Periodo 2014

GESTION DE REDES
AREA DE LA ENERGA LAS INDUSTRIAS
Y LOS RECURSOS NATURALES NO
RENOVABLES
CARRERA DE INGENIERA EN SISTEMAS
GESTION DE REDES
Parte III ACL
ACL

ACL (Lista de control de acceso).- permiten

controlar la red, el router se sirve de las ACL,
para Filtrar el flujo de paquetes que entra y
sale de las interfaces del router.

Estas listas indican al ruteador qu tipos de

paquetes se deen aceptar y qu tipos de
paquetes se deen dene!ar.

La aceptaci"n y rec#a$o se pueden asar en

ciertas especificaciones, como direcci"n
ori!en, direcci"n destino y n%mero de puerto.
ACLs

Filtran el tr&fico de red, controlando si los

paquetes enrutados se env'an o se loquean
en las interfaces del router.

(e definen se!%n el protocolo, la direcci"n o

el puerto.

)ara controlar el flujo de tr&fico en una

interfa$, se dee definir una ACL para cada
protocolo #ailitado en la interfa$.

(e necesita crear una ACL por separado para

cada direcci"n, una para el tr&fico entrante y
otra para el saliente.
E*CA+E,-. -E )A/0E1E
Datos
Segmento
(encabezado TCP)
Paquete
(encabezado IP)
Encabezado de
Trama
(ejemplo: HDLC)
Uso de las
sentencias de la
ACL para
comprobar el
paquete
Permitir
!mero de Puerto
Protocolo
D"recc"#n $r"gen
D"recc"#n Dest"no
F0*C2.*A32E*1. -E LA( ACL

0na lista ACL es un !rupo de sentencias que

definen si se aceptan o rec#a$an los
paquetes en interfaces entrantes o salientes.

El orden en el que se uican las sentencias

de la ACL es importante.

(i una sentencia de condici"n que permite

todo el tr&fico est& uicada en la parte
superior de la lista, no se verifica nin!una
sentencia que est por deajo.

)or otro lado si un paquete no satisface a las

instrucciones de la lista de acceso, este es
descartado. (dene!aci"n impl'cita de todo)
C4EAC25* -E 0*A ACL

Cada ACL dee identificarse de forma

%nica, asi!n&ndole un n%mero.

Este n%mero identifica el tipo de lista de

acceso creado y dee uicarse dentro de
un ran!o espec'fico de n%meros que es
v&lido para ese tipo de lista.
C4EAC25* -E 0*A ACL
0na ve$ creada una ACL dee asociarse a una
interfa$ de la si!uiente manera6

Lita de a!!eo e"tra"te#

Los paquetes entrantes son procesados antes de
ser enrutados a una interfa$ de salida, si el
paquete pasa las prueas de filtrado, ser&
procesado para su enrutamiento (evita
sorecar!a en la %squeda de talas de
enrutamiento)

Lita de a!!eo Sa$ie"te#

Los paquetes son enrutados a la interfa$ de
salida y despus son procesados por medio de
una lista de acceso de salida antes de su
transmisi"n
4E7LA( +8(2CA(

0na lista de acceso por protocolo y por

direcci"n.

(e deen aplicar las listas de acceso

est&ndar que se encuentran lo m&s cerca
posile del destino.

(e deen aplicar las listas de acceso

e9tendidas que se encuentran lo m&s
cerca posile del ori!en.

0tilice la referencia de la interfa$ entrante y

saliente como si estuviera mirando el
puerto desde adentro del router.
4E7LA( +8(2CA(

Las sentencias se procesan de forma

secuencial desde el principio de la lista
#asta el final #asta que se encuentre una
concordancia, si no se encuentra nin!una,
se rec#a$a el paquete.

%a& '" de"& a"& (de"e)ar !'a$*'iera+

i,-$.!ito a$ /i"a$ de toda $a $ita de
a!!eo0
4E7LA( +8(2CA(

Las entradas de la lista de acceso deen

reali$ar un filtro desde lo particular a lo
!eneral.

(iempre, las l'neas nuevas se a!re!an al

final de la lista de acceso. El comando "o
a!!e1$it elimina toda la lista.

*o es posile a!re!ar y quitar l'neas de

manera selectiva en las ACL numeradas.

(e dee tener cuidado cuando se descarta

una lista de acceso.
4E7LA( +8(2CA(

:ay dos palaras clave especiales que se

utili$an en las ACL, las opciones any y
#ost

La opci"n any reempla$a la direcci"n 2)

con ;.;.;.; y la m&scara <ildcard por
=>>.=>>.=>>.=>>.

La m&scara ;.;.;.; reempla$a la opci"n

#ost.
4E7LA( +8(2CA(
)untos 2mportantes

La $ita de a!!eo et2"dar# ?erifican

s"lo la direcci"n de ori!en en la caecera
de paquete (capa @).

La $ita de a!!eo e3te"dida#

1raaja en la caecera de la (capa A, puertos)

-irecciones 2) de ori!en y destino.

*%meros de puerto 1C) y 0-)

12).( -E ACL

Lita de a!!eo et2"dar01 Las ACL

est&ndar verifican la direcci"n ori!en de los
paquetes 2) que se deen enrutar.
12).( -E ACL
Lita de a!!eo et2"dar01
2ntervalo de n%meros de lista de acceso

B-CC

B@;; - BCCC

Filtran solamente en la direcci"n 2) ori!en

3&scaras <ildcard

Aplicado al puerto m&s cercano al destino

Ro'ter (!o"/i)+4 a!!e1$it 511667 5-er,it8

de"&7 5dire!!i9" de ori)e"7 5,a!ara
:i$d!ard7
12).( -E ACL

Ro'ter (!o"/i)1i/+4 i- a!!e1)ro'- 5Nro de

$ita de a!!eo7 5i"8o't7
5i"8o't701 la lista de acceso se aplicar& como
filtro de entrada o salida
12).( -E ACL
Lita de a!!eo e3te"dida

(e utili$an con m&s frecuencia que las ACL

est&ndar (ofrecen un mayor control)

?erifican las direcciones de paquetes de

ori!en y destino, y tamin los protocolos y
n%meros de puerto.
12).( -E ACL
Lita de a!!eo e3te"dida

4an!o de n%meros de listas de acceso

B;; D BCC

=;;; - =ECC

-irecci"n 2) de ori!en y de destino

*%mero de protocolo de Capa A

Aplicado al puerto m&s cercano al #ost ori!en

Ro'ter (!o"/i)+4 a!!e1$it 510011667

5-er,it 8 de"&7 5-roto!o$o7 5dire!!i9" de
ori)e"7 5,a!ara :i$d!ard7 5dire!!i9"
deti"o7 5,a!ara :i$d!ard7 5-'erto7
5eta;$ie<ed7 5$o)7
12).( -E ACL
Lita de a!!eo e3te"dida
Proto!o$o01 2), 1C), 0-), 2C3)
)uerto (opcional).- it (menor que)F !t (mayor
que), eq (i!ual a) o neq(distinto q), y un n%mero
de puerto de protocolo correspondiente.
Eta;$ie<ed01 (opcional) se usa solo para 1C)
de entrada. Esto pemite que el tr&fico 1C) pase
si el paquete utili$a una cone9i"n ya estalecida
(mensajes ACG)
Lo)01(opcional) env'a un mensaje de re!istro a
la consola a un servidor syslo! determinado.
12).( -E ACL
Lita de a!!eo e3te"dida

Ro'ter (!o"/i)1i/+4 i- a!!e1)ro'- 5Nro de

$ita de a!!eo7 5i"8o't7
5i"8o't701 la lista de acceso se aplicar& como
filtro de entrada o salida
12).( -E ACL
ACL NOMBRADA

(e introdujeron en el soft<are Cisco 2.(

?ersi"n BB.=

)ermiten que las ACL e9tendidas y est&ndar

tuvieran nomres en lu!ar de n%meros.

Las ACL nomradas tienen la capacidad de

modificar las ACL sin tener que eliminarlas y
lue!o reconfi!urarlas.
ACLs
4E(142*724 EL ACCE(. A
LA( ?1H

Las listas de acceso e9tendidas y est&ndar

se aplican a paquetes que viajan a travs de
un router.

*o est&n diseIadas para loquear paquetes

que se ori!inan dentro del router.