Cmo funcionan las ACL en Cisco?

I: Conceptos Introduccin Antes que nada, y en caso de que algn lector no sepa (o no recuerde) qu significa ACL, ste es una sigla que traduce lista de control de acceso -Access Control Lists en ingls- y es un mtodo popular en redes para controlar qu nodos de la red tienen qu permisos sobre el sistema que implementa las ACLs. En Cisco, las ACLs son un mecanismo genrico para clasificar con untos de direcciones o !u os de datos, en so yo siempre hago mucho nfasis, porque las ACLs en CC"A se #en como un mecanismo de seguridad, pero se dan #isos de lo que realmente son$ un mecanismo para clasificar direcciones y u!os de datos" %n sistema de red, como &quid por e emplo, es un sistema que 'ace algo con el tr(fico que entra y sale de l. Las ACLs interceptan el tr(fico y, para cada paquete, se comparan sus #alores particulares con #alores predefinidos por el administrador en la Lista y, con base en ese condicionamiento, se le aplica a los paquetes alguna acci)n segn lo que quiera el administrador que suceda. La din(mica comple a de las ACLs es el 'ec'o de imaginar un s)lo paquete y lle#arlo a una secuencia de paquetes me*clada. El 'ec'o es que cuando en una ACL especificamos los #alores que queremos comparar, realmente estamos aplicando eso a cada paquete dentro de un !u o particular de paquetes, as+ para dise,arla nos imaginemos s)lo un paquete. #ara $u sir%en las ACLs en Cisco? En el curr+culo de CC"A, las ACLs se usan para aplicar una pol+tica de seguridad que permite o niega el acceso de cierta parte de la red a otra" La granularidad de las ACLs permite que estas partes sean o bien -C espec+ficos o partes de una subred arbitrariamente, es decir, permite que se conceda o niegue el acceso desde un nico -C 'asta otro, de un segmento de red a otro o cualquier combinaci)n que se quiera. En Cisco en general, las ACLs sir#en para clasificar con!untos de direcciones, por e emplo una subred o una parte de una subred. -ero m(s all( de eso la palabra importante es ar&itrariamente, porque las reglas de ACLs permiten cosas tan particulares como seleccionar los -Cs que tengan direcciones .- con el ltimo octeto en nmero impar (sin importar a qu subredes pertenecen). /sta caracter+stica 'ace que Cisco utilice ACLs en cual$uier parte en la $ue se de&a especificar un con!unto de direcciones o un u!o de datos, por e emplo, en 'A( se especifican las direcciones pri#adas o internas creando una ACL que permite las direcciones a traducir. &i se quiere filtrar o alterar la 0orma en que un protocolo de enrutamiento arma sus actuali*aciones se usan listas de acceso (route-map) , si se quiere alterar la 0orma en que traba a la tabla de enrutamiento se usan listas de acceso (policy-&ased rou)ng), si se quiere especificar qu direcciones pasan por una 1-" se usan ACLs, etc. (I#*ec). Como se #e, las ACLs son mucho m+s $ue un mecanismo de seguridad y por eso es un tema muy importante si se quiere 'acer carrera en las cer)ficaciones de Cisco o tener un buen desempe,o en enrutamiento y conmutaci)n Cisco.

Cmo es una ACL? Las ACLs, como ya coment, son la especificaci)n de una accin a reali*ar sobre pa$uetes $ue cumplan ciertas condiciones" %na ACL es un con!unto de reglas identificadas con un nmero o un nombre y cada regla especifica una acci)n y una condici)n, las acciones a aplicar son permi)r o denegar todos los paquetes que cumplan la condici)n asociada a la regla. %na ACL se identifica con un nmero o un nombre y todas las reglas que tengan el mismo nmero2nombre 'acen parte de la ACL, stos identificadores suelen indicar tambin qu tanta e3presi#idad tendr( la ACL, es decir, qu tan espec+ficas pueden ser las reglas. %n e emplo de c)mo es conceptualmente una ACL es as+

Lista4de4acceso 5 ACC.6"7 C6"8.C.6"7 Lista4de4acceso 5 ACC.6"9 C6"8.C.6"9 Lista4de4acceso 5 ACC.6": C6"8.C.6":

La 5 es el nombre o nmero que identifica la ACL, por lo tanto todas las reglas anteriores componen la ACL 5, una sola ACL. &i cierto paquete cumple la condici)n7 se le aplica la Acci)n7, si un paquete cumple la condici)n 9 se le aplica la acci)n 9 y as+ sucesi#amente. Las acciones son s)lo permitir o denegar y las condiciones dependen del tipo de ACL, las m(s simples, las est(ndar especifican #alores para comparar con la direcci)n .- origen de cada paquete, en las m(s e3presi#as, llamadas e3tendidas, las condiciones permiten especificar #alores para comparar tanto con la direcci)n .- origen como con la .- destino e incluso protocolos de capa ; y par(metros de capa ; como puertos y banderas de la cone3i)n <C-. La l)gica de 0uncionamiento de las ACLs es que una %e, $ue se cumpla una condicin, se aplica su accin correspondiente y no se e-aminan m+s reglas de la ACL" /sto para disminu+r la cantidad de procesamiento del enrutador, pero tambin tiene una consecuencia, si una regla abarca un con unto de direcciones y otra un subcon unto del primero, la regla de subcon unto debe estar antes de la regla del con unto completo. -or e emplo, si yo especifico en una regla denegar el acceso a un host de cierta subred y en otra permitir toda la subred, la ACL dir+a permita el acceso a todos los hosts de la subred X menos al host Y. &i la ACL se escribe con la regla de la subred antes que la regla del 'ost, la ACL permitir+a incluso al 'ost, porque la regla de 'ost cumplir+a tambin la regla de la subred y la regla del 'ost nunca se e3aminar+a. En otras palabras, las reglas m+s espec.ficas de&en estar al principio de la ACL para e#itar que las reglas genererales se apliquen siempre y nunca se e3aminen las espec+ficas. =inalmente todas las ACLs terminan, impl.citamente, con una regla No permitir nada ms" Condicin / 0alor1e2eferencia 3itsAComparar, donde 0alor1e2eferencia )ene el formato de direccin I# y 3itsAComparar es una m+scara 4ildcard"

