! Lista de acceso saliente Controlan el tráfico saliente del router a través del puerto en que está aplicada, una vez que ya ha sido conmutado.



Documentos relacionados
Lista de Control de Acceso (ACL) LOGO

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

2003 Cisco Systems, Inc. All rights reserved.

Listas de Control de Acceso. E. Interiano

Ing. Ma. Eugenia Macías Ríos. Administración de Redes

LISTAS DE CONTROL DE ACCESO ACL

Capítulo 6: Access Lists

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida

Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas

CONFIGURACIÓN DE ROUTERS: LISTAS DE CONTROL DE ACCESO (ACLs)

Capa de TRANSPORTE. Ing. José Martín Calixto Cely Original: Galo Valencia P.

Máscaras Wildcard y ACL. CCNA 2: Módulo 11.

LISTAS DE CONTROL DE ACCESO ACLS

Práctica de laboratorio 8.3.3: Configuración y verificación de las ACL estándar

Seguridad en redes y protocolos asociados

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

Listas de control de acceso

8 Conjunto de protocolos TCP/IP y direccionamiento IP

Introducción al enrutamiento y envío de paquetes

TELECOMUNICACIONES Y REDES

CCNA 2. Laboratorio Enrutamiento por defecto con los protocolos RIP e IGRP (Hecho con Packet Tracer 4.11)

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED

Capitulo 2: Enrutamiento Estático

Curso de Redes Computadores 1 Tema 3 Introducción a la capa de transporte. Interfaz de programación en redes. Sockets.

Estudio de caso. Redes WAN. Programa de las Academias de Networking de Cisco CCNA 4: Tecnologías WAN v3.1

2. Qué dispositivo se debe utilizar para enrutar un paquete a una red remota? A switch de acceso B servidor de DHCP C hub D router

PORTAFOLIO DE EVIDENCIAS REDES ESCALABLES I

Práctica de laboratorio a Configuración de listas de acceso extendidas

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Redes (IS20) Ingeniería Técnica en Informática de Sistemas. CAPÍTULO 8: El nivel de transporte en Internet

Práctica de laboratorio b Listas de acceso extendidas sencillas

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS

UNLaM REDES Y SUBREDES DIRECCIONES IP Y CLASES DE REDES:

Práctica de laboratorio 7.5.2: Reto de configuración de RIPv2

Experiencia 2 y 3 : Cableado y Switchs (Documentación)

UNIDADES DE ALMACENAMIENTO DE DATOS

Práctica de laboratorio c Funciones de múltiples listas de acceso (Desafío)

Práctica de laboratorio a Configuración de listas de acceso estándar

Configuración de ACL IP utilizadas frecuentemente

Packet Tracer: configuración de ACL extendidas, situación 1

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4

Práctica de laboratorio 9.6.2: Práctica de laboratorio de reto de configuración de EIGRP

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Dispositivos de Red Hub Switch

Protocolos de red. IP: Internet Protocol

Laboratorio práctico 5.5.3: Desarrollo de las ACL para implementar conjuntos de reglas de firewall

TELECOMUNICACIONES Y REDES. Redes Computacionales II. Prof. Cristian Ahumada V.

Problemas del cliente de marcación de entrada de Windows con las máscaras de subred, los gatewayes y los Domain Name

Laboratorio práctico Exploración de QoS de red

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS COORDINACIÓN CIÓN DE COMPUTACIÓN

Capitulo 1: Intro. al Enrutam. y reenvio de paquetes

Examen final basado en destrezas del Semestre 4 Parte 1: Configuración del router Capacitación del estudiante Ejercicio de Frame Relay (60 puntos)

Es un conjunto de dispositivos interconectados entre si que comparten recursos y/o servicios como video, voz y datos a través de medios guiados, no

Práctica de laboratorio 8.3.4: Planificación, configuración y verificación de las ACL extendidas

Guía 1 Networking. Isp(config)#banner motd #Acceso Restringido. Solo Personal Autotizado!# * Activa mensaje. Fin del item número 1

Laboratorio práctico Cómo hacer un diagrama de los flujos de tráfico de Intranet

Capítulo 11: Capa 3 - Protocolos

Práctica de laboratorio: Visualización de tablas de enrutamiento de host

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Sistemas de Transportes de Datos (STD) Tema II: IP (Entrega 2) Grupo de Aplicaciones Telemáticas. Grupo de Aplicaciones Telemáticas

ESCUELA DE INGENIERÍA DE SISTEMAS Y COMPUTACION. JOHN GÓMEZ CARVAJAL johncar@univalle.edu.co

Universidad de Antioquia Juan D. Mendoza V.

