sábado, 12 de enero de 2008

Semestre 2 CCNA, Módulo 10

Módulo 11: Listas de control de acceso (ACL)

Descripción general

Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red, permitiendo al mismo tiempo el acceso de los usuarios internos a los servicios requeridos. Aunque las herramientas de seguridad, como por ejemplo: las contraseñas, equipos de callback y dispositivos de seguridad física, son de ayuda, a menudo carecen de la flexibilidad del filtrado básico de tráfico y de los controles específicos que la mayoría de los administradores prefieren. Por ejemplo, un administrador de red puede permitir que los usuarios tengan acceso a Internet, pero impedir a los usuarios externos el acceso telnet a la LAN.

Los routers ofrecen funciones del filtrado básico de tráfico, como el bloqueo del tráfico de Internet, mediante el uso de las listas de control de acceso (ACLs). Una ACL es una lista secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior Este módulo introduce las ACL estándar y extendidas como medio de control del tráfico de red y explica de qué manera se utilizan las ACL como parte de una solución de seguridad.

Además, este capítulo incluye consejos, consideraciones, recomendaciones y pautas generales acerca del uso de las ACL e incluye los comandos y configuraciones necesarias para crear las ACL. Finalmente, brinda ejemplos de ACL estándar y extendidas y su aplicación en las interfaces del router.

Las ACL pueden ser tan simples como una sola línea destinada a permitir paquetes desde un host específico o pueden ser un conjunto de reglas y condiciones extremadamente complejas que definan el tráfico de forma precisa y modelen el funcionamiento de los procesos de los routers. Aunque muchos de los usos avanzados de las ACL exceden el alcance de este curso, este módulo ofrece detalles sobre las ACL estándar y extendida, su ubicación adecuada y algunas de las aplicaciones especiales de las mismas.

Los estudiantes que completen este módulo deberán ser capaces de:

* Describir las diferencias entre las ACL estándar y extendida.
* Explicar las reglas para establecer las ACL.
* Crear y aplicar las ACL nombradas.
* Describir las funciones de los firewalls.
* Utilizar las ACL para restringir el acceso a la terminal virtual.

11.1 Aspectos fundamentales de las listas de control de acceso

11.1.1 ¿Qué son las ACL?

Las ACL son listas de condiciones que se aplican al tráfico que viaja a través de la interfaz del router. Estas listas le informan al router qué tipo de paquetes aceptar o rechazar. La aceptación y rechazo se pueden basar en ciertas condiciones específicas. Las ACL permiten la administración del tráfico y aseguran el acceso hacia y desde una red.

Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX). Las ACL se pueden configurar en el router para controlar el acceso a una red o subred.

Las ACL filtran el tráfico de red, controlando si los paquetes enrutados se envían o se bloquean en las interfaces del router. El router examina cada paquete y lo enviará o lo descartará, según las condiciones especificadas en la ACL. Algunos de los puntos de decisión de ACL son direcciones origen y destino, protocolos y números de puerto de capa superior.

Las ACL se definen según el protocolo, la dirección o el puerto. Para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Las ACL controlan el tráfico en una dirección por vez, en una interfaz. Se necesita crear una ACL por separado para cada dirección, una para el tráfico entrante y otra para el saliente. Finalmente, cada interfaz puede contar con varios protocolos y direcciones definidas. Si el router tiene dos interfaces configuradas para IP, AppleTalk e IPX, se necesitan 12 ACLs separadas. Una ACL por cada protocolo, multiplicada por dos por dirección entrante y saliente, multiplicada por dos por el número de puertos.

Estas son las razones principales para crear las ACL:

* Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar el rendimiento de la misma.
* Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda.
* Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Por ejemplo, al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le niega el acceso a dicha red.
* Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Permitir que se enrute el tráfico de correo electrónico, pero bloquear todo el tráfico de telnet.
* Permitir que un administrador controle a cuáles áreas de la red puede acceder un cliente.
* Analizar ciertos hosts para permitir o denegar acceso a partes de una red. Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.

