Capítulo 4: Listas de control de acceso

Los routers no filtran tráfico de manera predeterminada. El tráfico que ingresa al router se enruta solamente en función de la información de la tabla de routing.

El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete. Un router que filtra paquetes utiliza reglas para determinar si permite o deniega el tráfico. Un router también puede realizar el filtrado de paquetes en la capa 4, la capa de transporte.

Una ACL es una lista secuencial de instrucciones permit o deny. La última instrucción de una ACL siempre es una denegación implícita de cualquier instrucción que bloquee todo el tráfico. Para que la denegación implícita de cualquier instrucción al final de la ACL no bloquee todo el tráfico, se puede agregar la instrucción permit ip any any.

Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del paquete con cada entrada, en orden secuencial, para determinar si el paquete coincide con una de las instrucciones. Si se encuentra una coincidencia, el paquete se procesa según corresponda.

Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente.

Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen únicamente. El destino del paquete y los puertos involucrados no se evalúan. La regla básica para la colocación de una ACL estándar es colocarla cerca del destino.

Las ACL extendidas filtran paquetes según varios atributos: el tipo de protocolo, la dirección IPv4 de origen o de destino y los puertos de origen o de destino. La regla básica para la colocación de una ACL extendida es colocarla lo más cerca posible del origen.

El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99, o una ACL extendida con un número entre 100 y 199 y entre 2000 y 2699. Las listas ACL tanto estándar como extendidas pueden tener nombres en lugar de ser numeradas. El comando de nombre ip access-list standard se se utiliza para crear una ACL denominada estándar, mientras que el comando ip access-list extended se es para una lista de acceso extendida. Las ACE de IPv4 incluyen el uso de máscaras wildcard.

Una vez configurada la ACL, se la vincula a una interfaz con el comando ip access-group en modo de configuración de interfaz. Un dispositivo puede tener solo una ACL por protocolo, por dirección y por interfaz.

Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la interfaz; luego, introduzca el comando global no access-list para eliminar toda la ACL.

Los comandos show running-config y show access-lists sirven para verificar la configuración de ACL. El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido en el que se aplicó.

El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada y las direcciones en una lista de acceso.

Al igual que las ACL de IPv4 denominada, los nombres en IPv6 son alfanuméricos, distinguen mayúsculas de minúsculas y deben ser únicos. A diferencia de IPv4, no hay necesidad de una opción estándar o extendida.

En el modo de configuración global, se usa el comando ipv6 access-list se para crear una ACL IPv6. A diferencia de las ACL de IPv4, las ACL de IPv6 no utilizan máscaras wildcard. En cambio, se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe coincidir.

Una vez configurada la ACL IPv6, se la vincula a una interfaz con el comando ipv6 traffic-filter.