ACL CONCEPTOS

En esta seccin se describen los conceptos de ACL. MSCARAS Las mscaras se utilizan las direcciones IP en la ACL IP para especificar lo que debe ser permitido y denegado. Mscaras con el fin de configurar las direcciones IP en las interfaces de empezar con 255 y tienen los valores grandes en el lado izquierdo, por ejemplo, la direccin IP 209.165.202.129 con una mscara de255.255.255.224. Mascarillas para ACL IP son el reverso, por ejemplo, la mscara de 0.0.0.255. A veces se denomina una mscara inversa o una mascara. Cuando el valor de la mscara se divide en binario (0s y 1s), los resultados determinan que los bits de direccin se deben considerar en el procesamiento del trfico.El valor 0 indica que los bits de direccin deben ser considerados (coincidencia exacta), un 1 en la mscara es un "no me importa".Este cuadro tambin se explica el concepto. Mask Example network address (traffic that is to be processed) mask network address (binary) mask (binary) 10.1.1.0 0.0.0.255 00001010.00000001.00000001.00000000 00000000.00000000.00000000.11111111

Sobre la base de la mscara binaria, se puede ver que los tres primeros conjuntos (octetos) debe coincidir con la direccin binaria de la red dado exactamente (00001010.00000001.00000001). El ltimo conjunto de nmeros"no le importa" (0.11111111). Por lo tanto, todo el trfico que se inicia con 10.1.1. partidos desde el ltimo octeto es "no importa".Por lo tanto, con esta mscara, las direcciones de red 10.1.1.1 a 10.1.1.255 (10.1.1.x) se procesan. Restar la mscara normal de 255.255.255.255 con el fin dedeterminar la mscara Inversa ACL. En este ejemplo, la mscarainversa se determina la direccin de red 172.16.1.0 con una mscara normal de 255.255.255.0. y 255.255.255.255 - 255.255.255.0 (mscara normal) = 0.0.0.255(mscara inversa)

Tenga en cuenta estos equivalentes de ACL. y y El origen / fuente comodn de 0.0.0.0/255.255.255.255 se entiende "todo". La fuente / comodn de 10.1.1.2/0.0.0.0 es lo mismo que "host10.1.1.2".

ACL DE RESUMEN Nota: Las mscaras de subred tambin se puede representar como una notacin de longitud fija. Por ejemplo, 192.168.10.0/24representa 192.168.10.0 255.255.255.0. Esta lista describe la manera de resumir una serie de redes en una nica red para la optimizacin de ACL. Tenga en cuenta estas redes.

192.168.32.0/24 192.168.33.0/24 192.168.34.0/24 192.168.35.0/24 192.168.36.0/24 192.168.37.0/24 192.168.38.0/24 192.168.39.0/24 Los dos primeros octetos y el ltimo octeto es el mismo para cada red. Esta tabla es una explicacin de cmo resumir estas en una sola red. El tercer octeto para las redes anteriores se pueden escribir como se ve en esta tabla, de acuerdo con la posicin del bit octeto y valor de la direccin de cada bit. Decimal 32 33 34 35 36 37 38 39 128 0 0 0 0 0 0 0 0 M 64 0 0 0 0 0 0 0 0 M 32 1 1 1 1 1 1 1 1 M 16 0 0 0 0 0 0 0 0 M 8 0 0 0 0 0 0 0 0 M 4 0 0 0 0 1 1 1 1 D 2 0 0 1 1 0 0 1 1 D 1 0 1 0 1 0 1 0 1 D

Desde los primeros cinco coinciden con los bits, los ltimos ocho redes se pueden resumir en una sola red (255.255.248.0192.168.32.0 o 192.168.32.0/21). Las ocho combinaciones posibles de los tres bits de orden inferior son relevantes para los rangos de la red en cuestin. Este comando define una ACL que permite a esta red. Si se resta 255.255.248.0 (mscara de lo normal) de 255.255.255.255, produce 0.0.7.255.

access-list acl_permit permit ip 192.168.32.0 0.0.7.255

Tenga en cuenta este conjunto de redes para mayor explicacin. 192.168.146.0/24 192.168.147.0/24 192.168.148.0/24 192.168.149.0/24 Los dos primeros octetos y el ltimo octeto es el mismo para cada red. Esta tabla es una explicacin de Cmo resumir estas.

El tercer octeto para las redes anteriores se pueden escribir como se ve en esta tabla, de acuerdo con la posicin del bit octeto y valor de la direccin de cada bit. Decimal 146 147 148 149 128 1 1 1 1 M 64 0 0 0 0 M 32 0 0 0 0 M 16 1 1 1 1 M 8 0 0 0 0 M 4 0 0 1 1 ? 2 1 1 0 0 ? 1 0 1 0 1 ?

