Dm752v10-91 Control de Acceso

Router Teldat
Control de Acceso
Doc. DM752 Rev. 10.91
Junio, 2013
ÍNDICE
Capítulo 1 Introducción ....................................................................................................1

1. Listas de Control de Acceso ............................................................................................... 2
Capítulo 2 Configuración..................................................................................................3
1. Introducción ....................................................................................................................... 4
2. Acceso a configuración ...................................................................................................... 5
3. Menú principal de configuración........................................................................................ 6
3.1. ? (AYUDA) ............................................................................................................. 7
3.2. ACCESS-LIST ........................................................................................................ 7
3.3. LIST ........................................................................................................................ 7
a) LIST ALL-ACCESS-LISTS ...................................................................................... 8
b) LIST STANDARD-ACCESS-LISTS ......................................................................... 8
c) LIST EXTENDED-ACCESS-LISTS ......................................................................... 8
3.4. NO ........................................................................................................................... 9
a) NO ACCESS-LIST ................................................................................................... 9
3.5. EXIT ....................................................................................................................... 9
4. Listas de Acceso Genéricas ................................................................................................ 10
4.1. ? (AYUDA) ............................................................................................................. 10
4.2. ENTRY ................................................................................................................... 10
a) ENTRY <id> DEFAULT ......................................................................................... 11
b) ENTRY <id> PERMIT ............................................................................................ 11
c) ENTRY <id> DENY ................................................................................................ 11
d) ENTRY <id> SOURCE ........................................................................................... 12
• ENTRY <id> SOURCE ADDRESS ............................................................ 12
e) ENTRY <id> DESCRIPTION ................................................................................. 13
4.3. LIST ........................................................................................................................ 13
a) LIST ALL-ENTRIES ................................................................................................ 14
b) LIST ADDRESS-FILTER-ENTRIES........................................................................ 14
c) LIST ENTRY ............................................................................................................ 14
4.4. MOVE-ENTRY ...................................................................................................... 14
4.5. DESCRIPTION....................................................................................................... 15
4.6. NO ........................................................................................................................... 15
a) NO ENTRY .............................................................................................................. 16
b) NO DESCRIPTION ................................................................................................. 16
4.7. EXIT ....................................................................................................................... 16
5. Listas de Acceso Extendidas .............................................................................................. 17
5.1. ? (AYUDA) ............................................................................................................. 17
5.2. ENTRY ................................................................................................................... 17
b) ENTRY <id> PERMIT ............................................................................................ 18
c) ENTRY <id> DENY ................................................................................................ 18
d) ENTRY <id> SOURCE ........................................................................................... 19
• ENTRY <id> SOURCE ADDRESS ............................................................ 19
• ENTRY <id> SOURCE PORT-RANGE..................................................... 20
e) ENTRY <id> DESTINATION ................................................................................. 21
• ENTRY <id> DESTINATION ADDRESS ................................................. 21
• ENTRY <id> DESTINATION PORT-RANGE .......................................... 23
f) ENTRY <id> PROTOCOL...................................................................................... 23
g) ENTRY <id> PROTOCOL-RANGE ....................................................................... 24
h) ENTRY <id> DS-FIELD ......................................................................................... 24
i) ENTRY <id> LABEL .............................................................................................. 24
- ii -
j) ENTRY <id> PRECEDENCE ................................................................................. 25
k) ENTRY <id> TCP-SPECIFIC ESTABLISHED ...................................................... 25
l) ENTRY <id> TOS-OCTET ..................................................................................... 25
m) ENTRY <id> CONNECTION ................................................................................. 25
n) ENTRY <id> DESCRIPTION ................................................................................. 26
5.3. LIST ........................................................................................................................ 26
a) LIST ALL-ENTRIES ................................................................................................ 26
b) LIST ADDRESS-FILTER-ENTRIES........................................................................ 27
c) LIST ENTRY ............................................................................................................ 27
5.4. MOVE-ENTRY ...................................................................................................... 27
5.5. DESCRIPTION....................................................................................................... 28
5.6. NO ........................................................................................................................... 28
a) NO ENTRY .............................................................................................................. 28
b) NO DESCRIPTION ................................................................................................. 29
5.7. EXIT ....................................................................................................................... 29
6. Listas de Acceso Stateful ................................................................................................... 30
6.1. ? (AYUDA) ............................................................................................................. 30
6.2. ENTRY ................................................................................................................... 30
b) ENTRY <id> LABEL .............................................................................................. 32
c) ENTRY <id> DENY ................................................................................................ 32
d) ENTRY <id> DESCRIPTION ................................................................................. 32
e) ENTRY <id> DESTINATION ADDRESS ............................................................... 33
f) ENTRY <id> DESTINATION TCP PORT .............................................................. 33
g) ENTRY <id> DESTINATION UDP PORT ............................................................. 33
h) ENTRY <id> HEX-STRING.................................................................................... 33
i) ENTRY <id> IN-INTERFACE ................................................................................ 33
j) ENTRY <id> IPSEC ............................................................................................... 34
k) ENTRY <id> LENGTH INTERVAL ........................................................................ 34
l) ENTRY <id> NO..................................................................................................... 34
m) ENTRY <id> PROTOCOL...................................................................................... 34
n) ENTRY <id> PROTOCOL-RANGE ....................................................................... 35
o) ENTRY <id> PEER2PEER ..................................................................................... 35
p) ENTRY <id> PERMIT ............................................................................................ 35
q) ENTRY <id> RATE-LIMIT ..................................................................................... 35
r) ENTRY <ID> CONN-LIMIT .................................................................................. 36
s) ENTRY <id> TCP-FLAGS...................................................................................... 36
t) ENTRY <id> SOURCE ADDRESS ......................................................................... 36
u) ENTRY <id> SOURCE TCP PORT ........................................................................ 37
v) ENTRY <id> SOURCE UDP PORT ....................................................................... 37
w) ENTRY <id> STRING............................................................................................. 37
x) ENTRY <id> STUN ................................................................................................ 37
y) ENTRY <id> RTP ................................................................................................... 37
z) ENTRY <id> SESSION EXPIRE ............................................................................ 38
aa) ENTRY <id> SESSION STATE............................................................................... 38
bb) ENTRY <id> SESSION-MARK ............................................................................... 38
cc) ENTRY <id> HTTP-FILTER .................................................................................. 39
dd) ENTRY <id> WEBSTR ........................................................................................... 40
ee) ENTRY <id> WEBURL .......................................................................................... 41
6.3. NO ........................................................................................................................... 41
a) NO ENTRY .............................................................................................................. 41
7. Show Config....................................................................................................................... 42
8. Ejemplo práctico ................................................................................................................ 43
• Creación de las listas de control de acceso .................................................. 43
• Asociación de Lista de acceso a Protocolo IPSec ........................................ 44
Capítulo 3 Monitorización ................................................................................................46
1. Comandos de Monitorización ............................................................................................ 47
- iii -
1.1. ? (AYUDA) ............................................................................................................. 47
1.2. LIST ........................................................................................................................ 48
a) LIST ALL ................................................................................................................. 48
• LIST ALL ALL-ACCESS-LISTS ............................................................... 48
• LIST ALL ADDRESS-FILTER-ACCESS-LISTS ...................................... 49
• LIST ALL ACCESS-LIST .......................................................................... 50
b) LIST CACHE ........................................................................................................... 50
• LIST CACHE ALL-ACCESS-LISTS ......................................................... 50
• LIST CACHE ADDRESS-FILTER-ACCESS-LISTS ................................ 51
• LIST CACHE ACCESS-LIST ..................................................................... 51
c) LIST ENTRIES ........................................................................................................ 52
• LIST ENTRIES ALL-ACCESS-LISTS....................................................... 52
• LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS ............................. 53
• LIST ENTRIES ACCESS-LIST .................................................................. 53
1.3. CLEAR-CACHE ..................................................................................................... 54
1.4. SET-CACHE-SIZE ................................................................................................. 54
1.5. SHOW-HANDLES ................................................................................................. 54
1.6. HIDE-HANDLES ................................................................................................... 54
Capítulo 4 Anexo ...............................................................................................................55
1. Puerto Reservados .............................................................................................................. 56
2. Protocolos Reservados ....................................................................................................... 57
3. Valores de Protocolos en listas “stateful” .......................................................................... 60
- iv -
Capítulo 1
Introducción
1. Listas de Control de Acceso
Los routers se sirven de listas de control de acceso (ACL) para identificar el tráfico que pasa por ellos.
Las listas de acceso pueden filtrar el flujo de paquetes o rutas que pasan por los interfaces del router.
Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican
a direcciones IP origen o destino, puertos origen o destino, o a protocolos IP de capa superior tales
como IP, TCP.
Pueden separar el tráfico en diferentes colas según sea su prioridad.
Tipos de listas de acceso:
Estándar(1-99): comprueban las direcciones de origen de los paquetes que solicitan
enrutamiento.
Extendidas(100-1999): comprueban tanto la dirección de origen como la de destino de cada
paquete, también pueden verificar protocolos específicos, números de puertos y otros
parámetros.
Stateful(5000-9999): comprueban tanto la dirección origen y destino del paquete como el
estado y el tipo de la sesión. Para poder configurar listas stateful debe estar habilitada la
facilidad AFS (ver manual Dm786 “AFS”).
Las listas de acceso se pueden aplicar tanto de entrada (evita la sobrecarga de router), como de salida.
Una lista de control de acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el
router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo. El
protocolo que utiliza una Lista de Control de Acceso, la utiliza como una herramienta que le permite
establecer filtros de tráfico. Los protocolos que permiten el manejo de Listas de Control de Acceso
incorporan comandos que permiten asociar el protocolo a dichas Listas. Los protocolos típicos que
manejan Listas de Control de Acceso son, entre otros: BRS, IPSec, Policy Routing, RIP.
Un conjunto de protocolos de especial interés son los de enrutado, entre los que destacan RIP, OSPF y
BGP. Dichos protocolos utilizan Listas de Control de Acceso, de manera directa o a través de Route
Maps (ver manual Dm764 “Route Mapping”), para controlar las rutas que se instalan en la tabla de
rutas o que se distribuyen a otros equipos. Existen además otras herramientas muy similares a las
Listas de Acceso pero orientadas especialmente al filtrado de rutas, como son las Listas de Prefijos
(ver manual Dm780 “Listas de Prefijos”).
Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de
las entradas. El resultado de la búsqueda a la recepción de un paquete puede ser:
Lista de Acceso
Permitir
Encontrado
Denegar
Paquete IP
No Encontrado No Encontrado
Es el protocolo asociado el que determina lo que debe hacer con el paquete IP, a tenor del resultado de
la aplicación de la Lista de Acceso.
ROUTER TELDAT – Control de acceso Introducción Doc.DM752

