Routing & Switching Presentation_ID 2 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Chapter 9 9.1 Operacin de una ACL IP 9.2 ACL Estndar IPv4 9.3 ACL Extendida IPv4 9.4 Debug con ACLs 9.5 Troubleshoot en ACLs 9.6 ACLs IPv6 9.7 Resumen. Presentation_ID 3 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Chapter 9: Objectives Explicar cmo las ACL se usan para filtrar trfico. Comparar las ACL estndar IPv4 con las ACL extendidas IPv4. Explicar cmo las ACLs usan la mscara wildcard. Explicar cmo crear las ACLs. Explicar cmo se aplican las ACLs. Configurar ACLs estndar IPv4 para filtrar trfico de acuerdo a los requerimientos de la red. Modificar una ACL estndar IPv4 usando una secuencia de nmeros. Configurar una ACL estandard para asegurar el acceso por vty. Presentation_ID 4 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Chapter 9: Objectives (continued) Explicar la estructura de una entrada de control de acceso extendida (ACE). Configurar ACLs extendidas IPv4 para filtrar trfico de acuerdo a los requerimientos de la red. Configurar una ACL para limitar la respuesta debug. Explicar cmo un router procesa los paquetes cuando una se aplica una ACL. Pruebas de troubleshoot para detectar errores en las ACL usando comandos CLI. Comparar la creacin de ACL IPv4 y ACL IPv6. Configurar ACLs IPv6 ACLs para filtrar trfico de acuerdo a los requerimientos de la red. Presentation_ID 5 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Purpose of ACLs Qu es una ACL? Presentation_ID 6 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Purpose of ACLs Una Conversacin TCP Presentation_ID 7 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Purpose of ACLs Filtrado de Paquetes El filtrado de paquetes, a veces llamados filtrado de paquetes estticos, controla el acceso a una red mediante el anlisis de los paquetes entrantes y salientes y dejndolos pasar o eliminndolos de acuerdo a una base de criterios, como la direccin IP origen, la direccin IP destino, y el protocolo que llleva el paquete Un router acta como un filtro de paquetes cunado enva o bloquea un paquete de acuerdo a las reglas del filtro. Una ACL es una lista secuencial de instrucciones permit y deny, conocidas como entradas de control de acceso. Presentation_ID 8 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Purpose of ACLs Filtrado de Paquetes (Cont.) Presentation_ID 9 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Purpose of ACLs Operacin de las ACL
La ltima declaracin de una ACL es siempre una negacin implcita. Esta declaracin se inserta automticamente al final de cada ACL a pesar de que no est presente fsicamente. La negacin implcita bloquea todo el trfico. Debido a esta negacin implcita, una ACL que no tenga por lo menos una declaracin de permiso bloquear todo el trfico Presentation_ID 10 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Standard versus Extended IPv4 ACLs Tipos de ACLs IPv4 de Cisco Standard ACLs
Extended ACLs Presentation_ID 11 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Standard versus Extended IPv4 ACLs ACL Numeradas y Nombradas Presentation_ID 12 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Wildcard Masks in ACLs Introducin a la mscara Wildcard en una ACL Las mscaras wildcard y mscaras de subred se diferencian en la forma en que coinciden con 1s y 0s binarios. Las mscaras wildcard usan las siguientes reglas para que coincida con 1s y 0s binarios: Mscara wildcar con bits 0 para buscar coincidencia entre el valor del bit y el correspondiente bit de la direccin. Mscara wildcar con bits 1 para ignorar el valor del bit en la direccin. Las mscaras wildcard, a menudo, se conocen como una mscara inversa. La razn es que, a diferencia de una mscara de subred en la que el 1 binario corresponde a una coincidencia con la direccin de red y el 0 binario no, en una mscara wildcard se cumple lo contrario. Presentation_ID 13 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Wildcard Masks in ACLs Ejemplos de Mscaras Wildcard: Hosts / Subnets Presentation_ID 14 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Wildcard Masks in ACLs Ejemplos de Mscara Wildcard: Match Ranges Presentation_ID 15 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Wildcard Masks in ACLs Calculando la Mscara Wildcard Calcular la mscara wildcard puede ser un desafio. Un mtodo es restar la mscara de subred al nmero 255.255.255.255. Presentation_ID 16 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Wildcard Masks in ACLs Claves de la Mscara Wildcard Presentation_ID 17 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Wildcard Masks in ACLs Ejemplos de Mscaras Wildcard Presentation_ID 18 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Guidelines for ACL creation Instrucciones Generales para crear ACLs Utilizar las ACL en los routers de firewall ubicado entre la red interna y una red externa tal como Internet. Utilizar las ACL en un router situado entre dos partes de su red para controlar el trfico que entra o sale de una parte especfica de su red interna. Configurar ACL en routers frontera, es decir routers situados en los bordes de sus redes. Configurar las ACL para cada protocolo de red configurado en las interfaces del router frontera.
