ACL

Access-List
 ACL
Access List -Sentencias-

Un Access List es una serie de líneas, que permite la categorización de paquetes –a nivel de capa 3-, a
los fines de que estos puedan ser tratados por otro proceso, tal como sucede en el Network Address
Translation.

Una forma simple de comprender el uso que podemos realizar de estas, puede verse en situaciones
en donde deseamos permitir la navegación de ciertos usuarios a Internet, pero a otros no. O bien en
situación inversa, permitimos a ciertas IPs conectarse a nuestra Lan, y a otros los denegamos.

Como se mencionó, las listas pueden aplicar dos políticas:

• Permitir -permit- : habilitan al flujo de información, a continuar en la dirección solicitada.

• Denegar -deny- : eliminan o dropean el tráfico IP, TCP o UDP a la hora de entrar o salir de una
interface.

Paquete Paquete
IP IP

Paquete
IP Lista de Acceso Saliente
 ACL
Access List -Clases-

Las listas de acceso, no realizan ninguna acción hasta que las aplicamos en algún sentido en alguna
interface. Por lo mencionado, es que tenemos dos sentidos para aplicar la ACL.

• Inbound Access List: aplicar la ACL en este sentido, implica que el tráfico entrante, antes de ser
ruteado por la interface de salida, es procesado y aplicado a la ACL. En caso de que sea denegado, el
mismo directamente no es ruteado.

Paquete
Paquete
IP IP

• Outbound Acces List: este tipo de listas, aplica la política al tráfico que intenta salir por una
interface, de manera de procesarlo antes de enviarlo.

Paquete
IP

Paquete
IP
 ACL
Access List
Las access list se pueden emplear para lo siguiente:

•Clasificar tráfico para QoS.

•Seleccionar tráfico a filtrar.

• Clasificar redes orígenes o destino para influenciar un protocolo de ruteo.

•Filtrar updates de protocolos de ruteo.

•Clasificar tráfico para realizar traducción de direcciones.

La regla básica del ACL, es conocida como if-then. Esto es: if –si- el tráfico clasifica en la acl
configurada, entonces –then- aplicar la política configurada.

Por lo tanto, si el tráfico aplica a las direcciones IP a priorizar, clasificar y aplicar la política de QoS
remarcando los paquetes con el valor de IP Precedence o DSCP específicado.
 ACL
Access List
Hay algunas condiciones a tener en cuenta, a la hora de configurar las listas de acceso, acerca de
como se clasifica y procesa el tráfico. Estas son:

• El análisis del tráfico dentro de las access list es secuencial. Por ende, si el tráfico no aplicó a la
primera línea, se observa con la segunda, sino con la tercera, etc.

• Una vez que el tráfico aplica a una línea de una ACL, ya no es más comparado con el resto de las
líneas, ni con el resto de las ACL.

• Hay un explícito “deny” al final de la ACL, por ende el tráfico que no aplique a la ACL se dropea.

• Solo se puede aplicar una ACL por interface, en cada sentido.

• Al agregar una línea al ACL, siempre esta se coloca en el final de la lista.

• No puede borrar una línea de la ACL, lo que debe hacer es con el editor de texto, rearmarla y
volverla a configurar.

• Las ACL, usan Wildcard.

• Las ACL se aplican en una interface, sino aunque estén configuradas no se utilizan.
 ACL
Access List -Wilcards-
Las ACL no emplean las máscaras de red para determinar el espacio de direcciones a filtrar o
permitir. Al contrario, emplean las denominadas wildcards, que básicamente funcionan de la misma
manera que las otras, pero invierten los “1”s por “0”s. Es de importancia que recuerde que los
bloques en las direcciones IP, son de forma exponencial. Esto es: bloques de 1 IP, 2 IPs, 4 IPs, 8 IPs,
etc.

Entonces si deseamos filtrar 12 host, vamos a tener que configurar la wildcard para 16 host, por ser el
bloque más próximo.

Por ejemplo: 172.16.240.0 0.0.0.255. Hace referencia a la red 172.16.240.0/24, porque dijimos que la
wildcard invertía todos los ceros por unos, y viceversa. Además observe que el bloque es de 256 IPs y
la wildcard es 255.

Ejemplo 2: 192.168.20.0 0.0.0.7. La red es la 192.168.20.0/29, la cual posee un bloque de 8 IPs, por
ende la wildcard terminará en 7, SIEMPRE UNO MENOS QUE LA EXTENSION DEL BLOQUE.

