Propósito de las ACL CCNA
Propósito de las ACL CCNA

Propósito de las ACL

Propósito de ACL
5

Resumen

Se explica de qué manera las ACL filtran el tráfico. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!

¡Bienvenido!: Este tema forma parte del Módulo 4 del curso de Cisco CCNA 3, para un mejor seguimiento del curso puede ir a la sección CCNA 3 para guiarte del índice.

1. ¿Qué es una ACL?

Los routers toman decisiones de enrutamiento basadas en la información del encabezado del paquete. El tráfico que ingresa a una interfaz de router se enruta únicamente en función de la información dentro de la tabla de enrutamiento. El router compara la dirección IP de destino con las rutas de la tabla de enrutamiento para encontrar la mejor coincidencia y, a continuación, reenvía el paquete según la mejor ruta de coincidencia. Ese mismo proceso se puede utilizar para filtrar el tráfico mediante una lista de control de acceso (ACL).

Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. De forma predeterminada, un router no tiene ninguna ACL configurada. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar.

Una ACL utiliza una lista secuencial de declaraciones de permiso (permit) o denegación (deny), conocidas como entradas de control de acceso (ACE).

Nota: Las ACE también se denominan comúnmente ‘instrucciones de ACL’.

Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del paquete con cada ACE, en orden secuencial, para determinar si el paquete coincide con una de las ACE. Este proceso se denomina filtrado de paquetes.

Varias tareas realizadas por los routers requieren el uso de ACL para identificar el tráfico. La tabla enumera algunas de estas tareas con ejemplos.

Tarea Ejemplo
Limitar el tráfico de la red para aumentar el rendimiento de la misma
  • Una política corporativa prohíbe el tráfico de vídeo en la red para reducir la carga de red.
  • Se puede aplicar una directiva mediante ACL para bloquear el tráfico de vídeo.
Proporcionar el control del flujo de tráfico
  • Una directiva corporativa requiere que el tráfico del protocolo de enrutamiento sea limitado sólo a ciertos enlaces.
  • Se puede implementar una política usando ACL para restringir la entrega de actualizaciones de enrutamiento sólo a aquellas que provienen de un origen conocido.
Proporcionar un nivel básico de seguridad para el acceso a la red
  • La política de la empresa exige que el acceso a la red de recursos humanos se restrinja únicamente a los usuarios autorizados.
  • Se puede aplicar una política utilizando las ACL para limitar el acceso a determinadas redes.
Filtrar el tráfico en función del tipo de tráfico
  • La política de la empresa exige que se permita el tráfico de correo electrónico en la red, pero que se niegue el acceso a Telnet.
    Una política puede ser implementada usando ACLs para filtrar el tráfico por tipo.
Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red.
  • La política de la empresa exige que el acceso a algunos tipos de archivos (por ejemplo, FTP o HTTP) se limite a los grupos de usuarios.
  • Se puede implementar una política utilizando ACLs para filtrar el acceso de los usuarios a los servicios.
Proporcionar prioridad a determinadas clases de tráfico de red
  • El tráfico corporativo especifica que el tráfico de voz se reenvíe lo más rápido posible para evitar cualquier interrupción.
  • Se puede implementar una política usando ACLs y servicios de QoS para identificar el tráfico de voz y procesarlo inmediatamente.

2. Filtrado de Paquetes


El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios determinados. El filtrado de paquetes puede producirse en la capa 3 o capa 4, como se muestra en la ilustración.

Filtrado de Paquetes
Filtrado de Paquetes

Los enrutadores Cisco soportan dos tipos de ACL:

  • ACLs estándar – Las ACLs sólo se filtran en la Capa 3 usando sólo la dirección IPv4 de origen.
  • ACLs extendidas – Las ACLs se filtran en la Capa 3 utilizando la dirección IPv4 de origen y/o destino. También pueden filtrar en la Capa 4 utilizando puertos TCP, UDP e información de tipo de protocolo opcional para un control más fino.

3. Funcionamiento de las ACL

Las ACLs definen el conjunto de reglas que dan un control añadido a los paquetes que entran en las interfaces de entrada, los paquetes que se transmiten a través del router y los paquetes que salen de las interfaces de salida del router.

Las ACLs pueden ser configuradas para aplicarse al tráfico entrante y saliente, como se muestra en la figura.

Funcionamiento de las ACL
Funcionamiento de las ACL

Nota: Las ACL no operan sobre paquetes que se originan en el router mismo.

Una ACL entrante filtra los paquetes antes de que se enruten a la interfaz saliente. Las ACL de entrada son frecuentes, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar.

Las ACL de salida filtran los paquetes después de que se enrutan, independientemente de la interfaz de entrada. Los paquetes entrantes se enrutan a la interfaz saliente y luego se procesan a través de la ACL saliente. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que proporcionan varias interfaces de entrada antes de salir por la misma interfaz de salida.

Cuando se aplica una ACL a una interfaz, sigue un procedimiento operativo específico. Por ejemplo, a continuación se indican los pasos operativos que se utilizan cuando el tráfico ha entrado en una interfaz de router con una ACL IPv4 estándar entrante configurada.

  1. El router extrae la dirección IPv4 de origen del encabezado del paquete.
  2. El router comienza en la parte superior de la ACL y compara la dirección IPv4 de origen con cada ACE en un orden secuencial.
  3. Cuando se hace una coincidencia, el router lleva a cabo la instrucción, ya sea permitiendo o negando el paquete, y los restantes ACEs del ACL, si los hay, no son analizados.
  4. Si la dirección IPv4 de origen no coincide con ninguna ACE de la ACL, el paquete se descarta porque hay una ACE de denegación implícita aplicada automáticamente a todas las ACL.

La última declaración ACE de una ACL es siempre una denegación implícita que bloquea todo el tráfico. De forma predeterminada, esta instrucción se implica automáticamente al final de una ACL aunque esté oculta y no se muestre en la configuración.

Nota: Una ACL debe tener al menos una instrucción permit, de lo contrario, se denegará todo el tráfico debido a la sentencia deny ACE implícita.

4. Packet Tracer – Demostración de ACL

En esta actividad, observarás cómo se puede utilizar una lista de control de acceso (ACL) para evitar que un ping llegue a hosts en redes remotas. Después de eliminar la ACL de la configuración, los pings se realizarán correctamente.

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.

Siguiente
Criptografía