Como es una dirección IP v4? Para que me sirve una dirección IP 12/07/2011. Direccionamiento IP. Direccionamiento IP. Fisico (Mac-address)

CSIR2121. Administración de Redes I

Examen Cisco Online CCNA4 V4.0 - Capitulo 7. By Alen.-

DIPLOMADO EN SEGURIDAD INFORMATICA

IP v6. :: Redes :: Redes : : IP v6. transporte. red. enlace. física. aplicación. Versión 28/02/11

Práctica 3: Configuración de protocolo OSPF.

Packet Tracer: Investigación de los modelos TCP/IP y OSI en acción

Laboratorio práctico Monitoreo del tráfico de VLAN

Protocolo ARP. Address Resolution Protocol

La vida en un mundo centrado en la red

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Tema: NAT. Contenidos. Objetivos Específicos. Materiales y Equipo. Procedimiento. Bibliografía. Guía 1

La vida en un mundo centrado en la red

1 of 6. Visualizador del examen - ENetwork Chapter 5 - CCNA Exploration: Network Fundamentals (Versión 4.0)

REDES. Seguridad en Redes. Práctica 3

INSTITUTO TECNOLÓGICO DE SALINA CRUZ. Fundamentos De Redes. Semestre Agosto-Diciembre Reporte De Lectura

INTRODUCCION Y ENUNCIADO

CFGM. Servicios en red. Unidad 2. El servicio DHCP. 2º SMR Servicios en Red

Capa de red de OSI. Semestre 1 Capítulo 5 Universidad Cesar Vallejo Edwin Mendoza emendozatorres@gmail.com

Práctica de laboratorio 5.2.3b Creación de una WAN enrutada básica


1.- Convierte las direcciones: y a formato binario e identifica su clase.

Práctica 4 - Network Address Translation (NAT)

Diseño de Redes LAN Tecnologías de conmutación. Derman Zepeda Vega.

Capítulo 6 Introducción a TCP/IP

Laboratorio práctico 7.3.5: Prueba de una red prototipo

Redes Locales: El protocolo TCP/IP

4.1 Introducción a los protocolos por vector distancia.

Práctica de laboratorio: Configuración de la traducción de la dirección del puerto (PAT)

Práctica de laboratorio 1.3.1: Revisión de los conceptos de Exploration 1

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP)

Estudio de caso. Enrutamiento. Programa de las Academias de Networking de Cisco CCNA 2: Principios básicos de routers y enrutamiento v3.

DISPOSITIVOS DE CAPA 3. Ing. Camilo Zapata Universidad de Antioquia

10.3.1: Actividad de desafío de integración de aptitudes del Packet Tracer. Diagrama de topología

Introducción a redes Ing. Aníbal Coto Cortés

CAPITULO 4 TCP/IP NETWORKING

Transcripción:

9. ADMINISTRACIÓN DEL TRÁFICO EN LA RED El funcionamiento de la red suele requerir que el Administrador establezca restricciones de acceso y prioridades en el tráfico de la red a fin de hacer más eficiente su desempeño y brindar mayor seguridad a las recursos y la información transmitida. El Cisco IOS proporciona funcionalidades básicas de filtrado de tráfico a partir del uso de Listas de Control de Acceso (ACL). Una lista de control de acceso es una enumeración secuencial de indicaciones de permiso y/o prohibición para determinadas direcciones y/o protocolos de capa superior específicos. Algunas razones para implementar listas de acceso: Limitar el tráfico de la red como una manera de mejorar su performance. Implementar controles para el flujo de tráfico. Brindar un nivel de seguridad básico. Especificar que determinado tipo de tráfico (aplicación o protocolo) sea reenviado o bloqueado en la interfase de un dispositivo. Reglas de funcionamiento de ACL! Se puede configurar una sola lista en cada interfase por sentido del tráfico (entrante / saliente), por protocolo de enrutamiento (IP, IPX, etc.).! Cada lista de acceso es identificada por un ID único (un numérico o alfanumérico). En el caso de las listas numeradas, este ID identifica el tipo de lista de acceso y las diferencia de otras semejantes.! Cada paquete que ingresa o sale de la interfase es comparado con cada línea de la lista secuencialmente, en el mismo orden en que fueron ingresadas, comenzando por la primera ingresada.! La comparación se sigue realizando hasta tanto se encuentre una coincidencia. Una vez que el paquete cumple la condición de una línea, se ejecuta la acción indicada y no se sigue comparando.! Hay un deny all implícito al final de cada lista de acceso, que no es visible. Por lo tanto, si el paquete no coincide con ninguna de las premisas declaradas en la lista será descartado.! Los filtros de tráfico saliente no afectan el tráfico originado en el mismo router.! Las listas de acceso IP al descartar un paquete envían al origen un mensaje ICMP de host de destino inalcanzable.! Tener en cuenta que al activar listas de acceso el router automáticamente conmuta de fast switching a process switching. o Fast Switching Feature de los routers Cisco que utiliza un cache del router para conmutar rápidamente los paquetes hacia el puerto de salida sin necesidad de seleccionar la ruta para cada paquete que tiene una misma dirección de destino. o Process Switching Operación que realiza una evaluación completa de la ruta por paquete. Implica la transmisión completa del paquete al CPU del router donde será re-encapsulado para ser entregado a través de la interfase de destino. El router realiza la selección de la ruta para cada paquete. Es la operación que requiere una utilización más intensiva de los recursos del router. APUNTE BÁSICO DE NETWORKING V. 1.0-114