Si las ACL no están configuradas en el router, todos los paquetes que pasen a través del router tendrán acceso a todas las partes de la red.

11.1.2 Funcionamiento de las ACL

Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los paquetes en interfaces entrantes o salientes. Estas decisiones se toman haciendo coincidir una sentencia de condición en una lista de acceso y luego realizando la acción de aceptación o rechazo definida en la sentencia.

El orden en el que se ubican las sentencias de la ACL es importante. El software Cisco IOS verifica si los paquetes cumplen cada sentencia de condición, en orden, desde la parte superior de la lista hacia abajo. Una vez que se encuentra una coincidencia, se lleva a cabo la acción de aceptar o rechazar y no se verifican otras sentencias ACL. Si una sentencia de condición que permite todo el tráfico está ubicada en la parte superior de la lista, no se verifica ninguna sentencia que esté por debajo.

Si se requieren más cantidad de sentencias de condición en una lista de acceso, se debe borrar y volver a crear toda la ACL con las nuevas sentencias de condición. Para que el proceso de revisión de una ACL sea más simple, es una buena idea utilizar un editor de textos como el Bloc de notas y pegar la ACL a la configuración del router.

El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o no. A medida que una trama ingresa a una interfaz, el router verifica si la dirección de Capa 2 concuerda o si es una trama de broadcast. Si se acepta la dirección de la trama, la información de la trama se elimina y el router busca una ACL en la interfaz entrante. Si existe una ACL, entonces se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete cumple las condiciones, se lleva a cabo la acción de aceptar o rechazar el paquete. Si se acepta el paquete en la interfaz, se lo compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino y conmutarlo a aquella interfaz. A continuación, el router verifica si la interfaz destino tiene una ACL. Si existe una ACL, se compara el paquete con las sentencias de la lista y si el paquete concuerda con una sentencia, se lleva a cabo la aceptación o el rechazo del paquete. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el nuevo protocolo de Capa 2 y se envía por la interfaz hacia el dispositivo siguiente.

A manera de revisión, las sentencias de la ACL operan en orden secuencial lógico. Si se cumple una condición, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si todas las sentencias ACL no tienen coincidencias, se coloca una sentencia implícita que dice deny any (denegar cualquiera) en el extremo de la lista por defecto. Aunque la línea deny any no sea visible como última línea de una ACL, está ahí y no permitirá que ningún paquete que no coincida con las líneas anteriores de la ACL sea aceptada. Cuando esté aprendiendo por primera vez cómo crear una ACL, es una buena práctica agregar el deny any al final de las ACL para reforzar la presencia dinámica de la prohibición implícita deny.

11.1.3 Creación de las ACL

Las ACL se crean en el modo de configuración global. Existen varias clases diferentes de ACLs: estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL debe identificarse de forma única, asignándole un número. Este número identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango específico de números que es válido para ese tipo de lista.

Después de ingresar al modo de comando apropiado y que se decide el número de tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando access-list, seguida de los parámetros necesarios. Estando en el modo de comandos adecuado y definido el tipo de número de lista, el usuario tipea las condiciones usando el comando access-list seguido de los parámetros apropiados. Este es el primero de un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada.

En TCP/IP, las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o saliente, usando el comando ip access-group en el modo de configuración de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicación entrante o saliente. Es posible establecer la dirección del filtro para verificar los paquetes que viajan hacia dentro o fuera de una interfaz. Para determinar si la ACL controla el tráfico entrante o saliente, el administrador de red necesita mirar las interfaces como si se observara desde dentro del router. Este es un concepto muy importante. Una lista de acceso entrante filtra el tráfico que entra por una interfaz y la lista de acceso saliente filtra el tráfico que sale por una interfaz. Después de crear una ACL numerada, se la debe asignar a una interfaz. Una ACL que contiene sentencias ACL numeradas no puede ser alterada. Se debe borrar utilizando el comando no access-listlist-number y entonces proceder a recrearla.

