Capítulo 7: Listas de
control de acceso
Routing and Switching Essentials v6.0
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 1
� 7.1 Funcionamiento de
una ACL
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 2
�Propósito de las listas ACL
¿Qué es una ACL?
Los routers no tienen listas ACL configuradas de manera predeterminada,
por lo que no filtran el tráfico de manera predeterminada.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 3
�Tipos de ACL IPv4
ACL IPv4 numeradas y nombradas
Las ACL estándar y extendidas se pueden crear con un
número o un nombre para identificar la ACL.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 4
�Propósito de las listas ACL
Funcionamiento de una ACL
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 5
�Pautas para la creación de listas ACL
Pautas generales para la creación de
listas ACL
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 6
�Tipos de ACL IPv4
Dónde ubicar las ACL IPv4
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 7
�Pautas para la ubicación de listas ACL
¿Dónde ubicar las listas ACL?
(continuación)
Cada ACL se debe colocar donde tenga más impacto en la eficiencia.
Las reglas básicas son las siguientes:
Listas ACL extendidas: coloque las listas ACL extendidas lo más
cerca posible del origen del tráfico que se filtrará.
Listas ACL estándares: debido a que en las listas ACL
estándares no se especifican las direcciones de destino,
colóquelas tan cerca del destino como sea posible.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 8
�Pautas para la ubicación de listas ACL
Ubicación de listas ACL estándares
El administrador desea impedir que el tráfico que se origina en la red
192.168.10.0/24 llegue a la red 192.168.30.0/24.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 9
�Tipos de ACL IPv4
Ejemplo de ubicación de ACL extendida
Lo que el administrador desea es denegar el tráfico de Telnet y FTP de la
red 192.168.11.0/24 a la red 192.168.30.0/24 de la empresa B. Se debe
permitir que el resto del tráfico de la red .11 salga de la empresa A sin
restricciones.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 10
�Máscaras de comodín en listas ACL
Cálculo de la máscara de comodín
El cálculo de máscaras de comodín puede ser difícil. Un método
abreviado es restar la máscara de subred a 255.255.255.255.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 11
�Máscaras de comodín en listas ACL
Palabras clave de una máscara de comodín
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 12
�Máscaras de comodín en listas ACL
Ejemplos de palabras clave de una máscara
de comodín
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 13
� 7.2 ACL de IPv4 estándar
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 14
�Configurar listas ACL de IPv4 estándares
Sintaxis de una ACL de IPv4 estándar
numerada
Router(config)# access-list número-de-lista-de-acceso
{ deny | permit | remark } origen [ comodín-de-origen ] [ log ]
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 15
�Configurar listas ACL de IPv4 estándares
Aplicar listas ACL de IPv4 estándares a las
interfaces
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 16
�Configurar listas ACL de IPv4 estándares
Ejemplos de listas ACL de IPv4 estándares
numeradas 1/2
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 17
�Configurar listas ACL de IPv4 estándares
Ejemplos de listas ACL de IPv4 estándares
numeradas 2/2
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 18
�Configurar listas ACL de IPv4 estándares
Sintaxis de una ACL de IPv4 estándar con
nombre 1/2
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 19
�Configurar listas ACL de IPv4 estándares
Sintaxis de una ACL de IPv4 estándar con nombre
2/2
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 20
�Modificar listas ACL de IPv4
Método 2: Utilizar números de secuencia
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 21
�Modificar listas ACL de IPv4
Editar listas ACL estándares con nombre
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 22
�Asegurar puertos VTY con una ACL de IPv4 estándar
El comando access-class
El comando access-class configurado en el modo de configuración de
línea restringe las conexiones entrantes y salientes entre una VTY
determinada (en un dispositivo de Cisco) y las direcciones incluidas en
una lista de acceso.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 23
�Asegurar puertos VTY con una ACL de IPv4 estándar
Verificar que el puerto VTY esté asegurado
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 24
� 7.3 ACL Extendidas
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 25
�Estructura de las ACL IPv4 extendidas
ACL extendidas
Las ACL extendidas se utilizan con más frecuencia que las
ACL estándar, porque proporcionan un mayor grado de
control.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 26
�Estructura de las ACL IPv4 extendidas
Filtrado de puertos y servicios
La capacidad de filtrar por protocolos y números de puerto permite
que los administradores de red creen ACL extendidas muy
específicas.
