Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Creación de una Lista de Acceso IP y su Aplicación a una Interfaz
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 263 KB | Inglés (5 Mayo 2008) | Comentarios

Contenidos

Creación de una Lista de Acceso IP y su Aplicación a una Interfaz

Encontrar la información de la característica

Contenido

Prerrequisitos de Creación de una Lista de Acceso IP y Aplicación de la Lista a una Interfaz

Información sobre la Creación de una Lista de Acceso IP y la Aplicación de la Lista a una Interfaz

Sugerencias Útiles para Crear Listas de Acceso IP

Observaciones de la Lista de Acceso

Funciones Adicionales de la Lista de Acceso IP

Cómo Crear una Lista de Acceso IP y Aplicársela a una Interfaz

Creación de una Lista de Acceso Estándar para Filtrar por Dirección de Origen

Creación de una Lista de Acceso Denominada para Filtrar en la Dirección de Origen

Pasos Siguientes

Creación de una Lista de Acceso Numerada para Filtrar en la Dirección de Origen

Pasos Siguientes

Creación de una Lista de Acceso Ampliada

Creación de una Lista de Acceso Ampliada Designada

Pasos Siguientes

Creación de una Lista de Acceso Ampliada Numerada

Aplicación de la Lista de Acceso a una Interfaz

Pasos Siguientes

Ejemplos de configuración para crear una lista de IP Access y aplicarla a una interfaz

Ejemplo: Filtración en la dirección de origen (hosts)

Ejemplo: Filtración en la dirección de origen (subred)

Ejemplo: Filtrando en la dirección de origen, la dirección destino, y los protocolos IP

Ejemplo: Filtración en la dirección de origen (host y subredes) usando una lista de acceso numerada

Ejemplo: Prevención del acceso de Telnet a una subred

Ejemplo: Filtración en el TCP y el ICMP usando los números del puerto

Ejemplo: Permitir S TP (email) y las conexiones TCP establecidas

Ejemplo: Prevención del acceso a la red filtrando en el nombre del puerto

Ejemplo: Filtración en la dirección de origen y registración de los paquetes permitidos y negados

Ejemplo: Limitación de la salida de los debugs

Adonde ir después

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para crear una lista de IP Access y aplicarla a una interfaz


Creación de una Lista de Acceso IP y su Aplicación a una Interfaz


Primera publicación: De agosto el 18 de 2006
Última actualización: De agosto el 18 de 2006

Las listas de IP Access proporcionan muchas ventajas para asegurar una red y alcanzar las metas del nonsecurity, tales como determinar los factores del Calidad de Servicio (QoS) o limitación debug de la salida de comando. Este módulo describe cómo crear las listas de IP Access estándar, extendidas, Nombradas, y numeradas. Una lista de acceso se puede referir por un nombre o un número. Las listas de acceso estándar filtran en solamente la dirección de origen en los paquetes IP. Las listas de acceso ampliadas pueden filtrar en la dirección de origen, la dirección destino, y otros campos en un paquete del IP.

Después de que usted cree una lista de acceso, usted debe aplicarla algo para que tenga cualquier efecto. Este módulo describe cómo aplicar una lista de acceso a una interfaz. Sin embargo, hay muchas otras aplicaciones para una lista de acceso, que se refieren a este módulo y se describen en otros módulos y en otras guías de configuración para las diversas Tecnologías.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para crear una lista de IP Access y aplicarla la sección a una interfaz”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos de Creación de una Lista de Acceso IP y Aplicación de la Lista a una Interfaz

Información sobre la Creación de una Lista de Acceso IP y la Aplicación de la Lista a una Interfaz

Cómo Crear una Lista de Acceso IP y Aplicársela a una Interfaz

Ejemplos de configuración para crear una lista de IP Access y aplicarla a una interfaz

Referencias adicionales

Información de la característica para crear una lista de IP Access y aplicarla a una interfaz

Prerrequisitos de Creación de una Lista de Acceso IP y Aplicación de la Lista a una Interfaz

Antes de que usted cree o aplique una lista de IP Access, usted debe entender los conceptos en “el módulo de la descripción de la lista de IP Access”. Usted debe también tener IP que se ejecuta en su red.

Información sobre la Creación de una Lista de Acceso IP y la Aplicación de la Lista a una Interfaz

Sugerencias Útiles para Crear Listas de Acceso IP

Observaciones de la Lista de Acceso

Funciones Adicionales de la Lista de Acceso IP

Sugerencias Útiles para Crear Listas de Acceso IP

Las extremidades siguientes le ayudarán a evitar las consecuencias involuntarias y a ayudarle a crear las Listas de acceso más eficientes.

Cree la lista de acceso antes de aplicarla a una interfaz (o a otra parte), porque si usted aplica una lista de acceso inexistente a una interfaz y después procede a configurar la lista de acceso, se ejecuta la primera declaración, y la declaración deny implícita que sigue podría causarle los problemas del acceso inmediato.

Otra razón para configurar una lista de acceso antes de aplicarla es porque una interfaz con una lista de acceso vacía aplicada permite todo el tráfico.

Todas las Listas de acceso necesitan por lo menos una permit declaración; en caso contrario, se deniegan todos los paquetes y no pasa ningún tráfico.

Porque el software para las condiciones de prueba después de que encuentre la primera coincidencia (a permit o deny a la declaración), usted reducirá el tiempo de procesamiento y los recursos si usted pone las declaraciones que los paquetes son más probable de hacer juego al principio de la lista de acceso. Hay que colocar las condiciones que ocurren con más frecuencia antes que las que ocurren con menos frecuencia.

Organice la lista de acceso de modo que las referencias más específicas de una red o subred aparezcan antes que las más generales.

Utilice la declaración permit any any si usted quiere permitir el resto de los paquetes negados no ya. Usando la declaración permit any any en efecto evita negar el resto de los paquetes con el enunciado de negación implícito en el extremo de una lista de acceso. No haga su primera entrada de lista de acceso permit any any porque todo el tráfico conseguirá a través; ningún paquete alcanzará la prueba subsiguiente. De hecho, una vez que usted especifica permit any any, todo el tráfico negado no ya conseguirá a través.

Aunque todas las Listas de acceso terminen con una declaración deny implícita, recomendamos el uso de una declaración deny explícita (por ejemplo, deny ip any any). En la mayoría de las Plataformas, usted puede visualizar la cuenta de los paquetes negados publicando show access-list el comando, así descubriendo más información sobre quién está rechazando su lista de acceso. Solamente los paquetes negados por las declaraciones deny explícitas se cuentan, que es porqué la declaración deny explícita rendirá a más los datos completos para usted.

Mientras que crea una lista de acceso o después de crearla, puede ser que desee eliminar una entrada.

- No puede eliminar una entrada de una lista de acceso numerada; el intento de hacerlo eliminará la lista de acceso entera. Si desea eliminar una entrada, debe eliminar la lista de acceso entera y comenzar de nuevo.

– Puede eliminar una entrada de una lista de acceso guardada. Utilice no permit u no deny ordene para borrar la entrada apropiada.

Para hacer el propósito de las sentencias individuales más scannable y facilmente comprensible de un vistazo, usted puede escribir una observación útil antes o después de cualquier declaración usando remark el comando.

Si usted quiere negar el acceso a un host determinado o a una red y descubrir si alguien de esa red o host está intentando acceder, incluya log la palabra clave con la declaración deny correspondiente para registrar los paquetes negados de esa fuente para usted.

Esta sugerencia se aplica al emplazamiento de la lista de acceso. Cuando intente ahorrar recursos, recuerde que una lista de acceso de entrada aplica las condiciones del filtro antes de la búsqueda en la tabla de ruteo. Una lista de acceso de salida aplica las condiciones de filtro después de la búsqueda en la tabla de ruteo.

Observaciones de la Lista de Acceso

Usted puede incluir los comentarios (observaciones) sobre las entradas en una lista de IP Access Nombrada. Una observación de la lista de acceso es un comentario opcional antes o después de que una entrada de lista de acceso que describe la entrada para usted de un vistazo, así que usted no tienen que interpretar el propósito de la entrada por su sintaxis de los comandos. Cada observación se limita a 100 caracteres.

La observación puede ir antes o después de a permit o deny de la declaración. Usted debe ser constante sobre donde usted pone sus observaciones de modo que esté claro que la observación describe que declaración. Podría ser confusa tener algunas observaciones antes del asociado permit o deny las declaraciones y algunas observaciones después de las declaraciones asociadas.

El siguiente ejemplo de una observación es una descripción convivial de lo que lo hace deny la declaración subsiguiente.

ip access-list extended telnetting
 remark Do not allow host1 subnet to telnet out
 deny tcp host 172.69.2.88 any eq telnet

Funciones Adicionales de la Lista de Acceso IP

Además de los pasos básicos para crear una lista de acceso estándar o ampliada, puede mejorar las listas de acceso tal como se indica a continuación. Cada uno de estos métodos se describe totalmente en el módulo titulado "Refinado de una Lista de Acceso".

Usted puede imponer las fechas y hora cuando permit o deny las declaraciones en una lista de acceso ampliada están en efecto, haciendo su lista de acceso más granular y específica a un período de tiempo absoluto o periódico.

Después de que usted cree un Nombrado o una lista de acceso numerada, usted puede ser que quiera agregar las entradas o cambiar la pedido de las entradas, conocida como resequencing una lista de acceso.

Puede obtener una granularidad más fina al filtrar paquetes mediante el filtrado de fragmentos no iniciales de los paquetes.

Cómo Crear una Lista de Acceso IP y Aplicársela a una Interfaz

Esta sección describe las maneras generales de crear un estándar o una lista de acceso ampliada usando un nombre o un número. Las Listas de acceso son muy flexibles; las tareas ilustran simplemente un permit comando y un deny comando de proporcionarle la sintaxis de los comandos de cada uno. Solamente usted puede determinar cuántos permit y deny ordena le para necesitar y su orden.


Observelas primeras dos tareas en este módulo crean una lista de acceso; usted debe aplicar la lista de acceso para que funcione. Si usted quiere aplicar la lista de acceso a una interfaz, realice la tarea “que aplica la lista de acceso sección a una interfaz”.

Si usted no se prepone aplicar la lista de acceso a una interfaz, vea “adonde ir después” sección para los punteros a los módulos que describen otras maneras de aplicar las Listas de acceso.


