【Red informática】Principio y estándar de funcionamiento de ACL

Language 2023-07-29 18:33:08 views: null

¿Qué es ACL?

Una vez configurado, ACL realiza las siguientes tareas:

限制网络流量以提高网络性能。例如,如果公司政策不允许在网络中传输视频流量,那么就应该配置和应用 ACL 以阻止视频流量。这可以显著降低网络负载并提高网络性能。

提供流量控制。ACL 可以限制路由更新的传输,从而确保更新都来自一个已知的来源。

提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络,同时阻止其他主机访问同一区域。例如,“人力资源”网络仅限授权用户进行访问。

根据流量类型过滤流量。例如,ACL 可以允许邮件流量,但阻止所有 Telnet 流量。

屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型,例如 FTP 或 HTTP。

Cómo funcionan las ACL

Una ACL define un conjunto de reglas que imponen un control adicional sobre los paquetes que ingresan a una interfaz de entrada, los paquetes que se transmiten a través de un enrutador y los paquetes que salen de la interfaz de salida de un enrutador. Las ACL no tienen efecto en los paquetes generados por el propio enrutador.

Como se muestra, las ACL se pueden configurar para que se apliquen tanto al tráfico entrante como saliente.
inserte la descripción de la imagen aquí

ACL entrante: los paquetes entrantes se procesan antes de enrutarse a la interfaz de salida. Las ACL entrantes son muy eficientes porque ahorran la sobrecarga de realizar una búsqueda de ruta si se descarta el paquete. Si la ACL permite el paquete, se procesa para el enrutamiento. Las ACL de entrada se utilizan mejor para filtrar paquetes cuando la red conectada a la interfaz de entrada es la única fuente de paquetes que deben inspeccionarse.

ACL de salida: una vez que los paquetes entrantes se enrutan a la interfaz de salida, la ACL de salida los procesa. Las ACL de salida se utilizan mejor cuando se aplica el mismo filtro a los paquetes de varias interfaces de entrada antes de pasar por la misma interfaz de salida.

Máscara comodín ACL

Reglas de enmascaramiento de comodines

Las ACE de IPv4 incluyen máscaras comodín. Una máscara comodín es una cadena de 32 dígitos binarios que utiliza un enrutador para determinar qué bits de una dirección debe buscar una coincidencia.

Al igual que con las máscaras de subred, los dígitos 1 y 0 en una máscara comodín identifican cómo se manejan los bits de dirección IPv4 correspondientes. Sin embargo, en las máscaras comodín, los bits se usan de manera diferente y las reglas se siguen de manera diferente.

La diferencia entre las máscaras comodín y las máscaras de subred es cómo coinciden los 1 y 0 binarios. Las máscaras comodín coinciden con 1 y 0 binarios utilizando las siguientes reglas:

  • máscara comodín bit 0: coincide con el valor del bit correspondiente en la dirección
  • máscara comodín bit 1 - ignorar el valor del bit correspondiente en la dirección

inserte la descripción de la imagen aquí

La figura anterior muestra cómo las diferentes máscaras comodín filtran las direcciones IPv4

palabra clave de máscara comodín

Las representaciones decimales que utilizan bits de máscara comodín binarios a veces pueden ser detalladas. Esta tarea se puede simplificar en este punto utilizando las palabras clave host y any para identificar las máscaras comodín más comunes . Estas palabras clave evitan la molestia de escribir máscaras comodín al identificar hosts específicos o redes completas. Estas palabras clave también brindan indicaciones visuales sobre el origen y el destino de la condición, lo que facilita la comprensión de las ACL.

La palabra clave host se puede sustituir por la máscara 0.0.0.0. Esta máscara indica que todos los bits de la dirección IPv4 deben coincidir para filtrar una dirección de host.

La opción any se puede sustituir por la dirección IPv4 y la máscara 255.255.255.255. Esta máscara indica que se ignora toda la dirección IPv4, lo que significa que se acepta cualquier dirección.

inserte la descripción de la imagen aquí

Ejemplo 1: Procedimiento de enmascaramiento con comodines para hacer coincidir una única dirección IPv4

En el ejemplo 1 de la figura, en lugar de ingresar 192.168.10.10 0.0.0.0, podríamos usar host 192.168.10.10.

