Las ACL son listas con reglas.
Cada regla define una condición que puede cumplir un paquete.
Cada regla define una acción(permit,deny) a ejecutar sobre el paquete
que cumpla su condición. Siempre hay una regla al final que desecha cualquier paquete.
Se identifican por un número:
Al llegar un paquete:
Una vez creada una ACL es necesario:
- Asignar y desasignar ACL a interfaces.
- Borrar y consultar ACl creadas.
no access-list X
show ip access-list
show ip interface <interfaz>
interface <interfaz>
ip access-group <numero ACL> <out o in>
interface <interfsaz>
no ip access-group <numero ACL> < in o out>
access-list access-list-number {permit|deny}
{host|source source-wildcard|any}
192.168.1.0 0.0.0.255
192.168.1.1
192.168.1.1 0.0.0.0
any
0.0.0.0 255.255.255.255
access-list 0 deny 192.168.1.0 0.0.0.255
Se desea que la red 10.0.0.0/15 no sea enrutada, excepto el equipo 10..1.1, que es del administrador.
Se leige un número libre de ACL (1, por ej.).
Se introducen en orden todas las reglas de la ACL
Se recomienda hacer explícita la regla final de denegación.
El resultado es:
- Permitir el host de admin (10.0.1.1)
access-list 1 permit host 10.0.1.1
- Prohibir la red 10.0.0.0/15
access-list deny 10.0.0.0 0.1.255.255
- Permitirel resto de redes
access-list 1 permit any
- Explicitar la regla final de denegación.
access-list 1 deny any
- Asociar esta ACL a la interfaz de entrada de la red 10.0.0.0/15
interface Fa0/0
ip access-group 1 in
Pueden hacer referencia a otras características del paquete:
Operador | Segnificado |
eq | = igual |
lt | < Menor |
ne | ≠ No igual |
gt | > Mayor |
Ejemplo: Prohibir el tráfico hacia la red 172.16.0.0/12
access-list 101 deny ip any 172.16.0.0 0.0.15.255
ccess-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} icmp source source-wildcard destination destination-wildcard [icmp-type [icmp-code] | [icmp-message]] [precedenceprecedence] [tos tos] [log | log-input] [time-range time-range-name][fragments]
Ejemplo: Permite ek protocolo TCP desde la red 192.16.3.0/24 con puerto de origen 21 hacia la red 172.16.1.0/24.
access-list 101 permit tcp 172.16.3.0 0.0.0.255 eq 21 172.16.1.0 0.0.0.255
access-list 102 permittcp any 10.0.0.0 0.0.0.255 established
access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name][fragments]
Para definir las ACL de un router es necesario: Determinar las interfaces del router. Pos cada interfaz: