© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 9: Listas de Control de Acceso. Routing & Switching.

Slides:



Advertisements
Presentaciones similares
Listas de Acceso Módulo 11.
Advertisements

Access Control Lists (ACLs)
Problemas asociados a DHCP. Seguridad
Curso: Config. Dispositivos de Red MSc. Sergio Quesada Espinoza.
Enrutamiento estático
© 2003 Cisco Systems, Inc. All rights reserved.. 2 Session Number Presentation_ID Troubleshooting de Protocolos de Enrutamiento.
Access List A continuación aprenderemos a configurar las listas de acceso en los routers Cisco. Las mismas son empleadas las redes de datos permanentemente,
LISTAS DE CONTROL DE ACCESO
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Listas de control de acceso Acceso a la WAN: capítulo 5.
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
DIAGNOSTICO DE FALLAS BASICO DEL ROUTER Semestre 2 Capítulo 9
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public1 Configuración y verificación de su red Aspectos básicos de networking: Capítulo.
Enrutamiento estático
Configuración del Router
Principios básicos de routing y switching
Conceptos y protocolos de enrutamiento. Capítulo 5
Protocolos de enrutamiento por vector de distancia
III. Protocolo RIP Versión 1.
LISTAS DE CONTROL DE ACCESO (ACL)
Conceptos y protocolos de enrutamiento. Capítulo 6
Capítulo 6: Routing estático
66.69 Criptografía y Seguridad Informática FIREWALL.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Implementación de servicios de direccionamiento IP Acceso a la.
FUNCIONES GENERALES –SELECCIÓN DE LA MEJOR RUTA –DIRECCIONAMIENTO DE LA RED.
Access Control List Modulo 11, Semestre 2 CCNA..
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
Capítulo 9: Listas de control de acceso
El direccionamiento en una red empresarial
Javier Rodríguez Granados
Aspectos básicos de networking: Unidad 5
Capítulo 5: Routing entre VLAN
Routing Troubleshooting Modulo 9 Semestre 2 CCNA..
Configuracion de protocolos
La tabla de enrutamiento: Un estudio detallado
111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID.
CAPA DE RED PROTOCOLOS.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public 1 Enrutamiento estático Conceptos y protocolos de enrutamiento. Capítulo 2.
Conceptos de protocolos de red
SEGMENTACIÓN DE LA RED UNIVERSIDAD NACIONAL DE INGENIERÍA
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.
Capítulo 9: División de redes IP en subredes
LMI (interfaz de administración local)
Sistemas de Comunicación Grupal
© 2008 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 9: División de redes IP en subredes.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public 1 Enrutamiento estático Conceptos y protocolos de enrutamiento. Capítulo 2.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 6: Enrutamiento Estático Protocolos de Enrutamiento.
© 2008 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 8: Direccionamiento IP Introducción.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public1 Configuración y verificación de su red Aspectos básicos de networking: Capítulo.
UNIVERSIDAD CENTROAMERICANA Diseño Redes LAN Rip Versión 2. Lic. José Torres Gómez. Cisco Certified Networking Associate.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 8: OSPF de una área Protocolos de enrutamiento.
IMPLEMENTACION DE IPV6 EN EN UN DISPOSITIVO CISCO.
Ud.1 Servicios DHCP Índice del libro Índice del libro.
LISTAS DE CONTROL DE ACCESO
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 1: Introducción a las redes conmutadas Routing And Switching.
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public 1 Enrutamiento estático Conceptos y protocolos de enrutamiento. Capítulo 2.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 3: Implementando Seguridad VLAN Routing y Switching.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 5: Enrutamiento Inter- VLAN Routing & Switching.
IPV6…CONTINUACION. COMPARACION DE LAS DIRECCIONES IPV4 E IPV6 EL ESPACIO DE DIRECCIONES IPV4 PROPORCIONA APROXIMADAMENTE 4,3 MIL MILLONES DE DIRECCIONES.
El modelo jerárquico de 3 capas La jerarquía tiene muchos beneficios en el diseño de las redes y nos ayuda a hacerlas más predecibles. En si, definimos.
Una Dirección IP es una etiqueta numérica que identifica, de manera lógica y jerárquica, a un interfaz (elemento de comunicación/conexión) de un dispositivo.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 10: DHCP Routing and Switching Essentials.
Hola????????. Modelo OSI La clave aquí es, para que una comunicación por red sea exitosa, como la llamada en conferencia, demanda varias actividades cuidadosamente.
D IRECCIONAMIENTO IP ( PARTE 2) Juan Carlos Rodriguez Gamboa.
Sistemas de Comunicación Magistral Nro. 6 Capa 3: Red La Capa de Red provee principalmente los servicios de envío, enrutamiento (routing) y control de.
Los comandos de IOS más utilizados para visualizar y verificar el estado operativo del router y la funcionalidad de la red relacionada con este estado.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Chapter 11: Traducción de Direcciones para IPv4 Routing And Switching.
Frame Relay también ha sido denominado "tecnología de paquetes rápidos" (fast packet technology) o "X.25 para los 90´"
1.- Tecnologías LAN 2.- Protocolo de Interconexión de redes 3.- Protocolo de Internet IP 4.- Protocolo de mensaje de control (ICMP)
QoS en SIP La calidad de servicio (QoS) en SIP se establece mediante los Protocolos: 802.1Q 802.1P DSCP.
Transcripción de la presentación:

© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 9: Listas de Control de Acceso. Routing & Switching

Presentation_ID 2 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Chapter Operación de una ACL IP 9.2 ACL Estándar IPv4 9.3 ACL Extendida IPv4 9.4 Debug con ACLs 9.5 Troubleshoot en ACLs 9.6 ACLs IPv6 9.7 Resumen.

Presentation_ID 3 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Chapter 9: Objectives  Explicar cómo las ACL se usan para filtrar tráfico.  Comparar las ACL estándar IPv4 con las ACL extendidas IPv4.  Explicar cómo las ACLs usan la máscara wildcard.  Explicar cómo crear las ACLs.  Explicar cómo se aplican las ACLs.  Configurar ACLs estándar IPv4 para filtrar tráfico de acuerdo a los requerimientos de la red.  Modificar una ACL estándar IPv4 usando una secuencia de números.  Configurar una ACL estandard para asegurar el acceso por vty.

Presentation_ID 4 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Chapter 9: Objectives (continued)  Explicar la estructura de una entrada de control de acceso extendida (ACE).  Configurar ACLs extendidas IPv4 para filtrar tráfico de acuerdo a los requerimientos de la red.  Configurar una ACL para limitar la respuesta debug.  Explicar cómo un router procesa los paquetes cuando una se aplica una ACL.  Pruebas de troubleshoot para detectar errores en las ACL usando comandos CLI.  Comparar la creación de ACL IPv4 y ACL IPv6.  Configurar ACLs IPv6 ACLs para filtrar tráfico de acuerdo a los requerimientos de la red.

Presentation_ID 5 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Purpose of ACLs ¿Qué es una ACL?

Presentation_ID 6 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Purpose of ACLs Una Conversación TCP

Presentation_ID 7 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Purpose of ACLs Filtrado de Paquetes  El filtrado de paquetes, a veces llamados filtrado de paquetes estáticos, controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y dejándolos pasar o eliminándolos de acuerdo a una base de criterios, como la dirección IP origen, la dirección IP destino, y el protocolo que llleva el paquete  Un router actúa como un filtro de paquetes cunado envía o bloquea un paquete de acuerdo a las reglas del filtro.  Una ACL es una lista secuencial de instrucciones “permit” y “deny”, conocidas como entradas de control de acceso.

Presentation_ID 8 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Purpose of ACLs Filtrado de Paquetes (Cont.)