Ejemplo 3: 172.16.16.0 0.0.3.255. La red la 172.16.16.0/22, la cual posee un bloque en el tercer octeto de
4 IPs (simil a la /30, pero en el tercer octeto), por ende el tercer octeto será 3, SIEMPRE UNO MENOS.
 ACL
Access List
Hay dos tipos de ACL, según la granularidad de las misma. Estas son:

• Standard Access List: solo emplean la dirección IP de origen para verificar si cumplen o no la
condición. Esto es, todos los paquetes que lleguen con x origen, aplicar la política de tráfico y.
Básicamente configura el acceso permit o deny, y no ve protocolos de capa superior, más que la IP
origen. Estas comprenden los números 1 al 99 y 1300 al 1999.

La sintaxis de este tipo de listas es la mostrada a continuación:

ip access-list standard [N]

permit [red] [wildcard]
deny [any]

•Extended Access List: este tipo de listas soporta verificar campos adicionales del Header de nivel 3,
más algunos parámetros del Header de nivel 4, como son los ports TCP/UDP sobre el final.
Permite manejar el tráfico de manera más granular. Estas van desde 100 a 199 y desde 2000 a 2699.

La sentencia de este tipo de listas es la mostrada a continuación:

ip access-list [N] permit [tcp] [red origen] [wildcard origen]

[red destino] [wildcard destino]
ip acces-list [N] deny [any] [any]
 ACL
Access List -ST-
Como hemos mencionado, este tipo de ACL solo filtran por origen. Se pueden crear Listas de Acceso
ST usando los números 1-99, y 1300-1999, siendo el segundo conocido como extended range. Al
configurar un ACL, con los mencionados números, le indicamos al router, que estamos creando una
ACL de este tipo.

Primero debemos crear la ACL en el router, realizando esta de la siguiente manera:

tlmx01rt06#conf t
Enter configuration commands, one per line. End with CNTL/Z.
tlmx01rt06(config)#ip acc
tlmx01rt06(config)#ip access-list ?
extended Extended Access List
standard Standard Access List
tlmx01rt06(config)#ip access-list sta
tlmx01rt06(config)#ip access-list standard ?
<1-99> Standard IP access-list number
WORD Access-list name
tlmx01rt06(config)#ip access-list standard 1 ?
<cr>
tlmx01rt06(config)#ip access-list standard 1
tlmx01rt06(config-std-nacl)#
 ACL
Access List -ST-
Luego de esto, debemos agregar el tráfico interesante a clasificar.

Primero debemos crear la ACL en el router, realizando esta de la siguiente manera:

tlmx01rt06(config-std-nacl)#?
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
tlmx01rt06(config-std-nacl)#permit ?
A.B.C.D Address to match
any Any source host
host A single host address
tlmx01rt06(config-std-nacl)#permit 10.10.10.0 ?
A.B.C.D Wildcard bits
<cr>
tlmx01rt06(config-std-nacl)#permit 10.10.10.0 0.0.0.255 ?
<cr>
tlmx01rt06(config-std-nacl)#permit 10.10.10.0 0.0.0.255

Con este ejemplo, permitimos el tráfico solo de la red 10.10.10.0/24, ya que el resto se filtra debido al
deny implícito en toda ACL. Solo resta, aplicarla a una interface.
 ACL
Access List -ST-

Ahora veamos un ejemplo, para fijar conceptos. En la figura, lo que debemos lograr es que Ventas,
no pueda ingresar a Finanzas, pero si a Marketing e Internet. Marketing debe ingresar a la LAN de
Finanzas.

Internet

172.16.10.0/24 Marketing
Ventas s0/0/0 172.16.100.0/24
f0/1
f1/0/2

f0/0
Paquete
IP

192.168.14.0/24
Finanzas
tlmx01rt06(config)#ip access-list 10 deny 172.16.10.0 0.0.0.255
tlmx01rt06(config)#ip access-list 10 permit any
tlmx01rt06(config)#int f0/0
tlmx01rt06(config-if)#ip access-group 10 out
 ACL
Access List -ST-
Con esta ACL, ahora filtramos los paquetes que quieran salir por la interface f0/0 del router (LAN
Marketing), que tengan origen, la LAN de Ventas.

Solo debemos tener en cuenta que al aplicar la ACL en la interface, el comando correcto es access-
group.
 ACL
Access List -ST-

Podemos filtrar el acceso de cualquier host por telnet a nuestro equipo. Para esto, antes agregábamos
un password en la line vty 0 4. Esto permitía que cualquier usuario de una red, que conozca la clave
acceso, pueda ingresar a nuestro router.

