¿Qué Beneficio Ofrece Una Acl Extendida Sobre Una Acl Estándar?
ACL estándar: permiten o deniegan paquetes basados únicamente en la dirección IPv4 de origen. ACL extendidas: permiten o deniegan paquetes basados en la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y más.
Ver respuesta completa
Contents
¿Qué es una ACL extendida?
Componentes Utilizados – Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware. The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration.
- Dirección de origen
- Dirección de destino
- Tipo de paquete
- Cualquier combinación de estos elementos
Para filtrar el tráfico de la red, las ACL controlan si los paquetes ruteados se reenvían o bloquean en la interfaz del router. El router examina cada paquete para determinar si desea desviar o colocar el paquete según los criterios especificados en la ACL. Los criterios de ACL incluyen:
- Dirección de origen del tráfico
- Dirección de destino del tráfico
- Protocolo de capa superior
Realice estos pasos para construir una ACL conforme a los ejemplos de la presentación de este documento:
- Cree una ACL.
- Aplique la ACL a una interfaz.
La ACL IP es una recopilación secuencial de condiciones permit (permitir) o deny (denegar) que se aplican a los paquetes IP. El router prueba los paquetes en relación con las condiciones en la ACL, uno por vez. La primera coincidencia determina si el Cisco IOS® Software acepta o rechaza el paquete.
- ACL Estándar
- ACL Extendidas
- ACL dinámicas (cerradura y llave)
- ACL con nombre IP
- ACL Reflexivas
- ACL basadas en tiempo que utilizan intervalos de tiempo
- Entradas de ACL IP Comentadas
- ACL basadas en contexto
- Proxy de Autenticación
- Turbo ACL
- ACL basadas en el tiempo distribuidas
En este documento, se analizan algunas ACL estándar y extendidas que se utilizan comúnmente. Consulte Configuración de Listas de Acceso IP para obtener más información sobre diferentes tipos de ACL soportados en el Cisco IOS Software y cómo configurar y editar ACL.
- El formato de sintaxis del comando de una ACL estándar es access-list access-list-number,
- Las ACL estándar comparan la dirección de origen de los paquetes IP con las direcciones configuradas en la ACL para controlar el tráfico.
- Las ACL extendidas comparan las direcciones de origen y destino de los paquetes IP con las direcciones configuradas en la ACL para controlar el tráfico.
Usted también puede hacer que las ACL extendidas sean más granulares y se configuren para filtrar el tráfico por criterios, como:
- Protocolo
- Números de puerto
- Valor de punto de código de servicios diferenciados (DSCP)
- Valor de precedencia
- Estado del bit de número de secuencia de sincronización (SYN)
Los formatos de sintaxis del comando de las ACL extendidas son: IP access-list access-list-number ] protocol source source-wildcard destination destination-wildcard Internet Control Message Protocol (ICMP) access-list access-list-number ] icmp source source-wildcard destination destination-wildcard | ] Transport Control Protocol (TCP) access-list access-list-number ] tcp source source-wildcard ] destination destination-wildcard ] User Datagram Protocol (UDP) access-list access-list-number ] udp source source-wildcard ] destination destination-wildcard ] Estos ejemplos de configuración utilizan las ACL IP más comunes.
Ver respuesta completa
¿Qué dos características comparten las ACL estándar y extendidas?
¿Cuáles son las dos características que comparten las ACL estándar y extendidas? (Elija dos ). Ambas clases de ACL pueden filtrar según el tipo de protocolo. Ambas filtran los paquetes para una dirección IP host de destino específica. Ambas pueden permitir o denegar servicios específicos por el número de puerto.
Ver respuesta completa
¿Dónde se colocan las ACLs estandar y extendidas?
La correcta colocación de las ACL puede contribuir a que la red funcione de forma más eficaz. Se puede colocar una ACL para reducir el tráfico innecesario. Por ejemplo, el tráfico que se denegará en un destino remoto no se debe reenviar mediante recursos de red por la ruta hacia ese destino.
ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.
ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible. Si coloca una ACL estándar en el origen del tráfico, evitará de forma eficaz que ese tráfico llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.
La colocación de la ACL y, por lo tanto, el tipo de ACL que se utiliza también puede depender de lo siguiente:
Alcance del control del administrador de la red: la colocación de la ACL puede depender de si el administrador de red controla tanto la red de origen como la de destino o no.
Ancho de banda de las redes involucradas: el filtrado del tráfico no deseado en el origen impide la transmisión de ese tráfico antes de que consuma ancho de banda en la ruta hacia un destino. Esto es de especial importancia en redes con un ancho de banda bajo.
Facilidad de configuración: si un administrador de red desea denegar el tráfico proveniente de varias redes, una opción es utilizar una única ACL estándar en el router más cercano al destino. La desventaja es que el tráfico de dichas redes utilizará ancho de banda de manera innecesaria. Se puede utilizar una ACL extendida en cada router donde se origina tráfico. Esto ahorra ancho de banda, ya que el tráfico se filtra en el origen, pero requiere la creación de ACL extendidas en varios routers.
Nota: para la certificación CCNA, la regla general es que las ACL extendidas se coloquen lo más cerca posible del origen y que las ACL estándar se coloquen lo más cerca posible del destino.
Ver respuesta completa
¿Cómo característica de una ACL extendida se tiene?
10. CONFIGURACIÓN. ACL extendida numerada – Redes locales y globales
| Las ACL extendidas proporcionan un mayor control que las ACL estándar. La ACL extendida permite o deniega el acceso según la dirección IP de origen, la dirección IP de destino, el tipo de protocolo y los números de puertos. Dado que las ACL extendidas pueden ser muy específicas, tienden a aumentar su tamaño rápidamente. Cuantas más sentencias contenga una ACL, más difícil será administrarla. Las ACL extendidas usan un número de access-list que va de 100 a 199 y de 2000 a 2699. Las mismas reglas que se aplican a las ACL estándar se aplican también a las ACL extendidas:
Configure varias sentencias en una ACL. Asigne el mismo número de ACL a cada sentencia. Use las palabras clave host o any para representar direcciones IP. Una diferencia clave en la sintaxis de las ACL extendidas es el requisito de especificar un protocolo después de la condición de permitir o denegar. Este protocolo puede ser IP, e indicar todo el tráfico IP, o puede indicar el filtrado en un protocolo IP específico, como TCP, UDP, ICMP y OSPF. Permitir el acceso a los hosts de la LAN 192.168.2.0. Permitir el acceso al host 192.168.1.66. Denegar el acceso a los hosts de la LAN 192.168.4.0. Permitir el acceso a todas las personas de la empresa. Hay al menos dos soluciones posibles que cumplen con estos requisitos. Al planificar la ACL, intente minimizar las sentencias siempre que sea posible. Algunas formas de minimizar sentencias y reducir la carga de procesamiento del router incluyen: Haga coincidir el tráfico de gran volumen y deniegue el tráfico bloqueado anteriormente en la ACL. Este enfoque garantiza que los paquetes no se comparen con sentencias posteriores. Consolide varias sentencias de permitir y denegar en una única sentencia mediante intervalos. Considere la posibilidad de denegar un grupo particular en lugar de permitir un grupo opuesto y más grande. |