Presentation_ID 9 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Purpose of ACLs Operación de las ACL La última declaración de una ACL es siempre una negación implícita. Esta declaración se inserta automáticamente al final de cada ACL a pesar de que no está presente físicamente. La negación implícita bloquea todo el tráfico. Debido a esta negación implícita, una ACL que no tenga por lo menos una declaración de permiso bloqueará todo el tráfico

Presentation_ID 10 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Standard versus Extended IPv4 ACLs Tipos de ACLs IPv4 de Cisco Standard ACLs Extended ACLs

Presentation_ID 11 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Standard versus Extended IPv4 ACLs ACL Numeradas y Nombradas

Presentation_ID 12 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Wildcard Masks in ACLs Introdución a la máscara Wildcard en una ACL Las máscaras wildcard y máscaras de subred se diferencian en la forma en que coinciden con 1s y 0s binarios. Las máscaras wildcard usan las siguientes reglas para que coincida con 1s y 0s binarios:  Máscara wildcar con bits 0 – para buscar coincidencia entre el valor del bit y el correspondiente bit de la dirección.  Máscara wildcar con bits 1 – para ignorar el valor del bit en la dirección. Las máscaras wildcard, a menudo, se conocen como una máscara inversa. La razón es que, a diferencia de una máscara de subred en la que el 1 binario corresponde a una coincidencia con la dirección de red y el 0 binario no, en una máscara wildcard se cumple lo contrario.

Presentation_ID 13 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Wildcard Masks in ACLs Ejemplos de Máscaras Wildcard: Hosts / Subnets

Presentation_ID 14 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Wildcard Masks in ACLs Ejemplos de Máscara Wildcard: Match Ranges

Presentation_ID 15 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Wildcard Masks in ACLs Calculando la Máscara Wildcard Calcular la máscara wildcard puede ser un desafio. Un método es restar la máscara de subred al número

Presentation_ID 16 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Wildcard Masks in ACLs Claves de la Máscara Wildcard

Presentation_ID 17 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Wildcard Masks in ACLs Ejemplos de Máscaras Wildcard

Presentation_ID 18 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Guidelines for ACL creation Instrucciones Generales para crear ACLs  Utilizar las ACL en los routers de firewall ubicado entre la red interna y una red externa tal como Internet.  Utilizar las ACL en un router situado entre dos partes de su red para controlar el tráfico que entra o sale de una parte específica de su red interna.  Configurar ACL en routers frontera, es decir routers situados en los bordes de sus redes.  Configurar las ACL para cada protocolo de red configurado en las interfaces del router frontera.

Presentation_ID 19 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Guidelines for ACL creation Instrucciones Generales para crear ACLs Las tres Ps:  Una ACL por protocolo - Para controlar el flujo de tráfico en una interfaz, una ACL debe definirse para cada protocolo habilitado en la interfaz.  Una ACL por dirección – las ACLs controlan el tráfico en una dirección a la vez en una interfaz. Se deben crear dos ACLs separadas para controlar el tráfico entrante y saliente.  Una ACL por interfaz - ACL controlan el tráfico por una interfaz, por ejemplo, GigabitEthernet 0/0.

Presentation_ID 20 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Guidelines for ACL creation Mejores prácticas para ACL

Presentation_ID 21 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Guidelines for ACL Placement ¿Dónde ubicar una ACL? Cada ACL debe ser colocada donde tiene el mayor impacto en la eficiencia. Las reglas básicas son:  ACL extendidas: Localizar ACL extendidas lo más cerca posible del origen del tráfico a ser filtrado.  ACL estándar: Debido a las ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca posible del destino. La ubicación de la ACL y por lo tanto el tipo de ACL a utilizar pueden depender, también, del grado de control del administrador de red, del ancho de banda de las redes involucradas, y de la facilidad de configuración.