Presentation_ID 19 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Guidelines for ACL creation Instrucciones Generales para crear ACLs Las tres Ps: Una ACL por protocolo - Para controlar el flujo de trfico en una interfaz, una ACL debe definirse para cada protocolo habilitado en la interfaz. Una ACL por direccin las ACLs controlan el trfico en una direccin a la vez en una interfaz. Se deben crear dos ACLs separadas para controlar el trfico entrante y saliente. Una ACL por interfaz - ACL controlan el trfico por una interfaz, por ejemplo, GigabitEthernet 0/0. Presentation_ID 20 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Guidelines for ACL creation Mejores prcticas para ACL Presentation_ID 21 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Guidelines for ACL Placement Dnde ubicar una ACL? Cada ACL debe ser colocada donde tiene el mayor impacto en la eficiencia. Las reglas bsicas son: ACL extendidas: Localizar ACL extendidas lo ms cerca posible del origen del trfico a ser filtrado. ACL estndar: Debido a las ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca posible del destino. La ubicacin de la ACL y por lo tanto el tipo de ACL a utilizar pueden depender , tambin, del grado de control del administrador de red, del ancho de banda de las redes involucradas, y de la facilidad de configuracin.
Presentation_ID 22 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Guidelines for ACL Placement Ubicacin de una ACL Estndar Presentation_ID 23 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Guidelines for ACL Placement Ubicacin de una ACL Extendida Presentation_ID 24 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Standard IPv4 ACLs Declaracin de las Entradas Presentation_ID 25 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Standard IPv4 ACLs Configurando una ACL Estndar Example ACL access-list 2 deny host 192.168.10.10 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255 Presentation_ID 26 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Standard IPv4 ACLs Configurando una ACL Estndar (Cont.) La sintaxis de una ACL estndar es la siguiente: Router(config)# access-list access-list-number deny permit remark source [ source-wildcard ] [ log ]
Para remover una, el comando en configuracin global es no access-list .
La palabra clave remark se usa para documentar hacer listas de acceso mucho ms fcil de entender. Presentation_ID 27 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Standard IPv4 ACLs Lgica Interna Cisco IOS aplica una lgica interna cuando acepta y procesa las instrucciones de una lista de acceso estndar. Como se discuti previamente, las instrucciones de la lista se procesan de forma secuencial. Por lo tanto, el orden en que se introducen es importante. Presentation_ID 28 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Standard IPv4 ACLs Aplicando ALCs Estndar a las interfaces Despus que una ACL estndar es configurada, es enlazada a una interface usando el comando ip access- group en la configuracin de interface: Router(config-if)# ip access-group { access-list- number | access-list-name } { in | out }
Para remover una ACL de la interface, primero se ingresa el comando no ip access-group en la configuracin de interface, y luego se ingresa el comando no access-list en el modo de configuracin global. Presentation_ID 29 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Standard IPv4 ACLs Aplicando ALCs Estndar a las interfaces (Cont.) Presentation_ID 30 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Standard IPv4 ACLs Creando ACLs Estndar Nombradas Presentation_ID 31 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Standard IPv4 ACLs Comentando sobre ACLs Presentation_ID 32 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Modify IPv4 ACLs Editando ACLs Estndar Numeradas Presentation_ID 33 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Modify IPv4 ACLs Editando ACLs Estndar Numeradas (Cont.) Presentation_ID 34 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Modify IPv4 ACLs Editando ACLs Estndar Nombradas Presentation_ID 35 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Modify IPv4 ACLs Verificando ACLs Presentation_ID 36 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Modify IPv4 ACLs Estadsticas de las ACL Presentation_ID 37 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Modify IPv4 ACLs Nmeros de Secuencia de las ACL Estndar Otra parte de la lgica interna del IOS involucra al nmero de secuencia interno a cada una de las sentencias de una ACL estndar. Las sentencias asociadas a rangos de IP pueden ser configuradas primero y despus las sentencias que involucran a un host. Con esta lgica, las sentencias de host son vlidas debido a que sus direcciones IP de host no son parte de las direcciones IP incluidas en los rangos anteriores. Al aplicar el comando show, las sentencias de host son mostradas primero, aun que no hayan sido ingresados en ese orden. El IOS ubica las sentencias asociadas a los host en ese orden usando una funcin hashing especial. El orden resultante optimiza la bsqueda de una entrada de host en la ACL. Presentation_ID 38 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Securing VTY ports with a Standard IPv4 ACL Configurando una ACL Estndar para asegurar un puerto VTY Filtrado de trfico Telnet o SSH se suele considerar como funcin de las ACL extendidas IP, porque