Para aquellos que estén familiarizados con las listas de control de acceso, probablemente sepan que hay muchos tipos diferentes de listas de control de acceso. Tenemos listas de control de acceso para IP versión 4, para IP versión 6, para IPX, para DECnet, para AppleTalk y la lista sigue y sigue. ¿De qué son ustedes responsables? En este momento somos responsables de la versión 4 de IP, y ahí es donde nos centramos, en la versión 4 de IP. Y podemos dividir las listas de control de acceso de la versión 4 de IP en dos tipos diferentes, estándar y extendida. ¿Cuál es la diferencia aquí?
- ACL estándar
- Comprueba la dirección de origen de la ACL
- Permite o deniega todo el conjunto de protocolos
- ACL extendida
- Comprueba dirección de origen y destino
- Permite o deniega generalmente protocolos y aplicaciones específicas
- Puertos TCP y UDP de origen y destino
- Tipo de protocolo (IP, ICMP, UDP, TCP o número de protocolo)
Bueno, son los parámetros que buscan y quiero que leas el estándar, ¿qué busca este estándar aquí? ¿Qué comprueba? Quiero que leas eso. Y voy a mostrar una manera de recordarlo. Como ves, la norma no busca el destino, lo que en la práctica no es muy útil. La falta de poder buscar un destino es bastante limitante, normalmente quieres buscar de dónde viene y a dónde va. Pero una lista de acceso estándar tiene algo en común con la dirección de origen, ¿no? Es la letra S, es una gran manera de recordar que las listas de acceso estándar sólo buscan la fuente.
Las listas de control de acceso extendidas, o ACLs extendidas, por otro lado, son mucho más poderosas, pueden mirar la fuente y el destino, pueden mirar los protocolos de la capa de transporte como TCP y el Protocolo de Datos de Usuario, o UDP. Pueden mirar los protocolos de la capa de aplicación sobre TCP y UDP, como HTTP, FTP, Trivial File Transport Protocol, o TFTP, DNS, secure sockets layer y secure shell. Eso parece mucho, así que ¿cómo recordamos que las listas de acceso extendidas pueden coincidir con mucho más que las listas de control de acceso estándar? Bueno, cuando nos referimos a nuestras listas de control de acceso estándar, señalamos que sólo comprueba la dirección de origen. La estándar comienza con S, la fuente comienza con S también.
Así que la recuerdo como estándar, sólo fuente, S y S, mientras que con la extendida, tenemos todo lo demás. Así que la E nos ayuda a recordar todo. Ahora hay ciertas cosas que no podemos emparejar. No podemos coincidir con números de secuencia, números de acuse de recibo, no podemos coincidir con muchas de las banderas en TCP, por ejemplo, podemos coincidir con una de ellas y enviar bits. Pero es mucho más inclusivo y así estamos más cerca de todo. Tened en cuenta que cuando introducimos esto, tenemos dos conjuntos de sintaxis, tenemos la sintaxis antigua y tenemos la sintaxis nueva. Y vamos a exponerlos a ambos.
La sintaxis antigua está numerada, la nueva sintaxis está nombrada, y la sintaxis numerada, es un poco complicada. No nos encontramos con nombres numéricos tan a menudo. En la lista de acceso estándar numerada, tenemos del 1 al 99. Hay un rango expandido del que nos mantenemos alejados, no hay razón para usarlo más. Del 1300 al 1999, no lo usamos, vale, aléjate. Pero del 1 al 99 es estándar, del 100 al 199 es ampliado y la forma de recordar este rango es que siempre terminan en 99, cada rango termina en 99 algo. Y cuando extendemos a un valor de tres dígitos, cuando saltamos de dos dígitos a tres dígitos, extendemos y por lo tanto obtenemos el rango de lista de acceso IP extendido.
| Tipo de ACL IPv4 | Rango de números / Identificador |
|---|---|
| Norma numerada | 1-99, 1300-1999 |
| Norma extendida | 100-199, 2000-2699 |
| Nombradas (Estándar y Extendidas) | Nombre |
Pero esa es la sintaxis de la que francamente somos más responsables, pero que hemos tenido durante la mayor parte de una década, las listas de control de acceso con nombre. De hecho, es más de una década mientras hablamos. ¿Cuál es el beneficio de una lista de control de acceso con nombre? Bueno, la lista de control de acceso con nombre, en primer lugar, nos permite proporcionar un nombre descriptivo. Así que en lugar de que nuestra lista de control de acceso se llame 79 podemos proporcionar un nombre descriptivo y ese nombre puede ayudarnos a entender lo que la lista de control de acceso está diseñada para lograr. Pero lo que realmente nos beneficia al usar listas de control de acceso con nombre es la capacidad de editarlas, añadir y eliminar entradas dentro de esa ACL.
