Otro tema en el currculo de CCNA 4 son las ACLs complejas, que no son necesariamente

complejas en el sentido de la dificultad sino en lo sofisticado de su funcionamiento. Vamos a

explorar algunas de ellas. La idea de las ACLs complejas es complementar lo que ya sabemos
sobre ACLs estndar y extendidas con comportamientos que las hacen tiles en contextos ms
interesantes.
Dentro de las ACLs complejas tenemos 3 tipos: dinmicas, reflexivas y basadas en tiempo. A
continuacin una descripcin de cada una de ellas.
ACLs dinmicas:
stas usan un mecanismo bsico de autenticacin, generalmente Telnet, para activar la ACL, lo
que permite usar una ACL como mecanismo de autenticacin o vincular una ACL con la
autenticacin de los usuarios con medios reconocidos. La idea consiste en crear una regla en la
ACL que slo se activar si es disparada por algn evento, en ste caso un acceso por telnet al
enrutador. La regla en cuestin agrega antes de la accin (permit/deny) las palabras reservadas
dynamic testlist timeout <n>, donde n es la cantidad de minutos que la regla ser activa una vez
que es disparada, luego de estos parmetros va la regla ordinaria que se har activa, por ejemplo
permit ip host 10.1.1.1 any. Como esta ltima regla est asociada con un acceso por telnet como
disparador, en las lneas de vty se debe poner un comando especial autocommand access-enable
host timeout 5, que establece el acceso permitido al telnet como disparador de la acl dinmica.
* access-list 101 permit ip any host 10.1.1.1 eq telnet
* access-list 101 dynamic testlist timeout 10 permit ip 172.16.0.0 0.0.255.255 172.17.0.0
0.0.255.255
* interface fa 0/0
* ip access-group 101 in
* username admin password cisco
* line vty 0 4
* login local
* autocommand access-enable host timeout 5
El anterior listado de comandos instala una lista de acceso dinmica de entrada en la interfaz fa 0/0
que slo despus que un usuario admin abre exitosamente una sesin por telnet con la clave cisco
con el enrutador se activa, permitiendo acceso de la red 172.16.0.0/16 a la 172.17.0.0/16. Valga la
aclaracin que el comando autocommand cierra automticamente la sesin de telnet pero dispara
la acl, es decir, la sesin de telnet es slo un disparador de la acl y no tiene que quedar activa para
que la acl est en funcionamiento.
ACLs reflexivas:
Las reflexivas son un tipo de firewall primitivo que permite el trfico slo si es iniciado en una
direccin, pero sin usar las banderas de conexin de TCP. Ya en las ACLs extendidas habamos
visto que en vez de ip se pueden poner otros protocolos y al final poner criterios adicionales
particulares al protocolo en cuestin. Especficamente, tcp permite agregar al final del identificador
de origen o destino un identificador de puerto en incluso banderas de conexin como established,
que indica que la conexin ya se abri. ste caso particular de tcp es muy til cuando se tienen
dos redes de las cuales una es confiable y la otra no, entonces es preferible permitir slo
conexiones cuya solicitud provenga de la red confiable, es decir, que se abran desde la red interna
y no se puedan abrir conexiones desde la externa. Con el truco de la bandera established (ack
activo) se puede permitir de entrada slo los paquetes con sta condicin, de tal manera que si
llegan paquetes solicitando una conexin desde fuera (todava no tienen el bit ack activo) se
rechazan, mientras que si las conexiones se abren desde adentro, todos los paquetes entrantes
debern tener el ack activo y por lo tanto se van a permitir. Pero qu pasa con UDP y otros
protocolos no orientados a la conexin? Pues ah entran en juego las acl reflexivas. La idea es

hacer lo mismo que el truco de established, pero basndose slo en los parmetros bsicos de
capa 3 y 4.
Las acls reflexivas son un poco complejas en su configuracin, ya que se aplican varios comandos
para establecer las entradas temporales, adicionalmente las ACLs reflexivas son un caso particular
de ACL nombrada extendida, por lo tanto no se pueden configurar en acl numeradas ni en acls
nombradas estndar. Primero, en una de las direcciones del trfico se debe marcar la regla cuyo
trfico de vuelta se va a permitir con la palabra clave reflect <nombre>, donde nombre es un
identificador arbitrario que le ponemos a esta instancia, luego en la direccin de vuelta del trfico
(la acl que se va a instalar en la direccin contraria) se agrega la sentencia evaluate <nombre>
donde nombre es el identificador arbitrario que pusimos en la otra direccin. En otras palabras, se
le pone un identificador al trfico que inicia la acl reflexiva, luego en la otra direccin se le ordena
que evale si el trfico corresponde con la regla marcada para permitirlo si coincide. Finalmente se
instalan las listas, una de entrada y otra de salida en la misma interfaz (el trfico entra y sale por la
misma interfaz).
* ip access-list extended OUTB
* permit udp 172.16.0.0 0.0.255.255 any reflect UDPTRAFFIC
* permit icmp 172.16.0.0.0.0.255.255 any reflect ICMPTRAFF
* ip access-list extended INB
* evaluate UDPTRAFFIC
* evaluate ICMPTRAFF
* interface ser 0/0
* ip access-group OUTB out
* ip access-group INB in
El listado anterior instala una lista de acceso reflexiva que permite el trfico de UDP e ICMP slo si
se origin en la red 172.16.0.0/16.

ACLs basadas en fechas/horarios (Tiempo):

Finalmente, las ms simples de comprender son las basadas en fechas/horarios. La idea de estas
acls son que se activan en las fechas y horarios que se hayan establecido previamente, la
precondicin evidente es que el enrutador debe tener configuradas su hora y fecha correctamente,
para esto se puede configurar manualmente, confiando que el equipo no se vaya a reiniciar por
ningn motivo y que el administrador va a mantener actualizado el reloj en caso contrario. Otra
alternativa (ms confiable) es configurar un servidor ntp para que el enrutador mantenga su tiempo
actualizado.
La configuracin de las acls basadas en tiempo consiste en crear un rango de tiempo (time-range)
el cual es despus usado en las reglas de la ACL.
* time-range NOCHES
* periodic Monday Tuesday Wednesday Thursday Friday 17:00 to 00:00
* access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www time-range NOCHES
* int fa 0/0
* ip access-group 101 out
El anterior listado crea una lista de acceso que se permite el acceso a Internet para la red
172.16.0.0 slo despus de las 17hrs en das de trabajo (Lunes a Viernes).

CCNA4
Nombre: Jesus Ordoez
C.I.: 18122997
Seccin: C4A143