La condici)n entonces es un #alor que el administrador #a a escribir arbitrariamente con el fin de aplicar la acci)n a los paquetes que la cumplan. La condici)n en ACLs est(ndar consiste en una direccin de referencia y una m(scara 4ildcard que indica $u &its de la direccin origen de los pa$uetes comparar con la direccin de referencia que indic) el administrador. -or e emplo$ si yo en mi red tengo una subred de direcci)n 7>9.7?@.7.A29?, para indicar el tr(fico que pro#enga de todos los 'osts de esa subred se escribir+a la condici)n 7>9.7?@.7.A A.A.A.?:, la direcci)n es una direcci)n de re0erencia y no se puede entender sin la Bildcard porque sta dice qu bits se #an a comparar. Cada &it en cero en la 5C hace comparar el &it correspondiente en la dir" .- origen de los paquetes interceptados con la direcci)n de re0erencia escrita por el administrador. &i yo quisiera aplicar una acci)n s)lo a los 'osts de direcci)n impar de esta misma subred escribir+a la condici)n 7>9.7?@.7.7 A.A.A.?9, note que traduciendo el ltimo octeto de la CC a binario ?9 D AA77777A, el cero al final le indica al enrutador $ue compare el 6l)mo &it de la direccin de referencia con el 6l)mo &it de cada pa$uete interceptado, por lo tanto, como sabemos que todo nmero impar en binario tiene que tener el ltimo bit en 7, la condici)n se cumple para cada paquete que tenga los primeros : octetos y el ltimo bit iguales a la direcci)n de re0erencia, es decir, toda direcci)n .- de la 0orma 7>9.7?@.7.EimparF, con el ltimo octeto en binario as+ A 5 5 5 5 5 5 7, donde 5 es un bit cualquiera, porque un 7 en la 5C significa no comparar el bit con la direcci)n de re0erencia. &i no lo comprende, tradu*ca los nmeros impares menores que ?: a binario y #er( el patr)n. -or e emplo > D AAAA7AA7, una direcci)n 7>9.7?@.7.> cumple la condici)n pero 7>9.7?@.7.@ no la cumple, porque @ D AAAA7AAA y el ltimo bit no es 7, no todos los bits de la direcci)n .- origen de ste paquete particular coinciden con la direcci)n de re0erencia, el ltimo no coincide. "ote tambin que si yo pusiera una condici)n A.A.A.7 9GG.9GG.9GG. 89:, eso significar+a que sin importar la red de la que pro#enga el paquete (la CC indica no comparar los primeros :7 bits, o en otras palabras, no importa qu tenga ni la direcci)n de re0erencia ni la direcci)n origen de los paquetes en los primeros :7 bits), la acci)n se aplicar+a a los paquetes cuyo origen sea una direcci)n impar (las que tienen el ltimo bit en 7). *er+ $ue con eso puede usted deducir $u condicin se aplicar.a a los pa$uetes $ue pro%engan de direcciones I# con el 6l)mo octeto en %alor par? (-or 0a#or no lo de e en un comentario). Cmo aplicar las ACL? =inalmente, dado que entendemos la l)gica 0undamental de las ACLs, debemos mirar un ltimo aspecto conceptual$ Hc)mo se aplicanI. La idea es que el tr+fico de red circula en dos sen)dos y en ambos sentidos los patrones de direccin I# origen y des)no se intercam&ian, por lo tanto y como las ACLs se aplican a una inter0a* en particular, es necesario tener en cuenta en qu sentido se aplica, porque en un sentido las reglas aplican y en otro sentido no aplicar(n porque las direcciones origen no ser(n las mimas. Es decir, si dos -Cs est(n transfiriendo un arc'i#o, 'ay dos !u os de datos, uno del -C7 al -C9 en el que la direcci)n .- origen de todos los paquetes en ese sentido tienen la direcci)n .p del -C7 pero el tr(fico de retorno tendr( como direcci)n .- origen la del -C9. Lo anterior nos indica que si dise,amos una ACL que en una de sus reglas aplica una acci)n a la direcci)n del -C7, 'ay que aplicarla en una inter0a* en el sentido en el que ese !u o de datos pro#enga del -C7. El sentido del !u o se entiende como de entrada o salida del enrutador por la inter0a*, es decir, si el tr(fico sale del enrutador por la inter0a* espec+fica o el tr(fico entra al enrutador por esa inter0a*.

&upongamos que el -C7 tiene la direcci)n 7J9.7J.9A.9A29;, el -C9 tiene la direcci)n 7>9.7?@.9AA.9AA29; y nuestro enrutador es el KateBay del -C7 por la inter0a* =astet'ernet A2A. &i el !u o de datos 'acia el -C9, sale por una inter0a* serial digamos la serial A2A, Hen qu inter0a* y en qu sentido los paquetes de este !u o tienen como direcci)n .- origen la direcci)n .- del -C7I &i la ACL #a a ser aplicada en la =a A2A, el !u o de datos de -C7 a -C9 entrando a =a A2A tiene como direcci)n origen -C7, en la direcci)n de salida el origen es -C9 y la regla no aplicar+a. En la inter0a* serial, el !u o de datos entrante tendr+a como origen -C9 y de salida tendr+a como origen -C7. 8ado lo anterior, si yo dise,o una ACL con una regla que diga permitir 172.17.20.20 0.0.0.0, sta regla s)lo encontrar+a paquetes coincidentes en la inter0a* 0a A2A si la aplico de entrada y en la inter0a* serial A2A si la aplico de salida.