filtra un protocolo de nivel superior. Sin embargo, debido a que el comando access-class es usado para filtrar sesiones Telnet/SSH entrantes o salientes, se puede usar una ACL Estndar. Router(config-line)# access-class access-list-number { in [ vrf-also ] | out } Presentation_ID 39 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Securing VTY ports with a Standard IPv4 ACL Verificando el uso de una ACL Estndar usada para asegurar un puerto VTY Presentation_ID 40 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Structure of an Extended IPv4 ACL ACLs Extendidas Presentation_ID 41 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Structure of an Extended IPv4 ACL Extended ACLs (Cont.) Presentation_ID 42 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Extended IPv4 ACLs Configurando ACLs Extendidas Los pasos para la configuracin de ACL extendidas son las mismas que para las ACL estndar. La ACL extendida es configurada primero, y luego es aplicad en una interfaz. Sin embargo, la sintaxis del comando y los parmetros son ms complejos para poder soportar las caractersticas adicionales proporcionadas por las ACL extendidas. Presentation_ID 43 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Extended IPv4 ACLs Aplicando una ACL Extendida a una interface Presentation_ID 44 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Extended IPv4 ACLs Filtrando trfico con una ACL Extendida Presentation_ID 45 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Extended IPv4 ACLs Creando ACLs Extendidas Nombradas Presentation_ID 46 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Extended IPv4 ACLs Verificando ACLs Extendidas Presentation_ID 47 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configure Extended IPv4 ACLs Editando ACLs Extendidas La edicin de una ACL extendida se puede lograr usando el mismo proceso usada en la edicin de una ACL estndar. Una ACL extendida puede ser modificada usando: Method 1 - Text editor Method 2 Sequence numbers Presentation_ID 48 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Limiting Debug Output Propsito de limitar las salidas Debug con ACL Comandos debug (depuracin) son herramientas que se utilizan para ayudar a verificar y solucionar problemas de funcionamiento de la red. Al utilizar algunas opciones de depuracin, la salida puede mostrar ms informacin de la que se necesita o de la que se puede ver fcilmente. En una red productiva, la cantidad de informacin proporcionada por comandos debug puede ser abrumador y puede causar interrupciones en la red. Algunos comandos debug se pueden combinar con una lista de acceso para limitar la salida de modo que slo se muestra la informacin necesaria para la verificacin o la solucin de un problema especfico. Presentation_ID 49 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Limiting Debug Output Configurando ACL para limitar las salidas Debug El administrador de R2 quiere verificar que el trfico se enruta correctamente usando debug ip packet. Para limitar la salida de depuracin se incluir slo el trfico ICMP entre R1 y R3, aplicando la ACL 101. Presentation_ID 50 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Limiting Debug Output Verificando las ACL que limitan las salidas Debug Presentation_ID 51 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Processing Packets with ACLs Lgica de las ACLs Entrantes (Inbound) Los paquetes son probados de acuerdo a una ACL entrante, si es sta que existe, antes de ser enviados. Si un paquete entrante coincide con una sentencia de la ACL y es permitido, entonces el paquete es enrutado. Si un paquete entrante coincide con una sentencia de la ACL y es denegado, entonces es dropeado y no es enrutado. Si un paquete entrante no coincide con alguna sentencia de la ACL, entonces es "implcitamente denegado" y es dropeado sin ser enrutado. Presentation_ID 52 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Processing Packets with ACLs Lgica de las ACL Salientes (outbound) Los paquetes se comprueban primero si son enrutables antes de ser enviado a la interfaz de salida. Si no hay ninguna ruta, los paquetes se descartan. Si una interfaz de salida no tiene ACL, entonces el paquete es enviado directamente a esa interfaz. Si existe una ACL en la interfaz de salida, el paquete es chequeado antes de ser enviado a esa interfaz. Si un paquete de salida coincide con una sentencia de la ACL y es permitido, entonces el paquete se enva a la interfaz. Presentation_ID 53 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Processing Packets with ACLs Lgica de las ACL Salientes (outbound) Si un paquete de salida coincide con una sentencia de la ACL, y no es permitido, entonces es dropeado. Si un paquete de salida no cumple las sentencias de la ACL, entonces es "implcitamente denegado" y dropeado. Presentation_ID 54 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Processing Packets with ACLs Operaciones Lgicas de las ACL Cuando un paquete llega a una interfaz de router, el proceso de enrutamiento es el mismo, ya sea que se usen o no las ACL. Cuando la trama entra en una interfaz, el router verifica si la direccin de destino de Capa 2 coincide con la direccin de la interfaz de capa 2, o si la trama es una trama de broadcast. Si se acepta la direccin de la trama, la informacin de trama es eliminada y el router chequea la existencia de una ACL en la interfaz de