Es necesario utilizar estas reglas básicas a la hora de crear y aplicar las listas de acceso.

* Una lista de acceso por protocolo y por dirección.
* Se deben aplicar las listas de acceso estándar que se encuentran lo más cerca posible del destino.
* Se deben aplicar las listas de acceso extendidas que se encuentran lo más cerca posible del origen.
* Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router.
* Las sentencias se procesan de forma secuencial desde el principio de la lista hasta el final hasta que se encuentre una concordancia, si no se encuentra ninguna, se rechaza el paquete.
* Hay un deny any (denegar cualquiera)implícito al final de todas las listas de acceso. Esto no aparece en la lista de configuración.
* Las entradas de la lista de acceso deben realizar un filtro desde lo particular a lo general. Primero se deben denegar hosts específico y por último los grupos o filtros generales.
* Primero se examina la condición de concordancia. El permiso o rechazo se examina SÓLO si la concordancia es cierta.
* Nunca trabaje con una lista de acceso que se utiliza de forma activa.
* Utilice el editor de texto para crear comentarios que describan la lógica, luego complete las sentencias que realizan esa lógica.
* Siempre, las líneas nuevas se agregan al final de la lista de acceso. El comando no access-listx elimina toda la lista. No es posible agregar y quitar líneas de manera selectiva en las ACL numeradas.
* Una lista de acceso IP envía un mensaje ICMP llamado de host fuera de alcance al emisor del paquete rechazado y descarta el paquete en la papelera de bits.
* Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de acceso se aplica a una interfaz de producción y se la elimina, según sea la versión de IOS, puede haber una deny any (denegar cualquiera) por defecto aplicada a la interfaz, y se detiene todo el tráfico.
* Los filtros salientes no afectan al tráfico que se origina en el router local.

11.1.4 Función de la máscara wildcard

Una máscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Una máscara wildcard se compara con una dirección IP. Los números uno y cero en la máscara se usan para identificar cómo tratar los bits de la dirección IP correspondientes. El término máscara wildcard es la denominación aplicada al proceso de comparación de bits de máscara y proviene de una analogía con el "wildcard" (comodín) que equivale a cualquier otro naipe en un juego de póquer. Las máscaras wildcard no guardan relación funcional con las máscaras de subred. Se utilizan con distintos propósitos y siguen distintas reglas. Las máscaras de subred y las máscaras de wildcard representan dos cosas distintas al compararse con una dirección IP. Las máscaras de subred usan unos y ceros binarios para identificar las porciones de red, de subred y de host de una dirección IP. Las máscaras de wildcard usan unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos según el valor de las mismas. La única similitud entre la máscara wildcard y la de subred es que ambas tienen 32 bits de longitud y se componen de unos y ceros.

Para evitar la confusión, se substituirán las X por 1 en los gráficos de máscaras wildcard. La máscara en la Figura se escribe como 0.0.255.255. Un cero significa que se deje pasar el valor para verificarlo. Las X (1) significan impedir que se compare el valor.

Durante el proceso de máscara wildcard, la dirección IP en la sentencia de la lista de acceso tiene la máscara wildcard aplicada a ella. Esto crea el valor de concordancia, que se utiliza para comparar y verificar si esta sentencia ACL debe procesar un paquete o enviarlo a la próxima sentencia para que se lo verifique. La segunda parte del proceso de ACL consiste en que toda dirección IP que una sentencia ACL en particular verifica, tiene la máscara wildcard de esa sentencia aplicada a ella. El resultado de la dirección IP y de la máscara debe ser igual al valor de concordancia de la ACL ACL Este proceso se ilustra en la animación de la Figura .

