Cómo Refinar una Lista de Acceso IP

(1)

Cómo Refinar una Lista de Acceso IP

Descargue este capítulo

Cómo Refinar una Lista de Acceso IP Feedback

Contenidos

Cómo Refinar una Lista de Acceso IP Encontrar la información de la característica Contenido

Información sobre cómo Refinar una Lista de Acceso IP Números de Secuencia de la Lista de Acceso

Ventajas de los números de secuencia de la lista de acceso Comportamiento de la Numeración de Secuencia

Ventajas de los rangos de tiempo

Listas de Acceso Distribuidas Basadas en el Tiempo Ventajas de filtrar los fragmentos noninitial de los paquetes Proceso de lista de acceso de los fragmentos

Cómo Refinar una Lista de Acceso IP

Revisar una lista de acceso usando los números de secuencia Restricciones

Ejemplos

Restricción de una entrada de lista de acceso a un Time Of Day o a una semana Prerrequisitos

Restricciones Pasos Siguientes

Fragmentos noninitial de filtración de los paquetes Pasos Siguientes

Ejemplos de Configuración para Refinar una Lista de Acceso IP Ejemplo: Entradas de Resequencing en una lista de acceso Ejemplo: Agregar una entrada con un número de secuencia Ejemplo: Agregar una entrada sin el número de secuencia

Ejemplo: Rangos de tiempo aplicados a las entradas de lista de IP Access Ejemplo: Fragmentos de filtración del paquete del IP

Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica

Información de la característica para refinar una lista de IP Access

Cómo Refinar una Lista de Acceso IP

Primera publicación: De agosto el 18 de 2006 Última actualización: De agosto el 18 de 2006

Hay varias maneras de refinar una lista de acceso mientras que o después de que usted la cree. Usted puede cambiar la pedido de las entradas en una lista de acceso o agregar las entradas a una lista de acceso. Usted puede restringir las entradas de lista de acceso a un cierto Time Of Day o semana, o alcance la granularidad más fina cuando los filtrados de paquetes filtrando los fragmentos noninitial de los paquetes.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada

característica, vea “información de la característica para refinar la sección de una lista de IP Access”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

• Información sobre cómo Refinar una Lista de Acceso IP • Cómo Refinar una Lista de Acceso IP

(2)

• Ejemplos de Configuración para Refinar una Lista de Acceso IP • Referencias adicionales

• Información de la característica para refinar una lista de IP Access

Información sobre cómo Refinar una Lista de Acceso IP

• Números de Secuencia de la Lista de Acceso

• Ventajas de los números de secuencia de la lista de acceso • Comportamiento de la Numeración de Secuencia

• Ventajas de los rangos de tiempo

• Listas de Acceso Distribuidas Basadas en el Tiempo • Ventajas de filtrar los fragmentos noninitial de los paquetes • Proceso de lista de acceso de los fragmentos

Números de Secuencia de la Lista de Acceso

La capacidad de aplicar números de secuencia a las entradas de la lista de acceso simplifica los cambios de la lista de acceso. Antes de la función IP Access List Entry Sequence Numbering no había manera de especificar la posición de una entrada dentro de una lista de acceso. Si deseaba insertar una entrada en medio de una lista existente, tenía que remover todas las entradas que hubiera tras la posición deseada, añadir la nueva entrada y después volver a ingresar todas las entradas removidas. Este método era pesado y propenso a errores.

Los números de secuencia permiten que los usuarios agreguen las entradas de lista de acceso y el resequence ellos. Cuando añada una nueva entrada, especifique el número de secuencia para que esté en la posición deseada de la lista de acceso. En caso necesario, las entradas incluidas actualmente en la lista de acceso se pueden volver a secuenciar para crear espacio donde insertar la nueva entrada.

Ventajas de los números de secuencia de la lista de acceso

Un número de secuencia de la lista de acceso es un número al principio de a permit o deny de comando en una lista de acceso. El número de secuencia determina la orden que la entrada aparece en la lista de acceso. La capacidad de aplicar números de secuencia a las entradas de la lista de acceso simplifica los cambios de la lista de acceso.

Antes del tener números de secuencia, los usuarios podrían agregar solamente las entradas de lista de acceso al final de una lista de acceso; por lo tanto, la necesidad agregar las declaraciones dondequiera excepto el extremo de la lista requirió la nueva configuración de la lista de acceso entera. No había manera de especificar la posición de una entrada dentro de una lista de acceso. Si un usuario deseaba insertar una entrada (sentencia) en medio de una lista existente, se tenían que remover todas las entradas que hubiera tras la posición deseada para añadir la nueva entrada, y entonces todas las entradas removidas se tenían que volver a ingresar. Este método era pesado y propenso a errores.

Esta función permite que los usuarios añadan números de secuencia a entradas de listas de acceso y que cambien su secuencia. Cuando un usuario añade una nueva entrada, elige el número de secuencia para que esté en la posición deseada de la lista de acceso. En caso necesario, las entradas incluidas actualmente en la lista de acceso se pueden volver a secuenciar para crear espacio donde insertar la nueva entrada. Los números de secuencia hacen revisando una lista de acceso mucho más fácil.

