SlideShare una empresa de Scribd logo

Capítulo 9: ACL

Descargar como PPTX, PDF
D
dannyvelasco

ACL

Educación
1 de 75
Capítulo 9: Listas de control de acceso Routing y switching
Funcionamiento de ACL de IP ACL de IPv4 estándar ACL de IPv4 extendidas Unidad contextual: debug con ACL Resolución de problemas de ACL Unidad contextual: ACL de IPv6 Resumen
Objetivos  Explicar la forma en que se utilizan las ACL para filtrar el tráfico.  Comparar las ACL de IPv4 estándar y extendidas.  Explicar la forma en que las ACL utilizan máscaras wildcard.  Explicar las pautas para la creación de ACL.  Explicar las pautas para la colocación de ACL.  Configurar ACL de IPv4 estándar para filtrar el tráfico según los requisitos de red.  Modificar una ACL de IPv4 estándar mediante los números de secuencia.  Configurar una ACL estándar para proteger el acceso a VTY.
Objetivos (continuación)  Explicar la estructura de una entrada de control de acceso (ACE) extendida.  Configurar ACL de IPv4 extendidas para filtrar el tráfico según los requisitos de red.  Configurar una ACL para que limite el resultado de debug.  Explicar la forma en que procesa los paquetes un router cuando se aplica una ACL.  Resolver problemas comunes de ACL con los comandos de CLI.  Comparar la creación de ACL de IPv4 y ACL de IPv6.  Configurar ACL de IPv6 para filtrar el tráfico según los requisitos de red.
Propósito de las ACL ¿Qué es una ACL?
Propósito de las ACL Una conversación TCP
Propósito de las ACL Filtrado de paquetes  El filtrado de paquetes, a veces denominado “filtrado de paquetes estático”, controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según determinados criterios, como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete.  Cuando reenvía o deniega los paquetes según las reglas de filtrado, un router funciona como filtro de paquetes.  Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de control de acceso” (ACE).
Propósito de las ACL Filtrado de paquetes (cont.)
Propósito de las ACL Funcionamiento de ACL La última sentencia de una ACL es siempre una denegación implícita. Esta sentencia se inserta automáticamente al final de cada ACL, aunque no esté presente físicamente. La denegación implícita bloquea todo el tráfico. Debido a esta denegación implícita, una ACL que no tiene, por lo menos, una instrucción permit bloqueará todo el tráfico.
Comparación entre ACL de IPv4 estándar y extendidas Tipos de ACL de IPv4 de Cisco ACL estándar ACL extendidas
Comparación entre las ACL de IPv4 estándar y extendidas Asignación de números y nombres a ACL
Máscaras wildcard en las ACL Introducción a las máscaras wildcard en ACL Las máscaras wildcard y las máscaras de subred se diferencian en la forma en que establecen la coincidencia entre los unos y ceros binarios. Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros binarios:  Bit 0 de máscara wildcard: se establece la coincidencia con el valor del bit correspondiente en la dirección.  Bit 1 de máscara wildcard: se omite el valor del bit correspondiente en la dirección. A las máscaras wildcard a menudo se las denomina “máscaras inversas”. La razón es que, a diferencia de una máscara de subred en la que el 1 binario equivale a una coincidencia y el 0 binario no es una coincidencia, en las máscaras wildcard es al revés.
Máscaras wildcard en ACL Ejemplos de máscaras wildcard: hosts y subredes
Máscaras wildcard en ACL Ejemplos de máscaras wildcard: coincidencias con rangos
Máscaras wildcard en ACL Cálculo de la máscara wildcard El cálculo de máscaras wildcard puede ser difícil. Un método abreviado es restar la máscara de subred a 255.255.255.255.
Máscaras wildcard en ACL Palabras clave de máscaras wildcard
Máscaras wildcard en ACL Ejemplos de palabras clave de máscaras wildcard
Pautas para la creación de ACL Pautas generales para la creación de ACL  Utilice las ACL en los routers de firewall ubicados entre su red interna y una red externa, como Internet.  Utilice las ACL en un router ubicado entre dos partes de la red para controlar el tráfico que entra a una parte específica de su red interna o que sale de esta.  Configure las ACL en los routers de frontera, es decir, los routers ubicados en los límites de las redes.  Configure las ACL para cada protocolo de red configurado en las interfaces del router de frontera.
Pautas para la creación de ACL Pautas generales para la creación de ACL Las tres P  Una ACL por protocolo: para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz.  Una ACL por sentido: las ACL controlan el tráfico en una interfaz de a un sentido por vez. Se deben crear dos ACL diferentes para controlar el tráfico entrante y saliente.  Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, GigabitEthernet 0/0.
Pautas para la creación de ACL Prácticas recomendadas para ACL
Pautas para la colocación de ACL Colocación de ACL Cada ACL se debe colocar donde tenga más impacto en la eficiencia. Las reglas básicas son las siguientes:  ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará.  ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible. La colocación de la ACL y, por lo tanto, el tipo de ACL que se utiliza también pueden depender del alcance del control del administrador de red, del ancho de banda de las redes que intervienen y de la facilidad de configuración.
Pautas para la colocación de ACL Colocación de ACL estándar
Pautas para la colocación de ACL Colocación de ACL extendidas
Configuración de ACL de IPv4 estándar Introducción de instrucciones de criterios
Configuración de ACL de IPv4 estándar Configuración de una ACL estándar Ejemplo de ACL  access-list 2 deny host 192.168.10.10  access-list 2 permit 192.168.10.0 0.0.0.255  access-list 2 deny 192.168.0.0 0.0.255.255  access-list 2 permit 192.0.0.0 0.255.255.255
Configuración de ACL de IPv4 estándar Configuración de una ACL estándar (cont.) La sintaxis completa del comando de ACL estándar es la siguiente: Router(config)# access-list número-lista-acceso deny permit remark origen [ wildcard-origen ] [ log ] Para eliminar la ACL, se utiliza el comando de configuración global no access-list. La palabra clave remark se utiliza en los documentos y hace que sea mucho más fácil comprender las listas de acceso.
Configuración de ACL de IPv4 estándar Lógica interna  El IOS de Cisco aplica una lógica interna al aceptar y procesar las listas de acceso estándar. Como se mencionó anteriormente, las instrucciones de las listas de acceso se procesan de manera secuencial, por lo que el orden en que se introducen es importante.
