Router Teldat. Control de Acceso

Router Teldat Control de Acceso Doc. DM752 Rev. 10.50 Abril, 2005

ÍNDICE Capítulo 1 Introducción...1 1. Listas de Control de Acceso... 2 Capítulo 2 Configuración...3 1. Introducción... 4 2. Acceso a configuración...5 3. Menú principal de configuración... 6 3.1.? (AYUDA)...7 3.2. ACCESS-LIST...7 3.3. LIST... 7 a) LIST ALL-ACCESS-LISTS... 7 b) LIST STANDARD-ACCESS-LISTS...8 c) LIST EXTENDED-ACCESS-LISTS...8 3.4. NO... 8 a) NO ACCESS-LIST...9 3.5. EXIT... 9 4. Listas de Acceso Genéricas... 10 4.1.? (AYUDA)...10 4.2. ENTRY... 10 a) ENTRY <id> DEFAULT... 11 b) ENTRY <id> PERMIT... 11 c) ENTRY <id> DENY... 11 d) ENTRY <id> SOURCE... 12 ENTRY <id> SOURCE ADDRESS...12 e) ENTRY <id> DESCRIPTION... 12 4.3. LIST... 12 a) LIST ALL-ENTRIES... 13 b) LIST ADDRESS-FILTER-ENTRIES...13 c) LIST ENTRY...13 4.4. MOVE-ENTRY...14 4.5. DESCRIPTION...14 4.6. NO... 14 a) NO ENTRY... 15 4.7. EXIT... 15 5. Listas de Acceso Extendidas... 16 5.1.? (AYUDA)...16 5.2. ENTRY... 16 a) ENTRY <id> DEFAULT... 17 b) ENTRY <id> PERMIT... 17 c) ENTRY <id> DENY... 17 d) ENTRY <id> SOURCE... 18 ENTRY <id> SOURCE ADDRESS...18 ENTRY <id> SOURCE PORT-RANGE... 18 e) ENTRY <id> DESTINATION... 19 ENTRY <id> DESTINATION ADDRESS... 19 ENTRY <id> DESTINATION PORT-RANGE... 19 f) ENTRY <id> PROTOCOL... 20 g) ENTRY <id> PROTOCOL-RANGE...20 h) ENTRY <id> DSCP... 20 i) ENTRY <id> CONNECTION... 20 j) ENTRY <id> DESCRIPTION... 21 - ii -

5.3. LIST... 21 a) LIST ALL-ENTRIES... 21 b) LIST ADDRESS-FILTER-ENTRIES...22 c) LIST ENTRY...22 5.4. MOVE-ENTRY...22 5.5. DESCRIPTION...23 5.6. NO... 23 a) NO ENTRY... 23 5.7. EXIT... 24 6. Show Config... 25 7. Ejemplo práctico... 26 Creación de las listas de control de acceso... 26 Asociación de Lista de acceso a Protocolo IPSec...27 Capítulo 3 Monitorización...29 1. Comandos de Monitorización... 30 1.1.? (AYUDA)...30 1.2. LIST... 31 a) LIST ALL... 31 LIST ALL ALL-ACCESS-LISTS...31 LIST ALL ADDRESS-FILTER-ACCESS-LISTS...32 LIST ALL ACCESS-LIST... 33 b) LIST CACHE...33 LIST CACHE ALL-ACCESS-LISTS... 33 LIST CACHE ADDRESS-FILTER-ACCESS-LISTS...34 LIST CACHE ACCESS-LIST...34 c) LIST ENTRIES...35 LIST ENTRIES ALL-ACCESS-LISTS... 35 LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS...36 LIST ENTRIES ACCESS-LIST...36 1.3. CLEAR-CACHE...37 1.4. SET-CACHE-SIZE...37 1.5. SHOW-HANDLES...37 1.6. HIDE-HANDLES...37 Capítulo 4 Anexo...38 1. Puerto Reservados... 39 2. Protocolos Reservados...40 - iii -

