acces list
Páginas: 8 (1974 palabras)
Publicado: 22 de agosto de 2013
Introducción
Los listados de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router, siendo un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones Internet o protocolos de capa superior. El uso más habitual de las listas de acceso es para el filtro de paquetes, aunque también seutilizan para separar el tráfico en diferentes colas de prioridad, y para identificar el tráfico para activar las llamadas en el enrutamiento bajo demanda (DDR). Las listas de acceso no actúan sobre los paquetes originados en el propio router, como las actualizaciones de enrutamiento o las sesiones Telnet salientes. Hay dos tipos generales de listas de acceso:
• Listas de Acceso Estándar. Compruebanúnicamente las direcciones de origen de los paquetes que solicitan enrutamiento. Opera en la capa 3.
• Listas de Acceso Extendidas. Comprueban tanto la dirección de origen como la de destino en cada paquete. También pueden verificar protocolos específicos, números de puerto y otros parámetros. Opera en las capas 3 y 4.
Las listas de acceso pueden aplicarse de las siguientes formas:
• Listas deAcceso de Entrada. Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta más eficaz dado que evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento.
• Listas de Acceso de Salida. Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.
Lasinstrucciones de una lista de acceso operan en un orden lógico secuencial. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso, el resto de las instrucciones de la lista serán omitidas, y el paquete será permitido o denegado. El proceso de comparación sigue hasta llegar al final de la lista, cuando el paquete será denegado implícitamente. La implicación de este modo decomportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Cuando se descarta un paquete, ICMP devuelve un paquete notificando al remitente que el destino es inalcanzable.
Debido a que las listas de acceso se procesan de arriba a abajo hasta que se encuentra una condición verdadera, si coloca las pruebas más restrictivas y frecuentes al comienzo de la lista, sereducirá la carga de procesamiento.
Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores, mediante el cual todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. Debido a dicha condición, es necesario que en toda lista de acceso exista al menos una instrucción permit; en caso contrario, la listabloquearía todo el tráfico. Otra solución sería finalizar el listado de acceso con una condición de permiso implícito de todo.
Un listado de acceso puede asociarse a una o varias interfaces. De hecho, se puede asociar el mismo listado de acceso a una interfaz para que filtre los paquetes entrantes y a otra interfaz para que filtre los paquetes salientes. Sin embargo, sólo puede asociarse un únicolistado de acceso a cada interfaz, para cada protocolo. Es decir, podemos tener un listado de acceso IP y otro IPX para la misma interfaz, pero nunca dos listados de acceso IP.
Utilice los números de listas de acceso dentro del rango definido por Cisco para el protocolo y el tipo de lista que va a crear.
Lista de Acceso Rango numérico
IP – Estándar 1 a 99
IP – Extendida 100 a 199
IP – Connombre Nombre (Cisco IOS 11.2 o posterior)
IPX – Estándar 800 a 899
IPX – Extendida 900 a 999
IPX – Filtros SAP 1000 a 1099
IPX – Con nombre Nombre (Cisco IOS 11.2F o posterior)
Construir un listado de acceso se limita a especificar un conjunto de condiciones permit y denyque forman el propio listado. Necesitará crear la lista de acceso antes de aplicarla a una interfaz. La comprensión de los...
Los listados de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router, siendo un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones Internet o protocolos de capa superior. El uso más habitual de las listas de acceso es para el filtro de paquetes, aunque también seutilizan para separar el tráfico en diferentes colas de prioridad, y para identificar el tráfico para activar las llamadas en el enrutamiento bajo demanda (DDR). Las listas de acceso no actúan sobre los paquetes originados en el propio router, como las actualizaciones de enrutamiento o las sesiones Telnet salientes. Hay dos tipos generales de listas de acceso:
• Listas de Acceso Estándar. Compruebanúnicamente las direcciones de origen de los paquetes que solicitan enrutamiento. Opera en la capa 3.
• Listas de Acceso Extendidas. Comprueban tanto la dirección de origen como la de destino en cada paquete. También pueden verificar protocolos específicos, números de puerto y otros parámetros. Opera en las capas 3 y 4.
Las listas de acceso pueden aplicarse de las siguientes formas:
• Listas deAcceso de Entrada. Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta más eficaz dado que evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento.
• Listas de Acceso de Salida. Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.
Lasinstrucciones de una lista de acceso operan en un orden lógico secuencial. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso, el resto de las instrucciones de la lista serán omitidas, y el paquete será permitido o denegado. El proceso de comparación sigue hasta llegar al final de la lista, cuando el paquete será denegado implícitamente. La implicación de este modo decomportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Cuando se descarta un paquete, ICMP devuelve un paquete notificando al remitente que el destino es inalcanzable.
Debido a que las listas de acceso se procesan de arriba a abajo hasta que se encuentra una condición verdadera, si coloca las pruebas más restrictivas y frecuentes al comienzo de la lista, sereducirá la carga de procesamiento.
Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores, mediante el cual todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. Debido a dicha condición, es necesario que en toda lista de acceso exista al menos una instrucción permit; en caso contrario, la listabloquearía todo el tráfico. Otra solución sería finalizar el listado de acceso con una condición de permiso implícito de todo.
Un listado de acceso puede asociarse a una o varias interfaces. De hecho, se puede asociar el mismo listado de acceso a una interfaz para que filtre los paquetes entrantes y a otra interfaz para que filtre los paquetes salientes. Sin embargo, sólo puede asociarse un únicolistado de acceso a cada interfaz, para cada protocolo. Es decir, podemos tener un listado de acceso IP y otro IPX para la misma interfaz, pero nunca dos listados de acceso IP.
Utilice los números de listas de acceso dentro del rango definido por Cisco para el protocolo y el tipo de lista que va a crear.
Lista de Acceso Rango numérico
IP – Estándar 1 a 99
IP – Extendida 100 a 199
IP – Connombre Nombre (Cisco IOS 11.2 o posterior)
IPX – Estándar 800 a 899
IPX – Extendida 900 a 999
IPX – Filtros SAP 1000 a 1099
IPX – Con nombre Nombre (Cisco IOS 11.2F o posterior)
Construir un listado de acceso se limita a especificar un conjunto de condiciones permit y denyque forman el propio listado. Necesitará crear la lista de acceso antes de aplicarla a una interfaz. La comprensión de los...
Leer documento completo
Regístrate para leer el documento completo.