COMANDOS BASICOS DE LISTAS DE ACCESO

Las listas de acceso contienen instrucciones globales que se aplican para identificar paquetes. Estas listas se crean con el comando access-list.

El comando de configuración de interfaz ip access-group activa la lista de acceso IP en una interfaz.

Router(config)#access-list[nº de lista de acceso][permit|deny][condiciones de prueba]

La opción permit significa que al paquete le será permitido pasar a través de las interfaces que se apliquen en la lista.

La opción deny significa que el router descartará el paquete.

Los últimos parámetros de la instrucción especifican las condiciones de pruebas.

La prueba puede ser tan simple como comprobar una dirección de origen individual, la lista puede expandirse para incluir varias condiciones de prueba.

Router(config)#[protocolo]access-group[nº de lista de acceso][in|out]

Se activa una lista de acceso IP en una interfaz.

Listas de acceso IP Rango numérico identificador

Estándar 1 a 99

Extendida 100 a 199

Con nombre Nombre(Cisco IOS 11.2 y posterior)

Listas de acceso IPX Rango numérico identificador

Estándar 800 a 899

Extendida 900 a 999

Filtros SAP 1000 a 1099

Con nombre Nombre (Cisco IOS 11.2F y posterior)

LISTAS DE ACCESO TCP/IP

Una lista de acceso aplicada a una interfaz hace que el router busque en la cabecera de la capa 3 y posiblemente en la cabecera de la capa 4 un paquete del tráfico de la red al que aplicar las condiciones de prueba.

Las listas de acceso IP estándar verifican sólo la dirección de origen en la cabecera del paquete(Capa 3).

Las listas de acceso IP extendidas pueden verificar otros muchos elementos, incluidas opciones de la cabecera del segmento(Capa 4), como los números de puerto.

Para el filtrado de paquetes TCP/IP, las listas de acceso IP verifica las cabeceras del paquete y de la capa superior, para detectar lo siguiente:

  • Direcciones IP de origen para listas de acceso estándar. Las listas de acceso estándar están identificadas por los números entre 1 y 99.
  • Direcciones IP de origen y destino, protocolos específicos y números de puerto TCP y UDP, con listas de acceso extendidas. Las listas de acceso extendidas están identificadas por los números entre 10 y 199.

Puede ser necesario probar condiciones para un grupo o rengo de direcciones IP, o bien para una dirección IP individual.

La comparación de direcciones tiene lugar usando máscaras que actúan a modo de comodines en las direcciones de la lista de acceso, para identificar los bits de la dirección IP que han de coincidir explícitamente y cuales pueden ser ignorados.

El enmascaramiento wildcard para los bits de direcciones IP utiliza los números 1 y 0 para referirse a los bits de la dirección.

  • Un bit de máscara wildcard 0 significa "comprobar el valor correspondiente"
  • Un bit de mascara wildcard 1 significa "No comprobar(ignorar) el valor del bit correspondiente"

Para los casos más frecuentes de enmascaramiento wildcard se pueden utilizar abreviaturas.

Host = mascara comodín 0.0.0.0

Any = 0.0.0.0 255.255.255.255

Router(config)#access-list[nº de lista de acceso][permit|deny][dirección de origen][mascara comodín]

  • Numero de lista de acceso Identifica la lista a la que pertenece la entrada. Se trata de un número entre 1 y 99.
  • Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada.
  • Dirección de origen identifica la dirección IP de origen.
  • Mascara wildcard identifica los bits del campo de la dirección que serán comprobados.

La mascara predeterminada es 0.0.0.0(coincidencia de todos los bits).

Router(config)#ip access-group[nº de lista de acceso][in|out]

  • Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.
  • In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

Si no se especifica nada, se adoptará la opción out por omisión.

Este artículo fué obtenido del Libro Digital "INTERCONEXION DE DISPOSITIVOS DE RED CISCO"

Espero que este artículo te haya ayudado bastante. Si tienes algún comentario puedes hacerlo a: sugerencias@aprendaredes.com

Links relacionados