolo (de capa 8 en adelante). En !e( de ip se puede poner un protocolo equi!alente o de capa 8, por ejemplo se puede filtrar icmp, tcp o udp, cambiando la palabra ip por stas ltimas.

3tra cosa importante y nue!a es un segundo par de direcci'n de referencia/m&scara ?ildcard, ste segundo par compara la direcci'n destino de los paquetes con la direcci'n de la regla. +ara las acls e0tendidas, el paquete debe coincidir tanto en la direcci'n origen como en la destino. :inalmente, la direcci'n de referencia 0.0.0.0 con m&scara ?ildcard 2)).2)).2)).2)). Como esta m&scara es todo unos, eso significa que ningn bit del paquete se compara con la direcci'n de referencia, es decir, no importa qu escriba en la direcci'n de referencia cualquier destino coincide. Esta m&scara es lo mismo que an", debido a que la m&scara es equi!alente a cualquier direcci'n y puede usarse tanto para el origen como para el destino. <*plicacin de la ACL La primera regla aplica den" s'lo si el paquete tiene como origen la direcci'n 4;6.4<=.4.4 y direcci'n destino 4G6.4<.4.4, por lo tanto s'lo el tr&fico espec)fico de entre esos %ost se deniega, la segunda regla permite el resto del tr&fico del %ost %acia cualquier destino. La tercera regla permite el tr&fico de la red 4;6.4<=.4.>/6< %acia el %ost 4;6.4<=.6.4. La 8a regla complementa a la anterior y niega todo el tr&fico de la red, como sta regla general esta despus de la espec)fica, el tr&fico comparado con sta regla ya no coincidi' con el tr&fico dirigido al ser!idor, que es una condici'n m&s espec)fica dentro de la misma red. :inalmente cualquier tr&fico que no coincida con las reglas anteriores se permite sin importar de d'nde pro!enga y %acia d'nde !aya. 8u m(s? :inalmente y para no dejar incompleto el ejemplo, %ay que instalarla en una interfa( por la que pase el tr&fico que se quiere interceptar y recordar que el sentido en el que se instala la acl, indica cu&les ser&n las direcciones origen y destino (que se in!ierten si se in!ierte el sentido del tr&fico).

interface serial >/> ip access1group 4>> in

Las listas de acceso e0tendidas no difieren de las est&ndar m&s que en las caracter)sticas mencionadas, por lo tanto los comandos usados para !erificar las est&ndar siguen siendo !&lidos.

s%o? ip interface serial >/> s%o? ip access1list

Cmo funcionan las ACLs? I-: ACLs complejas #n tema nue!o en el curr)culo de CC A E0ploration son las ACLs complejas, que no son necesariamente complejas en el sentido de la dificultad sino en lo sofisticado de su funcionamiento, tambin menciono las acl nombradas. .amos a e0plorar algunas de ellas superficialmente y dejar pendiente la ltima entrada sobre ACLs" Ejemplos. 8u son ACL complejas?

CC A E0ploration !arios tipos de ACLs no !istos en las !ersiones anteriores del curr)culo, las denomina ACLs complejas. La idea de las ACLs complejas es complementar lo que ya sabemos sobre ACLs est&ndar y e0tendidas con comportamientos que las %acen tiles en conte0tos m&s interesantes. +ara comprender correctamente el tema de las ACL complejas debe entender bien todo lo relacionado con ACLs. $i usted no entiende perfectamente el tema del filtrado de tr&fico con ACLs le recomiendo que lea las entradas anteriores de esta serie, en su orden"

EC'mo funcionan las ACL en CiscoF ," Conceptos EC'mo funcionan las ACLsF ,," ACLs est&ndar EC'mo funcionan las ACLsF ,,," ACLs e0tendidas

5entro de las ACLs complejas tenemos 7 tipos" din(micas, refle*i#as y $asadas en tiempo pero en el curr)culo oficial no se #en muy a fondo ni se dan mayores ejemplos. A continuaci'n les describo cada una de ellas y al final de la entrada describo las acl nombradas son un tipo de acl que facilita la configuraci'n y administraci'n de ACLs.