Configuración de ACL de IPv4 estándar Aplicación de ACL estándar a las interfaces Después de que se configura una ACL estándar, se vincula a una interfaz mediante el comando ip access-group en el modo de configuración de interfaz:  Router(config-if)# ip access-group { número-lista-acceso | nombre-lista-acceso } { in | out } Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la interfaz y, a continuación, introduzca el comando global no access- list para eliminar la ACL completa.
Configuración de ACL de IPv4 estándar Aplicación de ACL estándar a las interfaces (cont.)
Configuración de ACL de IPv4 estándar Creación de ACL estándar con nombre
Configuración de ACL de IPv4 estándar Introducción de comentarios en ACL
Modificación de ACL de IPv4 Edición de ACL estándar numeradas
Modificación de ACL de IPv4 Edición de ACL estándar numeradas (cont.)
Modificación de ACL de IPv4 Edición de ACL estándar con nombre
Modificación de ACL de IPv4 Verificación de ACL
Modificación de ACL de IPv4 Estadísticas de ACL
Modificación de ACL de IPv4 Números de secuencia de ACL estándar  Otra parte de la lógica interna del IOS es responsable de la secuenciación interna de las instrucciones de las ACL estándar. Las instrucciones de rango que deniegan tres redes se configuran primero, y después se configuran cinco instrucciones de host. Las instrucciones de host son todas instrucciones válidas, porque sus direcciones IP host no forman parte de las instrucciones de rango introducidas previamente.  Las instrucciones de host se enumeran primero con el comando show, pero no necesariamente en el orden en que se introdujeron. El IOS ordena las instrucciones de host mediante una función de hash especial. El orden resultante optimiza la búsqueda de una entrada de ACL de host.
Protección de puertos VTY con una ACL de IPv4 estándar Configuración de una ACL estándar para proteger un puerto VTY Por lo general, se considera que el filtrado del tráfico de Telnet o SSH es una función de una ACL de IP extendida, porque filtra un protocolo de nivel superior. Sin embargo, debido a que se utiliza el comando access-class para filtrar sesiones Telnet/SSH entrantes o salientes por dirección de origen, se puede utilizar una ACL estándar.  Router(config-line)# access-class número- lista-acceso { in [ vrf-also ] | out }
Protección de puertos VTY con una ACL de IPv4 estándar Verificación de una ACL estándar utilizada para proteger un puerto VTY
Estructura de una ACL de IPv4 extendida ACL extendidas
Estructura de una ACL de IPv4 extendida ACL extendidas (cont.)
Configuración de ACL de IPv4 extendidas Configuración de ACL extendidas Los pasos del procedimiento para configurar ACL extendidas son los mismos que para las ACL estándar. Primero se configura la ACL extendida y, a continuación, se activa en una interfaz. Sin embargo, la sintaxis de los comandos y los parámetros son más complejos, a fin de admitir las funciones adicionales proporcionadas por las ACL extendidas.
Configuración de ACL de IPv4 extendidas Aplicación de ACL extendidas a las interfaces
Configuración de ACL de IPv4 extendidas Filtrado de tráfico con ACL extendidas
Configuración de ACL de IPv4 extendidas Creación de ACL extendidas con nombre
Configuración de ACL de IPv4 extendidas Verificación de ACL extendidas
Configuración de ACL de IPv4 extendidas Edición de ACL extendidas La edición de una ACL extendida se puede lograr mediante el mismo proceso que se aplica para la edición de una ACL estándar. Las ACL extendidas se pueden modificar mediante los métodos siguientes:  Método 1: editor de texto  Método 2: números de secuencia
Limitación del resultado de debug Propósito de la limitación del resultado de debug con ACL  Los comandos debug son herramientas que se utilizan para ayudar a verificar y resolver problemas de operaciones de red.  Al utilizar algunas opciones de debug, el resultado puede mostrar mucha más información que la que se necesita o se puede ver fácilmente.  En una red de producción, la cantidad de información provista por los comandos debug puede saturar la red y causar interrupciones en esta.  Algunos comandos debug se pueden combinar con una lista de acceso para limitar el resultado de modo que solo se muestre la información necesaria para la verificación o la resolución de un problema específico.
Limitación del resultado de debug Configuración de ACL para limitar el resultado de debug El administrador del R2 desea verificar si el tráfico se enruta correctamente con debug ip packet. Para limitar el resultado de debug para que incluya solamente el tráfico ICMP entre el R1 y el R3, se aplica la ACL 101.
Limitación del resultado de debug Verificación de ACL que limitan el resultado de debug
Procesamiento de paquetes con ACL Lógica de ACL de entrada  Los paquetes se prueban en relación con una ACL de entrada, si existiera una, antes de enrutarlos.  Si un paquete entrante coincide con una instrucción de ACL con un permiso, se envía para enrutarlo.  Si un paquete entrante coincide con una instrucción de ACL con una denegación, se descarta y no se enruta.  Si un paquete entrante no coincide con ninguna instrucción de ACL, se “deniega implícitamente” y se descarta sin enrutarlo.
Procesamiento de paquetes con ACL Lógica de ACL de salida  Antes de enviar los paquetes a una interfaz de salida, se comprueba que tengan una ruta. Si no hay ruta, los paquetes se descartan.  Si una interfaz de salida no tiene ninguna ACL, los paquetes se envían directamente a esa interfaz.  Si hay una ACL en la interfaz de salida, se la verifica antes de que los paquetes se envíen a esa interfaz.  Si un paquete saliente coincide con una instrucción de ACL con un permiso, se lo envía a la interfaz.
Procesamiento de paquetes con ACL Lógica de ACL de salida (continuación)  Si un paquete saliente coincide con una instrucción de ACL con una denegación, se descarta.  Si un paquete saliente no coincide con ninguna instrucción de ACL, se “deniega implícitamente” y se descarta.
Procesamiento de paquetes con ACL Operaciones lógicas de ACL  Cuando un paquete llega a una interfaz del router, el proceso del router es el mismo, ya sea si se utilizan ACL o no. Cuando una trama ingresa a una interfaz, el router revisa si la dirección de capa 2 de destino coincide con la dirección de capa 2 de la interfaz, o si dicha trama es una trama de difusión.  Si se acepta la dirección de la trama, se desmonta la información de la trama y el router revisa si hay una ACL en la interfaz de entrada. Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista.
Procesamiento de paquetes con ACL Operaciones lógicas de ACL (continuación)  Si se acepta el paquete, se compara con las entradas en la tabla de routing para determinar la interfaz de destino. Si existe una entrada para el destino en la tabla de routing, el paquete se conmuta a la interfaz de salida. De lo contrario, se descarta.  A continuación, el router revisa si la interfaz de salida tiene una ACL. Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista.  Si no hay una ACL o si se permite el paquete, este se encapsula en el nuevo protocolo de capa 2 y se reenvía por la interfaz al siguiente dispositivo.
