Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Propsito
Este resumen les puede servir a los estudiantes de CCNA como referencia. De ninguna manera debe ser considerado como un sustituto de la lectura del captulo correspondiente, de la asistencia a la presentacin del instructor o - peor aun! - de participar en las pr"cticas.
Bibliografa
En la versin # del del curso CCNA, el tema de las AC$ aparece en el semestre %. En la versin % del curso CCNA, el tema aparece en el semestre #. &na b's(ueda en ))).cisco.com puede ser mu* provec+osa. Por e,emplo, +ttp-..))).cisco.com.en.&/.products.s).securs).ps0102.products3tec+3note14025a1 1211a6b4a.s+tml contiene una descripcin 7eneral de las AC$. Protocolos 8P * n'meros de puerto- R9C 0:11, en +ttp-..))).ietf.or7.rfc.rfc0:11.t;t< number=0:11.
&na AC$ es una lista de una o m"s instrucciones. /e asi7na una lista a una o m"s interfaces. Cada instruccin permite o rec+a@a tr"fico, usando uno o m"s de los si7uientes criterios- el ori7en del tr"ficoA el destino del tr"ficoA el protocolo usado. El router anali@a cada pa(uete, compar"ndolo con la AC$ correspondiente. El router compara la AC$ lnea por lnea. /i encuentra una coincidencia, toma la accin correspondiente >aceptar o rec+a@ar?, * *a no revisa los restantes ren7lones. Es por eso (ue +a* (ue listar los comandos desde los casos m"s especficos, +asta los m"s 7enerales. $as e;cepciones tienen (ue estar antes de la re7la 7eneral!
/i no encuentra una coincidencia en nin7uno de los ren7lones, rec+a@a autom"ticamente el tr"fico. Consideren (ue +a* un Bden* an*B implcito, al final de cada AC$. Cual(uier lnea a7re7ada a una AC$ se a7re7a al final. Para cual(uier otro tipo de modificacin, se tiene (ue borrar toda la lista * escribirla de nuevo. /e recomienda copiar al Cloc de Notas * editar all. $as AC$ est"ndar >0-44? slo permiten controlar en base a la direccin de ori7en. $as AC$ e;tendidas >011-044? permiten controlar el tr"fico en base a la direccin de ori7enA la direccin de destinoA * el protocolo utili@ado. DambiEn podemos usar AC$ nombradas en ve@ de usar un ran7o de n'meros. El darles un nombre facilita entender la confi7uracin >* por lo tanto, tambiEn facilita +acer correcciones?. No tratarE las listas nombradas en este resumen. /i consideramos slo el tr"fico de tipo DCP.8P, para cada interface puede +aber slo una AC$ para tr"fico entrante, * una AC$ para tr"fico saliente. /u7erencia para el e;amen- /e deben conocer los ran7os de n'meros de las AC$, incluso para protocolos (ue normalmente no nos interesan.
ildcards
BFildcardB si7nifica BcomodnB, como el ,oGer en el ,ue7o de naipes. Danto en la direccin de ori7en, como >en el caso de las AC$ e;tendidas? en la direccin de destino, se especifican las direcciones como dos 7rupos de n'meros- un n'mero 8P, * una m"scara )ildcard. /i se traduce a binario, los B0B en la m"scara )ildcard si7nifican (ue en la direccin 8P correspondiente puede ir cual(uier valor. Para permitir o dene7ar una red o subred, la m"scara )ildcard es i7ual a la m"scara de subred, cambiando los B1B por B0B * los B0B por B1B >en binario?. /in embar7o, las m"scaras )ildcard tambiEn permiten m"sA por e,emplo, se pueden dene7ar todas las m"(uinas con n'meros 8P impares, o permitir el ran7o de 8P 0-%0, en varias subredes a la ve@.
E,emplos
Permitir o dene7ar un 8P especfico- !"#$!%$&$! &$&$&$&. /e puede abreviar como 'ost !"#$!%$&$!. Permitir o dene7ar una subred- !"#$!%$&$& &$&$&$#((. >El e,emplo corresponde a una subred .#H, es decir, m"scara de subred = #66.#66.#66.1.? Permitir o dene7ar a todos- &$&$&$& #(($#(($#(($#((. /e puede abreviar como an).
$as AC$ est"ndar se colocan cerca del destino del tr"fico. Esto se debe a sus limitaciones- no se puede distin7uir el destino. $as AC$ e;tendidas se colocan cerca del ori7en del tr"fico, por eficiencia - es decir, para evitar tr"fico innecesario en el resto de la red.
ACL est*ndar
/inta;is para un ren7ln >se escribe en el modo de confi7uracin 7lobal?access-list (nmero) (deny | permit) (ip origen) (wildcard origen)
ACL e+tendidas
/inta;is para cada ren7lnaccess-list (nmero) (deny | permit) (protocolo) ("# origen) (wildcard origen) ("# destino) (wildcard destino)
$(operador) (operando)%
El BprotocoloB puede ser >entre otros? 8P >todo tr"fico de tipo DCP.8P?, DCP, &KP, 8CLP. El BoperandoB puede ser un n'mero de puerto >por e,emplo #0?, o una si7la conocida, por e,emplo, BftpB. E,emplo 0- Repetir el e,emplo de la AC$ est"ndar, pero se especifica (ue se (uiere permitir o dene7ar el tr"fico con destino al servidor, (ue est" en 0:#.05.1.0access-list 101 permit ip host 172.17.3.10 host 172.1&.0.1 access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.1&.0.1 access-list 101 permit ip any any
E,emplo #- Permitir tr"fico HDDP * Bpin7B >8CLP? al servidor 0:#.05.1.0, para todos. Kene7ar todo lo dem"s.
access-list 102 permit icmp any host 172.1&.0.1 access-list 102 permit tcp any host 172.1&.0.1 e' www
Comandos varios
show ip interface (m!estra asignaciones de ()*) show access-lists (m!estra el contenido de las ()*) de+!g ip pac,et 101 $detail% (permite anali-ar c.mo se aplican las ()*)