I-2 Rev.10.91
Capítulo 2
Configuración
1. Introducción
Cada entrada de esta lista es un bloque de sentencias y una acción, y está identificada por un único
número (el identificador o campo ID de la entrada). El bloque de sentencias esta compuesto por una
dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP
destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), valores
del byte tipo de servicio IP, y el identificador de la conexión entre interfaces por los que viajaría el
paquete. No es necesario especificarlos todos, tan sólo el que se desee. La acción representa el
procesamiento asignado a los paquetes coincidentes con el bloque de sentencias asociado: PERMIT o
DENY.
Una lista de control de acceso genérica, extendida y stateful está formada por una serie de entradas
que definen las propiedades que debe tener un paquete para que se considere que perteneciente a esa
entrada y por consiguiente a esa lista. Después, esa lista de control de acceso se asigna a un protocolo.
Lista 1
Acción
Sentencia A
Entrada 1 Sentencia B
|
Sentencia Z
Acción
Sentencia A
Entrada 2 Sentencia B
|
Sentencia Z
Acción
Sentencia A
Entrada n Sentencia B
|
Sentencia Z
Una Lista de Control de Acceso por sí misma no supone un filtro para limitar el flujo
de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas
necesariamente a un protocolo.
Las Listas de Control de Acceso indican al protocolo asociado el resultado de la

búsqueda dentro de las entradas. El resultado de la búsqueda puede tener los siguientes
valores: No encontrado, Permitir o Denegar. El protocolo asociado determina qué
hacer con el paquete ante el resultado devuelto por la Lista de Control de Acceso.
ROUTER TELDAT – Control de acceso Configuración Doc.DM752

II - 4 Rev.10.91
2. Acceso a configuración
Las operaciones de crear, modificar o eliminar listas de acceso se hace desde un menú especifico, en el
cual a demás se permite visualizar las listas creadas.
En la estructura de configuración del router, los Controles de Acceso, están organizados como una
funcionalidad (FEATURE). Para visualizar las funcionalidades que permite configurar el router, se
debe introducir el comando feature seguido de una signo de interrogación (?).
Ejemplo:
Config>feature ?
access-lists Access generic access lists configuration
environment
bandwidth-reservation Bandwidth-Reservation configuration environment
control-access Control-access configuration environment
dns DNS configuration environment
frame-relay-switch Frame Relay Switch configuration environment
ip-discovery TIDP configuration environment
ldap LDAP configuration environment
mac-filtering Mac-filtering configuration environment
nsla Network Service Level Advisor configuration
nsm Network Service Monitor configuration environment
ntp NTP configuration environment
prefix-lists Access generic prefix lists configuration
environment
radius RADIUS protocol configuration environment
route-map Route-map configuration environment
scada-forwarder SCADA Forwarder configuration environment
sniffer Sniffer configuration environment
stun Stun facility configuration environment
syslog Syslog configuration environment
tms TMS configuration environment
vlan IEEE 802.1Q switch configuration environment
vrf VRF configuration environment
wrr-backup-wan WRR configuration environment
wrs-backup-wan WRS configuration environment
Config>
Para acceder al menú de configuración de Controles de Acceso se debe introducir, desde el menú raíz
de configuración (PROCESS 4), la palabra feature, seguida de access-lists.
Ejemplo:
Config>feature access-lists
-- Access Lists user configuration --

Access Lists config>
Con esto se accede al menú principal de configuración de la funcionalidad de Controles de Acceso. En

este menú se permite crear, eliminar y visualizar las lista de acceso.
Cada lista de control de acceso está formada por entradas, en la que se indica el criterio y los
parámetros que permiten o limitan el acceso.
Existen tres tipos de listas de control de acceso: Genéricas, Extendidas y Stateful.
En las listas Genéricas se utilizan muy pocos parámetros para definir las características de cada
entrada de Control de Acceso. Por el contrario, las listas Extendidas permiten definir un mayor
número de parámetros de selección. Las listas stateful permiten especificar además el estado de la
conexión (establecida, nueva, etc.), tipo de conexión (rtp, peer to peer, etc.).
Dentro del menú principal de Listas de Acceso existen dos submenús, uno para cada tipo de lista. El
acceso a cada submenú se produce en el momento de editar una lista concreta, dependiendo que el tipo
seleccionado sea Extendida, Genérica o Stateful.

II - 5 Rev.10.91
3. Menú principal de configuración
Dentro de menú principal de configuración de Control de Acceso se permite crear y eliminar listas.
También se permite visualizar la configuración de las las listas creadas.
Una Lista de Acceso consta de una serie de entradas. Cada entrada de esta lista es un bloque de
sentencias y una acción. Cada entrada está identificada por un único número (el identificador o campo
ID de la entrada). El bloque de sentencias puede estar compuesto por una dirección IP origen (o rango
de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de
protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre
interfaces por los que viajaría el paquete. La acción determina el criterio que se aplica a los paquetes
IP que cumplen con la condición indicada por las sentencias. La acción puede ser de dos tipos:
incluyente (permit) o excluyente(deny).
El router permite configurar 9999 listas de acceso. Las listas de acceso cuyo identificador tenga un
valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tenga un
valor entre 100 y 1999 son Listas de Acceso Extendidas. Las listas de acceso cuyo identificador tenga
un valor entre 5000 y 9999 son Listas de Acceso Stateful.
Por defecto las 9999 Listas de Acceso están vacías. Una lista de acceso está vacía cuando no contiene
entradas.
Dependiendo del tipo de lista creada (Genérica/Extendida/Stateful), la configuración de las entradas a
cada lista se hace dentro de un submenú propio de cada una de ellas, que tendrá los mismos
parámetros para todas las que son del mismo tipo. La descripción del modo de configuración de los
parámetros de estos submenús se indica en los apartados siguientes a éste.
Si alguno de los parámetros u opciones de las entradas de las Listas de Control de Acceso no se
configura, no es tenido en cuenta a la hora de realizar la comprobación de acceso.
El orden de las entradas en la Lista de Control de Acceso es muy importante en casos,

en los cuales, la información referenciada por las sentencias se solape entre diferentes
entradas.
Se debe tener presente que el orden de tratamiento de las entradas de una lista no viene
definido por el número del identificador de la entrada, sino por el orden en que se
introducen. Este orden se puede visualizar utilizando el comando “list ”. El orden se
puede modificar utilizando el comando “ move-entry “. Es decir, si al recorrer la lista,
empezando por el primer elemento o entrada que aparece al listar, se encuentra un
elemento que encaja en nuestra búsqueda, no se sigue buscando y se aplica la acción
indicada en dicho elemento.
Nótese, por tanto, que el orden de búsqueda entre las entradas de una Lista de Control
de Acceso DIFIERE del utilizado en una Lista de Prefijos (ver manual Dm780 “Listas
de Prefijos”), en donde este orden viene dado por el valor de su identificador.
Dentro del menú principal de Control de Acceso se dispone de los siguientes comandos:
Comando Función
? (ayuda) Lista los comandos u opciones disponibles.
access-list Configura una lista de acceso.
list Muestra la configuración de las listas de acceso.

II - 6 Rev.10.91
no Niega un comando o pone su valor por defecto.
3.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Access Lists config>?
Ejemplo:
Access Lists config>?
access-list Configure an access-list
list Display access-lists configuration
no Negates a command or sets its defaults
exit
3.2. ACCESS-LIST
Este comando provoca el acceso al submenú que permite configurar entradas en una lista de acceso.
Las Listas de Acceso se identifican por un valor numérico que puede tomar valore entre 1 y 9999.Por
lo tanto, el router permite configurar 9999 Listas de Acceso. Las listas de acceso cuyo identificador
tiene un valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador
tiene un valor entre 100 y 1999 son Listas de Acceso Extendidas. Las listas de acceso cuyo
identificador tenga un valor entre 5000 y 9999 son Listas de Acceso Stateful.
Cuando se introduce este comando seguido de un identificador, se pasa al submenú que permite
configurar la Lista de Acceso para dicho identificador, apareciendo en el nuevo prompt el tipo de Lista
de Acceso y su identificador.
Sintaxis:
Access Lists config>access-list ?
<1..99> Standard Access List number (1-99)
<100..1999> Extended Access List number (100-1999)
<5000..10000> Stateful access-list
Ejemplo:
Access Lists config>access-list 101
Extended Access List 101>
3.3. LIST
El comando LIST muestra la información de configuración de la facilidad Listas de Control de
Acceso. Las listas de acceso stateful no pueden ser listadas, para ver su contenido se debe ejecutar el
comando “show config”.
Sintaxis:
Access Lists config>list ?
all-access-lists Display all access-lists configuration
standard-access-lists Display standard access-lists configuration
extended-access-lists Display extended access-lists configuration

