NetDay

Listas de Control de Acceso (ACLs)

Luis A Trejo
Octubre 2005
 Listas de Control de Acceso
¿Para qué sirven?
¿Qué son?
Standard Access List
Basado en la dirección fuente

Extended Access List

Basado en direcciones fuente y destino,
protocolo específico, puerto y otros parámetros
Verificación de ACLs
 ¿Cómo funcionan?
ACL out F0 Out
S0
S1

Caso 1
1) Llega el paquete a F0
2) Se aplica el algoritmo de ruteo
3) Si la interfaz de salida tiene una lista de acceso asignada
entonces aplica lista de acceso:
a) Pasa (permit) b) No pasa (deny)
 ¿Cómo funcionan?
ACL in In S0
F0
S1

Caso 2
1) Llega el paquete a F0
2) Se procesa el paquete con la lista de acceso asociada a
la interfaz de entrada
a) Pasa (permit) b) No pasa (deny)

Se aplica el algoritmo Se descarta

de ruteo
Las ACLs no aplican en el mismo ruteador
que genera el tráfico
 Evaluación
Evaluación de las listas de acceso
• De arriba hacia abajo, de manera
secuencial hasta encontrar un mapeo.
• Si hay mapeo se aplica la acción
(permit o deny).
• Si no hay un mapeo, la última expresión
es una negación implícita (deny).
Evaluación
 Funcionamiento

Identificación de las listas de acceso

• IP estándard 1-99
• IP extendida 100-199, nombradas (IOS
11.2)
Uso de máscaras (Wildcards)
Bit = 0 revisar
Bit = 1 ignorar
 Funcionamiento

Tres variables entran en juego

• Dirección IP a evaluar
• Dirección IP base. Dirección IP contra
la cual se va a comparar
• Máscara (WCM)
Ejemplo:
Aceptar cualquier dirección IP proveniente de la
red 10.0.0.0
Cualquier dirección 10.X.X.X debe ser mapeada.
Caso 1
Source IP 10.10.5.5
10.0.0.0 0.255.255.255
00001010.00001010.00000101.00000101
00001010.00000000.00000000.00000000
WCM 00000000.11111111.11111111.11111111
Hay mapeo
Caso 2
Source IP 8.10.5.5 Hay Mapeo
No hay Mapeo. => La evaluación
final es FALSO. Evalúa siguiente regla

000010 0 0.00001010.00000101.00000101
000010 1 0.00000000.00000000.00000000
WCM 000000 0 0.11111111.11111111.11111111
 Abreviaciones
• Aceptar cualquier dirección:
0.0.0.0 255.255.255.255 equivalente a any
• Para revisar cada bit de una dirección:
148.241.3.21 0.0.0.0 equivalente a
host 148.241.3.21
 Ejercicios

• Filtrar una dirección fuente impar

• Filtrar una dirección fuente par
 Configuración de una ACL
(pasos)
1. Definir la ACL utilizando el comando:
Router(config)# access-list access-list-
number {permit | deny} {test-conditions}

2. Aplicar la ACL a una interfaz:

Router(config-if)# {protocol} access-group
access-list-number {in | out}
 Sintaxis ACL extendida

Parámetro Descripción
access-list-number Identifica la lista usando un número en el rango
de 100 a 199
protocol El protocolo, ya sea IP, TCP, UDP, ICMP, GRE
o IGRP
source y destination Identifica direcciones fuente y destino
source-mask y destination-mask Wildcard mask
operator operand lt, gt, eq, neq, y un número de puerto
established Permite el paso del tráfico TCP si el paquete
utiliza una conexión establecida
 NetDay
19-21 Octubre 2005
Protocolos de Red y Configuración Avanzada de
Equipo de Ruteo
Taller Dr Luis A Trejo
Coordinador CNAP