UNIVERSIDAD NACIONAL DE CHIMBORAZO

FACULTAD DE INGENIERA
ESCUELA DE ELECTRNICA Y
TELECOMUNICACIONES TELEMTICA I Y
LABORATORIO

Listas de Acceso
Raul Samaniego
rast20@gmail.com

i.

En principio si las ACL no estn configuradas en el

router, todos los paquetes que pasen a travs del router
tendrn acceso a todas las partes de la red.

Introduccin

N el presente informe se trata de detallar y

explicar cmo se realiza la practica en packet tracer
implementado listas de acceso, con el fin de poder filtrar
ciertas direcciones y entender cmo funcionan los
servidores cuando existen direcciones que se necesita
denegar y direcciones que se necesita tener acceso, es
as como a continuacin veremos cmo
logramos la obtencin del filtrado.

ii.

ii.

ii.
Mscaras
Las mscaras se utilizan con direcciones IP en IP ACL
para especificar lo que debe ser permitido y
denegado. Mscaras con el fin de configurar las
direcciones IP en las interfaces de comenzar con 255 y
tener los valores grandes en el lado izquierdo, por
ejemplo, 209.165.202.129 direcciones IP con una
mscara 255.255.255.224. Mscaras en ACL IP son la
inversa, por ejemplo, la mscara 0.0.0.255. Esto a veces
se llama una mscara inversa o una mscara
wildcard. Cuando el valor de la mscara se divide en
binarios (0 y 1), los resultados determinan qu
direccin bits son para ser considerado en el
procesamiento del trfico. Un 0 indica que los bits de
direccin deben ser considerados
(coincidencia
exacta); un 1 en la mscara es un "no me importa". En
esta tabla se explica an ms el concepto.

Objetivos
i.

Es posible crear ACL en protocolos de red enrutados,

como el Protocolo de Internet (IP) y el Intercambio de
paquetes de internetwork (IPX), entre otros. Se
debe definir una ACL para cada protocolo enrutado
habilitado en la interfaz.

OBEJETIVO GENERAL

Realizar el filtrado de direcciones ciertas

direcciones IP y detallarlas.

OBJETIVOS ESPECFICOS
Crear unas tutas especficas por donde se
transmitirn la informacin por medio
del filtrado.
Detallar el procedimiento para la obtencin
del filtrado, en este documento.

iii. Marco terico:

i.

Conceptos ACL

En el mbito de los dispositivos routers, las ACLs son

listas de condiciones que se aplican al trfico que viaja
a travs de la interfaz del router. Las ACL indican al
router qu tipo de paquetes aceptar o rechazar en base a
las condiciones establecidas en ellas y que permiten la
administracin del trfico y aseguran el acceso, bajo
esas condiciones, hacia y desde una red. La aceptacin
y rechazo se pueden basar en la direccin origen,
direccin destino, protocolo de capa superior y nmeros
de puerto. Por lo tanto, una ACL es un grupo de
sentencias que define cmo se procesan los paquetes
que:
Entran a las interfaces de entrada
Se reenvan a travs del router
Salen de las interfaces de salida del router

Mscara Ejemplo
direccin de
red (trfico
que se va a
procesar)
mscara
direcciones
de red
msc
ara

10.1.1.0

0.0.0.255
00001010.00000001.00000001.0000000
0
00000000.00000000.00000000.11111111

Tabla. 1 Ejemplo de una direccin IP con su

mscara invertida.

Sobre la base de la mscara binaria, se puede ver que

los tres primeros sets (octetos) deben coincidir con la
direccin de red binaria dado
exactamente
(00001010.00000001.00000001). El ltimo conjunto de
nmeros se "No le importa" (0,11111111). Por lo tanto,
todo el trfico que comienza con 10.1.1. partidos desde
el ltimo octeto es "no me importa". Por lo tanto, con

esta mscara, a travs de direcciones de red 10.1.1.1

Definir qu se les niega el protocolo, origen, destino y el

puerto:

10.1.1.255 (10.1.1.x) se procesan.

Router (config) # access-list 101 tcp negar 10.0.0.0

0.255.255.255 187.100.1.6 0.0.0.0 eq 21

Restar la mscara normal desde 255.255.255.255 a fin de

determinar la mscara inversa ACL. En este ejemplo, la
mscara inversa se determina por la direccin de red
172.16.1.0 con una mscara normal de 255.255.255.0.
255.255.255.255 - 255.255.255.0
(mscara normal) = 0.0.0.255 (mscara inversa)

Router (config) # access-list 101 tcp negar 10.0.0.0

0.255.255.255 187.100.1.6 0.0.0.0 eq 20
Router (config) # access-list 101 IP del permiso
cualquier cualquier

Nota estos equivalentes de ACL. La fuente / origencomodn de 0.0.0.0/255.255.255.255 significa "todo". La

fuente / comodn de 10.1.1.2/0.0.0.0 es lo mismo que "host
10.1.1.2".

Aplicar esta ACL a una interfaz:

Router (config) # interface Fa0 / 1
Router (config-if) # ip access-group 101 fuera

iii.
ACL Summarization
Nota: Las mscaras de subred tambin pueden ser
representados como una notacin de longitud fija. Por
ejemplo, 192.168.10.0/24 representa 192.168.10.0
255.255.255.0. Esta lista describe cmo resumir una serie
de redes en una sola red para la optimizacin de ACL.
Considere estas redes.