Cmo funcionan las ACLs? II: ACLs est+ndar ;u son ACLs? Las ACLs son un mecanismo que usan di#ersos dispositi#os y aplicaciones para filtrar o clasificar el tr(fico que interceptan. En Cisco las ACLs se usan en muc'os conte3tos, en CC"A se usan como mecanismo de seguridad para filtrar selecti#amente tr(fico que cru*a por el enrutador. %na ACL es un con unto de reglas contra las que se compara cada paquete que cruce una inter0a* en la que se instal) la lista de acceso. Cada paquete se compara contra las reglas una por una empe*ando por la primera y continuando con las siguientes. &)lo si el paquete no corresponde a lo que indica una regla se contina con las siguientes, una #e* que el paquete se corresponde con una de las reglas de la ACL, se le aplica la acci)n asociada a la regla y no se compara el paquete con ninguna otra regla. Las ACLs entonces son reglas, una por l+nea, que se identifican con un nmero o una palabra y que identifican !u os de datos o con untos de direcciones. Cada regla 'ace uso de una direcci)n de re0erencia y una m(scara Bildcard que condicionan la acci)n a e ecutar sobre un paquete en cuesti)n. La condici)n consiste en que los paquetes coincidan con la direcci)n de re0erencia en los bits que la m(scara Bildcard tenga en cero, por lo tanto si una Bildcard es A.A.A.A significa que todos los bits de la direcci)n origen o destino de un paquete que cruce la inter0a* por la que est( instalada la ACL se comparar( bit a bit con la direcci)n de re0erencia, de esa manera yo especifico una direcci)n completa de 'ost. La dificultad de dise,ar e instalar ACLs radica en la dificultad de concebir los patrones de tr(fico como un con unto de paquetes 'eterogneos que pasan por una inter0a* en una direcci)n en particular. ;u es una ACL est+ndar <*tandard ACLs=? 8entro de las ACL m(s comunes est(n las ACL est(ndar y las ACL e3tendidas, di0erenciadas entre s+ por su granularidad$ las e3tendidas permiten m(s detalles de filtrado, ambos tipos de listas se pueden numerar o nombrar. 8entro de las menos comunes est(n las que CC"A E3ploration llama comple as$ ligadas a rangos de tiempo, re!e3i#as y din(micas. Las m(s simples en todo sentido son las ACLs est(ndar, que permiten de0nir tr(fico con base en las direcciones .- de origen de los paquetes que correspondan con las reglas de la ACL. Las ACL est(ndar entonces especifican un s)lo par direcci)n de re0erencia2Bildcard contra el que se comparan todos los paquetes que entren o salgan de la inter0a* en la que se instale la ACL, en otras palabras, una ACL est(ndar filtra tr(fico con base en la direcci)n .- origen de los paquetes. Estas ACL se crean en modo de configuraci)n global con el comando access-list seguido de un nmero de 1 a 99 o de 1300 a 1999, stos rangos identifican que el tipo de ACL es est(ndar, otros rangos identifican ACLs e3tendidas (7AA a 7>> y 9AAA a 9?>>). Cada regla debe tener el mismo nmero para pertenecer a la misma ACL, si el nmero cambia, la regla en particular pertenecer( a otra ACL. Luego de Access-list n!mero" sigue la acci)n a e ecutar (permit o den#) y finalmente la condici)n que deben cumplir los paquetes para aplicarles la acci)n o continuar e3aminando m(s reglas. Las ACL est(ndar usan un s)lo par direcci)n2Bildcard para especificar la condici)n que deben cumplir los paquetes para que se les aplique la acci)n permit o den#. La condici)n e3amina la direcci)n .- origen de cada paquete y la compara con el par direcci)n2Bildcard pero s)lo en los bits en los que la Bildcard tenga ceros.

Cmo se configuran ACL est+ndar? Los pasos generales para configurar ACLs son :$ 7. Crear la ACL en modo de configuraci)n global 9. Aplicar la ACL en una inter0a* indicando la direcci)n del tr(fico al que se le #a a aplicar :. 1erificar su 0uncionamiento La creaci)n de la ACL consiste en crear una secuencia de reglas con un mismo identificador, cuyo orden filtre el tr(fico segn los ob eti#os. Cada regla tiene la 0orma access-list n" $ permit % den# & re'erencia1" (ildcard1", donde n es el nmero que identifica la ACL (A a >> ) 7:AA a 7>>> para ACLs est(ndar) y re0erencia"2Bildcard" son los pares con los que se comparar(n los paquetes para aplicarles la acci)n . Entonces una ACL tiene la 0orma$

access4list LnM permit Lre0erencia7M LBildcard7M access4list LnM deny Lre0erencia9M LBildcard9M

Como todas las reglas coinciden en el nmero (n), la ACL est( compuesta por todas las reglas listadas. -ara simplificar, puse permit y deny pero en las reglas se puede elegir cualquiera de las dos segn los ob eti#os perseguidos. <odas las ACLs terminan impl+citamente en una regla deny any, es decir, al final de la lista, cualquier paquete que no 'aya correspondido con ninguna regla se #a a descartar por de0ecto. -ara aplicar una ACL, sta ya debe estar creada. Las listas de acceso se aplican en una inter0a*, por lo tanto 'ay que ingresar en modo de inter0a* y el comando tiene la 0orma ip access-group n" $in % out& donde n es el nmero comn a todas las reglas de la ACL y las palabras in)out indican en qu sentido se aplicar(n las reglas y sto tiene importantes implicaciones$ el tr(fico en una direcci)n tiene ciertas direcciones .- origen pero en la otra direcci)n stas mismas direcciones ser(n .destino.

inter0ace serial A2A ip access4group LnM EinNoutF

=inalmente #erificar la ACL se 'ace con #arios comandos, uno es sho( access-list, que muestra todas las listas de acceso acti#as y cu(ntos paquetes 'an correspondido (matc') con cada regla. El comando que muestra si una inter0a* tiene una ACL aplicada y en qu direcci)n es sho( ip inter'ace, este comando muestra muc'a in0ormaci)n, por la mitad de toda esa in0ormaci)n dice in&ound ACL >ut&ound ACL"

s'oB access4list s'oB ip inter0ace serial A2A

;u consideraciones hay $ue tener para instalar ACLs? 1enegacin por defecto y Log La primera consideraci)n importante es tener en cuenta siempre que las listas de acceso terminan en denegaci)n por de0ecto, por lo tanto, si una ACL s)lo tiene reglas de denegaci)n lo nico que logra es denegar <686 el tr(fico. %na ACL debe tener siempre por lo menos una regla de permitir. Algunos administradores prefieren poner una regla final, sea den# an# o permit an# de manera e3pl+cita para poder #er con sho( access-list cu(ntos paquetes se 'an filtrado por la ltima regla o me or, cu(ntos paquetes no 'an correspondido con ninguna otra regla. 6tros administradores usan la lista de acceso para recolectar in0ormaci)n sobre el tr(fico de la red, combinando reglas que terminan con la palabra log que 'ace que la ACL genere entradas de registro como si 0ueran mensa es del sistema. Combinar reglas permit con log 'ace que la acl e#idencie algn tr(fico que se necesita saber c)mo se est( comportando. >rden de %erificacin: 2eglas espec.ficas y generales Como cada regla se #erifica en secuencia comen*ando por la primera, si una regla es general, es decir, abarca m(s direcciones o !u os de datos que otra, sta regla deber+a ir despus de las m(s espec+ficas. -ara ilustrar sto, obser#e el siguiente e emplo$ yo quiero bloquear un 'ost de la red 7>9.7?@.7.A29; pero permitir el resto de esta red, necesito dos reglas$ permitir la red y denegar el 'ost, como la regla para la red es m(s general e incluye el 'ost mismo, ponerla de primera #a a tener como e0ecto que nunca se mire la regla que dice denegar el 'ost, porque siempre aplicar( la primera y no se #erificar(n m(s reglas, permitiendo al 'ost transmitir in0ormaci)n cuando el ob eti#o era denegar precisamente ese 'ost. La regla se deber+a escribir de la siguiente manera$

access4list 7 deny 7>9.7?@.7.7 A.A.A.A access4list 7 permit 7>9.7?@.7.A A.A.A.9GG