Se puede especificar una aplicación mediante la configuración del
número o el nombre de un puerto bien conocido.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 27
�Descripción general del funcionamiento de la ACL
Una conversación TCP
Los segmentos de datos TCP también identifican el puerto
que coincide con el servicio solicitado.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 28
�Configuración de las ACL IPv4 extendidas
Configuración de las ACL extendidas
Los pasos del procedimiento para configurar ACL extendidas
son los mismos que para las ACL estándar. Primero se
configura la ACL extendida y, a continuación, se activa en una
interfaz. Sin embargo, la sintaxis de los comandos y los
parámetros son más complejos, a fin de admitir las funciones
adicionales proporcionadas por las ACL extendidas.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 29
�Configuración de las ACL IPv4 extendidas
Ejemplo de ACL extendidas a las interfaces
2/2
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 30
�Configuración de las ACL IPv4 extendidas
Ejemplo de ACL extendidas a las interfaces 2/2
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 31
�Configuración de las ACL IPv4 extendidas
Ejemplo de ACL extendidas a las interfaces
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 32
�Configuración de las ACL IPv4 extendidas
Creación de ACL extendidas denominadas
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 33
�Configuración de las ACL IPv4 extendidas
Edición de ACL extendidas
La edición de una ACL extendida se puede lograr mediante el
mismo proceso que se aplica para la edición de una ACL
estándar. Las ACL extendidas se pueden modificar mediante
los métodos siguientes:
• Método 1: Editor de texto
La ACL se copia y pega en el editor de texto donde se realizan los
cambios. La lista de acceso actual se elimina mediante el comando
no access-list. Luego, la ACL modificada se pega nuevamente en
la configuración.
• Método 2: Números de secuencia
Los números de secuencia se pueden utilizar para eliminar o
insertar una instrucción de ACL.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 34
� 7.3 Solución de problemas
en listas ACL estandard
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 35
�Procesar paquetes con listas ACL
Denegar todo implícito
Se debe configurar al menos una ACE permit en una ACL. En caso contrario, se
bloquea todo el tráfico.
Para la red en la ilustración, si se aplica la ACL 1 o la ACL 2 a la interfaz S0/0/0 del R1 en
el sentido de salida, se obtiene el mismo resultado.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 36
�Procesar paquetes con listas ACL
El orden de las ACE en una ACL
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 37
�Procesar paquetes con listas ACL
Cisco IOS reordena las listas ACL
estándares
Observe que las instrucciones se enumeran en un orden distinto al orden en que se
introdujeron.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 38
�Errores comunes en listas ACL de IPv4 estándares
Solucionar problemas en listas ACL de IPv4
estándares: Ejemplo 1 (1/2)
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 39
�Errores comunes en listas ACL de IPv4 estándares
Solucionar problemas en listas ACL de IPv4
estándares: Ejemplo 1 (2/2)
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 40
�Errores comunes en listas ACL de IPv4 estándares
Solucionar problemas en listas ACL de IPv4
estándares: Ejemplo 2 (1/3)
Política de seguridad: la red 192.168.11.0/24 no debería poder
acceder a la red 192.168.10.0/24.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 41
�Errores comunes en listas ACL de IPv4 estándares
Solucionar problemas en listas ACL de IPv4
estándares: Ejemplo 2 (2/3)
Se aplicó la ACL 20 a la interfaz equivocada en la dirección equivocada.
Se deniega todo el tráfico entrante de 192.168.11.0/24 a través de la
interfaz G0/1.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 42
�Errores comunes en listas ACL de IPv4 estándares
Solucionar problemas en listas ACL de IPv4
estándares: Ejemplo 2 (3/3)
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 43
�Errores comunes en listas ACL de IPv4 estándares
Solucionar problemas en listas ACL de IPv4
estándares: Ejemplo 3 (1/2)
Problema
Política de
seguridad: Solo a
PC1 se le permite
el acceso remoto
SSH a R1.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 44
�Errores comunes en listas ACL de IPv4 estándares
Solucionar problemas en listas ACL de IPv4
estándares: Ejemplo 3 (2/2)
¡Solución!
Política de
seguridad: Solo a
PC1 se le permite
el acceso remoto
SSH a R1.
Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 45
�Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 46
�Presentation_ID © 2008 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 47
