jump to navigation

Consideraciones importantes sobre listas de acceso

noviembre 6, 2019

Una lista de acceso puede ser aplicada a múltiples interfaces.

Sólo puede haber una lista de acceso por protocolo, por dirección y por interfaz.

Es posible tener varias listas para una interfaz, pero cada una debe pertenecer a un protocolo diferente.

Organice las listas de acceso de modo que las referencias más específicas a una red o subred aparezcan delante de las más generales.

Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales.

Las adiciones a las listas se agregan siempre al final de éstas, pero siempre delante de la condición de denegación implícita.

No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas, pero sí­ cuando se usan listas de acceso IP con nombre.

A menos que termine una lista de acceso con una condición de permiso implí­cito de todo, se denegará todo el tráfico que no cumpla ninguna de las condiciones establecidas en la lista al existir un deny implí­cito al final de cada lista.

Toda lista de acceso deben incluir al menos una instrucción permit. En caso contrario, todo el tráfico será denegado.

Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo denegará todo el trafico.

Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router. No pueden hacer de filtro para el tráfico originado por el propio router

El orden en el que aparecen las instrucciones en la lista de acceso es fundamental para un filtrado correcto. La practica recomendada consiste en crear las listas de acceso en un usando un editor de texto y descargarlas después en un router ví­a TFTP o copiando y pegando el texto. Las listas de acceso se procesan de arriba abajo. Si coloca las pruebas más especí­ficas y las que se verificaran con más frecuencia al comienzo de la lista de acceso, se reducirá la carga de procesamiento. Solo las listas de acceso con nombre permiten la supresión, aunque no la alteración del orden de instrucciones individuales en la lista. Si desea reordenar las instrucciones de una lista de acceso, deber á eliminar la lista completa y volver a crearla en el orden apropiado o con las instrucciones correctas.

Las listas de acceso extendidas, deben colocarse normalmente lo más cerca posible del origen del tráfico que será denegado, mientras que las estándar lo mas cerca posible del destino.




Este blog no persigue fines económicos, sin embargo necesitamos de la publicidad para que podamos seguir adelante. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir en marcha. A ti no te costará nada y a nosotros nos será de gran ayuda.





Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»

1. ariel - diciembre 1, 2006

Estimado Ernesto, exelente la informacion y muy clara, soy estudiante de CCNA 2 y me encuentro realizando mi estudio de caso que incluye el tema de ACL’s, mi duda es cuando yo deniego o permito telnet desde un origen con una acl extendida indicando eq 23 ¿ es lo mismo que denegar telnet con una lista estandar y luego aplicarla a las lineas vty ? desde ya muchas gracias!

2. Ernesto Ariganello - diciembre 4, 2006

Hola, una ACL denegando o permitiendo la entrada al puerto 23 ubicada en una interfaz significa que además del 23 se deben tomar en cuenta todos los destinos u orí­genes y que esta ACL este presente en todas las interfaces fí­sicas que tengan acceso al router, mientras que una ACL estándar en la lí­nea de telnet (VTY) bastara para ese propósito.

Un saludo

3. claudia delgado - diciembre 4, 2006

hola me gustaria que me enviaras mas informacion sobre la ACL

4. Mauricio Carrera - diciembre 5, 2006

Ernesto , justamente estamos tocando el tema que consulta ariel

Mi duda es que con el siguiente ejemplo

Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255
Router(config)#line vty 0 4
Router(config-line)#access-class 10 in

en esta lista se aplicara a todas las interfaces por las cuales se intentara telnet desde esa red

5. Ernesto Ariganello - diciembre 7, 2006

Hola, el ejemplo anterior es suficiente para impedir el acceso via telnet y solo permitir a la red 192.168.2.0, deberias utilizar la direccion de un host (192.168.2.X 0.0.0.0) para ser mas selectivo. el DENY implicito se encargara de no dejar pasar a nadie mas. Esta ACL solo se asociara a la interfaz VTY como pones en el ejemplo.

Un saludo, por cierto para Claudia que solicita mas info, recurran a la fuente http://www.cisco.com

6. Tomas - diciembre 14, 2006

saludos

tengo una duda, si yo hago una lista extendida
permit tcp 10.80.150.0.0 0.0.0.31 host 192.168.3.6 eq ftp

aplacada a una interfaz, con un «in»

Entiendo que permito el envio del paquete hacia la 192.168.3.6 eq ftp, pero no veo como permito el requeso del mismo por esa misma interfaz, gracias por tu ayuda.

Att

Tomas

7. Ernesto Ariganello - diciembre 15, 2006

Hola Tomas, si la ACL es entrante la repuesta sera saliente por lo que no sera afectada por esta. Si deseas permitir la respuesta con otra ACL sera una extendida suyo origen es el FTP y el destino el Host.

Un saludo

8. Rocio - julio 4, 2007

Hola..Disculpa mi nombre es Rocio estudiante de Cisco y ya llevo como una semana sin entender las listas de acceso, lo que a mi me revuelve mucho es lo de la Mascara Wildcard, cuando ya le entiendo me confundo mas..
Mira yo pense que era de esta manera:
Clase A: 0.255.255.255
Clase B: 0.0.255.255
Clase C: 0.0.0.255

Que solo era cuestion de poner en 1s los ceros de la Mascara de Red dependiendo del tipo de clase..

Porque hay un ejemplo con subneteo que la verdad nadamas no le entiendo:
187.16.32.0/24 ————-> 0.0.0.255
Ahi es ese ejemplo se supone que es clase B y esta pidiendo los 8 bits del Tercer Octeto.

Esta es la Direccion de Red: 192.168.12.0/29
La direccion con su mascara queda asi con un numero de Host:
192.168.12.84 —————> 0.0.0.7

Su respuesta me ayudaria mucho…Gracias..

9. Ernesto Ariganello - julio 5, 2007

Hola Rocio, las wilcard son mucho mas que eso, no solo permiten definir redes o subredes sino que ademas rangos especificos haciendo posible resumir las configuraciones de las ACL al maximo.
En el ejemplo que me pones la 192.168.12.84/29 es decir 255.255.255.248 es un host de la 192.168.12.80/29. la mascara comodin para ver la subred debe ignorar el rango de host que en este caso ha quedado limitado a tres bits (mira el ultimo octeto: 00000111) por lo tanto la wilcard sera 0.0.0.7, la suma de los tres bits restantes en el rango de host suma 7.

Un saludo

10. margarita - abril 12, 2008

saludos y de antemano gracias por su respuesta..tengo unas dudas tremendas con respecto a acl..
1.-cuando coloco la sentencia «permit ip…host …host..»
y nada mas (se supone un deny any any) .. se permitira hacer ping de un host a otro (segun sea la direccion de la acl)??? o tengo que agregarle un asentencia para icmp??

lo k sucede es k a mi me han dicho k el protocolo ip ..implica todo..entonces eso implica que se podra acceder a ..icmp.http..telnet..??

otra de mis dudas es aceracde k servicios ofrece un router..me han dejado hacer una acl de modo que una pc no acceda a los servicios de ningun router..yo pense que seria igual k no acceder al router??’

gracias

11. Ernesto Ariganello - abril 13, 2008

Estimada Margarita, hacer un ping solo sera posible desde el mismo origen/destino segun los parametros de la ACL que tengas configurada. Ningun otro sera permitido. IP implica permisos en ICMP.
La ultima parte de tu consulta no la comprendo, imagino que se trata de denagar un PC por completo al router pero si que pueda tener acceso a el enrutamiento del mismo.

Un saludo

12. stefania - septiembre 18, 2008

hola tengo una duda.. si tengo la direccion 172.16.0.0 y tengo que
bloquear el servicio SMTP del rango 172.16.1.0 al 172.16.2.255 excepto 172.16.2.251

como configuro el access list para bloquear y a la vez, permitir el acceso a una de ellas …les agradeceria mucho su ayuda … gracias

13. Ernesto Ariganello - septiembre 18, 2008

Stefania, primero lo mas puntual y luego lo general, es decir permite la 172.16.2.251 y deniega el resto en el puerto SMTP.

Saludos

14. julius - diciembre 10, 2008

Hola amigo,muy interesante este blog.Me gustarí­a saber ,para crear una ACL extendida que solamente los host con ip impares de una determinada Lan puedan tener acceso a internet..gracias de antemano tu respuesta.
saludos.

15. fede - mayo 21, 2009

Que buen articulo sobre las ACL¡¡¡¡¡¡¡¡¡¡
queria consultarte una duda ernesto, «Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo permitirá todo el trafico.», no quieres decir denegará??
pero, este trafico no incluye al trafico originado por el router(enrutamiento), verdad??

Gracias y un saludo ernesto:D

16. ernesto - mayo 21, 2009

Fede, si, es denegar y no permitir. Ya esta corregido
Gracias




Hospedado en el Data Center de Tecnocratica