Características de las Listas de Acceso:
- Una ACL es una lista de una o más instrucciones.
- Se asigna una lista a una o más interfaces.
- Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.
- El router analiza cada paquete, comparándolo con la ACL correspondiente.
- El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones.
- Es por eso que hay que listar los comandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general!
- Si no encuentra una coincidencia en ninguno de los renglones, rechaza automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final de cada ACL.
- Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí.
- Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.
- Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen; la dirección de destino; y el protocolo utilizado.
- También podemos usar ACL nombradas en vez de usar un rango de números. El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones). No trataré las listas nombradas en este resumen.
- Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.
- Sugerencia para el examen: Se deben conocer los rangos de números de las ACL, incluso para protocolos que normalmente no nos interesan.
- Las ACL estándar se colocan cerca del destino del tráfico. Esto se debe a sus limitaciones: no se puede distinguir el destino.
- Las ACL extendidas se colocan cerca del origen del tráfico, por eficiencia - es decir, para evitar tráfico innecesario en el resto de la red.
El tema "in" vs. "out" suele causar confusiones, por eso es convienente la siguiente explicación.
La dirección in o out (entrada o salida) se refiere al router que están configurando en ese momento. Por ejemplo, con la siguiente configuración de routers (A, B, C son routers; X, Y son hosts (o redes)):
X ------ A ------ B ------ C ------- Y
Se puede controlar el tráfico de X a Y en el router A, B o C.
Por ejemplo, el en router A, se puede controlar el tráfico entrante (in), en la interface que está a su izquierda. En el mismo router, también es posible controlar el tráfico saliente (out), en la interface que está a su derecha.
De la misma manera, se puede controlar el tráfico en el router B: entrante, a la izquierda; o saliente, por la derecha; o de igual manera en el router C.
(Lo más recomendable en este caso es usar una lista extendida, en el router A, y aplicarla a la interface a su izquieda, dirección "in" - entrante.)
También se debe recordar que normalmente el tráfico fluye en dos direcciones. Por ejemplo, si "Y" es un servidor Web, teóricamente, en el router C, interface a la derecha, se podría bloquear la solicitud al servidor (out), o también la respuesta del servidor (in).
Listas de Acceso Estándar
Sintaxis para un renglón (se escribe en el modo de configuración global):
access-list (número) (deny | permit) (ip origen) (wildcard origen)
Para asignarlo a una interface:interface F0 ip access-group 1 outListas de Acceso Extendidas
Sintaxis para cada renglón:access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino) [(operador) (operando)]El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP, ICMP.El "operando" puede ser un número de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp".
