Routers cisco. Listas de control de acceso
Transcript of Routers cisco. Listas de control de acceso
ROUTERS CISCOListas de Control de
Acceso. ACLs
Josu OrbeDpto. Electrónica y Comunicaciones
POLITEKNIKA IKASTEGIA TXORIERRI S.Coop2015 Azaroa
Redes Telemáticas
Listas de control de acceso. Introducción. (1)
Redes Telemáticas
Las ACLs son un servicio opcional del router que se usa para determinar si un paquete debe ser retransmitido a su destino o bien debe ser descartado.
Una ACL es un listado secuencial de condiciones de permiso (permit) o prohibición (deny) que se aplican a direcciones IP o puertos.
Las ACLs se asignan a un determinado interface.
Las ACLs se procesan después de aplicar las rutas.
Las ACLs pueden ser entrantes (in) o salientes (out)
Listas de control de acceso. Introducción. (2)
Redes Telemáticas
Proceso de creación:
1. Se crea la lista
2. Se asocia la lista a un interfaz entrante o saliente
Listas de control de acceso. Introducción. (3)
Redes Telemáticas
Tipos básicos de ACLs:
Redes Telemáticas
NUMERADAS NOMBRADAS
ESTANDAR EXTENDIDAS ESTANDAR EXTENDIDAS
Se identifican por un número que identifica diferentes rangos dedicados a protocolos concretos.
ACLs numeradas:
Redes Telemáticas
Las líneas individuales no pueden ser borradas de una ACL numerada.Para modificar una ACL numerada hay que borrar la ACL y volver a introducirla de nuevo corregida.
Configuración de ACL numerada estándar. Sintaxis
Redes Telemáticas
access-list [numero ACL 1-99] [permit/deny] [Dirección origen + Wilcard]
Filtran solo por IP origen.Debemos utilizar dos comandos:
1.- Para crear la lista:
2.- Para asociar a un interfaz de manera entrante o saliente:
ip access-group [numero ACL 1-99] [in/out]
Configuración de ACL numerada estándar. Ejemplo
Redes Telemáticas
Router> enable
Router# configure terminal
Router(config)# access-list 10 deny 172.18.0.0 0.0.255.255
Router(config)# access-list 10 permit any
Router(config)# interface serial 0
Router(config-if)# ip access-group 10 in
Router(config-if)# exit
Configuración de ACL numerada extendida. Sintaxis
Redes Telemáticas
access-list [numero ACL 100-199] [permit/deny] [Protocolo] [Dirección origen + Wilcard] [Dirección destino + Wilcard] [opciones de puerto]
Puede filtrar por IP origen, IP destino, puerto origen o destino o incluso por protocolo.Debemos utilizar dos comandos:1.- Para crear la lista:
2.- Para asociar a un interfaz de manera entrante o saliente:
ip access-group [numero ACL 100-199] [in/out]
Configuración de ACL numerada extendida. Ejemplo
Redes Telemáticas
Router> enable
Router# configure terminal
Router(config)# access-list 110 deny tcp 173.156.1.8 0.0.0.0 any eq 80
Router(config)# access-list 110 permit ip any any
Router(config)# interface serial 0
Router(config-if)# ip access-group 110 in
Router(config-if)# exit
Configuración de ACL numerada extendida. Ejemplo
Redes Telemáticas
Router> enable
Router# configure terminal
Router(config)# access-list 110 deny tcp 173.156.1.8 0.0.0.0 any eq 80
Router(config)# access-list 110 permit ip any any
Router(config)# interface serial 0
Router(config-if)# ip access-group 110 in
Router(config-if)# exit
Parámetros más comunes:
eq : igualneq : diferentegt : mayor quelt : menor querange : especifica un rango de puertos
Se identifican por un nombre. ACLs de distinto tipo no se pueden llamar igual.
Las ACLs nombradas permiten eliminar entradas individuales.
Pero no es posible insertar elementos selectivamente en una lista. Las líneas insertadas siempre irán al final de la lista.
ACLs nombradas:
Redes Telemáticas
Configuración de ACL nombrada. Sintaxis
Redes Telemáticas
permit/deny [Protocolo] [Dirección origen + Wilcard] [Dirección destino + Wilcard] [opciones de puerto]
Debemos utilizar tres comandos:1.- Para identificar la lista:
3.- Para asociar a un interfaz de manera entrante o saliente:
ip access-group [nombre] [in/out]
2.- Para crear la lista:
ip access-list [standar/extended] [nombre]
Configuración de ACL nombrada. Ejemplo
Redes Telemáticas
Router> enable
Router# configure terminal
Router(config)# ip access-list extended EJEMPLO
Router(config-ext-nacl)# deny tcp any any eq 21
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit
Router(config)# interface ethernet 0
Router(config-if)# ip access-group EJEMPLO out
Router(config-if)# exit
Comandos de verificación de ACLs. Mostrar las ACL configuradas.
Redes Telemáticas
Router# show access-list
Mostrar una ACL en particularRouter# show access-list [numero / nombre]
Router# show [protocolo] access-list [numero / nombre]
Mostrar si una interfaz tiene asociada una ACL.Router# show ip interfaces [tipo] [numero]