Los administradores utilizan las ACL para detener el trfico o permitir slo el trfico especfico y, al mismo tiempo, para

detener el resto del trfico en sus redes. Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el trfico de entrada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados. El motivo ms importante para configurar las ACL es brindar seguridad a la red. Escribir una ACL puede ser una tarea desafiante y compleja. Cada interfaz puede tener varios protocolos y direcciones definidos. El router del ejemplo tiene dos interfaces configuradas para IP: AppleTalk e IPX. Es probable que este router necesite 12 ACL por separado, una ACL para cada protocolo, multiplicada por dos por cada direccin y por dos por la cantidad de puertos.

Las ACL realizan las siguientes tareas: Limitar el trfico de red para mejorar el rendimiento de sta. Por ejemplo, si la poltica corporativa no permite el trfico de video en la red, pueden configurarse y aplicarse las ACL que bloquean el trfico de video. Esto reduce considerablemente la carga de la red y aumenta su rendimiento. cesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda. e la red y evitar que otro acceda a la misma rea. Por ejemplo, el acceso a la red de Recursos Humanos puede restringirse a determinados usuarios. trfico de correo electrnico, pero bloquear todo el trfico de Telnet. s reas de de la red a las que puede acceder un cliente. un usuario a tipos de archivos, como FTP o HTTP. Diapositiva 9 y 10. La figura muestra la lgica para una ACL de entrada. Si coinciden un encabezado de paquete y una sentencia de ACL, se omite el resto de las sentencias de la lista y el paquete tiene permitido pasar o no, segn la sentencia coincidente. Si el encabezado del paquete no coincide con una sentencia de ACL, el paquete se prueba segn la siguiente sentencia de la lista. Este proceso de coincidencia contina hasta el final de la lista. La figura muestra la lgica para una ACL de salida. Antes de reenviar un paquete a una interfaz de salida, el router verifica la tabla de enrutamiento para ver si el paquete es enrutable. Si no lo es, se descarta. A continuacin, el router verifica si la interfaz de salida se agrupa a una ACL.

Si la interfaz de salida no se agrupa a una ACL de salida, el paquete se enva directamente a la interfaz de salida. Si la interfaz de salida se agrupa a una ACL de salida, el paquete no se enva a una interfaz de salida hasta probarlo segn la combinacin de sentencias de ACL asociadas a la interfaz. De acuerdo con el resultado de las pruebas realizadas por la ACL, el paquete se puede permitir o denegar. ACL estndar Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin global.

ACL extendidas Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor disparidad de control. En la figura, la ACL 103 permite el trfico que se origina desde cualquier direccin en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuracin global. Los comandos para las ACL se explican en los prximos temas.