Ves, con las listas de control de acceso numeradas, si necesitas añadir una entrada, cuando vas a la interfaz de la línea de comandos y quieres añadir una entrada, ésta se mirará antes que una entrada que ya tienes ahí. Ahora no puedes ir allí y simplemente ponerla, no hay manera de hacerlo con la sintaxis para crearla. Así que estás limitado en tu capacidad de edición, ¿qué tienes que hacer? Borrarlo todo, volver a crearlo. Así que el Bloc de notas es muy útil. Muy bien, pero con la lista de control de acceso con nombre, tenemos la capacidad de ir a la sintaxis de la lista de control de acceso con nombre, añadir, mover, eliminar, cambiar esas entradas en la lista de control de acceso, como nos parezca.
Así que mucho más potente, la sintaxis de la lista de control de acceso con nombre. Pero no nos equivoquemos aquí. La identificación de la lista de control de acceso numerada, como 1, 2, 3, 4 o 100 o 150, sigue siendo el nombre de la lista de control de acceso. Y lo verás más adelante, utilizar la sintaxis de la lista de control de acceso con nombre para editar una lista de control de acceso numerada. Es bastante genial y te daremos la posibilidad de editar y corregir tus errores con tu lista de control de acceso numerada sin tener que volarlo todo y eliminarlo. Así que una sintaxis realmente genial y la aprenderás y te encantará y la veremos toda, toda la sintaxis a medida que avancemos juntos en este curso.
Las ACL numeradas estándar
Lista de acceso estándar, ¿qué buscan? Te pregunto, ¿qué es lo que buscan? Buscan el parámetro de origen y aquí podemos ver eso. Así que no se van a preocupar de la cabecera de la trama de capa 2, van a mirar la cabecera del paquete, van a mirar el campo de la fuente en la cabecera del paquete y van a coincidir basándose exclusivamente en eso. Así que no van a profundizar en la capa de transporte. Y ninguno de ellos entra en los datos, de acuerdo. Tendrías que usar algunas características avanzadas del firewall para filtrar en base a los datos.
Aquí está lo que hemos estado esperando, la sintaxis, y no es excesivamente complicada, toma nota de eso. No es excesivamente complicada. Lo primero y más importante es que configuramos las listas de control de acceso numeradas en el modo de configuración global. Escribimos access-list y luego especificamos el número de la lista de acceso. Así que estas son listas de control de acceso IPv4 estándar, ¿cuáles son los rangos de números? Del 1 al 99 y del 1300 al 1999. Cuando especificamos cualquier número de esos posibles valores, nuestro router sabe automáticamente que estamos creando una lista de control de acceso IPv4 estándar y te proporcionará la sintaxis correcta a utilizar.
No te dejará poner parámetros que no sean aceptables para la lista de control de acceso IP versión 4 estándar. Así que si pones un número incorrecto, si pones un 101, donde estás tratando de crear una lista de control de acceso IP versión 4 estándar, te dará la sintaxis para una lista de control de acceso extendida, ¿verdad? Así que ten cuidado con tu numeración, escoge los números correctos y luego especifica qué quieres que ocurra con este tráfico. ¿Quieres permitirlo? ¿Quieres negarlo? También puedes poner una observación, ¿qué es una observación? Es sólo una descripción. Así que puedes describir esta lista de control de acceso, para que cuando revises la lista de control de acceso más tarde, sepas para qué sirve.
R1(config)#R1(config)#access-list 1 ?deny Especifica los paquetes a rechazarpermit Especifica los paquetes a reenviarremark Comentario de la entrada de la lista de accesoR1(config)#access-list 1 permit ?Nombre de host o A.B.C.D Dirección a coincidirany Cualquier host de origenhost Una única dirección de hostR1(config)#access-list 1 permit 172.16.0.0 ?/nn o A.B.C.D Bits comodínlog Coincidencias del registro con esta entrada<cr>R1(config)#lista de acceso 1 permit 172.16.0.0 0.0.255.255 ?log Coincidencias del registro con esta entrada<cr>R1(config)#access-list 1 permit 172.16.0.0 0.0.255.255R1(config)#
Entonces tenemos nuestra fuente, ¿cuál es la fuente? Recuerde, antes cuando estábamos viendo las direcciones y las combinaciones de máscaras comodín… Bueno, la fuente es la dirección de origen, ese punto de partida que queremos usar para esa comparación de rango. Así que si miramos nuestro ejemplo, tenemos 172.16.0.0 como dirección, la fuente y luego la máscara. ¿Qué es la máscara? Ten cuidado aquí, no es, repito, no es la máscara de subred. Es la máscara comodín. Aquí es donde ponemos la máscara comodín. Así que en nuestro ejemplo 0.0.255.255, ¿cuál es el rango de direcciones que esta lista de control de acceso, que acabamos de crear, va a comprobar? 172.16.0.0 hasta 172.16.255.255.
