The Internet and Its Uses

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1

Listas de control de acceso


Objetivos

Explicar cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana

Configurar las ACL estándar en la red de una sucursal de una empresa mediana

Configurar las ACL extendidas en la red de una sucursal de una empresa mediana

Describir las ACL complejas en la red de una sucursal de una empresa mediana

Implementar, verificar y resolver problemas de las ACL en un entorno de red empresarial


LISTAS DE CONTROL DE ACCESO Uno de los métodos más comunes de filtrado de tráfico es el uso de (ACL). Las ACL pueden utilizarse para administrar y

filtrar el tráfico que ingresa a una red, así como también el tráfico que sale de ella.

El tamaño de una ACL varía desde una sentencia que permite o deniega el tráfico de un origen, hasta cientos de sentencias que permiten o deniegan paquetes de varios orígenes. El uso principal de las ACL es identificar los tipos de paquetes que se deben aceptar o denegar.

Las ACL identifican el tráfico para varios usos, por ejemplo:

Especificar hosts internos para NAT

Identificar o clasificar el tráfico para funciones avanzadas tales como QoS y colas

Restringir el contenido de las actualizaciones de enrutamiento

Limitar el resultado de la depuración

Controlar el acceso de terminales virtuales a los routers

El uso de las ACL puede provocar los siguientes problemas potenciales:

La carga adicional sobre el router para verificar todos los paquetes se traduce en menos tiempo para el reenvío de paquetes.

Las ACL con diseños defectuosos colocan una carga aún mayor sobre el router y podrían interrumpir el uso de la red.

Las ACL colocadas de forma incorrecta bloquean el tráfico que debe ser permitido y permiten el tráfico que debe ser bloqueado.


Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana Por ejemplo, puede decir: "Sólo permitir el acceso Web a usuarios de la red A. Denegar el acceso Web a

usuario de la red B, pero permitirles los otros accesos". Consulte la figura a fin de analizar la ruta de decisión

que utiliza el filtro de paquetes para realizar esta tarea.


Explicación de cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana


TIPOS DE ACL Al crear listas de control de acceso, el administrador de red tiene varias opciones. La complejidad de las pautas de diseño

determina el tipo de ACL necesaria.

Hay tres clases de ACL:

ACL estándar

La ACL estándar es la más simple de las tres clases. Al crear una ACL IP estándar, las ACL filtran según la dirección IP de origen de un paquete. Las ACL estándar permiten o deniegan el acceso de acuerdo con la totalidad del protocolo, como IP. De esta manera, si un dispositivo host es denegado por una ACL estándar, se deniegan todos los servicios provenientes de ese host. Este tipo de ACL sirve para permitir el acceso de todos los servicios de un usuario específico, o LAN, a través de un router y, a la vez, denegar el acceso de otras direcciones IP. Las ACL estándar están identificadas por el número que se les ha asignado. Para las listas de acceso que permiten o deniegan el tráfico IP, el número de identificación puede variar entre 1 y 99 y entre 1300 y 1999.

ACL extendidas

Las ACL extendidas filtran no sólo según la dirección IP de origen, sino también según la dirección IP de destino, el protocolo y los números de puertos. Las ACL extendidas se utilizan más que las ACL estándar porque son más específicas y ofrecen un mayor control. El rango de números de las ACL extendidas va de 100 a 199 y de 2000 a 2699.

ACL nombradas

Las ACL nombradas (NACL, Named ACL) son ACL estándar o extendidas a las que se hace referencia mediante un nombre descriptivo en lugar de un número. Cuando se configuran ACL nombradas, el IOS del router utiliza un modo de subcomando de NACL.



los tipos y los formatos de las ACL.


PROCESAMIENTO DE LAS ACL El administrador aplica una ACL entrante o saliente a una interfaz de router. La dirección se considera entrante o saliente

desde la perspectiva del router. El tráfico que ingresa a un interfaz será entrante y el tráfico que sale de ella será saliente.

Cuando un paquete llega a una interfaz, el router controla los siguientes parámetros:

¿Hay una ACL asociada con la interfaz?

¿La ACL es entrante o saliente?

¿El tráfico coincide con los criterios para permitir o para denegar?