Hay dos palabras clave especiales que se utilizan en las ACL, las opciones any y host. Para explicarlo de forma sencilla, la opción any reemplaza la dirección IP con 0.0.0.0 y la máscara wildcard por 255.255.255.255. Esta opción concuerda con cualquier dirección con la que se la compare. La máscara 0.0.0.0 reemplaza la opción host. Esta máscara necesita todos los bits de la dirección ACL y la concordancia de dirección del paquete. Esta opción sólo concuerda con una dirección.

11.1.5 Verificación de las ACL

Existen varios comandos show que verifican el contenido y ubicación de las ACL en el router.

El comando show ip interface muestra información de la interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL en el router. Para ver una lista específica, agregue el nombre o número ACL como opción a este comando. El comando show running-config también revela las listas de acceso en el router y la información de asignación de interfaz.

Estos comandos show verifican los contenidos y ubicación de las listas. También se recomienda verificar las listas de acceso usando tráfico de ejemplo para asegurarse que la lógica de la lista de acceso sea correcta.

11.2 Listas de control de acceso (ACL)

11.2.1 ACL estándar

Las ACL estándar verifican la dirección origen de los paquetes IP que se deben enrutar. Con la comparación se permite o rechaza el acceso a todo un conjunto de protocolos, según las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen en Fa0/0 para establecer la dirección origen y el protocolo. Si se les otorga el permiso, los paquetes se enrutan a través del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz entrante.

En la versión 12.0.1 del IOS de Cisco, se usaron por primera vez números adicionales (1300 al 1999) para las ACLs estándar pudiendo así proveer un máximo posible de 798 ACLs estándar adicionales, a las cuales se les conoce como ACLs IP expandidas. (también entre 1300 y 1999 en IOS recientes) En la primera sentencia ACL, cabe notar que no hay máscara wildcard. En este caso donde no se ve ninguna lista, se utiliza la máscara por defecto, que es la 0.0.0.0. Esto significa que toda la dirección debe concordar o que esta línea en la ACL no aplica y el router debe buscar una concordancia en la línea siguiente de la ACL.

La sintaxis completa del comando ACL estándar es:

Router(config)#access-listaccess-list-number {deny | permit | remark} source [source-wildcard ] [log]

El uso de remark facilita el entendimiento de la lista de acceso. Cada remark está limitado a 100 caracteres. Por ejemplo, no es suficientemente claro cual es el propósito del siguiente comando:

access-list 1 permit 171.69.2.88

Es mucho mas fácil leer un comentario acerca de un comando para entender sus efectos, así como sigue:

access-list 1 remark Permit only Jones workstation through

access-list 1 permit 171.69.2.88

La forma no de este comando se utiliza para eliminar una ACL estándar. Ésta es la sintaxis:

Router(config)#no access-listaccess-list-number

El comando ip access-group relaciona una ACL existente a una interface:

Router(config)#ip access-group {access-list-number | access-list-name} {in | out}

La tabla muestra descripciones de los parámetros utilizados en esta sintaxis.

11.2.2 ACL extendidas

Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque ofrecen un mayor control. Las ACL extendidas verifican las direcciones de paquetes de origen y destino, y también los protocolos y números de puerto. Esto ofrece mayor flexibilidad para establecer qué verifica la ACL. Se puede permitir o rechazar el acceso de los paquetes según el lugar donde se originó el paquete y su destino así como el tipo de protocolo y direcciones de puerto. Una ACL extendida puede permitir el tráfico de correo electrónico de Fa0/0 a destinos específicos S0/0, al mismo tiempo que deniega la transferencia de archivos y la navegación en la red. Una vez descartados los paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.

Es posible configurar múltiples sentencias en una sola ACL. Cada una de estas sentencias debe tener el mismo número de lista de acceso, para poder relacionar las sentencias con la misma ACL. Puede haber tanta cantidad de sentencias de condición como sean necesarias, siendo la única limitación la memoria disponible en el router. Por cierto, cuantas más sentencias se establezcan, mayor será la dificultad para comprender y administrar la ACL.