II - 7 Rev.10.91
a) LIST ALL-ACCESS-LISTS
Muestra TODA la información de configuración Listas de Control de Acceso, excepto de las
Listas de Control de Acceso Stateful.
Sintaxis:
Access Lists config>list all-access-lists
Ejemplo:
Access Lists config>list all-access-lists
Standard Access List 1, assigned to no protocol
1 PERMIT SRC=192.60.1.24/32
2 PERMIT SRC=0.0.0.0/0
Extended Access List 100, assigned to no protocol
1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0

PROT=10-255
2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0
b) LIST STANDARD-ACCESS-LISTS
Muestra las Listas de Control de Acceso de tipo General configuradas.
Sintaxis:
Access Lists config>list standard-access-lists
Ejemplo:
Access Lists config>list standard-access-lists
1 PERMIT SRC=192.60.1.24/32
c) LIST EXTENDED-ACCESS-LISTS
Muestra las Listas de Control de Acceso de tipo Extendido configuradas.
Sintaxis:
Access Lists config>list extended-access-lists
Ejemplo:
Access Lists config>list extended-access-lists

PROT=10-255
2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

II - 8 Rev.10.91
3.4. NO
Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos
parámetros.
Sintaxis:
Access Lists config>no ?
access-list Configure an access-list
a) NO ACCESS-LIST
Elimina el contenido de una Lista de Control de Acceso.
Sintaxis:
Access Lists config>no access-list <ID>
Ejemplo:
Access Lists config>no access-list 100
3.5. EXIT
Sale del entorno de configuración de la facilidad de Controles de Acceso. Retorna al prompt de
configuración general.
Sintaxis:
Access Lists config>exit
Ejemplo:
Access Lists config>exit
Config>

II - 9 Rev.10.91
4. Listas de Acceso Genéricas
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el
valor 1 y 99, es decir se trata de una Lista Genérica.
En el prompt del nuevo submenú se indica que la lista es de tipo Genérica (Standard) y su
Identificador.
Ejemplo:
Standard Access List 1>
El submenú de Listas de control de acceso Genéricas admite los siguientes subcomandos:
Comando Función
entry Configura una entrada dentro de una Lista de Control de
Acceso.
move-entry Cambiar el orden de las entradas.
description Permite insertar una descripción textual de una Lista de
Control de Acceso.
4.1. ? (AYUDA)
Sintaxis:
Standard Access List #>?
Ejemplo:
Standard Access List 1>?
entry Configure an entry for this access-list
list Display this access-list configuration
move-entry move an entry within an access-list
description Configure a description for this access-list
exit
4.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una Lista de Control de Acceso.

II - 10 Rev.10.91
Este comando se debe introducir siempre seguido del identificador del número de registro y de una
sentencia.
Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no
está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro
introducido.
Sintaxis:
Standard Access List #>entry <id> <sentencia> [valor]
Las opciones de configuración de una entrada Global son las siguientes:
Standard Access List #>entry <id> ?
default Sets default values to an existing or a new entry
permit Configures type of entry or access control as permit
deny Configures type of entry or access control as deny
source Source menu: subnet or port
description Sets a description for the current entry
a) ENTRY <id> DEFAULT

Pone todos los parámetros de una entrada de tipo General a sus valores por defecto.
Estos son:
• PERMITIDO
• ADDRESS: 0.0.0.0/0
Sintaxis:
Standard Access List #>entry <id> default
Ejemplo:
Standard Access List 1>entry 3 default
b) ENTRY <id> PERMIT

Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla
con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando
es un indicador de acción, y por tanto determina la función de las sentencias de la entrada
(incluyente/excluyente).
Sintaxis:
Standard Access List #>entry <id> permit
Ejemplo:
Standard Access List 1>entry 3 permit
c) ENTRY <id> DENY

Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que
cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso.
Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la
entrada.
Sintaxis:
Standard Access List #>entry <id> deny
Ejemplo:
Standard Access List 1>entry 3 deny

II - 11 Rev.10.91
d) ENTRY <id> SOURCE
Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes.
Sintaxis:
Standard Access List #>entry <id> source <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes:
Standard Access List #>entry <id> source ?
address IP address and mask of the source subnet
• ENTRY <id> SOURCE ADDRESS

Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica mediante una
máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un
interfaz y que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será
asignada por algún otro mecanismo, como pudiera ser PPP.
En el caso de que se quiera especificar un rango de direcciones, se pueden considerar, a efectos
prácticos, dos tipos de máscara:
Máscara de subred estándar: Corresponde a las máscaras utilizadas habitualmente para definir
subredes. Por ejemplo, 255.255.255.0, que equivale a una subred /24.
Máscara comodín (wildcard): Puede considerarse como una generalización del tipo anterior. Mediante
una máscara comodín se delimita de manera más específica los grupos de direcciones que se
comprueban con la entrada. Para ello, los bits activos en una máscara comodín indican las posiciones
exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una mejor
comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas <dirección>
<máscara comodín> y los grupos de direcciones que concuerdan con la entrada:
Dirección Máscara comodín Concordancia de la entrada

172.24.0.127 255.255.0.255 Concuerda con las direcciones origen 172.24.x.127, sea
cual sea el valor de x. (Ej: 172.24.12.127)
0.0.0.67 0.0.0.255 Concuerda con las direcciones origen x.x.x.67, sean cuales
sean los valores de x. (Ej: 10.150.130.67)
0.0.130.0 0.0.254.0 Concuerda con las direcciones origen x.x.130.x y x.x.131.x,

sean cuales sean los valores de x. (Ejs: 18.102.130.2,
192.168.131.125)
192.0.125.0 255.0.253.0 Concuerda con las direcciones origen 192.x.125.x y
192.x.127.x, sean cuales sean los valores de x. (Ejs:
192.142.125.8, 192.3.127.135)
192.0.125.0 254.0.253.0 Concuerda con las direcciones origen 192.x.125.x,
193.x.125.x, 192.x.127.x y 193.x.127.x, sean cuales sean
los valores de x. (Ej: 192.222.125.44, 193.111.127.201)
Con el objetivo de comprobar que el usuario entiende los conceptos referentes a la configuración de
máscaras comodín, se requiere que las posiciones de los bits de la máscara cuyo valor sea 0 estén
también a 0 en la dirección. En caso contrario, el equipo da un error y propone una sugerencia de
dirección adaptada a la máscara proporcionada (que el usuario debe valorar para determinar si se
corresponde con la configuración deseada).
Así, por ejemplo, si se intenta introducir en el comando la dirección 172.24.155.130 con la máscara
255.255.254.255, el equipo da un error, ya que en el tercer octeto de la máscara (254), el último bit no

II - 12 Rev.10.91
se corresponde con su homólogo en la dirección (155). En este caso el equipo da como sugerencia la
dirección 172.24.154.130.
En el caso de configurar una dirección IP se debe introducir la dirección IP y la máscara, en el caso de
configurar un Interfaz se debe introducir el nombre de éste.
Sintaxis:
a) Dirección IP
Standard Access List #>entry <id> source address <dirección> <máscara>
b) Interfaz
Standard Access List #>entry <id> source address <interfaz>
Ejemplo:
a) Dirección IP
Standard Access List 1>entry 3 source address 192.168.4.5 255.255.255.255
Standard Access List 1>entry 4 source address 192.0.0.17 255.0.0.255

b) Interfaz
Standard Access List 1>entry 3 source address serial0/0
ATENCIÓN: La configuración de una interfaz como origen únicamente debe utilizarse

en aquellas listas de acceso que vayan a estar asociadas al protocolo IPSec. Para el
resto de protocolos y funcionalidades, esta opción actualmente no se aplica y por tanto
no debe ser configurada.
e) ENTRY <id> DESCRIPTION

Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso
de la entrada.
Sintaxis:
Standard Access List 1>entry <id> description ?
<1..64 chars> Description text
Ejemplo:
Standard Access List 1>entry 1 description “primera entrada”
4.3. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está
siendo editada, es decir, la que su identificador está indicado en el prompt del menú.
Sintaxis:
Standard Access List #>list ?
all-entries Display any entry of this access-list
address-filter-entries Display the entries that match an ip address
entry Display one entry of this access-list

II - 13 Rev.10.91
a) LIST ALL-ENTRIES
Muestra todas las entradas de configuración de la Listas de Control de Acceso, es decir, toda la
configuración de la misma.
Sintaxis:
Standard Access List #>list all-entries
Ejemplo:
Standard Access List 1>list all-entries
1 DESCRIPTION: primera entrada

1 PERMIT SRC=192.60.1.24/32
b) LIST ADDRESS-FILTER-ENTRIES
Muestra las entradas de configuración de la Listas de Control de Acceso que contienen una
determinada dirección IP.
Sintaxis:
Standard Access List #>list address-filter-entries <dirección> <subred>
Ejemplo:
Standard Access List 1>list address-filter-entries 192.60.1.24 255.255.255.255

1 PERMIT SRC=192.60.1.24/32
c) LIST ENTRY
Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a
continuación del comando.
Sintaxis:
Standard Access List #>list entry <id>
Ejemplo:
Standard Access List 1>list entry 1

1 PERMIT SRC=192.60.1.24/32
4.4. MOVE-ENTRY
Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de
otra que se indica, dentro de la Lista de Control de Acceso.
El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a
continuación se introduce el identificador de la posición por delante de la cual se desea colocar la

II - 14 Rev.10.91
entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se
debe especificar la opción end.
Sintaxis:
Standard Access List #>move-entry <entrada_a_mover> {<entrada_destino> | end}
Ejemplo:
1 DENY SRC=0.0.0.0/0
2 PERMIT SRC=234.233.44.33/32
3 PERMIT SRC=192.23.0.22/255.255.0.255
Standard Access List 1>move-entry 1 end

2 PERMIT SRC=234.233.44.33/32
3 PERMIT SRC=192.23.0.22/255.255.0.255
1 DENY SRC=0.0.0.0/0
4.5. DESCRIPTION
Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita
más tarde entender mejor su propósito o función.
Sintaxis:
Standard Access List #>description ?
Ejemplo:
Standard Access List 1>description “lista para ipsec”
Standard Access List 1>list all

Description: lista para ipsec

1 PERMIT SRC=1.1.1.1/32
4.6. NO
parámetros.
Sintaxis:
Standard Access List #>no ?

II - 15 Rev.10.91
a) NO ENTRY
Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista
que se desea eliminar.
Sintaxis:
Standard Access List #>no entry <id>
Ejemplo:
Standard Access List 1>no entry 3
b) NO DESCRIPTION
Elimina la descripción textual asociada a la Lista de Control de Acceso.
Sintaxis:
Standard Access List #>no description
Ejemplo:
Standard Access List 1>no description
4.7. EXIT
Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del
menú principal de Control de Acceso.
Sintaxis:
Standard Access List #>exit
Ejemplo:
Standard Access List 1>exit

II - 16 Rev.10.91
5. Listas de Acceso Extendidas
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el
valor 100 y 1999, es decir se trata de una Lista Extendida.
En el prompt del nuevo submenú se indica que la lista es de tipo Extendida (Extended) y su
identificador.
Ejemplo:
El submenú de Listas de Control de Acceso Extendidas admite los siguientes subcomandos:
Comando Función
entry Configura una entrada para esta Lista de Acceso.
move-entry Cambiar el orden de las entradas.
description Permite insertar una descripción textual de una Lista de
Control de Acceso.
5.1. ? (AYUDA)
Sintaxis:
Extended Access List #>?
Ejemplo:
Extended Access List 100>?
list Display this access-list configuration
move-entry move an entry within an access-list
exit
5.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso.
Este comando se debe introducir siempre seguido del identificador del número de registro de una
sentencia.

II - 17 Rev.10.91
está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro
introducido.
Sintaxis:
Extended Access List #>entry <id> <parámetro> [valor]
Las opciones de configuración de una entrada Extendida son las siguientes:
Extended Access List 100>entry 1 ?
default Sets default values to an existing or a new entry
permit Configures type of entry or access control as permit
deny Configures type of entry or access control as deny
source Source menu: subnet or port
destination Destination menu: subnet or port
protocol Protocol
protocol-range Protocol range
connection IP connection identifier (rule)
description Sets a description for the current entry
ds-field DSCP in IP packets
precedence Precedence in IP packets
tcp-specific Tcp specific filtering
tos-octet TOS octet value in IP packets

Pone todos los parámetros de una entrada de tipo Extendido a sus valores por defecto.
Estos son:
• PERMITIDO
• SOURCE: 0.0.0.0/0
• DESTINATION 0.0.0.0/0
• NO PROTOCOL-RANGE
• NO TOS-OCTET
• NO CONNECTION
• NO TCP-SPECIFIC
Sintaxis:
Extended Access List #>entry <id> default
Ejemplo:
Extended Access List 100>entry 3 default
b) ENTRY <id> PERMIT

con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando
es un indicador de acción, y por tanto determina la función de las sentencias de la entrada.
Sintaxis:
Extended Access List #>entry <id> permit
Ejemplo:
Extended Access List 100>entry 3 permit
c) ENTRY <id> DENY


II - 18 Rev.10.91
entrada.
Sintaxis:
Extended Access List #>entry <id> deny
Ejemplo:
Extended Access List 100>entry 3 deny
d) ENTRY <id> SOURCE

Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes.
Sintaxis:
Extended Access List #>entry <id> source <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes:
Extended Access List #>entry <id> source ?
port-range source port range
• ENTRY <id> SOURCE ADDRESS

Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica mediante una
máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un
Interfaz, que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será
asignada por algún otro mecanismo como pudiera ser PPP.
En el caso de que se quiera especificar un rango de direcciones, se pueden considerar, a efectos
prácticos, dos tipos de máscara:
comprueban con la entrada. Para ello, los bits activos en una máscara comodín indican las posiciones
exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una mejor
comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas <dirección>
<máscara comodín> y los grupos de direcciones que concuerdan con la entrada:

172.24.0.127 255.255.0.255 Concuerda con las direcciones origen 172.24.x.127, sea
0.0.0.67 0.0.0.255 Concuerda con las direcciones origen x.x.x.67, sean cuales
0.0.130.0 0.0.254.0 Concuerda con las direcciones origen x.x.130.x y x.x.131.x,

sean cuales sean los valores de x. (Ejs: 18.102.130.2,
192.168.131.125)
192.0.125.0 255.0.253.0 Concuerda con las direcciones origen 192.x.125.x y
192.142.125.8, 192.3.127.135)
192.0.125.0 254.0.253.0 Concuerda con las direcciones origen 192.x.125.x,

II - 19 Rev.10.91
dirección 172.24.154.130.
Sintaxis:
a) Dirección IP
Extended Access List #>entry <id> source address <dirección> <máscara>
b) Interfaz
Extended Access List #>entry <id> source address interface <interfaz>
Ejemplo:
a) Dirección IP
Extended Access List 100>entry 3 source address 192.168.4.5 255.255.255.255

b) Interfaz
Extended Access List 100>entry 3 source address interface serial0/0
ATENCIÓN: La configuración de una interfaz como origen únicamente debe utilizarse

en aquellas listas de acceso que vayan a estar asociadas al protocolo IPSec. Para el
resto de protocolos y funcionalidades, esta opción actualmente no se aplica y por tanto
no debe ser configurada.
• ENTRY <id> SOURCE PORT-RANGE

El significado de este comando depende del tipo de protocolo del paquete que se está filtrando.
• Si el paquete corresponde a TCP o UDP, este comando establece la sentencia para el puerto
‘origen’ del paquete. Debe ir seguido de dos números. El primero indica el identificador de
puerto en el límite inferior del rango, y el segundo el identificador en el límite superior. En
caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos
identificadores de puerto puede tomar valores entre 0 y 65535.
En este caso, por tanto, la finalidad del comando es permitir o denegar el acceso a distintos
puertos TCP o UDP origen.
• Si el paquete corresponde al protocolo ICMP, y la entrada esta configurada para realizar
el filtrado de dicho protocolo (mediante el comando entry <id> protocol icmp), este
comando establece la sentencia para el tipo de paquete ICMP. Debe ir seguido de dos
números, que sirven para especificar un rango. El primero indica el tipo de mensaje ICMP

II - 20 Rev.10.91
usado como límite inferior del rango, mientras que el segundo indica el límite superior del
mismo. Si no se desea establecer un rango, basta con poner ambos valores iguales.
En este caso, por tanto, la finalidad del comando es permitir o denegar un tipo o conjunto de
tipos de mensajes ICMP.
Nótese que para obtener este comportamiento es imprescindible configurar el protocolo ICMP
en la entrada única y exclusivamente mediante el comando entry <id> protocol icmp.
• Si está configurado este comando el paquete sólo puede encajar por los motivos anteriores,
el resto de paquetes no encajan.
Sintaxis:
Extended Access List #>entry <id> source port-range <limite_inf> <limite_sup>
Ejemplo 1:
Extended Access List 100>entry 3 source port-range 2 4
Esta entrada concuerda con todos los paquetes TCP o UDP cuyo puerto origen esté comprendido entre
2 y 4 (ambos inclusive).
Ejemplo 2:
Extended Access List 100>entry 3 protocol icmp
Esta entrada concuerda con todos los paquetes ICMP de tipo 3 (destination unreachable), sea cual sea
su código.
e) ENTRY <id> DESTINATION
Establece la sentencia de parámetros IP en el direccionamiento ‘destino’ de los mensajes.
Sintaxis:
Extended Access List #>entry <id> destination <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia destino de IP son las siguientes:
Extended Access List #>entry <id> destination ?
port-range source port range
• ENTRY <id> DESTINATION ADDRESS

Establece la sentencia de dirección IP ‘destino’. El rango de direcciones elegido se indica mediante
una máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a
un Interfaz, que es desconocida en el momento de configurar el equipo. En el caso de que se quiera
especificar un rango de direcciones, se pueden considerar, a efectos prácticos, dos tipos de máscara:
compruebarán con la entrada. Para ello, los bits activos en una máscara comodín indican las
posiciones exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una
mejor comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas
<dirección> <máscara comodín> y los grupos de direcciones que concuerdan con la entrada:

II - 21 Rev.10.91
172.24.0.127 255.255.0.255 Concuerda con las direcciones destino 172.24.x.127, sea
0.0.0.67 0.0.0.255 Concuerda con las direcciones destino x.x.x.67, sean cuales
0.0.130.0 0.0.254.0 Concuerda con las direcciones destino x.x.130.x y

x.x.131.x, sean cuales sean los valores de x. (Ejs:
18.102.130.2, 192.168.131.125)
192.0.125.0 255.0.253.0 Concuerda con las direcciones destino 192.x.125.x y
192.142.125.8, 192.3.127.135)
192.0.125.0 254.0.253.0 Concuerda con las direcciones destino 192.x.125.x,
dirección 172.24.154.130.

Sintaxis:
a) Dirección IP
Extended Access List #>entry <id> destination address <dirección> <máscara>
b) Interfaz
Extended Access List #>entry <id> destination address interface <interfaz>
Ejemplo:
a) Dirección IP
Extended Access List 100>entry 3 destination address 192.168.4.5 255.255.255.255

b) Interfaz
Extended Access List 100>entry 3 destination address interface serial0/0
ATENCIÓN: La configuración de una interfaz como destino no se aplica actualmente

en ningún protocolo o funcionalidad. Por tanto, nunca debe ser configurado.

