Cisco Access Control List

Ing. Luis Eduardo Melndez Campis

Especialista en Telecomunicaciones
Ingeniero de Sistemas
1

Listas de Control de Acceso

Permiten al administrador de la red

especificar condiciones que determinan la

manera en que un router controlara el
flujo de trafico.
Pueden actuar a nivel de direcciones de
origen/destino, protocolos y puertos:
capas 3 y 4.
Son secunciales.

Listas de control de acceso

Cada ACL es un conjunto de sentencias

que filtran a cada paquete en la interfaz

instalada
Cada ACL sobre cada interfaz, acta en
un sentido, distinguiendo tanto sentido de
entrada como de salida

Posibles usos de ACLs

Limitar el trfico de red y mejorar el

desempeo de la red. Por ejemplo, las
ACL pueden designar ciertos paquetes
para que un router los procese antes de
procesar otro tipo de trfico, segn el
protocolo.
Brindar control de flujo de trfico. Por
ejemplo, las ACL pueden restringir o
reducir el contenido de las
actualizaciones de enrutamiento.
Proporcionar un nivel bsico de
seguridad para el acceso a la red. Por
ejemplo, las ACL pueden permitir que un
host acceda a una parte de la red y
evitar que otro acceda a la misma rea.
Se debe decidir qu tipos de trfico se
envan o bloquean en las interfaces
del router. Por ejemplo, se puede
permitir que se enrute el trfico de correo
electrnico, pero bloquear al mismo
tiempo todo el trfico de telnet.
4

Declaracin de ACLs

Los pasos a seguir para crear una ACL son:

definimos la lista que formar un grupo

access-list nmero .....sentencia..
access-list nmero......sentencia..
La ltima sentencia implcitamente es negar
luego aplicamos dicha ACL sobre los interfaces en
el sentido deseado con
ip access-group nmero (in/out)

Flujo en la comparacin de ACLs

Se manda paquete ICMP

Destino inalcanzable
6

Pasos en la definicin (1/2)

Pasos en la definicin (2/2)

Tipos de ACLs
Las ACLs se clasifican segn el nmero
utilizado en access-list nmero .....y que
estn definidos
1.
2.
3.
4.
5.
6.

Estandar IP 1-99
Extended IP 100-199
AppleTalk 600-699
IPX 800-899
Extended IPX 900-999
IPX Service Advertising Protocol 1000-1099
9

ACLs: IP estndar y extended

Se definen en modo global de configuraci n
Router(config)#

Las ACLs estndar su formato es

access-list acl-number {deny | permit} source [source-wildcard ] [log]

Las ACLs extended su formato es

access-list acl_number {deny | permit} proto source [source- wildcard] destination

[destination-wildcard] [operand port] [established] [log]

A nivel de interfaz:
Router(configif)#ipaccessgroupaccesslistnumber{in|out}
Log: para registrar los incidentes ( msg: n ACL, si el paquete ha sido permitido o denegado,
direccin origen y el nmero de paquetes)
proto: ip, tcp, udp, icmp, gre, igrp
operation operand: lt(less than), gt(greater than), eq (equal), neq (non equal) y un n mero de puerto
established: si la conexin TCP est establecida con acks

10

Wildcard

El enmascaramiento wildcard para los bits de

direcciones IP utiliza los nmeros 1 y 0 para
referirse a los bits de la direccin.

Un bit de mscara wildcard 0 significa comprobar el

valor correspondiente
Un bit de mascara wildcard 1 significa No comprobar
(ignorar) el valor del bit correspondiente

11

Wildcard (Ejercicio)
Dada la direccin IP 192.168.100.64
255.255.255.224, identifique la mscara
de wildcard que va a machear los host
192.168.100.64 a 95.
Dada la direccin IP 172.16.8.0
255.255.255.0, identifique la mscara
wildcard que machea subredes
172.16.8.0 - 172.16.15.0 y todos los host
de las subredes.

12

Trminos Any y host

Si especificamos que cualquiera cumple la

sentencia pondramos como direccin IP 0.0.0.0
y de mscara todo 1s para que se ignore
(255.255.255.255), por tanto la palabra any
sustituye a 0.0.0.0 255.255.255.255
Si especificamos una direccin IP determinada,
daremos la direccin y luego la mscara de todo
0s, que se simplifica con la palabra host

13

Ejemplos any y host

ANY
access-list 1 permit 0.0.0.0 255.255.255.255
Se puede poner como
access-list 1 permit any
HOST
access-list 1 permit 172.30.16.29 0.0.0.0
Se puede poner como
access-list 1 permit host 172.30.16.29
14

Ejemplo1: ACL estndar

En este ejemplo, la ACL

slo permite que se
enve el trfico desde la
red origen 172.16.0.0.
El trfico que no es de
172.16.0.0 se bloquea.
El ejemplo muestra
cmo la ACL slo
permite que se enve el
trfico desde la red
origen 172.16.0.0 y que
se bloquee el que no es
de 172.16.0.0.
15

Ejemplo2: Denegar un host especfico

ACL para bloquear el trfico

proveniente de una direccin
especfica, 172.16.4.13, y para
permitir que todo el trfico restante
sea enviado en la interfaz Ethernet 0.
El primer comando access-list usa el
parmetro deny para denegar el
trfico del host identificado. La
mscara de direccin 0.0.0.0 en esta
lnea requiere que en la prueba
coincidan todos los bits.
En el segundo comando access-list
la combinacin de mscara wildcard /
direccin IP 0.0.0.0 255.255.255.255
identifica el trfico de cualquier origen.
16

Ejemplo 3: Denegar una direccin de

red

El ejemplo muestra
cmo una ACL est
diseada para
bloquear el trfico
desde una subred
especfica,
172.16.4.0, y para
permitir que el
resto del trfico sea
enviado.

17

Nmeros de puerto reservados

18

Ejemplo 4: ACL extendida que bloquea

el trfico de FTP.

Observe que el bloqueo del puerto

21 evita que se transmitan los
comandos FTP, evitando de esta
manera las transferencias de
archivo FTP. El bloqueo del puerto
21 evita que el trfico mismo se
transmita, pero no bloquea los
comandos FTP. Los servidores FTP
se pueden configurar fcilmente
para funcionar en diferentes
puertos. Debe entender que los
nmeros de puerto conocidos son
simplemente eso: conocidos. No
existen garantas de que los
servicios estn en esos puertos,
aunque normalmente lo estn.
19

Ejemplo 5: Denegar conexiones telnet

de una subred

no permite que el trfico

de Telnet (eq 23) desde
172.16.4.0 se enve desde
la interfaz E0. Todo el
trfico desde cualquier
otro origen a cualquier
otro destino se permite,
segn lo indica la palabra
clave any. La interfaz E0
est configurada con el
comando access-group
101 out ; es decir, ACL
101 se encuentra
enlazada a la interfaz
saliente E0.
20

Ubicacin de las ACLs

Las ACLs estandar no especifican direcciones

destino, de manera que se debe colocar la
ACL estndar lo ms cerca posible del destino.
las ACLs extendidas se colocaran lo ms cerca
posible del origen del trfico denegado.

21

ACLs Nombradas

Se usan cuando:
- Se desea identificar intuitivamente las ACL utilizando un nombre
alfanumrico.
-Existen ms de 99 ACL simples y 100 extendidas que se deben
configurar en un router para un protocolo determinado.

Hay que tener en cuenta que:

-Las ACL nombradas no son compatibles con las versiones Cisco
IOS anteriores a la versin 11.2
-No se puede usar el mismo nombre para mltiples ACL. Adems,
las ACL de diferentes tipos no pueden tener el mismo nombre. Por
ejemplo, no es vlido especificar una ACL estndar llamada
Administracin y una ACL extendida con el mismo nombre.

22

ACLs Nombradas
Router(config)# ip access-list {standard |
extended} name
ip access-list standard Internetfilter
permit 128.88.0.0 0.0.255.255
permit 36.0.0.0 0.255.255.255

23

Verificacin de ACLs
show ip interface:indicada si cualquier ACL

est establecida.
show access-lists: muestra los contenidos
de todas las ACLs-

24

Show ip interface. Resultado

25