Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Cómo Refinar una Lista de Acceso IP
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 253 KB | Inglés (11 Julio 2008) | Comentarios

Contenidos

Cómo Refinar una Lista de Acceso IP

Encontrar la información de la característica

Contenido

Información sobre cómo Refinar una Lista de Acceso IP

Números de Secuencia de la Lista de Acceso

Ventajas de los números de secuencia de la lista de acceso

Comportamiento de la Numeración de Secuencia

Ventajas de los rangos de tiempo

Listas de Acceso Distribuidas Basadas en el Tiempo

Ventajas de filtrar los fragmentos noninitial de los paquetes

Proceso de lista de acceso de los fragmentos

Cómo Refinar una Lista de Acceso IP

Revisar una lista de acceso usando los números de secuencia

Restricciones

Ejemplos

Restricción de una entrada de lista de acceso a un Time Of Day o a una semana

Prerrequisitos

Restricciones

Pasos Siguientes

Fragmentos noninitial de filtración de los paquetes

Pasos Siguientes

Ejemplos de Configuración para Refinar una Lista de Acceso IP

Ejemplo: Entradas de Resequencing en una lista de acceso

Ejemplo: Agregar una entrada con un número de secuencia

Ejemplo: Agregar una entrada sin el número de secuencia

Ejemplo: Rangos de tiempo aplicados a las entradas de lista de IP Access

Ejemplo: Fragmentos de filtración del paquete del IP

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para refinar una lista de IP Access


Cómo Refinar una Lista de Acceso IP


Primera publicación: De agosto el 18 de 2006
Última actualización: De agosto el 18 de 2006

Hay varias maneras de refinar una lista de acceso mientras que o después de que usted la cree. Usted puede cambiar la pedido de las entradas en una lista de acceso o agregar las entradas a una lista de acceso. Usted puede restringir las entradas de lista de acceso a un cierto Time Of Day o semana, o alcance la granularidad más fina cuando los filtrados de paquetes filtrando los fragmentos noninitial de los paquetes.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para refinar la sección de una lista de IP Access”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Información sobre cómo Refinar una Lista de Acceso IP

Cómo Refinar una Lista de Acceso IP

Ejemplos de Configuración para Refinar una Lista de Acceso IP

Referencias adicionales

Información de la característica para refinar una lista de IP Access

Información sobre cómo Refinar una Lista de Acceso IP

Números de Secuencia de la Lista de Acceso

Ventajas de los números de secuencia de la lista de acceso

Comportamiento de la Numeración de Secuencia

Ventajas de los rangos de tiempo

Listas de Acceso Distribuidas Basadas en el Tiempo

Ventajas de filtrar los fragmentos noninitial de los paquetes

Proceso de lista de acceso de los fragmentos

Números de Secuencia de la Lista de Acceso

La capacidad de aplicar números de secuencia a las entradas de la lista de acceso simplifica los cambios de la lista de acceso. Antes de la función IP Access List Entry Sequence Numbering no había manera de especificar la posición de una entrada dentro de una lista de acceso. Si deseaba insertar una entrada en medio de una lista existente, tenía que remover todas las entradas que hubiera tras la posición deseada, añadir la nueva entrada y después volver a ingresar todas las entradas removidas. Este método era pesado y propenso a errores.

Los números de secuencia permiten que los usuarios agreguen las entradas de lista de acceso y el resequence ellos. Cuando añada una nueva entrada, especifique el número de secuencia para que esté en la posición deseada de la lista de acceso. En caso necesario, las entradas incluidas actualmente en la lista de acceso se pueden volver a secuenciar para crear espacio donde insertar la nueva entrada.

Ventajas de los números de secuencia de la lista de acceso

Un número de secuencia de la lista de acceso es un número al principio de a permit o deny de comando en una lista de acceso. El número de secuencia determina la orden que la entrada aparece en la lista de acceso. La capacidad de aplicar números de secuencia a las entradas de la lista de acceso simplifica los cambios de la lista de acceso.

Antes del tener números de secuencia, los usuarios podrían agregar solamente las entradas de lista de acceso al final de una lista de acceso; por lo tanto, la necesidad agregar las declaraciones dondequiera excepto el extremo de la lista requirió la nueva configuración de la lista de acceso entera. No había manera de especificar la posición de una entrada dentro de una lista de acceso. Si un usuario deseaba insertar una entrada (sentencia) en medio de una lista existente, se tenían que remover todas las entradas que hubiera tras la posición deseada para añadir la nueva entrada, y entonces todas las entradas removidas se tenían que volver a ingresar. Este método era pesado y propenso a errores.

Esta función permite que los usuarios añadan números de secuencia a entradas de listas de acceso y que cambien su secuencia. Cuando un usuario añade una nueva entrada, elige el número de secuencia para que esté en la posición deseada de la lista de acceso. En caso necesario, las entradas incluidas actualmente en la lista de acceso se pueden volver a secuenciar para crear espacio donde insertar la nueva entrada. Los números de secuencia hacen revisando una lista de acceso mucho más fácil.