Así que ves lo importante que es la máscara de comodín, y entender lo que hace, te ayudará a elaborarlas y leerlas. Aquí dice que hay una máscara comodín por defecto, tómalo con un grano de sal, tu sistema operativo generalmente no aceptará más la sintaxis cuando pongas cualquier entrada dentro de tu lista de control de acceso que carezca de una máscara comodín. Vale, eso es un comportamiento antiguo y no es representativo de nada reciente. Cuando ponemos una entrada como la que vemos en el modo de configuración global con access-list, eso es sólo una entrada. Ten en cuenta que si quisiéramos añadir otra entrada, todavía tendríamos access-list 1 y entonces construiríamos la siguiente secuencia de permisos o denegaciones. access-list 1 otra vez, access-list 1 otra vez, si queremos construir una lista de control de acceso cada vez más grande. ¿Cuál es el tamaño mínimo de una lista de control de acceso?
Un tamaño mínimo sería una declaración de permiso. Sí, supongo que no puede haber sólo una declaración de denegación, eso sería inútil, a menos que estés registrando, pero eso no dejaría pasar nada. Y el máximo es lo que se te ocurra y lo que tengas que aguantar. Una vez que perfeccionas tu lista de control de acceso en modo de configuración global como vemos aquí, puedes validarla. Pero para mostrar las listas de acceso, comando y que de hecho mostraría todas las listas de acceso, IPv4, IPv6, lista de acceso de direcciones Mac, IPX, AppleTalk, pero por lo general sólo tenemos IPv4 y puede ser hoy en día algunos IPv6.
R1#show access-listsLista de acceso IP estándar 110 permit 172.16.0.0, wildcard bits 0.0.255.255
Y podemos ver la única entrada. Ahora espera un minuto, espera un minuto, ponemos en el permiso 172.16 con esa máscara de comodín, ¿cuál es el 10 allí? ¿Qué es ese 10 que acaba de cobrar vida dentro de nuestra lista de acceso? El 10 es un número de secuencia automático que se añade a la lista de acceso. Será el 10 por defecto. Si creáramos otra entrada… así que escribimos access-list 1 permit 192.168.1.0 0.0.255, se le daría automáticamente un número de secuencia. Y sería el 20, el siguiente en la lista y el siguiente será el 30 y el 40 y el 50, es como llevamos la cuenta de ellos, el número de secuencia, el orden en el que los creamos.
Y esto es importante, recuerda cómo dijimos, si queremos editar la lista de control de acceso, podríamos querer añadir una entrada aquí y allá, pero sólo podemos hacerlo con la sintaxis con nombre, no podemos hacerlo aquí con esta sintaxis de numeración estándar, pero esos números de secuencia serán el factor definitorio de dónde va nuestra entrada. Si añadimos o movemos o borramos o cambiamos y lo veremos más adelante, lo veremos más adelante sólo cuando entremos en la sintaxis de listas de control de acceso con nombre de cómo estos números de secuencia pueden ser utilizados y manipulados a nuestro favor.
El eliminar una lista de acceso es muy fácil, recuerde que el poderoso comando no, escriba no access-list y luego el número de la lista de acceso que desea eliminar. Ten cuidado, ten cuidado. Digamos que escribiste no access-list 1 permit 172.16.0.0 0.0.255.255. Entonces quieres eliminar una entrada de lista de acceso estándar que creaste antes. Si escribe no y especifica el comando completo que escribió antes, ¿eliminará sólo esa entrada? Repetiré eso, ¿eliminará sólo esa entrada? A primera vista, sí, eso es a primera vista, pero si lo intentas y lo pruebas… No, eso no es lo que sucederá. No eliminará sólo esa entrada, ¿qué hará? Se deshará de toda la cosa, por lo que algunos de ustedes por ahí han tenido la exposición a esto. Es un comportamiento realmente extraño en el IOS.
R1#config t
Ingrese los comandos de configuración, uno por línea. Terminar con CNTL/Z.
R1(config)#no access-list 1
R1(config)#end
R1#sh access-lists
R1#
Normalmente, cuando introducimos un comando específico y lo ponemos como no, sólo elimina ese comando. Aquí hay que tener mucho cuidado con la sintaxis, da igual que digas lista de acceso no, ponle un número. No me importa lo que pase después, va a machacar toda la lista de acceso y más de un mal día ha sido causado por este comportamiento.
