Subido por benafe6251

Dm752v10-5 Control de Acceso

Anuncio
Router Teldat
Control de Acceso
Doc. DM752 Rev. 10.50
Abril, 2005
ÍNDICE
Capítulo 1 Introducción ....................................................................................................1
1.
Listas de Control de Acceso ............................................................................................... 2
Capítulo 2 Configuración..................................................................................................3
1.
2.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
4.
4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
5.
5.1.
5.2.
Introducción........................................................................................................................ 4
Acceso a configuración ...................................................................................................... 5
Menú principal de configuración........................................................................................ 6
? (AYUDA)............................................................................................................. 7
ACCESS-LIST ........................................................................................................ 7
LIST ........................................................................................................................ 7
a)
LIST ALL-ACCESS-LISTS....................................................................................... 7
b)
LIST STANDARD-ACCESS-LISTS.......................................................................... 8
c)
LIST EXTENDED-ACCESS-LISTS ......................................................................... 8
NO........................................................................................................................... 8
a)
NO ACCESS-LIST ...................................................................................................9
EXIT ....................................................................................................................... 9
Listas de Acceso Genéricas ................................................................................................ 10
? (AYUDA)............................................................................................................. 10
ENTRY ................................................................................................................... 10
a)
ENTRY <id> DEFAULT ......................................................................................... 11
b)
ENTRY <id> PERMIT ............................................................................................ 11
c)
ENTRY <id> DENY ................................................................................................ 11
d)
ENTRY <id> SOURCE ........................................................................................... 12
• ENTRY <id> SOURCE ADDRESS.................................................................12
e)
ENTRY <id> DESCRIPTION ................................................................................. 12
LIST ........................................................................................................................ 12
a)
LIST ALL-ENTRIES ................................................................................................ 13
b)
LIST ADDRESS-FILTER-ENTRIES........................................................................ 13
c)
LIST ENTRY ............................................................................................................ 13
MOVE-ENTRY ...................................................................................................... 14
DESCRIPTION....................................................................................................... 14
NO........................................................................................................................... 14
a)
NO ENTRY .............................................................................................................. 15
EXIT ....................................................................................................................... 15
Listas de Acceso Extendidas .............................................................................................. 16
? (AYUDA)............................................................................................................. 16
ENTRY ................................................................................................................... 16
a)
ENTRY <id> DEFAULT ......................................................................................... 17
b)
ENTRY <id> PERMIT ............................................................................................ 17
c)
ENTRY <id> DENY ................................................................................................ 17
d)
ENTRY <id> SOURCE ........................................................................................... 18
• ENTRY <id> SOURCE ADDRESS.................................................................18
• ENTRY <id> SOURCE PORT-RANGE.......................................................... 18
e)
ENTRY <id> DESTINATION ................................................................................. 19
• ENTRY <id> DESTINATION ADDRESS...................................................... 19
• ENTRY <id> DESTINATION PORT-RANGE............................................... 19
f)
ENTRY <id> PROTOCOL...................................................................................... 20
g)
ENTRY <id> PROTOCOL-RANGE........................................................................ 20
h)
ENTRY <id> DSCP ................................................................................................ 20
i)
ENTRY <id> CONNECTION ................................................................................. 20
j)
ENTRY <id> DESCRIPTION ................................................................................. 21
- ii -
5.3.
LIST ........................................................................................................................ 21
LIST ALL-ENTRIES ................................................................................................ 21
LIST ADDRESS-FILTER-ENTRIES........................................................................ 22
LIST ENTRY ............................................................................................................ 22
MOVE-ENTRY ...................................................................................................... 22
DESCRIPTION....................................................................................................... 23
NO........................................................................................................................... 23
a)
NO ENTRY .............................................................................................................. 23
EXIT ....................................................................................................................... 24
Show Config....................................................................................................................... 25
Ejemplo práctico................................................................................................................. 26
• Creación de las listas de control de acceso ....................................................... 26
• Asociación de Lista de acceso a Protocolo IPSec ............................................. 27
a)
b)
c)
5.4.
5.5.
5.6.
5.7.
6.
7.
Capítulo 3 Monitorización ................................................................................................29
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
Comandos de Monitorización............................................................................................. 30
? (AYUDA)............................................................................................................. 30
LIST ........................................................................................................................ 31
a)
LIST ALL ................................................................................................................. 31
• LIST ALL ALL-ACCESS-LISTS ....................................................................31
• LIST ALL ADDRESS-FILTER-ACCESS-LISTS ........................................... 32
• LIST ALL ACCESS-LIST ............................................................................... 33
b)
LIST CACHE........................................................................................................... 33
• LIST CACHE ALL-ACCESS-LISTS............................................................... 33
• LIST CACHE ADDRESS-FILTER-ACCESS-LISTS...................................... 34
• LIST CACHE ACCESS-LIST.......................................................................... 34
c)
LIST ENTRIES ........................................................................................................ 35
• LIST ENTRIES ALL-ACCESS-LISTS............................................................ 35
• LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS...................................36
• LIST ENTRIES ACCESS-LIST....................................................................... 36
CLEAR-CACHE .....................................................................................................37
SET-CACHE-SIZE .................................................................................................37
SHOW-HANDLES .................................................................................................37
HIDE-HANDLES ...................................................................................................37
Capítulo 4 Anexo ...............................................................................................................38
1.
2.
Puerto Reservados .............................................................................................................. 39
Protocolos Reservados ....................................................................................................... 40
- iii -
Capítulo 1
Introducción
1. Listas de Control de Acceso
Los routers se sirven de listas de control de acceso (ACL) para identificar el tráfico que pasa por ellos.
Las listas de acceso pueden filtrar el flujo de paquetes que pasa por los interfaces del router.
Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican
a direcciones IP origen o destino, puertos origen o destino, o a protocolos IP de capa superior tales
como IP, TCP.
Pueden separar el tráfico en diferentes colas según sea su prioridad.
Tipos de listas de acceso:
Estándar(1-99): comprueban las direcciones de origen de los paquetes que solicitan
enrutamiento.
Extendidas(100-199): comprueban tanto la dirección de origen como la de destino de cada
paquete, también pueden verificar protocolos específicos, números de puertos y otros
parámetros.
Las listas de acceso se pueden aplicar tanto de entrada (evita la sobrecarga de router), como de salida.
Una lista de control de acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el
router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo. El
protocolo que utiliza una Lista de Control de Acceso, la utiliza como una herramienta que le permite
establecer filtros de tráfico. Los protocolos que permiten el manejo de Listas de Control de Acceso
incorporan comandos que permiten asociar el protocolo a dichas Listas. Los protocolos típicos que
manejan Listas de Control de Acceso son, entre otros: BRS, IPSec, Policy Routing, RIP.
Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de
las entradas. El resultado de la búsqueda a la recepción de un paquete puede ser:
Lista de Acceso
Permitir
Encontrado
Denegar
Paquete IP
No Encontrado
No Encontrado
Es el protocolo asociado el que determina lo debe hacer con el paquete IP, a tenor del resu ltado de la
aplicación de la Lista de Acceso.
ROUTER TELDAT – Listas de Control de acceso
I-2
Doc.DM752
Rev.10.50
Capítulo 2
Configuración
1. Introducción
Cada entrada de esta lista es un bloque de sentencias y una acción, y está identificada por un único
número (el identificador o campo ID de la entrada). El bloque de sentencias esta compuesto por una
dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP
destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), y el
identificador de la conexión entre interfaces por los que viajaría el paquete. No es necesario
especificarlos todos, tan sólo el que se desee. La acción representa el procesamiento asignado a los
paquetes coincidentes con el bloque de sentencias asociado: PERMIT o DENY.
Una lista de control de acceso genérica y extendida está formada por una serie de entradas que definen
las propiedades que debe tener un paquete para que se considere que perteneciente a esa entrada y por
consiguiente a esa lista. Después, esa lista de control de acceso genérica se asigna a un protocolo.
Lista 1
Acción
Sentencia A
Entrada 1
Sentencia B
|
Sentencia Z
Acción
Sentencia A
Entrada 2
Sentencia B
|
Sentencia Z
Acción
Sentencia A
Entrada n
Sentencia B
|
Sentencia Z
Una Lista de Control de Acceso por sí misma no supone un filtro para limitar el flujo
de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas
necesariamente a un protocolo.
Las Listas de Control de Acceso indican al protocolo asociado el resultado de la
búsqueda dentro de las entradas. El resultado de la búsqueda puede tener los siguientes
valores: No encontrado, Permitir o Denegar. El protocolo asociado determina qué
hacer con el paquete ante el resultado devuelto por la Lista de Control de Acceso.