entrada. Si existe una ACL, el paquete se compara con las sentencias de la lista. Presentation_ID 55 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Processing Packets with ACLs Operaciones Lgicas de las ACL (cont.) Si se acepta el paquete, se determina, de acuerdo a las entradas de la tabla de enrutamiento una interfaz de destino. Si existe una entrada en la tabla de enrutamiento para el destino, el paquete es conmutado a la interfaz de salida, de lo contrario el paquete se descarta. A continuacin, el router verifica si la interfaz de salida tiene una ACL. Si existe una ACL, el paquete se compara con las sentencias de la lista. Si no hay ACL o se permite el paquete, el paquete se encapsula en el nuevo protocolo de Capa 2 y es enviado fuera de la interfaz hacia el siguiente dispositivo. Presentation_ID 56 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Processing Packets with ACLs Proceso de Decisin de una ACL Estndar Las ACL estndar solo examinan la direccin IPv4 de origen. No se consideran el destino del paquete ni los puertos implicados. Cisco IOS compara las direcciones con cada una de las condiciones indicadas en la ACL. La primera coincidencia determina si el IOS acepta o rechaza la direccin. Debido a que el IOS detiene las pruebas despus de la primera coincidencia, el orden en que se ingresan las condiciones es crtico. Si no hay coincidencias, la direccin es rechazada. Presentation_ID 57 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Processing Packets with ACLs Proceso de Decisin de una ACL Extendida La ACL primero filtra de acuerdo a la direccin origen, luego de acuerdo al puerto y al protocolo del origen. A continuacin, se filtra por la direccin de destino, y luego, por el puerto y el protocolo de destino, y toma la decisin final de rechazar o permitir. Presentation_ID 58 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Common ACLs Errors Troubleshooting, Solucin de problemas comunes de ACL - Ejemplo 1 El host 192.168.10.10 no tiene conectividad con 192.168.30.12. Presentation_ID 59 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Common ACLs Errors Troubleshooting, Solucin de problemas comunes de ACL - Ejemplo 2 La red 192.168.10.0 /24 no puede usar TFTP para conectarse a la red 192.168.30.0 /24. Presentation_ID 60 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Common ACLs Errors Troubleshooting, Solucin de problemas comunes de ACL - Ejemplo 3 La red 192.168.11.0 /24 puede usar Telnet para conectarse a la red 192.168.30.0 /24, pero de acuerdo a las polticas de la compaa, esta conexin no est permitida. Presentation_ID 61 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Common ACLs Errors Troubleshooting, Solucin de problemas comunes de ACL - Ejemplo 4 El host 192.168.30.12 est habilitado para conectarse por Telnet al host 192.168.31.12, pero las polticas de la compaa no permiten esta conexin. Presentation_ID 62 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential IPv6 ACL Creation Tipos de ACLs IPv6 Presentation_ID 63 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential IPv6 ACL Creation Comparando ACLs IPv4 con ACLs IPv6 Aunque ACLs IPv4 e IPv6 son muy similares, hay tres diferencias significativas entre ellas Aplicacin de una ACL IPv6 IPv6 usa el comando ipv6 traffic-filter para llevar a cabo la misma funcin para las interfaces de IPv6. No hay Mscara Wildcard La longitud de prefijo se utiliza para indicar la cantidad bits de una direccin IPv6 origen o destino a considerar en la ACL. Sentencias adicionales por defecto permit icmp any any nd-na permit icmp any any nd-ns Presentation_ID 64 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configuring IPv6 ACLs Configurando una Topolga IPv6 Presentation_ID 65 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configuring IPv6 ACLs Configurando ACLs IPv6 Hay tres pasos bsicos para configurar una ACL IPv6: En el modo de configuracin global, usar el comando ipv6 access-listname para crear una ACL IPv6. En el modo de configuracin de ACL nombrada, usar la palabra permit or deny para especificar una o ms condiciones que determinen si el paquete es reenviado a dropeado. Vuelva al modo EXEC privilegiado con el comando end. Presentation_ID 66 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configuring IPv6 ACLs Aplicando una ACL IPv6 a una interface Presentation_ID 67 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configuring IPv6 ACLs Ejemplos de ACL IPv6
Deny FTP
Restrict Access Presentation_ID 68 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Configuring IPv6 ACLs Verificando ACLs IPv6 Presentation_ID 69 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 9: Resumen Por defecto, un router no filtra trfico. El trfico que entra en el router se enruta basado nicamente en la informacin contenida en la tabla de enrutamiento. El filtrado de paquetes, que controla el acceso a una red mediante el anlisis de los paquetes entrantes y salientes, dejndolos pasar o dropendolos, en base a criterios como la direccin IP de origen, la direccin IP de destino y el protocolo ejecutado dentro del paquete. Un router que filtra paquetes utiliza reglas para determinar si se debe permitir o denegar el trfico. Un router tambin puede realizar el filtrado de paquetes en la Capa 4, la capa de transporte. Una ACL es una lista secuencial de sentencias que permiten o deniegan permisos.
