Capítulo 7: Listas de control de acceso

Los routers no filtran tráfico de manera predeterminada. El tráfico que ingresa al router se enruta solamente en función de la información de la tabla de routing.

El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete. Un router que filtra paquetes utiliza reglas para determinar si permite o deniega el tráfico. Un router también puede realizar el filtrado de paquetes en la capa 4, la capa de transporte.

Una ACL es una lista secuencial de instrucciones permit o deny. La última instrucción de una ACL siempre es una instrucción deny implícita que bloquea todo el tráfico. Para evitar que la instrucción deny any implícita al final de la ACL bloquee todo el tráfico, es posible agregar la instrucción permit any.

Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del paquete con cada entrada, en orden secuencial, para determinar si el paquete coincide con una de las instrucciones. Si se encuentra una coincidencia, el paquete se procesa según corresponda.

Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente.

Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen únicamente. El destino del paquete y los puertos involucrados no se evalúan. La regla básica para la colocación de una ACL estándar es colocarla cerca del destino.

Las ACL extendidas filtran paquetes según varios atributos: el tipo de protocolo, la dirección IPv4 de origen o de destino y los puertos de origen o de destino. La regla básica para la colocación de una ACL extendida es colocarla lo más cerca posible del origen.

El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99. El nombre ip access-list standard se utiliza para crear una ACL con nombre estándar.

Después de que se configura una ACL, se vincula a una interfaz mediante el comando ip access-group del modo de configuración de interfaz. Recuerde estas reglas: una ACL por protocolo, una ACL por dirección, una ACL por interfaz.

Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la interfaz y, a continuación, introduzca el comando global no access-list para eliminar la ACL completa.

Los comandos show running-config y show access-lists se utilizan para verificar la configuración de la ACL. El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido en el que se aplicó.

El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada y las direcciones en una lista de acceso.