ACLs din(micas -stas usan un mecanismo $(sico de autenticacin, generalmente &elnet, para acti!ar la ACL, lo que permite usar una ACL como mecanismo de autenticaci'n o !incular una ACL con la autenticaci'n de los usuarios con medios reconocidos. La idea consiste en crear una regla en la ACL "ue slo se acti#ar( si es disparada por alg3n e#ento, en ste caso un acceso por telnet al enrutador. La regla en cuesti'n agrega antes de la acci'n (permit/deny) las palabras reser!adas dynamic testlist timeout <n>, donde n es la cantidad de minutos que la regla ser& acti!a una !e( que es disparada, luego de estos par&metros !a la regla ordinaria que se %ar& acti!a, por ejemplo permit ip host 10.1.1.1 an". Como esta ltima regla est& asociada con un acceso por telnet como disparador, en las l)neas de !ty se debe poner un comando especial autocommand access-enable host timeout ), que establece el acceso permitido al telnet como disparador de la acl din&mica.

access1list 4>4 permit ip any %ost 4>.4.4.4 eq telnet access1list 4>4 d"namic testlist timeout 10 permit ip 4G6.4<.>.> >.>.6DD.6DD 4G6.4G.>.> >.>.6DD.6DD interface fa >/> ip access1group 4>4 in username cesarcabrera pass?ord cecab467 line !ty > 8 login local autocommand access1enable %ost timeout D

El anterior listado de comandos instala una lista de acceso din&mica de entrada en la interfa( &a 0(0 que s'lo despus que un usuario cesar abre e0itosamente una sesi'n por telnet con la cla!e cecab123 con el enrutador se acti!a, permitiendo acceso de la red 4G6.4<.>.>/4< a la 4G6.4G.>.>/4<. .alga la aclaraci'n que el comando autocommand cierra autom&ticamente la sesi'n de telnet pero dispara la acl, es decir, la sesi'n de telnet es s'lo un disparador de la acl y no tiene que quedar acti!a para que la acl est en funcionamiento. ACLs refle*i#as Las refle0i!as son un tipo de fire?all primiti!o que permite el tr(fico slo si es iniciado en una direccin, pero sin usar las banderas de cone0i'n de 9C+. La en las ACLs e0tendidas %ab)amos !isto que en !e( de ip se pueden poner otros protocolos y al final poner criterios adicionales particulares al protocolo en cuesti'n. Espec)ficamente, tcp permite agregar al final del identificador de origen o destino un identificador de puerto en incluso banderas de cone0i'n como established, que indica que la cone0i'n ya se abri'. -ste caso particular de tcp es muy til cuando se tienen dos redes de las cuales una es confiable y la otra no, entonces es preferible permitir s'lo cone0iones cuya solicitud pro!enga de la red confiable, es decir, que se abran desde la red interna y no se puedan abrir cone0iones desde la e0terna. Con el truco de la bandera established (acM acti!o) se puede permitir de entrada s'lo los paquetes con sta condici'n, de tal manera que si llegan paquetes solicitando una cone0i'n desde fuera (toda!)a no tienen el bit acM acti!o) se rec%a(an, mientras que si las cone0iones se abren desde adentro, todos los paquetes entrantes deber&n tener el acM acti!o y por lo tanto se !an a permitir. +ero Equ pasa con #5+ y otros protocolo no orientados a la cone0i'nF +ues a%) entran en juego las acl refle0i!as. La idea es %acer lo mismo que el truco de establis%ed, pero basandose s'lo en los par&metros b&sicos de capa 7 y 8. Las acls refle0i!as son un poco complejas en su configuraci'n, ya que se aplican #arios comandos para esta$lecer las entradas temporales, adicionalmente las ACLs refle0i!as son un caso particular de ACL nom$rada e*tendida, por lo tanto no se pueden configurar en acl numeradas ni en acls nom$radas est(ndar. +rimero, en una de las direcciones del tr&fico se debe marcar la regla cuyo tr&fico de !uelta se !a a permitir con la palabra cla!e re&lect <nombre!, donde nombre es un identificador ar$itrario que le ponemos a esta instancia, luego en la direcci'n de !uelta del tr&fico (la acl que se !a a instalar en la direcci'n contraria) se agrega la sentencia e*aluate <nombre! donde nombre es el identificador ar$itrario "ue pusimos en la otra direccin. En otras palabras, se le pone un identificador al tr&fico que inicia la acl refle0i!a, luego en la otra direcci'n se le ordena que e!ale si el tr&fico corresponde con la regla marcada para permitirlo si coincide. :inalmente se instalan las listas, una de entrada y otra de salida en la misma interfa( (el tr&fico entra y sale por la misma interfa().

ip access1list e0tended 3#9N permit udp 4G6.4<.>.> >.>.6DD.6DD any reflect #5+9OA::,C permit icmp 4G6.4<.>.>.>.>.6DD.6DD any reflect ,CP+9OA:: ip access1list e0tended , N e!aluate #5+9OA::,C

e!aluate ,CP+9OA:: interface ser >/> ip access1group 3#9N out ip access1group , N in

El listado anterior instala una lista de acceso refle0i!a que permite el tr&fico de #5+ e ,CP+ s'lo si se origin' en la red 4G6.4<.>.>/4<. ACLs $asadas en fechas=horarios :inalmente, las m&s simples de comprender son las basadas en fec%as/%orarios. La idea de estas acls son que se acti#an en las fechas y horarios "ue se hayan esta$lecido pre#iamente, la precondici'n e!idente es que el enrutador de$e tener configuradas su hora y fecha correctamente, para sto se puede configurar manualmente, confiando que el equipo no se !aya a reiniciar por ningn moti!o y que el administrador !a a mantener actuali(ado el reloj en caso contrario. 3tra alternati!a (m&s confiable) es configurar un ser!idor ntp para que el enrutador mantenga su tiempo actuali(ado. La configuraci'n de las acls basadas en tiempo consiste en crear un rango de tiempo (time1range) el cual es despus usado en las reglas de la ACL.

time1range 3CQE$ periodic Ponday 9uesday @ednesday 9%ursday :riday 4G">> to >>">> access1list 4>4 permit tcp 4G6.4<.>.> >.>.6DD.6DD any eq ??? time1range 3CQE$ int fa >/> ip access1group 4>4 out

El anterior listado crea una lista de acceso que se permite el acceso a ,nternet para la red 4G6.4<.>.> s'lo despus de las 4G%rs en d)as de trabajo (Lunes a .iernes). ACL nom$radas :inalmente, %ay una forma m&s f&cil de editar las listas de acceso llamadas listas de acceso nombradas. La idea b&sica de stas ACLs es permitir una administraci'n mnem'nica de las ACL, ya que en !e( de nmeros se usan nombres arbitrarios. -stas listas pueden ser e0tendidas o nombradas con las mismas caracter)sticas que las ACLs numeradas y abren un modo especial de configuraci'n (nacl) en el que se introducen las reglas una por una empe(ando por la acci'n (permit(den"). 5espus de la !ersi'n 46.7 del ,3$, stas listas de acceso permiten eliminar y crear reglas particulares entre las reglas e0istentes, contrario a la edici'n ordinaria de ACLs en la que tocaba eliminar completamente una ACL para poder modificarla. En su configuraci'n las palabras cla!e son ip access-list, lo que %emos !isto %asta este momento, todas las listas de acceso comien(an con la palabra reser!ada access-list, stas comien(an con ip access-list,

seguidas del tipo de lista e+tended(standard y el nombre (arbitrario). Luego se entra en el modo especial de configuraci'n.

ip access1list e0tended ,-. (config1e0t1nacl)Rpermit 4G6.4<.>.> >.>.6DD.6DD 4G6.4G.>.> >.>.6DD.6DD (config1e0t1nacl)Rdeny any any

-stas listas se aplican como se aplican todas las acls y se !erifican con los mismos comandos. sho' ip access-list y sho' ip inter&ace.

Cmo funcionan las ACLs?: - <jemplos Conceptos $(sicos Qay que recordar que las ACLs son fundamentalmente un mecanismo de seleccin de tr(fico, generalmente, por medio de par&metros de los campos del enca$e)ado I! o los enca$e)ados &C! y >.!. En algunos casos, el protocolo de capa 8 puede establecer correspondencias con otros encabe(ados como los de E,HO+, 3$+:, entre otros. #na !e( que la selecci'n se establece, se puede usar para mltiples finalidades, por ejemplo en CC A se usa como mecanismo b&sico de seguridad, es decir, el tr&fico seleccionado se puede $lo"uear o permitir seg3n las necesidades de la organi)acin. 3tros usos son la definici'n de las direcciones que !an a ser traducidas en un enrutador de borde que usa A9 entre otras muc%as tecnolog)as que usan las ACLs para definir conjuntos de direcciones o flujos de tr&fico seleccionados entre muc%os otros. La selecci'n de tr&fico o direcciones en las ACLs consiste en definir un conjunto de reglas bajo un mismo identificador, sea numrico o alfanumrico, con la forma

<id! <id!