Comportamiento de la Numeración de Secuencia

Por compatibilidad con versiones anteriores, si se aplican entradas sin números de secuencia, a la primera entrada se asigna un número de secuencia de 10, y las entradas sucesivas se incrementan de 10 en 10. El número máximo de secuencia es 2147483647. Si el número de secuencia generado supera este número máximo, se visualiza el siguiente mensaje:

	Exceeded maximum sequence number.

Si el usuario ingresa una entrada sin un número de secuencia, se asigna un número de secuencia superior en 10 al último número de secuencia de dicha lista de acceso y se coloca al final de la lista.

Si el usuario ingresa una entrada que coincide con una entrada ya existente (excepto el número de secuencia), no se realiza ningún cambio.

Si el usuario ingresa un número de secuencia que ya está presente, se genera el siguiente mensaje de error:

	Duplicate sequence number.

Si una nueva lista de acceso se ingresa desde el modo de configuración global, los números de secuencia de esa lista de acceso se generan automáticamente.

Se proporciona el soporte distribuido de modo que los números de secuencia de entradas en el (RP) del Route Processor y el linecard estén en la sincronización siempre.

Los números de secuencia no son nvgened. Es decir, los propios números de secuencia no se guardan. En caso que se recargue el sistema, los números de secuencia configurados recuperan el número inicial y el incremento de secuencia predeterminados. Esta función se proporciona por motivos de compatibilidad con versiones anteriores del software que no soportan la numeración de secuencias.

Esta característica trabaja con Nombrado y numerado, estándar y las listas de acceso IP ampliado.

Ventajas de los rangos de tiempo

Las ventajas y las aplicaciones posibles de los rangos de tiempo incluyen el siguiente:

El administrador de red tiene más control sobre el permiso o la negación del acceso de usuario a los recursos. Estos recursos pueden ser una aplicación (identificada por un par dirección IP/máscara y un número de puerto), ruteo de política o un link a petición (identificado como tráfico interesante al marcador).

Los administradores de la red pueden fijar la política de seguridad del time basado, incluyendo el siguiente:

– Seguridad perimetral usando el conjunto de funciones de Cisco IOS Firewall o las listas de acceso

– Confidencialidad de los datos con la tecnología de encripción de Cisco o el IP Security Protocol (IPSec)

Se aumentan el Routing basado en políticas (PBR) y las funciones de espera.

Por ejemplo, cuando las velocidades de acceso del proveedor varían según el momento del día, es posible volver a rutear el tráfico automáticamente y con una buena relación entre costo y eficacia.

Los proveedores de servicio pueden cambiar dinámicamente una configuración de velocidad comprometida de acceso (CAR) para soportar los acuerdos en el nivel de servicio (SLAs) de la Calidad de Servicio (QoS) que se negocian durante determinados momentos del día.

Los administradores de la red pueden controlar los mensajes de registro. Las entradas de la lista de acceso pueden registrar el tráfico a determinadas horas del día, pero no constantemente. Por lo tanto, los administradores pueden limitarse a denegar el acceso sin tener que analizar muchos logs generados durante las horas pico.

Listas de Acceso Distribuidas Basadas en el Tiempo

Antes de la introducción de las listas de acceso basadas en el tiempo distribuidas característica, las listas de acceso basadas en el tiempo no fueron soportadas en el linecards para los Cisco 7500 Series Router. Si se configuraron listas de acceso basadas en tiempo, se comportaron como listas de acceso normales. Si una interfaz de una tarjeta de línea se configuró con una lista de acceso basada en tiempo, los paquetes conmutados en la interfaz no se distribuyeron conmutados a través de la tarjeta de línea, sino que se reenviaron al procesador de rutas para su procesamiento.

La función Distributed Time-Based Access Lists permite que los paquetes destinados a una interfaz configurada con una lista de acceso basada en el tiempo sean distribuidos conmutados a través de la tarjeta de línea.

Para que estas funciones trabajen, el reloj de software debe seguir sincronizado entre el Route Processor y el linecard. Esta sincronización ocurre con un intercambio de los mensajes de las comunicaciones entre procesos (IPC) del Route Processor al linecard. Cuando se cambia, se agrega, o se borra un rango de tiempo o una entrada del tiempo-rango, un mensaje IPC es enviado por el Route Processor al linecard.

No hay diferencia entre cómo el usuario configura las listas de acceso basadas en el tiempo y las listas de acceso basadas en el tiempo distribuidas.