Comportamiento de la Numeración de Secuencia

• Por compatibilidad con versiones anteriores, si se aplican entradas sin números de secuencia, a la primera entrada se asigna un número de secuencia de 10, y las entradas sucesivas se incrementan de 10 en 10. El número máximo de secuencia es 2147483647. Si el número de secuencia generado supera este número máximo, se visualiza el siguiente mensaje:

Exceeded maximum sequence number.

• Si el usuario ingresa una entrada sin un número de secuencia, se asigna un número de secuencia superior en 10 al último número de secuencia de dicha lista de acceso y se coloca al final de la lista.

• Si el usuario ingresa una entrada que coincide con una entrada ya existente (excepto el número de secuencia), no se realiza ningún cambio.

• Si el usuario ingresa un número de secuencia que ya está presente, se genera el siguiente mensaje de error: Duplicate sequence number.

• Si una nueva lista de acceso se ingresa desde el modo de configuración global, los números de secuencia de esa lista de acceso se generan automáticamente.

• Se proporciona el soporte distribuido de modo que los números de secuencia de entradas en el (RP) del Route Processor y el linecard estén en la sincronización siempre.

• Los números de secuencia no son nvgened. Es decir, los propios números de secuencia no se guardan. En caso que se recargue el sistema, los números de secuencia configurados recuperan el número inicial y el incremento de secuencia

(3)

predeterminados. Esta función se proporciona por motivos de compatibilidad con versiones anteriores del software que no soportan la numeración de secuencias.

• Esta característica trabaja con Nombrado y numerado, estándar y las listas de acceso IP ampliado. Ventajas de los rangos de tiempo

Las ventajas y las aplicaciones posibles de los rangos de tiempo incluyen el siguiente:

• El administrador de red tiene más control sobre el permiso o la negación del acceso de usuario a los recursos. Estos recursos pueden ser una aplicación (identificada por un par dirección IP/máscara y un número de puerto), ruteo de política o un link a petición (identificado como tráfico interesante al marcador).

• Los administradores de la red pueden fijar la política de seguridad del time basado, incluyendo el siguiente: – Seguridad perimetral usando el conjunto de funciones de Cisco IOS Firewall o las listas de acceso – Confidencialidad de los datos con la tecnología de encripción de Cisco o el IP Security Protocol (IPSec) • Se aumentan el Routing basado en políticas (PBR) y las funciones de espera.

• Por ejemplo, cuando las velocidades de acceso del proveedor varían según el momento del día, es posible volver a rutear el tráfico automáticamente y con una buena relación entre costo y eficacia.

• Los proveedores de servicio pueden cambiar dinámicamente una configuración de velocidad comprometida de acceso (CAR) para soportar los acuerdos en el nivel de servicio (SLAs) de la Calidad de Servicio (QoS) que se negocian durante determinados momentos del día.

• Los administradores de la red pueden controlar los mensajes de registro. Las entradas de la lista de acceso pueden registrar el tráfico a determinadas horas del día, pero no constantemente. Por lo tanto, los administradores pueden limitarse a denegar el acceso sin tener que analizar muchos logs generados durante las horas pico.

Listas de Acceso Distribuidas Basadas en el Tiempo

Antes de la introducción de las listas de acceso basadas en el tiempo distribuidas característica, las listas de acceso basadas en el tiempo no fueron soportadas en el linecards para los Cisco 7500 Series Router. Si se configuraron listas de acceso basadas en tiempo, se comportaron como listas de acceso normales. Si una interfaz de una tarjeta de línea se configuró con una lista de acceso basada en tiempo, los paquetes conmutados en la interfaz no se distribuyeron conmutados a través de la tarjeta de línea, sino que se reenviaron al procesador de rutas para su procesamiento.

La función Distributed Time-Based Access Lists permite que los paquetes destinados a una interfaz configurada con una lista de acceso basada en el tiempo sean distribuidos conmutados a través de la tarjeta de línea.

Para que estas funciones trabajen, el reloj de software debe seguir sincronizado entre el Route Processor y el linecard. Esta sincronización ocurre con un intercambio de los mensajes de las comunicaciones entre procesos (IPC) del Route Processor al linecard. Cuando se cambia, se agrega, o se borra un rango de tiempo o una entrada del tiempo-rango, un mensaje IPC es enviado por el Route Processor al linecard.

No hay diferencia entre cómo el usuario configura las listas de acceso basadas en el tiempo y las listas de acceso basadas en el tiempo distribuidas.

Ventajas de filtrar los fragmentos noninitial de los paquetes

Si fragments la palabra clave se utiliza en las entradas de lista de IP Access adicionales que niegan los fragmentos, la característica del control del fragmento proporciona las siguientes ventajas:

Seguridad complementaria

Usted puede bloquear más del tráfico que usted se prepuso bloquear, no apenas el fragmento inicial de tales paquetes. Los fragmentos indeseados se retrasan no más en el receptor hasta que se alcance el tiempo de espera para reconstrucción porque se bloquean antes de ser enviado al receptor. El bloqueo de una mayor porción de tráfico no deseado mejora la Seguridad y reduce el riesgo de los posibles hackers.

