Estudiante

Aneuris Canot Aria 2021-0551

Maestro

Kelvin Albuez

Tema
Conceptos de ACL

Sección

Lunes G-4

Fecha de entrega

20/06/2022
¿Qué es el ACL?

Una Lista de Control de Accesos (ACL: Access Control List) es una serie de instrucciones que
controlan que en un router se permita el paso o se bloqueen los paquetes IP de datos, que maneja
el equipo según la información que se encuentra en el encabezado de los mismos.

Los enrutadores toman decisiones de enrutamiento basadas en la información del encabezado

del paquete. El tráfico que ingresa a una interfaz de enrutador se enruta únicamente en función
de la información dentro de la tabla de enrutamiento. El router compara la dirección IP de
destino con las rutas de la tabla de enrutamiento para encontrar la mejor coincidencia y, a
continuación, reenvía el paquete según la mejor ruta de coincidencia. Ese mismo proceso se
puede utilizar para filtrar el tráfico mediante una lista de control de acceso (ACL).

Una ACL es una serie de comandos del IOS que controlan si un enrutador reenvía o descarta
paquetes según la información que se encuentra en el encabezado del paquete. De forma
predeterminada, un enrutador no tiene ninguna ACL configurada. Sin embargo, cuando se
aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes
de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar.

Filtrado de paquetes

El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes
entrantes y salientes y la transferencia o el descarte de estos según criterios determinados. El
filtrado de paquetes puede producirse en la capa 3 o capa 4, como se muestra en la ilustración.
ACL estándar: las ACL sólo filtran en la capa 3 utilizando únicamente la dirección IPv4 de
origen. ACL extendidas: las ACL filtran en la capa 3 mediante la dirección IPv4 de origen y/o
destino. También pueden filtrar en la Capa 4 usando TCP, puertos UDP e información de tipo
de protocolo opcional para un control más fino.

Funcionamiento de las ACL

Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes
que ingresan por las interfaces de entrada, para los que retransmiten a través del enrutador y
para los que salen por las interfaces de salida del enrutador.

Una ACL entrante filtra los paquetes antes de que se enruten a la interfaz destacada. Las ACL
de entrada son frecuentes, porque ahorrarán la sobrecarga de enrutar búsquedas si el paquete
se descarta. Si las ACL permiten el paquete, este se procesa para el enrutamiento. Las ACL de
entrada son ideales para filtrar los paquetes cuando la red está conectada a una interfaz de
entrada es el único origen de los paquetes que se deben examinar.
Las ACL de salida filtran los paquetes después de que se enrutan, independientemente de la
interfaz de entrada. Los paquetes entrantes se enrutan a la interfaz destacada y luego se
procesan a través de la ACL destacada. Las ACL de salida son ideales cuando se aplica el
mismo filtro a los paquetes que ofrecen varias interfaces de entrada antes de salir por la misma
interfaz de salida.

Descripción general de la máscara Wildcard

En el tema anterior, aprendió sobre el propósito de ACL. En este tema se explica cómo ACL
utiliza máscaras comodín. Un ACE IPv4 utiliza una máscara comodina de 32 bits para
determinar qué bits de la dirección se deben examinar para obtener una coincidencia. El
protocolo de enrutamiento Open Shortest Path First (OSPF) también utiliza máscaras comodín.

Una máscara comodina es similar a una máscara de subred, ya que utiliza el proceso AnDing
para identificar los bits de una dirección IPv4 que deben coincidir. Sin embargo, difieren en la
forma en que coinciden los binarios 1s y 0s. Sin embargo, a diferencia de una máscara de
subred en la que el 1 binario equivale a una coincidencia y el 0 binario no es una coincidencia,
en las máscaras wildcard es al revés.

Palabras clave de las máscaras comodín

Trabajar con representaciones decimales de los bits binarios de máscaras comodín puede ser
tedioso. Para simplificar esta tarea, Cisco IOS proporciona dos palabras clave para identificar
los usos más comunes del enmascaramiento de comodines. Las palabras clave reducen las
pulsaciones de teclas ACL y facilitan la lectura del ACE.

Número limitado de ACL por interfaz

En un tema anterior, ha aprendido cómo se utilizan las máscaras comodín en las ACL. Este
tema se centrará en las directrices para la creación de ACL. Existe un límite en el número de
ACL que se pueden aplicar en una interfaz de enrutador. Por ejemplo, una interfaz de enrutador
de doble apilado (es decir, IPv4 e IPv6) puede tener hasta cuatro ACL aplicadas, como se
muestra en la figura. Suponga que R1 tiene dos interfaces apiladas dobles que requieren ACL
IPv4 e IPv6 de entrada y salida aplicadas. Como se muestra en la figura, R1 podría tener hasta
8 ACL configuradas y aplicadas a las interfaces. Cada interfaz tiene cuatro ACL: dos ACL para
IPv4 y dos ACL para IPv6. Para cada protocolo, una ACL es para el tráfico entrante y otra para
el tráfico saliente.

Optimizaciones de las ACL

El uso de las ACL requiere prestar atención a los detalles y un extremo cuidado. Los errores
pueden ser costosos en términos de tiempo de inactividad, esfuerzos de resolución de
problemas y servicio de red deficiente. Se requiere una planificación básica antes de configurar
una ACL.

La tabla presenta pautas que forman la base de una lista de mejores prácticas de ACL.

ACL estándar y extendido

Los temas anteriores abarcaron el propósito de ACL y las directrices para la creación de ACL.
Este tema abarcará las ACL estándar y extendidas, las ACL con nombre y numeradas, y los
ejemplos de ubicación de estas ACL.

Existen dos tipos de ACL IPv4:

ACL estándar: permitir o denegar paquetes basados únicamente en la dirección IPv4 de origen.
ACL extendidos: permiten o deniegan paquetes basados en la dirección IPv4 de origen y la
dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y
más.

ACL nombradas

Las ACL con nombre son el método preferido para configurar ACL. Específicamente, las ACL
estándar y extendidas se pueden nombrar para proporcionar información sobre el propósito de
la ACL. Por ejemplo, nombrar un FILTRO FTP-ACL extendido es mucho mejor que tener un
ACL 100 numerado.

El comando de configuración ip access-list global se utiliza para crear una ACL con nombre,
como se muestra en el siguiente ejemplo.

Dónde ubicar las ACL

Cada ACL se debe colocar donde tenga más impacto en la eficiencia.

La figura ilustra dónde deben ubicarse las ACL estándar y extendidas en una red empresarial.
Asuma el objetivo de evitar que el tráfico que se origina en la red 192.168.10.0/24 llegue a la
red 192.168.30.0/24.

Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea
filtrar. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce
la infraestructura de red.
Las ACL estándar deben aplicarse lo más cerca posible del origen. Si una ACL estándar se
ubicará en el origen del tráfico, la instrucción “permit” o “deny” se ejecutará según la dirección
de origen determinada independientemente de dónde se dirige el tráfico.

La colocación de la ACL y, por lo tanto, el tipo de ACL utilizado, también puede depender de
una variedad de factores que se enumeran en la tabla.

Ejemplo de una ACL extendida

La ACL extendida debe ubicarse lo más cerca posible de la fuente. Esto evita que el tráfico no
deseado se envíe a través de varias redes y luego sea denegado cuando llegue a destino.

Sin embargo, los administradores de red solo pueden colocar las listas ACL en los dispositivos
que controlan. Por lo tanto, la ubicación extendida de ACL debe determinarse en el contexto
de donde se extiende el control organizacional.

Existen varias formas de lograr estos objetivos. Una ACL extendida en R3 cumpliría la tarea,
pero el administrador no controla R3. Además, esta solución permite que el tráfico no deseado
atraviese toda la red y se bloquee en el destino. Esto afecta la eficacia general de la red.

La solución es colocar una ACL extendida en R1 que especifique las direcciones de origen y
destino.

La figura muestra dos interfaces en R1 en las que sería posible aplicar la ACL extendida:

R1 S0/1/0 Interfaz (saliente) \ - La ACL extendida se puede aplicar destacada en la interfaz

S0/1/0. Sin embargo, esta solución procesará todos los paquetes que salgan de R1, incluidos
los paquetes de 192.168.10.0/24.

R1 G0/0/1 interface (inbound) - la ACL extendida se puede aplicar entrante en el G0 / 0/1 y solo
los paquetes de la red 192.168.11.0/24 están sujetos al procesamiento de ACL en R1. Debido a que el
filtro se debe limitar solo a aquellos paquetes que salen de la red 192.168.11.0/24, la aplicación de una
ACL extendida a G0/1 es la mejor solución.