Ventajas de filtrar los fragmentos noninitial de los paquetes

Si fragments la palabra clave se utiliza en las entradas de lista de IP Access adicionales que niegan los fragmentos, la característica del control del fragmento proporciona las siguientes ventajas:

Seguridad complementaria

Usted puede bloquear más del tráfico que usted se prepuso bloquear, no apenas el fragmento inicial de tales paquetes. Los fragmentos indeseados se retrasan no más en el receptor hasta que se alcance el tiempo de espera para reconstrucción porque se bloquean antes de ser enviado al receptor. El bloqueo de una mayor porción de tráfico no deseado mejora la Seguridad y reduce el riesgo de los posibles hackers.

Coste reducido

Bloqueando los fragmentos noninitial indeseados de los paquetes, usted no está pagando el tráfico que usted se prepuso bloquear.

Almacenamiento reducido

Bloqueando los fragmentos noninitial indeseados de los paquetes nunca de alcanzar el receptor, ese destino no tiene que salvar los fragmentos hasta que se alcance el período de tiempo de espera para reconstrucción.

Se alcanza la conducta esperada

Los fragmentos noninitial serán manejados igual que el fragmento inicial, que es lo que usted esperaría. Hay menos resultados inesperados del Policy Routing y menos fragmentos de los paquetes que son ruteados cuando no deben ser.

Proceso de lista de acceso de los fragmentos

El comportamiento de las entradas de lista de acceso con respecto el uso o a la falta de uso fragments de la palabra clave puede ser resumido como sigue:

Si la entrada de lista de acceso tiene…
Entonces…

… ninguna fragments palabra clave (el valor por defecto), y si se asume que todas las coincidencias de la información de la entrada de lista de acceso,

Para una entrada de lista de acceso que contiene solamente la información de la capa 3:

La entrada se aplica a los paquetes no fragmentados, a los fragmentos iniciales, y a los fragmentos noninitial.

Para una entrada de lista de acceso que contiene el información de las capas 3 y 4:

La entrada se aplica a los paquetes no fragmentados y a los fragmentos iniciales.

– Si la entrada es permit una declaración, después se permite el paquete o el fragmento.

– Si la entrada es deny una declaración, después se niega el paquete o el fragmento.

La entrada también se aplica a los fragmentos noninitial de la manera siguiente. Porque los fragmentos noninitial contienen solamente la información de la capa 3, sólo la capa 3 porciones de una entrada de lista de acceso puede ser aplicada. Si la capa 3 porciones de la entrada de lista de acceso hace juego, y

– Si la entrada es permit una declaración, después se permite el fragmento noninitial.

– Si la entrada es deny una declaración, después se procesa la entrada de lista de acceso siguiente.

Observe deny las declaraciones se dirigen diferentemente para los fragmentos noninitial contra nonfragmented o los fragmentos iniciales.

fragments la palabra clave, y si se asume que todas las coincidencias de la información de la entrada de lista de acceso,

La entrada de lista de acceso se aplica solamente a los fragmentos noninitial.

fragments La palabra clave no se puede configurar para una entrada de lista de acceso que contenga cualquier información de la capa 4.


Sea consciente que usted no debe agregar fragments la palabra clave a cada entrada de lista de acceso porque el primer fragmento del paquete del IP se considera un nonfragment y se trata independientemente de los fragmentos subsiguientes. Un fragmento inicial no hará juego una lista de acceso permit o deny una entrada que contengan fragments la palabra clave. El paquete se compara a la entrada de lista de acceso siguiente, y así sucesivamente, hasta que sea permitido o negado por una entrada de lista de acceso que no contenga fragments la palabra clave. Por lo tanto, usted puede necesitar dos entradas de lista de acceso para cada deny entrada. La primera deny entrada de los pares no incluirá fragments la palabra clave y se aplica al fragmento inicial. La segunda deny entrada de los pares incluirá fragments la palabra clave y se aplica a los fragmentos subsiguientes. En las cajas en las cuales hay entradas múltiples deny para el mismo host pero con diversos puertos de la capa 4, una sola deny entrada de lista de acceso con fragments la palabra clave para ese host es todo ese necesita ser agregada. Así todos los fragmentos de un paquete son manejados de manera semejante por la lista de acceso.

Los fragmentos de paquete de los datagramas IP se consideran los paquetes individuales, y cada uno cuenta individualmente mientras que un paquete en las cuentas de las estadísticas y de la violación de lista de acceso de la lista de acceso.

Cómo Refinar una Lista de Acceso IP

Las tareas en este módulo proveen de usted las distintas maneras de refinar una lista de acceso si usted no hizo ya tan mientras que usted la creaba. Usted puede cambiar la pedido de las entradas en una lista de acceso, agregar las entradas a una lista de acceso, restringir las entradas de lista de acceso a un cierto Time Of Day o semana, o alcanzar la granularidad más fina cuando los filtrados de paquetes filtrando en los fragmentos noninitial de los paquetes.

Esta sección incluye las siguientes tareas:

Revisando una lista de acceso usando los números de secuencia (opcionales)

Restringiendo una entrada de lista de acceso a un Time Of Day o a una semana (opcional)

Fragmentos noninitial de filtración de los paquetes (opcionales)

Revisar una lista de acceso usando los números de secuencia

Realice esta tarea si usted quiere agregar las entradas a una lista de acceso existente, cambian la pedido de las entradas, o numeran simplemente las entradas en una lista de acceso para acomodar los cambios futuros.