La anterior ACL tiene como resultado, cuando se aplica a una inter0a*, que s)lo el tr(fico perteneciente a la red 7>9.7?@.7.A, e3cepto el 'ost 7>9.7?@.7.7, puede salir por la inter0a* en la que se aplique. Lo anterior siempre y cuando, el tr(fico tenga como or+genes stas direcciones. (r+fico con or.gen en el enrutador =inalmente, cierto tr(fico pro#eniente del enrutador no pasa por las listas de acceso, por e emplo, el acceso a 1<O (telnet2ss') al enrutador no es e3aminado por las ACL, por lo tanto 'ay que poner una regla especial para este tr(fico. La regla se llama access-group n" y debe ser ACL est(ndar. %na regla de este tipo limita el acceso por telnet al enrutador s)lo a los 'osts que correspondan a la lista especificada.

Cmo funcionan las ACLs? III: ACLs e-tendidas 8espus de re#isar los conceptos de las Listas de Control de Acceso (ACL) y las ACLs est(ndar, lleg) la 'ora de e3aminar el 0uncionamiento de las ACL e3tendidas y su configuraci)n. Caracter.s)cas de las ACL est+ndar: poca granularidad Antes de comentar las cualidades de las ACL e3tendidas (e3tended ACL) debemos recordar las ACL est(ndar y #er qu di0erencia 0uncionan tienen las e3tendidas respecto a las primeras, es decir, para #alorar los beneficios de las e3tendidas. La idea de las ACLs est+ndar es filtrar tr(fico con base en las direcciones origen de los paquetes que entran o salen de una inter0a*, aquella en la que se instala la ACL. Lo anterior implica un ni#el b(sico de filtrado$ direcciones .- origen de todos los paquetes interceptados, para ilustrarlo con un e emplo, digamos que deseamos filtrar el tr(fico pro#eniente de la red 7>9.7?@.7.A29?, pero que de esa red queremos permitir un 'ost en particular y las dem(s redes di0erentes deber+an pasar. A stas alturas tenemos muy claro que las ACLs son con!untos de reglas con un iden)ficador com6n y que las reglas aplican una accin a los paquetes que cumplan una condicin que, en el caso de las ACL est(ndar, es que tengan la direcci)n origen coincidente con la direcci)n de re0erencia. La ACL que filtra el tr(fico como se solicita (bloquear 7>9.7?@.7.A29?, permitir un 'ost 7>9.7?@.7.7 y permitir paquetes de cualquier otra subred) creamos la siguiente ACL$

access4list 7 permit 7>9.7?@.7.7 A.A.A.A access4list 7 deny 7>9.7?@.7.A A.A.A.?: access4list 7 permit any

En e0ecto, cada #e* que llegue un paquete se comparar(n las direcciones .- origen de cada uno con cada una de las reglas de la lista de acceso, si el paquete corresponde con alguna, se aplica la acci)n (permit o den#) y no se compara con ninguna otra regla. En este caso, la regla permite primero el 'ost, luego niega la red y finalmente permite cualquier otra cosa. La acl descrita significa que todo el tr(fico del 'ost particular se #a a permitir, no se puede bloquear un tr(fico espec+fico que pro#enga del 'ost, se deniega o se permite todo el tr(fico y ser+a deseable bloquear s)lo una porci) de su tr(fico, algo de lo que 'ace ste 'ost en caso de ser necesario. -ara la red tambin sucede lo mismo$ si se pudiera bloquear s)lo el tr(fico que sale de esa red a un destino espec+fico sin bloquear todo el tr(fico con origen en esta red ser+a muc'o me or. Ese es el problema que resuel#e la ACL e3tendida. ACLs e-tendidas A di0erencia de lo que sucede con la ACL est(ndar, las e3tendidas permiten especificar hacia dnde se dirige el tr+fico y con sta caracter+stica, yo puedo bloquear o permitir un tr(fico mucho

m+s espec.fico: s)lo tr(fico que pro#iene del 'ost pero se dirige a una red en particular o a otro 'ost en particular o s)lo el tr(fico de una red que se dirige a otra red en particular. El truco se logra con el 'ec'o de permitir comparar las direcciones des)no de los paquetes contra la acl, no s)lo las direcciones origen. 8entro de lo que 'emos #enido mane ando, 'ablamos que una acl est( compuesta por un con unto de reglas todas con el mismo identificador, que cada regla era una l+nea compuesta por una acci)n y una condici)n que el paquete debe cumplir para aplicarle la acci)n (permitir o denegar). Las condiciones en las acl estandar est(n compuestas por una direcci)n de re0erencia y una Bildcard que dice qu bits de la direcci)n origen de los paquetes se deben comparar con la direcci)n de re0erencia, en las acls e3tendidas se especifica dos pares de direcciones de re0erencia2Bildcard, un par para la direcci)n origen de los paquetes y otro par para la direcci)n destino de los mismos. 1amos a e3tender el e emplo que #enimos usando y usar sta idea de filtrado m(s granular. El requisito dado es permitir un 'ost de una red, el resto de la red la #amos a bloquear y cualquier otra red la #amos a permitir. -ara e3tender el e emplo digamos que queremos permitir el tr(fico del 'ost, e3cepto lo que #aya a un 'ost particular, digamos el 7J9.7?.7.7, y que de la red completa queremos permitir lo que #aya a un ser#idor en especial de la empresa, digamos el 7>9.7?@.9.7. Las reglas de la acl estandar nos sir#en de inicio, como de costumbre lo m(s espec+fico lo #amos a poner de primero en la regla para e#itar que las reglas m(s generales incluyan a las particulares.

access4list 7AA deny ip 7>9.7?@.7.7 A.A.A.A 7J9.7?.7.7 A.A.A.A access4list 7AA permit ip 7>9.7?@.7.7 A.A.A.A A.A.A.A 9GG.9GG.9GG.9GG access4list 7AA permit ip 7>9.7?@.7.A A.A.A.?: 7>9.7?@.9.7 A.A.A.A access4list 7AA deny ip 7>9.7?@.7.A A.A.A.?: A.A.A.A 9GG.9GG.9GG.9GG access4list 7AA permit ip any any