Coste reducido

Bloqueando los fragmentos noninitial indeseados de los paquetes, usted no está pagando el tráfico que usted se prepuso bloquear.

Almacenamiento reducido

Bloqueando los fragmentos noninitial indeseados de los paquetes nunca de alcanzar el receptor, ese destino no tiene que salvar los fragmentos hasta que se alcance el período de tiempo de espera para reconstrucción.

Se alcanza la conducta esperada

Los fragmentos noninitial serán manejados igual que el fragmento inicial, que es lo que usted esperaría. Hay menos resultados inesperados del Policy Routing y menos fragmentos de los paquetes que son ruteados cuando no deben ser.

Proceso de lista de acceso de los fragmentos

El comportamiento de las entradas de lista de acceso con respecto el uso o a la falta de uso fragments de la palabra clave puede ser resumido como sigue:

Si la entrada de lista de

acceso tiene… Entonces…

… ninguna fragments palabra clave (el valor por defecto), y si se asume que todas las

Para una entrada de lista de acceso que contiene solamente la información de la capa 3:

(4)

coincidencias de la información de la entrada de lista de acceso,

• La entrada se aplica a los paquetes no fragmentados, a los fragmentos iniciales, y a los fragmentos noninitial. Para una entrada de lista de acceso que contiene el información de las capas 3 y 4:

• La entrada se aplica a los paquetes no fragmentados y a los fragmentos iniciales.

– Si la entrada es permit una declaración, después se permite el paquete o el fragmento.

– Si la entrada es deny una declaración, después se niega el paquete o el fragmento.

• La entrada también se aplica a los fragmentos noninitial de la manera siguiente. Porque los fragmentos noninitial contienen solamente la información de la capa 3, sólo la capa 3 porciones de una entrada de lista de acceso puede ser aplicada. Si la capa 3 porciones de la entrada de lista de acceso hace juego, y

– Si la entrada es permit una declaración, después se permite el fragmento noninitial.

– Si la entrada es deny una declaración, después se procesa la entrada de lista de acceso siguiente.

Observe deny las declaraciones se dirigen diferentemente para los fragmentos noninitial contra nonfragmented o los fragmentos iniciales.

… fragments la palabra clave, y si se asume que todas las coincidencias de la información de la entrada de lista de acceso,

La entrada de lista de acceso se aplica solamente a los fragmentos noninitial.

fragments La palabra clave no se puede configurar para una entrada de lista de acceso que contenga cualquier información de la capa 4.

Sea consciente que usted no debe agregar fragments la palabra clave a cada entrada de lista de acceso porque el primer fragmento del paquete del IP se considera un nonfragment y se trata independientemente de los fragmentos subsiguientes. Un fragmento inicial no hará juego una lista de acceso permit o deny una entrada que contengan fragments la palabra clave. El paquete se compara a la entrada de lista de acceso siguiente, y así sucesivamente, hasta que sea permitido o negado por una entrada de lista de acceso que no contenga fragments la palabra clave. Por lo tanto, usted puede necesitar dos entradas de lista de acceso para cada deny entrada. La primera deny entrada de los pares no incluirá fragments la palabra clave y se aplica al fragmento inicial. La segunda deny entrada de los pares incluirá fragments la palabra clave y se aplica a los

fragmentos subsiguientes. En las cajas en las cuales hay entradas múltiples deny para el mismo host pero con diversos puertos de la capa 4, una sola deny entrada de lista de acceso con fragments la palabra clave para ese host es todo ese necesita ser agregada. Así todos los fragmentos de un paquete son manejados de manera semejante por la lista de acceso.

Los fragmentos de paquete de los datagramas IP se consideran los paquetes individuales, y cada uno cuenta individualmente mientras que un paquete en las cuentas de las estadísticas y de la violación de lista de acceso de la lista de acceso.

Cómo Refinar una Lista de Acceso IP

Las tareas en este módulo proveen de usted las distintas maneras de refinar una lista de acceso si usted no hizo ya tan mientras que usted la creaba. Usted puede cambiar la pedido de las entradas en una lista de acceso, agregar las entradas a una lista de acceso, restringir las entradas de lista de acceso a un cierto Time Of Day o semana, o alcanzar la granularidad más fina cuando los filtrados de paquetes filtrando en los fragmentos noninitial de los paquetes.

Esta sección incluye las siguientes tareas:

• Revisando una lista de acceso usando los números de secuencia (opcionales)

• Restringiendo una entrada de lista de acceso a un Time Of Day o a una semana (opcional) • Fragmentos noninitial de filtración de los paquetes (opcionales)

Revisar una lista de acceso usando los números de secuencia

Realice esta tarea si usted quiere agregar las entradas a una lista de acceso existente, cambian la pedido de las entradas, o numeran simplemente las entradas en una lista de acceso para acomodar los cambios futuros.

