Page 357 - Untitled
P. 357
CAPÍTULO 7: SEGURIDAD EN CAPA 3
ACL estándar numerada para un host
Son aquellas cuya acción configurada tan solo afecta a un determinado
dispositivo, identificado mediante su dirección IP.
Ejemplo: Configurar una ACL estándar para que los paquetes con origen
192.168.50.50 sean permitidos.
Router(config)# access-list 1 permit 192.168.50.50
En versiones más recientes de IOS también se debe agregar el parámetro host
antes de la IP, de tal manera que:
Router(config)# access-list 1 permit host 192.168.50.50
ACL estándar numerada para un conjunto de hosts
Cuando la acción configurada debe ser aplicada sobre un conjuntos de hosts,
como todos los dispositivos de una misma subred, se deberá agregar el ID
acompañado de la máscara wildcard. En capítulos anteriores se ha mencionado que
esta representa el valor inverso de la máscara de red, por ejemplo, para una
255.255.255.0, su wildcard sería 0.0.0.255. Sin embargo, en las ACL dicha definición
varía significativamente, y es que en este caso pueden identificar un rango de
direcciones IP que incluso, no tienen por qué pertenecer a la misma subred.
Para lograrlo, los bits son analizados de la siguiente manera:
- Binarios 0: Se comparan con el ID de red incluido en la sentencia y en caso de
coincidencia se aplica la acción configurada.
- Binarios 1: No son analizados.
Por ejemplo, en una ACL se ha aplicado la acción de denegar para el ID 172.20.0.0
con wildcard 0.0.255.255, dando como resultado que cualquier paquete cuya IP
comience por 172.20 sea descartado. Ello es debido a que los dos primeros bytes de
la wildcard tienen el valor 0.0 (todos los bits a 0 en binario) lo que significa que a
cualquier IP cuyos dos primeros bytes coincidan con aquellos del ID configurado se
les aplicará la acción definida, en este caso la denegación. Los dos siguientes bytes
tienen el valor 255.255 (todos los bits a 1 en binario) por lo que no serán analizados.
El resultado final será que la ACL descartará cualquier paquete con IP de
origen 172.20.x.x.
341