La sintaxis de una sentencia ACL extendida puede ser muy extensa y a menudo, se vuelve engorrosa en la ventana terminal. Las wildcards también tienen la opción de utilizar las palabras clave host o any en el comando.

Al final de la sentencia de la ACL extendida, se obtiene más precisión con un campo que especifica el Protocolo para el control de la transmisión (TCP) o el número de puerto del Protocolo de datagrama del usuario (UDP). Los números de Puerto conocidos parar TCP/IP se muestran en la Figura . Las operaciones lógicas pueden especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a (lt) aquéllas que efectuarán las ACL extendidas en protocolos específicos. Las ACL extendidas utilizan el número de lista de acceso entre 100 y 199 (también entre 2000 y 2699 en IOS recientes).

El comando ip access-group enlaza una ACL extendida existente a una interfaz. Recuerde que sólo se permite una ACL por interfaz por protocolo por dirección . El formato del comando es:

Router(config-if)#ip access-group access-list-number {in | out}

11.2.3 ACL nombradas

Las ACL nombradas IP se introdujeron en el software Cisco IOS Versión 11.2, permitiendo que las ACL extendidas y estándar tuvieran nombres en lugar de números. Las ventajas que ofrece una lista de acceso nombrada son las siguientes:

* Identifica intuitivamente las ACL usando un nombre alfanumérico.
* El IOS no limita el número de las ACL nombradas que se pueden configurar.
* Las ACL nombradas tienen la capacidad de modificar las ACL sin tener que eliminarlas y luego reconfigurarlas. Cabe notar que las listas de acceso nombradas permiten eliminar sentencias pero sólo permiten que las sentencias se agreguen al final de la lista. Aún con las ACL nombradas, se recomienda utilizar un editor de textos para crearlas.

Tenga en cuenta lo siguiente antes de implementar las ACL nombradas:

Las ACL nombradas no son compatibles con las versiones de Cisco IOS anteriores a la versión 11.2.

No se puede utilizar el mismo nombre para varias ACL. Por ejemplo, no se permite da el nombre de George a ACL estándar y extendida.

Es importante conocer las listas de acceso nombradas debido a las ventajas antes mencionadas. Las operaciones de la lista de acceso avanzadas como las ACL nombradas se verán en el currículum CCNP.

Una ACL nombrada se crea con el comando ip access-list. Esto coloca al usuario en el modo de configuración de ACL. En el modo de configuración de ACL, especifique una o más condiciones que se permitan o rechacen. Esto determina si el paquete se envía o se descarta cuando hay concordancia con las sentencias de la ACL.

La configuración vista crea una ACL estándar llamada filtro de Internet y una ACL extendida llamada “grupo de marketing”. Esta figura también muestra como las listas de acceso nombradas se aplican a una interfaz.

11.2.4 Ubicación de las ACL

Las ACL se utilizan para controlar el tráfico, filtrando paquetes y eliminando el tráfico no deseado de la red. Otra consideración importante a tener en cuenta al implementar la ACL es dónde se ubica la lista de acceso. Si las ACL se colocan en el lugar correcto, no sólo es posible filtrar el tráfico sino también toda la red se hace más eficiente. Si se tiene que filtrar el tráfico, la ACL se debe colocar en un lugar donde mejore la eficiencia de forma significativa.

En la figura el administrador quiere denegar el tráfico telnet o FTP del segmento LAN Ethernet del Router A al segmento LAN Ethernet conmutado Fa0/1 en el Router D, y al mismo tiempo permitir otros tipos de tráfico. Hay varias maneras de cumplir con esta política. La recomendación es utilizar ACL extendida, especificando las direcciones origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los Routers B y C, y no entran al Router D. El tráfico con direcciones de origen y destino diferentes todavía puede permitirse.

La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico denegado. Las ACL estándar no especifican las direcciones destino, de modo que se deben colocar lo más cerca posible del destino. Por ejemplo, una ACL estándar se debe colocar en Fa0/0 del Router D para evitar el tráfico desde el Router A.

Un administrador solo puede colocar una lista de acceso en el dispositivo que controla. De este modo, la ubicación de la lista de acceso se determina según hasta dónde se extienda el control del administrador de la red.

11.2.5 Firewalls

Un firewall es una estructura arquitectónica que existe entre el usuario y el mundo exterior para proteger la red interna de los intrusos. En la mayoría de los casos, los intrusos provienen de la Internet mundial y de las miles de redes remotas que interconecta. Normalmente, un firewall de red se compone de varias máquinas diferentes que funcionan al mismo tiempo para impedir el acceso no deseado e ilegal.

En esta arquitectura, el router conectado a Internet, es decir el router exterior, obliga todo el tráfico entrante a pasar por el gateway de la aplicación. El router conectado a la red interna, es decir el router interior, acepta los paquetes provenientes sólo del gateway de aplicación. En efecto, el gateway controla la entrega de servicios basados en red que entran y salen de la red interna. Por ejemplo, sólo ciertos usuarios pueden estar autorizados a comunicarse con Internet o sólo a ciertas aplicaciones se les puede permitir establecer conexiones entre un host interior y exterior. Si la única aplicación que se permite es el correo electrónico, entonces sólo se permiten paquetes de correo electrónico a través del router. Esto protege el gateway de aplicación y evita que se supere su capacidad con paquetes que de otra manera se descartarían.

Se deben utilizar ACL en los routers firewall, que a menudo se sitúan entre la red interna y una red externa, como Internet. Esto permite el control del tráfico entrante o saliente de alguna parte específica de la red interna. El router firewall proporciona un punto de aislamiento, de manera que el resto de la estructura interna de la red no se vea afectada.

Se necesita configurar las ACL en routers fronterizos, que son aquellos situados en las fronteras de la red, para brindar mayor seguridad. Esto proporciona protección básica contra la red externa u otra parte menos controlada de la red, en un área más privada de la red. En estos routers fronterizos, es posible crear ACLs para cada protocolo de red configurado en las interfaces del router.

11.2.6 Cómo restringir el acceso de terminal virtual

Las listas de acceso extendidas y estándar se aplican a paquetes que viajan a través de un router. No están diseñadas para bloquear paquetes que se originan dentro del router. Una lista de acceso extendida Telnet saliente, por defecto no impide las sesiones Telnet iniciadas por el router.

Del mismo modo que hay puertos físicos o interfaces, como Fa0/0 y S0/0 en el router, también hay puertos virtuales. Estos puertos virtuales se denominan líneas VTY. Existen cinco líneas vty, numeradas del 0 al 4, como se observa en la figura . Por razones de seguridad, es posible negar o permitir, a los usuarios, el acceso a la terminal virtual del router, pero se les puede negar el acceso a destinos desde dicho router.

El objetivo de restringir el acceso vty es aumentar la seguridad de la red. También se logra el acceso a vty utilizando el protocolo Telnet para realizar una conexión no física con el router. Como resultado, hay solo un tipo de lista de acceso vty. Es necesario imponer idénticas restricciones a todas las líneas vty, ya que no es posible controlar a qué línea se conectará el usuario.

El proceso de creación de una lista de acceso vty es igual al descrito para una interfaz. Sin embargo, para aplicar la ACL a una línea terminal se necesita el comando access-class en vez del access-group.

Cuando configure las listas de acceso en las líneas vty tenga en consideración lo siguiente:

* Cuando controle el acceso a una interfaz, es posible utilizar un número o un nombre.
* Sólo se pueden aplicar listas de acceso numeradas a las líneas virtuales.
* Imponga restricciones idénticas a todas las líneas de terminal virtual, porque el usuario puede querer conectarse a cualquiera de ellas.

by sdominguez.com

No hay comentarios: