En este articulo vamos a revisar y explicar la manera en como Configurar un Standart Access-list (ACL) en un switch Cisco.
Vamos a revisa las listas de control de acceso que nos permite y ayudan en agregar filtros en la red.
¿Qué es un ACL?
Access Control Lists (ACL): Se utilizan en casi todas las líneas de productos para varios propósitos, incluido el filtrado de paquetes (tráfico de datos) a medida que pasan de un puerto de entrada a un puerto de salida en un Router o Switch, definir clases de tráfico y restringir el acceso a dispositivos o servicios.
Una ACL es una lista ordenada de reglas que se utilizan para filtrar el tráfico. Cada regla establece lo que está permitido o lo que está prohibido. Cuando un paquete intenta ingresar o salir de un router, se prueba con cada regla de la lista, desde la primera hasta la última. Si el paquete coincide con una regla, su resultado está determinado por las condiciones de la declaración: si la primera regla que el paquete coincide es una declaración de permiso, está permitido; si es una declaración de denegación, se deniega. El router analiza la información de origen y destino para determinar si coincide con alguna de las reglas de la listas de acceso.
Si un router no puede encontrar una coincidencia entre la información en una ACL y la información en el paquete que intenta ingresar, el paquete se niega.
Tipos de ACL
- Standard Access List
- Extended Access List
Standard Access List
Las ACL estándar son consideradas las más simples en cuestión a su funcionamiento, se limitan a controlar el tráfico en función de la información de la dirección IP de origen.
Pasos para Configurar un Standart Access-list (ACL)
La configuración de un ACL estándar se aplica en modo de configuración global.
Router1(config)#access-list [#Numero de ACL entre el 1 a 99][permit|deny] [IP de Origen {wildcard}]
Ejemplos:
Router1(config)#access-list 1 deny 10.190.3.0 0.0.0.255
Router1(config)#access-list 1 permit host 10.190.3.37
Router1(config)#access-list 1 permit any
Después de crear la lista de acceso, se necesita aplicar la ACL a una interfaz, especificar si el ACL se aplica de entrada(inbound) o salida(outbound).
Router1# configure terminal Router1(config) #int fa 0/0 Router1(config) #ip access-group 1 outbound
¿Como diferenciar el tráfico entre inbound y outbound?
Si la ACL es inbound, se aplica a los paquetes que han llegado a la interfaz y están intentando ingresar al router. Se aplica al tráfico proveniente de Internet y que ingresa a la red interna. Si la ACL es outbound, se aplica a los paquetes que han pasado por el router y están intentando salir de la interfaz.
¿Dónde se debe colocar al configurar un Standart Access-list (ACL)?
Para las ACL estándar, como recomendación es aplicar esta ACL cerca del destino.
NOTA: El siguiente punto es muy importante
La última regla en cada ACL es una declaración de denegación implícita. Como está implícito, no lo verás. Tener en cuenta que el hecho de que no podamos verla no significa que no haga nada. Esta regla es muy poderosa. Se denegará todo el tráfico que no coincida con una regla de una ACL.
Como recomendación a este punto, siempre agregar una ultima regla de deny al final de las listas de acceso que si se tienen contempladas aplicar.
¿Como validar el estatus despues de configurar un Standart Access-list (ACL)?
Con el siguiente comando podemos ver si la ACL aplicada está filtrando tráfico sobre algunas de sentencias configuradas.
Router1# show access-lists [access-list number|name]
Access-list Renombradas
También se puede crear una ACL estándar con un nombre en lugar de utilizar un número.
Ejemplo:
Router1# configure terminal
Router1(config) #ip access-list standard NAME_ACL
Router1(config-std-nacl) #permit 192.168.1.2 0.0.0.0
Router1(config-std-nacl) #deny 192.168.1.53 0.0.0.0
Router1(config-std-nacl) #permit 192.168.2.0 0.0.0.3
Validamos con el comando show
Tal como se explica en esta sección, lo importante de las ACL es entender el orden y lo que se requiere filtrar antes de aplicar una ACL.
Recuerda que antes de cualquier cambio o ajuste en dispositivos en ambiente productivo, obtener y mantener un respaldo de configuración.
Me considero una persona apasionada por la tecnología y/o todo lo relacionado a servicios de TI, me gusta conocer un poco mas de todo lo nuevo que va saliendo y que puede hacer las cosas más sencillas y seguras, lo que busco plasmar en mis artículos es una manera sencilla de entender las cosas que he aprendido con el paso del tiempo y tratar de compartir un poco mas a detalle de algunos procesos y estructuras de TI.
Soy Ingeniero en Sistemas con certificaciones en redes Cisco, comparto lo poco o mucho de mi experiencia en el mundo de las tecnologías.
Gracias por compartir con todos nosotros toda esta amena información. Con estos granitos de arena hacemos màs grande la montaña Internet. Enhorabuena por esta web.
Saludos