La notarecuerda que si usted quiere borrar una entrada de una lista de acceso, usted puede utilizar simplemente no deny o no permit formar del comando, o no sequence-number el comando si la declaración tiene ya un número de secuencia.

Restricciones

(5)

PASOS SUMARIOS 1. enable

2. configure terminal

3. ip access-list resequence access-list-name starting-sequence-number increment 4. ip access-list {standard | extended} access-list-name

5. sequence-number permiso source source-wildcard o

sequence-number [] protocol source source-wildcard destination destination-wildcard del []precedence precedence del []tos tosdel []logdel []time-range time-range-namedel permisofragments

6. sequence-number niegue source source-wildcard o

sequence-number niegue protocol source source-wildcard destination destination-wildcard el []precedence precedence del

[]tos tosdel []logdel []time-range time-range-namedel []fragments

7. Relance el paso 5 y el paso 6 cuanto sea necesario, agregando las declaraciones por el número de secuencia donde usted planeó. Utilice no sequence-number el comando de borrar una entrada.

8. end

9. show ip access-lists access-list-name PASOS DETALLADOS

Comando o acción Propósito

Paso

1 enable_Example:

Router> enable

Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga.

Paso

2 configure terminal_Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso

3 ip access-list resequence access-list-name starting-sequence-number increment

Example:

Router(config)# ip access-list resequence kmd1 100 15

Cambia la secuencia de la lista de acceso IP especificada usando el número de secuencia inicial y el incremento de números de secuencia.

• Este ejemplo restablece la secuencia de una lista de acceso llamada kmd1. El número de secuencia inicial es 100 y el incremento 15. Paso

4 ip access-list {standard |extended} access-list-name Example:

Router(config)# ip access-list standard xyz123

Especifica la lista de acceso IP por nombre e ingresa en el modo de configuración de listas de acceso designadas.

• Si usted especifica standard, aseegurele especificar subsiguiente permit y deny las declaraciones usando el sintaxis de la lista de acceso estándar.

• Si usted especifica extended, aseegurele especificar subsiguiente permit y deny las declaraciones usando el sintaxis de la lista de acceso ampliada.

Paso

5 sequence-number permit sourcesource-wildcard

o

sequence-number permit protocol source source-wildcard

destination destination-wildcard [

precedence precedence] [tos tos] [log] [time-range time-range-name ] [fragments]

Example:

Router(config-std-nacl)# 105 permit 10.5.5.5 0.0.0.255

Especifica una sentencia permit en el modo de lista de acceso IP con nombre.

• Esta lista de acceso sucede utilizar permit una declaración primero, pero deny una declaración podría aparecer primero, dependiendo de la orden de las declaraciones que usted necesita. • Vea permit el comando (IP) para que el sintaxis del comando adicional permita los protocolos de la capa superiores (ICMP, IGMP, TCP, y UDP). • Utilice no sequence-number el comando de borrar una entrada.

(6)

• Tal como señala la indicación, esta lista de acceso era una lista de acceso estándar. Si usted hubiera especificado extended en el paso 4, el prompt para este paso sería el router (config-extensión-nacl) # y usted utilizaría la sintaxis de los comandos permit extendida.

Paso

6 sequence-number deny sourcesource-wildcard

o

sequence-number deny protocol source source-wildcard

destination destination-wildcard [

precedence precedence] [tos tos] [log] [time-range time-range-name ] [fragments]

Example:

Router(config-std-nacl)# 110 deny 10.6.6.7 0.0.0.255

(Opcional) Especifica una sentencia deny en el modo de lista de acceso IP con nombre.

• Esta lista de acceso sucede utilizar permit una declaración primero, pero deny una declaración podría aparecer primero, dependiendo de la orden de las declaraciones que usted necesita. • Vea deny el comando (IP) para que el sintaxis del comando adicional permita los protocolos de la capa superiores (ICMP, IGMP, TCP, y UDP). • Utilice no sequence-number el comando de borrar una entrada. • Tal como señala la indicación, esta lista de acceso era una lista de acceso estándar. Si usted hubiera especificado extended en el paso 4, el prompt para este paso sería el router (config-extensión-nacl) # y usted utilizaría la sintaxis de los comandos deny extendida.

Paso

7 Relance el paso 5 y el paso 6 cuanto seanecesario, agregando las declaraciones por el número de secuencia donde usted planeó. Utilice no sequence-number el comando de borrar una entrada.

Permite revisar la lista de acceso.

Paso

8 end_Example:

Router(config-std-nacl)# end

(Opcional) Sale del modo de configuración y vuelve al modo EXEC privilegiado. Paso

9

show ip access-lists

access-list-name

Example:

Router# show ip access-lists xyz123

(Opcional) Muestra el contenido de la lista de acceso IP.

• Revise la salida para comprobar que la lista de acceso incluye la nueva entrada.

Ejemplos

Lo que sigue es salida de muestra show ip access-lists del comando cuando xyz123 se especifica la lista de acceso. Router# show ip access-lists xyz123

Standard IP access list xyz123

100 permit 10.4.4.0, wildcard bits 0.0.0.255 105 permit 10.5.5.5, wildcard bits 0.0.0.255 115 permit 10.0.0.0, wildcard bits 0.0.0.255 130 permit 10.5.5.0, wildcard bits 0.0.0.255 145 permit 10.0.0.0, wildcard bits 0.0.0.255

Restricción de una entrada de lista de acceso a un Time Of Day o a una semana

Por abandono, las sentencias de lista de acceso están siempre en efecto una vez que son aplicadas. Sin embargo, usted puede definir los tiempos del día o de la semana que permit o deny las declaraciones sea en efecto definiendo un rango de tiempo, y

(7)

después de referirse al rango de tiempo por nombre a una declaración de la lista de acceso individual. Las listas de acceso ampliadas nombradas o numeradas IP y del Intercambio de paquetes entre redes (IPX) pueden utilizar los rangos de tiempo. Prerrequisitos

El rango de tiempo confía en el reloj de software del dispositivo de ruteo. Para que la característica de rango de tiempo funcione como usted desea, necesita una fuente de reloj confiable. Recomendamos que usted utiliza el Network Time Protocol (NTP) para sincronizar el reloj de software del dispositivo de ruteo.

Restricciones

La característica distribuida de las listas de acceso basadas en el tiempo se soporta en los Cisco 7500 Series Router con un Versatile Interface Processor (VIP) habilitado.

3. time-range time-range-name

4. periodic days-of-the-week hh:mm to []days-of-the-week hh:mm

5. Relance el paso 4 si usted quiere más de un período de tiempo aplicado a una sentencia de lista de acceso. 6. absolute []start time datedel []end time date

7. exit

8. Relance los pasos 3 a 7 si usted quisiera que los rangos de momento diferente se aplicaran a permit o deny las declaraciones.

9. ip access-list extended name

10. deny protocol source []source-wildcard destination del []destination-wildcarddel []option option-namedel []precedence precedencedel []tos tosdel []established[log | log-input] time-range time-range-name

11 permit protocol source []source-wildcard destination del []destination-wildcarddel []option option-namedel []precedence precedencedel []tos tosdel []established[log | log-input] time-range time-range-name

12. Puede repetir alguna combinación de los pasos 10 y 11 hasta especificar los valores en los que desea basar la lista de acceso.

13. end

14. show ip access-list 15. show time-range 16. show time-range ipc 17. clear time-range ipc 18. debug time-range ipc PASOS DETALLADOS

Comando o acción Propósito Paso 1 enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

• Ingrese su contraseña si se le pide que lo haga.

Paso 2 configure terminal Example:

Paso 3 time-range time-range-name Example:

Router(config)# time-range limit_http

Define un rango de tiempo y ingresa al modo de configuración del tiempo-rango.

• El nombre no puede contener una marca del espacio o de cita, y debe comenzar con una carta.

• Los rangos de tiempo múltiples pueden ocurrir en una sola lista de acceso. Paso 4 periodic days-of-the-week

hh:mm to [days-of-the-week ] hh:mm Example: Router(config-time-range)# periodic Monday 6:00 to Wednesday 19:00

(Opcional) especifica un rango de tiempo (del semanario que se repite).

• El primer acontecimiento de

days-of-the-week es el día o el día de la semana que

comienza que el rango de tiempo asociado está en efecto. El segundo acontecimiento es el día de la conclusión o día de la semana la declaración asociada está en efecto. • days-of-the-week El argumento puede

(8)

ser cualquier solo día o combinación de días: Lunes, martes, miércoles, jueves, viernes, sábado, y domingo. Otros valores posibles son:

daily– — De lunes a domingo weekdays– — De lunes a viernes weekend– — Sábado y domingo • Si los días de la semana de la conclusión son lo mismo que los días de la semana que comienzan, pueden ser omitidos.

• El primer acontecimiento de hh:mm es las horas que comienzan: minutos que el rango de tiempo asociado está en efecto. El segundo acontecimiento es las horas de terminación: anota la declaración asociada está en efecto.

• Las horas: los minutos se expresan en un reloj de 24 horas. Por ejemplo, 8:00 es 8:00 a.m. y 20:00 es 8:00 p.m.

Paso 5 Relance el paso 4 si usted quiere más de un período de tiempo aplicado a una sentencia de lista de acceso.

Los comandos múltiples (opcionales periodic ) se permiten en un rango de tiempo.

Paso 6 absolute [start time date] [end time date]

Example:

Router(config-time-range)# absolute start 6:00 1 August 2005 end 18:00 31 October 2005

(Opcional) especifica una época absoluta en que un rango de tiempo está en efecto.

• Solamente un absolute comando se permite en un rango de tiempo.