ROUTER TELDAT – Control de acceso Configuración
II - 4
Doc.DM752
Rev.10.50
2. Acceso a configuración
Las operaciones de crear, modificar o eliminar listas de acceso se hace desde un menú especifico, en el
cual a demás se permite visualizar las listas creadas.
En la estructura de configuración del router, los Controles de Acceso, están organizados como una
funcionalidad (FEATURE). Para visualizar las funcionalidades que permite configurar el router, se
debe introducir el comando feature seguido de una signo de interrogación (?).
Ejemplo:
Config>feature ?
access-lists
bandwidth-reservation
control-access
dns
frame-relay-switch
ip-discovery
ldap
mac-filtering
nsla
nsm
ntp
radius
route-map
sniffer
syslog
vlan
wrr-backup-wan
wrs-backup-wan
Config>
Access generic access lists configuration
environment
Bandwidth-Reservation configuration environment
Control-access configuration environment
DNS configuration environment
Frame Relay Switch configuration environment
TIDP configuration environment
LDAP configuration environment
Mac-filtering configuration environment
Network Service Level Advisor configuration
Network Service Monitor configuration environment
NTP configuration environment
RADIUS protocol configuration environment
Route-map configuration environment
Sniffer configuration environment
Syslog configuration environment
IEEE 802.1Q switch configuration environment
WRR configuration environment
WRS configuration environment
Para acceder al menú de configuración de Controles de Acceso se debe introducir, desde el menú raíz
de configuración (PROCESS 4), la palabra feature, seguida de access-list.
Ejemplo:
Config>feature access-lists
-- Access Lists user configuration -Access Lists config>
Con esto se accede al menú principal de configuración de la funcionalidad de Controles de Acceso. En
este menú se permite crear, eliminar y visualizar las lista de acceso.
Cada lista de control de acceso está formada por entradas, en la que se indica el criterio y los
parámetros que permiten o limitan el acceso.
Existen dos tipos de listas de control de acceso: Genéricas y Extendidas.
En las listas Genéricas se utilizan muy pocos parámetros para definir las características de cada
entrada de Control de Acceso. Por el contrario, las listas Extendidas permiten definir un mayor
número de parámetros de selección.
Dentro del menú principal de Listas de Acceso existen dos submenús, uno para cada tipo de lista. El
acceso a cada submenú se produce en el momento de editar una lista concreta, dependiendo que el tipo
seleccionado sea Extendida o Genérica.
ROUTER TELDAT – Control de acceso Configuración
II - 5
Doc.DM752
Rev.10.50
3. Menú principal de configuración
Dentro de menú principal de configuración de Control de Acceso se permite crear y eliminar listas.
También se permite visualizar la configuración de las las listas creadas.
Una Lista de Acceso consta de una serie de entradas. Cada entrada de esta lista es un bloque de
sentencias y una acción. Cada entrada está identificada por un único número (el identificador o ca mpo
ID de la entrada). El bloque de sentencias puede estar compuesto por una dirección IP origen (o rango
de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de
protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre
interfaces por los que viajaría el paquete. La acción determina el criterio que se aplica a los paquetes
IP que cumplen con la condición indicada por las sentencias. La acción puede ser de dos tipos:
incluyente (permit) o excluyente(deny).
El router permite configurar 199 listas de acceso. Las listas de acceso cuyo identificador tenga un
valor entre 1 y 99 serán Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tenga un
valor entre 100 y 199 serán Listas de Acceso Extendidas.
Por defecto las 199 Listas de Acceso están vacías. Una lista de acceso está vacía cuando no contiene
entradas.
Dependiendo del tipo de lista creada (Genérica/Extendida), la configuración de las entradas a cada
lista se hace dentro de un submenú propio de cada una de ellas, que tendrá los mismos parámetros para
todas las que son del mismo tipo. La descripción del modo de configuración de los parámetros de estos
submenús se indica en los apartados siguientes a este.
Si alguno de los parámetros u opciones de las entradas de las Listas de Control de Acceso no se
configura, no será tenido en cuenta a la hora de realizar la comprobación de acceso.
El orden de las entradas en la Lista de Control de Acceso es muy importante en casos,
en los cuales, la información referenciada por las sentencias, se solape entre diferentes
entradas.
Se debe tener presente que el orden de tratamiento de las entradas de una lista no viene
definido por el número del identificador de la entrada, sino por el orden en que se
introducen. Este orden se puede visualizar utilizando el comando “list ”. El orden se
puede modificar utilizando el comando “ move-entry “. Es decir, si al recorrer la lista,
empezando por el primer elemento o entrada que aparece al listar, se encuentra un
elemento que encaja en nuestra búsqueda, no se sigue buscando y se aplica la acción
indicada en dicho elemento.
Dentro del menú principal de Control de Acceso se dispone de los siguientes comandos:
Comando
Función
? (AYUDA)
Lista los comandos u opciones disponibles.
Configura una lista de acceso.
Muestra la configuración de las listas de acceso.
Niega un comando o pone su valor por defecto.
access-list
list
no
ROUTER TELDAT – Control de acceso Configuración
II - 6
Doc.DM752
Rev.10.50
3.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Access Lists config>?
Ejemplo:
Access Lists config>?
access-list
Configure an access-list
list
Display access-lists configuration
no
Negates a command or sets its defaults
exit
Access Lists config>
3.2. ACCESS-LIST
Este comando provoca el acceso al submenú que permite configurar entradas en una lista de acc eso.
Las Listas de Acceso se identifican por un valor numérico que puede tomar valore entre 1 y 199.Por lo
tanto, el router permite configurar 199 Listas de Acceso. Las listas de acceso cuyo identificador tiene
un valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tiene un
valor entre 100 y 199 son Listas de Acceso Extendidas. El submenú de configuración de Listas de
Acceso Extendidas permite configurar mayor número de parámetros de selección. Cuando se introduce
este comando seguido de un identificador, se pasa al submenú que permite configurar la Lista de
Acceso para dicho identificador, apareciendo en el nuevo prompt el tipo de Lista de Acceso y su
identificador.
Sintaxis:
Access Lists config>access-list ?
<1..99>
Standard Access List number (1-99)
<100..199>
Extended Access List number (100-199)
Ejemplo:
Access Lists config>access-list 101
Extended Access List 101>
3.3. LIST
El comando LIST muestra la información de configuración de la facilidad Listas de Control de
Acceso.
Sintaxis:
Access Lists config>list ?
all-access-lists
Display all access-lists configuration
standard-access-lists
Display standard access-lists configuration
extended-access-lists
Display extended access-lists configuration
a) LIST ALL-ACCESS-LISTS
Muestra TODA la información de configuración Listas de Control de Acceso.
ROUTER TELDAT – Control de acceso Configuración
II - 7
Doc.DM752
Rev.10.50
Sintaxis:
Access Lists config>list all-access-lists
Ejemplo:
Access Lists config>list all-access-lists
Standard Access List 1, assigned to no protocol
1
PERMIT
SRC=192.60.1.24/32
2
PERMIT
SRC=0.0.0.0/0
Extended Access List 100, assigned to no protocol
1
PERMIT SRC=172.34.53.23/32
PROT=10-255
2
DENY
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
Access Lists config>
b) LIST STANDARD-ACCESS-LISTS
Muestra las Listas de Control de Acceso de tipo General configuradas.
Sintaxis:
Access Lists config>list standard-access-lists
Ejemplo:
Access Lists config>list standard-access-lists
Standard Access List 1, assigned to no protocol
1
PERMIT
SRC=192.60.1.24/32
2
PERMIT
SRC=0.0.0.0/0
Access Lists config>
c) LIST EXTENDED-ACCESS-LISTS
Muestra las Listas de Control de Acceso de tipo Extendido configuradas.
Sintaxis:
Access Lists config>list extended-access-lists
Ejemplo:
Access Lists config>list extended-access-lists
Extended Access List 100, assigned to no protocol
1
PERMIT SRC=172.34.53.23/32
PROT=10-255
2
DENY
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
Access Lists config>
3.4. NO
Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos
parámetros.
ROUTER TELDAT – Control de acceso Configuración
II - 8
Doc.DM752
Rev.10.50
Sintaxis:
Access Lists config>no ?
access-list
Configure an access-list
a) NO ACCESS-LIST
Elimina el contenido de una Lista de Control de Acceso.