A diferencia del ejemplo anterior, no se puede resumir estas redes en una sola red. Si ellos se resumen a una sola red, se convierten en 192.168.144.0/21 porque hay cinco bits similar en el tercer octeto. Este resumen de la red 192.168.144.0/21 abarca una serie de redes de 192.168.144.0 a 192.168.151.0. Entre estos, las redes 192.168.144.0, 192.168.145.0, 192.168.150.0, 192.168.151.0 y no estn en la lista dada de cuatro redes. Con el fin de cubrir las redes en cuestin, se necesita un mnimo de dos redes de resumen. El dado cuatro redes se pueden resumir en estas dos redes: y Para las redes 192.168.146.x y 192.168.147.x, coinciden todos los bits excepto el ltimo, que es un "no me importa." Esto se puede escribir como 192.168.146.0/23 (o 192.168.146.0 255.255.254.0). y Para las redes 192.168.148.x y 192.168.149.x, coinciden todos los bits excepto el ltimo, que es un "no me importa." Esto se puede escribir como 192.168.148.0/23(o 192.168.148.0 255.255.254.0).

Esta salida se define una ACL resumen de las redes anteriores. ! --- Este comando se utiliza para permitir el acceso el acceso dedispositivos con IP ! --- Direcciones en el rango de 192.168.146.0 a 192.168.147.254.

access-list 10 permit 192.168.146.0 0.0.1.255

! --- Este comando se utiliza para permitir el acceso el acceso dedispositivos con IP ! --- Direcciones en el rango de 192.168.148.0 a 192.168.149.254

access-list 10 permit 192.168.148.0 0.0.1.255

ACL PROCESO
El trfico que viene en el router se compara con las entradas de ACL basado en el orden en que las entradas se producen en el router. Nuevas declaraciones se aaden a la final de la lista. El router sigue buscando hasta que haya un partido. Si no se encuentran coincidencias cuando el router llega a la final de la lista, el trfico se neg. Por esta razn, usted debe tener las entradas azotada con frecuencia en la parte superior de la lista. Hay una implcita niegan para el trfico que no est permitido. Una ACL de entrada nica con un solo negar la entrada tiene el efecto de negar todo el trfico. Usted debe tener al menos un declaracin de permiso de una ACL o el trfico de todo est bloqueado. Estos dos ACL (101 y 102) tienen el mismo efecto.

! --- Este comando se utiliza para permitir el trfico IP de 10.1.1.0 ! --- Red 172.16.1.0 a la red. Todos los paquetes con una fuente ! Direccin --- no en este rango sern rechazadas.

access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

! --- Este comando se utiliza para permitir el trfico IP de 10.1.1.0 ! --- Red 172.16.1.0 a la red. Todos los paquetes con una fuente ! Direccin --- no en este rango sern rechazadas.

access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 deny ip any any
En este ejemplo, la ltima entrada es suficiente. Usted no necesitalas tres primeras entradas, porque TCP incluye Telnet y IP incluye TCP, User Datagram Protocol (UDP), e Internet Control Message Protocol (ICMP). ! --- Este comando se utiliza para permitir el trfico de Telnet ! --- De la mquina a la mquina 10.1.1.2 172.16.1.1.

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

! --- Este comando se utiliza para permitir el trfico TCP de ! --- 10.1.1.2 mquina host de mquina host 172.16.1.1.

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1

! --- Este comando se utiliza para permitir el trfico UDP ! --- 10.1.1.2 mquina host de mquina host 172.16.1.1.

access-list 101 permit udp host 10.1.1.2 host 172.16.1.1

! --- Este comando se utiliza para permitir el trfico IP de ! --- 10.1.1.0 de la red a la red 172.16.1.10.

access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

DEFINIR LOS PUERTOS Y LOS TIPOS DE MENSAJES

Adems de definir la fuente de ACL y de destino, es posible definir los puertos, tipos de mensajes ICMP, y otros parmetros. Una buena fuente de informacin para los puertos conocidos es el RFC 1700. Tipos de mensajes ICMP se explica en el RFC 792. El router puede mostrar un texto descriptivo sobre algunos de lospuertos conocidos. Use un? en busca de ayuda.

access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 eq ?