Capítulo 1 Introducción

1. Listas de Control de Acceso Los routers se sirven de listas de control de acceso (ACL) para identificar el tráfico que pasa por ellos. Las listas de acceso pueden filtrar el flujo de paquetes que pasa por los interfaces del router. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP origen o destino, puertos origen o destino, o a protocolos IP de capa superior tales como IP, TCP. Pueden separar el tráfico en diferentes colas según sea su prioridad. Tipos de listas de acceso: Estándar(1-99): comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. Extendidas(100-199): comprueban tanto la dirección de origen como la de destino de cada paquete, también pueden verificar protocolos específicos, números de puertos y otros parámetros. Las listas de acceso se pueden aplicar tanto de entrada (evita la sobrecarga de router), como de salida. Una lista de control de acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo. El protocolo que utiliza una Lista de Control de Acceso, la utiliza como una herramienta que le permite establecer filtros de tráfico. Los protocolos que permiten el manejo de Listas de Control de Acceso incorporan comandos que permiten asociar el protocolo a dichas Listas. Los protocolos típicos que manejan Listas de Control de Acceso son, entre otros: BRS, IPSec, Policy Routing, RIP. Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de las entradas. El resultado de la búsqueda a la recepción de un paquete puede ser: Paquete IP Lista de Acceso Encontrado Permitir Denegar No Encontrado No Encontrado Es el protocolo asociado el que determina lo debe hacer con el paquete IP, a tenor del resultado de la aplicación de la Lista de Acceso. ROUTER TELDAT Listas de Control de acceso I - 2

Capítulo 2 Configuración

1. Introducción Cada entrada de esta lista es un bloque de sentencias y una acción, y está identificada por un único número (el identificador o campo ID de la entrada). El bloque de sentencias esta compuesto por una dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre interfaces por los que viajaría el paquete. No es necesario especificarlos todos, tan sólo el que se desee. La acción representa el procesamiento asignado a los paquetes coincidentes con el bloque de sentencias asociado: PERMIT o DENY. Una lista de control de acceso genérica y extendida está formada por una serie de entradas que definen las propiedades que debe tener un paquete para que se considere que perteneciente a esa entrada y por consiguiente a esa lista. Después, esa lista de control de acceso genérica se asigna a un protocolo. Lista 1 Entrada 1 Entrada 2 Acción Sentencia A Sentencia B Sentencia Z Acción Sentencia A Sentencia B Sentencia Z Entrada n Acción Sentencia A Sentencia B Sentencia Z Una Lista de Control de Acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo. Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de las entradas. El resultado de la búsqueda puede tener los siguientes valores: No encontrado, Permitir o Denegar. El protocolo asociado determina qué hacer con el paquete ante el resultado devuelto por la Lista de Control de Acceso. II - 4

2. Acceso a configuración Las operaciones de crear, modificar o eliminar listas de acceso se hace desde un menú especifico, en el cual a demás se permite visualizar las listas creadas. En la estructura de configuración del router, los Controles de Acceso, están organizados como una funcionalidad (FEATURE). Para visualizar las funcionalidades que permite configurar el router, se debe introducir el comando feature seguido de una signo de interrogación (?). Config>feature? access-lists bandwidth-reservation control-access dns frame-relay-switch ip-discovery ldap mac-filtering nsla nsm ntp radius route-map sniffer syslog vlan wrr-backup-wan wrs-backup-wan Config> Access generic access lists configuration environment Bandwidth-Reservation configuration environment Control-access configuration environment DNS configuration environment Frame Relay Switch configuration environment TIDP configuration environment LDAP configuration environment Mac-filtering configuration environment Network Service Level Advisor configuration Network Service Monitor configuration environment NTP configuration environment RADIUS protocol configuration environment Route-map configuration environment Sniffer configuration environment Syslog configuration environment IEEE 802.1Q switch configuration environment WRR configuration environment WRS configuration environment Para acceder al menú de configuración de Controles de Acceso se debe introducir, desde el menú raíz de configuración (PROCESS 4), la palabra feature, seguida de access-list. Config>feature access-lists -- Access Lists user configuration -- Access Lists config> Con esto se accede al menú principal de configuración de la funcionalidad de Controles de Acceso. En este menú se permite crear, eliminar y visualizar las lista de acceso. Cada lista de control de acceso está formada por entradas, en la que se indica el criterio y los parámetros que permiten o limitan el acceso. Existen dos tipos de listas de control de acceso: Genéricas y Extendidas. En las listas Genéricas se utilizan muy pocos parámetros para definir las características de cada entrada de Control de Acceso. Por el contrario, las listas Extendidas permiten definir un mayor número de parámetros de selección. Dentro del menú principal de Listas de Acceso existen dos submenús, uno para cada tipo de lista. El acceso a cada submenú se produce en el momento de editar una lista concreta, dependiendo que el tipo seleccionado sea Extendida o Genérica. II - 5