Tipos de listas de acceso IP e IPX! Listas de acceso estándar - Listas IP: permiten filtrar únicamente direcciones IP de origen. Listas IPX: filtran tanto direcciones IPX de origen como de destino.! Listas de acceso extendidas - Listas IP: verifican direcciones de origen y destino, protocolo de capa 3 y puerto de capa 4. Listas IPX: Permiten filtrar además de las direcciones IPX de origen y destino, a través del valor del campo protocolo del encabezado de capa 3 y el número de socket del encabezado de capa 4.! Listas de acceso nombradas Listas de acceso IP tanto estándar como extendidas que verifican direcciones de origen y destino, procolos de capa 3 y puertos de capa 4, identificadas con una cadena de caracteres alfanuméricos. A diferencia de las listas de acceso numeradas, se configuran en un submodo propio y son editables.! Filtros IPX SAP - Se utilizan para controlar el tráfico de paquetes SAP tanto a nivel LAN como WAN. Son un mecanismo útil para controlar el acceso a los dispositivos IPX.! Lista de acceso entrante Controlan el tráfico que ingresa al router a través del puerto en el que está aplicada, y antes de que sea conmutado a la interface de salida.! Lista de acceso saliente Controlan el tráfico saliente del router a través del puerto en que está aplicada, una vez que ya ha sido conmutado. Número de lista de accesso: El tipo de lista de acceso y protocolo de capa 3 que filtra se especifica a partir de un número de lista de acceso. El listado completo de números de listas de acceso y su significado se puede consultar en el IOS a partir del modo configuración tipeando: Router(config)#access-list? 1-99 IP estándar 100-199 IP extendida 200-299 Protocol type code 300-399 DECnet 400-499 XNS estándar 500-599 XNS extendida 600-699 AppleTalk 700-799 48 bit MAC address estándar 800-899 IPX estándar 900-999 IPX extendida 1000-1099 IPX SAP 1100-1199 48 bit MAC address extendida 1200-1299 IPX summary address APUNTE BÁSICO DE NETWORKING V. 1.0-115

Números de puerto En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se puede también especificar la aplicación que se desea filtrar a través del número de puerto. FTP Data = 20 TCP FTP = 21 TCP Telnet = 23 TCP SMTP = 25 TCP Time = 37 UDP TACACS = 49 UDP DNS = 53 UDP DHCP server = 67 UDP DHCP client = 68 UDP TFTP = 69 UDP Gopher = 70 UDP Finger = 79 UDP HTTP = 80 TCP POP3 = 110 TCP RPC = 111 UDP NetBIOS name = 137 UDP NetBIOS datag = 138 UDP NetBIO session = 139 UDP SNMP = 161 UDP IRC = 194 Máscara de wildcard Las máscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para generar filtros de direcciones IP. Se utilizan en combinación con una dirección IP. En las máscaras de wildcar el dígito en 0 (cero) indica una posición que debe ser comprobada, mientras que el dígito 1 (uno) indica una posición que carece de importancia. La máscara se aplica a una dirección IP específica contenida en la declaración de la ACL y a la dirección de los paquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete el criterio de permiso o denegación enunciado en la línea correspondiente. 172.16.14.33 0.0.0.0 Indica que se debe seleccionar únicamente la dirección IP declarada. 172.16.14.44 0.0.0.255 Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y 172.16.14.255 (no discrimina respecto del cuarto octeto). APUNTE BÁSICO DE NETWORKING V. 1.0-116