Una ACL aplicada en dirección saliente a una interfaz no tiene efectos sobre el tráfico entrante en esa misma interfaz.

Cada interfaz de un router puede tener una ACL por dirección para cada protocolo de red. Respecto al protocolo IP, una interfaz puede tener una ACL entrante y una ACL saliente al mismo tiempo.

Las ACL aplicadas a una interfaz agregan latencia al tráfico. Incluso una ACL larga puede afectar el rendimiento del router.



Cómo las ACL se pueden identificarse mediante nombres o numeración estandarizados.



Dónde deben ubicarse las ACL en una red. En la figura, el administrador desea que el tráfico que se origina en la red 192.168.10.0/24 no ingrese a la red 192.168.30.0/24. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar tráfico a otros lugares. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.168.10.0/24. Una ACL estándar cumple con los requerimientos porque sólo se centra en las direcciones IP de origen.



Dónde deben ubicarse las ACL en una red. Considere que los administradores sólo pueden colocar las ACL en los dispositivos que ellos controlan. Por lo

tanto, su ubicación debe determinarse según la extensión del control del administrador de red. En esta figura, el administrador de las redes 192.168.10.0/24 y 192.168.11.0/24 (designadas en este ejemplo Diez y Once, respectivamente) desea denegar el tráfico Telnet y FTP desde Once a la red 192.168.30.0/24 (Treinta en este

ejemplo). Al mismo tiempo, se debe permitir todo el tráfico restante desde Diez.



consideraciones para crear las ACL.


Configuración de las ACL estándar en la red de una sucursal de una empresa mediana

Por qué es importante el orden en el cual se introducen las declaraciones de criterios en una ACL.



Por qué es importante el orden en el cual se introducen las declaraciones de criterios en una ACL cómo configurar una ACL estándar.

Lógica de las ACL estándar

En la figura, se revisan las direcciones de origen de los paquetes que ingresan a Fa0/0:

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Si los paquetes tienen permiso, se enrutan a través del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz de entrada.



Cómo configurar una ACL estándar.



Cómo usar máscaras wildcard con las ACL.



Cómo aplicar una ACL estándar a una interfaz.



Proceso para editar las ACL numeradas.



Cómo crear una ACL con nombre.



Cómo supervisar y verificar las ACL.



Proceso para editar las ACL con nombre.


Configuración de las ACL extendidas en la red de una sucursal de una empresa mediana

Cómo configurar ACL extendidas.



Cómo aplicar una ACL extendida a una interfaz.



Cómo crear ACL extendidas con nombre.


Descripción de las ACL complejas en la red de una sucursal de una empresa mediana

Cómo resolver problemas comunes de ACL.


Implementación, verificación y resolución de problemas de las ACL en un entorno de red empresarial

Cree, ubique y verifique una ACL estándar o extendida y verifique su ubicación.

Verifique la funcionalidad de la ACL y resuelva los problemas según sea necesario.


RESUMEN

Una lista de control de acceso (ACL) es:

Una serie de declaraciones para permitir (permit) o denegar (deny) contenido, que se utiliza para filtrar el tráfico

ACL estándar

–Se identifica por los números de 1 a 99 y de 1300 a 1999

–Filtra el tráfico según la dirección IP de origen

ACL extendida

–Se identifica por los números de 100 a 199 y de 2000 a 2699

–Filtra el tráfico según

•Dirección IP de origen

•Dirección IP de destino

•Protocolo

•Número de puerto


RESUMEN

ACL con nombre

–Se usa con IOS versión 11.2 y superior

–Se puede usar tanto para una ACL estándar como para una ACL extendida

Las ACL usan máscaras wildcard (WCM)

–Se describen como lo opuesto a una máscara de subred

•Motivo

–0 verifica el bit

–1 ignora el bit


RESUMEN

Implementación de las ACL

–1° crear la ACL

–2° ubicar la ACL en una interfaz

•Las ACL estándar se ubican lo más cerca posible del destino

•Las ACL extendidas se ubican lo más cerca posible del origen

Use los siguientes comandos para verificar y resolver problemas de una ACL

–Show access-list

–Show interfaces

–Show run

The Internet and Its Uses

Documents

Transcript of The Internet and Its Uses