Sintaxis:
Access Lists config>no access-list <ID>
Ejemplo:
Access Lists config>no access-list 100
Access Lists config>
3.5. EXIT
Sale del entorno de configuración de la facilidad de Controles de Acceso. Retorna al prompt de
configuración general.
Sintaxis:
Access Lists config>exit
Ejemplo:
Access Lists config>exit
Config>
ROUTER TELDAT – Control de acceso Configuración
II - 9
Doc.DM752
Rev.10.50
4. Listas de Acceso Genéricas
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el
valor 1 y 99, es decir se trata de una Lista Genérica.
En el prompt del nuevo submenú se indica que la lista es de tipo Genérica (Standard) y su
Identificador.
Ejemplo:
Access Lists config>access-list 1
Standard Access List 1>
El submenú de Listas de control de acceso Genéricas admite los siguientes su bcomandos:
Comando
Función
? (AYUDA)
Lista los comandos u opciones disponibles.
Configura una entrada dentro de una Lista de Control de
Acceso.
Muestra la configuración de las listas de acceso.
Cambiar el orden de las entradas.
Permite insertar una descripción textual de una Lista de
Control de Acceso.
Niega un comando o pone su valor por defecto.
entry
list
move-entry
description
no
4.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Standard Access List #>?
Ejemplo:
Standard Access
entry
list
move-entry
description
no
exit
Standard Access
List 1>?
Configure an entry for this access-list
Display this access-list configuration
move an entry within an access-list
Configure a description for this access-list
Negates a command or sets its defaults
List 1>
4.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una Lista de Control de Acceso.
ROUTER TELDAT – Control de acceso Configuración
II - 10
Doc.DM752
Rev.10.50
Este comando se debe introducir siempre seguido del identificador del número de registro y de una
sentencia.
Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no
está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro
introducido.
Sintaxis:
Standard Access List #>entry <id> <sentencia> [valor]
Las opciones de configuración de una entrada Global son las siguientes:
Standard Access List #>entry <id> ?
default
Sets default values to an existing
permit
Configures type of entry or access
deny
Configures type of entry or access
source
Source menu: subnet or port
description
Sets a description for the current
or a new entry
control as permit
control as deny
entry
a) ENTRY <id> DEFAULT
Pone todos los parámetros de una entrada de tipo General a sus valores por defecto.
Estos son:
• PERMITIDO
• ADDRESS: 0.0.0.0/0
Sintaxis:
Standard Access List #>entry <id> default
Ejemplo:
Standard Access List 1>entry 3 default
Standard Access List 1>
b) ENTRY <id> PERMIT
Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla
con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando
es un indicador de acción, y por tanto determina la función de las sentencias de la entrada
(incluyente/excluyente).
Sintaxis:
Standard Access List #>entry <id> permit
Ejemplo:
Standard Access List 1>entry 3 permit
Standard Access List 1>
c) ENTRY <id> DENY
Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que
cumpla con los parámetros de selección del registro NO podrá pasar a través del Contro l de Acceso.
Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la
entrada.
Sintaxis:
Standard Access List #>entry <id> deny
Ejemplo:
Standard Access List 1>entry 3 deny
Standard Access List 1>
ROUTER TELDAT – Control de acceso Configuración
II - 11
Doc.DM752
Rev.10.50
d) ENTRY <id> SOURCE
Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes.
Sintaxis:
Standard Access List #>entry <id> source <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes:
Standard Access List #>entry <id> source ?
address
IP address and mask of the source subnet
• ENTRY <id> SOURCE ADDRESS
Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica en forma de
mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección
asociada a un interfaz y que es desconocida en el momento de configurar el equipo, porque, por
ejemplo, será asignada por algún otro mecanismo, como pudiera ser PPP.
En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en
el caso de configurar un Interfaz se debe introducir el nombre de éste.
Sintaxis:
a) Dirección IP
Standard Access List #>entry <id> source address <dirección> <máscara>
b) Interfaz
Standard Access List #>entry <id> source address <interfaz>
Ejemplo:
a) Dirección IP
Standard Access List 1>entry 3 source address 192.168.4.5 255.255.255.255
Standard Access List 1>
b) Interfaz
Standard Access List 1>entry 3 source address serial0/0
Standard Access List 1>
e) ENTRY <id> DESCRIPTION
Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso
de la entrada.
Sintaxis:
Standard Access List 1>entry <id> description ?
<1..64 chars>
Description text
Ejemplo:
Standard Access List 1>entry 1 description “primera entrada”
Standard Access List 1>
4.3. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está
siendo editada, es decir, la que su identificador está indicado en el prompt del menú.
ROUTER TELDAT – Control de acceso Configuración
II - 12
Doc.DM752
Rev.10.50
Sintaxis:
Standard Access List #>list
all-entries
address-filter-entries
entry
?
Display any entry of this access-list
Display the entries that match an ip address
Display one entry of this access-list
a) LIST ALL-ENTRIES
Muestra todas las entradas de configuración de la Listas de Control de Acceso, es decir, toda la
configuración de la misma.
Sintaxis:
Standard Access List #>list all-entries
Ejemplo:
Standard Access List 1>list all-entries
Standard Access List 1, assigned to no protocol
1
1
DESCRIPTION: primera entrada
PERMIT SRC=192.60.1.24/32
2
PERMIT
SRC=0.0.0.0/0
Standard Access List 1>
b) LIST ADDRESS-FILTER-ENTRIES
Muestra las entradas de configuración de la Listas de Control de Acceso que contienen una
determinada dirección IP.
Sintaxis:
Standard Access List #>list address-filter-entries <dirección> <subred>
Ejemplo:
Standard Access List 1>list address-filter-entries 192.60.1.24 255.255.255.255
Standard Access List 1, assigned to no protocol
1
1
DESCRIPTION: primera entrada
PERMIT SRC=192.60.1.24/32
Standard Access List 1>
c) LIST ENTRY
Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a
continuación del comando.
Sintaxis:
Standard Access List #>list entry <id>
Ejemplo:
Standard Access List 1>list entry 1
Standard Access List 1, assigned to no protocol
1
1
DESCRIPTION: primera entrada
PERMIT SRC=192.60.1.24/32
Standard Access List 1>
ROUTER TELDAT – Control de acceso Configuración
II - 13
Doc.DM752
Rev.10.50
4.4. MOVE-ENTRY
Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de
otra que se indica, dentro de la Lista de Control de Acceso.
El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a
continuación se introduce el identificador de la posición por delante de la cual se desea colocar la
entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se
pone un cero (‘0’) como identificador final.
Sintaxis:
Standard Access List #>move-entry <entrada_a_mover> <entrada_destino>
Ejemplo:
Standard Access List 1>list all-entries
Standard Access List 1, assigned to no protocol
1
DENY
SRC=0.0.0.0/0
2
PERMIT
SRC=234.233.44.33/32
3
PERMIT
SRC=192.23.33.22/32
Standard Access List 1>move-entry 1 0
Standard Access List 1>list all-entries
Standard Access List 1, assigned to no protocol
2
PERMIT
SRC=234.233.44.33/32
3
PERMIT
SRC=192.23.33.22/32
1
DENY
SRC=0.0.0.0/0
Standard Access List 1>
4.5. DESCRIPTION
Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita
más tarde entender mejor su propósito o función.
Sintaxis:
Standard Access List #>description ?
<1..64 chars>
Description text
Ejemplo:
Standard Access List 1>description “lista para ipsec”
Standard Access List 1>list all
Standard Access List 1, assigned to no protocol
Description: lista para ipsec
1
1
DESCRIPTION: primera entrada
PERMIT SRC=1.1.1.1/32
4.6. NO
Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos
parámetros.
ROUTER TELDAT – Control de acceso Configuración
II - 14
Doc.DM752
Rev.10.50
Sintaxis:
Standard Access List #>no ?
entry
Configure an entry for this access-list
a) NO ENTRY
Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista
que se desea eliminar.
Sintaxis:
Standard Access List #>no entry <id>
Ejemplo:
Standard Access List 1>no entry 3
Standard Access List 1>
4.7. EXIT
Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del
menú principal de Control de Acceso.
Sintaxis:
Standard Access List #>exit
Ejemplo:
Standard Access List 1>exit
Access Lists config>
ROUTER TELDAT – Control de acceso Configuración
II - 15
Doc.DM752
Rev.10.50
5. Listas de Acceso Extendidas
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el
valor 100 y 199, es decir se trata de una Lista Extendida.
En el prompt del nuevo submenú se indica que la lista es de tipo Extendida (Extended) y su
identificador.
Ejemplo:
Access Lists config>access-list 100
Extended Access List 100>
El submenú de Listas de Control de Acceso Extendidas admite los siguientes subcomandos:
Comando
Función
? (AYUDA)
Lista los comandos u opciones disponibles.
Configura una entrada para esta Lista de Acceso.
Muestra la configuración de las listas de acceso.
Cambiar el orden de las entradas.
Permite insertar una descripción textual de una Lista de
Control de Acceso.
Niega un comando o pone su valor por defecto.
entry
list
move-entry
description
no
5.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Extended Access List #>?
Ejemplo:
Extended Access List 100>?
entry
Configure an entry for this access-list
list
Display this access-list configuration
move-entry
move an entry within an access-list
description
Configure a description for this access-list
no
Negates a command or sets its defaults
exit
Extended Access List 100>
5.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso.
Este comando se debe introducir siempre seguido del identificador del número de registro de una
sentencia.
ROUTER TELDAT – Control de acceso Configuración
II - 16
Doc.DM752
Rev.10.50
Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no
está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro
introducido.
Sintaxis:
Extended Access List #>entry <id> <parámetro> [valor]
Las opciones de configuración de una entrada Extendida son las siguientes:
Extended Access List 100>entry 1 ?
default
Sets default values to an existing or a new entry
permit
Configures type of entry or access control as permit
deny
Configures type of entry or access control as deny
source
Source menu: subnet or port
destination
Destination menu: subnet or port
protocol
Protocol
protocol-range
Protocol range
dscp
IP type-of-service byte value
connection
IP connection identifier (rule)
description
Sets a description for the current entry
no
Negates a command or sets its defaults
a) ENTRY <id> DEFAULT
Pone todos los parámetros de una entrada de tipo Extendido a sus valores por defecto.
Estos son:
• PERMITIDO
• SOURCE: 0.0.0.0/0
• DESTINATION 0.0.0.0/0
• NO PROTOCOL-RANGE
• NO DSCP
• NO CONNECTION
Sintaxis:
Extended Access List #>entry <id> default
Ejemplo:
Extended Access List 100>entry 3 default
Extended Access List 100>
b) ENTRY <id> PERMIT
Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla
con los parámetros de selección del registro podrá pasar a través del Contro l de Acceso. Este comando
es un indicador de acción, y por tanto determina la función de las sentencias de la entrada.
Sintaxis:
Extended Access List #>entry <id> permit
Ejemplo:
Extended Access List 100>entry 3 permit
Extended Access List 100>
c) ENTRY <id> DENY
Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que
cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso.
Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la
entrada.
ROUTER TELDAT – Control de acceso Configuración
II - 17
Doc.DM752
Rev.10.50
Sintaxis:
Extended Access List #>entry <id> deny
Ejemplo:
Extended Access List 100>entry 3 deny
Extended Access List 100>
d) ENTRY <id> SOURCE
Establece la sentencia de parámetros IP en el direccionamiento ‘orige n’ de los mensajes.
Sintaxis:
Extended Access List #>entry <id> source <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes:
Extended Access List #>entry <id> source ?
address
IP address and mask of the source subnet
port-range
source port range
• ENTRY <id> SOURCE ADDRESS
Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica en forma de
mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección
asociada a un Interfaz, que es desconocida en el momento de configurar el equipo, porque, por
ejemplo, será asignada por algún otro mecanismo como pudiera ser PPP.
En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en
el caso de configurar un Interfaz se debe introducir el nombre de éste.
Sintaxis:
a) Dirección IP
Extended Access List #>entry <id> source address <dirección> <máscara>
b) Interfaz
Extended Access List #>entry <id> source address interface <interfaz>
Ejemplo:
a) Dirección IP
Extended Access List 100>entry 3 source address 192.168.4.5 255.255.255.255
Extended Access List 100>
b) Interfaz
Extended Access List 100>entry 3 source address interface serial0/0
Extended Access List 100>
• ENTRY <id> SOURCE PORT-RANGE
Establece la sentencia para el puerto ‘origen’ del paquete IP.
Este comando debe ir seguido de dos números. El primero indica el identificador de puerto en el límite
inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango,
basta con poner ambos valores iguales. El valor de ambos identificadores de puerto puede tomar
valores entre 0 y 65535.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos puertos.
Sintaxis:
Extended Access List #>entry <id> source port-range <puerto_inf> <puerto_sup>
ROUTER TELDAT – Control de acceso Configuración
II - 18
Doc.DM752
Rev.10.50
Ejemplo:
Extended Access List 100>entry 3 source port-range 2 4
Extended Access List 100>
e) ENTRY <id> DESTINATION
Establece la sentencia de parámetros IP en el direccionamiento ‘destino’ de los mensajes.
Sintaxis:
Extended Access List #>entry <id> destination <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia destino de IP son las siguientes:
Extended Access List #>entry <id> destination ?
address
IP address and mask of the source subnet
port-range
source port range
• ENTRY <id> DESTINATION ADDRESS
Establece la sentencia de dirección IP ‘destino’. El rango de direcciones elegido se indica en forma de
mascara de subred. Esta dirección puede ser no numerada, es decir, se puede poner una dirección
asociada a un Interfaz, que es desconocida en el momento de configurar el equipo, porque, por
ejemplo, será asignada por algún otro mecanismo como pudiera ser PPP.
En el caso de configurar una dirección IP se debe introducir la dirección IP y su máscara de subred, en
el caso de configurar un Interfaz se debe introducir el nombre de éste.
Sintaxis:
a) Dirección IP
Extended Access List #>entry <id> destination address <dirección> <máscara>
b) Interfaz
Extended Access List #>entry <id> destination address interface <interfaz>
Ejemplo:
a) Dirección IP
Extended Access List 100>entry 3 destination address 192.168.4.5 255.255.255.255
Extended Access List 100>
b) Interfaz
Extended Access List 100>entry 3 destination address interface serial0/0
Extended Access List 100>
• ENTRY <id> DESTINATION PORT-RANGE
Establece la sentencia para el puerto ‘destino’ del paquete IP.
Este comando debe ir seguido de dos números. El primero indica el identificador de puerto en el límite
inferior del rango, y el segundo el identificador en el límite superior. En caso de no desear un rango,
basta con poner ambos valores iguales. El valor de ambos identificadores de puerto puede tomar
valores entre 0 y 65535.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos puertos.
Sintaxis:
Extended Access List #>entry <id> destination port-range <puerto_inf> <puerto_sup>
Ejemplo:
Extended Access List 100>entry 3 destination port-range 2 4
Extended Access List 100>
ROUTER TELDAT – Control de acceso Configuración
II - 19
Doc.DM752
Rev.10.50
f) ENTRY <id> PROTOCOL
Establece la sentencia del protocolo del paquete IP. Este comando debe ir seguido del número de
protocolo (un valor entre 0 y 255) o bien del nombre del mismo. Si se especifica protocolo IP se
admitirá cualquier protocolo.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos.
Sintaxis:
Extended Access List #>entry <id> protocol ?
<0..255>
An IP protocol number
esp
Encapsulation Security Payload
gre
Generic Routing Encapsulation
icmp
Internet Control Message Protocol
igmp
Internet Gateway Message Protocol
ip
Any Internet Protocol
ospf
OSPF routing protocol
pim
Protocol Independent Multicast
tcp
Transmission Control Protocol
udp
User Datagram Protocol
Ejemplo:
Extended Access List 100>entry 3 protocol icmp
Extended Access List 100>
g) ENTRY <id> PROTOCOL-RANGE
Establece la sentencia del protocolo o rango de protocolos del paquete IP. Este comando debe ir
seguido de dos números. El primero indica el identificador de protocolo en el límite inferior del rango,
y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner
ambos valores iguales. El valor de ambos identificadores de protocolo puede tomar valores entre 0 y
255.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos.
Sintaxis:
Extended Access List #>entry <id> protocol-range <prot_inferior> <prot_superior>
Ejemplo:
Extended Access List 100>entry 3 protocol-range 21 44
Extended Access List 100>
h) ENTRY <id> DSCP
Establece la sentencia de Control de Acceso en base al valor del byte de Tipo de Servicio del paquete
IP. Puede tomar valores entre 0 y 255.
Sintaxis:
Extended Access List #>entry <id> dscp <valor>
Ejemplo:
Extended Access List 100>entry 3 dscp 12
Extended Access List 100>
i) ENTRY <id> CONNECTION
Permite asociar el identificador de la conexión entre interfaces a una entrada de la Lista de Control de
Acceso. Esta conexión identifica la interfaz lógica por la que se enrutaría el paquete; se configura en
las reglas de IP. Al establecer esta relación, se puede asociar el tráfico no sólo por la dirección origen,
destino, etc, del paquete, sino también por el interfaz concreto de cone xión.
Dejar la conexión sin especificar, o poner conexión cero, hace que la conexión no se considere este
parámetro a la hora de ejecutar el Control de Acceso.
ROUTER TELDAT – Control de acceso Configuración
II - 20
Doc.DM752
Rev.10.50
Cuando se lista la entrada, aparecerá una interrogación al lado de la conexión (p. ej, Conn:1?) si ésta
no existe.
Sintaxis:
Extended Access List #>entry <id> connection <valor>
Ejemplo:
Suponiendo que exista la siguiente regla definida en IP:
ID
1
Local Address --> Remote Address
172.24.70.1
--> 172.24.70.2
Timeout
0
Firewall
NO
NAPT
NO
Esto identifica una conexión concreta, entre una dirección local del router y un extremo (el resto de
parámetros no se consideran). Definimos entonces una entrada en la Lista de Control de Acceso, con
el identificador de esta conexión ( 1 ) como sentencia:
Extended Access List 100>entry 10 connection 1
j) ENTRY <id> DESCRIPTION
Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso
de la entrada.
Sintaxis:
Extended Access List 1>entry <id> description ?
<1..64 chars>
Description text
Ejemplo:
Extended Access List 100>entry 1 description “primera entrada”
Extended Access List 100>
5.3. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está
siendo editada, es decir, la que su identificador está indicado en el prompt del menú.
Sintaxis:
Extended Access List #>list
all-entries
address-filter-entries
entry
?
Display any entry of this access-list
Display the entries that match an ip address
Display one entry of this access-list
a) LIST ALL-ENTRIES
Muestra todas las entrada de configuración de la Listas de Control de Acceso, es decir, toda la
configuración de la misma.
Sintaxis:
Extended Access List #>list all-entries
Ejemplo:
Extended Access List 100>list all-entries
Extended Access List 100, assigned to no protocol
1
PERMIT
SRC=172.25.54.33/32
DES=192.34.0.0/16
Conn:0
ROUTER TELDAT – Control de acceso Configuración
II - 21
Doc.DM752
Rev.10.50
PROT=21
2
DENY
SRC=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Extended Access List 100>
b) LIST ADDRESS-FILTER-ENTRIES
Muestra las entrada de configuración de la Listas de Control de Acceso que contienen una determinada
dirección IP.
Sintaxis:
Extended Access List #>list address-filter-entries <dirección> <subred>
Ejemplo:
Extended Access List 100>list address-filter-entries 172.25.54.33 255.255.255.255
Extended Access List 100, assigned to no protocol
1
PERMIT SRC=172.25.54.33/32
PROT=21
DES=192.34.0.0/16
Conn:0
Extended Access List 100>
c) LIST ENTRY
Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a
continuación del comando.
Sintaxis:
Extended Access List #>list entry <id>
Ejemplo:
Extended Access List 100>list entry 1
Extended Access List 100, assigned to no protocol
1
PERMIT SRC=172.25.54.33/32
PROT=21
DES=192.34.0.0/16
Conn:0
Extended Access List 100>
5.4. MOVE-ENTRY
Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de
otra que se indica, dentro de la Lista de Control de Acceso.
El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a
continuación se introduce el identificador de la posición por delante de la cual se desea colocar la
entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se
pone un cero (‘0’) como identificador final.
Sintaxis:
Extended Access List #>move-entry <entrada_a_mover> <entrada_destino>
Ejemplo:
Extended Access List 100>list all-entries
Extended Access List 100, assigned to no protocol
1
PERMIT
SRC=172.32.55.33/32
DES=172.33.44.32/32
ROUTER TELDAT – Control de acceso Configuración
II - 22
Conn:0
Doc.DM752
Rev.10.50
DPORT=1024-65535
2
PERMIT SRC=192.233.33.11/32
PROT=33-102
3
DENY
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
Extended Access List 100>move-entry 1 0
Extended Access List 100>list all-entries
Extended Access List 100, assigned to no protocol
2
PERMIT SRC=192.233.33.11/32
PROT=33-102
3
DENY
1
PERMIT SRC=172.32.55.33/32
DPORT=1024-65535
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
DES=172.33.44.32/32
Conn:0
Extended Access List 100>
5.5. DESCRIPTION
Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita
más tarde entender mejor su propósito o función.
Sintaxis:
Extended Access List #>description ?
<1..64 chars>
Description text
Ejemplo:
Extended Access List 1>description “lista para ipsec”
Extended Access List 1>list all
Extended Access List 100, assigned to no protocol
Description: lista para ipsec
2
PERMIT SRC=192.233.33.11/32
PROT=33-102
3
DENY
1
PERMIT SRC=172.32.55.33/32
DPORT=1024-65535
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
DES=172.33.44.32/32
Conn:0
5.6. NO
Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos
parámetros.
Sintaxis:
Extended Access List #>no ?
entry
Configure an entry for this access-list
a) NO ENTRY
Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista
que se desea eliminar.
ROUTER TELDAT – Control de acceso Configuración
II - 23
Doc.DM752
Rev.10.50
Sintaxis:
Extended Access List #>no entry <id>
Ejemplo:
Extended Access List 100>no entry 3
Extended Access List 100>
5.7. EXIT
Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del
menú principal de Control de Acceso.
Sintaxis:
Extended Access List #>exit
Ejemplo:
Extended Access List 100>exit
Access Lists config>
ROUTER TELDAT – Control de acceso Configuración
II - 24
Doc.DM752
Rev.10.50
6. Show Config
Show Config es una herramienta de la consola de configuración (PROCESS 4), que permite listar los
comandos necesarios para configurar el router a partir de una configuración vacía (no conf).
Este comando se puede utilizar, tanto para copiar configuraciones, como para listarlas, o simplemente
para visualizarlas.
Show Config parte de la configuración definida internamente por defecto, generando los comandos de
la parte de configuración que difiere de ésta.
Show Config puede incorporar comentarios, que van después de punto y coma (‘;’).
El comando se puede ejecutar desde cualquier menú, mostrando la configuración introducida en todos
los submenús que cuelgan del actual.
Ejemplo:
Access Lists config>show conf
; Showing Menu and Submenus Configuration ...
; C3G IPSec Router 1 29 Version 10.1.xPA
access-list 1
;
entry 1 default
entry 1 permit
entry 1 source address 192.60.1.24 255.255.255.255
;
entry 2 default
entry 2 permit
;
exit
;
access-list 100
;
entry
entry
entry
entry
1
1
1
1
default
permit
source address 172.34.53.23 255.255.255.255
protocol-range 10 255
;
entry 2 default
entry 2 deny
;
exit
;
Access Lists config>
Con la lista de comandos obtenidos en el show config se puede copiar, editar, modificándola, de
manera que puede servir como plantilla para posteriores configuraciones.
ROUTER TELDAT – Control de acceso Configuración
II - 25
Doc.DM752
Rev.10.50
7. Ejemplo práctico
Se trata de crear una nueva red privada virtual (VPN) entre el Host A y el Host B. El resto del tráfico
entre las redes privadas se dejará pasar de modo normal. Crearemos un Túnel IPSec entre ambos Ho st.
Para ello en primer lugar se debe crear la Lista de Control de Acceso que utilizará IPSec como filtro de
tráfico. En este ejemplo solamente se muestra cómo se hace la configuración de las Listas de Acceso y
la asociación del Túnel IPSec a la misma.
HOST A
HOST B
172.24.51.57
172.60.1.163
200.200.200.2
200.200.200.1
Red Privada 1
Red Pública
Router 1
Red Privada 2
Router 2
• Creación de las listas de control de acceso
La configuración que se debe introducir al Router 1 será:
Config>feature access-lists
-- Access Lists user configuration -Access Lists config>access-list 101
Extended Access List 101>entry 1 source address 172.24.51.57 255.255.255.255
Extended Access List 101>entry 1 destination address 172.60.1.163 255.255.255.255
Extended Access List 101>
La lista de acceso configurada queda por tanto:
Extended Access List 101>list all-entries
Extended Access List 101, assigned to no protocol
1
PERMIT
SRC=172.24.51.57/32
DES=172.60.1.163/32
Conn:0
Extended Access List 101>
Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión
introduciendo ésta en la consola tal y como aparece:
ROUTER TELDAT – Control de acceso Configuración
II - 26
Doc.DM752
Rev.10.50
Extended Access List 101>show conf
; Showing Menu and Submenus Configuration ...
; C3G IPSec Router 1 29 Version 10.1.xPA
entry
entry
entry
entry
1
1
1
1
default
permit
source address 172.24.51.57 255.255.255.255
destination address 172.60.1.163 255.255.255.255
;
Extended Access List 101>
La configuración que se debe introducir al Router 2 será:
Config>feature access-lists
-- Access Lists user configuration -Access Lists config>access-list 101
Extended Access List 101>entry 1 source address 172.60.1.163 255.255.255.255
Extended Access List 101>entry 1 destination address 172.24.51.57 255.255.255.255
Extended Access List 101>
La lista de acceso configurada queda por tanto:
Extended Access List 101>list all-entries
Extended Access List 101, assigned to no protocol
1
PERMIT
SRC=172.60.1.163/32
DES=172.24.51.57/32
Conn:0
Extended Access List 101>
Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión
introduciendo ésta en la consola tal y como aparece:
Extended Access List 101>show conf
; Showing Menu and Submenus Configuration ...
; C3G IPSec Router 1 29 Version 10.1.xPA
entry
entry
entry
entry
1
1
1
1
default
permit
source address 172.60.1.163 255.255.255.255
destination address 172.24.51.57 255.255.255.255
;
Extended Access List 101>
• Asociación de Lista de acceso a Protocolo IPSec
Para completar las bases de datos de políticas de Seguridad (SPD) IPSec, es necesario “mapear” los
elementos de la Lista de Control de Acceso a los Templates elegidos.
En este caso la operación es la misma en los dos routers, debido a que en los dos routers se ha puesto
la Lista de Control de Acceso con el mismo identificador (101).
ROUTER TELDAT – Control de acceso Configuración
II - 27
Doc.DM752
Rev.10.50
Config>p ip
-- Internet protocol user configuration -IP config>ipse
-- IPSec user configuration -IPSec config>assign-access-list 101
IPSec config>template 2 def
IPSec config>map-template 101 2
IPSec config>
Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión
introduciendo ésta en la consola tal y como aparece:
IPSec config>show conf
; Showing Menu and Submenus Configuration ...
; C3G IPSec Router 1 29 Version 10.1.xPA
assign-access-list 101
;
template 2 default
template 2 manual esp des md5
;
map-template 101 2
IPSec config>
ROUTER TELDAT – Control de acceso Configuración
II - 28
Doc.DM752
Rev.10.50
Capítulo 3
Monitorización
1. Comandos de Monitorización
En esta sección se detallan los comandos que permiten utilizar las herramientas de monitor ización de
la facilidad de Listas de Control de Acceso. Para poder introducir estos comandos es necesario acceder
al prompt de monitorización de la facilidad de Listas de Acceso.
Para acceder al entorno de monitorización de la facilidad de Listas de Acceso , se debe introducir el
comando FEATURE ACCESS LIST en el prompt de monitorización general (+).
Ejemplo:
+ feature access list
-- Access Lists user console -Access Lists>
El router dispone una caché que mantiene las últimas direcciones encontradas, con el fin de que el
periodo de búsqueda dentro de las Lista de Acceso se minimice. En los listados se indica las entradas
de cada Lista que están introducidas en la caché.
Dentro del entorno de monitorización de la facilidad de Lista de Control de Acceso se dispone de los
siguientes comandos:
Comando
Función
? (AYUDA)
Lista los comandos u opciones disponibles.
Muestra la configuración de las listas de acceso.
Borra todas las entradas en la caché de Listas de Acceso.
Configura el número disponible de entradas de caché.
Al listar presenta los manejadores asociados.
Al listar oculta los manejadores asociados.
LIST
CLEAR-CACHE
SET-CACHE-SIZE
SHOW-HANDLES
HIDE-HANDLES
1.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Access Lists>?
Ejemplo:
Access Lists>?
LIST
CLEAR-CACHE
SET-CACHE-SIZE
SHOW-HANDLES
HIDE-HANDLES
EXIT
Access Lists>
ROUTER TELDAT – Control de acceso Monitorización
III - 30
Doc.DM752
Rev.10.50
1.2. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que
están activas. Como estadístico interesante, aparece el número de ocurrencias que se han dado en una
entrada, es decir el número de veces que un paquete ha coincido con las sentencias de la entrada
(Hits).
El router dispone una caché que mantiene las últimas direcciones encontradas, con el fin de que el
periodo de búsqueda dentro de las Lista de Acceso se minimice. En algunos listados se indican las
entradas de cada Lista que están introducidas en la caché.
Sintaxis:
Access Lists>list ?
ALL
CACHE
ENTRIES
a) LIST ALL
Muestra todas las entradas de configuración de las Listas de Control de Acceso, es decir, toda la
configuración de la misma. Se presentan las entradas configuradas y las que están dentro de la caché.
Este comando debe ir seguido de otros que permiten especificar con más detalle la información a
mostrar.
Sintaxis:
Access Lists>list all ?
ALL-ACCESS-LISTS
ADDRESS-FILTER-ACCESS-LISTS
ACCESS-LIST
• LIST ALL ALL-ACCESS-LISTS
Muestra todas las listas de control de acceso de la configuración activa. Se presentan las entradas
configuradas y las que están dentro de la caché.
Ejemplo:
Access Lists>list all all-access-lists
Standard Access List 1, assigned to no protocol
ACCESS LIST ENTRIES
PERMIT SRC=234.233.44.33/32
Hits: 0
3
1
DENY
SRC=192.23.33.22/32
Hits: 0
Extended Access List 100, assigned to no protocol
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 0
1
DES=192.34.0.0/16
2
DENY
SRC=0.0.0.0/0
Hits: 0
DES=0.0.0.0/0
Conn:0
3
PERMIT
DES=0.0.0.0/0
Conn:33?
SRC=0.0.0.0/0
Conn:0
ROUTER TELDAT – Control de acceso Monitorización
III - 31
Doc.DM752
Rev.10.50
PROT=21-44
Hits: 0
SPORT=34-56
DPORT=2-4
Extended Access List 101, assigned to IPSec
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES
PERMIT SRC=172.24.51.57/32
Hits: 0
1
2
PERMIT SRC=0.0.0.0/0
Hits: 0
DES=172.60.1.163/32
DES=0.0.0.0/0
Conn:0
Conn:0
Extended Access List 103, assigned to no protocol
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES
PERMIT SRC=1.0.0.0/8 DES=2.0.0.0/8 Conn:0
PROT=23-43 SPORT=23-45 DPORT=23-43
DSCP=0
Hits: 0
1
Access Lists>
• LIST ALL ADDRESS-FILTER-ACCESS-LISTS
Muestra todas entradas de las Listas de Control de Acceso que contienen la dirección IP y la máscara
de subred que se incluye en el patrón de búsqueda que introduce a continuación del comando.
También se presentan las listas que hay disponibles. Se presentan las entradas configuradas y las que
están dentro de la caché Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las
Lista de Acceso.
Sintaxis:
Access Lists>list all address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists>list all address-filter-access-lists 172.24.51.57 255.255.255.255
Standard Access List 1, assigned to no protocol
ACCESS LIST ENTRIES
Extended Access List 100, assigned to no protocol
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES
Extended Access List 101, assigned to IPSec
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES
1
PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32
Hits: 0
Conn:0
Extended Access List 103, assigned to no protocol
ROUTER TELDAT – Control de acceso Monitorización
III - 32
Doc.DM752
Rev.10.50
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES
Access Lists>
• LIST ALL ACCESS-LIST
Muestra todas las entradas de una Lista de Control de Acceso.
Sintaxis:
Access Lists>list all access-list <id>
Ejemplo:
ACCESS-LIST
Access Lists>list all access-list 100
Extended Access List 100, assigned to no protocol
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 0
1
DES=192.34.0.0/16
2
DENY
SRC=0.0.0.0/0
Hits: 0
DES=0.0.0.0/0
3
PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0
PROT=21-44 SPORT=34-56 DPORT=2-4
Hits: 0
Conn:0
Conn:0
Conn:33?
Access Lists>
b) LIST CACHE
Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las
entradas que están en la caché. Este comando debe ir seguido de otros que permiten especificar con
más detalle la información a mostrar. Con este comando solamente se presenta la información de las
entradas que están en la caché.
Sintaxis:
Access Lists>list cache ?
ALL-ACCESS-LISTS
ADDRESS-FILTER-ACCESS-LISTS
ACCESS-LIST
• LIST CACHE ALL-ACCESS-LISTS
Muestra todas las entradas de las Listas de Control de Acceso que están en la caché.