Creación de una Lista de Acceso Estándar para Filtrar por Dirección de Origen

Creación de una Lista de Acceso Ampliada

Aplicación de la Lista de Acceso a una Interfaz

Creación de una Lista de Acceso Estándar para Filtrar por Dirección de Origen

Si usted quiere filtrar en la dirección de origen solamente, una lista de acceso estándar es simple y suficiente. Hay dos tipos alternativos de lista de acceso estándar: nombrado y numerado. Las listas de acceso denominadas permiten que usted identifique sus Listas de acceso con un nombre más intuitivo bastante que un número, y también soportan más características que las listas de acceso numeradas.

Creación de una Lista de Acceso Denominada para Filtrar en la Dirección de Origen

Creación de una Lista de Acceso Numerada para Filtrar en la Dirección de Origen

Creación de una Lista de Acceso Denominada para Filtrar en la Dirección de Origen

Utilice un estándar, lista de acceso denominada si usted necesita filtrar en la dirección de origen solamente. Esta tarea ilustra una permit declaración y una deny declaración, pero las declaraciones reales que usted utiliza y su orden depende de lo que usted quiere filtrar o admitir. Defina su permit y deny las declaraciones en la orden que alcanza sus metas de filtración.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip access-list standard name

4. remark remark

5.deny {source []source-wildcard | any} []log

6. remark remark

7.permit {source []source-wildcard | any} []log

8.Relance una cierta combinación de los pasos 4 a 7 hasta que usted haya especificado las redes de origen y los hosts en los cuales usted quiere basar su lista de acceso.

9. end

10. show ip access-list

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip access-list standard name

Example:

Router(config)# ip access-list standard R&D

Define una lista de IP Access estándar usando un nombre y ingresa al modo de configuración estándar de la lista de acceso denominada.

Paso 4 

remark remark

Example:

Router(config-std-nacl)# remark deny Sales network

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una afirmación puede preceder a una entrada de la lista de acceso o seguirla.

En este ejemplo, la observación recuerda al administrador de la red que la entrada subsiguiente niega el acceso a la red de las ventas a la interfaz (si se asume que esta lista de acceso se aplica más adelante a una interfaz).

Paso 5 

deny {source [source-wildcard] | any} [log]

Example:

Router(config-std-nacl)# deny 172.16.0.0 0.0.255.255 log

(Opcional) niega la fuente especificada basada en una dirección de origen y una máscara comodín.

Si source-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen.

Utilice opcionalmente la palabra clave any como substituto para source source-wildcard especificar la fuente y al comodín de la fuente de 0.0.0.0 255.255.255.255.

En este ejemplo, todos los hosts en la red 172.16.0.0 se niegan que pasan la lista de acceso.

Porque este ejemplo niega explícitamente a una dirección de origen y log se especifica la palabra clave, cualquier paquete de esa fuente se registra cuando él se niega. Esto es una manera de ser notificado que alguien en una red o un host está intentando acceder.

Paso 6 

remark remark

Example:

Router(config-std-nacl)# remark Give access to Tester's host

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una afirmación puede preceder a una entrada de la lista de acceso o seguirla.

Esta observación recuerda al administrador de la red que la entrada subsiguiente permite el acceso del host del probador a la interfaz.

Paso 7 

permit {source [source-wildcard] | any} [log]

Example:

Router(config-std-nacl)# permit 172.18.5.22 0.0.0.0

Permite el origen especificado basado en una dirección de origen y una máscara comodín.

Cada lista de acceso necesita por lo menos una permit declaración; no necesita ser la primera entrada.

Si source-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen.

Utilice opcionalmente la palabra clave any como substituto para source source-wildcard especificar la fuente y al comodín de la fuente de 0.0.0.0 255.255.255.255.

En este ejemplo, el host 172.18.5.22 se permite pasar la lista de acceso.

Paso 8 

Relance una cierta combinación de los pasos 4 a 7 hasta que usted haya especificado las fuentes en las cuales usted quiere basar su lista de acceso.

Recuerde que todas las fuentes permitidas no específicamente son negadas por una declaración deny implícita en el extremo de la lista de acceso.

Paso 9 

end

Example:

Router(config-std-nacl)# end

Finaliza el modo de configuración y devuelve el sistema al modo EXEC privilegiado.

Paso 10 

show ip access-list

Example:

Router# show ip access-list

(Opcional) Muestra el contenido de todas las listas de acceso IP actuales.

Pasos Siguientes

La lista de acceso que ha creado no entra en vigor hasta que se aplica a un interfaz o una línea vty, o bien hasta que se hace referencia a ella en un comando que utilice una lista de acceso. Vea las secciones "Aplicación de la Lista de Acceso a una Interfaz" o "Información Adicional" para consultar módulos que describen otras formas de uso de las listas de acceso.

Creación de una Lista de Acceso Numerada para Filtrar en la Dirección de Origen

Configure un estándar, lista de acceso numerada si usted necesita filtrar en la dirección de origen solamente y usted prefiere no utilizar una lista de acceso denominada.

Las listas de acceso estándar IP se numeran 1 a 99 o 1300 a 1999. Esta tarea ilustra una permit declaración y una deny declaración, pero las declaraciones reales que usted utiliza y su orden depende de lo que usted quiere filtrar o admitir. Defina su permit y deny las declaraciones en la orden que alcanza sus metas de filtración.