Ahora podemos además de agregar un password, filtrar que solo ingresen a nuestro equipo, un host de
una determinada red.

Para esto, debemos configurar el ACL, y aplicarla en la line vty 0 4, o bien en la que queramos. Esto se
hace de la siguiente manera:

tlmx01rt06(config)#access-list 10 permit 172.16.10.3 0.0.0.0

tlmx01rt06(config)#line vty 0 4
tlmx01rt06(config-line)#access-class 10 in

Solo cabe aclarar, que en las interfaces se aplican los access-group, pero en las líneas vty, estas ACL se
denominan access-class.

El access-class es in, debido a que las sesiones de telnet son siempre entrantes.
 ACL
Actividad

Con el fin de evitar, que cualquier equipo realice una conexión por telnet a R3, configure una ACL
estándar de 3 líneas, que permita solo conectarse a R2.

Escríbala y explique, donde la aplicaría y en que sentido.

172.16.10.0/24 192.168.0.0/30

172.16.11.0/24 R2
R1 R3
192.168.0.4/30
172.16.12.0/24
 ACL
Actividad

Configure una ACL estándar que filtre el ingreso hacia la LAN 192.168.100.0/24, con orígenes las redes
que comienzan con el prefijo 200.

La lista de acceso, debe tener solo 2 líneas, ser lo más precisa posible, e indique donde la aplicaría.

192.168.0.0/30 192.168.100.0/24
200.60.128.0/26
200.60.128.64/27 R1 R2
 ACL
Access List -Extended-
Las listas de acceso extendidas, tienen la capacidad de mirar 1 capa más del modelo OSI, pudiendo llegar
a identificar hasta la capa 4 del mismo.

Al poder llegar a identificar la capa de transporte, estas access list son pasibles de filtrar los protocolos a
nivel de aplicación, ya que estos siempre poseen un identificador TCP/UDP.

Otra característica de este tipo de filtros, es que no solo pueden ver la dirección IP origen, sino que son
capaces de analizar la dirección IP Destino.

Por lo mencionado, es que las listas de acceso extendidas poseen las siguientes características:

• Pueden observar la dirección IP Origen.

• Pueden observar la dirección IP Destino.
• Pueden observar los puertos TCP Origen y Destino.

La sintaxis de configuración, es la siguiente:

access-list [N] permit/deny [tcp/icmp] [IP Origen] [Wildcard] [IP

Destino] [Wildcard] eq [Port]
 ACL
Access List -Extended-
Antes configuramos el filtrado de los usuarios de Ventas hacia Marketing. Ahora puede ser que estos
empleados, no deban ingregar a la LAN de Marketing en líneas generales, pero si quizás deban ingresar a
un host en particular o bien a una aplicación en particular.

Para esto, debemos configurar este tipo de access list más precisa.

La access list correcta para lograr el objetivo sería la siguiente:

tlmx01rt06#conf t
tlmx01rt06(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log
tlmx01rt06(config)#int f0/0
tlmx01rt06(config-if)#ip access-group 110 out

Con esta ACL, filtramos o sea denegamos el tráfico saliente TCP, más precisamente telnet, desde
cualquier origen a el host 172.16.30.2.
 ACL
Access List -Extended-
Empleando el mismo gráfico, configuremos la ACL, e interpretemos para que la realizamos.

Internet

172.16.10.0/24 Marketing
Ventas s0/0/0 172.16.100.0/24
f0/1
f1/0/2

f0/0
Paquete
IP

192.168.30.0/24
Finanzas
tlmx01rt06#conf t
tlmx01rt06(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
tlmx01rt06(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
tlmx01rt06(config)#access-list 110 permit ip any any
tlmx01rt06(config)#int f0/0
tlmx01rt06 (config-if)#ip access-group 110 out

Con esta ACL, filtramos las conexiones de Telnet y FTP hacia el host con IP 172.16.30.5. El resto de los
servicios desde y hacia cualquier destino están permitidos.
 ACL
Actividad

Configure una lista de acceso extendida, con el objetivo que los usuarios de Ventas, solo puedan
navegar hacia Internet.

Además configure una ACL extendida, para que los usuarios de Marketing solo puedan entrar al servidor
de Finanzas, ubicado en la red de Ventas. Donde aplicaría cada lista de acceso? En que sentido lo haría?

Internet

10.10.10.0/30

.4

192.168.10.0/24
Marketing 192.168.30.0/24
Ventas