• El tiempo se expresa en la notación de 24 horas, bajo la forma de horas: minutos. Por ejemplo, 8:00 es 8:00 a.m. y 20:00 es 8:00 p.m. La fecha se expresa en el formato. day

month yearEl comienzo mínimo es 00:00 el 1

de enero 1993. Si no se especifica ninguna hora de inicio y fecha, o la declaración permit deny está en efecto inmediatamente. • Fecha y hora absoluta que permit o deny declaración de la lista de acceso asociada es no más en efecto. El mismo formato de la Fecha y hora según lo descrito para start la palabra clave. La Fecha y hora del final debe ser después de la hora de inicio y de la fecha. El tiempo máximo del final es 23:59 el 31 de diciembre 2035. Si no se especifica ninguna Fecha y hora del final, el asociado permit o deny la declaración está en efecto indefinidamente.

Paso 7 exit Example:

Router(config-time-range)# exit

Salidas al modo más alto siguiente.

Paso 8 Relance los pasos 3 a 7 si usted quisiera que los rangos de momento diferente se aplicaran a permit o deny las

declaraciones.

—

Paso 9 ip access-list extended

name

Example:

Router(config)# ip access-list extended autumn

Define una lista de acceso IP ampliada con un nombre e ingresa al modo de configuración de lista de acceso con nombre ampliada.

Paso 10 deny protocol source [

source-wildcard]

destination [destination-wildcard] [option option-name] [precedence

precedence] [tos tos] [

(Opcional) Niega cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

• Especifique el rango de tiempo que usted creó en el paso 3.

(9)

established] [log | log-input] range

time-range-name Example: Router(config-ext-nacl)# deny tcp 172.16.22.23 any eq http time-range limit_http

• En este ejemplo, un host se niega el acceso HTTP durante el tiempo definido para el momento en que el rango llamara el “limit_http.”

Paso 11 permit protocol source [

source-wildcard]

destination [destination-wildcard] [option option-name] [precedence

precedence] [tos tos] [

established] [log | log-input] range

time-range-name

Example:

Router(config-ext-nacl)# permit tcp any any eq http time-range limit_http

Permite cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

• Usted puede especificar el rango de tiempo que usted creó en el paso 3 o en un diverso caso del paso 3, dependiendo de si usted quisiera que los rangos de tiempo para que sus declaraciones sean el lo mismo o diferentes.

• En este ejemplo, el resto de las fuentes se dan el acceso al HTTP durante el tiempo definido para el momento en que el rango llamara el “limit_http.”

Paso 12 Puede repetir alguna

combinación de los pasos 10 y 11 hasta especificar los valores en los que desea basar la lista de acceso. — Paso 13 end Example: Router(config-ext-nacl)# end

Finaliza el modo de configuración y devuelve el sistema al modo EXEC privilegiado.

Paso 14 show ip access-list Example:

Router# show ip access-list

(Opcional) Muestra el contenido de todas las listas de acceso IP actuales.

Paso 15 show time-range Example:

Router# show time-range

(Opcional) visualiza los rangos de tiempo se fijan que.

Paso 16 show time-range ipc Example:

Router# show time-range ipc

(Opcional) visualiza las estadísticas sobre los mensajes IPC del tiempo-rango entre el Route Processor y el linecard en el Cisco 7500 Series Router.

Paso 17 clear time-range ipc Example:

Router# clear time-range ipc

(Opcional) borra las estadísticas y los contadores del mensaje IPC del tiempo-rango entre el Route Processor y el linecard en el Cisco 7500 Series Router.

Paso 18 debug time-range ipc Example:

Router# debug time-range ipc

(Opcional) habilita la salida de debbuging para monitorear los mensajes IPC del tiempo-rango entre el Route Processor y el linecard en el Cisco 7500 Series Router.

Pasos Siguientes

Aplique la lista de acceso a una interfaz o haga referencia a ella desde un comando que acepte una lista de acceso. Fragmentos noninitial de filtración de los paquetes

Filtre los fragmentos noninitial de los paquetes con una lista de acceso ampliada si usted quiere bloquear más del tráfico que usted se prepuso bloquear, no apenas el fragmento inicial de tales paquetes. Usted debe primero entender los conceptos siguientes.

3. ip access-list extended name

(10)

[]destination-wildcard]operator port port]

5. []sequence-number deny protocol source del [[]source-wildcarddel []operator port portdel [[] destination del []destination-wildcarddel []operator port port]]fragments

6. [[]sequence-number permit protocol source del []source-wildcarddel [[]operator port portdel [] destination del []destination-wildcard]operator port port]

7. Relance una cierta combinación de los pasos 4 a 6 hasta que usted haya especificado los valores en los cuales usted quiere basar su lista de acceso.

8. end

9. show ip access-list PASOS DETALLADOS

Comando o acción Propósito

Paso

1 enable_Example:

Router> enable

Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga.

Paso

2 configure terminal_Example:

Paso

3 ip access-list extended name_Example: Router(config)# ip access-list extended rstrct4

Define una lista de acceso IP ampliada con un nombre e ingresa al modo de

configuración de lista de acceso con nombre ampliada.

