Manual del Control de acceso en español - asistp.com€¦ · Los routers se sirven de listas de...

Router Teldat Control de Acceso

Doc. DM752 Rev. 10.91 Junio, 2013

- ii -

ÍNDICE

Capítulo 1 Introducción .................................................................................................... 1 1. Listas de Control de Acceso ............................................................................................... 2

Capítulo 2 Configuración .................................................................................................. 3 1. Introducción ....................................................................................................................... 4 2. Acceso a configuración ...................................................................................................... 5 3. Menú principal de configuración........................................................................................ 6

3.1. ? (AYUDA) ............................................................................................................. 7 3.2. ACCESS-LIST ........................................................................................................ 7 3.3. LIST ........................................................................................................................ 7

a) LIST ALL-ACCESS-LISTS ...................................................................................... 8 b) LIST STANDARD-ACCESS-LISTS ......................................................................... 8 c) LIST EXTENDED-ACCESS-LISTS ......................................................................... 8

3.4. NO ........................................................................................................................... 9 a) NO ACCESS-LIST ................................................................................................... 9

3.5. EXIT ....................................................................................................................... 9 4. Listas de Acceso Genéricas ................................................................................................ 10

4.1. ? (AYUDA) ............................................................................................................. 10 4.2. ENTRY ................................................................................................................... 10

a) ENTRY <id> DEFAULT ......................................................................................... 11 b) ENTRY <id> PERMIT ............................................................................................ 11 c) ENTRY <id> DENY ................................................................................................ 11 d) ENTRY <id> SOURCE ........................................................................................... 12

• ENTRY <id> SOURCE ADDRESS ............................................................ 12 e) ENTRY <id> DESCRIPTION ................................................................................. 13

4.3. LIST ........................................................................................................................ 13 a) LIST ALL-ENTRIES ................................................................................................ 14 b) LIST ADDRESS-FILTER-ENTRIES ........................................................................ 14 c) LIST ENTRY ............................................................................................................ 14

4.4. MOVE-ENTRY ...................................................................................................... 14 4.5. DESCRIPTION ....................................................................................................... 15 4.6. NO ........................................................................................................................... 15

a) NO ENTRY .............................................................................................................. 16 b) NO DESCRIPTION ................................................................................................. 16

4.7. EXIT ....................................................................................................................... 16 5. Listas de Acceso Extendidas .............................................................................................. 17

5.1. ? (AYUDA) ............................................................................................................. 17 5.2. ENTRY ................................................................................................................... 17

a) ENTRY <id> DEFAULT ......................................................................................... 18 b) ENTRY <id> PERMIT ............................................................................................ 18 c) ENTRY <id> DENY ................................................................................................ 18 d) ENTRY <id> SOURCE ........................................................................................... 19

• ENTRY <id> SOURCE ADDRESS ............................................................ 19 • ENTRY <id> SOURCE PORT-RANGE ..................................................... 20

e) ENTRY <id> DESTINATION ................................................................................. 21 • ENTRY <id> DESTINATION ADDRESS ................................................. 21 • ENTRY <id> DESTINATION PORT-RANGE .......................................... 23

f) ENTRY <id> PROTOCOL...................................................................................... 23 g) ENTRY <id> PROTOCOL-RANGE ....................................................................... 24 h) ENTRY <id> DS-FIELD ......................................................................................... 24 i) ENTRY <id> LABEL .............................................................................................. 24

- iii -

j) ENTRY <id> PRECEDENCE ................................................................................. 25 k) ENTRY <id> TCP-SPECIFIC ESTABLISHED ...................................................... 25 l) ENTRY <id> TOS-OCTET ..................................................................................... 25 m) ENTRY <id> CONNECTION ................................................................................. 25 n) ENTRY <id> DESCRIPTION ................................................................................. 26

5.3. LIST ........................................................................................................................ 26 a) LIST ALL-ENTRIES ................................................................................................ 26 b) LIST ADDRESS-FILTER-ENTRIES ........................................................................ 27 c) LIST ENTRY ............................................................................................................ 27

5.4. MOVE-ENTRY ...................................................................................................... 27 5.5. DESCRIPTION ....................................................................................................... 28 5.6. NO ........................................................................................................................... 28

a) NO ENTRY .............................................................................................................. 28 b) NO DESCRIPTION ................................................................................................. 29

5.7. EXIT ....................................................................................................................... 29 6. Listas de Acceso Stateful ................................................................................................... 30

6.1. ? (AYUDA) ............................................................................................................. 30 6.2. ENTRY ................................................................................................................... 30

a) ENTRY <id> DEFAULT ......................................................................................... 31 b) ENTRY <id> LABEL .............................................................................................. 32 c) ENTRY <id> DENY ................................................................................................ 32 d) ENTRY <id> DESCRIPTION ................................................................................. 32 e) ENTRY <id> DESTINATION ADDRESS ............................................................... 33 f) ENTRY <id> DESTINATION TCP PORT .............................................................. 33 g) ENTRY <id> DESTINATION UDP PORT ............................................................. 33 h) ENTRY <id> HEX-STRING .................................................................................... 33 i) ENTRY <id> IN-INTERFACE ................................................................................ 33 j) ENTRY <id> IPSEC ............................................................................................... 34 k) ENTRY <id> LENGTH INTERVAL ........................................................................ 34 l) ENTRY <id> NO..................................................................................................... 34 m) ENTRY <id> PROTOCOL...................................................................................... 34 n) ENTRY <id> PROTOCOL-RANGE ....................................................................... 35 o) ENTRY <id> PEER2PEER ..................................................................................... 35 p) ENTRY <id> PERMIT ............................................................................................ 35 q) ENTRY <id> RATE-LIMIT ..................................................................................... 35 r) ENTRY <ID> CONN-LIMIT .................................................................................. 36 s) ENTRY <id> TCP-FLAGS...................................................................................... 36 t) ENTRY <id> SOURCE ADDRESS ......................................................................... 36 u) ENTRY <id> SOURCE TCP PORT ........................................................................ 37 v) ENTRY <id> SOURCE UDP PORT ....................................................................... 37 w) ENTRY <id> STRING ............................................................................................. 37 x) ENTRY <id> STUN ................................................................................................ 37 y) ENTRY <id> RTP ................................................................................................... 37 z) ENTRY <id> SESSION EXPIRE ............................................................................ 38 aa) ENTRY <id> SESSION STATE ............................................................................... 38 bb) ENTRY <id> SESSION-MARK ............................................................................... 38 cc) ENTRY <id> HTTP-FILTER .................................................................................. 39 dd) ENTRY <id> WEBSTR ........................................................................................... 40 ee) ENTRY <id> WEBURL .......................................................................................... 41

6.3. NO ........................................................................................................................... 41 a) NO ENTRY .............................................................................................................. 41

7. Show Config ....................................................................................................................... 42 8. Ejemplo práctico ................................................................................................................ 43

• Creación de las listas de control de acceso .................................................. 43 • Asociación de Lista de acceso a Protocolo IPSec ........................................ 44

Capítulo 3 Monitorización ................................................................................................ 46 1. Comandos de Monitorización ............................................................................................ 47

- iv -

1.1. ? (AYUDA) ............................................................................................................. 47 1.2. LIST ........................................................................................................................ 48

a) LIST ALL ................................................................................................................. 48 • LIST ALL ALL-ACCESS-LISTS ............................................................... 48 • LIST ALL ADDRESS-FILTER-ACCESS-LISTS ...................................... 49 • LIST ALL ACCESS-LIST .......................................................................... 50

b) LIST CACHE ........................................................................................................... 50 • LIST CACHE ALL-ACCESS-LISTS ......................................................... 50 • LIST CACHE ADDRESS-FILTER-ACCESS-LISTS ................................ 51 • LIST CACHE ACCESS-LIST ..................................................................... 51

c) LIST ENTRIES ........................................................................................................ 52 • LIST ENTRIES ALL-ACCESS-LISTS....................................................... 52 • LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS ............................. 53 • LIST ENTRIES ACCESS-LIST .................................................................. 53

1.3. CLEAR-CACHE ..................................................................................................... 54 1.4. SET-CACHE-SIZE ................................................................................................. 54 1.5. SHOW-HANDLES ................................................................................................. 54 1.6. HIDE-HANDLES ................................................................................................... 54

Capítulo 4 Anexo ............................................................................................................... 55 1. Puerto Reservados .............................................................................................................. 56 2. Protocolos Reservados ....................................................................................................... 57 3. Valores de Protocolos en listas “stateful” .......................................................................... 60

Capítulo 1 Introducción

ROUTER TELDAT – Control de acceso Introducción

I - 2 Doc.DM752

Rev.10.91

1. Listas de Control de Acceso

Los routers se sirven de listas de control de acceso (ACL) para identificar el tráfico que pasa por ellos. Las listas de acceso pueden filtrar el flujo de paquetes o rutas que pasan por los interfaces del router. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP origen o destino, puertos origen o destino, o a protocolos IP de capa superior tales como IP, TCP. Pueden separar el tráfico en diferentes colas según sea su prioridad. Tipos de listas de acceso:

Estándar(1-99): comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. Extendidas(100-1999): comprueban tanto la dirección de origen como la de destino de cada paquete, también pueden verificar protocolos específicos, números de puertos y otros parámetros. Stateful(5000-9999): comprueban tanto la dirección origen y destino del paquete como el estado y el tipo de la sesión. Para poder configurar listas stateful debe estar habilitada la facilidad AFS (ver manual Dm786 “AFS”).

Las listas de acceso se pueden aplicar tanto de entrada (evita la sobrecarga de router), como de salida. Una lista de control de acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo. El protocolo que utiliza una Lista de Control de Acceso, la utiliza como una herramienta que le permite establecer filtros de tráfico. Los protocolos que permiten el manejo de Listas de Control de Acceso incorporan comandos que permiten asociar el protocolo a dichas Listas. Los protocolos típicos que manejan Listas de Control de Acceso son, entre otros: BRS, IPSec, Policy Routing, RIP. Un conjunto de protocolos de especial interés son los de enrutado, entre los que destacan RIP, OSPF y BGP. Dichos protocolos utilizan Listas de Control de Acceso, de manera directa o a través de Route Maps (ver manual Dm764 “Route Mapping”), para controlar las rutas que se instalan en la tabla de rutas o que se distribuyen a otros equipos. Existen además otras herramientas muy similares a las Listas de Acceso pero orientadas especialmente al filtrado de rutas, como son las Listas de Prefijos (ver manual Dm780 “Listas de Prefijos”). Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de las entradas. El resultado de la búsqueda a la recepción de un paquete puede ser: Es el protocolo asociado el que determina lo que debe hacer con el paquete IP, a tenor del resultado de la aplicación de la Lista de Acceso.

Paquete IP

Encontrado

No Encontrado

Permitir

Denegar

No Encontrado

Lista de Acceso

Capítulo 2 Configuración

ROUTER TELDAT – Control de acceso Configuración

II - 4 Doc.DM752

Rev.10.91

1. Introducción

Cada entrada de esta lista es un bloque de sentencias y una acción, y está identificada por un único número (el identificador o campo ID de la entrada). El bloque de sentencias esta compuesto por una dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), valores del byte tipo de servicio IP, y el identificador de la conexión entre interfaces por los que viajaría el paquete. No es necesario especificarlos todos, tan sólo el que se desee. La acción representa el procesamiento asignado a los paquetes coincidentes con el bloque de sentencias asociado: PERMIT o DENY. Una lista de control de acceso genérica, extendida y stateful está formada por una serie de entradas que definen las propiedades que debe tener un paquete para que se considere que perteneciente a esa entrada y por consiguiente a esa lista. Después, esa lista de control de acceso se asigna a un protocolo.

Una Lista de Control de Acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo.

Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de las entradas. El resultado de la búsqueda puede tener los siguientes valores: No encontrado, Permitir o Denegar. El protocolo asociado determina qué hacer con el paquete ante el resultado devuelto por la Lista de Control de Acceso.

Lista 1

Entrada 1

Acción Sentencia A Sentencia B | Sentencia Z

Entrada 2


Entrada n



II - 5 Doc.DM752

Rev.10.91

2. Acceso a configuración

Las operaciones de crear, modificar o eliminar listas de acceso se hace desde un menú especifico, en el cual a demás se permite visualizar las listas creadas. En la estructura de configuración del router, los Controles de Acceso, están organizados como una funcionalidad (FEATURE). Para visualizar las funcionalidades que permite configurar el router, se debe introducir el comando feature seguido de una signo de interrogación (?). Ejemplo:

Config>feature ? access-lists Access generic access lists configuration environment bandwidth-reservation Bandwidth-Reservation configuration environment control-access Control-access configuration environment dns DNS configuration environment frame-relay-switch Frame Relay Switch configuration environment ip-discovery TIDP configuration environment ldap LDAP configuration environment mac-filtering Mac-filtering configuration environment nsla Network Service Level Advisor configuration nsm Network Service Monitor configuration environment ntp NTP configuration environment prefix-lists Access generic prefix lists configuration environment radius RADIUS protocol configuration environment route-map Route-map configuration environment scada-forwarder SCADA Forwarder configuration environment sniffer Sniffer configuration environment stun Stun facility configuration environment syslog Syslog configuration environment tms TMS configuration environment vlan IEEE 802.1Q switch configuration environment vrf VRF configuration environment wrr-backup-wan WRR configuration environment wrs-backup-wan WRS configuration environment Config>

Para acceder al menú de configuración de Controles de Acceso se debe introducir, desde el menú raíz de configuración (PROCESS 4), la palabra feature, seguida de access-lists. Ejemplo:

Config>feature access-lists -- Access Lists user configuration -- Access Lists config>

Con esto se accede al menú principal de configuración de la funcionalidad de Controles de Acceso. En este menú se permite crear, eliminar y visualizar las lista de acceso. Cada lista de control de acceso está formada por entradas, en la que se indica el criterio y los parámetros que permiten o limitan el acceso. Existen tres tipos de listas de control de acceso: Genéricas, Extendidas y Stateful. En las listas Genéricas se utilizan muy pocos parámetros para definir las características de cada entrada de Control de Acceso. Por el contrario, las listas Extendidas permiten definir un mayor número de parámetros de selección. Las listas stateful permiten especificar además el estado de la conexión (establecida, nueva, etc.), tipo de conexión (rtp, peer to peer, etc.). Dentro del menú principal de Listas de Acceso existen dos submenús, uno para cada tipo de lista. El acceso a cada submenú se produce en el momento de editar una lista concreta, dependiendo que el tipo seleccionado sea Extendida, Genérica o Stateful.


II - 6 Doc.DM752

Rev.10.91

3. Menú principal de configuración

Dentro de menú principal de configuración de Control de Acceso se permite crear y eliminar listas. También se permite visualizar la configuración de las las listas creadas. Una Lista de Acceso consta de una serie de entradas. Cada entrada de esta lista es un bloque de sentencias y una acción. Cada entrada está identificada por un único número (el identificador o campo ID de la entrada). El bloque de sentencias puede estar compuesto por una dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre interfaces por los que viajaría el paquete. La acción determina el criterio que se aplica a los paquetes IP que cumplen con la condición indicada por las sentencias. La acción puede ser de dos tipos: incluyente (permit) o excluyente(deny). El router permite configurar 9999 listas de acceso. Las listas de acceso cuyo identificador tenga un valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tenga un valor entre 100 y 1999 son Listas de Acceso Extendidas. Las listas de acceso cuyo identificador tenga un valor entre 5000 y 9999 son Listas de Acceso Stateful. Por defecto las 9999 Listas de Acceso están vacías. Una lista de acceso está vacía cuando no contiene entradas. Dependiendo del tipo de lista creada (Genérica/Extendida/Stateful), la configuración de las entradas a cada lista se hace dentro de un submenú propio de cada una de ellas, que tendrá los mismos parámetros para todas las que son del mismo tipo. La descripción del modo de configuración de los parámetros de estos submenús se indica en los apartados siguientes a éste. Si alguno de los parámetros u opciones de las entradas de las Listas de Control de Acceso no se configura, no es tenido en cuenta a la hora de realizar la comprobación de acceso.