PASOS SUMARIOS

1. enable

2. configure terminal

3. access-list access-list-number remark remark

4.access-list access-list-number permiso {source []source-wildcard | any} []log

5. access-list access-list-number remark remark

6.access-list access-list-number niegue {source []source-wildcard | any} []log

7.Relance una cierta combinación de los pasos 3 a 6 hasta que usted haya especificado las fuentes en las cuales usted quiere basar su lista de acceso.

8. end

9. show ip access-list

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

access-list access-list-number remark remark

Example:

Router(config)# access-list 1 remark Give access to Jones

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una observación de hasta 100 caracteres puede preceder o seguir a una entrada de la lista de acceso.

Paso 4 

access-list access-list-number permit {source [source-wildcard] | any} [log]

Example:

Router(config)# access-list 1 permit 172.16.5.22 0.0.0.0

Permite el origen especificado basado en una dirección de origen y una máscara comodín.

Cada lista de acceso necesita por lo menos una sentencia permit; no necesita ser la primera entrada.

Las listas de acceso IP estándar se numeran del 1 al 99 o del 1300 al 1999.

Si se omite source-wildcard, se supone una máscara comodín de 0.0.0.0, lo que implica la coincidencia con todos los bits de la dirección de origen.

Puede utilizar la palabra clave any como sustituto de source source-wildcard para especificar el origen y carácter comodín de origen 0.0.0.0 255.255.255.255.

En este ejemplo, el host 172.16.5.22 puede pasar la lista de acceso.

Paso 5 

access-list access-list-number remark remark

Example:

Router(config)# access-list 1 remark Don't give access to Johnson and log any attempts

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una observación de hasta 100 caracteres puede preceder o seguir a una entrada de la lista de acceso.

Paso 6 

access-list access-list-number deny {source [source-wildcard] | any} [log]

Example:

Router(config)# access-list 1 deny 172.16.7.34 0.0.0.0

Niega el origen especificado basado en una dirección de origen y una máscara comodín.

Si source-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen.

Utilice opcionalmente la abreviatura any como substituto para source source-wildcard especificar la fuente y al comodín de la fuente de 0.0.0.0 255.255.255.255.

En este ejemplo, se le deniega el paso del host 172.16.7.34 a la lista de acceso.

Paso 7 

Repita los pasos 3 a 6 hasta que haya especificado los orígenes en los cuales desea basar su lista de acceso.

Recuerde que todas las fuentes permitidas no específicamente son negadas por una declaración deny implícita en el extremo de la lista de acceso.

Paso 8 

end

Example:

Router(config-std-nacl)# end

Finaliza el modo de configuración y devuelve el sistema al modo EXEC privilegiado.

Paso 9 

show ip access-list

Example:

Router# show ip access-list

(Opcional) Muestra el contenido de todas las listas de acceso IP actuales.

Pasos Siguientes

La lista de acceso que ha creado no entra en vigor hasta que se aplica a un interfaz o una línea vty, o bien hasta que se hace referencia a ella en un comando que utilice una lista de acceso. Vea las secciones "Aplicación de la Lista de Acceso a una Interfaz" o "Información Adicional" para consultar módulos que describen otras formas de uso de las listas de acceso.

Creación de una Lista de Acceso Ampliada

Si usted quiere filtrar en cualquier cosa con excepción de la dirección de origen, usted necesita crear una lista de acceso ampliada. Hay dos tipos alternativos de lista de acceso ampliada: nombrado y numerado. Las listas de acceso denominadas permiten que usted identifique sus Listas de acceso con un nombre más intuitivo bastante que un número, y también soportan más características.

Para los detalles en cómo filtrar algo con excepción de la dirección de origen o de destino, vea las descripciones de la sintaxis en la documentación de la referencia de comandos.

Creación de una Lista de Acceso Ampliada Designada

Creación de una Lista de Acceso Ampliada Numerada

Creación de una Lista de Acceso Ampliada Designada

Cree una lista de acceso ampliada Nombrada si usted quiere filtrar en las direcciones de origen y de destino, o una combinación de direccionamientos y de otros campos IP.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip access-list extended name

4. remark remark

5.deny protocol source []source-wildcard destination del []destination-wildcarddel []option option-namedel []precedence precedencedel []tos tosdel []established[log | log-input] []time-range time-range-namedel []fragments

6. remark remark

7.permit protocol source []source-wildcard destination del []destination-wildcarddel []del []option option-namedel []precedence precedencedel []tos tos]established [log | log-input] []time-range time-range-namedel []fragments

8.Relance una cierta combinación de los pasos 4 a 7 hasta que usted haya especificado los campos y los valores en los cuales usted quiere basar su lista de acceso.

9. end

10. show ip access-list

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip access-list extended name

Example:

Router(config)# ip access-list extended nomarketing

Define una lista de acceso IP ampliada con un nombre e ingresa al modo de configuración de lista de acceso con nombre ampliada.

Paso 4 

remark remark

Example:

Router(config-ext-nacl)# remark protect server by denying access from the Marketing network

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una afirmación puede preceder a una entrada de la lista de acceso o seguirla.

En este ejemplo, la observación recuerda al administrador de la red que la entrada subsiguiente niega el acceso a la red de las ventas a la interfaz.