<acci/n! <condici/n! <acci/n2! <condici/n2!

Comando" access1list InJ BpermitKdenyC IrefSorigenJ I?ildcardSorigenJ BIrefSdestinoJ I?ilcardSdestinoJC

donde id es el nombre/nmero de la ACL, acci/n es permitir o denegar y en el comando id se corresponde con n , acci/n con permit$den" y la condici'n ser)a el resto del comando. La condici'n es lo que usualmente nos e0ige m&s cuidado, las condiciones se basan en direcciones origen en las ACLs est&ndar y origen/destino en las e0tendidas y nombradas e0tendidas. Las direcciones origen o destino se definen cada una mediante una direcci'n de referencia y una m&scara ?ildcard y pueden definir arbitrariamente la selecci'n, es decir, la direcci'n de referencia no tiene que corresponder e0actamente con una subred sino con cualquier conjunto de direcciones, incluso de !arias subredes o un subconjunto de ,+s de una subred. $i la e0plicaci'n anterior no es clara, por fa!or lea la entrada inicial de la serie" EC'mo funcionan las ACLsF" , Conceptos. &opolog+a de ejemplo

La siguiente !a a ser nuestra topolog)a de ejemplo. ,nfortunadamente el +acMet 9racer no soporta las ACLs refle0i!as ni din&micas, as) que si usted desea %acer el ejercicio completo debe %acerlo o bien con enrutadores reales o con H $7. La topolog)a consiste en D enrutadores interconectados por enlaces seriales, uno de ellos es el enrutador central que conecta con el ser!idor y el resto tienen s'lo una subred conectada. Las direcciones de las LA pertenecen al prefijo 4G6.4<.>.>/46, asignandolas en orden de i(quierda a derec%a 4G6.4<.>.>/68, 4G6.4G.>.>/68, 4G6.4=.>.>/68 (+C8) y 4G6.4;.>.>/68 (+CD). El ser!idor tiene la direcci'n 4>.4.4.4 y los enlaces entre enrutadores son 4>.>.>.>/7>, 4>.>.>.8/7>, 4>.>.>.=/7>, 4>.>.>.46/7>. El enrutamiento se lle!a a cabo con eigrp de A$ 4 sin autoresmen por el %ec%o de %aber redes discontiguas (4>.>.>.>). La pol)tica (requerimientos) de seguridad de la organi(aci'n son los siguientes"

Est&ndar" :iltrar el acceso de la red del +C4 al ser!idor E0tendidas" :iltrar el acceso del +C6 al ser!idor 5in&micas ( o soportadas)" Acceder al ser!idor desde +CD s'lo si se autentica pre!iamente por telnet. Oefle0i!as ( o soportadas)" +ermitir el tr&fico de ,CP+ que se ogirine en +C8, pero no al re!s

#n aspecto importante, antes de hacer cual"uier cosa con ACLs es #erificar "ue e*ista conecti#idad completa en la red o$jeti#o. $i no comprobamos eso pre!iamente, podr)amos ignorar problemas actuales de conecti!idad en la red y podr)amos creer que eso es efecto de la instalaci'n de las acls. En esos casos el diagn'stico de un problema de esa naturale(a puede resultar muy dif)cil de diagnosticar y m&s dificil aun de solucionar. 3tra consideraci'n que %ay que %acer es !erificar que la instalaci'n de una ACL afecta la red estrictamente como se espera y no genera efectos no pre!istos e indeseados. Lo anterior %ay que %acerlo por cada acl y !erificando la conecti!idad total 1o la m&s importante si la red es muy grande1. Listas de Control de Acceso <st(ndar En el ejemplo, el requerimiento de filtrar la red del +C4 con ACL est&ndar nos enfrenta a la primera decisi'n" Ed'nde instalar la ACLF. La respuesta tiene dos sentidos, en "u enrutador y en "u interfa) de ese enrutador. Como las ACL est&ndar s'lo filtran el tr&fico con base en las direcciones ,+ origen, si la acl se instala en Oouter4, eso filtrar)a todo el tr&fico de la red %acia todos los destinos, por lo tanto no es !iable esa decisi'n. #na alternati!a, si no es posible instalarla en otro enrutador, ser)a filtrar el tr&fico pro!eniente del ser!idor en ese mismo enrutador lo que impidir)a que las respuestas a tr&fico que sali' de la red de +C4 y +C7 regrese, lo cual ser)a un cumplimiento indirecto de la pol)tica de impedir conecti!idad entre esa red y el ser!idor. $egn lo anterior, la 3nica alternati#a es instalar la ACL est(ndar en /outer?, y con eso se cumple la regla de oro de las acls est&ndar" instale lo m(s cerca posi$le del destino. En ste caso, en el que podemos configurar el enrutador m&s cercano al ser!idor, la instalamos en la interfa( por la que se conecta el ser!idor en la direcci'n de salida, filtrando efecti!amente el tr&fico cuyo origen es la red del +C4.

El resto es carpinter)a como dec)a un antiguo profesor que tu!e"

access1list 4 deny 4G6.4<.>.> >.>.>.6DD access1list 4 permit any interface :astEt%ernet>/> ip address 4>.>.>.4 6DD.6DD.>.> ip access1group 4 out

#na !e( que se instala esta acl, los paquetes originados en cualquier pc de la red del +C4 no llegar&n al ser!idor pero s) a cualquier otro pc de la red. La conecti!idad con el resto de las redes de la topolog)a sigue intacta. ACL e*tendidas El segundo requerimiento es filtrar el tr&fico desde el +C6 %asta el $er!idor. E!identemente no se puede hacer un filtrado as+ con una sola acl est(ndar, por ejemplo, si ponemos una ACL estandar en router> que filtre el tr&fico cuya ,+ es la de +C6 en la fa >/> de salida, ste quedar& sin conecti!idad con cualquier +C de la red del ser!idor, no s'lo el ser!idor. $i, por otro lado, la ponemos de entrada la situaci'n es peor" el ser!idor no se podr& comunicar. 3tra alternati!a ser)a instalarla en la interfa( LA que pertenece a la red de +C6 (en Oouter4) y ste no se podr& comunicar con ninguna otra red. La soluci'n es una ACL e0tendida, que por norma se instala lo m(s cercano al origen posi$le. El ra(onamiento es que %aciendolo de sta manera e!itamos que tr&fico innecesario corra por la red ocupando anc%o de banda y procesamiento en los dispositi!os.

access1list 4>4 deny ip %ost 4G6.4G.>.7 %ost 4>.>.>.D access1list 4>4 permit ip any any interface :astEt%ernet>/> ip address 4G6.4G.>.4 6DD.6DD.>.> ip access1group 4>4 in

Lo anterior en el enrutador Oouter4, donde se conecta el %ost que se quiere filtrar. 5e nue!o, %ay que !erificar que otros +Cs no quedan afectados por la acl, eso lo !erificamos en!iando y recibiendo paquetes e0itosamente desde el +C< al ser!idor. La conecti!idad del resto de las redes de la topolog)a sigue inalterada, eso incluye la conecti!idad de otras redes al pc6.

ACLs din(micas y refle*i#as

,nfortunadamente el +9 D.4 no soporta ninguno de estos tipos de acls. +ara poder %acer el ejercicio %abr)a que usar gns7, netlab o enrutadores reales. 5e todas formas ilustrar c'mo ser)a la configuraci'n correspondiente en esta topolog)a. Oecordemos que las din&micas son, entre otras cosas, un mecanismo de autenticaci'n simple. Lo primero que %aremos ser& crear un nombre de usuario y contrase*a para autenticar al +C D, luego crearemos la acl que incluya la palabra reser!ada dynamic, cuidando que la misma acl permita el tr&fico de telnet desde el pc en cuesti'n, instalamos la acl y luego en la configuraci'n de las !ty agregamos el comando que !incula estas dos instrucciones.