En sta lista obser#amos #arias cosas nue#as$ ip, las acl e3tendidas no s)lo permiten especificar las direcciones origen y destino sino discriminar por protocolos e incluso por par+metros par)culares de cada protocolo pero eso lo #eremos luego, por lo pronto lo importante es que ip indica que todos los protocolos que se encapsulan dentro de ip ser(n a0ectados por sta lista de acceso. En este caso, la palabra ip para los protocolos es similar a any en las direcciones, casi todo se encapsula en ip por lo tanto especificar ip es como especificar cualquier protocolo (de capa ; en adelante). En #e* de ip se puede poner un protocolo equi#alente o de capa ;, por e emplo se puede filtrar icmp, tcp o udp, cambiando la palabra ip por stas ltimas. 6tra cosa importante y nue#a es un segundo par de direcci)n de re0erencia2m(scara Bildcard, ste segundo par compara la direcci)n destino de los paquetes con la direcci)n de la regla. -ara las acls e3tendidas, el paquete debe coincidir tanto en la direcci)n origen como en la destino. =inalmente, la direcci)n de re0erencia 0.0.0.0 con m(scara Bildcard 2**.2**.2**.2**. Como esta m(scara es todo unos, eso significa que ningn bit del paquete se compara con la direcci)n de re0erencia, es decir, no importa qu escriba en la direcci)n de re0erencia cualquier destino coincide. Esta m(scara es lo mismo que an#, debido a que la m(scara es equi#alente a cualquier direcci)n y puede usarse tanto para el origen como para el destino.

?-plicacin de la ACL La primera regla aplica den# s)lo si el paquete tiene como origen la direcci)n 7>9.7?@.7.7 y direcci)n destino 7J9.7?.7.7, por lo tanto s)lo el tr(fico espec+fico de entre esos 'ost se deniega, la segunda regla permite el resto del tr(fico del 'ost 'acia cualquier destino. La tercera regla permite el tr(fico de la red 7>9.7?@.7.A29? 'acia el 'ost 7>9.7?@.9.7. La ;a regla complementa a la anterior y niega todo el tr(fico de la red, como sta regla general esta despus de la espec+fica, el tr(fico comparado con sta regla ya no coincidi) con el tr(fico dirigido al ser#idor, que es una condici)n m(s espec+fica dentro de la misma red. =inalmente cualquier tr(fico que no coincida con las reglas anteriores se permite sin importar de d)nde pro#enga y 'acia d)nde #aya. ;u m+s? =inalmente y para no de ar incompleto el e emplo, 'ay que instalarla en una inter0a* por la que pase el tr(fico que se quiere interceptar y recordar que el sentido en el que se instala la acl, indica cu(les ser(n las direcciones origen y destino (que se in#ierten si se in#ierte el sentido del tr(fico).

inter0ace serial A2A ip access4group 7AA in

Las listas de acceso e3tendidas no difieren de las est(ndar m(s que en las caracter+sticas mencionadas, por lo tanto los comandos usados para #erificar las est(ndar siguen siendo #(lidos.

s'oB ip inter0ace serial A2A s'oB ip access4list

Cmo funcionan las ACLs? I0: ACLs comple!as %n tema nue#o en el curr+culo de CC"A E3ploration son las ACLs comple as, que no son necesariamente comple as en el sentido de la dificultad sino en lo sofisticado de su 0uncionamiento, tambin menciono las acl nombradas. 1amos a e3plorar algunas de ellas superficialmente y de ar pendiente la ltima entrada sobre ACLs$ E emplos. ;u son ACL comple!as? CC"A E3ploration #arios tipos de ACLs no #istos en las #ersiones anteriores del curr+culo, las denomina ACLs comple as. La idea de las ACLs comple as es complementar lo que ya sabemos sobre ACLs est(ndar y e3tendidas con comportamientos que las 'acen tiles en conte3tos m(s interesantes. -ara comprender correctamente el tema de las ACL comple as debe entender bien todo lo relacionado con ACLs. &i usted no entiende per0ectamente el tema del filtrado de tr(fico con ACLs le recomiendo que lea las entradas anteriores de esta serie, en su orden$

HC)mo 0uncionan las ACL en CiscoI .$ Conceptos HC)mo 0uncionan las ACLsI ..$ ACLs est(ndar HC)mo 0uncionan las ACLsI ...$ ACLs e3tendidas

8entro de las ACLs comple as tenemos : tipos$ din+micas, re e-i%as y &asadas en )empo pero en el curr+culo oficial no se %en muy a fondo ni se dan mayores e emplos. A continuaci)n les describo cada una de ellas y al final de la entrada describo las acl nombradas son un tipo de acl que 0acilita la configuraci)n y administraci)n de ACLs.

ACLs din+micas /stas usan un mecanismo &+sico de auten)cacin, generalmente (elnet, para acti#ar la ACL, lo que permite usar una ACL como mecanismo de autenticaci)n o #incular una ACL con la autenticaci)n de los usuarios con medios reconocidos. La idea consiste en crear una regla en la ACL $ue slo se ac)%ar+ si es disparada por alg6n e%ento , en ste caso un acceso por telnet al enrutador. La regla en cuesti)n agrega antes de la acci)n (permit2deny) las palabras reser#adas dynamic testlist timeout <n>, donde n es la cantidad de minutos que la regla ser( acti#a una #e* que es disparada, luego de estos par(metros #a la regla ordinaria que se 'ar( acti#a, por e emplo permit ip host 10.1.1.1 an#. Como esta ltima regla est( asociada con un acceso por telnet como disparador, en las l+neas de #ty se debe poner un comando especial autocommand access-enable host timeout *, que establece el acceso permitido al telnet como disparador de la acl din(mica.

access4list 7A7 permit ip any 'ost 7A.7.7.7 eq telnet access4list 7A7 d#namic testlist timeout 10 permit ip 7J9.7?.A.A A.A.9GG.9GG 7J9.7J.A.A A.A.9GG.9GG inter0ace 0a A2A ip access4group 7A7 in username cesarcabrera passBord cecab79: line #ty A ; login local autocommand access4enable 'ost timeout G