Presentation_ID 22 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Guidelines for ACL Placement Ubicación de una ACL Estándar

Presentation_ID 23 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Guidelines for ACL Placement Ubicación de una ACL Extendida

Presentation_ID 24 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Standard IPv4 ACLs Declaración de las Entradas

Presentation_ID 25 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Standard IPv4 ACLs Configurando una ACL Estándar Example ACL  access-list 2 deny host  access-list 2 permit  access-list 2 deny  access-list 2 permit

Presentation_ID 26 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Standard IPv4 ACLs Configurando una ACL Estándar (Cont.) La sintaxis de una ACL estándar es la siguiente: Router(config)# access-list access-list-number deny permit remark source [ source-wildcard ] [ log ] Para remover una, el comando en configuración global es no access-list. La palabra clave remark se usa para documentar hacer listas de acceso mucho más fácil de entender.

Presentation_ID 27 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Standard IPv4 ACLs Lógica Interna  Cisco IOS aplica una lógica interna cuando acepta y procesa las instrucciones de una lista de acceso estándar. Como se discutió previamente, las instrucciones de la lista se procesan de forma secuencial. Por lo tanto, el orden en que se introducen es importante.

Presentation_ID 28 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Standard IPv4 ACLs Aplicando ALCs Estándar a las interfaces Después que una ACL estándar es configurada, es enlazada a una interface usando el comando ip access- group en la configuración de interface:  Router(config-if)# ip access-group { access-list- number | access-list-name } { in | out } Para remover una ACL de la interface, primero se ingresa el comando no ip access-group en la configuración de interface, y luego se ingresa el comando no access-list en el modo de configuración global.

Presentation_ID 29 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Standard IPv4 ACLs Aplicando ALCs Estándar a las interfaces (Cont.)

Presentation_ID 30 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Standard IPv4 ACLs Creando ACLs Estándar Nombradas

Presentation_ID 31 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Standard IPv4 ACLs Comentando sobre ACLs

Presentation_ID 32 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Modify IPv4 ACLs Editando ACLs Estándar Numeradas

Presentation_ID 33 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Modify IPv4 ACLs Editando ACLs Estándar Numeradas (Cont.)

Presentation_ID 34 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Modify IPv4 ACLs Editando ACLs Estándar Nombradas

Presentation_ID 35 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Modify IPv4 ACLs Verificando ACLs

Presentation_ID 36 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Modify IPv4 ACLs Estadísticas de las ACL

Presentation_ID 37 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Modify IPv4 ACLs Números de Secuencia de las ACL Estándar  Otra parte de la lógica interna del IOS involucra al número de secuencia interno a cada una de las sentencias de una ACL estándar. Las sentencias asociadas a rangos de IP pueden ser configuradas primero y después las sentencias que involucran a un host. Con esta lógica, las sentencias de host son válidas debido a que sus direcciones IP de host no son parte de las direcciones IP incluidas en los rangos anteriores.  Al aplicar el comando show, las sentencias de host son mostradas primero, aun que no hayan sido ingresados en ese orden. El IOS ubica las sentencias asociadas a los host en ese orden usando una función hashing especial. El orden resultante optimiza la búsqueda de una entrada de host en la ACL.

Presentation_ID 38 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Securing VTY ports with a Standard IPv4 ACL Configurando una ACL Estándar para asegurar un puerto VTY Filtrado de tráfico Telnet o SSH se suele considerar como función de las ACL extendidas IP, porque filtra un protocolo de nivel superior. Sin embargo, debido a que el comando access-class es usado para filtrar sesiones Telnet/SSH entrantes o salientes, se puede usar una ACL Estándar.  Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }

Presentation_ID 39 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Securing VTY ports with a Standard IPv4 ACL Verificando el uso de una ACL Estándar usada para asegurar un puerto VTY

Presentation_ID 40 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Structure of an Extended IPv4 ACL ACLs Extendidas

Presentation_ID 41 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Structure of an Extended IPv4 ACL Extended ACLs (Cont.)

Presentation_ID 42 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Extended IPv4 ACLs Configurando ACLs Extendidas Los pasos para la configuración de ACL extendidas son las mismas que para las ACL estándar. La ACL extendida es configurada primero, y luego es aplicad en una interfaz. Sin embargo, la sintaxis del comando y los parámetros son más complejos para poder soportar las características adicionales proporcionadas por las ACL extendidas.

Presentation_ID 43 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Extended IPv4 ACLs Aplicando una ACL Extendida a una interface

Presentation_ID 44 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Extended IPv4 ACLs Filtrando tráfico con una ACL Extendida

Presentation_ID 45 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Extended IPv4 ACLs Creando ACLs Extendidas Nombradas

Presentation_ID 46 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Extended IPv4 ACLs Verificando ACLs Extendidas

Presentation_ID 47 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Extended IPv4 ACLs Editando ACLs Extendidas La edición de una ACL extendida se puede lograr usando el mismo proceso usada en la edición de una ACL estándar. Una ACL extendida puede ser modificada usando:  Method 1 - Text editor  Method 2 – Sequence numbers

Presentation_ID 48 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Limiting Debug Output Propósito de limitar las salidas Debug con ACL  Comandos debug (depuración) son herramientas que se utilizan para ayudar a verificar y solucionar problemas de funcionamiento de la red.  Al utilizar algunas opciones de depuración, la salida puede mostrar más información de la que se necesita o de la que se puede ver fácilmente.  En una red productiva, la cantidad de información proporcionada por comandos debug puede ser abrumador y puede causar interrupciones en la red.  Algunos comandos debug se pueden combinar con una lista de acceso para limitar la salida de modo que sólo se muestra la información necesaria para la verificación o la solución de un problema específico.

Presentation_ID 49 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Limiting Debug Output Configurando ACL para limitar las salidas Debug El administrador de R2 quiere verificar que el tráfico se enruta correctamente usando debug ip packet. Para limitar la salida de depuración se incluirá sólo el tráfico ICMP entre R1 y R3, aplicando la ACL 101.

Presentation_ID 50 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Limiting Debug Output Verificando las ACL que limitan las salidas Debug

Presentation_ID 51 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Processing Packets with ACLs Lógica de las ACLs Entrantes (Inbound)  Los paquetes son probados de acuerdo a una ACL entrante, si es ésta que existe, antes de ser enviados.  Si un paquete entrante coincide con una sentencia de la ACL y es permitido, entonces el paquete es enrutado.  Si un paquete entrante coincide con una sentencia de la ACL y es denegado, entonces es dropeado y no es enrutado.  Si un paquete entrante no coincide con alguna sentencia de la ACL, entonces es "implícitamente denegado" y es dropeado sin ser enrutado.

Presentation_ID 52 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Processing Packets with ACLs Lógica de las ACL Salientes (outbound)  Los paquetes se comprueban primero si son enrutables antes de ser enviado a la interfaz de salida. Si no hay ninguna ruta, los paquetes se descartan.  Si una interfaz de salida no tiene ACL, entonces el paquete es enviado directamente a esa interfaz.  Si existe una ACL en la interfaz de salida, el paquete es chequeado antes de ser enviado a esa interfaz.  Si un paquete de salida coincide con una sentencia de la ACL y es permitido, entonces el paquete se envía a la interfaz.

Presentation_ID 53 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Processing Packets with ACLs Lógica de las ACL Salientes (outbound)  Si un paquete de salida coincide con una sentencia de la ACL, y no es permitido, entonces es dropeado.  Si un paquete de salida no cumple las sentencias de la ACL, entonces es "implícitamente denegado" y dropeado.

Presentation_ID 54 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Processing Packets with ACLs Operaciones Lógicas de las ACL  Cuando un paquete llega a una interfaz de router, el proceso de enrutamiento es el mismo, ya sea que se usen o no las ACL. Cuando la trama entra en una interfaz, el router verifica si la dirección de destino de Capa 2 coincide con la dirección de la interfaz de capa 2, o si la trama es una trama de broadcast.  Si se acepta la dirección de la trama, la información de trama es eliminada y el router chequea la existencia de una ACL en la interfaz de entrada. Si existe una ACL, el paquete se compara con las sentencias de la lista.