Procesamiento de paquetes con ACL Proceso de decisión de ACL estándar  Las ACL estándar solo examinan la dirección IPv4 de origen. El destino del paquete y los puertos involucrados no se tienen en cuenta.  El software IOS de Cisco prueba las direcciones en relación con cada una de las condiciones de la ACL. La primera coincidencia determina si el software acepta o rechaza la dirección. Dado que el software deja de probar las condiciones después de la primera coincidencia, el orden de las condiciones es fundamental. Si no coincide ninguna condición, la dirección se rechaza.
Procesamiento de paquetes con ACL Proceso de decisión de ACL extendida  La ACL primero filtra por la dirección de origen y, a continuación, por el puerto y el protocolo de origen. Luego, filtra por la dirección de destino y después por el puerto y el protocolo de destino, y toma la decisión final de permiso o denegación.
Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 1 El host 192.168.10.10 no tiene conectividad con 192.168.30.12.
Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 2 La red 192.168.10.0 /24 no puede utilizar TFTP para conectarse a la red 192.168.30.0 /24.
Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 3 La red 192.168.11.0 /24 puede utilizar Telnet para conectarse a 192.168.30.0 /24, pero según la política de la empresa, esta conexión no debería permitirse.
Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 4 El host 192.168.30.12 puede conectarse a 192.168.31.12 mediante Telnet, pero la política de la empresa establece que esta conexión no debe permitirse.
Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 5 El host 192.168.30.12 puede utilizar Telnet para conectarse a 192.168.31.12, pero según la política de seguridad, esta conexión no debe permitirse.
Creación de ACL de IPv6 Tipos de ACL de IPv6
Creación de ACL de IPv6 Comparación entre ACL de IPv4 y de IPv6 Aunque las ACL de IPv4 y de IPv6 son muy similares, hay tres diferencias fundamentales entre ellas.  Aplicación de una ACL de IPv6 IPv6 utiliza el comando ipv6 traffic-filter para realizar la misma función para las interfaces IPv6.  Ausencia de máscaras wildcard Se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe coincidir.  Instrucciones predeterminadas adicionales permit icmp any any nd-na permit icmp any any nd-ns
Configuración de ACL de IPv6 Configuración de topología IPv6
Configuración de ACL de IPv6 Configuración de ACL de IPv6 Hay tres pasos básicos para configurar una ACL de IPv6:  En el modo de configuración global, utilice el comando ipv6 access-listnombre para crear una ACL de IPv6.  En el modo de configuración de ACL con nombre, utilice las instrucciones permit o deny para especificar una o más condiciones para determinar si un paquete se debe reenviar o descartar.  Regrese al modo EXEC privilegiado con el comando end.
Configuración de ACL de IPv6 Aplicación de una ACL de IPv6 a una interfaz
Configuración de ACL de IPv6 Ejemplos de ACL de IPv6 Denegar FTP Restricción del acceso
Configuración de ACL de IPv6 Verificación de ACL IPv6
Capítulo 9: Resumen  Los routers no filtran tráfico de manera predeterminada. El tráfico que ingresa al router se enruta solamente en función de la información de la tabla de routing.  El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete.  Un router que filtra paquetes utiliza reglas para determinar si permite o deniega el tráfico. Un router también puede realizar el filtrado de paquetes en la capa 4, la capa de transporte.  Una ACL es una lista secuencial de instrucciones permit o deny.
Capítulo 9: Resumen (continuación)  La última instrucción de una ACL siempre es una instrucción deny implícita que bloquea todo el tráfico. Para evitar que la instrucción deny any implícita al final de la ACL bloquee todo el tráfico, es posible agregar la instrucción permit ip any any.  Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del paquete con cada entrada, en orden secuencial, para determinar si el paquete coincide con una de las instrucciones. Si se encuentra una coincidencia, el paquete se procesa según corresponda.  Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente.
Capítulo 9: Resumen (continuación)  Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen únicamente. El destino del paquete y los puertos involucrados no se evalúan. La regla básica para la colocación de una ACL estándar es colocarla cerca del destino.  Las ACL extendidas filtran paquetes según varios atributos: el tipo de protocolo, la dirección IPv4 de origen o de destino y los puertos de origen o de destino. La regla básica para la colocación de una ACL extendida es colocarla lo más cerca posible del origen.
Capítulo 9: Resumen (continuación)  El comando de configuración global access-list define una ACL estándar con un número en el intervalo de 1 a 99 o una ACL extendida con un número en el intervalo de 100 a 199 y de 2000 a 2699. Tanto las ACL estándar como las extendidas pueden tener un nombre.  El comando ip access-list standard nombre se utiliza para crear una ACL estándar con nombre, mientras que el comando ip access-list extended nombre se utiliza para una lista de acceso extendida. Las instrucciones de ACL de IPv4 incluyen el uso de máscaras wildcard.  Después de que se configura una ACL, se vincula a una interfaz mediante el comando ip access-group del modo de configuración de interfaz.
Capítulo 9: Resumen (continuación)  Recuerde la regla de las tres P: una ACL por protocolo, por sentido y por interfaz.  Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la interfaz y, a continuación, introduzca el comando global no access-list para eliminar la ACL completa.  Los comandos show running-config y show access-lists se utilizan para verificar la configuración de la ACL. El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido en el que se aplicó.
Capítulo 9: Resumen (continuación)  El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada y las direcciones en una lista de acceso.  Al igual que los nombres de las ACL de IPv4, los nombres en IPv6 son alfanuméricos, distinguen entre mayúsculas y minúsculas, y deben ser únicos. A diferencia de IPv4, no hay necesidad de una opción estándar o extendida.  En el modo de configuración global, utilice el comando ipv6 access-list nombre para crear una ACL de IPv6. Se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe coincidir.  Después de que se configura una ACL de IPv6, se la vincula a una interfaz mediante el comando ipv6 traffic-filter.