BGP chargen cmd

Border Gateway Protocol (179) generador de caracteres (19) remoto comandos (rcmd, 514)

Durante la configuracin, el router tambin convierte los valores numricos de ms fcil de usar valores. Este es un ejemplo donde se escribe el nmero de mensajes ICMP tipo y hace que el router para convertir el nmero a un nombre.

access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14

se convierte en

access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 timestamp-reply

APLICAR LAS ACL

Puede definir las ACL sin aplicarlos. Sin embargo, la ACL no tendr efecto hasta que se aplica a la interfaz del router. Es una buena prctica aplicar la ACL en la interfaz ms cercana al origen del trfico. Como se muestra en este ejemplo, al intentar bloquear el trfico desde el origen al destino, puede aplicar una entrada de ACL a E0 en el router A en lugar de una lista de salida para E1 en el router C. Una lista de acceso tiene un deny ip any any implcito al final de cualquier lista de acceso. Si el trfico est relacionado con una solicitud de DHCP y si no est explcitamente permitido, el trfico cay es porque cuando miras a peticin de DHCP en IP, la direccin de origen es s = 0.0.0.0 (ethernet1 / 0), d =255.255.255.255 , len 604, 2 rcvd UDP src = 68, dst = 67. Tenga en cuenta que la direccin IP de origen es 0.0.0.0 y la direccin de destino es 255.255.255.255. Puerto de origen y destino es de 6867. Por lo tanto, debe permitir este tipo de trfico en el acceso a la lista de lo contrario el trfico se redujo debido a la implcita deny al final de la declaracin. Nota: Para el trfico UDP pasar a travs de, el trfico UDP debe ser tambin PERMITIDO explcitamente por el ligamento cruzado anterior.

Definir, salida, entrada, salida Fuente, y el destino

El router utiliza los trminos, fuera, el origen y destino como referencias. El trfico en el router se puede comparar con el trfico en la carretera. Si usted fuera un oficial de polica en Pensilvania y quera parar un camin que iba desde Maryland hasta Nueva York, la fuente de la camioneta es de Maryland y el destino del camin es de Nueva York. El puesto de control podra aplicarse en la frontera de Pennsylvania y Nueva York (a) o la frontera de Maryland, Pennsylvania (en). Cuando se hace referencia a un router, estos trminos tienen los significados. y Fuera de trfico que ya ha sido a travs del router y sale de la interfaz. La fuente es donde ha sido, en el otro lado del router, y el destino es a dnde va.

En el trfico que llega a la interfaz y luego pasa a travs del router.La fuente es donde se ha sido y es el destino a donde va, al otro lado del router. De entrada-Si la lista de acceso es de entrada, cuando el router recibe un paquete, el software Cisco IOS comprueba las declaraciones de los criterios de la lista de acceso para un partido. Si se permite el paquete, el software sigue para procesar el paquete. Si el paquete es rechazado, el programa descarta el paquete. Saliente Si la lista de acceso es de salida, despus de que el software recibe y distribuye un paquete a la interfaz de salida, el software comprueba las declaraciones de los criterios de la lista de acceso para un partido. Si se permite el paquete, el software transmite el paquete. Si el paquete es rechazado, el programa descarta el paquete.

En ACL tiene una fuente en un segmento de la interfaz a la que se aplica y un destino fuera de cualquier otra interfaz. La ACL a cabo tiene una fuente en un segmento de cualquier otra interfaz de la interfaz a la que se aplica y un destino fuera de la interfaz a la que se aplica.

EDICIN DE ACL
Cuando se modifica un ACL, que requiere una atencin especial.Por ejemplo, si tiene la intencin de eliminar una lnea especfica de una ACL numerada que existe, como se muestra aqu, toda la ACL se elimina. ! --- La lista de acceso 101 icmp niega de cualquier a cualquier red de ! --- Pero el trfico IP permite que desde cualquier a cualquier red. router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#access-list 101 deny icmp any any router(config)#access-list 101 permit ip any any router(config)#^Z router#show access-list Extended IP access list 101 deny icmp any any permit ip any any router# *Mar 9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#no access-list 101 deny icmp any any router(config)#^Z router#show access-list router# *Mar 9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console Copiar la configuracin del router a un servidor TFTP o un editor de texto como el Bloc de notas para editar las ACL numeradas.Realice los cambios y la configuracin de copia de nuevo al router. Tambin puede hacer esto.

router#configure terminal Enter configuration commands, one per line. router(config)#ip access-list extended test ! --- Permite el trfico IP de la mquina host 2.2.2.2 a 3.3.3.3mquina host. router(config-ext-nacl)#permit ip host 2.2.2.2 host 3.3.3.3 ! --- Www permita el trfico de la mquina anfitriona 1.1.1.1 a5.5.5.5 mquina host. router(config-ext-nacl)#permit tcp host 1.1.1.1 host 5.5.5.5 eq www ! --- Permite el trfico ICMP desde cualquier a cualquier red. router(config-ext-nacl)#permit icmp any any ! --- Permite el trfico de DNS de la mquina anfitriona 6.6.6.6 a10.10.10.0 red. router(config-ext-nacl)#permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain router(config-ext-nacl)#^Z 1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l router#show access-list Extended IP access list test permit ip host 2.2.2.2 host 3.3.3.3 permit tcp host 1.1.1.1 host 5.5.5.5 eq www permit icmp any any permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain Las supresiones se retiran de la ACL y las adiciones se hacen alfinal de la ACL. router#configure terminal Enter configuration commands, one per line. router(config)#ip access-list extended test ! --- Entrada de ACL eliminados. router(config-ext-nacl)#no permit icmp any any ! --- Entrada de ACL aadido. router(config-ext-nacl)#permit gre host 4.4.4.4 host 8.8.8.8 router(config-ext-nacl)#^Z 1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l router#show access-list Extended IP access list test permit ip host 2.2.2.2 host 3.3.3.3 permit tcp host 1.1.1.1 host 5.5.5.5 eq www permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain permit gre host 4.4.4.4 host 8.8.8.8 End with CNTL/Z.