Presentation_ID 70 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 9: Resumen (cont.) La ltima lnea de una ACL es siempre una negacin implcita que bloquea todo el trfico. Para evitar esto se puede agregar una lnea que permita trfico, permit ip any any. Cuando el trfico de red pasa a travs de una interfaz configurada con una ACL, el router compara la informacin dentro del paquete con las entradas de la ACL, en orden secuencial, para determinar si el paquete coincide con una de las declaraciones. Si se encuentra una coincidencia, el paquete es procesado en consecuencia. ACL ya configuradas se aplican al trfico entrante o al trfico saliente.
Presentation_ID 71 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 9: Resumen (cont.) Las ACL estndar se pueden utilizar para permitir o denegar el trfico slo a partir de una direcciones IPv4 origen. El destino del paquete y los puertos implicados no son evaluados. La regla bsica para la colocacin de una ACL estndar es colocarla cerca del destino. Las ACL extendidas filtrar paquetes basndose en varios atributos: tipo de protocolo, Direcciones IPv4 origen o destino, y puertos de origen o destino. La regla bsica para la colocacin de una ACL extendida es colocarla lo ms cerca posible del origen. Presentation_ID 72 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 9: Resumen (cont.) El comando de configuracin global access-list define una ACL estndar con un nmero en el rango de 1 a 99 o una ACL extendida con nmeros en el rango de 100 a 199 y 2000 a 2699. Tanto la ACL estndar como la extendida puede ser nombradas. El comando ip access-list standard name se utiliza para crear una ACL estndar nombrada, mientras que el comando ip access-list extended name es para las ACL extendidas. Las ACL IPv4 incluyen el uso de mscaras wildcard. Despus de configurar una ACL, sta debe ser vinculada a una interfaz con el comando ip access-group en el modo de configuracin de interfaz.
Presentation_ID 73 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 9: Resumen (cont.) The show running-config and show access-lists commands are used to verify ACL configuration. The show ip interface command is used to verify the ACL on the interface and the direction in which it was applied. Recuerda las tres Ps, una ACL por protocolo, por direccin, y por interfaz. Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la interfaz y, a continuacin, escriba el comando no access-list en configuracin global para eliminar toda la ACL. Los comandos show running-config y show access-lists se utilizan para verificar la configuracin de una ACL. El comando show ip interface se utiliza para verificar la ACL en la interfaz y la direccin en la que se aplic.
Presentation_ID 74 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 9: Resumen (cont.) El comando access-class configurado en el modo de configuracin de lnea restringe las conexiones entrantes y salientes entre una lnea VTY una direccin indicad la lista de acceso. Al igual que las ACL IPv4 nombradas, los nombres de IPv6 son alfanumricas, con maysculas y minsculas y debe ser nico. A diferencia de IPv4, no hay necesidad de una opcin estndar o extendida. En el modo de configuracin global, utilice el comando ipv6 access-list name para crear una ACL IPv6. La longitud de prefijo se utiliza para indicar la cantidad de direccin IPv6 origen o destino que debe tener coincidencia. Despus de configurar una ACL IPv6, se vincula a una interfaz con el comando ipv6 traffic-filter.
Presentation_ID 75 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential