ccna disc 3 cap%edtulo 8 acls routing switching

5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching

1/37

2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 1

Filtrado de trfico mediante

listas de control de acceso

Introduccin al enrutamiento y la conmutacin en la empresaCaptulo 8


2/37


Objetivos

Describir el filtrado de trfico y explicar cmo laslistas de control de acceso (ACL) pueden filtrar eltrfico en las interfaces del router.

Analizar el uso de las mscaras wildcard. Configurar y aplicar las ACL.

Crear y aplicar las ACL para controlar los tipos detrfico especfico.

Registrar la actividad de la ACL e integrar las mejoresprcticas de la ACL.


3/37


Descripcin del filtrado de trfico

Analizar el contenido de un paquete Permitir o bloquear el paquete

Segn la IP de origen, IP de destino, direccin MAC,protocolo y tipo de aplicacin


4/37



Dispositivos que proporcionan filtrado de trfico:

Firewalls incluidos en los routers integrados

Aplicaciones de seguridad dedicadas (firewalls

dedicados) Servidores


5/37


Descripcin del filtrado de trficoUsos para las ACL:

Especificar hosts internos para NAT

Clasificar el trfico para el QoS

Restringir las actualizaciones de enrutamiento, limitarlos resultados de la depuracin, controlar el acceso a

terminal virtual de los enrutadores


6/37



Posibles problemas con las ACL: Mayor carga en el router

Posible interrupcin de la red por ACLs mal diseadas

Consecuencias no esperadas a causa de unaincorrecta ubicacin,como dejar pasartrfico prohibido obloquear trfico

permitido


7/37



Las ACL estndarfiltran segn la direccin IP deorigen (Nmero identificacin: [1 - 99] y [1300 a 1999]

Las ACL extendidasfiltran en el origen y el destino ascomo tambin en el nmero de puerto y protocolo(Nmero identificacin: [100 a 199] y [2000 a 2699])

Las ACL nombradaspueden ser estndar o

extendidas


8/37



Las ACL estn compuestas de sentencias.Al menos una sentencia debe ser una sentencia de

permiso, sino todo el trfico ser denegado.

La sentencia final es una denegacin implcita.

La ACL debe aplicarse a una interfaz para quefuncione .


9/37



La ACL se aplica en forma entrante (inbound) o

saliente (outbound).

La direccin se obtiene a partir de la perspectiva delrouter.

Cada interfaz puede tener una ACL por direccin paracada protocolo de red.


10/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 10

Anlisis del uso de las mscaras wildcard

La mscara wildcard puede bloquear un rango dedirecciones o una red entera con una sentencia

Los 0 indican qu parte de una direccin IP debecoincidir con la ACL

Los 1 indican qu parte no tiene que coincidir en formaespecfica




Utilice el parmetro hos ten lugar de una wildcard 0.0.0.0192.168.15.99 0.0.0.0es lo mismo que hos t 192.168.15.99

Usar el parmetro anyen lugar de la wildcard 255.255.255.2550.0.0.0 255.255.255.255 es lo mismo que any




Ejemplo: 192.168.85.0/26

Qu subredes se obtienen?

192.168.85.0/26 192.168.85.64/26192.168.85.128/26 192.168.85.192/26

Qu sentencias se utilizan para denegar el trficode las primeras dos redes?

access-list XX deny 192.168.85.0 0.0.0.63

access-list XX deny 192.168.85.64 0.0.0.63

Se pueden summarizaren una sola sentencia?

S: access-list XX deny 192.168.85.0 0.0.0.127



Configuracin e implementacin de laslistas de control de acceso

Pasos para determinar tipo y ubicacin de las ACLs:

Determinar los requisitos del filtrado de trficoDecidir qu tipo de ACL utilizar (estndar o extendida)

Determinar el router y la interfaz a los cuales aplicar la ACL

Determinar en qu direccin filtrar el trfico

Procurarque trficoa bloquearviaje lo menosposible porla red.

Estndar: cerca deldestino.

Extendida: cerca delorigen.



Configuracin e implementacin de las listasde control de acceso

La configuracin de las ACLs involucra 2 pasos:Creacin y Aplicacin

Creacin: crea la listaSe usa la siguiente sintaxis:

access-list [access-list-number][deny|permit] [sourceaddress] [source-wildcard][log]

Para documentar la informacin:

access-list [list number]remark [text]

Para borrar una ACL:no access-list [list number]



Configuracin e implementacin de las listasde control de acceso

Aplicacin: asocia la lista a una interfaz

Para asociar:R2(config-if)#ip access-group access-list-number[in |out]

Para desasociar:no ip access-group interface

Si solo se usa trfico IP, solo pueden haber 2 ACLs porinterfaz: de entrada y salida de trfico.

Usar: show ip interface, access-lists access-list-number,running-config



Configuracin e implementacin de las listas decontrol de acceso: ACL estndar numerada

Utilice el comando access-listpara ingresar lassentencias

Rangos de nmeros: 1-99, 1300-1999

Aplicar lo ms cerca posible del destino

show ip interface

show access-lists

show running-config



Prctica de Laboratorio

Laboratorio 8.3.3.4



Configuracin e implementacin de las listas decontrol de acceso: ACL extendida numerada

Utilice el comando access-listpara ingresar lassentencias

Rangos de nmeros: 100-199, 2000-2699

Especificar un protocolo para admitir o rechazar

Colquela lo ms cerca posible del origen



Configuracin e implementacin de las listas decontrol de acceso: ACL extendida numerada

La sentencia bsica de configuracin est dada por:

R(config)#access-list [ACL-number] [permit | deny]

[protocol(eigrp, icmp, ip, ospf, tcp, udp, etc)] [source

IP] [destination IP] [matching condition (equal, greater,

lower)] [TCP Application (http, ftp, etc)]




Laboratorio 8.3.4.4



Configuracin e implementacin de las listasde control de acceso: ACL nombradas

El nombre descriptivo reemplaza el nmero de ACL

Utilice el comando ip access-list {standard |extended} namepara crear la lista

Comience las sentencias subsiguientes con permiso orechazo

Aplicar de la misma manera que la ACL estndar oextendida



Configuracin e implementacin de las listasde control de acceso: ACL nombradas

Show access-listsmuestra las lneas de la lista, cuyas filas

se numeran como 10, 20 , 30,

Para borrar una lnea de la ACL usar:no [line number].

Para introducir una lnea hacerlo iniciando la sentencia con

el line numbersegn la posicin deseada.

Para colocar una sentencia en una posicin intermedia usarun nmero intermedio.




Laboratorio 8.3.5.4



Configuracin e implementacin de laslistas de control de acceso: Acceso VTY

Utilizar el comando access-classpara asociar la ACLa la lnea VTY en configuracin.

Utilizar una ACL numerada por seguridad.

Aplicar restricciones idnticas a todas las lneas VTY.



Prctica de Laborarorio

Laboratorio 8.3.6.3



Creacin y aplicacin de las ACL para controlarlos tipos de trfico especfico

Utilizar una condicin especfica cuando se realice elfiltrado a los nmeros de puerto: eq, lt, gt, range

Rechazar todos los puertos correspondientes en el casode aplicaciones de varios puertos como el FTP


27/37



Es posible bloquear trfico originado externamente, perodejar pasar trfico externo de respuesta.

Ping: permitir respuestas de eco mientras se rechazan lassolicitudes de eco desde fuera de la red. (Ver Imagen)

Esto es una forma de Inspeccin de paquetes con estado(SPI).


28/37



Cuando el paquete llega a la interfaz NAT el router:Aplica la ACL IN.Traduce la direccin exterior en interior.Enruta el paquete.

Cuando el paquete sale de la interfaz NAT el ruoter:

Traduce la direccin interna en externa.Aplica la ACL OUT.

Filtrar las direcciones pblicasen una interfaz NAT exterior.

Filtrar las direcciones privadasen una interfaz NAT interior.


29/37



Laboratorio 8.4.3.2


30/37



Inspeccionar cada ACL una lnea a la vez para evitarconsecuencias no previstas


31/37



Aplicar las ACL a las interfaces o subinterfaces VLANal igual que con las interfases fsicas


32/37


Registro de la actividad de la ACL y sus mejoresprcticas

El registro (logging) proporciona detalles adicionales

sobre los paquetes que se rechazan o se admiten.Agregue la opcin registro al final de cada sentencia de

la ACL que se debe rastrear.


33/37



Mensajes de Syslog: Estado de las interfaces del router

Mensajes de la ACL (logging[ip_address])

Ancho de banda, protocolos en uso, eventos deconfiguracin


34/37



Laboratorio 8.5.2.3


35/37



Compruebe siempre la conectividad bsica antes de aplicar las ACL.

Agregue deny ip anyal final de una ACL cuando realice el registro.

Utilice reload in 30cuando pruebe las ACL en los routers remotos.


36/37


Resumen

Las ACL habilitan la administracin del trfico yaseguran el acceso hacia la red y sus recursos y desdeestos

Aplicar una ACL para filtrar el trfico entrante o saliente

Las ACL pueden ser estndar, extendidas onombradas

El uso de una mscara wildcard otorga flexibilidad

Existe una sentencia de rechazo implcito al final deuna ACL

Fundamente NAT cuando cree y aplique las ACL

El registro proporciona detalles adicionales sobre el

trfico filtrado


37/37

ccna disc 3 cap%edtulo 8 acls routing switching

Documents

cisco systems

informacin pblica de

acls routing switching

derechos reservados

acceso acl

acl nombradaspueden

acl extendidasfiltran

enrutadores5262018 ccna