Tambin puede agregar lneas de ACL estndar numeradas onumeradas ACL extendidas por el nmero de secuencia en el IOS de Cisco. Esto es una muestra de la configuracin: Configurar la ACL extendida de esta manera: Router(config)#access-list 101 permit tcp any any Router(config)#access-list 101 permit udp any any Router(config)#access-list 101 permit icmp any any Router(config)#exit Router# Ejecute el comando show access-list de comandos para ver las entradas de ACL. Los nmeros de secuencia, como 10, 20 y 30tambin aparecen aqu. Router#show access-list Extended IP access list 101 10 permit tcp any any 20 permit udp any any 30 permit icmp any any Agregue la entrada de la lista de acceso 101 con el nmero de secuencia 5. Ejemplo 1: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list extended 101 Router(config-ext-nacl)#5 deny tcp any any eq telnet Router(config-ext-nacl)#exit Router(config)#exit Router# En la salida del comando show access-list, la secuencia nmero 5ACL se aade como la primera entrada a la lista de acceso 101. Router#show access-list Extended IP access list 101 5 deny tcp any any eq telnet 10 permit tcp any any 20 permit udp any any 30 permit icmp any any Router# Ejemplo 2: internetrouter#show access-lists Extended IP access list 101 10 permit tcp any any 15 permit tcp any host 172.162.2.9 20 permit udp host 172.16.1.21 any 30 permit udp host 172.16.1.22 any

internetrouter#configure terminal Enter configuration commands, one per line. End with CNTL/Z. internetrouter(config)#ip access-list extended 101 internetrouter(config-ext-nacl)#18 per tcp any host 172.162.2.11 internetrouter(config-ext-nacl)#^Z internetrouter#show access-lists Extended IP access list 101 10 permit tcp any any 15 permit tcp any host 172.162.2.9 18 permit tcp any host 172.162.2.11 20 permit udp host 172.16.1.21 any 30 permit udp host 172.16.1.22 any internetrouter# Del mismo modo, puede configurar la lista de acceso estndar de esta manera: internetrouter(config)#access-list 2 permit 172.16.1.2 internetrouter(config)#access-list 2 permit 172.16.1.10 internetrouter(config)#access-list 2 permit 172.16.1.11 internetrouter#show access-lists Standard IP access list 2 30 permit 172.16.1.11 20 permit 172.16.1.10 10 permit 172.16.1.2 internetrouter(config)#ip access-list standard 2 internetrouter(config-std-nacl)#25 per 172.16.1.7 internetrouter(config-std-nacl)#15 per 172.16.1.16 internetrouter#show access-lists Standard IP access list 2 15 permit 172.16.1.16 30 permit 172.16.1.11 20 permit 172.16.1.10 25 permit 172.16.1.7 10 permit 172.16.1.2 La principal diferencia en una lista de acceso estndar es que elIOS de Cisco agrega una entrada en orden descendente de la direccin IP, no en un nmero de secuencia. Este ejemplo muestra las diferentes partidas, por ejemplo, cmo permitir una direccin IP (192.168.100.0) o por las redes(10.10.10.0). internetrouter#show access-lists Standard IP access list 19 10 permit 192.168.100.0 15 permit 10.10.10.0, wildcard bits 0.0.0.255 19 permit 201.101.110.0, wildcard bits 0.0.0.255 25 deny any

Agregue la entrada en dos la lista de acceso para permitir que la direccin IP 172.22.1.1:

internetrouter(config)#ip access-list standard 2 internetrouter(config-std-nacl)#18 permit 172.22.1.1

Esta entrada se aade en la parte superior de la lista con el fin dedar prioridad a la direccin IP especfica en lugar de la red. internetrouter#show access-lists Standard IP access list 19 10 permit 192.168.100.0 18 permit 172.22.1.1 15 permit 10.10.10.0, wildcard bits 0.0.0.255 19 permit 201.101.110.0, wildcard bits 0.0.0.255 25 deny any Nota: Las ACL anteriores no son compatibles con dispositivo de seguridad como Firewall ASA / PIX. DIRECTRICES PARA CAMBIAR LAS LISTAS DE ACCESO CUANDO SE APLICAN ALOS MAPAS DE CIFRADO y Si se aade a una ya existente lista de acceso de configuracin,no hay necesidad de eliminar el mapa criptogrfico. Si se aade aellos directamente sin necesidad de desmontar el mapa cifrado, a continuacin, que es compatible y aceptable. Si necesita modificar o eliminar la lista de acceso de entradadesde un sistema de acceso-listas, se debe quitar el mapa de cifrado de la interfaz. Despus de quitar cripto mapa, hacer todos los cambios a la lista de acceso y vuelva a agregar el mapacriptogrfico. Si realiza cambios, tales como la supresin de lalista de acceso sin necesidad de desmontar el mapa cifrado, esteno es compatible y puede provocar un comportamientoimpredecible.