3. Menú principal de configuración Dentro de menú principal de configuración de Control de Acceso se permite crear y eliminar listas. También se permite visualizar la configuración de las las listas creadas. Una Lista de Acceso consta de una serie de entradas. Cada entrada de esta lista es un bloque de sentencias y una acción. Cada entrada está identificada por un único número (el identificador o campo ID de la entrada). El bloque de sentencias puede estar compuesto por una dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre interfaces por los que viajaría el paquete. La acción determina el criterio que se aplica a los paquetes IP que cumplen con la condición indicada por las sentencias. La acción puede ser de dos tipos: incluyente (permit) o excluyente(deny). El router permite configurar 199 listas de acceso. Las listas de acceso cuyo identificador tenga un valor entre 1 y 99 serán Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tenga un valor entre 100 y 199 serán Listas de Acceso Extendidas. Por defecto las 199 Listas de Acceso están vacías. Una lista de acceso está vacía cuando no contiene entradas. Dependiendo del tipo de lista creada (Genérica/Extendida), la configuración de las entradas a cada lista se hace dentro de un submenú propio de cada una de ellas, que tendrá los mismos parámetros para todas las que son del mismo tipo. La descripción del modo de configuración de los parámetros de estos submenús se indica en los apartados siguientes a este. Si alguno de los parámetros u opciones de las entradas de las Listas de Control de Acceso no se configura, no será tenido en cuenta a la hora de realizar la comprobación de acceso. El orden de las entradas en la Lista de Control de Acceso es muy importante en casos, en los cuales, la información referenciada por las sentencias, se solape entre diferentes entradas. Se debe tener presente que el orden de tratamiento de las entradas de una lista no viene definido por el número del identificador de la entrada, sino por el orden en que se introducen. Este orden se puede visualizar utilizando el comando list. El orden se puede modificar utilizando el comando move-entry. Es decir, si al recorrer la lista, empezando por el primer elemento o entrada que aparece al listar, se encuentra un elemento que encaja en nuestra búsqueda, no se sigue buscando y se aplica la acción indicada en dicho elemento. Dentro del menú principal de Control de Acceso se dispone de los siguientes comandos: Comando Función? (AYUDA) Lista los comandos u opciones disponibles. access-list Configura una lista de acceso. list Muestra la configuración de las listas de acceso. no Niega un comando o pone su valor por defecto. II - 6

3.1.? (AYUDA) Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el router. Se puede también utilizar este comando después de un comando específico para listar las opciones disponibles. Access Lists config>? Access Lists config>? access-list Configure an access-list list Display access-lists configuration no Negates a command or sets its defaults exit Access Lists config> 3.2. ACCESS-LIST Este comando provoca el acceso al submenú que permite configurar entradas en una lista de acceso. Las Listas de Acceso se identifican por un valor numérico que puede tomar valore entre 1 y 199.Por lo tanto, el router permite configurar 199 Listas de Acceso. Las listas de acceso cuyo identificador tiene un valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tiene un valor entre 100 y 199 son Listas de Acceso Extendidas. El submenú de configuración de Listas de Acceso Extendidas permite configurar mayor número de parámetros de selección. Cuando se introduce este comando seguido de un identificador, se pasa al submenú que permite configurar la Lista de Acceso para dicho identificador, apareciendo en el nuevo prompt el tipo de Lista de Acceso y su identificador. Access Lists config>access-list? <1..99> Standard Access List number (1-99) <100..199> Extended Access List number (100-199) Access Lists config>access-list 101 Extended Access List 101> 3.3. LIST El comando LIST muestra la información de configuración de la facilidad Listas de Control de Acceso. Access Lists config>list? all-access-lists Display all access-lists configuration standard-access-lists Display standard access-lists configuration extended-access-lists Display extended access-lists configuration a) LIST ALL-ACCESS-LISTS Muestra TODA la información de configuración Listas de Control de Acceso. II - 7

Access Lists config>list all-access-lists Access Lists config>list all-access-lists Standard Access List 1, assigned to no protocol 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0 PROT=10-255 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Access Lists config> b) LIST STANDARD-ACCESS-LISTS Muestra las Listas de Control de Acceso de tipo General configuradas. Access Lists config>list standard-access-lists Access Lists config>list standard-access-lists Standard Access List 1, assigned to no protocol 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Access Lists config> c) LIST EXTENDED-ACCESS-LISTS Muestra las Listas de Control de Acceso de tipo Extendido configuradas. Access Lists config>list extended-access-lists Access Lists config>list extended-access-lists Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0 PROT=10-255 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Access Lists config> 3.4. NO Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos parámetros. II - 8

Access Lists config>no? access-list Configure an access-list a) NO ACCESS-LIST Elimina el contenido de una Lista de Control de Acceso. Access Lists config>no access-list <ID> Access Lists config>no access-list 100 Access Lists config> 3.5. EXIT Sale del entorno de configuración de la facilidad de Controles de Acceso. Retorna al prompt de configuración general. Access Lists config>exit Access Lists config>exit Config> II - 9

4. Listas de Acceso Genéricas A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el valor 1 y 99, es decir se trata de una Lista Genérica. En el prompt del nuevo submenú se indica que la lista es de tipo Genérica (Standard) y su Identificador. Access Lists config>access-list 1 Standard Access List 1> El submenú de Listas de control de acceso Genéricas admite los siguientes subcomandos: Comando Función? (AYUDA) Lista los comandos u opciones disponibles. entry Configura una entrada dentro de una Lista de Control de Acceso. list Muestra la configuración de las listas de acceso. move-entry Cambiar el orden de las entradas. description Permite insertar una descripción textual de una Lista de Control de Acceso. no Niega un comando o pone su valor por defecto. 4.1.? (AYUDA) Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el router. Se puede también utilizar este comando después de un comando específico para listar las opciones disponibles. Standard Access List #>? Standard Access List 1>? entry Configure an entry for this access-list list Display this access-list configuration move-entry move an entry within an access-list description Configure a description for this access-list no Negates a command or sets its defaults exit Standard Access List 1> 4.2. ENTRY Permite crear y modificar una entrada o elemento dentro de una Lista de Control de Acceso. II - 10

Este comando se debe introducir siempre seguido del identificador del número de registro y de una sentencia. Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro introducido. Standard Access List #>entry <id> <sentencia> [valor] Las opciones de configuración de una entrada Global son las siguientes: Standard Access List #>entry <id>? default Sets default values to an existing or a new entry permit Configures type of entry or access control as permit deny Configures type of entry or access control as deny source Source menu: subnet or port description Sets a description for the current entry a) ENTRY <id> DEFAULT Pone todos los parámetros de una entrada de tipo General a sus valores por defecto. Estos son: PERMITIDO ADDRESS: 0.0.0.0/0 Standard Access List #>entry <id> default Standard Access List 1>entry 3 default Standard Access List 1> b) ENTRY <id> PERMIT Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada (incluyente/excluyente). Standard Access List #>entry <id> permit Standard Access List 1>entry 3 permit Standard Access List 1> c) ENTRY <id> DENY Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Standard Access List #>entry <id> deny Standard Access List 1>entry 3 deny Standard Access List 1> II - 11

d) ENTRY <id> SOURCE Establece la sentencia de parámetros IP en el direccionamiento origen de los mensajes. Standard Access List #>entry <id> source <parámetro> [opciones] Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes: Standard Access List #>entry <id> source? address IP address and mask of the source subnet ENTRY <id> SOURCE ADDRESS Establece la sentencia de dirección IP origen. El rango de direcciones elegido se indica en forma de mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un interfaz y que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será asignada por algún otro mecanismo, como pudiera ser PPP. En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en el caso de configurar un Interfaz se debe introducir el nombre de éste. a) Dirección IP Standard Access List #>entry <id> source address <dirección> <máscara> b) Interfaz Standard Access List #>entry <id> source address <interfaz> a) Dirección IP Standard Access List 1>entry 3 source address 192.168.4.5 255.255.255.255 Standard Access List 1> b) Interfaz Standard Access List 1>entry 3 source address serial0/0 Standard Access List 1> e) ENTRY <id> DESCRIPTION Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso de la entrada. Standard Access List 1>entry <id> description? <1..64 chars> Description text Standard Access List 1>entry 1 description primera entrada Standard Access List 1> 4.3. LIST El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está siendo editada, es decir, la que su identificador está indicado en el prompt del menú. II - 12

Standard Access List #>list? all-entries Display any entry of this access-list address-filter-entries Display the entries that match an ip address entry Display one entry of this access-list a) LIST ALL-ENTRIES Muestra todas las entradas de configuración de la Listas de Control de Acceso, es decir, toda la configuración de la misma. Standard Access List #>list all-entries Standard Access List 1>list all-entries Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Standard Access List 1> b) LIST ADDRESS-FILTER-ENTRIES Muestra las entradas de configuración de la Listas de Control de Acceso que contienen una determinada dirección IP. Standard Access List #>list address-filter-entries <dirección> <subred> Standard Access List 1>list address-filter-entries 192.60.1.24 255.255.255.255 Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 Standard Access List 1> c) LIST ENTRY Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a continuación del comando. Standard Access List #>list entry <id> Standard Access List 1>list entry 1 Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 Standard Access List 1> II - 13

4.4. MOVE-ENTRY Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de otra que se indica, dentro de la Lista de Control de Acceso. El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a continuación se introduce el identificador de la posición por delante de la cual se desea colocar la entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se pone un cero ( 0 ) como identificador final. Standard Access List #>move-entry <entrada_a_mover> <entrada_destino> Standard Access List 1>list all-entries Standard Access List 1, assigned to no protocol 1 DENY SRC=0.0.0.0/0 2 PERMIT SRC=234.233.44.33/32 3 PERMIT SRC=192.23.33.22/32 Standard Access List 1>move-entry 1 0 Standard Access List 1>list all-entries Standard Access List 1, assigned to no protocol 2 PERMIT SRC=234.233.44.33/32 3 PERMIT SRC=192.23.33.22/32 1 DENY SRC=0.0.0.0/0 Standard Access List 1> 4.5. DESCRIPTION Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita más tarde entender mejor su propósito o función. Standard Access List #>description? <1..64 chars> Description text Standard Access List 1>description lista para ipsec Standard Access List 1>list all Standard Access List 1, assigned to no protocol Description: lista para ipsec 1 DESCRIPTION: primera entrada 1 PERMIT SRC=1.1.1.1/32 4.6. NO Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos parámetros. II - 14

Standard Access List #>no? entry Configure an entry for this access-list a) NO ENTRY Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista que se desea eliminar. Standard Access List #>no entry <id> Standard Access List 1>no entry 3 Standard Access List 1> 4.7. EXIT Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del menú principal de Control de Acceso. Standard Access List #>exit Standard Access List 1>exit Access Lists config> II - 15

5. Listas de Acceso Extendidas A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el valor 100 y 199, es decir se trata de una Lista Extendida. En el prompt del nuevo submenú se indica que la lista es de tipo Extendida (Extended) y su identificador. Access Lists config>access-list 100 Extended Access List 100> El submenú de Listas de Control de Acceso Extendidas admite los siguientes subcomandos: Comando Función? (AYUDA) Lista los comandos u opciones disponibles. entry Configura una entrada para esta Lista de Acceso. list Muestra la configuración de las listas de acceso. move-entry Cambiar el orden de las entradas. description Permite insertar una descripción textual de una Lista de Control de Acceso. no Niega un comando o pone su valor por defecto. 5.1.? (AYUDA) Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el router. Se puede también utilizar este comando después de un comando específico para listar las opciones disponibles. Extended Access List #>? Extended Access List 100>? entry Configure an entry for this access-list list Display this access-list configuration move-entry move an entry within an access-list description Configure a description for this access-list no Negates a command or sets its defaults exit Extended Access List 100> 5.2. ENTRY Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso. Este comando se debe introducir siempre seguido del identificador del número de registro de una sentencia. II - 16

Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro introducido. Extended Access List #>entry <id> <parámetro> [valor] Las opciones de configuración de una entrada Extendida son las siguientes: Extended Access List 100>entry 1? default Sets default values to an existing or a new entry permit Configures type of entry or access control as permit deny Configures type of entry or access control as deny source Source menu: subnet or port destination Destination menu: subnet or port protocol Protocol protocol-range Protocol range dscp IP type-of-service byte value connection IP connection identifier (rule) description Sets a description for the current entry no Negates a command or sets its defaults a) ENTRY <id> DEFAULT Pone todos los parámetros de una entrada de tipo Extendido a sus valores por defecto. Estos son: PERMITIDO SOURCE: 0.0.0.0/0 DESTINATION 0.0.0.0/0 NO PROTOCOL-RANGE NO DSCP NO CONNECTION Extended Access List #>entry <id> default Extended Access List 100>entry 3 default Extended Access List 100> b) ENTRY <id> PERMIT Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Extended Access List #>entry <id> permit Extended Access List 100>entry 3 permit Extended Access List 100> c) ENTRY <id> DENY Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. II - 17

Extended Access List #>entry <id> deny Extended Access List 100>entry 3 deny Extended Access List 100> d) ENTRY <id> SOURCE Establece la sentencia de parámetros IP en el direccionamiento origen de los mensajes. Extended Access List #>entry <id> source <parámetro> [opciones] Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes: Extended Access List #>entry <id> source? address IP address and mask of the source subnet port-range source port range ENTRY <id> SOURCE ADDRESS Establece la sentencia de dirección IP origen. El rango de direcciones elegido se indica en forma de mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un Interfaz, que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será asignada por algún otro mecanismo como pudiera ser PPP. En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en el caso de configurar un Interfaz se debe introducir el nombre de éste. a) Dirección IP Extended Access List #>entry <id> source address <dirección> <máscara> b) Interfaz Extended Access List #>entry <id> source address interface <interfaz> a) Dirección IP Extended Access List 100>entry 3 source address 192.168.4.5 255.255.255.255 Extended Access List 100> b) Interfaz Extended Access List 100>entry 3 source address interface serial0/0 Extended Access List 100> ENTRY <id> SOURCE PORT-RANGE Establece la sentencia para el puerto origen del paquete IP. Este comando debe ir seguido de dos números. El primero indica el identificador de puerto en el límite inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos identificadores de puerto puede tomar valores entre 0 y 65535. Este comando tiene la finalidad de poder permitir o no el acceso a distintos puertos. Extended Access List #>entry <id> source port-range <puerto_inf> <puerto_sup> II - 18

Extended Access List 100>entry 3 source port-range 2 4 Extended Access List 100> e) ENTRY <id> DESTINATION Establece la sentencia de parámetros IP en el direccionamiento destino de los mensajes. Extended Access List #>entry <id> destination <parámetro> [opciones] Las opciones que se pueden introducir en la sentencia destino de IP son las siguientes: Extended Access List #>entry <id> destination? address IP address and mask of the source subnet port-range source port range ENTRY <id> DESTINATION ADDRESS Establece la sentencia de dirección IP destino. El rango de direcciones elegido se indica en forma de mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un Interfaz, que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será asignada por algún otro mecanismo como pudiera ser PPP. En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en el caso de configurar un Interfaz se debe introducir el nombre de éste. a) Dirección IP Extended Access List #>entry <id> destination address <dirección> <máscara> b) Interfaz Extended Access List #>entry <id> destination address interface <interfaz> a) Dirección IP Extended Access List 100>entry 3 destination address 192.168.4.5 255.255.255.255 Extended Access List 100> b) Interfaz Extended Access List 100>entry 3 destination address interface serial0/0 Extended Access List 100> ENTRY <id> DESTINATION PORT-RANGE Establece la sentencia para el puerto destino del paquete IP. Este comando debe ir seguido de dos números. El primero indica el identificador de puerto en el límite inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos identificadores de puerto puede tomar valores entre 0 y 65535. Este comando tiene la finalidad de poder permitir o no el acceso a distintos puertos. Extended Access List #>entry <id> destination port-range <puerto_inf> <puerto_sup> Extended Access List 100>entry 3 destination port-range 2 4 Extended Access List 100> II - 19