Recomendados

NAT
NATNAT
NATdannyvelasco
 
Routing entre Vlan
Routing entre VlanRouting entre Vlan
Routing entre Vlandannyvelasco
 
Switching
SwitchingSwitching
Switchingdannyvelasco
 
Vlans
VlansVlans
Vlansdannyvelasco
 
OSPF
OSPFOSPF
OSPFdannyvelasco
 
DHCP
DHCPDHCP
DHCPdannyvelasco
 
Routing Estático
Routing EstáticoRouting Estático
Routing Estáticodannyvelasco
 
Routing
RoutingRouting
Routingdannyvelasco
 

Recomendados

NAT
NATNAT
NATdannyvelasco
 
Routing entre Vlan
Routing entre VlanRouting entre Vlan
Routing entre Vlandannyvelasco
 
Switching
SwitchingSwitching
Switchingdannyvelasco
 
Vlans
VlansVlans
Vlansdannyvelasco
 
OSPF
OSPFOSPF
OSPFdannyvelasco
 
DHCP
DHCPDHCP
DHCPdannyvelasco
 
Routing Estático
Routing EstáticoRouting Estático
Routing Estáticodannyvelasco
 
Routing
RoutingRouting
Routingdannyvelasco
 
Routing dinamico
Routing dinamicoRouting dinamico
Routing dinamicodannyvelasco
 
Configuracion y seguridad
Configuracion y seguridadConfiguracion y seguridad
Configuracion y seguridaddannyvelasco
 
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0Gianpietro Lavado
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0Gianpietro Lavado
 
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3Francisco Javier Novoa de Manuel
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2Gianpietro Lavado
 
Protocolos de routing estatico
Protocolos de routing estaticoProtocolos de routing estatico
Protocolos de routing estaticoDavid Narváez
 
Final examen
Final examenFinal examen
Final exameneufronio
 
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)Connections Systems
 
CCNA Routing & Switching. Novedades en Tecnologías LAN
CCNA Routing & Switching. Novedades en Tecnologías LANCCNA Routing & Switching. Novedades en Tecnologías LAN
CCNA Routing & Switching. Novedades en Tecnologías LANFrancisco Javier Novoa de Manuel
 
Redes 2 Introduccion al Router 2021-1
Redes 2 Introduccion al Router 2021-1Redes 2 Introduccion al Router 2021-1
Redes 2 Introduccion al Router 2021-1Richard Eliseo Mendoza Gafaro
 
Multicast v1.0
Multicast v1.0Multicast v1.0
Multicast v1.0Gianpietro Lavado
 
Conceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPFConceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPFFrancesc Perez
 
Clase 6a .VLAN
Clase 6a .VLANClase 6a .VLAN
Clase 6a .VLANJosé Ricardo Tillero Giménez
 
IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0Gianpietro Lavado
 
Cisco module 2
Cisco module 2Cisco module 2
Cisco module 2PedroMuoz672118
 
Clase 3 Protocolos de Red de TCP-IP
Clase 3 Protocolos de Red de TCP-IPClase 3 Protocolos de Red de TCP-IP
Clase 3 Protocolos de Red de TCP-IPJosé Ricardo Tillero Giménez
 
Cuestionario dhcp
Cuestionario dhcp Cuestionario dhcp
Cuestionario dhcp Javier H
 
Protocolo OSPF
Protocolo OSPFProtocolo OSPF
Protocolo OSPFtheManda
 
Ccna2 (2)
Ccna2 (2)Ccna2 (2)
Ccna2 (2)Aldo Vilches Godoy
 
2.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv42.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv4David Narváez
 
2.2. Conceptos ACL
2.2. Conceptos ACL2.2. Conceptos ACL
2.2. Conceptos ACLDavid Narváez
 

Más contenido relacionado

La actualidad más candente

Configuracion y seguridad
Configuracion y seguridadConfiguracion y seguridad
Configuracion y seguridaddannyvelasco
 
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0Gianpietro Lavado
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0Gianpietro Lavado
 
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3Francisco Javier Novoa de Manuel
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2Gianpietro Lavado
 
Protocolos de routing estatico
Protocolos de routing estaticoProtocolos de routing estatico
Protocolos de routing estaticoDavid Narváez
 
Final examen
Final examenFinal examen
Final exameneufronio
 
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)Connections Systems
 
Conceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPFConceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPFFrancesc Perez
 
IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0Gianpietro Lavado
 
Cuestionario dhcp
Cuestionario dhcp Cuestionario dhcp
Cuestionario dhcp Javier H
 
Protocolo OSPF
Protocolo OSPFProtocolo OSPF
Protocolo OSPFtheManda
 

La actualidad más candente (20)

Routing dinamico
Routing dinamicoRouting dinamico
Routing dinamico
 
Configuracion y seguridad
Configuracion y seguridadConfiguracion y seguridad
Configuracion y seguridad
 
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0
 
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2
 
Protocolos de routing estatico
Protocolos de routing estaticoProtocolos de routing estatico
Protocolos de routing estatico
 
Final examen
Final examenFinal examen
Final examen
 
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)
12962797 ccna-3-v-40-exploration-examen-final-modulo-3-50-preguntas (1)
 
CCNA Routing & Switching. Novedades en Tecnologías LAN
CCNA Routing & Switching. Novedades en Tecnologías LANCCNA Routing & Switching. Novedades en Tecnologías LAN
CCNA Routing & Switching. Novedades en Tecnologías LAN
 
Redes 2 Introduccion al Router 2021-1
Redes 2 Introduccion al Router 2021-1Redes 2 Introduccion al Router 2021-1
Redes 2 Introduccion al Router 2021-1
 
Multicast v1.0
Multicast v1.0Multicast v1.0
Multicast v1.0
 
Conceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPFConceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPF
 
Clase 6a .VLAN
Clase 6a .VLANClase 6a .VLAN
Clase 6a .VLAN
 
IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0
 
Cisco module 2
Cisco module 2Cisco module 2
Cisco module 2
 
Clase 3 Protocolos de Red de TCP-IP
Clase 3 Protocolos de Red de TCP-IPClase 3 Protocolos de Red de TCP-IP
Clase 3 Protocolos de Red de TCP-IP
 
Cuestionario dhcp
Cuestionario dhcp Cuestionario dhcp
Cuestionario dhcp
 
Protocolo OSPF
Protocolo OSPFProtocolo OSPF
Protocolo OSPF
 
Ccna2 (2)
Ccna2 (2)Ccna2 (2)
Ccna2 (2)
 

