9.

ADMINISTRACIN DEL TRFICO EN LA RED

El funcionamiento de la red suele requerir que el Administrador establezca restricciones de acceso y
prioridades en el trfico de la red a fin de hacer ms eficiente su desempeo y brindar mayor
seguridad a las recursos y la informacin transmitida.
El Cisco IOS proporciona funcionalidades bsicas de filtrado de trfico a partir del uso de Listas de
Control de Acceso (ACL). Una lista de control de acceso es una enumeracin secuencial de
indicaciones de permiso y/o prohibicin para determinadas direcciones y/o protocolos de capa
superior especficos.
Algunas razones para implementar listas de acceso:

Limitar el trfico de la red como una manera de mejorar su performance.

Implementar controles para el flujo de trfico.

Brindar un nivel de seguridad bsico.

Especificar que determinado tipo de trfico (aplicacin o protocolo) sea reenviado o

bloqueado en la interfase de un dispositivo.

Reglas de funcionamiento de ACL

!

Se puede configurar una sola lista en cada interfase por sentido del trfico (entrante /
saliente), por protocolo de enrutamiento (IP, IPX, etc.).

Cada lista de acceso es identificada por un ID nico (un numrico o alfanumrico). En el

caso de las listas numeradas, este ID identifica el tipo de lista de acceso y las diferencia
de otras semejantes.

Cada paquete que ingresa o sale de la interfase es comparado con cada lnea de la lista
secuencialmente, en el mismo orden en que fueron ingresadas, comenzando por la
primera ingresada.

La comparacin se sigue realizando hasta tanto se encuentre una coincidencia. Una vez
que el paquete cumple la condicin de una lnea, se ejecuta la accin indicada y no se
sigue comparando.

Hay un deny all implcito al final de cada lista de acceso, que no es visible. Por lo tanto,
si el paquete no coincide con ninguna de las premisas declaradas en la lista ser
descartado.

Los filtros de trfico saliente no afectan el trfico originado en el mismo router.

Las listas de acceso IP al descartar un paquete envan al origen un mensaje ICMP de

host de destino inalcanzable.

Tener en cuenta que al activar listas de acceso el router automticamente conmuta de

fast switching a process switching.

Fast Switching Feature de los routers Cisco que utiliza un cache del router para
conmutar rpidamente los paquetes hacia el puerto de salida sin necesidad de
seleccionar la ruta para cada paquete que tiene una misma direccin de destino.

Process Switching Operacin que realiza una evaluacin completa de la ruta por
paquete. Implica la transmisin completa del paquete al CPU del router donde ser
re-encapsulado para ser entregado a travs de la interfase de destino. El router
realiza la seleccin de la ruta para cada paquete. Es la operacin que requiere una
utilizacin ms intensiva de los recursos del router.

APUNTE BSICO DE NETWORKING V. 1.0

- 114

Tipos de listas de acceso IP e IPX

!
!

!
!
!

Listas de acceso estndar - Listas IP: permiten filtrar nicamente direcciones IP de

origen. Listas IPX: filtran tanto direcciones IPX de origen como de destino.
Listas de acceso extendidas - Listas IP: verifican direcciones de origen y destino,
protocolo de capa 3 y puerto de capa 4. Listas IPX: Permiten filtrar adems de las
direcciones IPX de origen y destino, a travs del valor del campo protocolo del
encabezado de capa 3 y el nmero de socket del encabezado de capa 4.
Listas de acceso nombradas Listas de acceso IP tanto estndar como extendidas
que verifican direcciones de origen y destino, procolos de capa 3 y puertos de capa 4,
identificadas con una cadena de caracteres alfanumricos. A diferencia de las listas de
acceso numeradas, se configuran en un submodo propio y son editables.
Filtros IPX SAP - Se utilizan para controlar el trfico de paquetes SAP tanto a nivel LAN
como WAN. Son un mecanismo til para controlar el acceso a los dispositivos IPX.
Lista de acceso entrante Controlan el trfico que ingresa al router a travs del puerto
en el que est aplicada, y antes de que sea conmutado a la interface de salida.
Lista de acceso saliente Controlan el trfico saliente del router a travs del puerto en
que est aplicada, una vez que ya ha sido conmutado.