Ejemplo 2: procedimiento de enmascaramiento con comodín para hacer coincidir todas las direcciones IPv4

En el Ejemplo 2 de la figura, en lugar de ingresar 0.0.0.0 255.255.255.255, podríamos haber usado la palabra clave any.

Principios de creación de ACL

Se puede configurar una ACL para cada protocolo (por protocolo), cada dirección (por dirección) y cada interfaz (por interfaz):

  • Una ACL por protocolo: para controlar el tráfico en una interfaz, se debe definir una ACL correspondiente para cada protocolo habilitado en la interfaz.
  • Una ACL por dirección: una ACL solo puede controlar el tráfico en una dirección en una interfaz. Para controlar el tráfico entrante y saliente, se deben definir dos ACL por separado.
  • Una ACL por interfaz: una ACL solo puede controlar el tráfico en una interfaz (p. ej., GigabitEthernet 0/0).

Un enrutador puede tener hasta 8 ACL diferentes.

Utilice las ACL con cuidado y atención a los detalles. Cometer un error puede tener consecuencias costosas, como tiempo de inactividad, solución de problemas que requiere mucho tiempo y un servicio de red deficiente. Antes de configurar las ACL, se debe realizar una planificación básica. Las pautas que se muestran en la figura son la base para implementar las mejores prácticas de ACL.

inserte la descripción de la imagen aquí

Principios de colocación de ACL

La ubicación adecuada de las ACL puede hacer que la red funcione de manera más eficiente. Se pueden colocar ACL para reducir el tráfico innecesario. Por ejemplo, el tráfico que sería denegado por un destino remoto no debería consumir recursos de red en la ruta a ese destino para el reenvío.

Cada ACL debe colocarse donde pueda hacer el mayor bien. Como se muestra en la figura, las reglas básicas son las siguientes:

  • ACL extendida: coloque la ACL extendida lo más cerca posible de la fuente del tráfico que debe filtrarse. De esta forma, se niega el tráfico no deseado cerca de la red de origen, sin pasar por la infraestructura de la red.
  • ACL estándar: dado que una ACL estándar no especifica una dirección de destino, debe ubicarse lo más cerca posible del destino. Colocar una ACL estándar cerca de la fuente del tráfico evita que el tráfico llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.

inserte la descripción de la imagen aquí

La topología de la figura anterior se usa para demostrar cómo se pueden colocar las ACL estándar. Un administrador desea evitar que el tráfico que se origina en la red 192.168.10.0/24 llegue a la red 192.168.30.0/24.

Siguiendo los principios básicos de colocación de colocar una ACL estándar cerca del destino, el diagrama de la derecha muestra las interfaces en el R3 a las que se podría aplicar una ACL estándar:

  • Interfaz R3 S0/0/1: la aplicación de una ACL estándar para bloquear el tráfico de 192.168.10.0/24 para que no ingrese a la interfaz S0/0/1 evitará que el tráfico llegue a 192.168.30.0/24 y a todas las demás redes accesibles a través de R3. Esto incluirá la red 192.168.31.0/24. Dado que la intención de la ACL es filtrar solo el tráfico destinado a 192.168.30.0/24, la ACL estándar no debe aplicarse a esta interfaz.
  • Interfaz R3 G0/0: la aplicación de una ACL estándar al tráfico que sale de la interfaz G0/0 filtra los paquetes enviados desde 192.168.10.0/24 a 192.168.30.0/24. Esto no afecta a otras redes accesibles a través de R3. Los paquetes de 192.168.10.0/24 aún pueden llegar a 192.168.31.0/24.

Configurar ACL IPv4 estándar

Configurar la lista de control de acceso IP estándar

La sintaxis completa del comando ACL estándar es la siguiente:

Router(config)# access-list access-list-number {
    
     deny | permit | remark } source [ source-wildcard ][ log ]

Para eliminar una ACL, use el comando de configuración global no access-list. Ejecute el comando show access-list para confirmar que se eliminó la lista de acceso 10.

Supongo que te gusta

Origin blog.csdn.net/weixin_45884316/article/details/123588955
Recomendado
Clasificación
Diario
Más
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)

Code World

© 2018 codetd.com