El orden de las entradas en la Lista de Control de Acceso es muy importante en casos, en los cuales, la información referenciada por las sentencias se solape entre diferentes entradas.

Se debe tener presente que el orden de tratamiento de las entradas de una lista no viene definido por el número del identificador de la entrada, sino por el orden en que se introducen. Este orden se puede visualizar utilizando el comando “list ”. El orden se puede modificar utilizando el comando “ move-entry “. Es decir, si al recorrer la lista, empezando por el primer elemento o entrada que aparece al listar, se encuentra un elemento que encaja en nuestra búsqueda, no se sigue buscando y se aplica la acción indicada en dicho elemento.

Nótese, por tanto, que el orden de búsqueda entre las entradas de una Lista de Control de Acceso DIFIERE del utilizado en una Lista de Prefijos (ver manual Dm780 “Listas de Prefijos”), en donde este orden viene dado por el valor de su identificador.

Dentro del menú principal de Control de Acceso se dispone de los siguientes comandos: Comando Función ? (ayuda) Lista los comandos u opciones disponibles. access-list Configura una lista de acceso. list Muestra la configuración de las listas de acceso.

II - 7 Doc.DM752

Rev.10.91

no Niega un comando o pone su valor por defecto.

3.1. ? (AYUDA)

Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el router. Se puede también utilizar este comando después de un comando específico para listar las opciones disponibles. Sintaxis:

Access Lists config>?

Ejemplo: Access Lists config>? access-list Configure an access-list list Display access-lists configuration no Negates a command or sets its defaults exit Access Lists config>

3.2. ACCESS-LIST

Este comando provoca el acceso al submenú que permite configurar entradas en una lista de acceso. Las Listas de Acceso se identifican por un valor numérico que puede tomar valore entre 1 y 9999.Por lo tanto, el router permite configurar 9999 Listas de Acceso. Las listas de acceso cuyo identificador tiene un valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tiene un valor entre 100 y 1999 son Listas de Acceso Extendidas. Las listas de acceso cuyo identificador tenga un valor entre 5000 y 9999 son Listas de Acceso Stateful. Cuando se introduce este comando seguido de un identificador, se pasa al submenú que permite configurar la Lista de Acceso para dicho identificador, apareciendo en el nuevo prompt el tipo de Lista de Acceso y su identificador. Sintaxis:

Access Lists config>access-list ? <1..99> Standard Access List number (1-99) <100..1999> Extended Access List number (100-1999) <5000..10000> Stateful access-list

Ejemplo: Access Lists config>access-list 101 Extended Access List 101>

3.3. LIST

El comando LIST muestra la información de configuración de la facilidad Listas de Control de Acceso. Las listas de acceso stateful no pueden ser listadas, para ver su contenido se debe ejecutar el comando “show config”. Sintaxis:

Access Lists config>list ? all-access-lists Display all access-lists configuration standard-access-lists Display standard access-lists configuration extended-access-lists Display extended access-lists configuration


II - 8 Doc.DM752

Rev.10.91

a) LIST ALL-ACCESS-LISTS Muestra TODA la información de configuración Listas de Control de Acceso, excepto de las Listas de Control de Acceso Stateful.

Sintaxis: Access Lists config>list all-access-lists

Ejemplo: Access Lists config>list all-access-lists Standard Access List 1, assigned to no protocol 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0 PROT=10-255 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Access Lists config>

b) LIST STANDARD-ACCESS-LISTS Muestra las Listas de Control de Acceso de tipo General configuradas.

Sintaxis: Access Lists config>list standard-access-lists

Ejemplo: Access Lists config>list standard-access-lists Standard Access List 1, assigned to no protocol 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Access Lists config>

c) LIST EXTENDED-ACCESS-LISTS Muestra las Listas de Control de Acceso de tipo Extendido configuradas.

Sintaxis: Access Lists config>list extended-access-lists

Ejemplo: Access Lists config>list extended-access-lists Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0 PROT=10-255 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Access Lists config>

II - 9 Doc.DM752

Rev.10.91

3.4. NO

Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos parámetros. Sintaxis:

Access Lists config>no ? access-list Configure an access-list

a) NO ACCESS-LIST Elimina el contenido de una Lista de Control de Acceso. Sintaxis:

Access Lists config>no access-list <ID>

Ejemplo: Access Lists config>no access-list 100 Access Lists config>

3.5. EXIT

Sale del entorno de configuración de la facilidad de Controles de Acceso. Retorna al prompt de configuración general. Sintaxis:

Access Lists config>exit

Ejemplo: Access Lists config>exit Config>


II - 10 Doc.DM752

Rev.10.91

4. Listas de Acceso Genéricas

A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el valor 1 y 99, es decir se trata de una Lista Genérica. En el prompt del nuevo submenú se indica que la lista es de tipo Genérica (Standard) y su Identificador. Ejemplo:

Access Lists config>access-list 1 Standard Access List 1>

El submenú de Listas de control de acceso Genéricas admite los siguientes subcomandos: Comando Función ? (ayuda) Lista los comandos u opciones disponibles. entry Configura una entrada dentro de una Lista de Control de

Acceso. list Muestra la configuración de las listas de acceso. move-entry Cambiar el orden de las entradas. description Permite insertar una descripción textual de una Lista de

Control de Acceso. no Niega un comando o pone su valor por defecto.

4.1. ? (AYUDA)


Standard Access List #>?

Ejemplo: Standard Access List 1>? entry Configure an entry for this access-list list Display this access-list configuration move-entry move an entry within an access-list description Configure a description for this access-list no Negates a command or sets its defaults exit Standard Access List 1>

4.2. ENTRY

Permite crear y modificar una entrada o elemento dentro de una Lista de Control de Acceso.

II - 11 Doc.DM752

Rev.10.91

Este comando se debe introducir siempre seguido del identificador del número de registro y de una sentencia. Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro introducido. Sintaxis:

Standard Access List #>entry <id> <sentencia> [valor]

Las opciones de configuración de una entrada Global son las siguientes: Standard Access List #>entry <id> ? default Sets default values to an existing or a new entry permit Configures type of entry or access control as permit deny Configures type of entry or access control as deny source Source menu: subnet or port description Sets a description for the current entry

a) ENTRY <id> DEFAULT Pone todos los parámetros de una entrada de tipo General a sus valores por defecto. Estos son:

• PERMITIDO • ADDRESS: 0.0.0.0/0

Sintaxis: Standard Access List #>entry <id> default

Ejemplo: Standard Access List 1>entry 3 default Standard Access List 1>

b) ENTRY <id> PERMIT Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada (incluyente/excluyente). Sintaxis:

Standard Access List #>entry <id> permit

Ejemplo: Standard Access List 1>entry 3 permit Standard Access List 1>

c) ENTRY <id> DENY Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Sintaxis:

Standard Access List #>entry <id> deny

Ejemplo: Standard Access List 1>entry 3 deny Standard Access List 1>

II - 12 Doc.DM752

Rev.10.91

d) ENTRY <id> SOURCE Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes. Sintaxis:

Standard Access List #>entry <id> source <parámetro> [opciones]

Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes: Standard Access List #>entry <id> source ? address IP address and mask of the source subnet

• ENTRY <id> SOURCE ADDRESS Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica mediante una máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un interfaz y que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será asignada por algún otro mecanismo, como pudiera ser PPP. En el caso de que se quiera especificar un rango de direcciones, se pueden considerar, a efectos prácticos, dos tipos de máscara: Máscara de subred estándar: Corresponde a las máscaras utilizadas habitualmente para definir subredes. Por ejemplo, 255.255.255.0, que equivale a una subred /24. Máscara comodín (wildcard): Puede considerarse como una generalización del tipo anterior. Mediante una máscara comodín se delimita de manera más específica los grupos de direcciones que se comprueban con la entrada. Para ello, los bits activos en una máscara comodín indican las posiciones exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una mejor comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas <dirección> <máscara comodín> y los grupos de direcciones que concuerdan con la entrada:

Dirección Máscara comodín Concordancia de la entrada 172.24.0.127

255.255.0.255

Concuerda con las direcciones origen 172.24.x.127, sea cual sea el valor de x. (Ej: 172.24.12.127)

0.0.0.67

0.0.0.255

Concuerda con las direcciones origen x.x.x.67, sean cuales sean los valores de x. (Ej: 10.150.130.67)

0.0.130.0

0.0.254.0

Concuerda con las direcciones origen x.x.130.x y x.x.131.x, sean cuales sean los valores de x. (Ejs: 18.102.130.2, 192.168.131.125)

192.0.125.0

255.0.253.0

Concuerda con las direcciones origen 192.x.125.x y 192.x.127.x, sean cuales sean los valores de x. (Ejs: 192.142.125.8, 192.3.127.135)

192.0.125.0

254.0.253.0

Concuerda con las direcciones origen 192.x.125.x, 193.x.125.x, 192.x.127.x y 193.x.127.x, sean cuales sean los valores de x. (Ej: 192.222.125.44, 193.111.127.201)

Con el objetivo de comprobar que el usuario entiende los conceptos referentes a la configuración de máscaras comodín, se requiere que las posiciones de los bits de la máscara cuyo valor sea 0 estén también a 0 en la dirección. En caso contrario, el equipo da un error y propone una sugerencia de dirección adaptada a la máscara proporcionada (que el usuario debe valorar para determinar si se corresponde con la configuración deseada). Así, por ejemplo, si se intenta introducir en el comando la dirección 172.24.155.130 con la máscara 255.255.254.255, el equipo da un error, ya que en el tercer octeto de la máscara (254), el último bit no

II - 13 Doc.DM752

Rev.10.91

se corresponde con su homólogo en la dirección (155). En este caso el equipo da como sugerencia la dirección 172.24.154.130. En el caso de configurar una dirección IP se debe introducir la dirección IP y la máscara, en el caso de configurar un Interfaz se debe introducir el nombre de éste. Sintaxis: a) Dirección IP

Standard Access List #>entry <id> source address <dirección> <máscara>

b) Interfaz Standard Access List #>entry <id> source address <interfaz>

Ejemplo: a) Dirección IP

Standard Access List 1>entry 3 source address 192.168.4.5 255.255.255.255 Standard Access List 1>

Standard Access List 1>entry 4 source address 192.0.0.17 255.0.0.255 Standard Access List 1>

b) Interfaz Standard Access List 1>entry 3 source address serial0/0 Standard Access List 1>

ATENCIÓN: La configuración de una interfaz como origen únicamente debe utilizarse en aquellas listas de acceso que vayan a estar asociadas al protocolo IPSec. Para el resto de protocolos y funcionalidades, esta opción actualmente no se aplica y por tanto no debe ser configurada.

e) ENTRY <id> DESCRIPTION Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso de la entrada. Sintaxis:

Standard Access List 1>entry <id> description ? <1..64 chars> Description text

Ejemplo: Standard Access List 1>entry 1 description “primera entrada” Standard Access List 1>

4.3. LIST

El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está siendo editada, es decir, la que su identificador está indicado en el prompt del menú. Sintaxis:

Standard Access List #>list ? all-entries Display any entry of this access-list address-filter-entries Display the entries that match an ip address entry Display one entry of this access-list

II - 14 Doc.DM752

Rev.10.91

a) LIST ALL-ENTRIES Muestra todas las entradas de configuración de la Listas de Control de Acceso, es decir, toda la configuración de la misma. Sintaxis:

Standard Access List #>list all-entries

Ejemplo: Standard Access List 1>list all-entries Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 2 PERMIT SRC=0.0.0.0/0 Standard Access List 1>

b) LIST ADDRESS-FILTER-ENTRIES Muestra las entradas de configuración de la Listas de Control de Acceso que contienen una determinada dirección IP. Sintaxis:

Standard Access List #>list address-filter-entries <dirección> <subred>

Ejemplo: Standard Access List 1>list address-filter-entries 192.60.1.24 255.255.255.255 Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 Standard Access List 1>

c) LIST ENTRY Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a continuación del comando. Sintaxis:

Standard Access List #>list entry <id>

Ejemplo: Standard Access List 1>list entry 1 Standard Access List 1, assigned to no protocol 1 DESCRIPTION: primera entrada 1 PERMIT SRC=192.60.1.24/32 Standard Access List 1>

4.4. MOVE-ENTRY

Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de otra que se indica, dentro de la Lista de Control de Acceso. El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a continuación se introduce el identificador de la posición por delante de la cual se desea colocar la

II - 15 Doc.DM752

Rev.10.91

entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se debe especificar la opción end. Sintaxis:

Standard Access List #>move-entry <entrada_a_mover> {<entrada_destino> | end}

Ejemplo: Standard Access List 1>list all-entries Standard Access List 1, assigned to no protocol 1 DENY SRC=0.0.0.0/0 2 PERMIT SRC=234.233.44.33/32 3 PERMIT SRC=192.23.0.22/255.255.0.255 Standard Access List 1>move-entry 1 end Standard Access List 1>list all-entries Standard Access List 1, assigned to no protocol 2 PERMIT SRC=234.233.44.33/32 3 PERMIT SRC=192.23.0.22/255.255.0.255 1 DENY SRC=0.0.0.0/0 Standard Access List 1>

4.5. DESCRIPTION

Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita más tarde entender mejor su propósito o función. Sintaxis:

Standard Access List #>description ? <1..64 chars> Description text

Ejemplo: Standard Access List 1>description “lista para ipsec” Standard Access List 1>list all Standard Access List 1, assigned to no protocol Description: lista para ipsec 1 DESCRIPTION: primera entrada 1 PERMIT SRC=1.1.1.1/32

4.6. NO


Standard Access List #>no ? entry Configure an entry for this access-list description Configure a description for this access-list

II - 16 Doc.DM752

Rev.10.91

a) NO ENTRY Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista que se desea eliminar. Sintaxis:

Standard Access List #>no entry <id>

Ejemplo:

Standard Access List 1>no entry 3 Standard Access List 1>

b) NO DESCRIPTION Elimina la descripción textual asociada a la Lista de Control de Acceso. Sintaxis:

Standard Access List #>no description

Ejemplo: Standard Access List 1>no description Standard Access List 1>

4.7. EXIT

Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del menú principal de Control de Acceso. Sintaxis:

Standard Access List #>exit

Ejemplo: Standard Access List 1>exit Access Lists config>


II - 17 Doc.DM752

Rev.10.91

5. Listas de Acceso Extendidas

A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el valor 100 y 1999, es decir se trata de una Lista Extendida. En el prompt del nuevo submenú se indica que la lista es de tipo Extendida (Extended) y su identificador. Ejemplo:

Access Lists config>access-list 100 Extended Access List 100>

El submenú de Listas de Control de Acceso Extendidas admite los siguientes subcomandos: Comando Función ? (ayuda) Lista los comandos u opciones disponibles. entry Configura una entrada para esta Lista de Acceso. list Muestra la configuración de las listas de acceso. move-entry Cambiar el orden de las entradas. description Permite insertar una descripción textual de una Lista de

Control de Acceso. no Niega un comando o pone su valor por defecto.

5.1. ? (AYUDA)


Extended Access List #>?

Ejemplo: Extended Access List 100>? entry Configure an entry for this access-list list Display this access-list configuration move-entry move an entry within an access-list description Configure a description for this access-list no Negates a command or sets its defaults exit Extended Access List 100>

5.2. ENTRY

Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso. Este comando se debe introducir siempre seguido del identificador del número de registro de una sentencia.

