Listas de acceso
Páginas: 19 (4579 palabras)
Publicado: 1 de septiembre de 2010
Uso de listas de acceso en entornos Cisco
por Antonio Gallego de Torres, autor del libro "Enrutadores Cisco".
LISTAS DE ACCESO. PRESENTACION
Los routers Cisco proporcionan varios métodos de selección de tráfico. En el presente artículo exploraremos las posibilidades de las listas de acceso. Las listas de acceso son conjuntos de reglas que indican al router como seleccionar paquetes. Unavez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos más extendidos de las listas de acceso es el de controlar el flujo de tráfico entrante y saliente de un router.
El presente artículo se divide en dos bloques: una exposición teórica de las listas de acceso (estructura, tipos, formación de las condiciones que las conforman) y una serie de ejemplos prácticosque aclararán rápidamente todos los conceptos establecidos en la primera parte.
I. TEORIA DE LAS LISTAS DE ACCESO
LISTAS DE ACCESO. ESTRUCTURA BASICA
Las reglas que componen las listas de acceso tienen tres partes: un número que identifica la lista, una instrucción deny o permit y una condición
access-list número_identificador [permit|deny] condición
El número utilizado paraidentificar una lista concreta debe ser seleccionado de un rango numérico acorde con el uso concreto de la lista. En la Tabla 1 vemos los principales tipos de listas disponibles. En este artículo nos centraremos especialmente en las listas IP, en sus formas Estándar y Extendida.
Tabla 1. Numeración de las listas de acceso.
PROTOCOLO | TIPO | RANGO | FILTRA POR |
IP | Estándar | 1-99 y 1300-1999| el origen |
IP | Extendidas | 100-199 y 2000-2699 | el origen, destino, protocolo, puerto... |
Ethernet | Código (Type) | 200-299 | el tipo de código Ethernet |
DECnet | Protocol Suite | 300-399 | el origen |
Appletalk | Protocol Suite | 600-699 | el origen |
Ethernet | Direcciones | 799-799 | la dirección MAC |
IPX | Estándar | 800-899 | el origen |
IPX | Extendida | 900-999 |el origen, destino, protocolo, puerto... |
IPX | SAP | 1000-1099 | tipo de aplicación (SAP, Service Access Point) |
SINTAXIS DE LAS LISTAS DE ACCESO
Ya hemos visto la sintaxis general de las listas de acceso (Standar ACLs):
access-list número_identificador [permit|deny] condición
Mostramos a continuación la sintaxis de las listas de acceso extendidas (extended ACLs):
Para elprotocolo IP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard destination destination-wildcard
[precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo ICMP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcarddestination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]] [precedenceprecedence]
[tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo TCP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established][precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo UDP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
Desde la versión deCisco IOS 11.2, y para listas IP, el identificador numérico de la lista puede ser reemplazado por un identificador alfanumérico de hasta 64 caracteres (el primero, obligatoriamente alfabético). Versiones posteriores de IOS extienden esta característica al protocolo IPX. A este tipo de listas se les llama "Listas de acceso con nombre" (Named ACLs) y su forma es la siguiente:
ip access-list...
por Antonio Gallego de Torres, autor del libro "Enrutadores Cisco".
LISTAS DE ACCESO. PRESENTACION
Los routers Cisco proporcionan varios métodos de selección de tráfico. En el presente artículo exploraremos las posibilidades de las listas de acceso. Las listas de acceso son conjuntos de reglas que indican al router como seleccionar paquetes. Unavez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos más extendidos de las listas de acceso es el de controlar el flujo de tráfico entrante y saliente de un router.
El presente artículo se divide en dos bloques: una exposición teórica de las listas de acceso (estructura, tipos, formación de las condiciones que las conforman) y una serie de ejemplos prácticosque aclararán rápidamente todos los conceptos establecidos en la primera parte.
I. TEORIA DE LAS LISTAS DE ACCESO
LISTAS DE ACCESO. ESTRUCTURA BASICA
Las reglas que componen las listas de acceso tienen tres partes: un número que identifica la lista, una instrucción deny o permit y una condición
access-list número_identificador [permit|deny] condición
El número utilizado paraidentificar una lista concreta debe ser seleccionado de un rango numérico acorde con el uso concreto de la lista. En la Tabla 1 vemos los principales tipos de listas disponibles. En este artículo nos centraremos especialmente en las listas IP, en sus formas Estándar y Extendida.
Tabla 1. Numeración de las listas de acceso.
PROTOCOLO | TIPO | RANGO | FILTRA POR |
IP | Estándar | 1-99 y 1300-1999| el origen |
IP | Extendidas | 100-199 y 2000-2699 | el origen, destino, protocolo, puerto... |
Ethernet | Código (Type) | 200-299 | el tipo de código Ethernet |
DECnet | Protocol Suite | 300-399 | el origen |
Appletalk | Protocol Suite | 600-699 | el origen |
Ethernet | Direcciones | 799-799 | la dirección MAC |
IPX | Estándar | 800-899 | el origen |
IPX | Extendida | 900-999 |el origen, destino, protocolo, puerto... |
IPX | SAP | 1000-1099 | tipo de aplicación (SAP, Service Access Point) |
SINTAXIS DE LAS LISTAS DE ACCESO
Ya hemos visto la sintaxis general de las listas de acceso (Standar ACLs):
access-list número_identificador [permit|deny] condición
Mostramos a continuación la sintaxis de las listas de acceso extendidas (extended ACLs):
Para elprotocolo IP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard destination destination-wildcard
[precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo ICMP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcarddestination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]] [precedenceprecedence]
[tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo TCP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established][precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo UDP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
Desde la versión deCisco IOS 11.2, y para listas IP, el identificador numérico de la lista puede ser reemplazado por un identificador alfanumérico de hasta 64 caracteres (el primero, obligatoriamente alfabético). Versiones posteriores de IOS extienden esta característica al protocolo IPX. A este tipo de listas se les llama "Listas de acceso con nombre" (Named ACLs) y su forma es la siguiente:
ip access-list...
Leer documento completo
Regístrate para leer el documento completo.