Uso de Lista de Accesos en Cisco
Páginas: 13 (3123 palabras)
Publicado: 13 de abril de 2013
Uso de listas de acceso en entornos Cisco
por Antonio Gallego de Torres, autor del libro "Enrutadores Cisco". © 2003. Se autoriza la difusión total o parcial siempre que se cite procedencia.
LISTAS DE ACCESO. PRESENTACION
Los routers Cisco proporcionan varios métodos de selección de tráfico. En el presente artículo exploraremos las posibilidades de las listas de acceso. Las listas deacceso son conjuntos de reglas que indican al router como seleccionar paquetes. Una vez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos más extendidos de las listas de acceso es el de controlar el flujo de tráfico entrante y saliente de un router.
El presente artículo se divide en dos bloques: una exposición teórica de las listas de acceso (estructura, tipos,formación de las condiciones que las conforman) y una serie de ejemplos prácticos que aclararán rápidamente todos los conceptos establecidos en la primera parte.
I. TEORIA DE LAS LISTAS DE ACCESO
LISTAS DE ACCESO. ESTRUCTURA BASICA
Las reglas que componen las listas de acceso tienen tres partes: un número que identifica la lista, una instrucción deny o permit y una condición
access-listnúmero_identificador [permit|deny] condición
El número utilizado para identificar una lista concreta debe ser seleccionado de un rango numérico acorde con el uso concreto de la lista. En la Tabla 1 vemos los principales tipos de listas disponibles. En este artículo nos centraremos especialmente en las listas IP, en sus formas Estándar y Extendida.
Tabla 1. Numeración de las listas deacceso.
PROTOCOLO
TIPO
RANGO
FILTRA POR
IP
Estándar
1-99 y 1300-1999
el origen
IP
Extendidas
100-199 y 2000-2699
el origen, destino, protocolo, puerto...
Ethernet
Código (Type)
200-299
el tipo de código Ethernet
DECnet
Protocol Suite
300-399
el origen
Appletalk
Protocol Suite
600-699
el origen
Ethernet
Direcciones
799-799
la dirección MAC
IPX
Estándar
800-899
el origenIPX
Extendida
900-999
el origen, destino, protocolo, puerto...
IPX
SAP
1000-1099
tipo de aplicación (SAP, Service Access Point)
SINTAXIS DE LAS LISTAS DE ACCESO
Ya hemos visto la sintaxis general de las listas de acceso (Standar ACLs):
access-list número_identificador [permit|deny] condición
Mostramos a continuación la sintaxis de las listas de acceso extendidas (extendedACLs):
Para el protocolo IP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard destination destination-wildcard
[precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo ICMP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp sourcesource-wildcard destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]] [precedenceprecedence]
[tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo TCP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]][established]
[precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo UDP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]Desde la versión de Cisco IOS 11.2, y para listas IP, el identificador numérico de la lista puede ser reemplazado por un identificador alfanumérico de hasta 64 caracteres (el primero, obligatoriamente alfabético). Versiones posteriores de IOS extienden esta característica al protocolo IPX. A este tipo de listas se les llama "Listas de acceso con nombre" (Named ACLs) y su forma es la siguiente:...
por Antonio Gallego de Torres, autor del libro "Enrutadores Cisco". © 2003. Se autoriza la difusión total o parcial siempre que se cite procedencia.
LISTAS DE ACCESO. PRESENTACION
Los routers Cisco proporcionan varios métodos de selección de tráfico. En el presente artículo exploraremos las posibilidades de las listas de acceso. Las listas deacceso son conjuntos de reglas que indican al router como seleccionar paquetes. Una vez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos más extendidos de las listas de acceso es el de controlar el flujo de tráfico entrante y saliente de un router.
El presente artículo se divide en dos bloques: una exposición teórica de las listas de acceso (estructura, tipos,formación de las condiciones que las conforman) y una serie de ejemplos prácticos que aclararán rápidamente todos los conceptos establecidos en la primera parte.
I. TEORIA DE LAS LISTAS DE ACCESO
LISTAS DE ACCESO. ESTRUCTURA BASICA
Las reglas que componen las listas de acceso tienen tres partes: un número que identifica la lista, una instrucción deny o permit y una condición
access-listnúmero_identificador [permit|deny] condición
El número utilizado para identificar una lista concreta debe ser seleccionado de un rango numérico acorde con el uso concreto de la lista. En la Tabla 1 vemos los principales tipos de listas disponibles. En este artículo nos centraremos especialmente en las listas IP, en sus formas Estándar y Extendida.
Tabla 1. Numeración de las listas deacceso.
PROTOCOLO
TIPO
RANGO
FILTRA POR
IP
Estándar
1-99 y 1300-1999
el origen
IP
Extendidas
100-199 y 2000-2699
el origen, destino, protocolo, puerto...
Ethernet
Código (Type)
200-299
el tipo de código Ethernet
DECnet
Protocol Suite
300-399
el origen
Appletalk
Protocol Suite
600-699
el origen
Ethernet
Direcciones
799-799
la dirección MAC
IPX
Estándar
800-899
el origenIPX
Extendida
900-999
el origen, destino, protocolo, puerto...
IPX
SAP
1000-1099
tipo de aplicación (SAP, Service Access Point)
SINTAXIS DE LAS LISTAS DE ACCESO
Ya hemos visto la sintaxis general de las listas de acceso (Standar ACLs):
access-list número_identificador [permit|deny] condición
Mostramos a continuación la sintaxis de las listas de acceso extendidas (extendedACLs):
Para el protocolo IP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard destination destination-wildcard
[precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo ICMP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp sourcesource-wildcard destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]] [precedenceprecedence]
[tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo TCP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]][established]
[precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]
Para el protocolo UDP:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]Desde la versión de Cisco IOS 11.2, y para listas IP, el identificador numérico de la lista puede ser reemplazado por un identificador alfanumérico de hasta 64 caracteres (el primero, obligatoriamente alfabético). Versiones posteriores de IOS extienden esta característica al protocolo IPX. A este tipo de listas se les llama "Listas de acceso con nombre" (Named ACLs) y su forma es la siguiente:...
Leer documento completo
Regístrate para leer el documento completo.