Similar a Capítulo 9: ACL

2.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv42.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv4David Narváez
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACLDavid Narváez
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACLDavid Narváez
 
2.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv62.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv6David Narváez
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Implementación de tecnologías de firewall
Implementación de tecnologías de firewallImplementación de tecnologías de firewall
Implementación de tecnologías de firewallfillescas
 
Exploration accessing wan_chapter5
Exploration accessing wan_chapter5Exploration accessing wan_chapter5
Exploration accessing wan_chapter5jpalmaco
 
Capitulo 3 Firewall.pdf
Capitulo 3 Firewall.pdfCapitulo 3 Firewall.pdf
Capitulo 3 Firewall.pdfruthluna25
 

Similar a Capítulo 9: ACL (20)

2.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv42.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv4
 
2.2. Conceptos ACL
2.2. Conceptos ACL2.2. Conceptos ACL
2.2. Conceptos ACL
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACL
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL
 
Ac ls 1_
Ac ls 1_Ac ls 1_
Ac ls 1_
 
Acls
AclsAcls
Acls
 
Clase 07
Clase 07Clase 07
Clase 07
 
Clase 07
Clase 07Clase 07
Clase 07
 
Acl trabajo
Acl trabajoAcl trabajo
Acl trabajo
 
Clase 09
Clase 09Clase 09
Clase 09
 
Clase 09
Clase 09Clase 09
Clase 09
 
Clase 2. ACL
Clase 2. ACLClase 2. ACL
Clase 2. ACL
 
Actividad 3: VLAN y ACL
Actividad 3: VLAN y ACLActividad 3: VLAN y ACL
Actividad 3: VLAN y ACL
 
2.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv62.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv6
 
Guia 7
Guia 7Guia 7
Guia 7
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de acceso
 
Acceso a la WAN (Capitulo 5)
Acceso a la WAN (Capitulo 5)Acceso a la WAN (Capitulo 5)
Acceso a la WAN (Capitulo 5)
 
Implementación de tecnologías de firewall
Implementación de tecnologías de firewallImplementación de tecnologías de firewall
Implementación de tecnologías de firewall
 
Exploration accessing wan_chapter5
Exploration accessing wan_chapter5Exploration accessing wan_chapter5
Exploration accessing wan_chapter5
 
Capitulo 3 Firewall.pdf
Capitulo 3 Firewall.pdfCapitulo 3 Firewall.pdf
Capitulo 3 Firewall.pdf
 

Más de dannyvelasco

Metafisica 4 en_1_vol_2__mndez_conny
Metafisica 4 en_1_vol_2__mndez_connyMetafisica 4 en_1_vol_2__mndez_conny
Metafisica 4 en_1_vol_2__mndez_connydannyvelasco
 
Ordenador componentes
Ordenador componentesOrdenador componentes
Ordenador componentesdannyvelasco
 
PACIE - Bloque Académico
PACIE - Bloque AcadémicoPACIE - Bloque Académico
PACIE - Bloque Académicodannyvelasco
 
PACIE - Bloque Académico
PACIE - Bloque AcadémicoPACIE - Bloque Académico
PACIE - Bloque Académicodannyvelasco
 
Pacie bloque académico
Pacie bloque académicoPacie bloque académico
Pacie bloque académicodannyvelasco
 
Pacie - Bloque Académico
Pacie - Bloque AcadémicoPacie - Bloque Académico
Pacie - Bloque Académicodannyvelasco
 
Pacie - Bloque Académico
Pacie - Bloque AcadémicoPacie - Bloque Académico
Pacie - Bloque Académicodannyvelasco
 

Más de dannyvelasco (14)

ACL
ACLACL
ACL
 
Metafisica 4 en_1_vol_2__mndez_conny
Metafisica 4 en_1_vol_2__mndez_connyMetafisica 4 en_1_vol_2__mndez_conny
Metafisica 4 en_1_vol_2__mndez_conny
 
Unidad iii
Unidad iiiUnidad iii
Unidad iii
 
Ordenador componentes
Ordenador componentesOrdenador componentes
Ordenador componentes
 
Algoritmos
AlgoritmosAlgoritmos
Algoritmos
 
Clase 1
Clase 1Clase 1
Clase 1
 
Tutorial p se int
Tutorial p se intTutorial p se int
Tutorial p se int
 
Formato de tablas
Formato de tablasFormato de tablas
Formato de tablas
 
Software proyecto
Software proyectoSoftware proyecto
Software proyecto
 
PACIE - Bloque Académico
PACIE - Bloque AcadémicoPACIE - Bloque Académico
PACIE - Bloque Académico
 
PACIE - Bloque Académico
PACIE - Bloque AcadémicoPACIE - Bloque Académico
PACIE - Bloque Académico
 
Pacie bloque académico
Pacie bloque académicoPacie bloque académico
Pacie bloque académico
 
Pacie - Bloque Académico
Pacie - Bloque AcadémicoPacie - Bloque Académico
Pacie - Bloque Académico
 
Pacie - Bloque Académico
Pacie - Bloque AcadémicoPacie - Bloque Académico
Pacie - Bloque Académico
 

Último

NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas123yudy
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfvictorbeltuce
 
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfFundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfsamyarrocha1
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfromanmillans
 
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptxc3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptxMartín Ramírez
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALEDUCCUniversidadCatl
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxPLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxJUANSIMONPACHIN
 

Último (20)

NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
 
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfFundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdf
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptxPPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
 
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdfTema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
 
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptxc3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxPLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
 
DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .
 

Capítulo 9: ACL

  • 1. Capítulo 9: Listas de control de acceso Routing y switching
  • 2. Funcionamiento de ACL de IP ACL de IPv4 estándar ACL de IPv4 extendidas Unidad contextual: debug con ACL Resolución de problemas de ACL Unidad contextual: ACL de IPv6 Resumen
  • 3. Objetivos  Explicar la forma en que se utilizan las ACL para filtrar el tráfico.  Comparar las ACL de IPv4 estándar y extendidas.  Explicar la forma en que las ACL utilizan máscaras wildcard.  Explicar las pautas para la creación de ACL.  Explicar las pautas para la colocación de ACL.  Configurar ACL de IPv4 estándar para filtrar el tráfico según los requisitos de red.  Modificar una ACL de IPv4 estándar mediante los números de secuencia.  Configurar una ACL estándar para proteger el acceso a VTY.
  • 4. Objetivos (continuación)  Explicar la estructura de una entrada de control de acceso (ACE) extendida.  Configurar ACL de IPv4 extendidas para filtrar el tráfico según los requisitos de red.  Configurar una ACL para que limite el resultado de debug.  Explicar la forma en que procesa los paquetes un router cuando se aplica una ACL.  Resolver problemas comunes de ACL con los comandos de CLI.  Comparar la creación de ACL de IPv4 y ACL de IPv6.  Configurar ACL de IPv6 para filtrar el tráfico según los requisitos de red.
  • 5. Propósito de las ACL ¿Qué es una ACL?
  • 6. Propósito de las ACL Una conversación TCP
  • 7. Propósito de las ACL Filtrado de paquetes  El filtrado de paquetes, a veces denominado “filtrado de paquetes estático”, controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según determinados criterios, como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete.  Cuando reenvía o deniega los paquetes según las reglas de filtrado, un router funciona como filtro de paquetes.  Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de control de acceso” (ACE).
  • 8. Propósito de las ACL Filtrado de paquetes (cont.)
  • 9. Propósito de las ACL Funcionamiento de ACL La última sentencia de una ACL es siempre una denegación implícita. Esta sentencia se inserta automáticamente al final de cada ACL, aunque no esté presente físicamente. La denegación implícita bloquea todo el tráfico. Debido a esta denegación implícita, una ACL que no tiene, por lo menos, una instrucción permit bloqueará todo el tráfico.
  • 10. Comparación entre ACL de IPv4 estándar y extendidas Tipos de ACL de IPv4 de Cisco ACL estándar ACL extendidas
  • 11. Comparación entre las ACL de IPv4 estándar y extendidas Asignación de números y nombres a ACL
  • 12. Máscaras wildcard en las ACL Introducción a las máscaras wildcard en ACL Las máscaras wildcard y las máscaras de subred se diferencian en la forma en que establecen la coincidencia entre los unos y ceros binarios. Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros binarios:  Bit 0 de máscara wildcard: se establece la coincidencia con el valor del bit correspondiente en la dirección.  Bit 1 de máscara wildcard: se omite el valor del bit correspondiente en la dirección. A las máscaras wildcard a menudo se las denomina “máscaras inversas”. La razón es que, a diferencia de una máscara de subred en la que el 1 binario equivale a una coincidencia y el 0 binario no es una coincidencia, en las máscaras wildcard es al revés.
  • 13. Máscaras wildcard en ACL Ejemplos de máscaras wildcard: hosts y subredes
  • 14. Máscaras wildcard en ACL Ejemplos de máscaras wildcard: coincidencias con rangos
  • 15. Máscaras wildcard en ACL Cálculo de la máscara wildcard El cálculo de máscaras wildcard puede ser difícil. Un método abreviado es restar la máscara de subred a 255.255.255.255.
  • 16. Máscaras wildcard en ACL Palabras clave de máscaras wildcard
  • 17. Máscaras wildcard en ACL Ejemplos de palabras clave de máscaras wildcard
  • 18. Pautas para la creación de ACL Pautas generales para la creación de ACL  Utilice las ACL en los routers de firewall ubicados entre su red interna y una red externa, como Internet.  Utilice las ACL en un router ubicado entre dos partes de la red para controlar el tráfico que entra a una parte específica de su red interna o que sale de esta.  Configure las ACL en los routers de frontera, es decir, los routers ubicados en los límites de las redes.  Configure las ACL para cada protocolo de red configurado en las interfaces del router de frontera.
  • 19. Pautas para la creación de ACL Pautas generales para la creación de ACL Las tres P  Una ACL por protocolo: para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz.  Una ACL por sentido: las ACL controlan el tráfico en una interfaz de a un sentido por vez. Se deben crear dos ACL diferentes para controlar el tráfico entrante y saliente.  Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, GigabitEthernet 0/0.
  • 20. Pautas para la creación de ACL Prácticas recomendadas para ACL
  • 21. Pautas para la colocación de ACL Colocación de ACL Cada ACL se debe colocar donde tenga más impacto en la eficiencia. Las reglas básicas son las siguientes:  ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará.  ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible. La colocación de la ACL y, por lo tanto, el tipo de ACL que se utiliza también pueden depender del alcance del control del administrador de red, del ancho de banda de las redes que intervienen y de la facilidad de configuración.
  • 22. Pautas para la colocación de ACL Colocación de ACL estándar
  • 23. Pautas para la colocación de ACL Colocación de ACL extendidas
  • 24. Configuración de ACL de IPv4 estándar Introducción de instrucciones de criterios
  • 25. Configuración de ACL de IPv4 estándar Configuración de una ACL estándar Ejemplo de ACL  access-list 2 deny host 192.168.10.10  access-list 2 permit 192.168.10.0 0.0.0.255  access-list 2 deny 192.168.0.0 0.0.255.255  access-list 2 permit 192.0.0.0 0.255.255.255
  • 26. Configuración de ACL de IPv4 estándar Configuración de una ACL estándar (cont.) La sintaxis completa del comando de ACL estándar es la siguiente: Router(config)# access-list número-lista-acceso deny permit remark origen [ wildcard-origen ] [ log ] Para eliminar la ACL, se utiliza el comando de configuración global no access-list. La palabra clave remark se utiliza en los documentos y hace que sea mucho más fácil comprender las listas de acceso.
  • 27. Configuración de ACL de IPv4 estándar Lógica interna  El IOS de Cisco aplica una lógica interna al aceptar y procesar las listas de acceso estándar. Como se mencionó anteriormente, las instrucciones de las listas de acceso se procesan de manera secuencial, por lo que el orden en que se introducen es importante.
  • 28. Configuración de ACL de IPv4 estándar Aplicación de ACL estándar a las interfaces Después de que se configura una ACL estándar, se vincula a una interfaz mediante el comando ip access-group en el modo de configuración de interfaz:  Router(config-if)# ip access-group { número-lista-acceso | nombre-lista-acceso } { in | out } Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la interfaz y, a continuación, introduzca el comando global no access- list para eliminar la ACL completa.