username cesarcabrera pass?ord cecab467 access1list 4>4 permit ip any %ost 4G6.4;.>.4 eq telnet access1list 4>4 d"namic testlist timeout 1) permit ip %ost 4G6.4;.>.7 %ost 4>.>.>.D interface fa >/> ip access1group 4>4 in

Lo anterior, una !e( instalado en el enrutador Oouter6, s'lo permitir& el acceso del +CD al ser!idor si primero se intenta %acer un telnet al enrutador y se autentica e0itosamente al mismo. El requerimiento de acl refle0i!a se debe instalar en el ltimo enrutador, Oouter7, usando una acl nombrada e0tendida 1no numerada1 y con dos palabras cla!e adicionales" reflect/e!aluate. En la direcci'n de salida se permite el tr&fico pero se establece que se creen las acls necesarias para el tr&fico de retorno con reflect y de entrada se le indica a la acl que e!ale las entradas din&micas creadas por la acl de salida.

ip access1list e0tended $AL,5A permit icmp 4G6.4=.>.>.>.>.>.6DD any reflect 9,CP+ ip access1list e0tended E 9OA5A e!aluate 9,CP+ interface ser >/>/> ip access1group $AL,5A out ip access1group E 9OA5A in

ote que una !e( que se instalan estos comandos en el ltimo enrutador, lo nico que se puede %acer desde la red 4G6.4=.>.>n es en!iar e0itosamente pings, pero no ser&n e0itosos si se originan en otras redes %acia sta ltima. ;tros usos de las ACLs :inalmente, como les %e !enido mencionando en otras entradas, las acls son un mecanismo de clasificaci'n de tr&fico y por eso son 3tiles en otros conte*tos. .oy a

citar dos, uno de ccna y otro de ccnp, particularmente de N$C,. En el ltimo semestre de CC A se estudia el tema de A9, %A& se usa para tener una red con direccionamiento pri#ado ar$itrariamente grande conectada a una red p3$lica usando slo un pe"ue@o conjunto de direcciones p3$licas. El mecanismo consiste en e0aminar los paquetes pro!enientes de la red pri!ada y cambiar las direcciones ,+ y puertos 9C+/#5+ del encabe(ado por las direcciones pblicas disponibles. 5e ese proceso se guarda en memoria una registro de qu puertos origen %an sido asignados a qu direcci'n pri!ada, de tal manera que cuando se recibe la respuesta de la red pblica con ,+ destino pblica (o global como dice el curr)culo), el puerto 9C+/#5+ destino determina la direcci'n ,+ de %ost local al que %ay que cambiar la direcci'n ,+ para en!iar el paquete al interior de nuestra red (en otra ocasi'n escribo m&s en detalle el proceso). A9 debe especificar dos conjuntos de direcciones" las direcciones pri!adas a traducir a direcciones pblicas y el conjunto de direcciones pblicas. El conjunto de direcciones pblicas es un rango de direcciones arbitrarias que dificilmente corresponder&n con una regla tipo acl, pero las direcciones pri!adas s) deben tener un patr'n que se corresponda con una acl est&ndar, en la que las direcciones a las que se aplique la acci'n permit ser&n las direcciones que %ay que traducir a direcciones pblicas (o globales). En otras palabras, para crear una regla de traduccin de direcciones, se especifica por medio de una acl "u direcciones pri#adas 9o locales: de$en ser traducidas. En N$C, (uno de los e0&menes de ccnp) se %abla de un mecanismo de manipulaci'n de tr&fico llamado mapas de ruta 9route-map:. Los mapas de ruta permiten manipular la forma en "ue se reali)a el enrutamiento por ejemplo yo podr)a arbitrariamente y sin contar con la tabla de enrutamiento, decir que el tr&fico de cierta red debe usar siempre un enlace en particular de salida. -se es el ejemplo m&s simple de un mapa de ruta, pero los mapas de ruta permiten muc%as cosas m&s, por ejemplo cambiar par&metros de enrutamiento como mtricas o filtrar actuali(aciones de enrutamiento que pro!engan de otro enrutador. <l mecanismo $(sico por el "ue se especifica "u tr(fico ser( afectado por las reglas del mapa de ruta son las acl e*tendidas.