Tenga en cuenta que tenemos que explcitamente permiten

otro tipo de trfico (access-list 101 permiso ip any any) ya
que hay una orden de "negar todos" al final de cada ACL.
Como podemos ver, el destino de la lista de acceso de
arriba es "187.100.1.6 0.0.0.0" que especifica un host.
Podemos utilizar "187.100.1.6 host" en su lugar. Vamos a
discutir mscara wildcard despus.

192.168.32.0/24
192.168.33.0/24
192.168.34.0/24

Definir la ACL:

Router (config) # ip access-list extendi in_to_out

anfitrin permiso tcp 10.0.0.1 acogida eq 187.100.1.6
telnet

iv.
Objetivos de las ACL
En resumen, los objetivos que se persiguen con la creacin
de ACL son:
Limitar el trfico de red y mejorar el rendimiento de la red.
Al restringir el trfico de vdeo, por ejemplo, las ACL
pueden reducir ampliamente la carga de la red y en
consecuencia mejorar el rendimiento de la misma.

(Aviso de que podemos utilizar 'telnet' en vez de puerto 23)

Controlar el flujo del trfico. Las ACL pueden restringir el

envo de las actualizaciones de enrutamiento. Si no se
necesitan actualizaciones debido a las condiciones de la
red, se preserva el ancho de banda. Proporcionar un nivel
bsico de seguridad para el acceso a la red. Por ejemplo,
las ACL pueden permitir que un host acceda a una parte de
la red y evitar que otro acceda a la misma rea. Por
ejemplo, el host-1 se le permite el acceso a la red de
Produccin, y al host-2 se le niega el acceso a esa red.
Establecer qu tipo de trfico se enva o se bloquea en
las interfaces del router. Por ejemplo, permitir que se enve
el trfico relativo al correo electrnico, y se bloquea el
trfico de ftp. Otorgar o denegar permiso a los usuarios
para acceder a ciertos tipos de archivos, tales como FTP o
HTTP.

Router (config-if) # ip in_to_out access-group in

Aplicar esta ACL a una interfaz:

Router (config) # interface Fa0 / 0

Desarrollo
:
Simulacin
:
Para realizar la simulacin se propuso un escenario
conformado por un routes, 2 subredes, la una contiene una
PCy la otra 2 PCs. Las reacciones son clase C, y se plantea
denegar el acceso desde una de las maquinas a un PC de la
Red conformada por dos maquimas:

Router#conf ter
Enter configuration commands, one per line. End with
CNTL/Z.
Router(config)#acc
Router(config)#access-list 101 deny ip 192.168.2.2
0.0.0.0 192.168.1.3 0.0.0.0
Router(config)#access-list 101 permit ip any
any Router(config)#exit
Router#conf terminal
Router(config)#interface fastEthernet
0/1 Router(config-if)#ip access-group
101 in Router(config-if)#exit
Router#copy running-config startupconfig Destination filename [startupconfig]?
Building configuration...

Luego de realizar el direccionamiento y configurar

respectivamente a cada dispositivo con su respectiva IP,
pasamos a realizar la configuracin de la Lista de acceso.
A continuacin se indicaran los comandos ingresados:
Router#conf ter
Router(config)#access-list 102 deny ip 192.168.2.2
0.0.0.0 192.168.1.3 0.0.0.0
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip access-group 102 in
Router(config-if)#end
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#show ip interface brief
Interface
IP-Address
OK? Method Status
Protocol
FastEthernet0/0

192.168.1.1

YES manual up up

FastEthernet0/1

192.168.2.1

YES manual up up

A continuacin se indicara como al hacer ping desde

la 192.168.2.2 a la direccin 192.168.1.2 si se hace
ping mientras que a la 192.168.1.3 no se puede
acceder eso se debe al filtrado correcto de la red.

Vlan1
unassigned
YES unset
Router#configure ter Router(config)#no
access-list 102
Router(config)#end //Cuando queremos eliminar la
ACL.
Router#conf ter
Router(config)#access-list 103 deny ip 192.168.2.0
0.0.0.255 192.168.1.3 0.0.0.0
Router#conf ter
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip acc
Router(config-if)#ip access-group 103 in
Router(config-if)#end
Router#copy running-config startup-config
Destination filename [startup-config]? [OK]

Conclusiones
1. Se logr entender de mejor manera esta parte
fundamental del filtrado, al hacer la partica no
dimos
cuenta
de algunos parmetros
importantes en una lista de accesos.
2. Se
logr
cumplir
con
el
objetivo
satisfactoriamente, la restriccin de la red
hacia una direccin en especfico.


Recomendaciones:

http://maestroseguridades.es.tl/INFORMEPRACTICA-ACL.htm

Biografa:

Se recomienda tener los comandos listos, y

direccionar la red de una manera que no sea
tan complicada para el configurador.
No olvidar de al final de la lista de acceso se
realiza la declaracin por defecto que es ANY
en todos los campos a llenar para que toda
la red tenga acceso a las dems redes.

naci en Quito Ecuador el 29

de Octubre de 1985. Realiz sus estudios
Secundarios en el Colegio Experimental
Pedro Vicente Maldonado. Actualmente se
encuentra estudiando en Sptimo semestre de
Ingeniera
en
Electrnica
y
Telecomunicaciones de la Universidad
Nacional de Chimborazo.
Ral Samaniego,

Bibliografa:
http://aprenderedes.com/2006/09/c
onfiguracion-de-rip/