II - 18 Doc.DM752

Rev.10.91

Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro introducido. Sintaxis:

Extended Access List #>entry <id> <parámetro> [valor]

Las opciones de configuración de una entrada Extendida son las siguientes: Extended Access List 100>entry 1 ? default Sets default values to an existing or a new entry permit Configures type of entry or access control as permit deny Configures type of entry or access control as deny source Source menu: subnet or port destination Destination menu: subnet or port protocol Protocol protocol-range Protocol range connection IP connection identifier (rule) description Sets a description for the current entry ds-field DSCP in IP packets precedence Precedence in IP packets tcp-specific Tcp specific filtering tos-octet TOS octet value in IP packets no Negates a command or sets its defaults

a) ENTRY <id> DEFAULT Pone todos los parámetros de una entrada de tipo Extendido a sus valores por defecto. Estos son:

• PERMITIDO • SOURCE: 0.0.0.0/0 • DESTINATION 0.0.0.0/0 • NO PROTOCOL-RANGE • NO TOS-OCTET • NO CONNECTION • NO TCP-SPECIFIC

Sintaxis: Extended Access List #>entry <id> default

Ejemplo: Extended Access List 100>entry 3 default Extended Access List 100>

b) ENTRY <id> PERMIT Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Sintaxis:

Extended Access List #>entry <id> permit

Ejemplo: Extended Access List 100>entry 3 permit Extended Access List 100>

c) ENTRY <id> DENY Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso.

II - 19 Doc.DM752

Rev.10.91

Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Sintaxis:

Extended Access List #>entry <id> deny

Ejemplo: Extended Access List 100>entry 3 deny Extended Access List 100>

d) ENTRY <id> SOURCE Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes. Sintaxis:

Extended Access List #>entry <id> source <parámetro> [opciones]

Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes: Extended Access List #>entry <id> source ? address IP address and mask of the source subnet port-range source port range

• ENTRY <id> SOURCE ADDRESS Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica mediante una máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un Interfaz, que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será asignada por algún otro mecanismo como pudiera ser PPP. En el caso de que se quiera especificar un rango de direcciones, se pueden considerar, a efectos prácticos, dos tipos de máscara: Máscara de subred estándar: Corresponde a las máscaras utilizadas habitualmente para definir subredes. Por ejemplo, 255.255.255.0, que equivale a una subred /24. Máscara comodín (wildcard): Puede considerarse como una generalización del tipo anterior. Mediante una máscara comodín se delimita de manera más específica los grupos de direcciones que se comprueban con la entrada. Para ello, los bits activos en una máscara comodín indican las posiciones exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una mejor comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas <dirección> <máscara comodín> y los grupos de direcciones que concuerdan con la entrada:


255.255.0.255

Concuerda con las direcciones origen 172.24.x.127, sea cual sea el valor de x. (Ej: 172.24.12.127)

0.0.0.67

0.0.0.255

Concuerda con las direcciones origen x.x.x.67, sean cuales sean los valores de x. (Ej: 10.150.130.67)

0.0.130.0

0.0.254.0

Concuerda con las direcciones origen x.x.130.x y x.x.131.x, sean cuales sean los valores de x. (Ejs: 18.102.130.2, 192.168.131.125)

192.0.125.0

255.0.253.0

Concuerda con las direcciones origen 192.x.125.x y 192.x.127.x, sean cuales sean los valores de x. (Ejs: 192.142.125.8, 192.3.127.135)

192.0.125.0

254.0.253.0

Concuerda con las direcciones origen 192.x.125.x, 193.x.125.x, 192.x.127.x y 193.x.127.x, sean cuales sean los valores de x. (Ej: 192.222.125.44, 193.111.127.201)

II - 20 Doc.DM752

Rev.10.91

Con el objetivo de comprobar que el usuario entiende los conceptos referentes a la configuración de máscaras comodín, se requiere que las posiciones de los bits de la máscara cuyo valor sea 0 estén también a 0 en la dirección. En caso contrario, el equipo da un error y propone una sugerencia de dirección adaptada a la máscara proporcionada (que el usuario debe valorar para determinar si se corresponde con la configuración deseada). Así, por ejemplo, si se intenta introducir en el comando la dirección 172.24.155.130 con la máscara 255.255.254.255, el equipo da un error, ya que en el tercer octeto de la máscara (254), el último bit no se corresponde con su homólogo en la dirección (155). En este caso el equipo da como sugerencia la dirección 172.24.154.130. En el caso de configurar una dirección IP se debe introducir la dirección IP y la máscara, en el caso de configurar un Interfaz se debe introducir el nombre de éste. Sintaxis: a) Dirección IP

Extended Access List #>entry <id> source address <dirección> <máscara>

b) Interfaz Extended Access List #>entry <id> source address interface <interfaz>


Extended Access List 100>entry 3 source address 192.168.4.5 255.255.255.255 Extended Access List 100>

Extended Access List 100>entry 4 source address 192.0.0.17 255.0.0.255 Extended Access List 100>

b) Interfaz Extended Access List 100>entry 3 source address interface serial0/0 Extended Access List 100>

ATENCIÓN: La configuración de una interfaz como origen únicamente debe utilizarse en aquellas listas de acceso que vayan a estar asociadas al protocolo IPSec. Para el resto de protocolos y funcionalidades, esta opción actualmente no se aplica y por tanto no debe ser configurada.

• ENTRY <id> SOURCE PORT-RANGE El significado de este comando depende del tipo de protocolo del paquete que se está filtrando.

• Si el paquete corresponde a TCP o UDP, este comando establece la sentencia para el puerto ‘origen’ del paquete. Debe ir seguido de dos números. El primero indica el identificador de puerto en el límite inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos identificadores de puerto puede tomar valores entre 0 y 65535.

En este caso, por tanto, la finalidad del comando es permitir o denegar el acceso a distintos puertos TCP o UDP origen. • Si el paquete corresponde al protocolo ICMP, y la entrada esta configurada para realizar

el filtrado de dicho protocolo (mediante el comando entry <id> protocol icmp), este comando establece la sentencia para el tipo de paquete ICMP. Debe ir seguido de dos números, que sirven para especificar un rango. El primero indica el tipo de mensaje ICMP

II - 21 Doc.DM752

Rev.10.91

usado como límite inferior del rango, mientras que el segundo indica el límite superior del mismo. Si no se desea establecer un rango, basta con poner ambos valores iguales.

En este caso, por tanto, la finalidad del comando es permitir o denegar un tipo o conjunto de tipos de mensajes ICMP. Nótese que para obtener este comportamiento es imprescindible configurar el protocolo ICMP en la entrada única y exclusivamente mediante el comando entry <id> protocol icmp. • Si está configurado este comando el paquete sólo puede encajar por los motivos anteriores,

el resto de paquetes no encajan. Sintaxis:

Extended Access List #>entry <id> source port-range <limite_inf> <limite_sup>

Ejemplo 1: Extended Access List 100>entry 3 source port-range 2 4 Extended Access List 100>

Esta entrada concuerda con todos los paquetes TCP o UDP cuyo puerto origen esté comprendido entre 2 y 4 (ambos inclusive). Ejemplo 2:

Extended Access List 100>entry 3 protocol icmp Extended Access List 100>entry 3 source port-range 3 3 Extended Access List 100>

Esta entrada concuerda con todos los paquetes ICMP de tipo 3 (destination unreachable), sea cual sea su código.

e) ENTRY <id> DESTINATION Establece la sentencia de parámetros IP en el direccionamiento ‘destino’ de los mensajes. Sintaxis:

Extended Access List #>entry <id> destination <parámetro> [opciones]

Las opciones que se pueden introducir en la sentencia destino de IP son las siguientes: Extended Access List #>entry <id> destination ? address IP address and mask of the source subnet port-range source port range

• ENTRY <id> DESTINATION ADDRESS Establece la sentencia de dirección IP ‘destino’. El rango de direcciones elegido se indica mediante una máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un Interfaz, que es desconocida en el momento de configurar el equipo. En el caso de que se quiera especificar un rango de direcciones, se pueden considerar, a efectos prácticos, dos tipos de máscara: Máscara de subred estándar: Corresponde a las máscaras utilizadas habitualmente para definir subredes. Por ejemplo, 255.255.255.0, que equivale a una subred /24. Máscara comodín (wildcard): Puede considerarse como una generalización del tipo anterior. Mediante una máscara comodín se delimita de manera más específica los grupos de direcciones que se compruebarán con la entrada. Para ello, los bits activos en una máscara comodín indican las posiciones exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una mejor comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas <dirección> <máscara comodín> y los grupos de direcciones que concuerdan con la entrada:

II - 22 Doc.DM752

Rev.10.91


255.255.0.255

Concuerda con las direcciones destino 172.24.x.127, sea cual sea el valor de x. (Ej: 172.24.12.127)

0.0.0.67

0.0.0.255

Concuerda con las direcciones destino x.x.x.67, sean cuales sean los valores de x. (Ej: 10.150.130.67)

0.0.130.0

0.0.254.0

Concuerda con las direcciones destino x.x.130.x y x.x.131.x, sean cuales sean los valores de x. (Ejs: 18.102.130.2, 192.168.131.125)

192.0.125.0

255.0.253.0

Concuerda con las direcciones destino 192.x.125.x y 192.x.127.x, sean cuales sean los valores de x. (Ejs: 192.142.125.8, 192.3.127.135)

192.0.125.0

254.0.253.0

Concuerda con las direcciones destino 192.x.125.x, 193.x.125.x, 192.x.127.x y 193.x.127.x, sean cuales sean los valores de x. (Ej: 192.222.125.44, 193.111.127.201)

Con el objetivo de comprobar que el usuario entiende los conceptos referentes a la configuración de máscaras comodín, se requiere que las posiciones de los bits de la máscara cuyo valor sea 0 estén también a 0 en la dirección. En caso contrario, el equipo da un error y propone una sugerencia de dirección adaptada a la máscara proporcionada (que el usuario debe valorar para determinar si se corresponde con la configuración deseada). Así, por ejemplo, si se intenta introducir en el comando la dirección 172.24.155.130 con la máscara 255.255.254.255, el equipo da un error, ya que en el tercer octeto de la máscara (254), el último bit no se corresponde con su homólogo en la dirección (155). En este caso el equipo da como sugerencia la dirección 172.24.154.130. En el caso de configurar una dirección IP se debe introducir la dirección IP y la máscara, en el caso de configurar un Interfaz se debe introducir el nombre de éste. Sintaxis: a) Dirección IP

Extended Access List #>entry <id> destination address <dirección> <máscara>

b) Interfaz Extended Access List #>entry <id> destination address interface <interfaz>


Extended Access List 100>entry 3 destination address 192.168.4.5 255.255.255.255 Extended Access List 100>

Extended Access List 100>entry 4 destination address 192.0.0.17 255.0.0.255 Extended Access List 100>

b) Interfaz Extended Access List 100>entry 3 destination address interface serial0/0 Extended Access List 100>

ATENCIÓN: La configuración de una interfaz como destino no se aplica actualmente en ningún protocolo o funcionalidad. Por tanto, nunca debe ser configurado.

II - 23 Doc.DM752

Rev.10.91

• ENTRY <id> DESTINATION PORT-RANGE El significado de este comando depende del tipo de protocolo del paquete que se está filtrando.

• Si el paquete corresponde a TCP o UDP, este comando establece la sentencia para el puerto ‘destino’ del paquete. Debe ir seguido de dos números. El primero indica el identificador de puerto en el límite inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos identificadores de puerto puede tomar valores entre 0 y 65535.

En este caso, por tanto, la finalidad del comando es permitir o denegar el acceso a distintos puertos TCP o UDP destino. • Si el paquete corresponde al protocolo ICMP, y la entrada esta configurada para realizar

el filtrado de dicho protocolo (mediante el comando entry <id> protocol icmp), este comando establece la sentencia para el código de paquete ICMP. Debe ir seguido de dos números, que sirven para especificar un rango. El primero indica el código de mensaje ICMP usado como límite inferior del rango, mientras que el segundo indica el límite superior del mismo. Si no se desea establecer un rango, basta con poner ambos valores iguales.

En este caso, por tanto, la finalidad del comando es permitir o denegar un código o conjunto de códigos de mensajes ICMP. Utilizado en combinación con entry <id> source port-range <limite_inf> <limite_sup>, analizado anteriormente, es posible especificar de manera absoluta el tipo y código de los mensajes ICMP que se desea filtrar. Nótese que para obtener este comportamiento es imprescindible configurar el protocolo ICMP en la entrada única y exclusivamente mediante el comando entry <id> protocol icmp. • Si está configurado este comando el paquete sólo puede encajar por los motivos anteriores,

el resto de paquetes no encajan. Sintaxis:

Extended Access List #>entry <id> destination port-range <limite_inf> <limite_sup>

Ejemplo 1: Extended Access List 100>entry 3 destination port-range 2 4 Extended Access List 100>

Esta entrada concuerda con todos los paquetes TCP o UDP cuyo puerto destino esté comprendido entre 2 y 4 (ambos inclusive). Ejemplo 2:

Extended Access List 100>entry 3 protocol icmp Extended Access List 100>entry 3 source port-range 3 3 Extended Access List 100>entry 3 destination port-range 1 5 Extended Access List 100>

Esta entrada concuerda con todos los paquetes ICMP de tipo 3 (destination unreachable), y con código comprendido entre 1 y 5 (ambos inclusive).

f) ENTRY <id> PROTOCOL Establece la sentencia del protocolo del paquete IP. Este comando debe ir seguido del número de protocolo (un valor entre 0 y 255) o bien del nombre del mismo. Si se especifica protocolo IP se admitirá cualquier protocolo. Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos.

II - 24 Doc.DM752

Rev.10.91

Sintaxis: Extended Access List #>entry <id> protocol ? <0..255> An IP protocol number esp Encapsulation Security Payload gre Generic Routing Encapsulation icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol ip Any Internet Protocol ospf OSPF routing protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol

Ejemplo: Extended Access List 100>entry 3 protocol icmp Extended Access List 100>

g) ENTRY <id> PROTOCOL-RANGE Establece la sentencia del protocolo o rango de protocolos del paquete IP. Este comando debe ir seguido de dos números. El primero indica el identificador de protocolo en el límite inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos identificadores de protocolo puede tomar valores entre 0 y 255. Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos. Sintaxis:

Extended Access List #>entry <id> protocol-range <prot_inferior> <prot_superior>

Ejemplo: Extended Access List 100>entry 3 protocol-range 21 44 Extended Access List 100>

h) ENTRY <id> DS-FIELD Establece la sentencia de Control de Acceso en base al valor del campo dscp del byte de Tipo de Servicio del paquete IP. Puede tomar valores entre 0 y 63. Sintaxis:

Extended Access List #>entry <id> ds-field <valor>

Ejemplo: Extended Access List 100>entry 3 ds-field 12 Extended Access List 100>

i) ENTRY <id> LABEL Establece la sentencia de etiqueta del paquete IP. La etiqueta es un parámetro interno asociado a cada paquete. Consiste en un número entre 0 y 99 que puede ser utilizado para la selección, clasificación y filtrado del tráfico IP. Por defecto, todos los paquetes IP tienen asociado un valor de etiqueta igual a 0. Es posible cambiar dicho valor mediante Policy Routing (véase manual Dm745 “Policy Routing”), utilizando un Route Map configurado adecuadamente (véase manual Dm 764 “Route Mapping”). Este tráfico marcado con una etiqueta puede ser posteriormente seleccionado en una lista de acceso mediante entry <id> label. Sintaxis:

Extended Access List #>entry <id> label <valor>

II - 25 Doc.DM752

Rev.10.91

Ejemplo: Extended Access List 100>entry 3 label 12 Extended Access List 100>

j) ENTRY <id> PRECEDENCE Establece la sentencia de Control de Acceso en base al valor del campo precedencia del byte de Tipo de Servicio del paquete IP. Puede tomar valores entre 0 y 7. Sintaxis:

Extended Access List #>entry <id> precedence <valor>

Ejemplo: Extended Access List 100>entry 3 precedence 3 Extended Access List 100>

k) ENTRY <id> TCP-SPECIFIC ESTABLISHED Establece la sentencia de Control de Acceso de los paquetes TCP en base a si la sesión TCP está previamente establecida o no. Para discernir si una sesión TCP está ya establecida se comprueba que esté presente el bit ACK o el bit RST en la cabecera del paquete TCP, si alguno de los dos está presente la sesión se considera establecida. Sintaxis:

Extended Access List #>entry <id> tcp-specific established-state

Ejemplo: La configuración siguiente muestra una lista de acceso en la que encajarán todas las sesiones TCP establecidas en la entrada 1.

entry 1 default entry 1 permit entry 1 protocol tcp entry 1 tcp-specific established-state

l) ENTRY <id> TOS-OCTET Establece la sentencia de Control de Acceso en base al valor del byte de Tipo de Servicio del paquete IP. Puede tomar valores entre 0 y 255. Adicionalmente, se puede especificar una máscara de bits que determinará los bits del byte Tipo de Servicio que se desean marcar. El valor de la máscara puede ser entre 1 y 255. Sintaxis:

Extended Access List #>entry <id> tos-octet <valor> [mask <mascara>]

Ejemplo: Extended Access List 100>entry 3 tos-octet 240 mask 254 Extended Access List 100>

m) ENTRY <id> CONNECTION Permite asociar el identificador de la conexión entre interfaces a una entrada de la Lista de Control de Acceso. Esta conexión identifica la interfaz lógica por la que se enrutaría el paquete; se configura en las reglas de IP. Al establecer esta relación, se puede asociar el tráfico no sólo por la dirección origen, destino, etc, del paquete, sino también por el interfaz concreto de conexión. Dejar la conexión sin especificar, o poner conexión cero, hace que la conexión no se considere este parámetro a la hora de ejecutar el Control de Acceso.