Paso

4 [sequence-number] deny protocolsource [source-wildcard] [ operator port [port]]

destination

[destination-wildcard] [operator port [port]]

Example:

Router(config-ext-nacl)# deny ip any 172.20.1.1

(Opcional) Niega cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

• Esta declaración se aplicará a los paquetes no fragmentados y a los fragmentos iniciales.

Paso 5

[sequence-number] deny protocol

source [source-wildcard][ operator port [port]] destination

fragments Example:

Router(config-ext-nacl)# deny ip any 172.20.1.1 fragments

(Opcional) niega cualquier paquete que haga juego todas las condiciones especificadas en la declaración

• Esta declaración se aplicará a los fragmentos noninitial.

Paso

6 [sequence-number] permitprotocol source [source-wildcard

] [operator port [port]]

destination

Example:

Router(config-ext-nacl)# permit tcp any any

Permite cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

• Cada lista de acceso necesita por lo menos una permit declaración. • Si source-wildcard o

destination-wildcard se omite, una máscara comodín

de 0.0.0.0 se asume, significando la coincidencia en todos los bits de la dirección de origen o de destino, respectivamente.

• Utilice opcionalmente la palabra clave any como substituto para source source-wildcard o destination destination-wildcard especificar el direccionamiento y

al comodín de 0.0.0.0 255.255.255.255. Paso

7 Relance una cierta combinación de lospasos 4 a 6 hasta que usted haya especificado los valores en los cuales usted quiere basar su lista de acceso.

Recuerde que todas las fuentes permitidas no específicamente son negadas por una declaración deny implícita en el extremo de la lista de acceso.

Paso

8 end_Example:

Router(config-ext-nacl)# end

Finaliza el modo de configuración y devuelve el sistema al modo EXEC privilegiado. Paso show ip access-list (Opcional) Muestra el contenido de todas las

(11)

9 _Example:

Router# show ip access-list

listas de acceso IP actuales.

Pasos Siguientes

Aplique la lista de acceso a una interfaz o haga referencia a ella desde un comando que acepte una lista de acceso.

Ejemplos de Configuración para Refinar una Lista de Acceso IP

• Ejemplo: Entradas de Resequencing en una lista de acceso • Ejemplo: Agregar una entrada con un número de secuencia • Ejemplo: Agregar una entrada sin el número de secuencia

• Ejemplo: Rangos de tiempo aplicados a las entradas de lista de IP Access • Ejemplo: Fragmentos de filtración del paquete del IP

Ejemplo: Entradas de Resequencing en una lista de acceso

El siguiente ejemplo muestra una lista de acceso antes y después de resequencing. El valor de inicio es 1 y el valor de incremento es 2. Las entradas posteriores se ordenan en función de los valores de incremento que proporciona el usuario; el rango se sitúa entre 1 y 2147483647.

Cuando se ingresa una entrada sin número secuencia, de forma predeterminada tiene un número de secuencia de 10 más la última entrada de la lista de acceso.

Router# show access-list carls

Extended IP access list carls

10 permit ip host 10.3.3.3 host 172.16.5.34 20 permit icmp any any

30 permit tcp any host 10.3.3.3 40 permit ip host 10.4.4.4 any 50 Dynamic test permit ip any any

60 permit ip host 172.16.2.2 host 10.3.3.12 70 permit ip host 10.3.3.3 any log 80 permit tcp host 10.3.3.3 host 10.1.2.2 90 permit ip host 10.3.3.3 any

100 permit ip any any

Router(config)# ip access-list extended carls Router(config)# ip access-list resequence carls 1 2 Router(config)# end

Router# show access-list carls

Extended IP access list carls

1 permit ip host 10.3.3.3 host 172.16.5.34 3 permit icmp any any

(12)

7 permit ip host 10.4.4.4 any 9 Dynamic test permit ip any any

11 permit ip host 172.16.2.2 host 10.3.3.12 13 permit ip host 10.3.3.3 any log 15 permit tcp host 10.3.3.3 host 10.1.2.2 17 permit ip host 10.3.3.3 any

19 permit ip any any

Ejemplo: Agregar una entrada con un número de secuencia

En el siguiente ejemplo, una nueva entrada (número de secuencia 15) se agrega a una lista de acceso: Router# show ip access-list

Standard IP access list tryon

2 permit 10.4.4.2, wildcard bits 0.0.255.255 5 permit 10.0.0.44, wildcard bits 0.0.0.255 10 permit 10.0.0.1, wildcard bits 0.0.0.255 20 permit 10.0.0.2, wildcard bits 0.0.0.255

Router(config)# ip access-list standard tryon

Router(config-std-nacl)# 15 permit 10.5.5.5 0.0.0.255

Router# show ip access-list

Standard IP access list tryon

2 permit 10.4.0.0, wildcard bits 0.0.255.255 5 permit 10.0.0.0, wildcard bits 0.0.0.255 10 permit 10.0.0.0, wildcard bits 0.0.0.255 15 permit 10.5.5.0, wildcard bits 0.0.0.255 20 permit 10.0.0.0, wildcard bits 0.0.0.255

Ejemplo: Agregar una entrada sin el número de secuencia

El siguiente ejemplo muestra cómo una entrada sin un número de secuencia especificado se añade al final de una lista de acceso. Cuando se añade una entrada sin número de secuencia, se le da automáticamente un número de secuencia que lo coloca al final de la lista de acceso. Puesto que el incremento predeterminado es 10, la entrada tendrá un número de secuencia 10 más arriba que la entrada más reciente de la lista de acceso existente.

