UNIDAD DE GESTIÓN DE

TECNOLOGÍAS
Carrera de Redes y Telecomunicaciones
-------------------------------------------------------------------------------------------------------------------------------
INFORME DE LABORATORIO 2.3

Asignatura: Redes LAN NRC: 5907 Docente: Ing. Fernando Caicedo

Alumno(a): Cornejo Jeremy, Shigunago Liseth, Urquizo Nayely Fecha: miércoles 20 de Julio de 2022

Tema: Configuración de listas de control de acceso ACL.

Objetivo General:

 Configurar y aplicar una ACL estándar para permitir o denegar tráfico especifico.

Objetivos Específicos:

 Probar la ACL para determinar si se logran los resultados deseados.

 Configurar y aplicar una ACL extendida para permitir o denegar tráfico especifico.
 Configurar listas de acceso extendidas para filtrar tráfico de red a red, de host a red y de red a
host.

Marco Teórico

ACL

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones o
protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el tráfico de
entrada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados.
El motivo más importante para configurar las ACL es brindar seguridad a la red.

¿Qué es una ACL?

La ACL es una configuración de router que controla si un router permite o deniega paquetes según el
criterio encontrado en el encabezado del paquete. Las ACL son unos de los objetos más
comúnmente utilizados en el software IOS de Cisco. Las ACL también se utilizan para seleccionar
los tipos de tráfico por analizar, reenviar o procesar de otras maneras.
Como cada paquete llega a través de una interfaz con una ACL asociada, la ACL se revisa de arriba a
abajo, una línea a la vez, y se busca un patrón que coincida con el paquete entrante. La ACL hace
cumplir una o más políticas de seguridad corporativas al aplicar una regla de permiso o denegación
para determinar el destino del paquete. Es posible configurar las ACL para controlar el acceso a
una red o subred.
Como cada paquete llega a través de una interfaz con una ACL asociada, la ACL se revisa de arriba a
abajo, una línea a la vez, y se busca un patrón que coincida con el paquete entrante. La ACL hace
cumplir una o más políticas de seguridad corporativas al aplicar una regla de permiso o denegación
para determinar el destino del paquete. Es posible configurar las ACL para controlar el acceso a
una red o subred.
Las ACL realizan las siguientes tareas:

1. Limitar el tráfico de red para mejorar el rendimiento de ésta. Por ejemplo, si la política
corporativa no permite el tráfico de video en la red, pueden configurarse y aplicarse las ACL
que bloquean el tráfico de video. Esto reduce considerablemente la carga de la red y aumenta
su rendimiento.

2. Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizaciones de
enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva
el ancho de banda.

3. Proporcionar un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitir que
un host acceda a una parte de la red y evitar que otro acceda a la misma área. Por ejemplo, el
acceso a la red de Recursos Humanos puede restringirse a determinados usuarios.

4. Se debe decidir qué tipos de tráfico enviar o bloquear en las interfaces del router. Por ejemplo,
una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.

5. Controlar las áreas de la red a las que puede acceder un cliente.

6. Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACL pueden
permitir o denegar el acceso de un usuario a tipos de archivos, como FTP o HTTP.

Tipos de ACL

ACL estándar
Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones IP de origen. No
importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el tráfico
desde la red 192.168.30.0/24. Debido a la sentencia implícita "deny any" (denegar todo) al final,
todo el otro tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración
global.

ACL extendidas
Las ACL extendidas filtran los paquetes IP en función de varios atributos, por ejemplo: tipo de
protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen,
puertos TCP o UDP de destino e información opcional de tipo de protocolo para una mejor
disparidad de control. En la figura, la ACL 103 permite el tráfico que se origina desde cualquier
dirección en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL
extendidas se crean en el modo de configuración global.

¿Dónde Ubicar las ACL?

La ubicación adecuada de las ACL para filtrar el tráfico no deseado proporciona un funcionamiento más
eficiente de la red. Las ACL pueden actuar como firewalls para filtrar paquetes y eliminar el tráfico no
deseado. El lugar donde ubique las ACL puede reducir el tráfico innecesario. Por ejemplo, el tráfico que
se deniega en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino.
Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas básicas son:

 Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera,
el tráfico no deseado se filtra sin atravesar la infraestructura de red.
  Como las ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca del
destino posible.
¿Cómo funciona una ACL estándar?