La notarecuerda que si usted quiere borrar una entrada de una lista de acceso, usted puede utilizar simplemente no deny o no permit formar del comando, o no sequence-number el comando si la declaración tiene ya un número de secuencia.


Restricciones

Los números de secuencia de la lista de acceso no soportan las Listas de acceso dinámicas, reflexivas, o del Firewall.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip access-list resequence access-list-name starting-sequence-number increment

4.ip access-list {standard | extended} access-list-name

5.sequence-number permiso source source-wildcard

o

sequence-number
[] protocol source source-wildcard destination destination-wildcard del []precedence precedence del []tos tosdel []logdel []time-range time-range-namedel permisofragments

6.sequence-number niegue source source-wildcard

o

sequence-number niegue protocol source source-wildcard destination destination-wildcard el []precedence precedence del []tos tosdel []logdel []time-range time-range-namedel []fragments

7.Relance el paso 5 y el paso 6 cuanto sea necesario, agregando las declaraciones por el número de secuencia donde usted planeó. Utilice no sequence-number el comando de borrar una entrada.

8. end

9. show ip access-lists access-list-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip access-list resequence access-list-name starting-sequence-number increment

Example:

Router(config)# ip access-list resequence kmd1 100 15

Cambia la secuencia de la lista de acceso IP especificada usando el número de secuencia inicial y el incremento de números de secuencia.

Este ejemplo restablece la secuencia de una lista de acceso llamada kmd1. El número de secuencia inicial es 100 y el incremento 15.

Paso 4 

ip access-list {standard | extended} access-list-name

Example:

Router(config)# ip access-list standard xyz123

Especifica la lista de acceso IP por nombre e ingresa en el modo de configuración de listas de acceso designadas.

Si usted especifica standard, aseegurele especificar subsiguiente permit y deny las declaraciones usando el sintaxis de la lista de acceso estándar.

Si usted especifica extended, aseegurele especificar subsiguiente permit y deny las declaraciones usando el sintaxis de la lista de acceso ampliada.

Paso 5 

sequence-number permit source source-wildcard


o

sequence-number permit protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log] [time-range time-range-name] [fragments]

Example:

Router(config-std-nacl)# 105 permit 10.5.5.5 0.0.0.255

Especifica una sentencia permit en el modo de lista de acceso IP con nombre.

Esta lista de acceso sucede utilizar permit una declaración primero, pero deny una declaración podría aparecer primero, dependiendo de la orden de las declaraciones que usted necesita.

Vea permit el comando (IP) para que el sintaxis del comando adicional permita los protocolos de la capa superiores (ICMP, IGMP, TCP, y UDP).

Utilice no sequence-number el comando de borrar una entrada.

Tal como señala la indicación, esta lista de acceso era una lista de acceso estándar. Si usted hubiera especificado extended en el paso 4, el prompt para este paso sería el router (config-extensión-nacl) # y usted utilizaría la sintaxis de los comandos permit extendida.

Paso 6 

sequence-number deny source source-wildcard


o

sequence-number deny protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log] [time-range time-range-name] [fragments]

Example:

Router(config-std-nacl)# 110 deny 10.6.6.7 0.0.0.255

(Opcional) Especifica una sentencia deny en el modo de lista de acceso IP con nombre.

Esta lista de acceso sucede utilizar permit una declaración primero, pero deny una declaración podría aparecer primero, dependiendo de la orden de las declaraciones que usted necesita.

Vea deny el comando (IP) para que el sintaxis del comando adicional permita los protocolos de la capa superiores (ICMP, IGMP, TCP, y UDP).

Utilice no sequence-number el comando de borrar una entrada.

Tal como señala la indicación, esta lista de acceso era una lista de acceso estándar. Si usted hubiera especificado extended en el paso 4, el prompt para este paso sería el router (config-extensión-nacl) # y usted utilizaría la sintaxis de los comandos deny extendida.

Paso 7 

Relance el paso 5 y el paso 6 cuanto sea necesario, agregando las declaraciones por el número de secuencia donde usted planeó. Utilice no sequence-number el comando de borrar una entrada.

Permite revisar la lista de acceso.

Paso 8 

end

Example:

Router(config-std-nacl)# end

(Opcional) Sale del modo de configuración y vuelve al modo EXEC privilegiado.

Paso 9 

show ip access-lists access-list-name

Example:

Router# show ip access-lists xyz123

(Opcional) Muestra el contenido de la lista de acceso IP.

Revise la salida para comprobar que la lista de acceso incluye la nueva entrada.

Ejemplos

Lo que sigue es salida de muestra show ip access-lists del comando cuando xyz123 se especifica la lista de acceso.