Paso 5 

deny protocol source [source-wildcard] destination [destination-wildcard] [option option-name] [precedence precedence] [tos tos] [established] [log | log-input] [time-range time-range-name] [fragments]

Example:

Router(config-ext-nacl)# deny ip 172.18.0.0 0.0.255.255 host 172.16.40.10 log

(Opcional) Niega cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Si source-wildcard o destination-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen o de destino, respectivamente.

Utilice opcionalmente la palabra clave any como substituto para source source-wildcard o destination destination-wildcard especificar el direccionamiento y al comodín de 0.0.0.0 255.255.255.255.

Utilice opcionalmente la palabra clave host source para indicar una fuente y a un comodín de la fuente source de 0.0.0.0 o de la abreviatura host destination para indicar un destino y a un comodín del destino destination de 0.0.0.0.

En este ejemplo, los paquetes de la red de origen 172.18.0.0 se niegan el acceso para recibir 172.16.40.10. Los mensajes de registración sobre los paquetes permitidos o negados por la lista de acceso se envían al recurso configurado por logging facility el comando (por ejemplo, consola, terminal, o Syslog). Es decir, cualquier paquete que haga juego la lista de acceso hará un mensaje de registración informativo sobre el paquete ser enviado al recurso configurado. El nivel de mensajes registrados a la consola es controlado por logging console el comando.

Paso 6 

remark remark

Example:

Router(config-ext-nacl)# remark allow TCP from any source to any destination

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una afirmación puede preceder a una entrada de la lista de acceso o seguirla.

Paso 7 

permit protocol source [source-wildcard] destination [destination-wildcard] [option option-name] [precedence precedence] [tos tos] [established] [log | log-input] [time-range time-range-name] [fragments]

Example:

Router(config-ext-nacl)# permit tcp any any

Permite cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Cada lista de acceso necesita por lo menos una declaración del permiso.

Si source-wildcard o destination-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen o de destino, respectivamente.

Utilice opcionalmente la palabra clave any como substituto para source source-wildcard o destination destination-wildcard especificar el direccionamiento y al comodín de 0.0.0.0 255.255.255.255.

En este ejemplo, los paquetes TCP se permiten de cualquier fuente a cualquier destino.

Utilice log-input la palabra clave para incluir la interfaz de entrada, el MAC Address de origen, o el circuito virtual en la salida de registro.

Paso 8 

Relance una cierta combinación de los pasos 4 a 7 hasta que usted haya especificado los campos y los valores en los cuales usted quiere basar su lista de acceso.

Recuerde que todas las fuentes permitidas no específicamente son negadas por una declaración deny implícita en el extremo de la lista de acceso.

Paso 9 

end

Example:

Router(config-ext-nacl)# end

Finaliza el modo de configuración y devuelve el sistema al modo EXEC privilegiado.

Paso 10 

show ip access-list

Example:

Router# show ip access-list

(Opcional) Muestra el contenido de todas las listas de acceso IP actuales.

Pasos Siguientes

La lista de acceso que ha creado no entra en vigor hasta que se aplica a un interfaz o una línea vty, o bien hasta que se hace referencia a ella en un comando que utilice una lista de acceso. Vea las secciones "Aplicación de la Lista de Acceso a una Interfaz" o "Información Adicional" para consultar módulos que describen otras formas de uso de las listas de acceso.

Creación de una Lista de Acceso Ampliada Numerada

Cree una lista de acceso ampliada numerada si usted quiere filtrar en las direcciones de origen y de destino, o una combinación de direccionamientos y de otros campos IP, y usted prefiere no utilizar un nombre. Las listas de acceso IP ampliadas se numeran del 100 al 199 o del 2000 al 2699.

PASOS SUMARIOS

1. enable

2. configure terminal

3. access-list access-list-number remark remark

4.access-list access-list-number permit protocol {source []source-wildcard | any} {destination []destination-wildcard | any} []precedence precedencedel []tos tosdel []established[log | log-input] []time-range time-range-namedel []fragments

5. access-list access-list-number remark remark

6.access-list access-list-number deny protocol {source []source-wildcard | any} {destination []destination-wildcard | any} []precedence precedencedel []tos tosdel []established[log | log-input] []time-range time-range-namedel []fragments

7.Relance una cierta combinación de los pasos 3 a 6 hasta que usted haya especificado los campos y los valores en los cuales usted quiere basar su lista de acceso.

8. end

9. show ip access-list

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

access-list access-list-number remark remark

Example:

Router(config)# access-list 107 remark allow Telnet packets from any source to network 172.69.0.0 (headquarters)

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una observación de hasta 100 caracteres puede preceder o seguir a una entrada de la lista de acceso.

Paso 4 

access-list access-list-number permit protocol {source [source-wildcard] | any} {destination [destination-wildcard] | any} [precedence precedence] [tos tos] [established] [log | log-input] [time-range time-range-name] [fragments]

Example:

Router(config)# access-list 107 permit tcp any 172.69.0.0 0.0.255.255 eq telnet

Permite cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Cada lista de acceso necesita por lo menos una permit declaración; no necesita ser la primera entrada.

Las listas de acceso IP ampliadas se numeran del 100 al 199 o del 2000 al 2699.

Si source-wildcard o destination-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen o de destino, respectivamente.

Utilice opcionalmente la palabra clave any como substituto para source source-wildcard o destination destination-wildcard especificar el direccionamiento y al comodín de 0.0.0.0 255.255.255.255.

El TCP y otros protocolos tienen sintaxis adicional disponible. Vea access-list el comando en la referencia de comandos para el sintaxis completo.

Paso 5 

access-list access-list-number remark remark

Example:

Router(config)# access-list 107 remark deny all other TCP packets

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una observación de hasta 100 caracteres puede preceder o seguir a una entrada de la lista de acceso.

Paso 6 

access-list access-list-number deny protocol {source [source-wildcard] | any} {destination [destination-wildcard] | any} [precedence precedence] [tos tos] [established] [log | log-input] [time-range time-range-name] [fragments]

Example:

Router(config)# access-list 107 deny tcp any any

Niega cualquier paquete que haga juego todas las condiciones especificadas en la declaración.

Si source-wildcard o destination-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen o de destino, respectivamente.

Utilice opcionalmente la palabra clave any como substituto para source source-wildcard o destination destination-wildcard especificar el direccionamiento y al comodín de 0.0.0.0 255.255.255.255.

Paso 7 

Relance una cierta combinación de los pasos 3 a 6 hasta que usted haya especificado los campos y los valores en los cuales usted quiere basar su lista de acceso.

Recuerde que todas las fuentes permitidas no específicamente son negadas por una declaración deny implícita en el extremo de la lista de acceso.

Paso 8 

end

Example:

Router(config)# end

Finaliza el modo de configuración y devuelve el sistema al modo EXEC privilegiado.

Paso 9 

show ip access-list

Example:

Router# show ip access-list

(Opcional) Muestra el contenido de todas las listas de acceso IP actuales.

Aplicación de la Lista de Acceso a una Interfaz

Realice esta tarea de aplicar una lista de acceso a una interfaz.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4.ip access-group {access-list-number | access-list-name} {in | out}

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# interface ethernet 0

Especifica una interfaz e ingresa en el modo de configuración de la interfaz.

Paso 4 

ip access-group {access-list-number | access-list-name} {in | out}

Example:

Router(config-if)# ip access-group noncorp in

Aplica la lista de acceso especificada a las interfaces entrantes o salientes.

Cuando usted está filtrando en las direcciones de origen, usted aplica típicamente la lista de acceso a una interfaz entrante.

La filtración en las direcciones de origen es la más eficiente cuando está aplicada cerca del destino.

Pasos Siguientes

La lista de acceso que ha creado no entra en vigor hasta que se aplica a un interfaz o una línea vty, o bien hasta que se hace referencia a ella en un comando que utilice una lista de acceso. Vea las secciones "Aplicación de la Lista de Acceso a una Interfaz" o "Información Adicional" para consultar módulos que describen otras formas de uso de las listas de acceso.

Ejemplos de configuración para crear una lista de IP Access y aplicarla a una interfaz

Ejemplo: Filtración en la dirección de origen (hosts)

Ejemplo: Filtración en la dirección de origen (subred)

Ejemplo: Filtrando en la dirección de origen, la dirección destino, y los protocolos IP

Ejemplo: Filtración en la dirección de origen (host y subredes) usando una lista de acceso numerada

Ejemplo: Prevención del acceso de Telnet a una subred

Ejemplo: Filtración en el TCP y el ICMP usando los números del puerto

Ejemplo: Permitir S TP (email) y las conexiones TCP establecidas

Ejemplo: Prevención del acceso a la red filtrando en el nombre del puerto

Ejemplo: Filtración en la dirección de origen y registración de los paquetes permitidos y negados

Ejemplo: Limitación de la salida de los debugs

Ejemplo: Filtración en la dirección de origen (hosts)

En el siguiente ejemplo, el puesto de trabajo que pertenece a Jones no se prohibe el acceso a la interfaz de Ethernet 0 y el puesto de trabajo que pertenece a Smith se prohibe el acceso:

interface ethernet 0
 ip access-group workstations in
!
ip access-list standard workstations
 remark Permit only Jones workstation through
 permit 172.16.2.88
 remark Do not allow Smith workstation through
 deny 172.16.3.13

Ejemplo: Filtración en la dirección de origen (subred)

En el siguiente ejemplo, la subred de Jones se prohibe el acceso a la interfaz de Ethernet 0, pero la subred principal no se prohibe el acceso:

interface ethernet 0
 ip access-group prevention in
!
ip access-list standard prevention
 remark Do not allow Jones subnet through
 deny 172.22.0.0 0.0.255.255
 remark Allow Main subnet
 permit 172.25.0.0 0.0.255.255

Ejemplo: Filtrando en la dirección de origen, la dirección destino, y los protocolos IP

El ejemplo de configuración siguiente muestra una interfaz con dos Listas de acceso, una aplicada a los paquetes de salida y una aplicada a los paquetes entrantes. La lista de acceso estándar nombró los paquetes de salida de los filtros de Internet_filter en la dirección de origen. Los únicos paquetes permitieron hacia fuera la interfaz deben ser de fuente 172.16.3.4.