II - 26 Doc.DM752

Rev.10.91

Cuando se lista la entrada, aparecerá una interrogación al lado de la conexión (p. ej, Conn:1?) si ésta no existe. Sintaxis:

Extended Access List #>entry <id> connection <valor>

Ejemplo: Suponiendo que exista la siguiente regla definida en IP:

ID Local Address --> Remote Address Timeout Firewall NAPT 1 172.24.70.1 --> 172.24.70.2 0 NO NO

Esto identifica una conexión concreta, entre una dirección local del router y un extremo (el resto de parámetros no se consideran). Definimos entonces una entrada en la Lista de Control de Acceso, con el identificador de esta conexión ( 1 ) como sentencia:

Extended Access List 100>entry 10 connection 1

n) ENTRY <id> DESCRIPTION Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso de la entrada. Sintaxis:

Extended Access List 1>entry <id> description ? <1..64 chars> Description text

Ejemplo: Extended Access List 100>entry 1 description “primera entrada” Extended Access List 100>

5.3. LIST

El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está siendo editada, es decir, la que su identificador está indicado en el prompt del menú. Sintaxis:

Extended Access List #>list ? all-entries Display any entry of this access-list address-filter-entries Display the entries that match an ip address entry Display one entry of this access-list

a) LIST ALL-ENTRIES Muestra todas las entrada de configuración de la Listas de Control de Acceso, es decir, toda la configuración de la misma. Sintaxis:

Extended Access List #>list all-entries

Ejemplo: Extended Access List 100>list all-entries Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0

II - 27 Doc.DM752

Rev.10.91

PROT=21 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Extended Access List 100>

b) LIST ADDRESS-FILTER-ENTRIES Muestra las entrada de configuración de la Listas de Control de Acceso que contienen una determinada dirección IP. Sintaxis:

Extended Access List #>list address-filter-entries <dirección> <subred>

Ejemplo: Extended Access List 100>list address-filter-entries 172.25.54.33 255.255.255.255 Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Extended Access List 100>

c) LIST ENTRY Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a continuación del comando. Sintaxis:

Extended Access List #>list entry <id>

Ejemplo: Extended Access List 100>list entry 1 Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 Label=22 PROT=21 Extended Access List 100>

5.4. MOVE-ENTRY

Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de otra que se indica, dentro de la Lista de Control de Acceso. El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a continuación se introduce el identificador de la posición por delante de la cual se desea colocar la entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se debe especificar la opción end Sintaxis:

Extended Access List #>move-entry <entrada_a_mover> {<entrada_destino> | end}

Ejemplo: Extended Access List 100>list all-entries Extended Access List 100, assigned to no protocol 1 PERMIT SRC=172.32.55.33/32 DES=172.33.44.32/32 Conn:0

II - 28 Doc.DM752

Rev.10.91

DPORT=1024-65535 2 PERMIT SRC=192.233.33.11/32 DES=0.0.0.0/0 Conn:0 PROT=33-102 3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Extended Access List 100>move-entry 1 end Extended Access List 100>list all-entries Extended Access List 100, assigned to no protocol 2 PERMIT SRC=192.233.33.11/32 DES=0.0.0.0/0 Conn:0 PROT=33-102 3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 1 PERMIT SRC=172.32.55.33/32 DES=172.33.44.32/32 Conn:0 DPORT=1024-65535 Extended Access List 100>

5.5. DESCRIPTION

Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita más tarde entender mejor su propósito o función. Sintaxis:

Extended Access List #>description ? <1..64 chars> Description text

Ejemplo: Extended Access List 1>description “lista para ipsec” Extended Access List 1>list all Extended Access List 100, assigned to no protocol Description: lista para ipsec 2 PERMIT SRC=192.233.33.11/32 DES=0.0.0.0/0 Conn:0 PROT=33-102 3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 1 PERMIT SRC=172.32.55.33/32 DES=172.33.44.32/32 Conn:0 DPORT=1024-65535

5.6. NO


Extended Access List #>no ? entry Configure an entry for this access-list description Configure a description for this access-list

a) NO ENTRY Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista que se desea eliminar.

II - 29 Doc.DM752

Rev.10.91

Sintaxis: Extended Access List #>no entry <id>

Ejemplo: Extended Access List 100>no entry 3 Extended Access List 100>

b) NO DESCRIPTION Elimina la descripción textual asociada a la Lista de Control de Acceso. Sintaxis:

Extended Access List #>no description

Ejemplo: Extended Access List 100>no description Extended Access List 100>

5.7. EXIT

Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del menú principal de Control de Acceso. Sintaxis:

Extended Access List #>exit

Ejemplo: Extended Access List 100>exit Access Lists config>


II - 30 Doc.DM752

Rev.10.91

6. Listas de Acceso Stateful

A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre los valores 5000 y 9999, es decir se trata de una Lista Stateful. En el prompt del nuevo submenú se indica que la lista es de tipo Stateful y su identificador. Ejemplo:

Access Lists config>access-list 5001 Stateful Access List 5001>

Como se ha comentado anteriormente, para poder configurar estas listas de acceso debe estar habilitada la facilidad AFS, y hay que tener en cuenta que si se realiza algún cambio dinámico mientras la sesión está activa, si se observa que no tiene efecto dicho cambio, es necesario finalizar la sesión. Para ello se debe deshabilitar y habilitar la facilidad AFS con lo comandos “NO ENABLE” y “ENABLE” del menú de configuración de AFS (ver manual Dm786 “AFS”). El submenú de Listas de Control de Acceso Stateful admite los siguientes subcomandos: Comando Función ? (ayuda) Lista los comandos u opciones disponibles. entry Configura una entrada para esta Lista de Acceso. no Niega un comando o pone su valor por defecto.

6.1. ? (AYUDA)


Stateful Access List #>?

Ejemplo: Stateful Access List 100>? entry Configure an entry for this access-list no Negates a command or sets its defaults exit Stateful Access List 100>

6.2. ENTRY

Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso. Este comando se debe introducir siempre seguido del identificador del número de registro de una sentencia. Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no está en la lista. Cuando se introduce un identificador que ya existe, se agrega una nueva entrada a dicho identificador.

II - 31 Doc.DM752

Rev.10.91

A diferencia de las listas de control de acceso genéricas/extendidas es posible configurar más de un mismo criterio de selección en una misma entrada, teniendo en cuenta que deben cumplirse a la vez TODOS los criterios de selección especificados en la entrada para que el paquete encaje.

Esto puede ser de mucha utilidad cuando se desea que encajen paquetes que no cumplen varios criterios simultáneamente, como en el siguiente ejemplo, que se desea que la dirección destino y el puerto udp destino no sean ningunos de los indicados:

entry 15 default entry 15 deny entry 15 description "RemoteToIP. Entre VPNs 41000 en lugar de no rtp" entry 15 source address 172.24.100.160 mask 255.255.255.224 entry 15 no destination udp port 50001 entry 15 no destination udp port 1967 entry 15 no destination address 172.24.0.25 entry 15 no destination address 172.24.0.201 entry 15 no destination address 172.24.0.202 entry 15 no destination address 172.25.0.0 mask 255.255.0.0 entry 15 no destination udp port 41000 41010 entry 15 no rtp entry 15 no destination tcp port 6890 6899 entry 15 no source tcp port 6890 6899

Sintaxis:

Stateful Access List #>entry <id> <parámetro> [valor]

Las opciones de configuración de una entrada Stateful son las siguientes: Stateful Access List 100>entry 1 ? default Set default values deny Deny this entry description Entry description destination Destination match criterias hex-string Search an specific hexadecimal string in-interface Match an incoming interface ipsec IPSEC match criterias label Label for classification length-interval Define a datagram length interval to match to no Negate the following match criteria out-interface Match an outgoing interface permit Permit this entry protocol IP protocol matching options protocol-range Specify a protocol range peer2peer Match peer to peer traffic rate-limit Match an specific rate limit in kbps conn-limit Match an specific connection limit tcp-flags Match an specific tcp flag rtp Match any RTP packet flow session Define a session control match session-mark Mark the session with an specific tag source Source match criterias string Search an specific string http-filter Filter urls/contents containted in http webstr Filter urls/hosts in http sessions weburl Filter urls in http sessions

a) ENTRY <id> DEFAULT Pone todos los parámetros de una entrada de tipo Stateful a sus valores por defecto. Estos son:

• PERMITIDO • ADDRESS: 0.0.0.0/0

II - 32 Doc.DM752

Rev.10.91

Sintaxis: Stateful Access List #>entry <id> deny

Ejemplo: Stateful Access List 5000>entry 3 deny Stateful Access List 5000>

b) ENTRY <id> LABEL El criterio de selección es la etiqueta del paquete IP. La etiqueta es un parámetro interno asociado a cada paquete. Consiste en un número que puede ser utilizado para la selección, clasificación y filtrado del tráfico IP. Por defecto, todos los paquetes IP tienen asociado un valor de etiqueta igual a 0. Es posible cambiar dicho valor mediante Service Policy (véase manual Dm795 “Policy-Map Class-Map”) y Policy Routing (véase manual Dm745 “Policy Routing”). Este tráfico marcado con una etiqueta puede ser posteriormente seleccionado en una lista de acceso mediante entry <id> label. Sintaxis:

Stateful Access List #>entry <id> label <label-value> [mask <label-mask>]

Los valores a configurar son los siguientes: id Identificador de la entrada a configurar. label-value Valor que debe llevar la etiqueta del paquete. label-mask Máscara que especifica qué bits de la etiqueta del paquete se van a

comprobar. Ejemplo:

Stateful Access List 5000>entry 3 label 1 Stateful Access List 5000>

c) ENTRY <id> DENY Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Sintaxis:

Stateful Access List #>entry <id> deny

Ejemplo: Stateful Access List 5000>entry 3 deny Stateful Access List 5000>

d) ENTRY <id> DESCRIPTION Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso de la entrada. Sintaxis:

Stateful Access List #>entry <id> description <description>

Ejemplo: Stateful Access List 5000>entry 1 description “Access list number 5000” Stateful Access List 5000>

II - 33 Doc.DM752

Rev.10.91

e) ENTRY <id> DESTINATION ADDRESS Permite seleccionar un paquete según su IP de destino. Se puede especificar una IP o una red, siendo la máscara opcional. Si no se especifica máscara se supone máscara de host. También permite seleccionar la dirección de destino por rango. Sintaxis:

Stateful Access List #>entry <id> destination address <ip> [mask <mask>] Stateful Access List #>entry <id> destination address [range] <iplow> <iphigh>

Ejemplo: Stateful Access List 5000>entry 1 destination address 1.1.1.0 mask 255.255.255.0 Stateful Access List 5000>

Ejemplo: Stateful Access List 5000>entry 1 destination address range 2.2.2.1 2.2.2.100 Stateful Access List 5000>

f) ENTRY <id> DESTINATION TCP PORT Permite especificar un puerto o rango de puertos destino TCP. El paquete debe ser TCP para encajar en este criterio. Sintaxis:

Stateful Access List #>entry <id> destination tcp port <low-port> <high-port>

Ejemplo: Stateful Access List 5000>entry 1 destination address tcp port 20000 21000 Stateful Access List 5000>

g) ENTRY <id> DESTINATION UDP PORT Permite especificar un puerto o rango de puertos destino UDP. El paquete debe ser UDP para encajar en este criterio. Sintaxis:

Stateful Access List #>entry <id> destination udp port <low-port> <high-port>

Ejemplo: Stateful Access List 5000>entry 1 destination address udp port 20000 21000 Stateful Access List 5000>

h) ENTRY <id> HEX-STRING Permite especificar una cadena hexadecimal, el sistema AFS recorre el paquete en busca de esa cadena, si está dentro del paquete se considera que el paquete encaja. Sintaxis:

Stateful Access List #>entry <id> hex-string <string>

Ejemplo: Stateful Access List 5000>entry 1 hex-string AABBCC Stateful Access List 5000>

i) ENTRY <id> IN-INTERFACE Permite especificar un interfaz de entrada. Sintaxis:

Stateful Access List #>entry <id> in-interface <interface>

II - 34 Doc.DM752

Rev.10.91

Ejemplo: Stateful Access List 5000>entry 1 in-interface ethernet0/0 Stateful Access List 5000>

j) ENTRY <id> IPSEC Permite seleccionar solo los paquetes que hayan sido encapsulados o desencapsulados por IPSEC. Sintaxis:

Stateful Access List #>entry <id> ipsec [encapsulated|desencapsulated]

Ejemplo: Stateful Access List 5000>entry 1 ipsec encapsulated Stateful Access List 5000>

k) ENTRY <id> LENGTH INTERVAL Permite especificar un intervalo de longitud de un paquete. Si la longitud del paquete se encuentra dentro de este intervalo se considera que encaja. Sintaxis:

Stateful Access List #>entry <id> length-interval <low> <high>

Ejemplo: Stateful Access List 5000>entry 1 length-interval 1000 1500 Stateful Access List 5000>

l) ENTRY <id> NO Si se selecciona la opción no delante del criterio de selección se considera que un paquete encaja si NO cumple el criterio de selección que sigue a la particula no. Sintaxis:

Stateful Access List #>entry <id> no <criteria>

Ejemplo: Stateful Access List 5000> entry 1 no length-interval 1000 1500 Stateful Access List 5000>

m) ENTRY <id> PROTOCOL Permite seleccionar un paquete según el protocolo encapsulado en IP. La lista de protocolos soportados en este comando aparece en el anexo 3 de este documento. Sintaxis:

Stateful Access List #>entry <id> protocol <protocol>

Ejemplo: Stateful Access List 5000> entry 1 protocol tcp Stateful Access List 5000>

Algunos de los protocolos seleccionados pueden admitir subopciones, por ejemplo, peer2peer.

II - 35 Doc.DM752

Rev.10.91

Stateful Access List 5000$entry 1 protocol peer2peer ? all All peer to peer traffic apple AppleJuice traffic ares Ares AresLite traffic bit-torrent BitTorrent traffic dc Direct Connect traffic e-mule E-mule E-donkey traffic gnutella Gnutella traffic kazaa Kazaa traffic mute Mute traffic soul SoulSeek traffic waste Waste traffic winmx WinMx traffic xdcc XDCC traffic

Ejemplo: Stateful Access List 5000> entry 1 protocol peer2peer all Stateful Access List 5000>

n) ENTRY <id> PROTOCOL-RANGE Permite seleccionar un paquete según un rango de protocolos IP. El rango se especifica con los valores numéricos de los protocolos. Sintaxis:

Stateful Access List #>entry <id> protocol-range <limit1> <limit2>

Ejemplo: Stateful Access List 5000> entry 1 protocol-range 1 17 Stateful Access List 5000>

o) ENTRY <id> PEER2PEER Permite seleccionar el tráfico considerado como peer to peer, de los protocolos e-mule, kazaa y bittorrent. Estos protocolos cambian constantemente, por lo que su clasificación automática es difícil y puede que no resulte 100% efectiva. Sintaxis:

Stateful Access List #>entry <id> peer2peer

Ejemplo: Stateful Access List 5000>entry 1 peer2peer Stateful Access List 5000>

p) ENTRY <id> PERMIT Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla con los parámetros de selección del registro puede pasar a través del Control de Acceso. Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la entrada. Sintaxis:

Stateful Access List #>entry <id> permit

Ejemplo: Stateful Access List 5000>entry 3 permit Stateful Access List 5000>

q) ENTRY <id> RATE-LIMIT Especifica un límite en kilobits por segundo, superado el cual se considera que un paquete encaja en este criterio. Esta medido en kilobits por segundo.

II - 36 Doc.DM752

Rev.10.91

Sintaxis: Stateful Access List #>entry <id> rate-limit <limit> <burst>

Ejemplo: Stateful Access List 5000>entry 1 rate-limit 100 Stateful Access List 5000>

r) ENTRY <ID> CONN-LIMIT Especifica un límite de conexiones para determinada dirección IP o máscara, superado el cual se considera que un paquete encaja en este criterio. Sintaxis:

Stateful Access List #>entry <id> conn-limit <limit> <mask>

Ejemplo: Stateful Access List 5000>entry 1 conn-limit 3 32

s) ENTRY <id> TCP-FLAGS Permite seleccionar un paquete según los valores de los flags TCP del paquete. Se especifica un valor (o un “OR” de ellos) y una máscara (Conjunto de ellos). El valor del flag TCP se ajusta a la siguiente tabla:

U, URG. 0x20 Urgent pointer valid flag. A, ACK. 0x10 Acknowledgment number valid flag. P, PSH. 0x08 Push flag. R, RST. 0x04 Reset connection flag. S, SYN. 0x02 Synchronize sequence numbers flag. F, FIN. 0x01 End of data flag.

Sintaxis:

Stateful Access List #>entry <id> tcp-flags <flags> <mask>

Ejemplo: Stateful Access List #>entry <id> tcp-flags 2 2 Stateful Access List 5000>

t) ENTRY <id> SOURCE ADDRESS Permite seleccionar un paquete según su IP de origen. Se puede especificar una IP o una red o un rango. Si no se especifica máscara se supone máscara de host. Sintaxis:

Stateful Access List #>entry <id> source address <ip> [mask <mask>] Stateful Access List #>entry <id> source address [range] <iplow> <iphigh>

Ejemplo: Stateful Access List 5000>entry 1 source address 2.2.2.0 mask 255.255.255.0 Stateful Access List 5000>

Ejemplo: Stateful Access List 5000>entry 1 source address range 2.2.2.1 2.2.2.100 Stateful Access List 5000>

II - 37 Doc.DM752

Rev.10.91

u) ENTRY <id> SOURCE TCP PORT Se permite especificar un puerto o rango de puertos origen TCP. El paquete debe ser TCP para encajar en este criterio. Sintaxis:

Stateful Access List #>entry <id> source tcp port <low-port> <high-port>

Ejemplo: Stateful Access List 5000>entry 1 source tcp port 10000 12000 Stateful Access List 5000>

v) ENTRY <id> SOURCE UDP PORT Se permite especificar un puerto o rango de puertos origen UDP. El paquete debe ser UDP para encajar en este criterio. Sintaxis:

Stateful Access List #>entry <id> source udp port <low-port> <high-port>

Ejemplo: Stateful Access List 5000>entry 1 source udp port 10000 12000 Stateful Access List 5000>

w) ENTRY <id> STRING Permite especificar una cadena de texto, el sistema AFS recorre el paquete en busca de esa cadena, si está dentro del paquete se considera que el paquete encaja. Por defecto la comparación no es sensible a las mayúsculas, pero con la opción case-sensitive se realiza la comparación teniéndolas en cuenta. Opcionalmente se permite especificar un punto inicial de búsqueda y un punto final. Sintaxis:

Stateful Access List #>entry <id> string <s> [case-sensitive] [from <fm>] [to <to>]

Ejemplo: Stateful Access List 5000>entry 1 string “www.teldat.com” Stateful Access List 5000>

x) ENTRY <id> STUN Permite filtrar los paquetes que transportan protocolo STUN, tanto TCP como UDP. El protocolo STUN se define en la RFC 5389 "Session Traversal Utilities for NAT (STUN)". Sintaxis:

Stateful Access List #>entry <id> stun

Ejemplo: Stateful Access List 5000> entry 1 stun Stateful Access List 5000>

y) ENTRY <id> RTP Los flujos UDP son analizados automáticamente para descubrir el tráfico RTP. Si un paquete pertenece a un flujo clasificado como RTP se considera que encaja con este criterio. Se permite además filtrar por el tipo de tráfico transportado por el RTP: audio, video o por el payload-type definido. Sintaxis:

Stateful Access List #>entry <id> rtp <audio | video | payload-type <type>>

II - 38 Doc.DM752

Rev.10.91

Ejemplo: Stateful Access List 5000> entry 1 rtp Stateful Access List 5000>

z) ENTRY <id> SESSION EXPIRE El criterio de selección es el tiempo de vida que le queda a la sesión. Permite especificar un intervalo de tiempo. Sintaxis:

Stateful Access List #>entry <id> session expire <seconds>

Ejemplo: Stateful Access List 5000>entry 3 session expire 500 Stateful Access List 5000>

aa) ENTRY <id> SESSION STATE El criterio de selección es el estado de la sesión, esto es, si es nueva, ya esta establecida, se le esta haciendo NAT de origen o destino. Sintaxis:

Stateful Access List #>entry <id> session state <state>

Los estados posibles para una sesión son los siguientes: invalid La sesión está en estado invalido, lista para ser borrada. new La sesión es nueva, es el primer paquete para esta sesión. established La sesión está establecida. awaited La sesión es esperada por algún ALG. untrack El paquete IP no tiene sesión, no ha podido ser creada. source-nat Se esta aplicando NAT en origen a la sesión. destination-nat Se esta aplicando NAT en destino a la sesión. Ejemplo:

Stateful Access List 5000>entry 3 session expire established Stateful Access List 5000>

bb) ENTRY <id> SESSION-MARK El criterio de selección es la marca de la sesión. Inicialmente las sesiones se crean con una marca de valor 0. Mediante este comando se pueden seleccionar las sesiones cuya marca coincida con la dada. Opcionalmente se puede definir una máscara para especificar los bits de la máscara a consultar. Este criterio permite, por ejemplo, marcar mediante Policy Routing las sesiones que accedan a determinada URL, y seleccionarlas mediante dicha marca en BRS para priorizarlas adecuadamente. Sintaxis:

Stateful Access List #>entry <id> session-mark <mark-value> [mask <mask-value>]

Los valores a configurar son los siguientes: id Identificador de la entrada a configurar. mark-value Valor que debe llevar la marca de sesión. mask-value Máscara que especifica qué bits de la marca de sesión se van a

comprobar.

II - 39 Doc.DM752

Rev.10.91

Ejemplo: Stateful Access List 5000>entry 3 session-mark 1 Stateful Access List 5000>

cc) ENTRY <id> HTTP-FILTER Se permite realizar un filtrado de páginas Web, de modo que se prohíbe el acceso a aquellas que tienen un contenido no deseado. Dicho contenido no deseado, o las propias direcciones urls de las páginas consideradas con contenido no deseado, se especifican en un archivo de configuración, cuyo formato se explica a continuación. El equipo se descarga mediante el protocolo tftp el archivo de configuración indicado. Mediante este comando se especifica la dirección ip del servidor tftp que tiene el archivo, junto con el nombre de dicho archivo de configuración: Sintaxis:

Stateful Access List #>entry <id> http-filter <server-ip> <file-name>

Los valores a configurar son los siguientes: id Identificador de la entrada a configurar. server-ip Dirección IP del servidor TFTP. file-name Nombre del archivo a recibir con la configuración. Ejemplo:

Stateful Access List 5000>entry 3 http-filter 192.168.212.19 example Stateful Access List 5000>

A continuación se va a describir el formato que debe seguir el archivo de configuración, mediante el siguiente ejemplo: Ejemplo:

[<config>] refresh-interval = 3600 [<template>] <html> <head> <title>Teldat Filtering Acceso denegado</title> <meta http-equiv="content-type" content="text/html; charset=utf-8"> </head> <body bgcolor=#FFFFFF> <center> <table border=0 cellspacing=0 cellpadding=2 height=540 width=700> <tr> <td colspan=2 bgcolor=#FEA700 height=100 align=center> Acceso denegado! </td> </tr> <tr> <td colspan=2 bgcolor=#FFFACD height=30 align=right> </td> </tr> <tr> <td width=550 bgcolor=#FFFFFF align=center valign=center>

II - 40 Doc.DM752

Rev.10.91

El acceso a la pagina web ha sido denegado Usted esta viendo este mensaje de error porque la pagina a la que intenta acceder contiene, o esta clasificada como conteniendo, material que se considera inapropiado. Si tiene preguntas, por favor pongase en contacto con el Administrador de Sistemas o el Administrador de la Red. </td> </tr> </table> </body> </html> [<urls>] www.marca.com www.sport.es 198.66.198.103 198.66.198.55 [<words>] sexo [<white-urls>] www.elpais.es

1.- En primer lugar, si se desea, se puede configurar el intervalo de actualización del archivo, es decir, el tiempo que debe transcurrir para que el equipo solicite de nuevo al servidor el archivo. Para ello hay que introducir la etiqueta [<config>], y en la línea siguiente el valor deseado para el intervalo de actualización, en este ejemplo, el equipo solicita el archivo cada hora (3600 segundos). Si no se especifica ningún valor, el intervalo de actualización es de 1 día por defecto. 2.- A continuación, se puede introducir la página http de error que se desea mostrar en caso de que se haya intentado acceder a una página no deseada. Para ello hay que introducirla a continuación de la etiqueta [<template>]. 3.- Por último se debe introducir la configuración para realizar el filtrado de las páginas Web, ya sea por su contenido o por su dirección url. Para ello se pueden introducir:

- la lista de direcciones urls (o direcciones IP) de las páginas que se consideran que contienen contenido no deseado, a continuación de la etiqueta [<urls>]. - la lista de palabras consideradas como contenido no deseado, a continuación de la etiqueta [<words>]. - la lista de dirección urls de las páginas que se consideran de confianza, es decir, de las que no se va a buscar en su contenido por si contienen las palabras no deseadas, a continuación de la etiqueta [<white-urls>].

Hay que tener en cuenta que para que el filtrado por contenido funcione, el contenido de la página solicitada no puede estar codificado; para asegurarse de que esto no ocurre se puede utilizar el comando “http force-identity-encoding” de NAT (ver manual Dm788 “Nuevo Protocolo NAT”).

dd) ENTRY <id> WEBSTR Permite filtrar paquetes por contenido dentro de host o URL. Sintaxis:

Stateful Access List #>entry <id> webstr [host|url] <1..150 chars>

II - 41 Doc.DM752

Rev.10.91

Ejemplo: Stateful Access List 5000> entry 1 webstr

ee) ENTRY <id> WEBURL Permite filtrar paquetes por contenido. Busca texto o expresiones regulares dentro de los paquetes. Sintaxis:

Stateful Access List #>entry <id> weburl [regex|text] <1..150 chars>

Ejemplo: Stateful Access List 5000> entry 1 weburl regex “textoquequierobuscar*”

6.3. NO


Stateful Access List #>no ? entry Configure an entry for this access-list

a) NO ENTRY Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista que se desea eliminar. Sintaxis:

Stateful Access List #>no entry <id>

Ejemplo:

Stateful Access List 5000>no entry 3 Stateful Access List 50000>


II - 42 Doc.DM752

Rev.10.91

7. Show Config

Show Config es una herramienta de la consola de configuración (PROCESS 4), que permite listar los comandos necesarios para configurar el router a partir de una configuración vacía (no conf). Este comando se puede utilizar, tanto para copiar configuraciones, como para listarlas, o simplemente para visualizarlas. Show Config parte de la configuración definida internamente por defecto, generando los comandos de la parte de configuración que difiere de ésta. Show Config puede incorporar comentarios, que van después de punto y coma (‘;’). El comando se puede ejecutar desde cualquier menú, mostrando la configuración introducida en todos los submenús que cuelgan del actual. Ejemplo:

Access Lists config>show conf ; Showing Menu and Submenus Configuration ... ; C3G IPSec Router 1 29 Version 10.1.xPA access-list 1 ; entry 1 default entry 1 permit entry 1 source address 192.60.1.24 255.255.255.255 ; entry 2 default entry 2 permit ; exit ; access-list 100 ; entry 1 default entry 1 permit entry 1 source address 172.34.53.23 255.255.255.255 entry 1 protocol-range 10 255 ; entry 2 default entry 2 deny ; exit ; Access Lists config>

Con la lista de comandos obtenidos en el show config se puede copiar, editar, modificándola, de manera que puede servir como plantilla para posteriores configuraciones.


II - 43 Doc.DM752

Rev.10.91

8. Ejemplo práctico

Se trata de crear una nueva red privada virtual (VPN) entre el Host A y el Host B. El resto del tráfico entre las redes privadas se deja pasar de modo normal. Crearemos un Túnel IPSec entre ambos Host. Para ello en primer lugar se debe crear la Lista de Control de Acceso que utiliza IPSec como filtro de tráfico. En este ejemplo solamente se muestra cómo se hace la configuración de las Listas de Acceso y la asociación del Túnel IPSec a la misma.

Red Pública

Router 2

Red Privada 2

HOST B172.60.1.163

Router 1

Red Privada 1

HOST A172.24.51.57

200.200.200.1 200.200.200.2

• Creación de las listas de control de acceso La configuración que se debe introducir al Router 1 es:

Config>feature access-lists -- Access Lists user configuration -- Access Lists config>access-list 101 Extended Access List 101>entry 1 source address 172.24.51.57 255.255.255.255 Extended Access List 101>entry 1 destination address 172.60.1.163 255.255.255.255 Extended Access List 101>

La lista de acceso configurada queda por tanto:

Extended Access List 101>list all-entries Extended Access List 101, assigned to no protocol 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Extended Access List 101>

Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión introduciendo ésta en la consola tal y como aparece:


II - 44 Doc.DM752

Rev.10.91

Extended Access List 101>show conf ; Showing Menu and Submenus Configuration ... ; C3G IPSec Router 1 29 Version 10.1.xPA entry 1 default entry 1 permit entry 1 source address 172.24.51.57 255.255.255.255 entry 1 destination address 172.60.1.163 255.255.255.255 ; Extended Access List 101>

La configuración que se debe introducir al Router 2 es:

Config>feature access-lists -- Access Lists user configuration -- Access Lists config>access-list 101 Extended Access List 101>entry 1 source address 172.60.1.163 255.255.255.255 Extended Access List 101>entry 1 destination address 172.24.51.57 255.255.255.255 Extended Access List 101>

La lista de acceso configurada queda por tanto:

Extended Access List 101>list all-entries Extended Access List 101, assigned to no protocol 1 PERMIT SRC=172.60.1.163/32 DES=172.24.51.57/32 Conn:0 Extended Access List 101>


Extended Access List 101>show conf ; Showing Menu and Submenus Configuration ... ; C3G IPSec Router 1 29 Version 10.1.xPA entry 1 default entry 1 permit entry 1 source address 172.60.1.163 255.255.255.255 entry 1 destination address 172.24.51.57 255.255.255.255 ; Extended Access List 101>

• Asociación de Lista de acceso a Protocolo IPSec Para completar las bases de datos de políticas de Seguridad (SPD) IPSec, es necesario “mapear” los elementos de la Lista de Control de Acceso a los Templates elegidos. En este caso la operación es la misma en los dos routers, debido a que en los dos routers se ha puesto la Lista de Control de Acceso con el mismo identificador (101).


II - 45 Doc.DM752

Rev.10.91

Config>p ip -- Internet protocol user configuration -- IP config>ipse -- IPSec user configuration -- IPSec config>assign-access-list 101 IPSec config>template 2 def IPSec config>map-template 101 2 IPSec config>


IPSec config>show conf ; Showing Menu and Submenus Configuration ... ; C3G IPSec Router 1 29 Version 10.1.xPA assign-access-list 101 ; template 2 default template 2 manual esp des md5 ; map-template 101 2 IPSec config>

Capítulo 3 Monitorización

ROUTER TELDAT – Control de acceso Monitorización

III - 47 Doc.DM752

Rev.10.91

1. Comandos de Monitorización

En esta sección se detallan los comandos que permiten utilizar las herramientas de monitorización de la facilidad de Listas de Control de Acceso. Para poder introducir estos comandos es necesario acceder al prompt de monitorización de la facilidad de Listas de Acceso. Para acceder al entorno de monitorización de la facilidad de Listas de Acceso, se debe introducir el comando FEATURE ACCESS-LISTS en el prompt de monitorización general (+). Ejemplo:

+ feature access-lists -- Access Lists user console -- Access Lists+

El router dispone de una caché que mantiene las últimas direcciones encontradas, con el fin de que el periodo de búsqueda dentro de las Lista de Acceso se minimice. En los listados se indica las entradas de cada Lista que están introducidas en la caché. Dentro del entorno de monitorización de la facilidad de Lista de Control de Acceso se dispone de los siguientes comandos: Comando Función ? (AYUDA) Lista los comandos u opciones disponibles. LIST Muestra la configuración de las listas de acceso. CLEAR-CACHE Borra todas las entradas en la caché de Listas de Acceso. SET-CACHE-SIZE Configura el número disponible de entradas de caché. SHOW-HANDLES Al listar presenta los manejadores asociados. HIDE-HANDLES Al listar oculta los manejadores asociados.

1.1. ? (AYUDA)


Access Lists+?

Ejemplo: Access Lists+? list Displays the access lists configuration clear-cache Deletes all the entries in an access lists cache set-cache-size Configures the available number of cache entries show-handles Makes the associated handles to be shown when listing hide-handles Makes the associated handles to stay hidden when listing exit Exit to parent menu Access Lists+


III - 48 Doc.DM752

Rev.10.91

1.2. LIST

El comando LIST muestra la información de configuración de la Listas de Control de Acceso que están activas. Como estadístico interesante, aparece el número de ocurrencias que se han dado en una entrada, es decir el número de veces que un paquete ha coincido con las sentencias de la entrada (Hits). El router dispone una caché que mantiene las últimas direcciones encontradas, con el fin de que el periodo de búsqueda dentro de las Lista de Acceso se minimice. En algunos listados se indican las entradas de cada Lista que están introducidas en la caché. Sintaxis:

Access Lists+list ? all Displays the whole access lists configuration and entries information cache Displays only access lists entry cache information entries Displays only the active access lists entries configuration

a) LIST ALL Muestra todas las entradas de configuración de las Listas de Control de Acceso, es decir, toda la configuración de la misma. Se presentan las entradas configuradas y las que están dentro de la caché. Este comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar. Las listas de acceso stateful no pueden ser listadas, por lo que no aparecen al ejecutar este comando. Sintaxis:

Access Lists+list all ? all-access-lists Displays information for all active access lists address-filter-access-lists Displays information for access lists that match an address search pattern access-list Displays information for a specified access list

• LIST ALL ALL-ACCESS-LISTS Muestra todas las listas de control de acceso de la configuración activa. Se presentan las entradas configuradas y las que están dentro de la caché. Ejemplo:

Access Lists+list all all-access-lists Standard Access List 1, assigned to no protocol ACCESS LIST ENTRIES 3 PERMIT SRC=234.233.44.33/32 Hits: 0 1 DENY SRC=192.23.0.22/255.255.0.255 Hits: 0 Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 0

III - 49 Doc.DM752

Rev.10.91

2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33 PROT=21-44 SPORT=34-56 DPORT=2-4 Hits: 0 Extended Access List 101, assigned to IPSec ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Label=22 Hits: 0 2 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 Extended Access List 103, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=1.0.0.0/8 DES=2.0.0.0/8 Conn:0 PROT=23-43 SPORT=23-45 DPORT=23-43 TOS OCTET=0 Hits: 0 Access Lists+

• LIST ALL ADDRESS-FILTER-ACCESS-LISTS Muestra todas entradas de las Listas de Control de Acceso que contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda que introducido a continuación del comando. También se presentan las listas que hay disponibles. Se presentan las entradas configuradas y las que están dentro de la caché Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso. Sintaxis:

Access Lists+list all address-filter-access-lists <direcciónIP> <subred>

Ejemplo: Access Lists+list all address-filter-access-lists 172.24.51.57 255.255.255.255 Standard Access List 1, assigned to no protocol ACCESS LIST ENTRIES Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES Extended Access List 101, assigned to IPSec ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Hits: 0

III - 50 Doc.DM752

Rev.10.91

Extended Access List 103, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES Access Lists+

• LIST ALL ACCESS-LIST Muestra todas las entradas de una Lista de Control de Acceso. Sintaxis:

Access Lists+list all access-list <id>

Ejemplo: Access Lists+list all access-list 100 Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries ACCESS LIST ENTRIES 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 0 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33? PROT=21-44 SPORT=34-56 DPORT=2-4 Hits: 0 Access Lists+

b) LIST CACHE Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las entradas que están en la caché. Este comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar. Con este comando solamente se presenta la información de las entradas que están en la caché. Sintaxis:

Access Lists+list cache ? all-access-lists Displays information for all active access lists address-filter-access-lists Displays information for access lists that match an address search pattern access-list Displays information for a specified access list

• LIST CACHE ALL-ACCESS-LISTS Muestra todas las entradas de las Listas de Control de Acceso que están en la caché. Ejemplo:

Access Lists>list cache all-access-lists Standard Access List 1, assigned to no protocol Extended Access List 100, assigned to IPSec

III - 51 Doc.DM752

Rev.10.91

ACCESS LIST CACHE. Hits = 1, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Hits: 1 Extended Access List 101, assigned to IPSec ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries Extended Access List 103, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries Access Lists+

• LIST CACHE ADDRESS-FILTER-ACCESS-LISTS Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las entradas que están en la caché que contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda que introduce a continuación del comando. Este comando debe ir seguido de otros que permiten especificar con más detalle las Listas de Acceso a mostrar. Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso. Sintaxis:

Access Lists+list cache address-filter-access-lists <direcciónIP> <subred>

Ejemplo: Access Lists+list cache address-filter-access-lists 172.24.51.57 255.255.255.255 Standard Access List 1, assigned to no protocol Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 2, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 2 Extended Access List 101, assigned to IPSec ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries Extended Access List 103, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries Access Lists+

• LIST CACHE ACCESS-LIST Muestra todas las entradas de una Lista de Control de Acceso que están en la caché. Sintaxis:

Access Lists+list cache access-list <id>


III - 52 Doc.DM752

Rev.10.91

Ejemplo: Access Lists+list cache access-list 100 Extended Access List 100, assigned to no protocol ACCESS LIST CACHE. Hits = 0, Miss = 0 Cache size: 32 entries, Promotion zone: 6 entries 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 2 Access Lists+

c) LIST ENTRIES Muestra las entradas de las Listas de Control de Acceso que están en la configuración activa. Este comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar. Con este comando no se presenta la información de las entradas que están en la caché. Sintaxis:

Access Lists+list entries ? all-access-lists Displays information for all active access lists address-filter-access-lists Displays information for access lists that match an address search pattern access-list Displays information for a specified access list

• LIST ENTRIES ALL-ACCESS-LISTS Muestra todas las entradas de la Lista de Control de Acceso de la configuración activa. Ejemplo:

Access Lists+list entries all-access-lists Standard Access List 1, assigned to no protocol ACCESS LIST ENTRIES 3 PERMIT SRC=234.233.44.33/32 Hits: 0 1 DENY SRC=192.23.0.22/255.255.0.255 Hits: 0 Extended Access List 100, assigned to no protocol ACCESS LIST ENTRIES 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 0 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0 Hits: 0 3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33? PROT=21-44 SPORT=34-56 DPORT=2-4 Hits: 0 Extended Access List 101, assigned to IPSec ACCESS LIST ENTRIES 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Hits: 0 2 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

III - 53 Doc.DM752

Rev.10.91

Hits: 0 Extended Access List 103, assigned to no protocol ACCESS LIST ENTRIES 1 PERMIT SRC=1.0.0.0/8 DES=2.0.0.0/8 Conn:0 PROT=23-43 SPORT=23-45 DPORT=23-43 TOS OCTET=0 Hits: 0 Access Lists+

• LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS Muestra todas las entradas de las Listas de Control de Acceso, de la configuración activa, que contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda, que se introduce a continuación del comando. Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso. Sintaxis:

Access Lists+list entries address-filter-access-lists <direcciónIP> <subred>

Ejemplo: Access Lists+list entries address-filter-access-lists 172.24.51.57 255.255.255.255 Standard Access List 1, assigned to no protocol ACCESS LIST ENTRIES Extended Access List 100, assigned to no protocol ACCESS LIST ENTRIES Extended Access List 101, assigned to IPSec ACCESS LIST ENTRIES 1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Hits: 0 Extended Access List 103, assigned to no protocol ACCESS LIST ENTRIES Access Lists+

• LIST ENTRIES ACCESS-LIST Muestra todas las entradas de una Lista de Control de Acceso. Sintaxis:

Access Lists+list entries access-list <id>

Ejemplo: Access Lists+list entries access-list 100 Extended Access List 100, assigned to no protocol ACCESS LIST ENTRIES 1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 PROT=21 Hits: 0 2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

III - 54 Doc.DM752

Rev.10.91

Hits: 0 3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33? PROT=21-44 SPORT=34-56 DPORT=2-4 Hits: 0 Access Lists+

1.3. CLEAR-CACHE

Elimina todas las entradas de una Lista de Control de Acceso concreta de la caché que procesa las Listas de Control de Acceso. Sintaxis:

Access Lists+clear-cache <id>

Ejemplo: Access Lists+clear-cache 100 Cache cleared. Access Lists+

1.4. SET-CACHE-SIZE

Permite configurar el tamaño de la caché para una Lista de Control de Acceso. El tamaño está definido por el número de entradas que permite la caché. Sintaxis:

Access Lists+set-cache-size <id> <tamaño>

Ejemplo: Access Lists+set-cache-size 100 33 Cache cleared. Access Lists+

1.5. SHOW-HANDLES

Al introducir este comando, en entre los datos presentados con el comando LIST, aparece información para depuración en cada entrada.

1.6. HIDE-HANDLES

Al introducir este comando se deshabilita que, entre los datos presentados con el comando LIST, aparezca información para depuración en cada entrada.

Capítulo 4 Anexo

ROUTER TELDAT – Control de acceso Anexo

IV - 56 Doc.DM752

Rev.10.91

1. Puerto Reservados

En los protocolos de nivel de transporte TCP y UDP, ampliamente utilizados sobre IP versión 4 (IPv4) [RFC791], existe un campo denominado “puerto”. Dicho campo consta de 16 bits. Los puertos son usados por TCP para nombrar los extremos de una conexión lógica en la cual se mantiene una conversación. Con el propósito de proporcionar servicios a llamantes desconocidos, se define un puerto de contacto para dicho servicio. Por ello, existe una lista que asigna números de puertos predeterminados a servicios concretos. Para posibles ampliaciones, esta misma asignación de puertos se utiliza con UDP. Los números de puertos están divididos en tres rangos: - Reservados (0-1023) - Registrados (1024-49151) - Dinámicos o privados (49152-65535)

La siguiente lista se muestran algunos de los Puertos Reservados más utilizado: Keyword Decimal Description ------- ------- ----------- ftp-data 20/tcp File Transfer [Default Data] ftp-data 20/udp File Transfer [Default Data] ftp 21/tcp File Transfer [Control] ftp 21/udp File Transfer [Control] telnet 23/tcp Telnet telnet 23/udp Telnet smtp 25/tcp Simple Mail Transfer smtp 25/udp Simple Mail Transfer nameserver 42/tcp Host Name Server nameserver 42/udp Host Name Server domain 53/tcp Domain Name Server domain 53/udp Domain Name Server tftp 69/tcp Trivial File Transfer tftp 69/udp Trivial File Transfer gopher 70/tcp Gopher gopher 70/udp Gopher http 80/tcp World Wide Web HTTP http 80/udp World Wide Web HTTP snmp 161/tcp SNMP snmp 161/udp SNMP snmptrap 162/tcp SNMPTRAP snmptrap 162/udp SNMPTRAP


IV - 57 Doc.DM752

Rev.10.91

2. Protocolos Reservados

En IP versión 4 (IPv4) [RFC791], hay un campo denominado protocolo, el cual identifica el siguiente nivel de protocolo. El campo protocolo consta de 8 bits. En IP versión 6 (IPv6) [RFC1883] este campo se denomina “Next Header”. Asignación de números de Protocolos de Internet: Decimal Keyword Protocol References ------- ------- -------- ---------- 0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883] 1 ICMP Internet Control Message [RFC792] 2 IGMP Internet Group Management [RFC1112] 3 GGP Gateway-to-Gateway [RFC823] 4 IP IP in IP (encapsulation) [RFC2003] 5 ST Stream [RFC1190,RFC1819] 6 TCP Transmission Control [RFC793] 7 CBT CBT [Ballardie] 8 EGP Exterior Gateway Protocol [RFC888,DLM1] 9 IGP any private interior gateway [IANA] (used by Cisco for their IGRP) 10 BBN-RCC-MON BBN RCC Monitoring [SGC] 11 NVP-II Network Voice Protocol [RFC741,SC3] 12 PUP PUP [PUP,XEROX] 13 ARGUS ARGUS [RWS4] 14 EMCON EMCON [BN7] 15 XNET Cross Net Debugger [IEN158,JFH2] 16 CHAOS Chaos [NC3] 17 UDP User Datagram [RFC768,JBP] 18 MUX Multiplexing [IEN90,JBP] 19 DCN-MEAS DCN Measurement Subsystems [DLM1] 20 HMP Host Monitoring [RFC869,RH6] 21 PRM Packet Radio Measurement [ZSU] 22 XNS-IDP XEROX NS IDP [ETHERNET,XEROX] 23 TRUNK-1 Trunk-1 [BWB6] 24 TRUNK-2 Trunk-2 [BWB6] 25 LEAF-1 Leaf-1 [BWB6] 26 LEAF-2 Leaf-2 [BWB6] 27 RDP Reliable Data Protocol [RFC908,RH6] 28 IRTP Internet Reliable Transaction [RFC938,TXM] 29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905,RC77] 30 NETBLT Bulk Data Transfer Protocol [RFC969,DDC1] 31 MFE-NSP MFE Network Services Protocol [MFENET,BCH2] 32 MERIT-INP MERIT Internodal Protocol [HWB] 33 SEP Sequential Exchange Protocol [JC120] 34 3PC Third Party Connect Protocol [SAF3] 35 IDPR Inter-Domain Policy Routing Protocol [MXS1] 36 XTP XTP [GXC] 37 DDP Datagram Delivery Protocol [WXC] 38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1] 39 TP++ TP++ Transport Protocol [DXF] 40 IL IL Transport Protocol [Presotto] 41 IPv6 Ipv6 [Deering] 42 SDRP Source Demand Routing Protocol [DXE1] 43 IPv6-Route Routing Header for IPv6 [Deering] 44 IPv6-Frag Fragment Header for IPv6 [Deering] 45 IDRP Inter-Domain Routing Protocol [Sue Hares]