Router(config)# ip access-list standard resources

(13)

Router(config-std-nacl)# permit 10.2.2.2 0.0.0.255 Router(config-std-nacl)# permit 10.3.3.3 0.0.0.255

Router# show access-list Standard IP access list resources

10 permit 10.1.1.1, wildcard bits 0.0.0.255 20 permit 10.2.2.2, wildcard bits 0.0.0.255 30 permit 10.3.3.3, wildcard bits 0.0.0.255

Router(config)# ip access-list standard resources Router(config-std-nacl)# permit 10.4.4.4 0.0.0.255 Router(config-std-nacl)# end

Router# show access-list

Standard IP access list resources

10 permit 10.1.1.1, wildcard bits 0.0.0.255 20 permit 10.2.2.2, wildcard bits 0.0.0.255 30 permit 10.3.3.3, wildcard bits 0.0.0.255 40 permit 10.4.4.4, wildcard bits 0.0.0.255

Ejemplo: Rangos de tiempo aplicados a las entradas de lista de IP Access

El siguiente ejemplo crea un rango de tiempo llamado el ninguno-HTTP, del cual extiende de lunes a viernes a partir de la 8:00 mañana a 6:00 P.M. Ese rango de tiempo se aplica a la declaración deny , de tal modo negando el tráfico HTTP el de lunes a viernes a partir de la 8:00 mañana a 6:00 P.M.

El rango de tiempo llamado los UDP-YE define los fines de semana del mediodía a 8:00 P.M. Ese rango de tiempo se aplica a la declaración permit , de tal modo permitiendo el tráfico UDP el sábado y domingo del mediodía a 8:00 P.M. solamente. La lista de acceso que contiene ambas declaraciones se aplica a los paquetes de entrada en la interfaz de Ethernet 0.

time-range no-http periodic weekdays 8:00 to 18:00 ! time-range udp-yes periodic weekend 12:00 to 20:00 !

ip access-list extended strict

deny tcp any any eq http time-range no-http permit udp any any time-range udp-yes !

interface ethernet 0 ip access-group strict in

(14)

Ejemplo: Fragmentos de filtración del paquete del IP

En la lista de acceso siguiente, la primera declaración negará solamente los fragmentos noninitial destinados para el host 172.16.1.1. La segunda declaración permitirá solamente el nonfragmented y los fragmentos iniciales restantes que son destinados para el puerto TCP 80 de 172.16.1.1 del host. La tercera declaración negará el resto del tráfico. Para bloquear los fragmentos noninitial para cualquier puerto TCP, debemos bloquear los fragmentos noninitial para todos los puertos TCP, incluyendo el puerto 80 para el host 172.16.1.1. Es decir, los fragmentos no iniciales no contendrán la información de puerto de la capa 4, así pues, para bloquear tal tráfico para un puerto dado, nosotros tienen que bloquear los fragmentos para todos los puertos.

access-list 101 deny ip any host 172.16.1.1 fragments access-list 101 permit tcp any host 172.16.1.1 eq 80 access-list 101 deny ip any any

Referencias adicionales

Documentos Relacionados

Tema relacionado Título del documento

Comandos de Cisco IOS El Cisco IOS domina los comandos list, todos las versiones Usando time-range el comando de

establecer los rangos de tiempo “Realizandola guía de configuración de la administración del Cisco IOS capítulo de la administración del sistema básico” en

Network

Estándares

Estándar Título

Ninguno —

MIB

MIB Link del MIB

Ninguno Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html RFC RFC Título Ninguno — Asistencia Técnica Descripción Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

(15)

Información de la característica para refinar una lista de IP Access

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a

http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Nombre de la

función Versiones Información de la Configuración de la Función Listas de

Acceso Distribuidas Basadas en el Tiempo

12.2(2)T Antes de la introducción de esta característica, las listas de acceso basadas en el tiempo no fueron soportadas en el linecards para los Cisco 7500 Series Router. Si se configuraron listas de acceso basadas en tiempo, se comportaron como listas de acceso normales. Si una interfaz de una tarjeta de línea se configuró con una lista de acceso basada en tiempo, los paquetes conmutados en la interfaz no se distribuyeron conmutados a través de la tarjeta de línea, sino que se reenviaron al procesador de rutas para su procesamiento.

La función Distributed Time-Based Access Lists permite que los paquetes destinados a una interfaz configurada con una lista de acceso basada en el tiempo sean distribuidos conmutados a través de la tarjeta de línea. Vea la sección siguiente:

• Listas de Acceso Distribuidas Basadas en el Tiempo

Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.