La ACL estándar es una colección secuencial de condiciones de permiso o denegación que aplican a las
direcciones IP. No se incluyen el destino del paquete ni los puertos involucrados.
El software IOS de Cisco prueba las direcciones una a una con las condiciones. La primera coincidencia
determina si el software acepta o rechaza la dirección. El orden de las condiciones es muy importante,
ya que el software detiene las condiciones de prueba luego de la primera coincidencia. Si no coinciden
ningunas de las condiciones, se rechaza la dirección.
Las dos tareas principales involucradas al utilizar las ACL son:

Paso 1. Crear una lista de acceso que especifique un número o nombre de lista de acceso y las
condiciones de acceso.

Paso 2. Aplicar la ACL a las interfaces o líneas de terminal.

Configuración de las ACL estándar

Para configurar las ACL estándar numeradas en un router Cisco, primero debe crear la ACL estándar y,
luego, activarla en una interfaz.
El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99. El
software IOS de Cisco Versión 12.0.1 extendió el rango y permite desde 1300 a 1999 para brindar un
máximo de 798 ACL estándar posibles. Estos números adicionales son denominados ACL IP expandidos.

La sintaxis completa del comando ACL estándar es:

Router(config)#access-list número-de-lista-de-acceso deny permit remark

origen [wildcard origen] [log]

Procedimientos de configuración de las ACL estándar

Luego de configurar una ACL estándar, se la vincula a una interfaz con el comando ip access-group:

Router(config-if)#ip access-group {número de lista de acceso | nombre de

lista de acceso} {in | out}

Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la interfaz y
luego el comando global no access-list para eliminar toda la ACL.
Configuracion de las ACL extendidas

Para lograr un control más preciso del filtrado del tráfico, puede usar ACL extendidas numeradas del
100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles.
Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque proporcionan un mayor
control y, por lo tanto, complementan su solución de seguridad. Al igual que las ACL estándar, las
extendidas verifican la dirección de origen del paquete, pero también verifican la dirección de
destino, los protocolos y los números de puerto (o servicios). Esto ofrece un criterio más amplio
sobre el cual fundamentar la ACL. Por ejemplo, una ACL extendida puede permitir de manera
simultánea el tráfico de correo electrónico de una red a un destino específico y, a la vez, denegar
la transferencia de archivos y la navegación Web.
Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL estándar:
primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la sintaxis y los
parámetros del comando tienen más complejidades para admitir las funciones adicionales de las
ACL extendidas.

La sintaxis completa del comando ACL extendida es:

Router(config)# access-list numero_ACL deny|permit protocolo

dirección_origen mascara_wildcard_dir_origen dirección_destino
mascara_wildcard_dir_ destino eq|gt|lt número_puerto

Donde:
Protocolo puede ser TCP, UDP, ICMP o IP. ICMP se utiliza para filtrar ping.
eq significa igual (=); gt significa mayor que (>); lt significa menor que (<)
El número de puerto aplica para TCP y UDP.

Mascara Wildcard

Las sentencias de las ACL incluyen máscaras, también denominadas máscaras wildcard. Una máscara
wildcard es una secuencia de dígitos binarios que le indican al router qué partes del número de
subred observar. Aunque las máscaras wildcard no tienen una relación funcional con las máscaras
de subred, sí proporcionan una función similar. La máscara determina qué parte de la dirección IP
de origen y destino aplicar a la concordancia de direcciones. Los números 1 y 0 de la máscara
identifican cómo considerar los bits de direcciones IP correspondientes. Sin embargo, se utilizan
con distintos propósitos y siguen distintas reglas.
Las máscaras wildcard y máscaras de subred tienen una longitud de 32 bits y utilizan unos (1) y ceros
(0) binarios. Las máscaras de subred utilizan unos y ceros binarios para identificar la red, subred y
porción de host de una dirección IP. Las máscaras wildcard utilizan unos y ceros binarios para filtrar
direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos según la
dirección IP. Al configurar cuidadosamente las máscaras wildcard, puede permitir o denegar una o
varias direcciones IP.
Las máscaras wildcard y máscaras de subred difieren en la forma en la que concuerdan sus unos y ceros
binarios. Las máscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros
binarios.

 Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la dirección

 Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección

Las máscaras wildcard generalmente son denominadas máscaras inversas. El motivo es que, a
diferencia de una máscara de subred cuyo 1 binario representa una coincidencia y el 0 binario la
falta de coincidencia, lo inverso es verdadero.

Facilitan la lectura de una ACL al proporcionar pistas visuales en cuanto al origen o destino del criterio.

 La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de
direcciones IP deben coincidir o que sólo un host coincide.

 La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta máscara indica que
debe ignorarse toda la dirección IP o que deben aceptarse todas las direcciones.
Desarrollo:

En la práctica realizada en clases nuestro docente nos dio una introducción al tema de las listas de

acceso de control o conocidas como ACL, las cuales nos permitirán denegar o permitir el envió de

paquetes a otros routers.

1.1. Al inicio en el área de trabajo de cisco armaremos la topología la cual va a constar de switch,

routers, y computadoras. Imagen 1

 Creación de la topología

Imagen 1. Creación de la topología

1.2. En segundo lugar, ingresaremos a las PC y daremos sus respectivos direccionamientos de ip, su

máscara y de igual manera su Gateway. Imagen 2

Direccionamiento

Imagen 2. Direccionamiento a Pc´s

1.3. Por consiguiente, daremos direccionamiento a las interfaces de cada uno de los router´s, también
habilitaremos cada uno de los puertos para el funcionamiento correcto de este mismo. Imagen 3.
 IP asignadas a puertos

Imagen 3. Direccionamiento y Habilitación de puertos.

1.4. En esta parte de la práctica dentro de cada router crearemos las listas de accesos y veremos a
cuáles direcciones ip daremos permiso para el envió de los paquetes con el comando Access-list 1
permit [dirección]. Imagen 4.

Imagen 4. Creación de listas de acceso

1.5. Por consiguiente, entraremos en una de las interfaces de salida del router en donde daremos
acceso para que puedan salir los paquetes de ese router a otro, para el envió correcto de los
paquetes con el comando ip Access-group 1 out. Imagen 5.

Imagen 5. Asignación de interface de salida para los ACL

1.6. En este antepenúltimo paso entraremos a router para verificar que se hayan creado las listas de
accesos que anterior mente asignamos. Esto lo haremos escribiendo el comando show Access-lists
en el modo privilegiado. Imagen 6.
 Imagen 6. Verificación de las listas de acceso creadas.

1.7. Por último, paso enviaremos paquetes de un router a otro y veremos si la configuración de toda la
topología realizada estuvo éxito. Imagen 7.

Aquí observamos si los

paquetes fueron
enviados con éxito y de
igual manera aquellos
que nos les permitimos el
envío respectivo de los
paquetes

Imagen 7. Verificación de envío de paquetes.

Conclusiones:

 Cuando se construyen las listas de acceso debemos identificar el origen y destino de los
paquetes que deseamos bloquear para poder realizarlas correctamente.
 Antes de aplicar las ACL a un router en específico es recomendable realizarlas primero en un
editor de texto.
 Las ACL se aplican a una interfaz en una dirección de entrada o de salida por lo que antes de
aplicarlas a cualquier interfaz es mejor analizar la ruta que seguiría el paquete para llegar al
destino y así evitar equivocaciones.

Bibliografía:

9.1.1.1 ¿Qué es una ACL? (s/f). Sapalomera.cat. Recuperado el 20 de julio de 2022, de

https://www.sapalomera.cat/moodlecf/RS/2/course/module9/9.1.1.1/9.1.1.1.html

Informe ACL - [download PDF]. (s/f). Fdocuments.Ec. Recuperado el 20 de julio de

2022, de https://fdocuments.ec/download/informe-acl