SOLUCIN DE PROBLEMAS Cmo puedo eliminar una ACL de una interfaz? Entra en el modo de configuracin y no entres en frente del comando access-group, como se muestra en este ejemplo, para eliminar una ACL de una interfaz.

interface <interface> no ip access-group <acl-number> in|out

Qu debo hacer cuando mucho trfico es negada? Si demasiado trfico se niega, el estudio de la lgica de la lista o tratar de definir y aplicar una lista adicional ms amplia. El show ipaccess-lists comando proporciona una cantidad de paquetes que muestra que la entrada ACL es golpeado. La palabra clave de registro al final del individuo entradas ACL muestra el nmero de ACL y si el paquete se permite o niega, adems de informacin especfica. Nota: La palabra clave de registro de entrada existe en el software Cisco IOS versin 11.2 y posteriores,

y en ciertas Software Cisco IOS versin 11.1 del software basado creada especficamente para el mercado de proveedores de servicios. Mayores de software no es compatible con esta palabra clave. El uso de esta palabra clave incluye la interfaz de entrada y la direccin MAC origen en su caso. Cmo puedo depurar en el nivel de paquetes que utiliza un router Cisco? Este procedimiento explica el proceso de depuracin. Antes de empezar, asegrese de que no hay ACL se aplica actualmente, que hay una ACL, y que el cambio rpido no est deshabilitado. Nota: Tenga mucho cuidado cuando se depura un sistema con mucho trfico. Use una ACL con el fin de depurar de trfico especficos. Sin embargo, estar seguro de los procesos y el flujo de trfico. 1. Utilice el comando access-list con el fin de capturar los datos deseados. En este ejemplo, la captura de datos se establece para ladireccin de destino de 10.2.6.6 o la direccin de origen 10.2.6.6.

access-list 101 permit ip any host 10.2.6.6 access-list 101 permit ip host 10.2.6.6 any
2. Desactivar el cambio rpido en las interfaces involucradas. Slo se ve el primer paquete, si el cambio rpido no est desactivado.

config interface no ip route-cache

3. Utilice el comando terminal del monitor en el modo de habilitar con el fin de visualizar la salida del comando de depuracin y los mensajes de error del sistema para la terminal actual y la sesin. 4. Use el paquete debug ip 101 o debug ip packet 101 comandos detalle a fin de iniciar el proceso de depuracin. 5. Ejecutar la depuracin no todos los comandos en el modo de activar y el comando de configuracin de interfaz con el fin de detener el proceso de depuracin. 6. Reinicie el almacenamiento en cach.

config interface ip route-cache

Tipos de ACL IP
Esta seccin del documento se describen los tipos de ACL. Diagrama de red

ACL ESTNDAR ACL estndar es el tipo ms antiguo de la ACL. Su origen se remonta a tan pronto como Cisco IOS Software Release 8.3. ACL estndar de control de trfico por la comparacin de la direccin de origen de los paquetes IP a las direcciones configuradas en elligamento cruzado anterior. Este es el formato de la sintaxis de comandos de una ACL estndar.

access-list access-list-number {permit|deny} {host|source source-wildcard|any}

En todas las versiones de software, el acceso a la lista de nmeros puede ser cualquier cosa, desde 1 a 99. En Cisco IOSSoftware Release 12.0.1, ACL estndar comienzan a utilizar los nmeros adicionales (1300 a 1999). Estos nmeros adicionalesse conocen como ampliar las ACL IP. Cisco IOS Software Release 11.2 aadido la posibilidad de utilizar el nombre de la lista de ACL estndar. Una fuente / origen-comodn configuracin de0.0.0.0/255.255.255.255 se puede especificar como cualquier otro. El comodn se puede omitir si se trata de todos los ceros. Por lo tanto, el anfitrin 10.1.1.2 0.0.0.0 es la misma como anfitrin10.1.1.2. Despus de la ACL se define, se debe aplicar a la interfaz(entrante o saliente). En las versiones de software temprano,salida era el valor por defecto cuando una palabra clave, o en lasque no se ha especificado. La direccin debe ser especificada enversiones de software ms tarde. interface <interface> ip access-group number {in|out} Este es un ejemplo de la utilizacin de una ACL estndar con el fin de bloquear todo el trfico excepto el que a partir de 10.1.1.x. fuente

interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 1 in access-list 1 permit 10.1.1.0 0.0.0.255

ACL EXTENDIDAS ACL extendidas se introdujeron en Cisco IOS Software Release8.3. ACL extendida de control de trfico por la comparacin de lasdirecciones de origen y destino de los paquetes IP a las direcciones configuradas en el ligamento cruzado anterior. Este es el formato de la sintaxis de comandos de ACL extendida.Lneas se ajustan aqu por razones de espacio. IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny|permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log|log-input] [time-range time-range-name] ICMP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny|permit} icmp source source-wildcard destination destination-wildcard [icmp-type [icmp-code] |icmp-message] [precedence precedence] [tos tos] [log|log-input] [time-range time-range-name] TCP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log|log-input] [time-range time-range-name] UDP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny|permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log|log-input] [time-range time-range-name] En todas las versiones de software, el acceso a la lista de nmeros puede ser desde 101 hasta 199. En Cisco IOS Software Release12.0.1, ACL extendidas comienzan a utilizar los nmeros adicionales (2000 a 2699). Estos nmeros adicionales se conocen como ampliar las ACL IP. Cisco IOS Software Release 11.2aadido la posibilidad de utilizar el nombre de la lista de ACL extendida.

El valor de 0.0.0.0/255.255.255.255 se puede especificar como cualquier otro. Despus de la ACL se define, se debe aplicar a la interfaz (entrante o saliente). En las versiones de software temprano, salida era el valor por defecto cuando una palabra clave, o en las que no se ha especificado. La direccin debe ser especificada en versiones de software ms tarde. interface <interface> ip access-group {number|name} {in|out} Esta ACL extendida se utiliza para permitir el trfico en la red10.1.1.x (interior) y de recibir respuestas de ping desde el exterior, mientras que evita que los pings no solicitada de gente de fuera, lo que permite el resto del trfico. interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0 ip access-group 101 in access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo access-list 101 permit ip any 10.1.1.0 0.0.0.255 Nota: algunas aplicaciones como la gestin de red requieren pings para una funcin Keep Alive. Si este es el caso, es posible que desee limitar el bloqueo de pings entrantes o ser ms granular deI Ps permitidas / denegadas. LOCK AND KEY (ACL DINMICAS) Cerradura y llave, tambin conocido como ACL dinmicas, se introdujo en Cisco IOS Software libera 11.1. Esta caracterstica depende de Telnet, autenticacin (local o remota), y ACL extendida. Configuracin de llave se inicia con la aplicacin de una ACL extendida para bloquear el trfico a travs del router. Los usuarios que quieran atravesar el router se bloquea por la ACL extendida hasta que telnet al router y se autentican. La conexin Telnet luego cae y una sola entrada ACL dinmica se agrega a la ACL extendida que existe. Esto permite que el trfico de un determinado perodo de tiempo, y tiempos de inactividad absoluta es posible. Este es el formato de sintaxis de comandos para bloquear y configuracin de las teclas con autenticacin local. username user-name password password interface <interface> ip access-group {number|name} {in|out} El ligamento cruzado anterior de una sola entrada en esta orden se agrega dinmicamente a la ACL que existe despus de la autenticacin. access-list access-list-number dynamic name {permit|deny} [protocol] {source source-wildcard|any} {destination destination-wildcard|any} [precedence precedence][tos tos][established] [log|log-input] [operator destination-port|destination port] line vty line_range login local

Este es un ejemplo bsico de la llave. username test password 0 test Nombre de usuario contrasea pruebaprueba 0 ! --- Diez (minutos) es el tiempo de inactividad. username test autocommand access-enable host timeout 10 Nombre de usuario autocommand prueba de acceso a habilitaranfitrin de tiempo de espera 10 interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 101 in access-list 101 permit tcp any host 10.1.1.1 eq telnet ! --- 15 (minutos) es el tiempo de esperatotal.

access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 line vty 0 4 login local
Despus de que el usuario en 10.1.1.2 establece una conexinTelnet a 10.1.1.1, la ACL dinmica se aplica. La conexin entonces se cae, y el usuario puede ir a la red 172.16.1.x. ACL NOMBRADAS IP ACL nombradas IP se introdujeron en el software Cisco IOS versin 11.2. Esto permite que las ACL estndar y extendida a dar nombres en lugar de nmeros. Este es el formato de las sintaxis de comandos de IP ACL nombradas. ip access-list {extended|standard} name Este es un ejemplo TCP: {permit|deny} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log] [time-range time-range-name] Este es un ejemplo de la utilizacin de una ACL nombrada con el fin de bloquear todo el trfico excepto la conexin Telnet desde el host10.1.1.2 para albergar 172.16.1.1. interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group in_to_out in ip access-list extended in_to_out permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

ACL REFLEXIVA ACL reflexiva se introdujeron en el software Cisco IOS versin 11.3.ACL reflexiva permitir que los paquetes IP que se filtra sobre la base de informacin de la sesin de la capa superior. Se utilizan generalmente para permitir el trfico saliente y para limitar el trfico de entrada en respuesta a las sesiones que se originan dentro del router. ACL reflexiva slo puede definirse con el nombre extendido ACL IP.No se puede definir con nmeros o estndar llamado ACL IP, o conotro protocolo ACL. ACL reflexiva se puede utilizar en combinacin con otros ACL extendida y esttico. Esta es la sintaxis de varios comandos de ACL reflexiva. interface ip access-group {number|name} {in|out} ip access-list extended name permit protocol any any reflect name [timeoutseconds] ip access-list extended name evaluate name Este es un ejemplo del permiso de trfico ICMP saliente y entrante, mientras que slo permite el trfico TCP que ha puesto en marcha desde el interior, el resto del trfico denegado. ip reflexive-list timeout 120 interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0 ip access-group inboundfilters in ip access-group outboundfilters out ip access-list extended inboundfilters permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 evaluate tcptraffic ! --- Esto se vincula la parte reflexiva de la ACL ACL outboundfilters, ! --- Llamado tcptraffic, a la ACL inboundfilters. ip access-list extended outboundfilters permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic TIEMPO DE ACL BASADAS EN EL USO DE RANGOS DE TIEMPO ACL basadas en el tiempo se introdujeron en el software Cisco IOSversin 12.0.1.T. Mientras que son similares a las ACL extendida en la funcin, que permiten el control de acceso basado en el tiempo.Un intervalo de tiempo se crea, que define determinados momentos del da y semana a fin de aplicar en funcin del tiempo ACL. El rango de tiempo es identificado por un nombre y despus se hace referencia a una funcin. Por lo tanto, las restricciones de tiempo se imponen a la propia funcin. El rango de tiempo se basa en el reloj del sistema del router. El reloj del router puede ser utilizado, pero la caracterstica funciona mejor con Network Time Protocol (NTP) de sincronizacin.

Estos son tiempo de comandos basados en ACL. ! --- Define un intervalo de tiempo mencionado. time-range time-range-name ! --- Define los tiempos peridicos. periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm ! --- O, define los tiempos absolutos.

absolute [start time date] [end time date]

! --- El rango de tiempo utilizado en la actual ACL. ip access-list name|number <extended_definition>time-rangename_of_time-range En este ejemplo, una conexin Telnet se permite desde el interiorde la red fuera de los lunes, mircoles y viernes en horario de oficina: interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 101 in access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq telnet time-range EVERYOTHERDAY time-range EVERYOTHERDAY periodic Monday Wednesday Friday 8:00 to 17:00 COMENT IP ENTRADAS ACL Coment IP entradas ACL se introdujeron en el software Cisco IOSversin 12.0.2.T. Comentarios que ACL ms fcil de entender y se puede utilizar para ACL IP estndar o extendida. Este es el nombre coment IP sintaxis del comando ACL. ip access-list {standard|extended} access-list-name remark remark Este es el comentario nmero sintaxis de comandos IP ACL. access-list access-list-number remark remark Este es un ejemplo de comentar una ACL numeradas. interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 101 in

access-list 101 remark permit_telnet access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet BASADO EN EL CONTEXTO DE CONTROL DE ACCESO Basado en el contexto de control de acceso (CBAC) fue introducido en Cisco IOS Software 12.0.5.T lanzamiento y requiere que elconjunto de funciones de Cisco IOS Firewall. CBAC inspecciona el trfico que viaja a travs del servidor de seguridad con el fin dedescubrir y administrar informacin de estado para TCP y UDPsesiones. Esta informacin de estado se utiliza con el fin de crear espacios temporales en las listas de acceso del servidor de seguridad. Configurar ip inspeccionar las listas de la direccin del flujo de la iniciacin del trfico a fin de permitir el trfico de retorno yconexiones de datos adicionales para la sesin permisible, las sesiones que se origin dentro de la red interna protegida, con el fin de hacer esto. Esta es la sintaxis para CBAC. ip inspect name inspection-name protocol [timeoutseconds] Este es un ejemplo de la utilizacin de CBAC para inspeccionar el trfico de salida. ACL extendida 111normalmente bloquear el trfico de retorno que no sea ICMP sin agujeros apertura CBAC para el trfico de retorno. ip inspect name myfw ftp timeout 3600 ip inspect name myfw http timeout 3600 ip inspect name myfw tcp timeout 3600 ip inspect name myfw udp timeout 3600 ip inspect name myfw tftp timeout 3600 interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0 ip access-group 111 in ip inspect myfw out access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo access-list 111 permit icmp any 10.1.1.0 0.0.0.255 PROXY AUTHENTICATION Proxy de autenticacin se introdujo en el software Cisco IOS versin 12.0.5.T. Esto requiere que usted tiene el Cisco IOS Firewall conjunto de caractersticas. Proxy de autenticacin se utiliza para autenticar a los usuarios de entrada o salida, o ambas cosas. Los usuarios que normalmente bloqueado por un ACL puede abrir un navegador para ir a travs del firewall y de autenticacin en un TACACS + o un servidor RADIUS. El servidor pasa entradas adicionales ACL hasta el router con el fin de permitir a los usuarios a travs despus de la autenticacin. Proxy de autenticacin es similar a la llave de acceso (ACL dinmicas). Estas son las diferencias: y Llave se activa mediante una conexin telnet al router. Proxy de autenticacin est activada de HTTP a travs del router. Proxy de autenticacin debe utilizar un servidor externo.