El marketing_group Nombrado de la lista de acceso ampliada filtra los paquetes entrantes. La lista de acceso permite los paquetes Telnet de cualquier fuente a la red 172.26.0.0 y niega el resto de los paquetes TCP. Permite cualquier paquetes icmp. Niega los paquetes UDP de cualquier fuente a la red 172.26.0 0 en los números del puerto menos de 1024. Finalmente, la lista de acceso niega el resto de los paquetes IP y realiza el registro de los paquetes pasajeros o negados por esa entrada.

interface Ethernet0/5
 ip address 172.20.5.1 255.255.255.0
 ip access-group Internet_filter out
 ip access-group marketing_group in
!
ip access-list standard Internet_filter
 permit 172.16.3.4
ip access-list extended marketing_group
 permit tcp any 172.26.0.0 0.0.255.255 eq telnet
 deny tcp any any
 permit icmp any any
 deny udp any 172.26.0.0 0.0.255.255 lt 1024
 deny ip any any 

Ejemplo: Filtración en la dirección de origen (host y subredes) usando una lista de acceso numerada

En el siguiente ejemplo, la red 10.0.0.0 es una red de la clase A cuyo segundo octeto especifica una subred; es decir, su máscara de subred es 255.255.0.0. El tercero y los cuartos octetos de un direccionamiento de 10.0.0.0 de la red especifican un host determinado. Usando la lista de acceso 2, el Cisco IOS Software validaría un direccionamiento en la subred 48 y rechazaría todos los demás en esa subred. La línea más reciente de la lista muestra que el software validaría los direccionamientos en las subredes de 10.0.0.0 de la cualquier otra red.

interface ethernet 0
 ip access-group 2 in
!
access-list 2 permit 10.48.0.3
access-list 2 deny 10.48.0.0  0.0.255.255 
access-list 2 permit 10.0.0.0  0.255.255.255 

Ejemplo: Prevención del acceso de Telnet a una subred

En el siguiente ejemplo, la subred de Jones no se permite a la interfaz de Ethernet 0 de Telnet hacia fuera:

interface ethernet 0
 ip access-group telnetting out
!
ip access-list extended telnetting
 remark Do not allow Jones subnet to telnet out
 deny tcp 172.20.0.0 0.0.255.255 any eq telnet
 remark Allow Top subnet to telnet out
 permit tcp 172.33.0.0 0.0.255.255 any eq telnet

Ejemplo: Filtración en el TCP y el ICMP usando los números del puerto

En el siguiente ejemplo, la primera línea de la lista de acceso ampliada nombrada los goodports permite cualquier conexión TCP entrante con los puertos destino mayores de 1023. La segunda línea permite las conexiones TCP entrantes al puerto del Simple Mail Transfer Protocol (SMTP) de host 172.28.1.2. La línea más reciente permite los mensajes ICMP entrantes para el feedback del error.

interface ethernet 0
 ip access-group goodports in
!
ip access-list extended goodports
 permit tcp any 172.28.0.0 0.0.255.255 gt 1023
 permit tcp any host 172.28.1.2 eq 25
 permit icmp any 172.28.0.0 255.255.255.255

Ejemplo: Permitir S TP (email) y las conexiones TCP establecidas

Suponga usted tiene una red conectada con Internet, y usted quisiera que cualquier host en un Ethernet pudiera formar las conexiones TCP a cualquier host en Internet. Sin embargo, usted no quisiera que los hosts IP pudieran formar las conexiones TCP a los hosts en los Ethernetes a menos que al puerto del correo (S TP) de un host de correo dedicado.

El S TP utiliza el puerto TCP 25 en un extremo de la conexión y un número del puerto al azar en el otro extremo. Los mismos números cuadripolos se utilizan en la vida de la conexión. Los paquetes del correo que vienen adentro de Internet tendrán un puerto destino de 25. Los paquetes salientes tendrán los números del puerto invertidos. El hecho de que el sistema seguro detrás del router valide siempre las conexiones del correo en el puerto 25 es qué hace el control separado posible de los servicios entrantes y salientes. La lista de acceso se puede configurar en el saliente o la interfaz de entrada.

En el siguiente ejemplo, la red Ethernet es una Red clase B con el direccionamiento 172.18.0.0, y el direccionamiento del host de correo es 172.18.1.2. established La palabra clave se utiliza solamente para que el protocolo TCP indique una conexión establecida. Una coincidencia ocurre si el datagrama TCP tiene los bits ACK o RST fijados, que indican que el paquete pertenece a una conexión existente.

interface ethernet 0
 ip access-group 102 in
!
access-list 102 permit tcp any 172.18.0.0 0.0.255.255 established
access-list 102 permit tcp any host 172.18.1.2 eq 25

Ejemplo: Prevención del acceso a la red filtrando en el nombre del puerto

En el siguiente ejemplo, los puestos de trabajo del invierno y de Smith se prohiben el Acceso Web; otros hosts en la red 172.20.0.0 no se prohiben el Acceso Web:

interface ethernet 0 
 ip access-group no_web out
!
ip access-list extended no_web
 remark Do not allow Winter to browse the web
 deny host 172.20.3.85 any eq http
 remark Do not allow Smith to browse the web
 deny host 172.20.3.13 any eq http
 remark Allow others on our network to browse the web
 permit 172.20.0.0 0.0.255.255 any eq http

Ejemplo: Filtración en la dirección de origen y registración de los paquetes permitidos y negados

El siguiente ejemplo define las Listas de acceso 1 y 2, que tienen registro habilitado:

interface ethernet 0
 ip address 172.16.1.1 255.0.0.0
 ip access-group 1 in
 ip access-group 2 out
!
access-list 1 permit 172.25.0.0 0.0.255.255 log
access-list 1 deny 172.30.0.0 0.0.255.255 log
!
access-list 2 permit 172.27.3.4 log
access-list 2 deny 172.17.0.0 0.0.255.255 log