  • 29. Configuración de ACL de IPv4 estándar Aplicación de ACL estándar a las interfaces (cont.)
  • 30. Configuración de ACL de IPv4 estándar Creación de ACL estándar con nombre
  • 31. Configuración de ACL de IPv4 estándar Introducción de comentarios en ACL
  • 32. Modificación de ACL de IPv4 Edición de ACL estándar numeradas
  • 33. Modificación de ACL de IPv4 Edición de ACL estándar numeradas (cont.)
  • 34. Modificación de ACL de IPv4 Edición de ACL estándar con nombre
  • 35. Modificación de ACL de IPv4 Verificación de ACL
  • 36. Modificación de ACL de IPv4 Estadísticas de ACL
  • 37. Modificación de ACL de IPv4 Números de secuencia de ACL estándar  Otra parte de la lógica interna del IOS es responsable de la secuenciación interna de las instrucciones de las ACL estándar. Las instrucciones de rango que deniegan tres redes se configuran primero, y después se configuran cinco instrucciones de host. Las instrucciones de host son todas instrucciones válidas, porque sus direcciones IP host no forman parte de las instrucciones de rango introducidas previamente.  Las instrucciones de host se enumeran primero con el comando show, pero no necesariamente en el orden en que se introdujeron. El IOS ordena las instrucciones de host mediante una función de hash especial. El orden resultante optimiza la búsqueda de una entrada de ACL de host.
  • 38. Protección de puertos VTY con una ACL de IPv4 estándar Configuración de una ACL estándar para proteger un puerto VTY Por lo general, se considera que el filtrado del tráfico de Telnet o SSH es una función de una ACL de IP extendida, porque filtra un protocolo de nivel superior. Sin embargo, debido a que se utiliza el comando access-class para filtrar sesiones Telnet/SSH entrantes o salientes por dirección de origen, se puede utilizar una ACL estándar.  Router(config-line)# access-class número- lista-acceso { in [ vrf-also ] | out }
  • 39. Protección de puertos VTY con una ACL de IPv4 estándar Verificación de una ACL estándar utilizada para proteger un puerto VTY
  • 40. Estructura de una ACL de IPv4 extendida ACL extendidas
  • 41. Estructura de una ACL de IPv4 extendida ACL extendidas (cont.)
  • 42. Configuración de ACL de IPv4 extendidas Configuración de ACL extendidas Los pasos del procedimiento para configurar ACL extendidas son los mismos que para las ACL estándar. Primero se configura la ACL extendida y, a continuación, se activa en una interfaz. Sin embargo, la sintaxis de los comandos y los parámetros son más complejos, a fin de admitir las funciones adicionales proporcionadas por las ACL extendidas.
  • 43. Configuración de ACL de IPv4 extendidas Aplicación de ACL extendidas a las interfaces
  • 44. Configuración de ACL de IPv4 extendidas Filtrado de tráfico con ACL extendidas
  • 45. Configuración de ACL de IPv4 extendidas Creación de ACL extendidas con nombre
  • 46. Configuración de ACL de IPv4 extendidas Verificación de ACL extendidas
  • 47. Configuración de ACL de IPv4 extendidas Edición de ACL extendidas La edición de una ACL extendida se puede lograr mediante el mismo proceso que se aplica para la edición de una ACL estándar. Las ACL extendidas se pueden modificar mediante los métodos siguientes:  Método 1: editor de texto  Método 2: números de secuencia
  • 48. Limitación del resultado de debug Propósito de la limitación del resultado de debug con ACL  Los comandos debug son herramientas que se utilizan para ayudar a verificar y resolver problemas de operaciones de red.  Al utilizar algunas opciones de debug, el resultado puede mostrar mucha más información que la que se necesita o se puede ver fácilmente.  En una red de producción, la cantidad de información provista por los comandos debug puede saturar la red y causar interrupciones en esta.  Algunos comandos debug se pueden combinar con una lista de acceso para limitar el resultado de modo que solo se muestre la información necesaria para la verificación o la resolución de un problema específico.
  • 49. Limitación del resultado de debug Configuración de ACL para limitar el resultado de debug El administrador del R2 desea verificar si el tráfico se enruta correctamente con debug ip packet. Para limitar el resultado de debug para que incluya solamente el tráfico ICMP entre el R1 y el R3, se aplica la ACL 101.
  • 50. Limitación del resultado de debug Verificación de ACL que limitan el resultado de debug
  • 51. Procesamiento de paquetes con ACL Lógica de ACL de entrada  Los paquetes se prueban en relación con una ACL de entrada, si existiera una, antes de enrutarlos.  Si un paquete entrante coincide con una instrucción de ACL con un permiso, se envía para enrutarlo.  Si un paquete entrante coincide con una instrucción de ACL con una denegación, se descarta y no se enruta.  Si un paquete entrante no coincide con ninguna instrucción de ACL, se “deniega implícitamente” y se descarta sin enrutarlo.
  • 52. Procesamiento de paquetes con ACL Lógica de ACL de salida  Antes de enviar los paquetes a una interfaz de salida, se comprueba que tengan una ruta. Si no hay ruta, los paquetes se descartan.  Si una interfaz de salida no tiene ninguna ACL, los paquetes se envían directamente a esa interfaz.  Si hay una ACL en la interfaz de salida, se la verifica antes de que los paquetes se envíen a esa interfaz.  Si un paquete saliente coincide con una instrucción de ACL con un permiso, se lo envía a la interfaz.
  • 53. Procesamiento de paquetes con ACL Lógica de ACL de salida (continuación)  Si un paquete saliente coincide con una instrucción de ACL con una denegación, se descarta.  Si un paquete saliente no coincide con ninguna instrucción de ACL, se “deniega implícitamente” y se descarta.
  • 54. Procesamiento de paquetes con ACL Operaciones lógicas de ACL  Cuando un paquete llega a una interfaz del router, el proceso del router es el mismo, ya sea si se utilizan ACL o no. Cuando una trama ingresa a una interfaz, el router revisa si la dirección de capa 2 de destino coincide con la dirección de capa 2 de la interfaz, o si dicha trama es una trama de difusión.  Si se acepta la dirección de la trama, se desmonta la información de la trama y el router revisa si hay una ACL en la interfaz de entrada. Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista.
  • 55. Procesamiento de paquetes con ACL Operaciones lógicas de ACL (continuación)  Si se acepta el paquete, se compara con las entradas en la tabla de routing para determinar la interfaz de destino. Si existe una entrada para el destino en la tabla de routing, el paquete se conmuta a la interfaz de salida. De lo contrario, se descarta.  A continuación, el router revisa si la interfaz de salida tiene una ACL. Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista.  Si no hay una ACL o si se permite el paquete, este se encapsula en el nuevo protocolo de capa 2 y se reenvía por la interfaz al siguiente dispositivo.
  • 56. Procesamiento de paquetes con ACL Proceso de decisión de ACL estándar  Las ACL estándar solo examinan la dirección IPv4 de origen. El destino del paquete y los puertos involucrados no se tienen en cuenta.  El software IOS de Cisco prueba las direcciones en relación con cada una de las condiciones de la ACL. La primera coincidencia determina si el software acepta o rechaza la dirección. Dado que el software deja de probar las condiciones después de la primera coincidencia, el orden de las condiciones es fundamental. Si no coincide ninguna condición, la dirección se rechaza.
  • 57. Procesamiento de paquetes con ACL Proceso de decisión de ACL extendida  La ACL primero filtra por la dirección de origen y, a continuación, por el puerto y el protocolo de origen. Luego, filtra por la dirección de destino y después por el puerto y el protocolo de destino, y toma la decisión final de permiso o denegación.
  • 58. Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 1 El host 192.168.10.10 no tiene conectividad con 192.168.30.12.
  • 59. Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 2 La red 192.168.10.0 /24 no puede utilizar TFTP para conectarse a la red 192.168.30.0 /24.
  • 60. Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 3 La red 192.168.11.0 /24 puede utilizar Telnet para conectarse a 192.168.30.0 /24, pero según la política de la empresa, esta conexión no debería permitirse.
  • 61. Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 4 El host 192.168.30.12 puede conectarse a 192.168.31.12 mediante Telnet, pero la política de la empresa establece que esta conexión no debe permitirse.
  • 62. Errores comunes de ACL Resolución de errores comunes de ACL, ejemplo 5 El host 192.168.30.12 puede utilizar Telnet para conectarse a 192.168.31.12, pero según la política de seguridad, esta conexión no debe permitirse.
  • 63. Creación de ACL de IPv6 Tipos de ACL de IPv6
  • 64. Creación de ACL de IPv6 Comparación entre ACL de IPv4 y de IPv6 Aunque las ACL de IPv4 y de IPv6 son muy similares, hay tres diferencias fundamentales entre ellas.  Aplicación de una ACL de IPv6 IPv6 utiliza el comando ipv6 traffic-filter para realizar la misma función para las interfaces IPv6.  Ausencia de máscaras wildcard Se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe coincidir.  Instrucciones predeterminadas adicionales permit icmp any any nd-na permit icmp any any nd-ns
  • 65. Configuración de ACL de IPv6 Configuración de topología IPv6
  • 66. Configuración de ACL de IPv6 Configuración de ACL de IPv6 Hay tres pasos básicos para configurar una ACL de IPv6:  En el modo de configuración global, utilice el comando ipv6 access-listnombre para crear una ACL de IPv6.  En el modo de configuración de ACL con nombre, utilice las instrucciones permit o deny para especificar una o más condiciones para determinar si un paquete se debe reenviar o descartar.  Regrese al modo EXEC privilegiado con el comando end.
  • 67. Configuración de ACL de IPv6 Aplicación de una ACL de IPv6 a una interfaz
  • 68. Configuración de ACL de IPv6 Ejemplos de ACL de IPv6 Denegar FTP Restricción del acceso
  • 69. Configuración de ACL de IPv6 Verificación de ACL IPv6
  • 70. Capítulo 9: Resumen  Los routers no filtran tráfico de manera predeterminada. El tráfico que ingresa al router se enruta solamente en función de la información de la tabla de routing.  El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete.  Un router que filtra paquetes utiliza reglas para determinar si permite o deniega el tráfico. Un router también puede realizar el filtrado de paquetes en la capa 4, la capa de transporte.  Una ACL es una lista secuencial de instrucciones permit o deny.
  • 71. Capítulo 9: Resumen (continuación)  La última instrucción de una ACL siempre es una instrucción deny implícita que bloquea todo el tráfico. Para evitar que la instrucción deny any implícita al final de la ACL bloquee todo el tráfico, es posible agregar la instrucción permit ip any any.  Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del paquete con cada entrada, en orden secuencial, para determinar si el paquete coincide con una de las instrucciones. Si se encuentra una coincidencia, el paquete se procesa según corresponda.  Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente.
  • 72. Capítulo 9: Resumen (continuación)  Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen únicamente. El destino del paquete y los puertos involucrados no se evalúan. La regla básica para la colocación de una ACL estándar es colocarla cerca del destino.  Las ACL extendidas filtran paquetes según varios atributos: el tipo de protocolo, la dirección IPv4 de origen o de destino y los puertos de origen o de destino. La regla básica para la colocación de una ACL extendida es colocarla lo más cerca posible del origen.
  • 73. Capítulo 9: Resumen (continuación)  El comando de configuración global access-list define una ACL estándar con un número en el intervalo de 1 a 99 o una ACL extendida con un número en el intervalo de 100 a 199 y de 2000 a 2699. Tanto las ACL estándar como las extendidas pueden tener un nombre.  El comando ip access-list standard nombre se utiliza para crear una ACL estándar con nombre, mientras que el comando ip access-list extended nombre se utiliza para una lista de acceso extendida. Las instrucciones de ACL de IPv4 incluyen el uso de máscaras wildcard.  Después de que se configura una ACL, se vincula a una interfaz mediante el comando ip access-group del modo de configuración de interfaz.
  • 74. Capítulo 9: Resumen (continuación)  Recuerde la regla de las tres P: una ACL por protocolo, por sentido y por interfaz.  Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la interfaz y, a continuación, introduzca el comando global no access-list para eliminar la ACL completa.  Los comandos show running-config y show access-lists se utilizan para verificar la configuración de la ACL. El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido en el que se aplicó.
  • 75. Capítulo 9: Resumen (continuación)  El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada y las direcciones en una lista de acceso.  Al igual que los nombres de las ACL de IPv4, los nombres en IPv6 son alfanuméricos, distinguen entre mayúsculas y minúsculas, y deben ser únicos. A diferencia de IPv4, no hay necesidad de una opción estándar o extendida.  En el modo de configuración global, utilice el comando ipv6 access-list nombre para crear una ACL de IPv6. Se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe coincidir.  Después de que se configura una ACL de IPv6, se la vincula a una interfaz mediante el comando ipv6 traffic-filter.