Proxy de autenticacin puede manejar la adicin de mltiples listas dinmicas. Cerradura y la llave slo se puede agregar uno. Proxy de autenticacin tiene un tiempo absoluto, pero no tiempo de espera. Llave tiene ambas cosas.

Consulte el libro de cocina integrados Cisco Secure Software de configuracin para ejemplos de proxy de autenticacin. ACL TURBO ACL Turbo se introdujeron en la versin de Cisco IOS Software12.1.5.T y se encuentran slo en el 7200, 7500, y otras plataformasde gama alta. La funcin turbo ACL est diseada para procesarlas ACL de manera ms eficiente con el fin de mejorar el rendimiento del router. Utilice el comando access-list compiled para ACL turbo. Este es un ejemplo de un compilado de ACL access-list access-list access-list access-list access-list 101 101 101 101 101 permit permit permit permit permit tcp tcp udp udp udp host host host host host 10.1.1.2 10.1.1.2 10.1.1.2 10.1.1.2 10.1.1.2 host host host host host 172.16.1.1 172.16.1.1 172.16.1.1 172.16.1.1 172.16.1.1 eq eq eq eq eq telnet ftp syslog tftp ntp

Despus de la ACL estndar o extendida se define, utilice el comando de configuracin global con el fin de compilar. ! --- Le dice al router para compilar. access-list compiled Interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0 ! --- Se aplica a la interfaz. ip access-group 101 in El show access-list compiled muestra estadsticas acerca de la ACL. DISTRIBUIDOS EN FUNCIN DEL TIEMPO ACL Distribuidas basadas en el tiempo ACL se introdujeron en CiscoIOS Software 12.2.2.T lanzamiento con el fin de poner en prcticael tiempo de ACL basadas en VPN habilitado para routers de la serie 7500. Antes de la introduccin de la distribucin en funcin del tiempo caracterstica de ACL, basado en el tiempo ACL no eran compatibles con las tarjetas de lnea para los routers de la serie Cisco 7500. Si el tiempo basado en ACL se configura, se comportaron como ACL normal. Si una interfaz en una tarjeta delnea se ha configurado con el tiempo basado en ACL, los paquetes de encendido en la interfaz no se distribuyen a travs decambiar la tarjeta de lnea, pero transmitido al procesador de la ruta con el fin de proceso. La sintaxis de distribucin basadas en el tiempo ACL es el mismo que para el tiempo basado en ACL con

la adicin de los comandos en lo que respecta a la situacin de la Sociedad Interamericana de procesador de comunicacin (IPC) los mensajes entre el procesador y la tarjeta de ruta de la lnea. debug time-range ipc show time-range ipc clear time-range ipc RECIBE LAS ACL Recibe ACL se utilizan con el fin de aumentar la seguridad en routers Cisco 12000 por la proteccin de la ruta giga bit procesador (GRP) del router de trfico innecesario y potencialmente nefasto. Recibe las ACL se han aadido como una dispensa especial para el acelerador de mantenimiento para el software Cisco IOS versin 12.0.21S2 e integrado en 12,0 (22) S. Consulte la GSR: Recibir las listas de control de acceso para ms informacin. ACL PROTECCIN DE LA INFRAESTRUCTURA ACL infraestructura se utilizan con el fin de minimizar el riesgo y la eficacia de la infraestructura de ataque directo con el permiso explcito de trfico slo se autoriza a los equipos de infraestructura al tiempo que permite todo el trfico de trnsito. Se refieren a proteger su ncleo: Proteccin de la Infraestructura listas de control de acceso para ms informacin. TRNSITO ACL ACL de trnsito se utilizan con el fin de aumentar la seguridad de la red ya que permite de forma explcita el trfico slo se requiere en su red o redes. Consulte la Lista de Control de Trnsito de acceso: Filtrado en su ventaja para obtener ms informacin.