Presentation_ID 55 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Processing Packets with ACLs Operaciones Lógicas de las ACL (cont.)  Si se acepta el paquete, se determina, de acuerdo a las entradas de la tabla de enrutamiento una interfaz de destino. Si existe una entrada en la tabla de enrutamiento para el destino, el paquete es conmutado a la interfaz de salida, de lo contrario el paquete se descarta.  A continuación, el router verifica si la interfaz de salida tiene una ACL. Si existe una ACL, el paquete se compara con las sentencias de la lista.  Si no hay ACL o se permite el paquete, el paquete se encapsula en el nuevo protocolo de Capa 2 y es enviado fuera de la interfaz hacia el siguiente dispositivo.

Presentation_ID 56 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Processing Packets with ACLs Proceso de Decisión de una ACL Estándar  Las ACL estándar solo examinan la dirección IPv4 de origen. No se consideran el destino del paquete ni los puertos implicados.  Cisco IOS compara las direcciones con cada una de las condiciones indicadas en la ACL. La primera coincidencia determina si el IOS acepta o rechaza la dirección. Debido a que el IOS detiene las pruebas después de la primera coincidencia, el orden en que se ingresan las condiciones es crítico. Si no hay coincidencias, la dirección es rechazada.

Presentation_ID 57 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Processing Packets with ACLs Proceso de Decisión de una ACL Extendida  La ACL primero filtra de acuerdo a la dirección origen, luego de acuerdo al puerto y al protocolo del origen.  A continuación, se filtra por la dirección de destino, y luego, por el puerto y el protocolo de destino, y toma la decisión final de rechazar o permitir.

Presentation_ID 58 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Common ACLs Errors Troubleshooting, Solución de problemas comunes de ACL - Ejemplo 1 El host no tiene conectividad con

Presentation_ID 59 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Common ACLs Errors Troubleshooting, Solución de problemas comunes de ACL - Ejemplo 2 La red /24 no puede usar TFTP para conectarse a la red /24.

Presentation_ID 60 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Common ACLs Errors Troubleshooting, Solución de problemas comunes de ACL - Ejemplo 3 La red /24 puede usar Telnet para conectarse a la red /24, pero de acuerdo a las políticas de la compañía, esta conexión no está permitida.

Presentation_ID 61 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Common ACLs Errors Troubleshooting, Solución de problemas comunes de ACL - Ejemplo 4 El host está habilitado para conectarse por Telnet al host , pero las políticas de la compañía no permiten esta conexión.

Presentation_ID 62 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential IPv6 ACL Creation Tipos de ACLs IPv6

Presentation_ID 63 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential IPv6 ACL Creation Comparando ACLs IPv4 con ACLs IPv6 Aunque ACLs IPv4 e IPv6 son muy similares, hay tres diferencias significativas entre ellas Aplicación de una ACL IPv6 IPv6 usa el comando ipv6 traffic-filter para llevar a cabo la misma función para las interfaces de IPv6.  No hay Máscara Wildcard La longitud de prefijo se utiliza para indicar la cantidad bits de una dirección IPv6 origen o destino a considerar en la ACL.  Sentencias adicionales por defecto permit icmp any any nd-na permit icmp any any nd-ns

Presentation_ID 64 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configuring IPv6 ACLs Configurando una Topolgía IPv6

Presentation_ID 65 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configuring IPv6 ACLs Configurando ACLs IPv6 Hay tres pasos básicos para configurar una ACL IPv6:  En el modo de configuración global, usar el comando ipv6 access-listname para crear una ACL IPv6.  En el modo de configuración de ACL nombrada, usar la palabra permit or deny para especificar una o más condiciones que determinen si el paquete es reenviado a dropeado.  Vuelva al modo EXEC privilegiado con el comando end.