Nmero de lista de accesso:

El tipo de lista de acceso y protocolo de capa 3 que filtra se especifica a partir de un nmero de lista
de acceso. El listado completo de nmeros de listas de acceso y su significado se puede consultar en
el IOS a partir del modo configuracin tipeando:
Router(config)#access-list ?

1-99

IP estndar

100-199

IP extendida

200-299

Protocol type code

300-399

DECnet

400-499

XNS estndar

500-599

XNS extendida

600-699

AppleTalk

700-799

48 bit MAC address estndar

800-899

IPX estndar

900-999

IPX extendida

1000-1099

IPX SAP

1100-1199

48 bit MAC address extendida

1200-1299

IPX summary address

APUNTE BSICO DE NETWORKING V. 1.0

- 115

Nmeros de puerto
En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se puede tambin
especificar la aplicacin que se desea filtrar a travs del nmero de puerto.
FTP Data

= 20

TCP

FTP

= 21

TCP

Telnet

= 23

TCP

SMTP

= 25

TCP

Time

= 37

UDP

TACACS

= 49

UDP

DNS

= 53

UDP

DHCP server

= 67

UDP

DHCP client

= 68

UDP

TFTP

= 69

UDP

Gopher

= 70

UDP

Finger

= 79

UDP

HTTP

= 80

TCP

POP3

= 110

TCP

RPC

= 111

UDP

NetBIOS name = 137

UDP

NetBIOS datag = 138

UDP

NetBIO session = 139

UDP

SNMP

= 161

UDP

IRC

= 194

Mscara de wildcard
Las mscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para
generar filtros de direcciones IP. Se utilizan en combinacin con una direccin IP.
En las mscaras de wildcar el dgito en 0 (cero) indica una posicin que debe ser comprobada,
mientras que el dgito 1 (uno) indica una posicin que carece de importancia.
La mscara se aplica a una direccin IP especfica contenida en la declaracin de la ACL y a la
direccin de los paquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete
el criterio de permiso o denegacin enunciado en la lnea correspondiente.
172.16.14.33 0.0.0.0
Indica que se debe seleccionar nicamente la direccin IP declarada.
172.16.14.44 0.0.0.255
Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y
172.16.14.255 (no discrimina respecto del cuarto octeto).

APUNTE BSICO DE NETWORKING V. 1.0

- 116

172.16.14.14 0.0.255.255
Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas
entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del nmero
de host los dos ltimos bits-).

Algunas reglas de clculo

1. Cuando se desea filtrar una red completa, la mscara de wildcard es el complemento de
la mscara de subred por defecto:
Direccin de red:

172. 16. 0 . 0

Mscara de subred por defecto:

255.255. 0 . 0

Mscara de wildcard:

0 . 0 .255.255

2. Cuando se desea filtrar una subred completa, la mscara de wildcard es el complemento

de la mscara de subred que se est aplicando:
Direccin de subred:

172. 16. 30. 0/24

Mscara de subred por defecto:

255.255.255. 0

Mscara de wildcard:

0 . 0 . 0 .255

Direccin de subred:

172. 16. 32. 0/20

Mscara de subred por defecto:

255.255.240. 0

Mscara de wildcard:

0 . 0 . 15.255

Configuracin de las listas

En el proceso de configuracin de las listas de acceso deben distinguirse 2 etapas:
1. creacin de la lista de acceso en modo configuracin global
2. asignacin de esa lista a un puerto de modo entrante o saliente.

Listas de acceso IP estndar

Router(config)#access-list [1-99] [permit/demy] [IP origen]
Router(config)#interface serial 1
Router(config-if)#ip access-group [1-99] [in/out]

Listas de acceso IP extendida

Router(config)#access-list [100-199] [permit/demy] [protocolo][IP
origen] [IP destino] [tipo servicio]
Router(config)#interface serial 1
Router(config-if)#ip access-group [100-199] [in/out]

Listas de acceso IP nombradas

Router (config)#ip access-list [standard/extended] [nombre]
Para configurar una lista de acceso ip nombrada estndar:
Router (config-std-nacl)#[permit/demy] [IP origen]

APUNTE BSICO DE NETWORKING V. 1.0

- 117

Para configurar una lista de acceso ip nombrada extendida:

Router (config-ext-nacl)#[permit/demy] [protocolo][IP origen] [IP
destino] [tipo servicio]

Listas de acceso IPX estndar

Router(config)#access-list [800-899] [permit/demy] [direccin IPX
origen] [direccin IPX destino]
Nota: el valor -1 en el campo correspondiente a las direcciones de origen
y/o destino indica cualquier origen o destino.
Router(config)#interface serial 1
Router(config-if)#ipx access-group [800-899] [in/out]

Listas de acceso IPX extendida

Router(config)#access-list [900-999] [permit/demy]
[protocolo][direccin IPX origen] [direccin IPX
destino] [socket]
Router(config)#interface serial 1
Router(config-if)#ipx access-group [900-999] [in/out]

Filtros IPX SAP

Router(config)#access-list [1000-1099] [permit/demy] [direccin IPX
origen] [servicio]
Nota: el valor 0 en el campo servicio indica todos los servicios.
Router(config)#interface serial 1
Router(config-if)#ipx [input/output]-sap-filter [1000-1099]

Filtros aplicados a terminales virtuales

Se pueden aplicar a las terminales virtuales (acceso por telnet) listas de acceso estndar a fin de
limitar las direcciones IP a partir de las cuales se podr conectar al dispositivo va telnet.
Un ejemplo:
Router(config)#access-list 10 permit host 172.16.10.3
Router(config)#line vty 0 4
Router(config-line)#access-class 10 in

Comandos especiales
En algunos casos especiales, un comando puede reemplazar una mscara de wilcard, con el mismo
efecto:
xxx.xxx.xxx.xxx 0.0.0.0

= host xxx.xxx.xxx.xxx

0.0.0.0 255.255.255.255

= any

-1

= any IPX network

remark

utilizado en lugar de la opcin permit/deny, permite

insertar comentarios en una lista de acceso.

Si no se especifica una mscara por defecto, el sistema operativo asume la mscara por defecto:
0.0.0.0 En consecuencia, las siguientes formas son equivalentes:
Router(config)#access-list 10 permit 172.16.10.3 0.0.0.0

APUNTE BSICO DE NETWORKING V. 1.0

- 118

Router(config)#access-list 10 permit host 172.16.10.3

Router(config)#access-list 10 permit 172.16.10.3

Monitoreo de las listas

Router#show access-list [#]

muestra las listas y el contenido de todas las ACL o

una en particular. No permite verificar a qu interfase
estn aplicadas.

Router#show ip access-list

muestra solamente la configuracin de ACL IP.

Router#show ipx access-list

muestra solamente la configuracin de ACL IPX.

Router#show ip interface

muestra los puertos que tienen aplicadas ACL IP.

Router#show ipx interface

muestra los puertos que tienen aplicadas ACL IPX.

Router#show running-config

muestra tanto las listas de acceso configuradas,

como la que se encuentran aplicadas a cada
interfase.

Para ver un detalle de la informacin brindada por cada comando show, vea el Anexo 1 Comandos
IOS para Monitoreo.

Tips de aplicacin

!
!
!
!
!
!
!
!
!
!
!

Antes de comenzar a trabajar sobre una lista de acceso existente, desvinclela de todas
las interfases a las que se encuentre asociada.
No se puede remover una nica lnea de una lista de acceso numerada (no son
editables).
Ya que las listas numeradas no son editables, es una buena prctica -para mantener un
proceso de edicin ms simple-, recurrir al uso de un editor de texto.
Cada vez que agrega una lnea a la lista de acceso, esta se ubicar a continuacin de las
lneas existentes, al final.
Organice su lista de acceso de modo que los criterios ms especficos estn al comienzo
de la misma, y luego las premisas ms generales.
Coloque primero los permisos y luego las denegaciones.
Toda lista debe incluir al menos un comando permit.
Las listas no filtran el trfico originado en el router.
Una misma lista de acceso puede ser asignada a varias interfaces en el mismo
dispositivo, tanto en modo entrante como saliente.
Las listas de acceso estndar deben colocarse lo ms cerca posible del destino del
trfico.
Las listas de acceso extendidas deben colocarse lo ms cerca posible del origen del
trfico que ser denegado.

APUNTE BSICO DE NETWORKING V. 1.0

- 119