Comando acces-list

Para acceder a este comando debemos entrar al modo de configuración global

Router#configure terminal

Router(config)#acces-list

El propósito de este comando es agregar una lista de acceso de entrada, estas están separadas por números identificadores los cuales van en los siguientes rangos:

1 a la 99 : listas de acceso con ip estándar 100 a la 199 : listas de acceso con ip extendida 1100 a la 1199 : lista de acceso con dirección Mac de 48-bit extendida 1300 a la 1999 : lista de acceso con ip estándar (rango expandido) 200 a la 299 : lista e acceso tipo-código protocolo 2000 a la 2699 : lista acceso ip extendida (rango expandido) 700 a la 799 : lista de acceso por dirección Mac 48-bit Dinamic-extended : extender la acl dinámica con temporizador absoluto Rate-limit : lista de acceso especifica con taza-limite simple

Para tener una idea mas clara sobre estos puntos daremos explicación a los siguientes tópicos

Listas de acceso extendidas:

Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. También pueden verificar protocolos especificados, números de puerto y otros parámetros.

Una vez creada, una ACL debe asociarse a una interfaz de la siguiente manera:

Lista de acceso entrante:

Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida, si el paquete pasa las pruebas de filtrado, será procesado para su enrutamiento (evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado).

Lista de acceso saliente:

Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.-

Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada, paquetes que se trasmiten por el router, y paquetes que salen de las interfaces de salida del router.Las listas de acceso no actúan sobre paquetes originados en el propio router, como las actualizaciones de enrutamiento a las sesiones Telnet salientes.

Las listas de acceso IP estándar:

• verifican sólo la dirección de origen en la cabecera del paquete (Capa 3).

Las listas de acceso IP extendidas:

• pueden verificar otros muchos elementos, incluidas opciones de la cabecera del segmento (Capa 4), como los números de puerto.

• Direcciones IP de origen y destino, protocolos específicos.

• Números de puerto TCP y UDP,

NAT

Se trata de una traslación de direcciones de red.  Cambio la IP privada de dentro de la LAN por un IP pública gracias a la cual puedo acceder a Internet. Existen tres tipos:

NAT estático: tenemos una tabla que relaciona las diferentes direcciones internas con las externas.

NAT dinámico: Tenemos un pool finito de direcciones por tanto la asignación va cambiando.

NAT overload o PAT: Incluimos el dato del puerto del host que se quiere conectar a Internet. En caso de que este puerto de origen coincidiese en dos casos el router pondría el número de puerto siguiente.

Ejemplo:

access-list 1 permit 10.4.4.0 0.0.0.255 ip nat inside source list 1 interface s0/0 overload (traslación de varios pcs con la misma dirección ip) int s0/0 ip nat inside int s0/0 ip nat outside