172.16.14.14 0.0.255.255 Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del número de host los dos últimos bits-). Algunas reglas de cálculo 1. Cuando se desea filtrar una red completa, la máscara de wildcard es el complemento de la máscara de subred por defecto: Dirección de red: 172. 16. 0. 0 Máscara de subred por defecto: 255.255. 0. 0 Máscara de wildcard: 0. 0.255.255 2. Cuando se desea filtrar una subred completa, la máscara de wildcard es el complemento de la máscara de subred que se esté aplicando: Dirección de subred: 172. 16. 30. 0/24 Máscara de subred por defecto: 255.255.255. 0 Máscara de wildcard: 0. 0. 0.255 Dirección de subred: 172. 16. 32. 0/20 Máscara de subred por defecto: 255.255.240. 0 Máscara de wildcard: 0. 0. 15.255 Configuración de las listas En el proceso de configuración de las listas de acceso deben distinguirse 2 etapas: 1. creación de la lista de acceso en modo configuración global 2. asignación de esa lista a un puerto de modo entrante o saliente. Listas de acceso IP estándar Router(config)#access-list [1-99] [permit/demy] [IP origen] Router(config-if)#ip access-group [1-99] [in/out] Listas de acceso IP extendida Router(config)#access-list [100-199] [permit/demy] [protocolo][ip origen] [IP destino] [tipo servicio] Router(config-if)#ip access-group [100-199] [in/out] Listas de acceso IP nombradas Router (config)#ip access-list [standard/extended] [nombre] Para configurar una lista de acceso ip nombrada estándar: Router (config-std-nacl)#[permit/demy] [IP origen] APUNTE BÁSICO DE NETWORKING V. 1.0-117

Para configurar una lista de acceso ip nombrada extendida: Router (config-ext-nacl)#[permit/demy] [protocolo][ip origen] [IP destino] [tipo servicio] Listas de acceso IPX estándar Router(config)#access-list [800-899] [permit/demy] [dirección IPX origen] [dirección IPX destino] Nota: el valor -1 en el campo correspondiente a las direcciones de origen y/o destino indica cualquier origen o destino. Router(config-if)#ipx access-group [800-899] [in/out] Listas de acceso IPX extendida Router(config)#access-list [900-999] [permit/demy] [protocolo][dirección IPX origen] [dirección IPX destino] [socket] Router(config-if)#ipx access-group [900-999] [in/out] Filtros IPX SAP Router(config)#access-list [1000-1099] [permit/demy] [dirección IPX origen] [servicio] Nota: el valor 0 en el campo servicio indica todos los servicios. Router(config-if)#ipx [input/output]-sap-filter [1000-1099] Filtros aplicados a terminales virtuales Se pueden aplicar a las terminales virtuales (acceso por telnet) listas de acceso estándar a fin de limitar las direcciones IP a partir de las cuales se podrá conectar al dispositivo vía telnet. Un ejemplo: Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#line vty 0 4 Router(config-line)#access-class 10 in Comandos especiales En algunos casos especiales, un comando puede reemplazar una máscara de wilcard, con el mismo efecto: xxx.xxx.xxx.xxx 0.0.0.0 = host xxx.xxx.xxx.xxx 0.0.0.0 255.255.255.255 = any -1 = any IPX network remark utilizado en lugar de la opción permit/deny, permite insertar comentarios en una lista de acceso. Si no se especifica una máscara por defecto, el sistema operativo asume la máscara por defecto: 0.0.0.0 En consecuencia, las siguientes formas son equivalentes: Router(config)#access-list 10 permit 172.16.10.3 0.0.0.0 APUNTE BÁSICO DE NETWORKING V. 1.0-118

Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#access-list 10 permit 172.16.10.3 Monitoreo de las listas Router#show access-list [#] Router#show ip access-list Router#show ipx access-list Router#show ip interface Router#show ipx interface Router#show running-config muestra las listas y el contenido de todas las ACL o una en particular. No permite verificar a qué interfase están aplicadas. muestra solamente la configuración de ACL IP. muestra solamente la configuración de ACL IPX. muestra los puertos que tienen aplicadas ACL IP. muestra los puertos que tienen aplicadas ACL IPX. muestra tanto las listas de acceso configuradas, como la que se encuentran aplicadas a cada interfase. Para ver un detalle de la información brindada por cada comando show, vea el Anexo 1 Comandos IOS para Monitoreo. Tips de aplicación! Antes de comenzar a trabajar sobre una lista de acceso existente, desvincúlela de todas las interfases a las que se encuentre asociada.! No se puede remover una única línea de una lista de acceso numerada (no son editables).! Ya que las listas numeradas no son editables, es una buena práctica -para mantener un proceso de edición más simple-, recurrir al uso de un editor de texto.! Cada vez que agrega una línea a la lista de acceso, esta se ubicará a continuación de las líneas existentes, al final.! Organice su lista de acceso de modo que los criterios más específicos estén al comienzo de la misma, y luego las premisas más generales.! Coloque primero los permisos y luego las denegaciones.! Toda lista debe incluir al menos un comando permit.! Las listas no filtran el tráfico originado en el router.! Una misma lista de acceso puede ser asignada a varias interfaces en el mismo dispositivo, tanto en modo entrante como saliente.! Las listas de acceso estándar deben colocarse lo más cerca posible del destino del tráfico.! Las listas de acceso extendidas deben colocarse lo más cerca posible del origen del tráfico que será denegado. APUNTE BÁSICO DE NETWORKING V. 1.0-119

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback