6.4 ACL extendidas
6.4.1 Qué son las ACL extendidas
Nota para el instructor
  Se presentan las ACL extendidas. Las Mejores prácticas para enseñar este indicador de objetivos incluyen Miniconferencia y Estudio en línea (con una Guía de estudio). No deje de marcar las similitudes y diferencias entre las ACL extendidas y las ACL estándar. . Este indicador de objetivos se relaciona con el Objetivo nº 44 del Examen de certificación CCNA.
Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una mayor cantidad de opciones de control que las ACL estándar. Se puede usar una ACL extendida cuando se desea permitir el tráfico de la Web pero denegar el Protocolo de transferencia de archivos (FTP) o telnet desde las redes que no pertenecen a la empresa. Las ACL extendidas verifican las direcciones origen y destino de los paquetes. También pueden verificar protocolos, números de puerto y otros parámetros específicos. Esto ofrece mayor flexibilidad para describir las verificaciones que debe realizar la ACL. Se pueden permitir o denegar paquetes según su origen o destino. Por ejemplo, la ACL extendida puede permitir el tráfico de correo electrónico desde E0 a destinos S0 específicos, denegando al mismo tiempo conexiones remotas o transferencias de archivos.

Supongamos que la interfaz E0 se ha agrupado a una ACL extendida. Esto significa que se utilizaron sentencias precisas y lógicas para crear la ACL. Antes de que un paquete pueda proceder a esta interfaz, es verificado por la ACL asociada con esa interfaz.

De acuerdo con el resultado de las pruebas realizadas por la ACL extendida, el paquete se puede permitir o denegar. Para las listas entrantes, esto significa que los paquetes permitidos seguirán siendo procesados. Para las listas salientes, esto significa que los paquetes permitidos se enviarán directamente a E0. Si los resultados de las pruebas deniegan el permiso, se descarta el paquete. La ACL del router suministra control de firewall para denegar el uso de la interfaz E0. Cuando se descartan paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.

Para una sola ACL, se pueden definir múltiples sentencias. Cada una de estas sentencias debe hacer referencia al mismo nombre o número identificatorio, para relacionar las sentencias a la misma ACL. Se puede establecer cualquier cantidad de sentencias de condición, con la única limitación de la memoria disponible. Por cierto, cuanto más sentencias se establezcan, mayor será la dificultad para comprender y administrar la ACL. Por lo tanto, la documentación de las ACL evita la confusión.

La ACL estándar (numerada del 1 al 99) probablemente no pueda ofrecerle el tipo de control de filtrado de tráfico que se necesita. Las ACL estándar filtran el tráfico según una dirección y máscara origen. Las ACL estándar también pueden permitir o denegar todo el conjunto de protocolos Internet (IP). Puede ser necesario encontrar una forma más precisa de control del tráfico y el acceso.

Para un control más preciso de filtrado de tráfico se usan las ACL extendidas. Las sentencias de las ACL extendidas verifican la dirección origen y destino. Además, al final de la sentencia de la ACL extendida, se obtiene precisión adicional con un campo que especifica el número de puerto de protocolo opcional TCP o del Protocolo de datagrama del usuario (UDP). Estos pueden ser números de puerto conocidos para TCP/IP. Algunos de los números de puerto más comunes aparecen en la figura . Se puede especificar la operación lógica que la ACL extendida efectuará en protocolos específicos. Las ACL extendidas usan un número dentro del intervalo del 100 al 199.

Vínculos de Web
Server Access Lists