Listados de Acceso del Manual Cisco CCNA
Enviado por THEXAVIER • 16 de Diciembre de 2012 • 10.203 Palabras (41 Páginas) • 466 Visitas
LISTAS DE ACCESO
A continuación se puede acceder al contenido del las distintas partes del capítulo de Listados de Acceso del Manual Cisco CCNA:
• Introducción
• Ejemplo. Bloquear el tráfico de una red externa
• Ejemplo. Bloquear el tráfico de un host
• Ejemplo. Bloquear el tráfico de una subred
• Listas de Acceso vty
• Ejemplo. Permitir establecer sesiones telnet a dispositivos 192.89.55.0
• Crear Listas de Acceso Extendidas
• Ejemplo. Denegar tráfico FTP desde una subred a otra
• Listas de Acceso IP con nombre
• Ejemplo. Denegar el tráfico telnet desde una subred específica
• Crear Listados de Acceso IPX Estándar
• Crear Listados de Acceso IPX Extendidos
• Verificación/Visualización de listas de acceso IPX
• Crear Listados de Acceso AppleTalk Estándar
Introducción
Los listados de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router, siendo un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones Internet o protocolos de capa superior. El uso más habitual de las listas de acceso es para el filtro de paquetes, aunque también se utilizan para separar el tráfico en diferentes colas de prioridad, y para identificar el tráfico para activar las llamadas en el enrutamiento bajo demanda (DDR). Las listas de acceso no actúan sobre los paquetes originados en el propio router, como las actualizaciones de enrutamiento o las sesiones Telnet salientes. Hay dos tipos generales de listas de acceso:
• Listas de Acceso Estándar. Comprueban únicamente las direcciones de origen de los paquetes que solicitan enrutamiento. Opera en la capa 3.
• Listas de Acceso Extendidas. Comprueban tanto la dirección de origen como la de destino en cada paquete. También pueden verificar protocolos específicos, números de puerto y otros parámetros. Opera en las capas 3 y 4.
Las listas de acceso pueden aplicarse de las siguientes formas:
• Listas de Acceso de Entrada. Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta más eficaz dado que evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento.
• Listas de Acceso de Salida. Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.
Las instrucciones de una lista de acceso operan en un orden lógico secuencial. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso, el resto de las instrucciones de la lista serán omitidas, y el paquete será permitido o denegado. El proceso de comparación sigue hasta llegar al final de la lista, cuando el paquete será denegado implícitamente. La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Cuando se descarta un paquete, ICMP devuelve un paquete notificando al remitente que el destino es inalcanzable.
Debido a que las listas de acceso se procesan de arriba a abajo hasta que se encuentra una condición verdadera, si coloca las pruebas más restrictivas y frecuentes al comienzo de la lista, se reducirá la carga de procesamiento.
Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores, mediante el cual todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. Debido a dicha condición, es necesario que en toda lista de acceso exista al menos una instrucción permit; en caso contrario, la lista bloquearía todo el tráfico. Otra solución sería finalizar el listado de acceso con una condición de permiso implícito de todo.
Un listado de acceso puede asociarse a una o varias interfaces. De hecho, se puede asociar el mismo listado de acceso a una interfaz para que filtre los paquetes entrantes y a otra interfaz para que filtre los paquetes salientes. Sin embargo, sólo puede asociarse un único listado de acceso a cada interfaz, para cada protocolo. Es decir, podemos tener un listado de acceso IP y otro IPX para la misma interfaz, pero nunca dos listados de acceso IP.
Utilice los números de listas de acceso dentro del rango definido por Cisco para el protocolo y el tipo de lista que va a crear.
Lista de Acceso Rango numérico
IP – Estándar 1 a 99
IP – Extendida 100 a 199
IP – Con nombre Nombre (Cisco IOS 11.2 o posterior)
IPX – Estándar 800 a 899
IPX – Extendida 900 a 999
IPX – Filtros SAP 1000 a 1099
IPX – Con nombre Nombre (Cisco IOS 11.2F o posterior)
Construir un listado de acceso se limita a especificar un conjunto de condiciones permit y deny que forman el propio listado. Necesitará crear la lista de acceso antes de aplicarla a una interfaz. La comprensión de los comandos de configuración de listas de acceso se reduce a dos elementos generales:
• El comando de configuración global access-list añade condiciones a una lista de acceso.
• El comando de configuración de interfaz ip access-group activa una lista de acceso IP en una interfaz.
Puede ser necesario probar condiciones para un grupo o rango de direcciones IP, o bien para una dirección IP individual. Por esa razón, debe haber algún método de identificar cuáles son los bits de una dirección IP dada que deben ser verificados, para lo que se utilizan máscaras comodin (wildcards), también conocidas como máscaras de subred inversas, en las direcciones de la lista de acceso.
• Un bit de máscara a 0 significa comprobar el valor del bit correspondiente.
• Un bit de máscara a 1 significa ignorar el bit correspondiente.
Por lo tanto, para establecer un filtro para la subred 200.90.20.0/24 utilizaremos una máscara comodín de 0.0.0.255. En caso de una dirección de nodo, utilizaremos la máscara comodín de 0.0.0.0, o la reemplazaremos por la palabra clave host. Otra condición habitual es la máscara 255.255.255.255 para indicar todo, que puede reemplazarse por la palabra clave any, como sería permit any o deny any. Conforme se vayan creando instrucciones para un determinado listado de acceso, se irán agregando al final de la lista. Puede consultar el listado de acceso ejecutando el comando show access-list [#listado]. Utilizando show access-list sin parámetros, se muestran todos los listados de acceso del router. También suele ser útil el comando show ip interface, ya que muestra información de la interfaz IP e indica si se ha configurado alguna lista de acceso para dicha interfaz, así como si se ha configurado en modo entrante
...