Consideraciones importantes sobre listas de acceso
noviembre 6, 2019
Una lista de acceso puede ser aplicada a múltiples interfaces.
Sólo puede haber una lista de acceso por protocolo, por dirección y por interfaz.
Es posible tener varias listas para una interfaz, pero cada una debe pertenecer a un protocolo diferente.
Organice las listas de acceso de modo que las referencias más específicas a una red o subred aparezcan delante de las más generales.
Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales.
Las adiciones a las listas se agregan siempre al final de éstas, pero siempre delante de la condición de denegación implícita.
No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas, pero sí cuando se usan listas de acceso IP con nombre.
A menos que termine una lista de acceso con una condición de permiso implícito de todo, se denegará todo el tráfico que no cumpla ninguna de las condiciones establecidas en la lista al existir un deny implícito al final de cada lista.
Toda lista de acceso deben incluir al menos una instrucción permit. En caso contrario, todo el tráfico será denegado.
Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo denegará todo el trafico.
Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router. No pueden hacer de filtro para el tráfico originado por el propio router
El orden en el que aparecen las instrucciones en la lista de acceso es fundamental para un filtrado correcto. La practica recomendada consiste en crear las listas de acceso en un usando un editor de texto y descargarlas después en un router vía TFTP o copiando y pegando el texto. Las listas de acceso se procesan de arriba abajo. Si coloca las pruebas más específicas y las que se verificaran con más frecuencia al comienzo de la lista de acceso, se reducirá la carga de procesamiento. Solo las listas de acceso con nombre permiten la supresión, aunque no la alteración del orden de instrucciones individuales en la lista. Si desea reordenar las instrucciones de una lista de acceso, deber á eliminar la lista completa y volver a crearla en el orden apropiado o con las instrucciones correctas.
Las listas de acceso extendidas, deben colocarse normalmente lo más cerca posible del origen del tráfico que será denegado, mientras que las estándar lo mas cerca posible del destino.
- Publicado en : General
- Autor : Ernesto
Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»
Estimado Ernesto, exelente la informacion y muy clara, soy estudiante de CCNA 2 y me encuentro realizando mi estudio de caso que incluye el tema de ACL’s, mi duda es cuando yo deniego o permito telnet desde un origen con una acl extendida indicando eq 23 ¿ es lo mismo que denegar telnet con una lista estandar y luego aplicarla a las lineas vty ? desde ya muchas gracias!
Hola, una ACL denegando o permitiendo la entrada al puerto 23 ubicada en una interfaz significa que además del 23 se deben tomar en cuenta todos los destinos u orígenes y que esta ACL este presente en todas las interfaces físicas que tengan acceso al router, mientras que una ACL estándar en la línea de telnet (VTY) bastara para ese propósito.
Un saludo
hola me gustaria que me enviaras mas informacion sobre la ACL
Ernesto , justamente estamos tocando el tema que consulta ariel
Mi duda es que con el siguiente ejemplo
Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255
Router(config)#line vty 0 4
Router(config-line)#access-class 10 in
en esta lista se aplicara a todas las interfaces por las cuales se intentara telnet desde esa red
Hola, el ejemplo anterior es suficiente para impedir el acceso via telnet y solo permitir a la red 192.168.2.0, deberias utilizar la direccion de un host (192.168.2.X 0.0.0.0) para ser mas selectivo. el DENY implicito se encargara de no dejar pasar a nadie mas. Esta ACL solo se asociara a la interfaz VTY como pones en el ejemplo.
Un saludo, por cierto para Claudia que solicita mas info, recurran a la fuente http://www.cisco.com
saludos
tengo una duda, si yo hago una lista extendida
permit tcp 10.80.150.0.0 0.0.0.31 host 192.168.3.6 eq ftp
aplacada a una interfaz, con un «in»
Entiendo que permito el envio del paquete hacia la 192.168.3.6 eq ftp, pero no veo como permito el requeso del mismo por esa misma interfaz, gracias por tu ayuda.
Att
Tomas
Hola Tomas, si la ACL es entrante la repuesta sera saliente por lo que no sera afectada por esta. Si deseas permitir la respuesta con otra ACL sera una extendida suyo origen es el FTP y el destino el Host.
Un saludo
Hola..Disculpa mi nombre es Rocio estudiante de Cisco y ya llevo como una semana sin entender las listas de acceso, lo que a mi me revuelve mucho es lo de la Mascara Wildcard, cuando ya le entiendo me confundo mas..
Mira yo pense que era de esta manera:
Clase A: 0.255.255.255
Clase B: 0.0.255.255
Clase C: 0.0.0.255
Que solo era cuestion de poner en 1s los ceros de la Mascara de Red dependiendo del tipo de clase..
Porque hay un ejemplo con subneteo que la verdad nadamas no le entiendo:
187.16.32.0/24 ————-> 0.0.0.255
Ahi es ese ejemplo se supone que es clase B y esta pidiendo los 8 bits del Tercer Octeto.
Esta es la Direccion de Red: 192.168.12.0/29
La direccion con su mascara queda asi con un numero de Host:
192.168.12.84 —————> 0.0.0.7
Su respuesta me ayudaria mucho…Gracias..
Hola Rocio, las wilcard son mucho mas que eso, no solo permiten definir redes o subredes sino que ademas rangos especificos haciendo posible resumir las configuraciones de las ACL al maximo.
En el ejemplo que me pones la 192.168.12.84/29 es decir 255.255.255.248 es un host de la 192.168.12.80/29. la mascara comodin para ver la subred debe ignorar el rango de host que en este caso ha quedado limitado a tres bits (mira el ultimo octeto: 00000111) por lo tanto la wilcard sera 0.0.0.7, la suma de los tres bits restantes en el rango de host suma 7.
Un saludo
saludos y de antemano gracias por su respuesta..tengo unas dudas tremendas con respecto a acl..
1.-cuando coloco la sentencia «permit ip…host …host..»
y nada mas (se supone un deny any any) .. se permitira hacer ping de un host a otro (segun sea la direccion de la acl)??? o tengo que agregarle un asentencia para icmp??
lo k sucede es k a mi me han dicho k el protocolo ip ..implica todo..entonces eso implica que se podra acceder a ..icmp.http..telnet..??
otra de mis dudas es aceracde k servicios ofrece un router..me han dejado hacer una acl de modo que una pc no acceda a los servicios de ningun router..yo pense que seria igual k no acceder al router??’
gracias
Estimada Margarita, hacer un ping solo sera posible desde el mismo origen/destino segun los parametros de la ACL que tengas configurada. Ningun otro sera permitido. IP implica permisos en ICMP.
La ultima parte de tu consulta no la comprendo, imagino que se trata de denagar un PC por completo al router pero si que pueda tener acceso a el enrutamiento del mismo.
Un saludo
hola tengo una duda.. si tengo la direccion 172.16.0.0 y tengo que
bloquear el servicio SMTP del rango 172.16.1.0 al 172.16.2.255 excepto 172.16.2.251
como configuro el access list para bloquear y a la vez, permitir el acceso a una de ellas …les agradeceria mucho su ayuda … gracias
Stefania, primero lo mas puntual y luego lo general, es decir permite la 172.16.2.251 y deniega el resto en el puerto SMTP.
Saludos
Hola amigo,muy interesante este blog.Me gustaría saber ,para crear una ACL extendida que solamente los host con ip impares de una determinada Lan puedan tener acceso a internet..gracias de antemano tu respuesta.
saludos.
Que buen articulo sobre las ACL¡¡¡¡¡¡¡¡¡¡
queria consultarte una duda ernesto, «Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo permitirá todo el trafico.», no quieres decir denegará??
pero, este trafico no incluye al trafico originado por el router(enrutamiento), verdad??
Gracias y un saludo ernesto:D
Fede, si, es denegar y no permitir. Ya esta corregido
Gracias