Router# show ip access-lists xyz123

Standard IP access list xyz123
100 permit 10.4.4.0, wildcard bits 0.0.0.255
105 permit 10.5.5.5, wildcard bits 0.0.0.255
115 permit 10.0.0.0, wildcard bits 0.0.0.255
130 permit 10.5.5.0, wildcard bits 0.0.0.255
145 permit 10.0.0.0, wildcard bits 0.0.0.255

Restricción de una entrada de lista de acceso a un Time Of Day o a una semana

Por abandono, las sentencias de lista de acceso están siempre en efecto una vez que son aplicadas. Sin embargo, usted puede definir los tiempos del día o de la semana que permit o deny las declaraciones sea en efecto definiendo un rango de tiempo, y después de referirse al rango de tiempo por nombre a una declaración de la lista de acceso individual. Las listas de acceso ampliadas nombradas o numeradas IP y del Intercambio de paquetes entre redes (IPX) pueden utilizar los rangos de tiempo.

Prerrequisitos

El rango de tiempo confía en el reloj de software del dispositivo de ruteo. Para que la característica de rango de tiempo funcione como usted desea, necesita una fuente de reloj confiable. Recomendamos que usted utiliza el Network Time Protocol (NTP) para sincronizar el reloj de software del dispositivo de ruteo.

Restricciones

La característica distribuida de las listas de acceso basadas en el tiempo se soporta en los Cisco 7500 Series Router con un Versatile Interface Processor (VIP) habilitado.

PASOS SUMARIOS

1. enable

2. configure terminal

3. time-range time-range-name

4.periodic days-of-the-week hh:mm to []days-of-the-week hh:mm

5.Relance el paso 4 si usted quiere más de un período de tiempo aplicado a una sentencia de lista de acceso.

6.absolute []start time datedel []end time date

7. exit

8.Relance los pasos 3 a 7 si usted quisiera que los rangos de momento diferente se aplicaran a permit o deny las declaraciones.

9. ip access-list extended name

10.deny protocol source []source-wildcard destination del []destination-wildcarddel []option option-namedel []precedence precedencedel []tos tosdel []established[log | log-input] time-range time-range-name

11permit protocol source []source-wildcard destination del []destination-wildcarddel []option option-namedel []precedence precedencedel []tos tosdel []established[log | log-input] time-range time-range-name

12. Puede repetir alguna combinación de los pasos 10 y 11 hasta especificar los valores en los que desea basar la lista de acceso.

13. end

14. show ip access-list

15. show time-range

16. show time-range ipc

17. clear time-range ipc

18. debug time-range ipc

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

time-range time-range-name

Example:

Router(config)# time-range limit_http

Define un rango de tiempo y ingresa al modo de configuración del tiempo-rango.

El nombre no puede contener una marca del espacio o de cita, y debe comenzar con una carta.

Los rangos de tiempo múltiples pueden ocurrir en una sola lista de acceso.

Paso 4 

periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm

Example:

Router(config-time-range)# periodic Monday 6:00 to Wednesday 19:00

(Opcional) especifica un rango de tiempo (del semanario que se repite).

El primer acontecimiento de days-of-the-week es el día o el día de la semana que comienza que el rango de tiempo asociado está en efecto. El segundo acontecimiento es el día de la conclusión o día de la semana la declaración asociada está en efecto.

days-of-the-week El argumento puede ser cualquier solo día o combinación de días: Lunes, martes, miércoles, jueves, viernes, sábado, y domingo. Otros valores posibles son:

daily– — De lunes a domingo

weekdays– — De lunes a viernes

weekend– — Sábado y domingo

Si los días de la semana de la conclusión son lo mismo que los días de la semana que comienzan, pueden ser omitidos.

El primer acontecimiento de hh:mm es las horas que comienzan: minutos que el rango de tiempo asociado está en efecto. El segundo acontecimiento es las horas de terminación: anota la declaración asociada está en efecto.

Las horas: los minutos se expresan en un reloj de 24 horas. Por ejemplo, 8:00 es 8:00 a.m. y 20:00 es 8:00 p.m.

Paso 5 

Relance el paso 4 si usted quiere más de un período de tiempo aplicado a una sentencia de lista de acceso.

Los comandos múltiples (opcionales periodic ) se permiten en un rango de tiempo.

Paso 6 

absolute [start time date] [end time date]

Example:

Router(config-time-range)# absolute start 6:00 1 August 2005 end 18:00 31 October 2005

(Opcional) especifica una época absoluta en que un rango de tiempo está en efecto.

Solamente un absolute comando se permite en un rango de tiempo.

El tiempo se expresa en la notación de 24 horas, bajo la forma de horas: minutos. Por ejemplo, 8:00 es 8:00 a.m. y 20:00 es 8:00 p.m. La fecha se expresa en el formato. day month yearEl comienzo mínimo es 00:00 el 1 de enero 1993. Si no se especifica ninguna hora de inicio y fecha, o la declaración permit deny está en efecto inmediatamente.

Fecha y hora absoluta que permit o deny declaración de la lista de acceso asociada es no más en efecto. El mismo formato de la Fecha y hora según lo descrito para start la palabra clave. La Fecha y hora del final debe ser después de la hora de inicio y de la fecha. El tiempo máximo del final es 23:59 el 31 de diciembre 2035. Si no se especifica ninguna Fecha y hora del final, el asociado permit o deny la declaración está en efecto indefinidamente.

Paso 7 

exit

Example:

Router(config-time-range)# exit

Salidas al modo más alto siguiente.

Paso 8 

Relance los pasos 3 a 7 si usted quisiera que los rangos de momento diferente se aplicaran a permit o deny las declaraciones.

Paso 9 

ip access-list extended name

Example:

Router(config)# ip access-list extended autumn

Define una lista de acceso IP ampliada con un nombre e ingresa al modo de configuración de lista de acceso con nombre ampliada.

Paso 10 

deny protocol source [source-wildcard] destination [destination-wildcard] [option option-name] [precedence precedence] [tos tos] [established] [log | log-input] time-range time-range-name

Example:

Router(config-ext-nacl)# deny tcp 172.16.22.23 any eq http time-range limit_http

(Opcional) Niega cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Especifique el rango de tiempo que usted creó en el paso 3.

En este ejemplo, un host se niega el acceso HTTP durante el tiempo definido para el momento en que el rango llamara el “limit_http.”

Paso 11 

permit protocol source [source-wildcard] destination [destination-wildcard] [option option-name] [precedence precedence] [tos tos] [established] [log | log-input] time-range time-range-name

Example:

Router(config-ext-nacl)# permit tcp any any eq http time-range limit_http

Permite cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Usted puede especificar el rango de tiempo que usted creó en el paso 3 o en un diverso caso del paso 3, dependiendo de si usted quisiera que los rangos de tiempo para que sus declaraciones sean el lo mismo o diferentes.

En este ejemplo, el resto de las fuentes se dan el acceso al HTTP durante el tiempo definido para el momento en que el rango llamara el “limit_http.”

Paso 12 

Puede repetir alguna combinación de los pasos 10 y 11 hasta especificar los valores en los que desea basar la lista de acceso.

Paso 13 

end

Example:

Router(config-ext-nacl)# end

Finaliza el modo de configuración y devuelve el sistema al modo EXEC privilegiado.

Paso 14 

show ip access-list

Example:

Router# show ip access-list

(Opcional) Muestra el contenido de todas las listas de acceso IP actuales.

Paso 15 

show time-range

Example:

Router# show time-range

(Opcional) visualiza los rangos de tiempo se fijan que.

Paso 16 

show time-range ipc

Example:

Router# show time-range ipc

(Opcional) visualiza las estadísticas sobre los mensajes IPC del tiempo-rango entre el Route Processor y el linecard en el Cisco 7500 Series Router.

Paso 17 

clear time-range ipc

Example:

Router# clear time-range ipc

(Opcional) borra las estadísticas y los contadores del mensaje IPC del tiempo-rango entre el Route Processor y el linecard en el Cisco 7500 Series Router.

Paso 18 

debug time-range ipc

Example:

Router# debug time-range ipc

(Opcional) habilita la salida de debbuging para monitorear los mensajes IPC del tiempo-rango entre el Route Processor y el linecard en el Cisco 7500 Series Router.

Pasos Siguientes

Aplique la lista de acceso a una interfaz o haga referencia a ella desde un comando que acepte una lista de acceso.

Fragmentos noninitial de filtración de los paquetes

Filtre los fragmentos noninitial de los paquetes con una lista de acceso ampliada si usted quiere bloquear más del tráfico que usted se prepuso bloquear, no apenas el fragmento inicial de tales paquetes. Usted debe primero entender los conceptos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip access-list extended name

4.[[]sequence-number deny protocol source del []source-wildcarddel [[]operator port portdel [] destination del []destination-wildcard]operator port port]

5.[]sequence-number deny protocol source del [[]source-wildcarddel []operator port portdel [[] destination del []destination-wildcarddel []operator port port]]fragments

6.[[]sequence-number permit protocol source del []source-wildcarddel [[]operator port portdel [] destination del []destination-wildcard]operator port port]

7.Relance una cierta combinación de los pasos 4 a 6 hasta que usted haya especificado los valores en los cuales usted quiere basar su lista de acceso.

8. end

9. show ip access-list

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip access-list extended name

Example:

Router(config)# ip access-list extended rstrct4

Define una lista de acceso IP ampliada con un nombre e ingresa al modo de configuración de lista de acceso con nombre ampliada.

Paso 4 

[sequence-number] deny protocol source [source-wildcard] [operator port [port]] destination [destination-wildcard] [operator port [port]]

Example:

Router(config-ext-nacl)# deny ip any 172.20.1.1

(Opcional) Niega cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Esta declaración se aplicará a los paquetes no fragmentados y a los fragmentos iniciales.

Paso 5 

[sequence-number] deny protocol source [source-wildcard][operator port [port]] destination [destination-wildcard] [operator port [port]] fragments

Example:

Router(config-ext-nacl)# deny ip any 172.20.1.1 fragments

(Opcional) niega cualquier paquete que haga juego todas las condiciones especificadas en la declaración

Esta declaración se aplicará a los fragmentos noninitial.

Paso 6 

[sequence-number] permit protocol source [source-wildcard] [operator port [port]] destination [destination-wildcard] [operator port [port]]

Example:

Router(config-ext-nacl)# permit tcp any any

Permite cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Cada lista de acceso necesita por lo menos una permit declaración.

Si source-wildcard o destination-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen o de destino, respectivamente.

Utilice opcionalmente la palabra clave any como substituto para source source-wildcard o destination destination-wildcard especificar el direccionamiento y al comodín de 0.0.0.0 255.255.255.255.

Paso 7 

Relance una cierta combinación de los pasos 4 a 6 hasta que usted haya especificado los valores en los cuales usted quiere basar su lista de acceso.

Recuerde que todas las fuentes permitidas no específicamente son negadas por una declaración deny implícita en el extremo de la lista de acceso.

Paso 8 

end

Example:

Router(config-ext-nacl)# end

Finaliza el modo de configuración y devuelve el sistema al modo EXEC privilegiado.

Paso 9 

show ip access-list

Example:

Router# show ip access-list

(Opcional) Muestra el contenido de todas las listas de acceso IP actuales.

Pasos Siguientes

Aplique la lista de acceso a una interfaz o haga referencia a ella desde un comando que acepte una lista de acceso.

Ejemplos de Configuración para Refinar una Lista de Acceso IP

Ejemplo: Entradas de Resequencing en una lista de acceso

Ejemplo: Agregar una entrada con un número de secuencia

Ejemplo: Agregar una entrada sin el número de secuencia

Ejemplo: Rangos de tiempo aplicados a las entradas de lista de IP Access

Ejemplo: Fragmentos de filtración del paquete del IP

Ejemplo: Entradas de Resequencing en una lista de acceso

El siguiente ejemplo muestra una lista de acceso antes y después de resequencing. El valor de inicio es 1 y el valor de incremento es 2. Las entradas posteriores se ordenan en función de los valores de incremento que proporciona el usuario; el rango se sitúa entre 1 y 2147483647.

Cuando se ingresa una entrada sin número secuencia, de forma predeterminada tiene un número de secuencia de 10 más la última entrada de la lista de acceso.

Router# show access-list carls

Extended IP access list carls
    10 permit ip host 10.3.3.3 host 172.16.5.34
    20 permit icmp any any
    30 permit tcp any host 10.3.3.3
    40 permit ip host 10.4.4.4 any
    50 Dynamic test permit ip any any
    60 permit ip host 172.16.2.2 host 10.3.3.12
    70 permit ip host 10.3.3.3 any log
    80 permit tcp host 10.3.3.3 host 10.1.2.2
    90 permit ip host 10.3.3.3 any
    100 permit ip any any

Router(config)# ip access-list extended carls
Router(config)# ip access-list resequence carls 1 2 
Router(config)# end

Router# show access-list carls

Extended IP access list carls
    1 permit ip host 10.3.3.3 host 172.16.5.34
    3 permit icmp any any
    5 permit tcp any host 10.3.3.3
    7 permit ip host 10.4.4.4 any
    9 Dynamic test permit ip any any
    11 permit ip host 172.16.2.2 host 10.3.3.12
    13 permit ip host 10.3.3.3 any log
    15 permit tcp host 10.3.3.3 host 10.1.2.2
    17 permit ip host 10.3.3.3 any
    19 permit ip any any

Ejemplo: Agregar una entrada con un número de secuencia

En el siguiente ejemplo, una nueva entrada (número de secuencia 15) se agrega a una lista de acceso:

Router# show ip access-list

Standard IP access list tryon
2 permit 10.4.4.2, wildcard bits 0.0.255.255
5 permit 10.0.0.44, wildcard bits 0.0.0.255
10 permit 10.0.0.1, wildcard bits 0.0.0.255
20 permit 10.0.0.2, wildcard bits 0.0.0.255

Router(config)# ip access-list standard tryon

Router(config-std-nacl)# 15 permit 10.5.5.5 0.0.0.255

Router# show ip access-list

Standard IP access list tryon
2 permit 10.4.0.0, wildcard bits 0.0.255.255
5 permit 10.0.0.0, wildcard bits 0.0.0.255
10 permit 10.0.0.0, wildcard bits 0.0.0.255
15 permit 10.5.5.0, wildcard bits 0.0.0.255
20 permit 10.0.0.0, wildcard bits 0.0.0.255

Ejemplo: Agregar una entrada sin el número de secuencia

El siguiente ejemplo muestra cómo una entrada sin un número de secuencia especificado se añade al final de una lista de acceso. Cuando se añade una entrada sin número de secuencia, se le da automáticamente un número de secuencia que lo coloca al final de la lista de acceso. Puesto que el incremento predeterminado es 10, la entrada tendrá un número de secuencia 10 más arriba que la entrada más reciente de la lista de acceso existente.

Router(config)# ip access-list standard resources

Router(config-std-nacl)# permit 10.1.1.1 0.0.0.255
Router(config-std-nacl)# permit 10.2.2.2 0.0.0.255
Router(config-std-nacl)# permit 10.3.3.3 0.0.0.255

Router# show access-list
Standard IP access list resources
10 permit 10.1.1.1, wildcard bits 0.0.0.255
20 permit 10.2.2.2, wildcard bits 0.0.0.255
30 permit 10.3.3.3, wildcard bits 0.0.0.255

Router(config)# ip access-list standard resources
Router(config-std-nacl)# permit 10.4.4.4 0.0.0.255
Router(config-std-nacl)# end

Router# show access-list

Standard IP access list resources
10 permit 10.1.1.1, wildcard bits 0.0.0.255
20 permit 10.2.2.2, wildcard bits 0.0.0.255
30 permit 10.3.3.3, wildcard bits 0.0.0.255
40 permit 10.4.4.4, wildcard bits 0.0.0.255

Ejemplo: Rangos de tiempo aplicados a las entradas de lista de IP Access

El siguiente ejemplo crea un rango de tiempo llamado el ninguno-HTTP, del cual extiende de lunes a viernes a partir de la 8:00 mañana a 6:00 P.M. Ese rango de tiempo se aplica a la declaración deny , de tal modo negando el tráfico HTTP el de lunes a viernes a partir de la 8:00 mañana a 6:00 P.M.

El rango de tiempo llamado los UDP-YE define los fines de semana del mediodía a 8:00 P.M. Ese rango de tiempo se aplica a la declaración permit , de tal modo permitiendo el tráfico UDP el sábado y domingo del mediodía a 8:00 P.M. solamente. La lista de acceso que contiene ambas declaraciones se aplica a los paquetes de entrada en la interfaz de Ethernet 0.

time-range no-http
 periodic weekdays 8:00 to 18:00
!
time-range udp-yes
 periodic weekend 12:00 to 20:00
!
ip access-list extended strict
 deny tcp any any eq http time-range no-http
 permit udp any any time-range udp-yes
!
interface ethernet 0
 ip access-group strict in

Ejemplo: Fragmentos de filtración del paquete del IP

En la lista de acceso siguiente, la primera declaración negará solamente los fragmentos noninitial destinados para el host 172.16.1.1. La segunda declaración permitirá solamente el nonfragmented y los fragmentos iniciales restantes que son destinados para el puerto TCP 80 de 172.16.1.1 del host. La tercera declaración negará el resto del tráfico. Para bloquear los fragmentos noninitial para cualquier puerto TCP, debemos bloquear los fragmentos noninitial para todos los puertos TCP, incluyendo el puerto 80 para el host 172.16.1.1. Es decir, los fragmentos no iniciales no contendrán la información de puerto de la capa 4, así pues, para bloquear tal tráfico para un puerto dado, nosotros tienen que bloquear los fragmentos para todos los puertos.

access-list 101 deny ip any host 172.16.1.1 fragments
access-list 101 permit tcp any host 172.16.1.1 eq 80
access-list 101 deny ip any any

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Usando time-range el comando de establecer los rangos de tiempo

“Realizando capítulo de la administración del sistema básico” en la guía de configuración de la administración del Cisco IOS Network


Estándares

Estándar
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para refinar una lista de IP Access

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para refinar una lista de IP Access

Nombre de la función
Versiones
Información de la Configuración de la Función

Listas de Acceso Distribuidas Basadas en el Tiempo

12.2(2)T

Antes de la introducción de esta característica, las listas de acceso basadas en el tiempo no fueron soportadas en el linecards para los Cisco 7500 Series Router. Si se configuraron listas de acceso basadas en tiempo, se comportaron como listas de acceso normales. Si una interfaz de una tarjeta de línea se configuró con una lista de acceso basada en tiempo, los paquetes conmutados en la interfaz no se distribuyeron conmutados a través de la tarjeta de línea, sino que se reenviaron al procesador de rutas para su procesamiento.

La función Distributed Time-Based Access Lists permite que los paquetes destinados a una interfaz configurada con una lista de acceso basada en el tiempo sean distribuidos conmutados a través de la tarjeta de línea. Vea la sección siguiente:

Listas de Acceso Distribuidas Basadas en el Tiempo


Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.

Cisco Systems, Inc. 2007 del © todos los derechos reservados.