El anterior listado de comandos instala una lista de acceso din(mica de entrada en la inter0a* 'a 0)0 que s)lo despus que un usuario cesar abre e3itosamente una sesi)n por telnet con la cla#e cecab123 con el enrutador se acti#a, permitiendo acceso de la red 7J9.7?.A.A27? a la 7J9.7J.A.A27?. 1alga la aclaraci)n que el comando autocommand cierra autom(ticamente la sesi)n de telnet pero dispara la acl, es decir, la sesi)n de telnet es s)lo un disparador de la acl y no tiene que quedar acti#a para que la acl est en 0uncionamiento. ACLs re e-i%as Las re!e3i#as son un tipo de fireBall primiti#o que permite el tr+fico slo si es iniciado en una direccin, pero sin usar las banderas de cone3i)n de <C-. Oa en las ACLs e3tendidas 'ab+amos #isto

que en #e* de ip se pueden poner otros protocolos y al final poner criterios adicionales particulares al protocolo en cuesti)n. Espec+ficamente, tcp permite agregar al final del identificador de origen o destino un identificador de puerto en incluso banderas de cone3i)n como established, que indica que la cone3i)n ya se abri). /ste caso particular de tcp es muy til cuando se tienen dos redes de las cuales una es confiable y la otra no, entonces es pre0erible permitir s)lo cone3iones cuya solicitud pro#enga de la red confiable, es decir, que se abran desde la red interna y no se puedan abrir cone3iones desde la e3terna. Con el truco de la bandera established (acP acti#o) se puede permitir de entrada s)lo los paquetes con sta condici)n, de tal manera que si llegan paquetes solicitando una cone3i)n desde 0uera (toda#+a no tienen el bit acP acti#o) se rec'a*an, mientras que si las cone3iones se abren desde adentro, todos los paquetes entrantes deber(n tener el acP acti#o y por lo tanto se #an a permitir. -ero Hqu pasa con %8- y otros protocolo no orientados a la cone3i)nI -ues a'+ entran en uego las acl re!e3i#as. La idea es 'acer lo mismo que el truco de establis'ed, pero basandose s)lo en los par(metros b(sicos de capa : y ;. Las acls re!e3i#as son un poco comple as en su configuraci)n, ya que se aplican %arios comandos para esta&lecer las entradas temporales, adicionalmente las ACLs re!e3i#as son un caso par)cular de ACL nom&rada e-tendida, por lo tanto no se pueden configurar en acl numeradas ni en acls nom&radas est+ndar. -rimero, en una de las direcciones del tr(fico se debe marcar la regla cuyo tr(fico de #uelta se #a a permitir con la palabra cla#e re+ect nombre", donde nombre es un iden)ficador ar&itrario que le ponemos a esta instancia, luego en la direcci)n de #uelta del tr(fico (la acl que se #a a instalar en la direcci)n contraria) se agrega la sentencia e,aluate nombre" donde nombre es el iden)ficador ar&itrario $ue pusimos en la otra direccin . En otras palabras, se le pone un identificador al tr(fico que inicia la acl re!e3i#a, luego en la otra direcci)n se le ordena que e#ale si el tr(fico corresponde con la regla marcada para permitirlo si coincide. =inalmente se instalan las listas, una de entrada y otra de salida en la misma inter0a* (el tr(fico entra y sale por la misma inter0a*).

ip access4list e3tended 6%<Q permit udp 7J9.7?.A.A A.A.9GG.9GG any re!ect %8-<RA==.C permit icmp 7J9.7?.A.A.A.A.9GG.9GG any re!ect .CS-<RA== ip access4list e3tended ."Q e#aluate %8-<RA==.C e#aluate .CS-<RA== inter0ace ser A2A ip access4group 6%<Q out ip access4group ."Q in

El listado anterior instala una lista de acceso re!e3i#a que permite el tr(fico de %8- e .CS- s)lo si se origin) en la red 7J9.7?.A.A27?. ACLs &asadas en fechas@horarios

=inalmente, las m(s simples de comprender son las basadas en 0ec'as2'orarios. La idea de estas acls son que se ac)%an en las fechas y horarios $ue se hayan esta&lecido pre%iamente , la precondici)n e#idente es que el enrutador de&e tener configuradas su hora y fecha correctamente, para sto se puede configurar manualmente, confiando que el equipo no se #aya a reiniciar por ningn moti#o y que el administrador #a a mantener actuali*ado el relo en caso contrario. 6tra alternati#a (m(s confiable) es configurar un ser#idor ntp para que el enrutador mantenga su tiempo actuali*ado. La configuraci)n de las acls basadas en tiempo consiste en crear un rango de tiempo (time4range) el cual es despus usado en las reglas de la ACL.

time4range "6CTE& periodic Sonday <uesday Cednesday <'ursday =riday 7J$AA to AA$AA access4list 7A7 permit tcp 7J9.7?.A.A A.A.9GG.9GG any eq BBB time4range "6CTE& int 0a A2A ip access4group 7A7 out

El anterior listado crea una lista de acceso que se permite el acceso a .nternet para la red 7J9.7?.A.A s)lo despus de las 7J'rs en d+as de traba o (Lunes a 1iernes). ACL nom&radas =inalmente, 'ay una 0orma m(s 0(cil de editar las listas de acceso llamadas listas de acceso nombradas. La idea b(sica de stas ACLs es permitir una administraci)n mnem)nica de las ACL, ya que en #e* de nmeros se usan nombres arbitrarios. /stas listas pueden ser e3tendidas o nombradas con las mismas caracter+sticas que las ACLs numeradas y abren un modo especial de configuraci)n (nacl) en el que se introducen las reglas una por una empe*ando por la acci)n (permit)den#). 8espus de la #ersi)n 79.: del .6&, stas listas de acceso permiten eliminar y crear reglas particulares entre las reglas e3istentes, contrario a la edici)n ordinaria de ACLs en la que tocaba eliminar completamente una ACL para poder modificarla. En su configuraci)n las palabras cla#e son ip access-list, lo que 'emos #isto 'asta este momento, todas las listas de acceso comien*an con la palabra reser#ada access-list, stas comien*an con ip access-list, seguidas del tipo de lista e-tended)standard y el nombre (arbitrario). Luego se entra en el modo especial de configuraci)n.

ip access4list e3tended ./0 (config4e3t4nacl)Upermit 7J9.7?.A.A A.A.9GG.9GG 7J9.7J.A.A A.A.9GG.9GG (config4e3t4nacl)Udeny any any

/stas listas se aplican como se aplican todas las acls y se #erifican con los mismos comandos. sho( ip access-list y sho( ip inter'ace.