Presentation_ID 66 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configuring IPv6 ACLs Aplicando una ACL IPv6 a una interface

Presentation_ID 67 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configuring IPv6 ACLs Ejemplos de ACL IPv6 Deny FTP Restrict Access

Presentation_ID 68 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configuring IPv6 ACLs Verificando ACLs IPv6

Presentation_ID 69 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 9: Resumen  Por defecto, un router no filtra tráfico. El tráfico que entra en el router se enruta basado únicamente en la información contenida en la tabla de enrutamiento.  El filtrado de paquetes, que controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes, dejándolos pasar o dropeándolos, en base a criterios como la dirección IP de origen, la dirección IP de destino y el protocolo ejecutado dentro del paquete.  Un router que filtra paquetes utiliza reglas para determinar si se debe permitir o denegar el tráfico. Un router también puede realizar el filtrado de paquetes en la Capa 4, la capa de transporte.  Una ACL es una lista secuencial de sentencias que permiten o deniegan permisos.

Presentation_ID 70 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 9: Resumen (cont.)  La última línea de una ACL es siempre una negación implícita que bloquea todo el tráfico. Para evitar esto se puede agregar una línea que permita tráfico, permit ip any any.  Cuando el tráfico de red pasa a través de una interfaz configurada con una ACL, el router compara la información dentro del paquete con las entradas de la ACL, en orden secuencial, para determinar si el paquete coincide con una de las declaraciones. Si se encuentra una coincidencia, el paquete es procesado en consecuencia.  ACL ya configuradas se aplican al tráfico entrante o al tráfico saliente.

Presentation_ID 71 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 9: Resumen (cont.)  Las ACL estándar se pueden utilizar para permitir o denegar el tráfico sólo a partir de una direcciones IPv4 origen. El destino del paquete y los puertos implicados no son evaluados. La regla básica para la colocación de una ACL estándar es colocarla cerca del destino.  Las ACL extendidas filtrar paquetes basándose en varios atributos: tipo de protocolo, Direcciones IPv4 origen o destino, y puertos de origen o destino. La regla básica para la colocación de una ACL extendida es colocarla lo más cerca posible del origen.

Presentation_ID 72 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 9: Resumen (cont.)  El comando de configuración global access-list define una ACL estándar con un número en el rango de 1 a 99 o una ACL extendida con números en el rango de 100 a 199 y 2000 a Tanto la ACL estándar como la extendida puede ser nombradas.  El comando ip access-list standard name se utiliza para crear una ACL estándar nombrada, mientras que el comando ip access-list extended name es para las ACL extendidas. Las ACL IPv4 incluyen el uso de máscaras wildcard.  Después de configurar una ACL, ésta debe ser vinculada a una interfaz con el comando ip access-group en el modo de configuración de interfaz.

Presentation_ID 73 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 9: Resumen (cont.)  The show running-config and show access-lists commands are used to verify ACL configuration. The show ip interface command is used to verify the ACL on the interface and the direction in which it was applied.  Recuerda las tres Ps, una ACL por protocolo, por dirección, y por interfaz.  Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la interfaz y, a continuación, escriba el comando no access-list en configuración global para eliminar toda la ACL.  Los comandos show running-config y show access-lists se utilizan para verificar la configuración de una ACL. El comando show ip interface se utiliza para verificar la ACL en la interfaz y la dirección en la que se aplicó.

Presentation_ID 74 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 9: Resumen (cont.)  El comando access-class configurado en el modo de configuración de línea restringe las conexiones entrantes y salientes entre una línea VTY una dirección indicad la lista de acceso.  Al igual que las ACL IPv4 nombradas, los nombres de IPv6 son alfanuméricas, con mayúsculas y minúsculas y debe ser único. A diferencia de IPv4, no hay necesidad de una opción estándar o extendida.  En el modo de configuración global, utilice el comando ipv6 access-list name para crear una ACL IPv6. La longitud de prefijo se utiliza para indicar la cantidad de dirección IPv6 origen o destino que debe tener coincidencia.  Después de configurar una ACL IPv6, se vincula a una interfaz con el comando ipv6 traffic-filter.

Presentation_ID 75 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.