Ejemplo:
Access Lists>list cache all-access-lists
Standard Access List 1, assigned to no protocol
Extended Access List 100, assigned to IPSec
ACCESS LIST CACHE. Hits = 1, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
1
PERMIT
SRC=172.24.51.57/32
DES=172.60.1.163/32
ROUTER TELDAT – Control de acceso Monitorización
III - 33
Conn:0
Doc.DM752
Rev.10.50
Hits: 1
Extended Access List 101, assigned to IPSec
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
Extended Access List 103, assigned to no protocol
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
Access Lists>
• LIST CACHE ADDRESS-FILTER-ACCESS-LISTS
Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las
entradas que están en la caché que contienen la dirección IP y la máscara de subred que se incluye en
el patrón de búsqueda que introduce a continuación del comando. Este comando debe ir seguido de
otros que permiten especificar con más detalle las Listas de Acceso a especificar. Si la dirección IP y
la máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso.
Sintaxis:
Access Lists>list cache address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists>list cache address-filter-access-lists 172.24.51.57 255.255.255.255
Standard Access List 1, assigned to no protocol
Extended Access List 100, assigned to no protocol
ACCESS LIST CACHE. Hits = 2, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
1
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 2
DES=192.34.0.0/16
Conn:0
Extended Access List 101, assigned to IPSec
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
Extended Access List 103, assigned to no protocol
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
Access Lists>
• LIST CACHE ACCESS-LIST
Muestra todas las entradas de una Lista de Control de Acceso que están en la caché.
Sintaxis:
Access Lists>list cache access-list <id>
Ejemplo:
Access Lists>list cache access-list 100
Extended Access List 100, assigned to no protocol
ROUTER TELDAT – Control de acceso Monitorización
III - 34
Doc.DM752
Rev.10.50
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
1
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 2
DES=192.34.0.0/16
Conn:0
Access Lists>
c) LIST ENTRIES
Muestra las entradas de las Listas de Control de Acceso que están en la configuración activa. Este
comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar.
Con este comando no se presenta la información de las entradas que están en la caché.
Sintaxis:
Access Lists>list entries ?
ALL-ACCESS-LISTS
ADDRESS-FILTER-ACCESS-LISTS
ACCESS-LIST
• LIST ENTRIES ALL-ACCESS-LISTS
Muestra todas las entradas de las Lista de Control de Acceso de la configuración activa.
Ejemplo:
Access Lists>list entries all-access-lists
Standard Access List 1, assigned to no protocol
ACCESS LIST ENTRIES
PERMIT SRC=234.233.44.33/32
Hits: 0
3
1
DENY
SRC=192.23.33.22/32
Hits: 0
Extended Access List 100, assigned to no protocol
ACCESS LIST ENTRIES
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 0
1
DES=192.34.0.0/16
2
DENY
SRC=0.0.0.0/0
Hits: 0
DES=0.0.0.0/0
3
PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0
PROT=21-44 SPORT=34-56 DPORT=2-4
Hits: 0
Conn:0
Conn:0
Conn:33?
Extended Access List 101, assigned to IPSec
ACCESS LIST ENTRIES
PERMIT SRC=172.24.51.57/32
Hits: 0
1
2
PERMIT SRC=0.0.0.0/0
Hits: 0
DES=172.60.1.163/32
DES=0.0.0.0/0
Conn:0
Conn:0
Extended Access List 103, assigned to no protocol
ACCESS LIST ENTRIES
PERMIT SRC=1.0.0.0/8
1
DES=2.0.0.0/8
Conn:0
ROUTER TELDAT – Control de acceso Monitorización
III - 35
Doc.DM752
Rev.10.50
PROT=23-43
DSCP=0
Hits: 0
SPORT=23-45
DPORT=23-43
Access Lists>
• LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS
Muestra todas las entradas de las Listas de Control de Acceso, de la configuración activa, que
contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda, que se
introduce a continuación del comando. Si la dirección IP y la máscara introducidas son 0.0.0.0 se
listan todas las Lista de Acceso.
Sintaxis:
Access Lists>list entries address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists>list entries address-filter-access-lists 172.24.51.57 255.255.255.255
Standard Access List 1, assigned to no protocol
ACCESS LIST ENTRIES
Extended Access List 100, assigned to no protocol
ACCESS LIST ENTRIES
Extended Access List 101, assigned to IPSec
ACCESS LIST ENTRIES
PERMIT SRC=172.24.51.57/32
Hits: 0
1
DES=172.60.1.163/32
Conn:0
Extended Access List 103, assigned to no protocol
ACCESS LIST ENTRIES
Access Lists>
• LIST ENTRIES ACCESS-LIST
Muestra todas las entradas de una Lista de Control de Acceso.
Sintaxis:
Access Lists>list entries access-list <id>
Ejemplo:
Access Lists>list entries access-list 100
Extended Access List 100, assigned to no protocol
ACCESS LIST ENTRIES
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 0
1
DES=192.34.0.0/16
2
DENY
SRC=0.0.0.0/0
Hits: 0
DES=0.0.0.0/0
3
PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0
PROT=21-44 SPORT=34-56 DPORT=2-4
Hits: 0
Conn:0
Conn:0
Conn:33?
Access Lists>
ROUTER TELDAT – Control de acceso Monitorización
III - 36
Doc.DM752
Rev.10.50
1.3. CLEAR-CACHE
Elimina todas las entradas de una Lista de Control de Acceso concreta de la caché que procesa las
Listas de Control de Acceso.
Sintaxis:
Access Lists>clear-cache <id>
Ejemplo:
Access Lists>clear-cache 100
Cache cleared.
Access Lists>
1.4. SET-CACHE-SIZE
Permite configurar el tamaño de la caché para una Lista de Control de Acceso. El tamaño está definido
por el número de entradas que permite la caché.
Sintaxis:
Access Lists>set-cache-size <id> <tamaño>
Ejemplo:
Access Lists>set-cache-size 100 33
Cache cleared.
Access Lists>
1.5. SHOW-HANDLES
Al introducir este comando, en entre los datos presentados con el comando LIST, aparece información
para depuración en cada entrada.
1.6. HIDE-HANDLES
Al introducir este comando se deshabilita que, entre los datos presentados con el comando LIST,
aparezca información para depuración en cada entrada.
ROUTER TELDAT – Control de acceso Monitorización
III - 37
Doc.DM752
Rev.10.50
Capítulo 4
Anexo
1. Puerto Reservados
En IP versión 4 (IPv4) [RFC791], hay un campo denominado “puerto”. El campo puerto consta de 16
bits.
Los puertos son usados por TCP para nombrar los extremos de una conexión lógica en la cual se
mantiene una conversación. Con el propósito de proporcionar servicios a llamantes desconocidos, se
define un puerto de contacto para dicho servicio. Por ello, existe una lista que asigna números de
puertos predeterminados a servicios concretos.
Para posibles ampliaciones, esta misma asignación de puertos se utiliza con UDP.
Los números de puertos están divididos en tres rangos:
- Reservados (0-1023)
- Registrados (1024-49151)
- Dinámicos o privados (49152-65535)
La siguiente lista se muestran algunos de los Puertos Reservados más utilizado:
Keyword
------ftp-data
ftp-data
Decimal
------20/tcp
20/udp
Description
----------File Transfer [Default Data]
File Transfer [Default Data]
ftp
ftp
21/tcp
21/udp
File Transfer [Control]
File Transfer [Control]
telnet
telnet
23/tcp
23/udp
Telnet
Telnet
smtp
smtp
25/tcp
25/udp
Simple Mail Transfer
Simple Mail Transfer
nameserver
nameserver
42/tcp
42/udp
Host Name Server
Host Name Server
domain
domain
53/tcp
53/udp
Domain Name Serv er
Domain Name Server
tftp
tftp
69/tcp
69/udp
Trivial File Transfer
Trivial File Transfer
gopher
gopher
70/tcp
70/udp
Gopher
Gopher
http
http
80/tcp
80/udp
World Wide Web HTTP
World Wide Web HTTP
snmp
snmp
161/tcp
161/udp
SNMP
SNMP
snmptrap
snmptrap
162/tcp
162/udp
SNMPTRAP
SNMPTRAP
ROUTER TELDAT – Control de acceso Anexo
IV - 39
Doc.DM752
Rev.10.50
2. Protocolos Reservados
En IP versión 4 (IPv4) [RFC791], hay un campo denominado protocolo, el cual identifica el siguiente
nivel de protocolo. El campo protocolo consta de 8 bits. En IP versión 6 (IPv6) [RFC1883] este campo
se denomina “Next Header”.