IV - 58 Doc.DM752

Rev.10.91

46 RSVP Reservation Protocol [Bob Braden] 47 GRE General Routing Encapsulation [Tony Li] 48 MHRP Mobile Host Routing Protocol [David Johnson] 49 BNA BNA [Gary Salamon] 50 ESP Encapsulating Security Payload [RFC1827] 51 AH Authentication Header [RFC1826] 52 I-NLSP Integrated Net Layer Security TUBA [GLENN] 53 SWIPE IP with Encryption [JI6] 54 NARP NBMA Address Resolution Protocol [RFC1735] 55 MOBILE IP Mobility [Perkins] 56 TLSP Transport Layer Security Protocol [Oberg] using Kryptonet key management 57 SKIP SKIP [Markson] 58 IPv6-ICMP ICMP for IPv6 [RFC1883] 59 IPv6-NoNxt No Next Header for IPv6 [RFC1883] 60 IPv6-Opts Destination Options for IPv6 [RFC1883] 61 any host internal protocol [IANA] 62 CFTP CFTP [CFTP,HCF2] 63 any local network [IANA] 64 SAT-EXPAK SATNET and Backroom EXPAK [SHB] 65 KRYPTOLAN Kryptolan [PXL1] 66 RVD MIT Remote Virtual Disk Protocol [MBG] 67 IPPC Internet Pluribus Packet Core [SHB] 68 any distributed file system [IANA] 69 SAT-MON SATNET Monitoring [SHB] 70 VISA VISA Protocol [GXT1] 71 IPCV Internet Packet Core Utility [SHB] 72 CPNX Computer Protocol Network Executive [DXM2] 73 CPHB Computer Protocol Heart Beat [DXM2] 74 WSN Wang Span Network [VXD] 75 PVP Packet Video Protocol [SC3] 76 BR-SAT-MON Backroom SATNET Monitoring [SHB] 77 SUN-ND SUN ND PROTOCOL-Temporary [WM3] 78 WB-MON WIDEBAND Monitoring [SHB] 79 WB-EXPAK WIDEBAND EXPAK [SHB] 80 ISO-IP ISO Internet Protocol [MTR] 81 VMTP VMTP [DRC3] 82 SECURE-VMTP SECURE-VMTP [DRC3] 83 VINES VINES [BXH] 84 TTP TTP [JXS] 85 NSFNET-IGP NSFNET-IGP [HWB] 86 DGP Dissimilar Gateway Protocol [DGP,ML109] 87 TCF TCF [GAL5] 88 EIGRP EIGRP [CISCO,GXS] 89 OSPFIGP OSPFIGP [RFC1583,JTM4] 90 Sprite-RPC Sprite RPC Protocol [SPRITE,BXW] 91 LARP Locus Address Resolution Protocol [BXH] 92 MTP Multicast Transport Protocol [SXA] 93 AX.25 AX.25 Frames [BK29] 94 IPIP IP-within-IP Encapsulation Protocol [JI6] 95 MICP Mobile Internetworking Control Pro. [JI6] 96 SCC-SP Semaphore Communications Sec. Pro. [HXH] 97 ETHERIP Ethernet-within-IP Encapsulation [RDH1] 98 ENCAP Encapsulation Header [RFC1241,RXB3] 99 any private encryption scheme [IANA] 100 GMTP GMTP [RXB5] 101 IFMP Ipsilon Flow Management Protocol [Hinden] 102 PNNI PNNI over IP [Callon] 103 PIM Protocol Independent Multicast [Farinacci]


IV - 59 Doc.DM752

Rev.10.91

104 ARIS ARIS [Feldman] 105 SCPS SCPS [Durst] 106 QNX QNX [Hunter] 107 A/N Active Networks [Braden] 108 IPComp IP Payload Compression Protocol [RFC2393] 109 SNP Sitara Networks Protocol [Sridhar] 110 Compaq-Peer Compaq Peer Protocol [Volpe] 111 IPX-in-IP IPX in IP [Lee] 112 VRRP Virtual Router Redundancy Protocol [Hinden] 113 PGM PGM Reliable Transport Protocol [Speakman] 114 any 0-hop protocol [IANA] 115 L2TP Layer Two Tunneling Protocol [Aboba] 116 DDX D-II Data Exchange (DDX) [Worley] 117 IATP Interactive Agent Transfer Protocol [Murphy] 118 STP Schedule Transfer Protocol [JMP] 119 SRP SpectraLink Radio Protocol [Hamilton] 120 UTI UTI [Lothberg] 121 SMP Simple Message Protocol [Ekblad] 122 SM SM [Crowcroft] 123 PTP Performance Transparency Protocol [Welzl] 124 ISIS over IPv4 [Przygienda] 125 FIRE [Partridge] 126 CRTP Combat Radio Transport Protocol [Sautter] 127 CRUDP Combat Radio User Datagram [Sautter] 128 SSCOPMCE [Waber] 129 IPLT [Hollbach] 130 SPS Secure Packet Shield [McIntosh] 131 PIPE Private IP Encapsulation within IP [Petri] 132 SCTP Stream Control Transmission Protocol [Stewart] 133 FC Fibre Channel [Rajagopal] 134 RSVP-E2E-IGNORE [RFC3175] 135-254 Unassigned [IANA] 255 Reserved [IANA]


IV - 60 Doc.DM752

Rev.10.91

3. Valores de Protocolos en listas “stateful”

En algunos comandos de configuración de las listas stateful se hace refencia al valor de protocolo. Estos son los valores permitidos. 3com-amp3 3Com AMP3 3com-tsmux 3Com TSMUX 3pc Third Party Connect Protocol 914c/g Texas Instruments 914 Terminal 9pfs Plan 9 file service acap ACAP acas ACA Services accessbuilder Access Builder accessnetwork Access Network acp Aeolon Core Protocol acr-nema ACR-NEMA Digital Img aed-512 AED 512 Emulation service agentx AgentX alpes Alpes aminet AMInet an Active Networks anet ATEXSSTR ansanotify ANSA REX Notify ansatrader ansatrader aodv AODV aol-messenger AOL Instant Messenger Chat Messages apertus-ldp Apertus Tech Load Distribution appleqtc Apple Quick Time appleqtcsrvr appleqtcsrvr applix Applix ac arcisdms arcisdms argus ARGUS ariel1 Ariel1 ariel2 Ariel2 ariel3 Ariel3 aris ARIS arns A remote network server system as-servermap AS Server Mapper asa ASA Message router object def asa-appl-proto asa-appl-proto asip-webadmin AppleShare IP WebAdmin asipregistry asipregistry at-3 AppleTalk Unused at-5 AppleTalk Unused at-7 AppleTalk Unused at-8 AppleTalk Unused at-echo AppleTalk Echo at-nbp AppleTalk Name Binding


IV - 61 Doc.DM752

Rev.10.91

at-rtmp AppleTalk Routing Maintenance at-zis AppleTalk Zone Information audit Unisys Audit SITP auditd Digital Audit daemon aurora-cmgr Aurora CMGR aurp Appletalk Update-Based Routing Pro. auth Authentication Service avian avian ax25 AX.25 Frames banyan-rpc banyan-rpc banyan-vip banyan-vip bbnrccmon BBN RCC Monitoring bdp Bundle Discovery protocol bftp Background File Transfer Program bgmp BGMP bgp Border Gateway Protocol bgs-nsi bgs-nsi bhevent bhevent bhfhs bhfhs bhmds bhmds bl-idm Britton Lee IDM bmpp bmpp bna BNA bnet bnet borland-dsj borland-dsj br-sat-mon Backroom SATNET Monitoring CAIlic Computer Associates Intl License Server cab-protocol CAB Protocol cableport-ax Cable Port A/X cadlock cadlock cbt CBT cdc Certificate Distribution Center cfdptkt cfdptkt cftp CFTP chaos Chaos chargen Character Generator chshell chcmd cifs Common Internet File System cimplex cimplex cisco-fna cisco FNATIVE cisco-phone Cisco IP Phones and PC-Based Unified Communicators cisco-sys cisco SYSMAINT cisco-tdp Cisco TDP cisco-tna cisco TNATIVE citrix Citrix ICA traffic clearcase Clear Case Protocol Software Informer cloanto-net-1 cloanto-net-1 cmip-agent CMIP/TCP Agent cmip-man CMIP/TCP Manager


IV - 62 Doc.DM752

Rev.10.91

coauthor oracle codaauth2 codaauth2 collaborator collaborator commerce commerce compaq-peer Compaq Peer Protocol compressnet Management Utility comscm comscm con con conference chat connendp almanid Connection Endpoint contentserver contentserver corba-iiop Corba Internet Inter-Orb Protocol (IIOP) corerjd corerjd courier rpc covia Communications Integrator cphb Computer Protocol Heart Beat cpnx Computer Protocol Network Executive creativepartnr creativepartnr creativeserver creativeserver crs crs crtp Combat Radio Transport Protocol crudp Combat Radio User Datagram cryptoadmin Crypto Admin csi-sgwp Cabletron Management Protocol csnet-ns Mailbox Name Nameserver ctf Common Trace Facility cuseeme Desktop Video Conferencing custix Customer Ixchange cvc_hostd cvc_hostd cybercash cybercash cycleserv cycleserv cycleserv2 cycleserv2 dantz dantz dasp dasp datasurfsrv DataRamp Svr datasurfsrvsec DataRamp Svr svs datex-asn datex-asn daytime Daytime Protocol dbase dBASE Unix dccp Datagram Congestion Control Protocol dcn-meas DCN Measurement Subsystems dcp Device Control Protocol dctp dctp ddm-dfm DDM Distributed File management ddm-rdb DDM-Remote Relational Database Access ddm-ssl DDM-Remote DB Access Using Secure Sockets ddp Datagram Delivery Protocol ddx D-II Data Exchange decap decap


IV - 63 Doc.DM752

Rev.10.91

decauth decauth decbsrv decbsrv decladebug DECLadebug Remote Debug Protocol decvms-sysmgt decvms-sysmgt dec_dlm dec_dlm dei-icda dei-icda deos Distributed External Object Store device device dgp Dissimilar Gateway Protocol dhcp Dynamic Host Configuration Protocol/Bootstrap Protocol dhcp-failover DHCP Failover dhcp-failover2 dhcp-failover2 dhcpv6-client DHCPv6 Client dhcpv6-server DHCPv6 Server digital-vrc digital-vrc directconnect Direct Connect File Transfer Traffic directplay DirectPlay directplay8 DirectPlay8 directv-catlg Direct TV Data Catalog directv-soft Direct TV Software Updates directv-tick Direct TV Tickers directv-web Direct TV Webcasting discard Discard disclose campaign contribution disclosures dixie DIXIE Protocol Specification dls Directory Location Service dls-mon Directory Location Service Monitor dn6-nlm-aud DNSIX Network Level Module Audit dna-cml DNA-CML dns Domain Name System dnsix DNSIX Securit Attribute Token Map doom Doom dpsi dpsi dsfgw dsfgw dsp Display Support Protocol dsp3270 Display Systems Protocol dsr Dynamic Source Routing Protocol dtag-ste-sb DTAG dtk dtk dwr dwr echo Echo Protocol egp Exterior Gateway Protocol eigrp Enhanced Interior Gateway Routing Protocol elcsd errlog copy/server daemon embl-ndt EMBL Nucleic Data Transfer emcon EMCON emfis-cntl EMFIS Control Service emfis-data EMFIS Data Service encap Encapsulation Header


IV - 64 Doc.DM752

Rev.10.91

entomb entomb entrust-aaas entrust-aaas entrust-aams entrust-aams entrust-ash Entrust Administration Service Handler entrust-kmsh Entrust Key Management Service Handler entrust-sps entrust-sps erpc Encore Expedited Remote Pro.Call escp-ip escp-ip esro-emsdp ESRO-EMSDP V1.3 esro-gen Efficient Short Remote Operations etherip Ethernet-within-IP Encapsulation eudora-set Eudora Set exchange MS-RPC for Exchange exec remote process execution; fatserv Fatmen Server fc Fibre Channel fcp FirstClass Protocol finger Finger User Information Protocol fire FIRE flexlm Flexible License Manager fln-spx Berkeley rlogind with SPX auth ftp-agent FTP Software Agent System ftp-data File Transfer ftps-data ftp protocol, data, over TLS/SSL fujitsu-dev Fujitsu Device Control gacp Gateway Access Control Protocol gdomap gdomap genie Genie Protocol genrad-mux genrad-mux ggf-ncp GNU Generation Foundation NCP ggp Gateway-to-Gateway ginad ginad gmtp GMTP go-login go-login gopher Gopher graphics Graphics gre General Routing Encapsulation groove groove gss-http gss-http gss-xlicen GNU Generation Foundation NCP gtp-user GTP-User Plane ha-cluster ha-cluster hap hap hassle hassle hcp-wismar Hardware Control Protocol Wismar hdap hdap hello-port HELLO_PORT hems hems hip Host Identity Protocol


IV - 65 Doc.DM752

Rev.10.91

hmmp-ind HMMP Indication hmmp-op HMMP Operation hmp Host Monitoring hopopt IPv6 Hop-by-Hop Option hostname NIC Host Name Server hp-alarm-mgr hp performance data alarm manager hp-collector hp performance data collector hp-managed-node hp performance data managed node http Hypertext Transfer Protocol http-alt HTTP Alternate http-mgmt http-mgmt http-rpc-epmap HTTP RPC Ep Map hybrid-pop hybrid-pop hyper-g hyper-g hyperwave-isp hyperwave-isp i-nlsp Integrated Net Layer Security TUBA iafdbase iafdbase iafserver iafserver iasd iasd iatp Interactive Agent Transfer Protocol ibm-app IBM Application ibm-db2 IBM Information Management ibprotocol Internet Backplane Protocol iclcnet-locate ICL coNETion locate server iclcnet_svinfo ICL coNETion server info icmp Internet Control Message Protocol idfp idfp idpr Inter-Domain Policy Routing Protocol idpr-cmtp IDPR Control Message Transport Proto idrp Inter-Domain Routing Protocol ieee-mms ieee-mms ieee-mms-ssl ieee-mms-ssl ifmp Ipsilon Flow Management Protocol igmp Internet Group Management Protocol igmp Internet Group Management Protocol igrp Cisco interior gateway iiop iiop il IL Transport Protocol imap Internet Message Access Protocol imsp Interactive Mail Support Protocol inbusiness inbusiness infoseek InfoSeek ingres-net INGRES-NET Service intecourier intecourier integra-sme Integra Software Management Environment intrinsa intrinsa ipcd ipcd ipcomp IP Payload Compression Protocol ipcserver Sun IPC server