Si la interfaz recibe 10 paquetes de 172.25.7.7 y 14 paquetes de 172.17.23.21, el primer registro parecerá el siguiente:

list 1 permit 172.25.7.7 1 packet
list 2 deny 172.17.23.21 1 packet

Cinco minutos más adelante, la consola recibirá el registro siguiente:

list 1 permit 172.25.7.7 9 packets
list 2 deny 172.17.23.21 13 packets

Ejemplo: Limitación de la salida de los debugs

El ejemplo de configuración del siguiente ejemplo utiliza una lista de acceso para limitar debug la salida de comando visualizada. La limitación de la salida de los debugs estrecha el volumen de datos a cuál usted está interesado adentro, guardandole el tiempo y los recursos.

ip access-list idaho 
 remark Displays only advertisements for LDP peer in idaho
 permit host 10.0.0.44

Router# debug mpls ldp advertisements peer-acl idaho

tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.17.0.33

tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.16.0.31

tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 172.22.0.33

tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.0.1

tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.0.3

tagcon: peer 10.0.0.44:0 (pp 0x60E105BC): advertise 192.168.1.33

Adonde ir después

Este módulo describe cómo crear una lista de acceso que permita o niegue los paquetes basados en la dirección de origen o de destino o el protocolo. Sin embargo, hay otros campos que usted podría filtrar encendido, y otras maneras de utilizar las Listas de acceso. Si usted quiere crear una lista de acceso que filtre en otros campos o si usted quiere aplicar una lista de acceso algo con excepción de una interfaz, usted debe decidir lo que usted quiere para restringir en su red y para determinar el tipo de lista de acceso que alcance su meta.

Vea la tabla siguiente para las referencias a otros campos para filtrar y a otras maneras de utilizar una lista de IP Access.

Si usted quiere a…
Vea

Filtre basado en las opciones IP, los indicadores TCP, los puertos noncontiguous, o el valor de TTL

Creando una lista de IP Access para filtrar las opciones IP, los indicadores TCP, los puertos Noncontiguous, o módulo de los valores de TTL

Reordene sus entradas de lista de acceso

Módulo "Refinado de la Lista de Acceso IP"

Entradas de lista de acceso del límite a un Time Of Day o a una semana

Módulo "Refinado de la Lista de Acceso IP"

Restrinja los paquetes con los fragmentos noninitial

Módulo "Refinado de la Lista de Acceso IP"

Restrinja el acceso a las líneas de terminal virtual

“Control del Acceso a una Línea de Terminal Virtual”

Controle las actualizaciones de ruteo

“Configurar al protocolo independiente de la encaminamiento ofrece” el módulo en Cisco IOS IP Routing Protocols Configuration Guide

Identifique o clasifique el tráfico para las características tales como prevención de congestionamiento, administración de la congestión, y cola prioritaria

De “flujo de paquetes regulación sobre una base del por interface — usando módulo del Control de tráfico genérico” en Quality of Service Solutions Configuration Guide


Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Comandos de seguridad

Referencia de Comandos de Seguridad de Cisco IOS

Pedido de las entradas de lista de acceso

Refinando una lista de IP Access

Entradas de lista de acceso basadas el Time Of Day o la semana

Refinando una lista de IP Access

Paquetes con los fragmentos noninitial

Refinando una lista de IP Access

Filtrando en las opciones IP, los indicadores TCP, los puertos noncontiguous, o los valores de TTL

Creando una lista de IP Access para filtrar las opciones IP, los indicadores TCP, los puertos Noncontiguous, o los valores de TTL

Acceso a las líneas de terminal virtual

“Control del Acceso a una Línea de Terminal Virtual”

Actualizaciones de ruteo y Policy Routing

“Configurar al protocolo independiente de la encaminamiento ofrece” los módulos en la guía de configuración de los IP Routing Protocol del Cisco IOS

Trafique la identificación o la clasificación para las características tales como prevención de congestionamiento, administración de la congestión, y cola prioritaria

De “flujo de paquetes regulación sobre una base del por interface — usando módulo del Control de tráfico genérico” en la guía de configuración de la solución de calidad de servicio


Estándares

Estándar
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para crear una lista de IP Access y aplicarla a una interfaz

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para crear una lista de IP Access y aplicarla a una interfaz 

Nombre de la función
Versiones
Información de la Configuración de la Función

Creación de una Lista de Acceso IP y su Aplicación a una Interfaz

12.0(32)S4

Las listas de IP Access proporcionan muchas ventajas para asegurar una red y alcanzar las metas del nonsecurity, tales como determinar los factores del Calidad de Servicio (QoS) o limitación del resultado del comando de debug. Este módulo describe cómo crear las listas de IP Access estándar, extendidas, Nombradas, y numeradas. Una lista de acceso se puede referir por un nombre o un número. Las listas de acceso estándar filtran en solamente la dirección de origen en los paquetes IP. Las listas de acceso ampliadas pueden filtrar en la dirección de origen, la dirección destino, y otros campos en un paquete del IP.


Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.

Cisco Systems, Inc. 2006 del © todos los derechos reservados.