Requisito – Listas de acceso (ACL)
Las listas de acceso (ACL) son un conjunto de reglas definidas para controlar el tráfico de la red y reducir los ataques a la misma. Las ACL se utilizan para filtrar el tráfico basado en el conjunto de reglas definidas para la entrada o salida de la red.
Lista de acceso estándar –
Estas son las listas de acceso que se realizan utilizando sólo la dirección IP de origen. Estas ACLs permiten o deniegan todo el conjunto de protocolos. No distinguen entre el tráfico IP como TCP, UDP, Https, etc. Al utilizar los números 1-99 o 1300-1999, el router lo entenderá como una ACL estándar y la dirección especificada como dirección IP de origen.
Características –
- La lista de acceso estándar se aplica generalmente cerca del destino (pero no siempre).
- En la lista de acceso estándar, se deniega toda la red o subred.
- La lista de acceso estándar utiliza el rango 1-99 y el rango extendido 1300-1999.
- La lista de acceso estándar se implementa utilizando sólo la dirección IP de origen.
- Si se utiliza la numeración con la lista de acceso estándar, no se pueden eliminar las reglas recordadas. Si se elimina una de las reglas, se eliminará toda la lista de acceso.
- Si se utiliza una lista de acceso estándar con nombre, tiene la flexibilidad de eliminar una regla de la lista de acceso.
Nota: la lista de acceso estándar se utiliza menos que la lista de acceso ampliada, ya que se permite o se deniega el tráfico de todo el conjunto de protocolos IP, ya que no puede distinguir entre los diferentes protocolos de tráfico IP.
Configuración –
Aquí hay una pequeña topología en la que hay 3 departamentos: ventas, finanzas y marketing. El departamento de ventas tiene la red 172.16.40.0/24, el departamento de finanzas tiene la red 172.16.50.0/24 y el departamento de marketing tiene la red 172.16.60.0/24. Ahora, quiero negar la conexión del departamento de ventas al departamento de finanzas y permitir que otros lleguen a esa red.
Ahora, primero configuramos la lista de acceso estándar numerada para denegar cualquier conexión IP desde el departamento de ventas al de finanzas.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Aquí, al igual que en la lista de acceso extendida, no se puede especificar el tráfico IP concreto que se va a permitir o denegar. Además, tenga en cuenta que se ha utilizado una máscara comodín (0.0.0.255 que significa máscara de subred 255.255.255.0). Se utiliza el número 10 del rango de listas de acceso estándar.
R1(config)# access-list 110 permit ip any any
Ahora, como usted ya sabe, hay una negación implícita al final de cada lista de acceso, lo que significa que si el tráfico no coincide con ninguna de las reglas de la lista de acceso, el tráfico será descartado.
Ahora, usted tiene que aplicar la lista de acceso en la interfaz del router:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Como usted recuerda que la lista de acceso estándar se aplica generalmente al destino y aquí también si se aplica la lista de acceso cerca del destino, que va a satisfacer nuestra necesidad, por lo tanto, de salida a la interfaz fa0/1 se ha aplicado.
Ejemplo de lista de acceso estándar con nombre –
Ahora, considerando la misma topología, se hará una lista de acceso estándar con nombre.
R1(config)# ip access-list standard blockacl
Con este comando has hecho una lista de acceso llamada blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
Y luego la misma configuración que has hecho en access-list numerada.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Lista de acceso estándar para el ejemplo de Telnet –
Como se sabe, no se puede especificar un tráfico IP particular para ser negado en la lista de acceso estándar, pero la conexión telnet puede ser permitida o negada usando la lista de acceso estándar aplicando la lista de acceso en las líneas vty.
Aquí, en la figura dada, se quiere denegar telnet al departamento de finanzas desde cualquier red. Configuración para el mismo:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out