IV - 66 Doc.DM752

Rev.10.91

ipcv Internet Packet Core Utility ipdd ipdd ipinip IP in IP ipip IP-within-IP Encapsulation Protocol iplt IPLT ipp Internet Printing Protocol ippc Internet Pluribus Packet Core ipsec IP Encapsulating Security Payload - Authentication-Header ipv6-frag Fragment Header for IPv6 ipv6-icmp ICMP for IPv6 ipv6-nonxt No Next Header for IPv6 ipv6-opts Destination Options for IPv6 ipv6-route Routing Header for IPv6 ipv6inip Ipv6 encapsulated ipx Internet Packet Exchange ipx-in-ip IPX in IP irc Internet Relay Chat irc-serv IRC-SERV irtp Internet Reliable Transaction is99c TIA/EIA/IS-99 modem client is99s TIA/EIA/IS-99 modem server isakmp Internet Security Association & Key Management Protocol isi-gl Interoperable Self Installation Graphics Language isis ISIS over IPv4 iso-ill ISO ILL Protocol iso-ip iso-ip iso-tp0 iso-tp0 iso-tp4 ISO Transport Protocol Class 4 iso-tp4 ISO Transport Protocol Class 4 iso-tsap ISO-TSAP Class 0 iso-tsap-c2 ISO Transport Class 2 Non-Control itm-mcell-s itm-mcell-s jargon Jargon Konspire2b konspire2b p2p network k-block k-block kali kali kerberos Kerberos Network Authentication Service keyserver Key Server kis KIS Protocol klogin KLogin knet-cmp KNET/VM Command/Message Protocol kpasswd kpasswd kryptolan kryptolan kshell KShell l2tp L2F/L2TP Tunnel la-maint IMP Logical Address Maintenance lanserver lanserver larp Locus Address Resolution Protocol ldap Lightweight Directory Access Protocol


IV - 67 Doc.DM752

Rev.10.91

ldp LDP leaf-1 Leaf-1 leaf-2 Leaf-2 legent-1 Legent Corporation legent-2 Legent Corporation ljk-login ljk-login lockd LockD locus-con Locus PC-Interface Conn Server locus-map Locus PC-Interface Net Map Ser mac-srvr-admin MacOS Server Admin magenta-logic magenta-logic mailbox-lm mailbox-lm mailq MAILQ maitrd maitrd manet MANET Protocols mapi Messaging Application Programming Interface masqdialer masqdialer matip-type-a MATIP Type A matip-type-b MATIP Type B mcidas McIDAS Data Transmission Protocol mcns-sec mcns-sec mdc-portmapper mdc-portmapper mecomm mecomm meregister meregister merit-inp MERIT Internodal Protocol meta5 meta5 metagram metagram meter meter mfcobol Micro Focus Cobol mfe-nsp MFE Network Services Protocol mftp mftp mgcp Media Gateway Control Protocol micom-pfs micom-pfs micp Mobile Internetworking Control Pro. micromuse-lm micromuse-lm microsoftds Microsoft Directory Services mit-dov MIT Dover Spooler mit-ml-dev MIT ML Device mobile IP Mobility mobileip-agent mobileip-agent mobilip-mn mobilip-mn mondex mondex monitor monitor mortgageware mortgageware mpls-in-ip MPLS-in-IP mpm Message Processing Module mpm-flags MPM FLAGS Protocol mpm-snd MPM [default send] mpp Netix Message Posting Protocol


IV - 68 Doc.DM752

Rev.10.91

mptn Multi Protocol Trans. Net mrm mrm ms-olap Microsoft OLAP ms-rome microsoft rome ms-shuttle microsoft shuttle ms-sql-m Microsoft-SQL-Monitor msdp msdp msexch-routing MS Exchange Routing msft-gc Microsoft Global Catalog msft-gc-ssl Microsoft Global Catalog with LDAP/SSL msg-auth msg-auth msg-icp msg-icp msn-messenger MSN Messenger Chat Messages msnp msnp msp Message Send Protocol mtp Multicast Transport Protocol multiling-http Multiling HTTP multiplex Network Innovations Multiplex mumps Plus Fives MUMPS mux Multiplexing mylex-mapd mylex-mapd mysql MySQL name Host Name Server namp namp narp NBMA Address Resolution Protocol nas Netnews Administration System nced nced ncld ncld ncp NCP ndsauth NDSAUTH nest-protocol nest-protocol net-assistant net-assistant net8-cman Oracle Net8 CMan Admin netbios NetBIOS over IP (MS Windows) netblt Bulk Data Transfer Protocol netgw netgw netnews readnews netrcs Network based RCS netrjs-1 Remote Job Service netrjs-2 Remote Job Service netrjs-3 Remote Job Service netrjs-4 Remote Job Service netsc-dev NETSC netsc-prod NETSC netviewdm1 IBM NetView DM netviewdm2 IBM NetView DM netviewdm3 IBM NetView DM netwall for emergency broadcasts netware-ip Novell Netware over IP


IV - 69 Doc.DM752

Rev.10.91

new-rwho new who nextstep NextStep Window Server nfs Network File System ni-ftp NI FTP ni-mail NI MAIL nicname Who Is nlogin nlogin nmap nmap nmsp Networked Media Streaming Protocol nnsp nnsp nntp Network News Transfer Protocol notes Lotus Notes(R) novadigm Novadigm Enterprise Desktop Manager (EDM) novastorbakcup Novastor Backup npmp-gui npmp-gui npmp-local npmp-local npmp-trap npmp-trap npp Network Payment Protocol nqs nqs ns ns nsfnet-igp NSFNET-IGP nsiiops IIOP Name Service over TLS/SSL nsrmp Network Security Risk Management Protocol nss-routing NSS-Routing nsw-fe NSW User System FE ntalk ntalk ntp Network Time Protocol nvp-ii Network Voice Protocol nxedit nxedit obex obex objcall Tivoli Object Dispatcher ocbinder ocbinder ocserver ocserver ocs_amu ocs_amu ocs_cmu ocs_cmu odmr odmr ohimsrv ohimsrv olsr olsr omginitialrefs omginitialrefs omserv omserv onmux onmux opalis-rdv opalis-rdv opalis-robot opalis-robot opc-job-start IBM Operations Planning and Control Start opc-job-track IBM Operations Planning and Control Track openport openport openvms-sysipc openvms-sysipc ora-srv Oracle TCP/IP Listener oraclenames oraclenames


IV - 70 Doc.DM752

Rev.10.91

oraclenet8cman Oracle Net8 Cman orbix-config Orbix 2000 Config orbix-loc-ssl Orbix 2000 Locator SSL orbix-locator Orbix 2000 Locator ospf Open Shortest Path First osu-nms OSU Network Monitoring System p++ TP++ Transport Protocol parsec-game Parsec Gameserver passgo passgo passgo-tivoli passgo-tivoli password-chg Password Change pawserv Perf Analysis Workbench pcanywhere Symantic PCAnywhere pcmail-srv PCMail Server pdap Prospero Data Access Protocol peer2peer Match peer to peer traffic personal-link personal-link pftp pftp pgm PGM Reliable Transport Protocol philips-vc Philips Video-Conferencing phonebook Phone photuris photuris pim Protocol Independent Multicast pim-rp-disc PIM-RP-DISC pip pip pipe Private IP Encapsulation within IP pirp pirp pkix-3-ca-ra PKIX-3 CA/RA pkix-timestamp pkix-timestamp pnni PNNI over IP pop2 Post Office Protocol - Version 2 pop3 Post Office Protocol pov-ray pov-ray powerburst Air Soft Power Burst pptp Microsoft Point-to-Point Tunneling Protocol for VPN print-srv Network PostScript printer Printer prm Packet Radio Measurement prm-nm Prospero Resource Manager Node Man prm-sm Prospero Resource Manager Sys. Man profile PROFILE Naming System prospero Prospero Directory Service ptcnameservice PTC Name Service ptp Performance Transparency Protocol ptp-event PTP Event ptp-general PTP General pump pump pup PUP purenoise purenoise


IV - 71 Doc.DM752

Rev.10.91

pvp Packet Video Protocol pwdgen Password Generator Protocol qbikgdp qbikgdp qft Queued File Transport qmqp qmqp qmtp The Quick Mail Transfer Protocol qnx QNX qotd Quote of the Day qrh qrh quotad quotad rap Route Access Protocol rcp Rate Control Protocol rda rda rdb-dbs-disp Oracle Remote Data Base rdp Reliable Data Protocol re-mail-ck Remote Mail Checking Protocol realm-rusd ApplianceWare managment protocol remote-kis remote-kis remotefs rfs server repcmd repcmd repscmd repscmd rescap rescap rip Routing Information Protocol ripng ripng ris Intergraph ris-cm Russell Info Sci Calendar Manager rje Remote Job Entry rlp Resource Location Protocol rlzdbase rlzdbase rmc rmc rmiactivation rmiactivation rmiregistry rmiregistry rmonitor rmonitord rmt Remote MT Protocol rpc2portmap rpc2portmap rrh rrh rrp Registry Registrar Protocol rsh-spx Berkeley rshd with SPX auth rsvd rsvd rsvp Resource Reservation Protocol rsvp-e2e-ignore RSVP-E2E-IGNORE rsvp-e2e-ignore RSVP-E2E-IGNORE rsvp_tunnel rsvp_tunnel rsync rsync rtelnet Remote Telnet Service rtip rtip rtsps RTSPS rushd rushd rvd MIT Remote Virtual Disk Protocol


IV - 72 Doc.DM752

Rev.10.91

rxe rxe s-net Sirius Systems saft saft Simple Asynchronous File Transfer sanity sanity sap System Analysis and Program Development sat-expak SATNET and Backroom EXPAK sat-expak SATNET and Backroom EXPAK sat-mon SATNET Monitoring sat-mon SATNET Monitoring scc-security scc-security scc-sp Semaphore Communications Sec. Pro. scc-sp Semaphore Communications Sec. Pro. sco-dtmgr SCO Desktop Administration Server sco-inetmgr Internet Configuration Manager sco-sysmgr SCO System Administration Server sco-websrvrmg3 SCO Web Server Manager 3 sco-websrvrmgr SCO WebServer Manager scohelp scohelp scoi2odialog scoi2odialog scps SCPS sctp Stream Control Transmission Protocol scx-proxy scx-proxy sdnskmp SDNSKMP sdrp Source Demand Routing Protocol secure-ftp Secure FTP secure-http Secure HTTP secure-imap Secure IMAP secure-irc irc protocol over TLS secure-ldap ldap protocol over TLS secure-nntp nntp protocol over TLS secure-pop3 pop3 protocol over TLS secure-telnet Secure Telnet secure-vmtp SECURE-VMTP semantix semantix send SEND server-ipx Internetwork Packet Exchange Protocol servstat Service Status update set Secure Electronic Transaction sfs-config Cray SFS config server sfs-smp-net Cray Network Semaphore server sftp Simple File Transfer Protocol sgcp sgcp sgmp sgmp sgmp-traps sgmp-traps shockwave Shockwave shrinkwrap shrinkwrap siam siam sift-uft Sender-Initiated/Unsolicited File Transfer silc silc


IV - 73 Doc.DM752

Rev.10.91

sip Session Initiation Protocol sitaradir sitaradir sitaramgmt sitaramgmt sitaraserver sitaraserver skinny Skinny Client Control Protocol skip SKIP skronk skronk sm SM smakynet smakynet smartsdp smartsdp smp Simple Message Protocol smpnameres smpnameres smsd smsd smsp Storage Management Services Protocol smtp Simple Mail Transfer Protocol smux SMUX snagas SNA Gateway Access Server snare snare snmp Simple Network Management Protocol snp Sitara Networks Protocol snpp Simple Network Paging Protocol sntp-heartbeat SNTP HEARTBEAT socks Firewall Security Protocol softpc Insignia Solutions sonar sonar spmp spmp sprite-rpc Sprite RPC Protocol sps Secure Packet Shield spsc spsc sql*net Oracle SQL*NET sql-net SQL-NET sqlexec SQL Exec sqlnet SQL*NET for Oracle sqlserv SQL Services sqlserver Microsoft SQL Server Desktop Videoconferencing src IBM System Resource Controller srmp Spider Remote Monitoring Protocol srp SpectraLink Radio Protocol srssend srssend ss7ns ss7ns sscopmce SSCOPMCE ssh Secured Shell sshell SSLshell sst SCSI on ST st Stream statsrv Statistics Service stmf stmf stp Schedule Transfer Protocol streettalk streettalk


IV - 74 Doc.DM752

Rev.10.91

stun-nat STUN stx Stock IXChange su-mit-tg SU/MIT Telnet Gateway submission submission subntbcst_tftp subntbcst_tftp sun-dr sun-dr sun-nd SUN ND PROTOCOL-Temporary supdup SUPDUP sur-meas Survey Measurement surf surf svrloc Server Location swift-rvf Swift Remote Virtural File Protocol swipe IP with Encryption synoptics-trap Trap Convention Port synotics-broker SynOptics Port Broker Port synotics-relay SynOptics SNMP Relay Port syslog System Logging Utility systat System Statistics tacacs Terminal Access Controller Access-Control System tacnews TAC News talk talk tcf TCF tcp Transmission Control Protocol td-replica Tobit David Replica td-service Tobit David Service Layer teedtap teedtap tell send telnet Telnet Protocol tempo newdate tenfold tenfold texar Texar Security Port ticf-1 Transport Independent Convergence for FNA ticf-2 Transport Independent Convergence for FNA timbuktu Timbuktu time Time timed timeserver tinc tinc tlisrv oracle tlsp Transport Layer Security Protocol tn-tl-fd1 tn-tl-fd1 tnETOS NEC Corporation tns-cml tns-cml tp++ TP++ Transport Protocol tpip tpip trunk-1 Trunk-1 trunk-2 Trunk-2 tserver Computer Supported Telecomunication Applications ttp TTP uaac UAAC Protocol


IV - 75 Doc.DM752

Rev.10.91

uarps Unisys ARPs udp User Datagram Protocol udplite UDPLite uis uis ulistproc List Processor ulp ulp ulpnet ulpnet unidata-ldm Unidata LDM unify Unify ups Uninterruptible Power Supply urm Cray Unified Resource Manager uti UTI utime unixtime utmpcd utmpcd utmpsd utmpsd uucp uucpd uucp-path UUCP Path Service uucp-rlogin uucp-rlogin uuidgen UUIDGEN vacdsm-app VACDSM-APP vacdsm-sws VACDSM-SWS vatp Velazquez Application Transfer Protocol vemmi vemmi vid vid videotex videotex visa VISA Protocol vmnet vmnet vmpwscs vmpwscs vmtp VMTP vnas vnas vnc Virtual Network Computing vpp Virtual Presence Protocol vpps-qua vpps-qua vpps-via vpps-via vrrp Virtual Router Redundancy Protocol vsinet vsinet vslmp vslmp wap-push WAP PUSH wap-push-http WAP Push OTA-HTTP port wap-push-https WAP Push OTA-HTTP secure wap-pushsecure WAP PUSH SECURE wap-vcal WAP vCal wap-vcal-s WAP vCal Secure wap-vcard WAP vCard wap-vcard-s WAP vCard Secure wap-wsp WAP connectionless session service wap-wsp-s WAP secure connectionless session service wap-wsp-wtp WAP session service wap-wsp-wtp-s WAP secure session service


IV - 76 Doc.DM752

Rev.10.91

wb-expak WIDEBAND EXPAK wb-expak WIDEBAND EXPAK wb-mon WIDEBAND Monitoring webster webster whoami whoami whois++ Whois++ winmx WinMX Traffic worldfusion World Fusion wpgs wpgs wsn Wang Span Network x-bone-ctl Xbone CTL xact-backup xact-backup xdmcp X Display Manager Control Protocol xdtp eXtensible Data Transfer Protocol xfer XFER Utility xnet Cross Net Debugger xns-auth XNS Authentication xns-ch XNS Clearinghouse xns-courier Xerox xns-idp XEROX NS IDP xns-mail XNS mail xns-time XNS Time Protocol xtp XTP xvttp xvttp xwindows X11, X Windows xyplex-mux Xyplex yahoo-messenger Yahoo Messenger Chat Messages z39.50 ANSI Z39.50 zannet zannet zserv Zebra server

Manual del Control de acceso en español - asistp.com€¦ · Los routers se sirven de listas de...

Documents

Transcript of Manual del Control de acceso en español - asistp.com€¦ · Los routers se sirven de listas de...