Cmo funcionan las ACLs?: 0 ?!emplos Conceptos &+sicos Tay que recordar que las ACLs son fundamentalmente un mecanismo de seleccin de tr+fico , generalmente, por medio de par(metros de los campos del enca&e,ado I# o los enca&e,ados (C# y A1#. En algunos casos, el protocolo de capa ; puede establecer correspondencias con otros encabe*ados como los de E.KR-, 6&-=, entre otros. %na #e* que la selecci)n se establece, se puede usar para mltiples finalidades, por e emplo en CC"A se usa como mecanismo b(sico de seguridad, es decir, el tr(fico seleccionado se puede &lo$uear o permi)r seg6n las necesidades de la organi,acin. 6tros usos son la definici)n de las direcciones que #an a ser traducidas en un enrutador de borde que usa "A< entre otras muc'as tecnolog+as que usan las ACLs para definir con untos de direcciones o !u os de tr(fico seleccionados entre muc'os otros. La selecci)n de tr(fico o direcciones en las ACLs consiste en definir un con unto de reglas ba o un mismo identificador, sea numrico o al0anumrico, con la 0orma

id" id"

acci1n" condici1n" acci1n2" condici1n2"

Comando$ access4list LnM EpermitNdenyF Lre0VorigenM LBildcardVorigenM ELre0VdestinoM LBilcardVdestinoMF

donde id es el nombre2nmero de la ACL, acci1n es permitir o denegar y en el comando id se corresponde con n , acci1n con permit%den# y la condici)n ser+a el resto del comando. La condici)n es lo que usualmente nos e3ige m(s cuidado, las condiciones se basan en direcciones origen en las ACLs est(ndar y origen2destino en las e3tendidas y nombradas e3tendidas. Las direcciones origen o destino se definen cada una mediante una direcci)n de re0erencia y una m(scara Bildcard y pueden definir arbitrariamente la selecci)n, es decir, la direcci)n de re0erencia no tiene que corresponder e3actamente con una subred sino con cualquier con unto de direcciones, incluso de #arias subredes o un subcon unto de .-s de una subred. &i la e3plicaci)n anterior no es clara, por 0a#or lea la entrada inicial de la serie$ HC)mo 0uncionan las ACLsI$ . Conceptos. (opolog.a de e!emplo La siguiente #a a ser nuestra topolog+a de e emplo. .n0ortunadamente el -acPet <racer no soporta las ACLs re!e3i#as ni din(micas, as+ que si usted desea 'acer el e ercicio completo debe 'acerlo o bien con enrutadores reales o con K"&:. La topolog+a consiste en G enrutadores interconectados por enlaces seriales, uno de ellos es el enrutador central que conecta con el ser#idor y el resto tienen s)lo una subred conectada. Las direcciones de las LA" pertenecen al prefi o 7J9.7?.A.A279, asignandolas en orden de i*quierda a derec'a 7J9.7?.A.A29;, 7J9.7J.A.A29;, 7J9.7@.A.A29; (-C;) y 7J9.7>.A.A29; (-CG). El ser#idor tiene la direcci)n 7A.7.7.7 y los enlaces entre enrutadores son 7A.A.A.A2:A, 7A.A.A.;2:A, 7A.A.A.@2:A, 7A.A.A.792:A. El enrutamiento se lle#a a cabo con eigrp de A& 7 sin autoresmen por el 'ec'o de 'aber redes discontiguas (7A.A.A.A). La pol+tica (requerimientos) de seguridad de la organi*aci)n son los siguientes$

Est(ndar$ =iltrar el acceso de la red del -C7 al ser#idor E3tendidas$ =iltrar el acceso del -C9 al ser#idor

8in(micas ("o soportadas)$ Acceder al ser#idor desde -CG s)lo si se autentica pre#iamente por telnet. Re!e3i#as ("o soportadas)$ -ermitir el tr(fico de .CS- que se ogirine en -C;, pero no al re#s

%n aspecto importante, antes de hacer cual$uier cosa con ACLs es %erificar $ue e-ista conec)%idad completa en la red o&!e)%o. &i no comprobamos eso pre#iamente, podr+amos ignorar problemas actuales de conecti#idad en la red y podr+amos creer que eso es e0ecto de la instalaci)n de las acls. En esos casos el diagn)stico de un problema de esa naturale*a puede resultar muy diWcil de diagnosticar y m(s dificil aun de solucionar. 6tra consideraci)n que 'ay que 'acer es #erificar que la instalaci)n de una ACL a0ecta la red estrictamente como se espera y no genera e0ectos no pre#istos e indeseados. Lo anterior 'ay que 'acerlo por cada acl y #erificando la conecti#idad total 4o la m(s importante si la red es muy grande4. Listas de Control de Acceso ?st+ndar En el e emplo, el requerimiento de filtrar la red del -C7 con ACL est(ndar nos en0renta a la primera decisi)n$ Hd)nde instalar la ACLI. La respuesta tiene dos sentidos, en $u enrutador y en $u interfa, de ese enrutador. Como las ACL est(ndar s)lo filtran el tr(fico con base en las direcciones .- origen, si la acl se instala en Router7, eso filtrar+a todo el tr(fico de la red 'acia todos los destinos, por lo tanto no es #iable esa decisi)n. %na alternati#a, si no es posible instalarla en otro enrutador, ser+a filtrar el tr(fico pro#eniente del ser#idor en ese mismo enrutador lo que impidir+a que las respuestas a tr(fico que sali) de la red de -C7 y -C: regrese, lo cual ser+a un cumplimiento indirecto de la pol+tica de impedir conecti#idad entre esa red y el ser#idor. &egn lo anterior, la 6nica alterna)%a es instalar la ACL est+ndar en 2outerB , y con eso se cumple la regla de oro de las acls est(ndar$ instale lo m+s cerca posi&le del des)no . En ste caso, en el que podemos configurar el enrutador m(s cercano al ser#idor, la instalamos en la inter0a* por la que se conecta el ser#idor en la direcci)n de salida, filtrando e0ecti#amente el tr(fico cuyo origen es la red del -C7. El resto es carpinter+a como dec+a un antiguo pro0esor que tu#e$

access4list 7 deny 7J9.7?.A.A A.A.A.9GG access4list 7 permit any inter0ace =astEt'ernetA2A ip address 7A.A.A.7 9GG.9GG.A.A ip access4group 7 out

%na #e* que se instala esta acl, los paquetes originados en cualquier pc de la red del -C7 no llegar(n al ser#idor pero s+ a cualquier otro pc de la red. La conecti#idad con el resto de las redes de la topolog+a sigue intacta.

ACL e-tendidas El segundo requerimiento es filtrar el tr(fico desde el -C9 'asta el &er#idor. E#identemente no se puede hacer un filtrado as. con una sola acl est+ndar , por e emplo, si ponemos una ACL estandar en routerA que filtre el tr(fico cuya .- es la de -C9 en la 0a A2A de salida, ste quedar( sin conecti#idad con cualquier -C de la red del ser#idor, no s)lo el ser#idor. &i, por otro lado, la ponemos de entrada la situaci)n es peor$ el ser#idor no se podr( comunicar. 6tra alternati#a ser+a instalarla en la inter0a* LA" que pertenece a la red de -C9 (en Router7) y ste no se podr( comunicar con ninguna otra red. La soluci)n es una ACL e3tendida, que por norma se instala lo m+s cercano al origen posi&le. El ra*onamiento es que 'aciendolo de sta manera e#itamos que tr(fico innecesario corra por la red ocupando anc'o de banda y procesamiento en los dispositi#os.

access4list 7A7 deny ip 'ost 7J9.7J.A.: 'ost 7A.A.A.G access4list 7A7 permit ip any any inter0ace =astEt'ernetA2A ip address 7J9.7J.A.7 9GG.9GG.A.A ip access4group 7A7 in

Lo anterior en el enrutador Router7, donde se conecta el 'ost que se quiere filtrar. 8e nue#o, 'ay que #erificar que otros -Cs no quedan a0ectados por la acl, eso lo #erificamos en#iando y recibiendo paquetes e3itosamente desde el -C? al ser#idor. La conecti#idad del resto de las redes de la topolog+a sigue inalterada, eso incluye la conecti#idad de otras redes al pc9.

ACLs din+micas y re e-i%as .n0ortunadamente el -< G.7 no soporta ninguno de estos tipos de acls. -ara poder 'acer el e ercicio 'abr+a que usar gns:, netlab o enrutadores reales. 8e todas 0ormas ilustrar c)mo ser+a la configuraci)n correspondiente en esta topolog+a. Recordemos que las din(micas son, entre otras cosas, un mecanismo de autenticaci)n simple. Lo primero que 'aremos ser( crear un nombre de usuario y contrase,a para autenticar al -C G, luego crearemos la acl que incluya la palabra reser#ada dynamic, cuidando que la misma acl permita el tr(fico de telnet desde el pc en cuesti)n, instalamos la acl y luego en la configuraci)n de las #ty agregamos el comando que #incula estas dos instrucciones.

username cesarcabrera passBord cecab79: access4list 7A7 permit ip any 'ost 7J9.7>.A.7 eq telnet access4list 7A7 d#namic testlist timeout 1* permit ip 'ost 7J9.7>.A.: 'ost 7A.A.A.G inter0ace 0a A2A

ip access4group 7A7 in

Lo anterior, una #e* instalado en el enrutador Router9, s)lo permitir( el acceso del -CG al ser#idor si primero se intenta 'acer un telnet al enrutador y se autentica e3itosamente al mismo. El requerimiento de acl re!e3i#a se debe instalar en el ltimo enrutador, Router:, usando una acl nombrada e3tendida 4no numerada4 y con dos palabras cla#e adicionales$ re!ect2e#aluate. En la direcci)n de salida se permite el tr(fico pero se establece que se creen las acls necesarias para el tr(fico de retorno con re!ect y de entrada se le indica a la acl que e#ale las entradas din(micas creadas por la acl de salida.

ip access4list e3tended &AL.8A permit icmp 7J9.7@.A.A.A.A.A.9GG any re!ect <.CSip access4list e3tended E"<RA8A e#aluate <.CSinter0ace ser A2A2A ip access4group &AL.8A out ip access4group E"<RA8A in

"ote que una #e* que se instalan estos comandos en el ltimo enrutador, lo nico que se puede 'acer desde la red 7J9.7@.A.An es en#iar e3itosamente pings, pero no ser(n e3itosos si se originan en otras redes 'acia sta ltima. >tros usos de las ACLs =inalmente, como les 'e #enido mencionando en otras entradas, las acls son un mecanismo de clasificaci)n de tr(fico y por eso son 6)les en otros conte-tos . 1oy a citar dos, uno de ccna y otro de ccnp, particularmente de Q&C.. En el ltimo semestre de CC"A se estudia el tema de "A<, 'A( se usa para tener una red con direccionamiento pri%ado ar&itrariamente grande conectada a una red p6&lica usando slo un pe$ueCo con!unto de direcciones p6&licas . El mecanismo consiste en e3aminar los paquetes pro#enientes de la red pri#ada y cambiar las direcciones .- y puertos <C-2%8- del encabe*ado por las direcciones pblicas disponibles. 8e ese proceso se guarda en memoria una registro de qu puertos origen 'an sido asignados a qu direcci)n pri#ada, de tal manera que cuando se recibe la respuesta de la red pblica con .- destino pblica (o global como dice el curr+culo), el puerto <C-2%8- destino determina la direcci)n .- de 'ost local al que 'ay que cambiar la direcci)n .- para en#iar el paquete al interior de nuestra red (en otra ocasi)n escribo m(s en detalle el proceso). "A< debe especificar dos con untos de direcciones$ las direcciones pri#adas a traducir a direcciones pblicas y el con unto de direcciones pblicas. El con unto de direcciones pblicas es un rango de direcciones arbitrarias que dificilmente corresponder(n con una regla tipo acl, pero las direcciones pri#adas s+ deben tener un patr)n que se corresponda con una acl est(ndar, en la que las direcciones a las que se aplique la acci)n permit ser(n las direcciones que 'ay que traducir a direcciones pblicas (o globales). En otras palabras, para crear una regla de traduccin de

direcciones, se especifica por medio de una acl $u direcciones pri%adas <o locales= de&en ser traducidas. En Q&C. (uno de los e3(menes de ccnp) se 'abla de un mecanismo de manipulaci)n de tr(fico llamado mapas de ruta <route-map=. Los mapas de ruta permiten manipular la forma en $ue se reali,a el enrutamiento por e emplo yo podr+a arbitrariamente y sin contar con la tabla de enrutamiento, decir que el tr(fico de cierta red debe usar siempre un enlace en particular de salida. /se es el e emplo m(s simple de un mapa de ruta, pero los mapas de ruta permiten muc'as cosas m(s, por e emplo cambiar par(metros de enrutamiento como mtricas o filtrar actuali*aciones de enrutamiento que pro#engan de otro enrutador. ?l mecanismo &+sico por el $ue se especifica $u tr+fico ser+ afectado por las reglas del mapa de ruta son las acl e-tendidas .