Asignación de números de Protocolos de Internet:
Decimal
------0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
Keyword
------HOPOPT
ICMP
IGMP
GGP
IP
ST
TCP
CBT
EGP
IGP
Protocol
References
----------------IPv6 Hop-by-Hop Option
[RFC1883]
Internet Control Message
[ RFC792]
Internet Group Management
[RFC1112]
Gateway-to-Gateway
[RFC823]
IP in IP (encapsulation)
[RFC2003]
Stream
[RFC1190,RFC1819]
Transmission Control
[RFC793]
CBT
[Ballardie]
Exterior Gateway Protocol
[RFC888,DLM1]
any private interior gateway
[IANA]
(used by Cisco for their IGRP)
BBN-RCC-MON BBN RCC Monitoring
[SGC]
NVP-II
Network Voice Protocol
[RFC741,SC3]
PUP
PUP
[PUP,XEROX]
ARGUS
ARGUS
[RWS4]
EMCON
EMCON
[BN7]
XNET
Cross Net Debugger
[IEN158,JFH2]
CHAOS
Chaos
[NC3]
UDP
User Datagram
[RFC768,JBP]
MUX
Multiplexing
[IEN90,JBP]
DCN-MEAS
DCN Measurement Subsystems
[DLM1]
HMP
Host Monitoring
[RFC869,RH6]
PRM
Packet Radio Measurement
[ZSU]
XNS-IDP
XEROX NS IDP
[ETHERNET,XEROX]
TRUNK-1
Trunk-1
[BWB6]
TRUNK-2
Trunk-2
[BWB6]
LEAF-1
Leaf-1
[BWB6]
LEAF-2
Leaf-2
[BWB6]
RDP
Reliable Data Protocol
[RFC908,RH6]
IRTP
Internet Reliable Transaction
[RFC938,TXM]
ISO-TP4
ISO Transport Protocol Class 4
[RFC905,RC77]
NETBLT
Bulk Data Transfer Protocol
[RFC969,DDC1]
MFE-NSP
MFE Network Services Protocol
[MFENET,BCH2]
MERIT-INP
MERIT Internodal Protocol
[HWB]
SEP
Sequential Exchange Protocol
[JC120]
3PC
Third Party Connect Protocol
[SAF3]
IDPR
Inter-Domain Policy Routing Protocol
[MXS1]
XTP
XTP
[GXC]
DDP
Datagram Delivery Protoco l
[WXC]
IDPR-CMTP
IDPR Control Message Transport Proto
[MXS1]
TP++
TP++ Transport Protocol
[DXF]
IL
IL Transport Protocol
[Presotto]
IPv6
Ipv6
[Deering]
SDRP
Source Demand Routing Protocol
[DXE1]
IPv6-Route Routing Header for IPv6
[Deering]
IPv6-Frag
Fragment Header for IPv6
[Deering]
IDRP
Inter-Domain Routing Protocol
[Sue Hares]
ROUTER TELDAT – Control de acceso Anexo
IV - 40
Doc.DM752
Rev.10.50
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
RSVP
GRE
MHRP
BNA
ESP
AH
I-NLSP
SWIPE
NARP
MOBILE
TLSP
Reservation Protocol
[Bob Braden]
General Routing Encapsulation
[Tony Li]
Mobile Host Routing Pro tocol
[David Johnson]
BNA
[Gary Salamon]
Encapsulating Security Payload
[RFC1827]
Authentication Header
[RFC1826]
Integrated Net Layer Security TUBA
[GLENN]
IP with Encryption
[JI6]
NBMA Address Resolution Protocol
[RFC1735]
IP Mobility
[Perkins ]
Transport Layer Security Protocol
[Oberg]
using Kryptonet key management
SKIP
SKIP
[Markson]
IPv6-ICMP
ICMP for IPv6
[RFC1883]
IPv6-NoNxt No Next Header for IPv6
[RFC1883]
IPv6-Opts
Destination Options for IPv6
[RFC1883]
any host internal protocol
[IANA]
CFTP
CFTP
[CFTP,HCF2]
any local network
[IANA]
SAT-EXPAK
SATNET and Backroom EXPAK
[SHB]
KRYPTOLAN
Kryptolan
[PXL1]
RVD
MIT Remote Virtual Disk Protocol
[MBG]
IPPC
Internet Pluribus Packet Core
[SHB]
any distributed file system
[IANA]
SAT-MON
SATNET Monitoring
[SHB]
VISA
VISA Protocol
[GXT1]
IPCV
Internet Packet Core Utility
[SHB]
CPNX
Computer Protocol Network Executive
[DXM2]
CPHB
Computer Protocol Heart Beat
[DXM2]
WSN
Wang Span Network
[VXD]
PVP
Packet Video Protocol
[SC3]
BR-SAT-MON Backroom SATNET Monitoring
[SHB]
SUN-ND
SUN ND PROTOCOL-Temporary
[WM3]
WB-MON
WIDEBAND Monitoring
[SHB]
WB-EXPAK
WIDEBAND EXPAK
[SHB]
ISO-IP
ISO Internet Protocol
[MTR]
VMTP
VMTP
[DRC3]
SECURE-VMTP SECURE-VMTP
[DRC3]
VINES
VINES
[BXH]
TTP
TTP
[JXS]
NSFNET-IGP NSFNET-IGP
[HWB]
DGP
Dissimilar Gateway Protocol
[DGP,ML109]
TCF
TCF
[GAL5]
EIGRP
EIGRP
[CISCO,GXS]
OSPFIGP
OSPFIGP
[RFC1583,JTM4]
Sprite-RPC Sprite RPC Protocol
[SPRITE,BXW]
LARP
Locus Address Resolution Protoc ol
[BXH]
MTP
Multicast Transport Protocol
[SXA]
AX.25
AX.25 Frames
[BK29]
IPIP
IP-within-IP Encapsulation Protocol
[JI6]
MICP
Mobile Internetworking Control Pro.
[JI6]
SCC-SP
Semaphore Communications Sec. Pro.
[HXH]
ETHERIP
Ethernet-within-IP Encapsulation
[RDH1]
ENCAP
Encapsulation Header
[RFC1241,RXB3]
any private encryption scheme
[IANA]
GMTP
GMTP
[RXB5]
IFMP
Ipsilon Flow Management Protocol
[Hinden]
PNNI
PNNI over IP
[Callon]
PIM
Protocol Independent Multicast
[Farinacci]
ROUTER TELDAT – Control de acceso Anexo
IV - 41
Doc.DM752
Rev.10.50
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135-254
255
ARIS
SCPS
QNX
A/N
IPComp
SNP
Compaq-Peer
IPX-in-IP
VRRP
PGM
ARIS
[Feldman]
SCPS
[Durst]
QNX
[Hunter]
Active Networks
[Braden]
IP Payload Compression Protocol
[RFC2393]
Sitara Networks Protocol
[Sridhar]
Compaq Peer Protocol
[Volpe]
IPX in IP
[Lee]
Virtual Router Redundancy Protocol
[Hinden]
PGM Reliable Transport Prot ocol
[Speakman]
any 0-hop protocol
[IANA]
L2TP
Layer Two Tunneling Protocol
[Aboba]
DDX
D-II Data Exchange (DDX)
[Worley]
IATP
Interactive Agent Transfer Protocol
[Murphy]
STP
Schedule Transfer Protocol
[JMP]
SRP
SpectraLink Radio Protocol
[Hamilton]
UTI
UTI
[Lothberg]
SMP
Simple Message Protocol
[Ekblad]
SM
SM
[Crowcroft]
PTP
Performance Transparency Protocol
[Welzl]
ISIS over IPv4
[Przygienda]
FIRE
[Partridge]
CRTP
Combat Radio Transport Protocol
[Sautter]
CRUDP
Combat Radio User Datagram
[Sautter]
SSCOPMCE
[Waber]
IPLT
[Hollbach]
SPS
Secure Packet Shield
[McIntosh]
PIPE
Private IP Encapsulation within IP
[Petri]
SCTP
Stream Control Transmission Protocol [Stewart]
FC
Fibre Channel
[Rajagopal]
RSVP-E2E-IGNORE
[RFC3175]
Unassigned
[IANA]
Reserved
[IANA]
ROUTER TELDAT – Control de acceso Anexo
IV - 42
Doc.DM752
Rev.10.50
Descargar