II - 22 Rev.10.91
• ENTRY <id> DESTINATION PORT-RANGE
El significado de este comando depende del tipo de protocolo del paquete que se está filtrando.
• Si el paquete corresponde a TCP o UDP, este comando establece la sentencia para el puerto
‘destino’ del paquete. Debe ir seguido de dos números. El primero indica el identificador
de puerto en el límite inferior del rango, y el segundo el identificador en el límite superior.
En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos
identificadores de puerto puede tomar valores entre 0 y 65535.
En este caso, por tanto, la finalidad del comando es permitir o denegar el acceso a distintos
puertos TCP o UDP destino.
• Si el paquete corresponde al protocolo ICMP, y la entrada esta configurada para realizar
el filtrado de dicho protocolo (mediante el comando entry <id> protocol icmp), este
comando establece la sentencia para el código de paquete ICMP. Debe ir seguido de dos
números, que sirven para especificar un rango. El primero indica el código de mensaje
ICMP usado como límite inferior del rango, mientras que el segundo indica el límite
superior del mismo. Si no se desea establecer un rango, basta con poner ambos valores
iguales.
En este caso, por tanto, la finalidad del comando es permitir o denegar un código o conjunto
de códigos de mensajes ICMP. Utilizado en combinación con entry <id> source port-range
<limite_inf> <limite_sup>, analizado anteriormente, es posible especificar de manera
absoluta el tipo y código de los mensajes ICMP que se desea filtrar.
Nótese que para obtener este comportamiento es imprescindible configurar el protocolo ICMP
en la entrada única y exclusivamente mediante el comando entry <id> protocol icmp.
• Si está configurado este comando el paquete sólo puede encajar por los motivos anteriores,
el resto de paquetes no encajan.
Sintaxis:
Extended Access List #>entry <id> destination port-range <limite_inf> <limite_sup>
Ejemplo 1:
Extended Access List 100>entry 3 destination port-range 2 4
Esta entrada concuerda con todos los paquetes TCP o UDP cuyo puerto destino esté comprendido
entre 2 y 4 (ambos inclusive).
Ejemplo 2:
Extended Access List 100>entry 3 destination port-range 1 5
Esta entrada concuerda con todos los paquetes ICMP de tipo 3 (destination unreachable), y con código
comprendido entre 1 y 5 (ambos inclusive).
f) ENTRY <id> PROTOCOL
Establece la sentencia del protocolo del paquete IP. Este comando debe ir seguido del número de
protocolo (un valor entre 0 y 255) o bien del nombre del mismo. Si se especifica protocolo IP se
admitirá cualquier protocolo.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos.

II - 23 Rev.10.91
Sintaxis:
Extended Access List #>entry <id> protocol ?
<0..255> An IP protocol number
esp Encapsulation Security Payload
gre Generic Routing Encapsulation
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol
Ejemplo:
g) ENTRY <id> PROTOCOL-RANGE

Establece la sentencia del protocolo o rango de protocolos del paquete IP. Este comando debe ir
seguido de dos números. El primero indica el identificador de protocolo en el límite inferior del rango,
y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner
ambos valores iguales. El valor de ambos identificadores de protocolo puede tomar valores entre 0 y
255.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos.
Sintaxis:
Extended Access List #>entry <id> protocol-range <prot_inferior> <prot_superior>
Ejemplo:
Extended Access List 100>entry 3 protocol-range 21 44
h) ENTRY <id> DS-FIELD

Establece la sentencia de Control de Acceso en base al valor del campo dscp del byte de Tipo de
Servicio del paquete IP. Puede tomar valores entre 0 y 63.
Sintaxis:
Extended Access List #>entry <id> ds-field <valor>
Ejemplo:
Extended Access List 100>entry 3 ds-field 12
i) ENTRY <id> LABEL

Establece la sentencia de etiqueta del paquete IP. La etiqueta es un parámetro interno asociado a cada
paquete. Consiste en un número entre 0 y 99 que puede ser utilizado para la selección, clasificación y
filtrado del tráfico IP.
Por defecto, todos los paquetes IP tienen asociado un valor de etiqueta igual a 0. Es posible cambiar
dicho valor mediante Policy Routing (véase manual Dm745 “Policy Routing”), utilizando un Route
Map configurado adecuadamente (véase manual Dm 764 “Route Mapping”). Este tráfico marcado con
una etiqueta puede ser posteriormente seleccionado en una lista de acceso mediante entry <id> label.
Sintaxis:
Extended Access List #>entry <id> label <valor>

II - 24 Rev.10.91
Ejemplo:
Extended Access List 100>entry 3 label 12
j) ENTRY <id> PRECEDENCE

Establece la sentencia de Control de Acceso en base al valor del campo precedencia del byte de Tipo
de Servicio del paquete IP. Puede tomar valores entre 0 y 7.
Sintaxis:
Extended Access List #>entry <id> precedence <valor>
Ejemplo:
Extended Access List 100>entry 3 precedence 3
k) ENTRY <id> TCP-SPECIFIC ESTABLISHED

Establece la sentencia de Control de Acceso de los paquetes TCP en base a si la sesión TCP está
previamente establecida o no. Para discernir si una sesión TCP está ya establecida se comprueba que
esté presente el bit ACK o el bit RST en la cabecera del paquete TCP, si alguno de los dos está
presente la sesión se considera establecida.
Sintaxis:
Extended Access List #>entry <id> tcp-specific established-state
Ejemplo:
La configuración siguiente muestra una lista de acceso en la que encajarán todas las sesiones TCP
establecidas en la entrada 1.
entry 1 default
entry 1 permit
entry 1 protocol tcp
entry 1 tcp-specific established-state
l) ENTRY <id> TOS-OCTET

Establece la sentencia de Control de Acceso en base al valor del byte de Tipo de Servicio del paquete
IP. Puede tomar valores entre 0 y 255. Adicionalmente, se puede especificar una máscara de bits que
determinará los bits del byte Tipo de Servicio que se desean marcar. El valor de la máscara puede ser
entre 1 y 255.
Sintaxis:
Extended Access List #>entry <id> tos-octet <valor> [mask <mascara>]
Ejemplo:
Extended Access List 100>entry 3 tos-octet 240 mask 254
m) ENTRY <id> CONNECTION

Permite asociar el identificador de la conexión entre interfaces a una entrada de la Lista de Control de
Acceso. Esta conexión identifica la interfaz lógica por la que se enrutaría el paquete; se configura en
las reglas de IP. Al establecer esta relación, se puede asociar el tráfico no sólo por la dirección origen,
destino, etc, del paquete, sino también por el interfaz concreto de conexión.
Dejar la conexión sin especificar, o poner conexión cero, hace que la conexión no se considere este
parámetro a la hora de ejecutar el Control de Acceso.

II - 25 Rev.10.91
Cuando se lista la entrada, aparecerá una interrogación al lado de la conexión (p. ej, Conn:1?) si ésta
no existe.
Sintaxis:
Extended Access List #>entry <id> connection <valor>
Ejemplo:
Suponiendo que exista la siguiente regla definida en IP:
ID Local Address --> Remote Address Timeout Firewall NAPT

1 172.24.70.1 --> 172.24.70.2 0 NO NO
Esto identifica una conexión concreta, entre una dirección local del router y un extremo (el resto de
parámetros no se consideran). Definimos entonces una entrada en la Lista de Control de Acceso, con
el identificador de esta conexión ( 1 ) como sentencia:
Extended Access List 100>entry 10 connection 1
n) ENTRY <id> DESCRIPTION

de la entrada.
Sintaxis:
Extended Access List 1>entry <id> description ?
Ejemplo:
Extended Access List 100>entry 1 description “primera entrada”
5.3. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está
siendo editada, es decir, la que su identificador está indicado en el prompt del menú.
Sintaxis:
Extended Access List #>list ?
all-entries Display any entry of this access-list
address-filter-entries Display the entries that match an ip address
entry Display one entry of this access-list
a) LIST ALL-ENTRIES
Muestra todas las entrada de configuración de la Listas de Control de Acceso, es decir, toda la
configuración de la misma.
Sintaxis:
Extended Access List #>list all-entries
Ejemplo:
Extended Access List 100>list all-entries

II - 26 Rev.10.91
PROT=21
2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0
b) LIST ADDRESS-FILTER-ENTRIES
Muestra las entrada de configuración de la Listas de Control de Acceso que contienen una determinada
dirección IP.
Sintaxis:
Extended Access List #>list address-filter-entries <dirección> <subred>
Ejemplo:
Extended Access List 100>list address-filter-entries 172.25.54.33 255.255.255.255

PROT=21
c) LIST ENTRY
Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a
continuación del comando.
Sintaxis:
Extended Access List #>list entry <id>
Ejemplo:
Extended Access List 100>list entry 1
1 PERMIT SRC=172.25.54.33/32 DES=192.34.0.0/16 Conn:0 Label=22

PROT=21
5.4. MOVE-ENTRY
Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de
otra que se indica, dentro de la Lista de Control de Acceso.
El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a
continuación se introduce el identificador de la posición por delante de la cual se desea colocar la
entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se
debe especificar la opción end
Sintaxis:
Extended Access List #>move-entry <entrada_a_mover> {<entrada_destino> | end}
Ejemplo:

II - 27 Rev.10.91
DPORT=1024-65535

PROT=33-102
3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0
Extended Access List 100>move-entry 1 end


PROT=33-102
3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

DPORT=1024-65535
5.5. DESCRIPTION
Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita
más tarde entender mejor su propósito o función.
Sintaxis:
Extended Access List #>description ?
Ejemplo:
Extended Access List 1>description “lista para ipsec”
Extended Access List 1>list all

Description: lista para ipsec

PROT=33-102
3 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

DPORT=1024-65535
5.6. NO
parámetros.
Sintaxis:
Extended Access List #>no ?
a) NO ENTRY

II - 28 Rev.10.91
Sintaxis:
Extended Access List #>no entry <id>
Ejemplo:
Extended Access List 100>no entry 3
b) NO DESCRIPTION
Elimina la descripción textual asociada a la Lista de Control de Acceso.
Sintaxis:
Extended Access List #>no description
Ejemplo:
Extended Access List 100>no description
5.7. EXIT
Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del
menú principal de Control de Acceso.
Sintaxis:
Extended Access List #>exit
Ejemplo:
Extended Access List 100>exit

II - 29 Rev.10.91
6. Listas de Acceso Stateful
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre
los valores 5000 y 9999, es decir se trata de una Lista Stateful.
En el prompt del nuevo submenú se indica que la lista es de tipo Stateful y su identificador.
Ejemplo:
Stateful Access List 5001>
Como se ha comentado anteriormente, para poder configurar estas listas de acceso debe estar
habilitada la facilidad AFS, y hay que tener en cuenta que si se realiza algún cambio dinámico
mientras la sesión está activa, si se observa que no tiene efecto dicho cambio, es necesario finalizar la
sesión. Para ello se debe deshabilitar y habilitar la facilidad AFS con lo comandos “NO ENABLE” y
“ENABLE” del menú de configuración de AFS (ver manual Dm786 “AFS”).
El submenú de Listas de Control de Acceso Stateful admite los siguientes subcomandos:
Comando Función
entry Configura una entrada para esta Lista de Acceso.
6.1. ? (AYUDA)
Sintaxis:
Stateful Access List #>?
Ejemplo:
Stateful Access List 100>?
exit
6.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso.
Este comando se debe introducir siempre seguido del identificador del número de registro de una
sentencia.
está en la lista. Cuando se introduce un identificador que ya existe, se agrega una nueva entrada a
dicho identificador.

II - 30 Rev.10.91
A diferencia de las listas de control de acceso genéricas/extendidas es posible
configurar más de un mismo criterio de selección en una misma entrada, teniendo en
cuenta que deben cumplirse a la vez TODOS los criterios de selección especificados en
la entrada para que el paquete encaje.
Esto puede ser de mucha utilidad cuando se desea que encajen paquetes que no cumplen varios
criterios simultáneamente, como en el siguiente ejemplo, que se desea que la dirección destino y el
puerto udp destino no sean ningunos de los indicados:
entry 15 default
entry 15 deny
entry 15 description "RemoteToIP. Entre VPNs 41000 en lugar de no rtp"
entry 15 source address 172.24.100.160 mask 255.255.255.224
entry 15 no destination udp port 50001
entry 15 no destination udp port 1967
entry 15 no destination address 172.24.0.25
entry 15 no destination address 172.25.0.0 mask 255.255.0.0
entry 15 no destination udp port 41000 41010
entry 15 no rtp
entry 15 no destination tcp port 6890 6899
entry 15 no source tcp port 6890 6899
Sintaxis:
Stateful Access List #>entry <id> <parámetro> [valor]
Las opciones de configuración de una entrada Stateful son las siguientes:
Stateful Access List 100>entry 1 ?
default Set default values
deny Deny this entry
description Entry description
destination Destination match criterias
hex-string Search an specific hexadecimal string
in-interface Match an incoming interface
ipsec IPSEC match criterias
label Label for classification
length-interval Define a datagram length interval to match to
no Negate the following match criteria
out-interface Match an outgoing interface
permit Permit this entry
protocol IP protocol matching options
protocol-range Specify a protocol range
peer2peer Match peer to peer traffic
rate-limit Match an specific rate limit in kbps
conn-limit Match an specific connection limit
tcp-flags Match an specific tcp flag
rtp Match any RTP packet flow
session Define a session control match
session-mark Mark the session with an specific tag
source Source match criterias
string Search an specific string
http-filter Filter urls/contents containted in http
webstr Filter urls/hosts in http sessions
weburl Filter urls in http sessions

Pone todos los parámetros de una entrada de tipo Stateful a sus valores por defecto.
Estos son:
• PERMITIDO
• ADDRESS: 0.0.0.0/0

II - 31 Rev.10.91
Sintaxis:
Stateful Access List #>entry <id> deny
Ejemplo:
Stateful Access List 5000>entry 3 deny
b) ENTRY <id> LABEL

El criterio de selección es la etiqueta del paquete IP. La etiqueta es un parámetro interno asociado a
cada paquete. Consiste en un número que puede ser utilizado para la selección, clasificación y filtrado
del tráfico IP.
Por defecto, todos los paquetes IP tienen asociado un valor de etiqueta igual a 0. Es posible cambiar
dicho valor mediante Service Policy (véase manual Dm795 “Policy-Map Class-Map”) y Policy
Routing (véase manual Dm745 “Policy Routing”). Este tráfico marcado con una etiqueta puede ser
posteriormente seleccionado en una lista de acceso mediante entry <id> label.
Sintaxis:
Stateful Access List #>entry <id> label <label-value> [mask <label-mask>]
Los valores a configurar son los siguientes:

id Identificador de la entrada a configurar.
label-value Valor que debe llevar la etiqueta del paquete.
label-mask Máscara que especifica qué bits de la etiqueta del paquete se van a
comprobar.
Ejemplo:
Stateful Access List 5000>entry 3 label 1
c) ENTRY <id> DENY

entrada.
Sintaxis:
Stateful Access List #>entry <id> deny
Ejemplo:
Stateful Access List 5000>entry 3 deny
d) ENTRY <id> DESCRIPTION

de la entrada.
Sintaxis:
Stateful Access List #>entry <id> description <description>
Ejemplo:
Stateful Access List 5000>entry 1 description “Access list number 5000”

II - 32 Rev.10.91
e) ENTRY <id> DESTINATION ADDRESS
Permite seleccionar un paquete según su IP de destino. Se puede especificar una IP o una red, siendo
la máscara opcional. Si no se especifica máscara se supone máscara de host. También permite
seleccionar la dirección de destino por rango.
Sintaxis:
Stateful Access List #>entry <id> destination address <ip> [mask <mask>]
Stateful Access List #>entry <id> destination address [range] <iplow> <iphigh>
Ejemplo:
Stateful Access List 5000>entry 1 destination address 1.1.1.0 mask 255.255.255.0
Ejemplo:
Stateful Access List 5000>entry 1 destination address range 2.2.2.1 2.2.2.100
f) ENTRY <id> DESTINATION TCP PORT

Permite especificar un puerto o rango de puertos destino TCP. El paquete debe ser TCP para encajar
en este criterio.
Sintaxis:
Stateful Access List #>entry <id> destination tcp port <low-port> <high-port>
Ejemplo:
Stateful Access List 5000>entry 1 destination address tcp port 20000 21000
g) ENTRY <id> DESTINATION UDP PORT

Permite especificar un puerto o rango de puertos destino UDP. El paquete debe ser UDP para encajar
en este criterio.
Sintaxis:
Stateful Access List #>entry <id> destination udp port <low-port> <high-port>
Ejemplo:
Stateful Access List 5000>entry 1 destination address udp port 20000 21000
h) ENTRY <id> HEX-STRING

Permite especificar una cadena hexadecimal, el sistema AFS recorre el paquete en busca de esa
cadena, si está dentro del paquete se considera que el paquete encaja.
Sintaxis:
Stateful Access List #>entry <id> hex-string <string>
Ejemplo:
Stateful Access List 5000>entry 1 hex-string AABBCC
i) ENTRY <id> IN-INTERFACE

Permite especificar un interfaz de entrada.
Sintaxis:
Stateful Access List #>entry <id> in-interface <interface>

II - 33 Rev.10.91
Ejemplo:
Stateful Access List 5000>entry 1 in-interface ethernet0/0
j) ENTRY <id> IPSEC

Permite seleccionar solo los paquetes que hayan sido encapsulados o desencapsulados por IPSEC.
Sintaxis:
Stateful Access List #>entry <id> ipsec [encapsulated|desencapsulated]
Ejemplo:
Stateful Access List 5000>entry 1 ipsec encapsulated
k) ENTRY <id> LENGTH INTERVAL

Permite especificar un intervalo de longitud de un paquete. Si la longitud del paquete se encuentra
dentro de este intervalo se considera que encaja.
Sintaxis:
Stateful Access List #>entry <id> length-interval <low> <high>
Ejemplo:
Stateful Access List 5000>entry 1 length-interval 1000 1500
l) ENTRY <id> NO
Si se selecciona la opción no delante del criterio de selección se considera que un paquete encaja si
NO cumple el criterio de selección que sigue a la particula no.
Sintaxis:
Stateful Access List #>entry <id> no <criteria>
Ejemplo:
Stateful Access List 5000> entry 1 no length-interval 1000 1500
m) ENTRY <id> PROTOCOL

Permite seleccionar un paquete según el protocolo encapsulado en IP.
La lista de protocolos soportados en este comando aparece en el anexo 3 de este documento.
Sintaxis:
Stateful Access List #>entry <id> protocol <protocol>
Ejemplo:
Stateful Access List 5000> entry 1 protocol tcp
Algunos de los protocolos seleccionados pueden admitir subopciones, por ejemplo, peer2peer.

II - 34 Rev.10.91
Stateful Access List 5000$entry 1 protocol peer2peer ?
all All peer to peer traffic
apple AppleJuice traffic
ares Ares AresLite traffic
bit-torrent BitTorrent traffic
dc Direct Connect traffic
e-mule E-mule E-donkey traffic
gnutella Gnutella traffic
kazaa Kazaa traffic
mute Mute traffic
soul SoulSeek traffic
waste Waste traffic
winmx WinMx traffic
xdcc XDCC traffic
Ejemplo:
Stateful Access List 5000> entry 1 protocol peer2peer all
n) ENTRY <id> PROTOCOL-RANGE

Permite seleccionar un paquete según un rango de protocolos IP. El rango se especifica con los valores
numéricos de los protocolos.
Sintaxis:
Stateful Access List #>entry <id> protocol-range <limit1> <limit2>
Ejemplo:
Stateful Access List 5000> entry 1 protocol-range 1 17
o) ENTRY <id> PEER2PEER

Permite seleccionar el tráfico considerado como peer to peer, de los protocolos e-mule, kazaa y
bittorrent. Estos protocolos cambian constantemente, por lo que su clasificación automática es difícil y
puede que no resulte 100% efectiva.
Sintaxis:
Stateful Access List #>entry <id> peer2peer
Ejemplo:
Stateful Access List 5000>entry 1 peer2peer
p) ENTRY <id> PERMIT

con los parámetros de selección del registro puede pasar a través del Control de Acceso. Este comando
es un indicador de acción, y por tanto determina la función de las sentencias de la entrada.
Sintaxis:
Stateful Access List #>entry <id> permit
Ejemplo:
Stateful Access List 5000>entry 3 permit
q) ENTRY <id> RATE-LIMIT

Especifica un límite en kilobits por segundo, superado el cual se considera que un paquete encaja en
este criterio. Esta medido en kilobits por segundo.

II - 35 Rev.10.91
Sintaxis:
Stateful Access List #>entry <id> rate-limit <limit> <burst>
Ejemplo:
Stateful Access List 5000>entry 1 rate-limit 100
r) ENTRY <ID> CONN-LIMIT

Especifica un límite de conexiones para determinada dirección IP o máscara, superado el cual se
considera que un paquete encaja en este criterio.
Sintaxis:
Stateful Access List #>entry <id> conn-limit <limit> <mask>
Ejemplo:
Stateful Access List 5000>entry 1 conn-limit 3 32
s) ENTRY <id> TCP-FLAGS

Permite seleccionar un paquete según los valores de los flags TCP del paquete. Se especifica un valor
(o un “OR” de ellos) y una máscara (Conjunto de ellos). El valor del flag TCP se ajusta a la siguiente
tabla:
U, URG. 0x20 Urgent pointer valid flag.

A, ACK. 0x10 Acknowledgment number valid flag.
P, PSH. 0x08 Push flag.
R, RST. 0x04 Reset connection flag.
S, SYN. 0x02 Synchronize sequence numbers flag.
F, FIN. 0x01 End of data flag.
Sintaxis:
Stateful Access List #>entry <id> tcp-flags <flags> <mask>
Ejemplo:
Stateful Access List #>entry <id> tcp-flags 2 2
t) ENTRY <id> SOURCE ADDRESS

Permite seleccionar un paquete según su IP de origen. Se puede especificar una IP o una red o un
rango. Si no se especifica máscara se supone máscara de host.
Sintaxis:
Stateful Access List #>entry <id> source address <ip> [mask <mask>]
Stateful Access List #>entry <id> source address [range] <iplow> <iphigh>
Ejemplo:
Stateful Access List 5000>entry 1 source address 2.2.2.0 mask 255.255.255.0
Ejemplo:
Stateful Access List 5000>entry 1 source address range 2.2.2.1 2.2.2.100

II - 36 Rev.10.91
u) ENTRY <id> SOURCE TCP PORT
Se permite especificar un puerto o rango de puertos origen TCP.El paquete debe ser TCP para encajar
en este criterio.
Sintaxis:
Stateful Access List #>entry <id> source tcp port <low-port> <high-port>
Ejemplo:
Stateful Access List 5000>entry 1 source tcp port 10000 12000
v) ENTRY <id> SOURCE UDP PORT

Se permite especificar un puerto o rango de puertos origen UDP. El paquete debe ser UDP para
encajar en este criterio.
Sintaxis:
Stateful Access List #>entry <id> source udp port <low-port> <high-port>
Ejemplo:
Stateful Access List 5000>entry 1 source udp port 10000 12000
w) ENTRY <id> STRING

Permite especificar una cadena de texto, el sistema AFS recorre el paquete en busca de esa cadena, si
está dentro del paquete se considera que el paquete encaja. Por defecto la comparación no es sensible a
las mayúsculas, pero con la opción case-sensitive se realiza la comparación teniéndolas en cuenta.
Opcionalmente se permite especificar un punto inicial de búsqueda y un punto final.
Sintaxis:
Stateful Access List #>entry <id> string <s> [case-sensitive] [from <fm>] [to <to>]
Ejemplo:
Stateful Access List 5000>entry 1 string “www.teldat.com”
x) ENTRY <id> STUN

Permite filtrar los paquetes que transportan protocolo STUN, tanto TCP como UDP.
El protocolo STUN se define en la RFC 5389 "Session Traversal Utilities for NAT (STUN)".
Sintaxis:
Stateful Access List #>entry <id> stun
Ejemplo:
Stateful Access List 5000> entry 1 stun
y) ENTRY <id> RTP

Los flujos UDP son analizados automáticamente para descubrir el tráfico RTP. Si un paquete
pertenece a un flujo clasificado como RTP se considera que encaja con este criterio. Se permite
además filtrar por el tipo de tráfico transportado por el RTP: audio, video o por el payload-type
definido.
Sintaxis:
Stateful Access List #>entry <id> rtp <audio | video | payload-type <type>>

II - 37 Rev.10.91
Ejemplo:
Stateful Access List 5000> entry 1 rtp
z) ENTRY <id> SESSION EXPIRE

El criterio de selección es el tiempo de vida que le queda a la sesión. Permite especificar un intervalo
de tiempo.
Sintaxis:
Stateful Access List #>entry <id> session expire <seconds>
Ejemplo:
Stateful Access List 5000>entry 3 session expire 500
aa) ENTRY <id> SESSION STATE

El criterio de selección es el estado de la sesión, esto es, si es nueva, ya esta establecida, se le esta
haciendo NAT de origen o destino.
Sintaxis:
Stateful Access List #>entry <id> session state <state>
Los estados posibles para una sesión son los siguientes:

invalid La sesión está en estado invalido, lista para ser borrada.
new La sesión es nueva, es el primer paquete para esta sesión.
established La sesión está establecida.
awaited La sesión es esperada por algún ALG.
untrack El paquete IP no tiene sesión, no ha podido ser creada.
source-nat Se esta aplicando NAT en origen a la sesión.
destination-nat Se esta aplicando NAT en destino a la sesión.
Ejemplo:
Stateful Access List 5000>entry 3 session expire established
bb) ENTRY <id> SESSION-MARK

El criterio de selección es la marca de la sesión. Inicialmente las sesiones se crean con una marca de
valor 0. Mediante este comando se pueden seleccionar las sesiones cuya marca coincida con la dada.
Opcionalmente se puede definir una máscara para especificar los bits de la máscara a consultar.
Este criterio permite, por ejemplo, marcar mediante Policy Routing las sesiones que accedan a
determinada URL, y seleccionarlas mediante dicha marca en BRS para priorizarlas adecuadamente.
Sintaxis:
Stateful Access List #>entry <id> session-mark <mark-value> [mask <mask-value>]

mark-value Valor que debe llevar la marca de sesión.
mask-value Máscara que especifica qué bits de la marca de sesión se van a
comprobar.

II - 38 Rev.10.91
Ejemplo:
Stateful Access List 5000>entry 3 session-mark 1
cc) ENTRY <id> HTTP-FILTER

Se permite realizar un filtrado de páginas Web, de modo que se prohíbe el acceso a aquellas que tienen
un contenido no deseado. Dicho contenido no deseado, o las propias direcciones urls de las páginas
consideradas con contenido no deseado, se especifican en un archivo de configuración, cuyo formato
se explica a continuación. El equipo se descarga mediante el protocolo tftp el archivo de configuración
indicado.
Mediante este comando se especifica la dirección ip del servidor tftp que tiene el archivo, junto con el
nombre de dicho archivo de configuración:
Sintaxis:
Stateful Access List #>entry <id> http-filter <server-ip> <file-name>

server-ip Dirección IP del servidor TFTP.
file-name Nombre del archivo a recibir con la configuración.
Ejemplo:
Stateful Access List 5000>entry 3 http-filter 192.168.212.19 example
A continuación se va a describir el formato que debe seguir el archivo de configuración, mediante el

siguiente ejemplo:
Ejemplo:
[<config>]
refresh-interval = 3600
[<template>]
<html>
<head>
<title>Teldat Filtering Acceso denegado</title>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
</head>
<body bgcolor=#FFFFFF>
<center>
<table border=0 cellspacing=0 cellpadding=2 height=540 width=700>
<tr>
<td colspan=2 bgcolor=#FEA700 height=100 align=center>

Acceso denegado!
</td>
</tr>
<tr>
<td colspan=2 bgcolor=#FFFACD height=30 align=right>

</td>
</tr>
<tr>
<td width=550 bgcolor=#FFFFFF align=center valign=center>



II - 39 Rev.10.91
El acceso a la pagina web ha sido denegado
 
 
Usted esta viendo este mensaje de error porque la pagina a la que 
intenta acceder contiene, o esta clasificada como conteniendo, 
material que se considera inapropiado.
 
Si tiene preguntas, por favor pongase en contacto con el Administrador de
Sistemas o el Administrador de la Red.
 

</td>
</tr>
</table>
</body>
</html>
[<urls>]
www.marca.com
www.sport.es
198.66.198.103
198.66.198.55
[<words>]
sexo
[<white-urls>]
www.elpais.es
1.- En primer lugar, si se desea, se puede configurar el intervalo de actualización del archivo, es decir,
el tiempo que debe transcurrir para que el equipo solicite de nuevo al servidor el archivo. Para ello hay
que introducir la etiqueta [<config>], y en la línea siguiente el valor deseado para el intervalo de
actualización, en este ejemplo, el equipo solicita el archivo cada hora (3600 segundos). Si no se
especifica ningún valor, el intervalo de actualización es de 1 día por defecto.
2.- A continuación, se puede introducir la página http de error que se desea mostrar en caso de que se
haya intentado acceder a una página no deseada. Para ello hay que introducirla a continuación de la
etiqueta [<template>].
3.- Por último se debe introducir la configuración para realizar el filtrado de las páginas Web, ya sea
por su contenido o por su dirección url. Para ello se pueden introducir:
- la lista de direcciones urls (o direcciones IP) de las páginas que se consideran que contienen
contenido no deseado, a continuación de la etiqueta [<urls>].
- la lista de palabras consideradas como contenido no deseado, a continuación de la etiqueta
[<words>].
- la lista de dirección urls de las páginas que se consideran de confianza, es decir, de las que no
se va a buscar en su contenido por si contienen las palabras no deseadas, a continuación de la
etiqueta [<white-urls>].
Hay que tener en cuenta que para que el filtrado por contenido funcione, el contenido
de la página solicitada no puede estar codificado; para asegurarse de que esto no
ocurre se puede utilizar el comando “http force-identity-encoding” de NAT (ver
manual Dm788 “Nuevo Protocolo NAT”).
dd) ENTRY <id> WEBSTR

Permite filtrar paquetes por contenido dentro de host o URL.
Sintaxis:
Stateful Access List #>entry <id> webstr [host|url] <1..150 chars>

II - 40 Rev.10.91
Ejemplo:
Stateful Access List 5000> entry 1 webstr
ee) ENTRY <id> WEBURL

Permite filtrar paquetes por contenido. Busca texto o expresiones regulares dentro de los paquetes.
Sintaxis:
Stateful Access List #>entry <id> weburl [regex|text] <1..150 chars>
Ejemplo:
Stateful Access List 5000> entry 1 weburl regex “textoquequierobuscar*”
6.3. NO
parámetros.
Sintaxis:
Stateful Access List #>no ?
a) NO ENTRY
Sintaxis:
Stateful Access List #>no entry <id>
Ejemplo:
Stateful Access List 5000>no entry 3

II - 41 Rev.10.91
7. Show Config
Show Config es una herramienta de la consola de configuración (PROCESS 4), que permite listar los
comandos necesarios para configurar el router a partir de una configuración vacía (no conf).
Este comando se puede utilizar, tanto para copiar configuraciones, como para listarlas, o simplemente
para visualizarlas.
Show Config parte de la configuración definida internamente por defecto, generando los comandos de
la parte de configuración que difiere de ésta.
Show Config puede incorporar comentarios, que van después de punto y coma (‘;’).
El comando se puede ejecutar desde cualquier menú, mostrando la configuración introducida en todos
los submenús que cuelgan del actual.
Ejemplo:
Access Lists config>show conf
; Showing Menu and Submenus Configuration ...
; C3G IPSec Router 1 29 Version 10.1.xPA
access-list 1
;
entry 1 default
entry 1 permit
entry 1 source address 192.60.1.24 255.255.255.255
;
entry 2 default
entry 2 permit
;
exit
;
access-list 100
;
entry 1 default
entry 1 permit
entry 1 protocol-range 10 255
;
entry 2 default
entry 2 deny
;
exit
;
Con la lista de comandos obtenidos en el show config se puede copiar, editar, modificándola, de
manera que puede servir como plantilla para posteriores configuraciones.

II - 42 Rev.10.91
8. Ejemplo práctico
Se trata de crear una nueva red privada virtual (VPN) entre el Host A y el Host B. El resto del tráfico
entre las redes privadas se deja pasar de modo normal. Crearemos un Túnel IPSec entre ambos Host.
Para ello en primer lugar se debe crear la Lista de Control de Acceso que utiliza IPSec como filtro de
tráfico. En este ejemplo solamente se muestra cómo se hace la configuración de las Listas de Acceso y
la asociación del Túnel IPSec a la misma.
HOST A HOST B
172.24.51.57 172.60.1.163
200.200.200.1 200.200.200.2
Red Privada 1 Red Pública Red Privada 2
Router 1 Router 2
• Creación de las listas de control de acceso

La configuración que se debe introducir al Router 1 es:


La lista de acceso configurada queda por tanto:
Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión
introduciendo ésta en la consola tal y como aparece:

II - 43 Rev.10.91
Extended Access List 101>show conf
entry 1 default
entry 1 permit
entry 1 destination address 172.60.1.163 255.255.255.255
;
La configuración que se debe introducir al Router 2 es:


La lista de acceso configurada queda por tanto:
Extended Access List 101>show conf

entry 1 default
entry 1 permit
entry 1 destination address 172.24.51.57 255.255.255.255
;
• Asociación de Lista de acceso a Protocolo IPSec

Para completar las bases de datos de políticas de Seguridad (SPD) IPSec, es necesario “mapear” los
elementos de la Lista de Control de Acceso a los Templates elegidos.
En este caso la operación es la misma en los dos routers, debido a que en los dos routers se ha puesto
la Lista de Control de Acceso con el mismo identificador (101).

II - 44 Rev.10.91
Config>p ip
-- Internet protocol user configuration --

IP config>ipse
-- IPSec user configuration --

IPSec config>assign-access-list 101
IPSec config>template 2 def
IPSec config>map-template 101 2
IPSec config>
IPSec config>show conf

assign-access-list 101
;
template 2 default
template 2 manual esp des md5
;
map-template 101 2
IPSec config>

II - 45 Rev.10.91
Capítulo 3
Monitorización
1. Comandos de Monitorización
En esta sección se detallan los comandos que permiten utilizar las herramientas de monitorización de
la facilidad de Listas de Control de Acceso. Para poder introducir estos comandos es necesario acceder
al prompt de monitorización de la facilidad de Listas de Acceso.
Para acceder al entorno de monitorización de la facilidad de Listas de Acceso, se debe introducir el
comando FEATURE ACCESS-LISTS en el prompt de monitorización general (+).
Ejemplo:
+ feature access-lists
-- Access Lists user console --
Access Lists+
El router dispone de una caché que mantiene las últimas direcciones encontradas, con el fin de que el
periodo de búsqueda dentro de las Lista de Acceso se minimice. En los listados se indica las entradas
de cada Lista que están introducidas en la caché.
Dentro del entorno de monitorización de la facilidad de Lista de Control de Acceso se dispone de los
siguientes comandos:
Comando Función
? (AYUDA) Lista los comandos u opciones disponibles.
LIST Muestra la configuración de las listas de acceso.
CLEAR-CACHE Borra todas las entradas en la caché de Listas de Acceso.
SET-CACHE-SIZE Configura el número disponible de entradas de caché.
SHOW-HANDLES Al listar presenta los manejadores asociados.
HIDE-HANDLES Al listar oculta los manejadores asociados.
1.1. ? (AYUDA)
Sintaxis:
Access Lists+?
Ejemplo:
Access Lists+?
list Displays the access lists configuration
clear-cache Deletes all the entries in an access lists cache
set-cache-size Configures the available number of cache entries
show-handles Makes the associated handles to be shown when listing
hide-handles Makes the associated handles to stay hidden when listing
exit Exit to parent menu
Access Lists+
ROUTER TELDAT – Control de acceso Monitorización Doc.DM752

III - 47 Rev.10.91
1.2. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que
están activas. Como estadístico interesante, aparece el número de ocurrencias que se han dado en una
entrada, es decir el número de veces que un paquete ha coincido con las sentencias de la entrada
(Hits).
El router dispone una caché que mantiene las últimas direcciones encontradas, con el fin de que el
periodo de búsqueda dentro de las Lista de Acceso se minimice. En algunos listados se indican las
entradas de cada Lista que están introducidas en la caché.
Sintaxis:
Access Lists+list ?
all Displays the whole access lists configuration and entries
information
cache Displays only access lists entry cache information
entries Displays only the active access lists entries configuration
a) LIST ALL
Muestra todas las entradas de configuración de las Listas de Control de Acceso, es decir, toda la
configuración de la misma. Se presentan las entradas configuradas y las que están dentro de la caché.
Este comando debe ir seguido de otros que permiten especificar con más detalle la información a
mostrar. Las listas de acceso stateful no pueden ser listadas, por lo que no aparecen al ejecutar este
comando.
Sintaxis:
Access Lists+list all ?
all-access-lists Displays information for all active access
lists
address-filter-access-lists Displays information for access lists that
match an address search pattern
access-list Displays information for a specified access
list
• LIST ALL ALL-ACCESS-LISTS

Muestra todas las listas de control de acceso de la configuración activa. Se presentan las entradas
configuradas y las que están dentro de la caché.
Ejemplo:
Access Lists+list all all-access-lists
ACCESS LIST ENTRIES

3 PERMIT SRC=234.233.44.33/32
Hits: 0
1 DENY SRC=192.23.0.22/255.255.0.255
Hits: 0
ACCESS LIST CACHE. Hits = 0, Miss = 0

Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES

PROT=21
Hits: 0

III - 48 Rev.10.91
2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0
Hits: 0

PROT=21-44 SPORT=34-56 DPORT=2-4
Hits: 0
Extended Access List 101, assigned to IPSec

ACCESS LIST ENTRIES

1 PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32 Conn:0 Label=22
Hits: 0

Hits: 0

ACCESS LIST ENTRIES

TOS OCTET=0
Hits: 0
Access Lists+
• LIST ALL ADDRESS-FILTER-ACCESS-LISTS

Muestra todas entradas de las Listas de Control de Acceso que contienen la dirección IP y la máscara
de subred que se incluye en el patrón de búsqueda que introducido a continuación del comando.
También se presentan las listas que hay disponibles. Se presentan las entradas configuradas y las que
están dentro de la caché Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las
Lista de Acceso.
Sintaxis:
Access Lists+list all address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists+list all address-filter-access-lists 172.24.51.57 255.255.255.255
ACCESS LIST ENTRIES

ACCESS LIST ENTRIES

ACCESS LIST ENTRIES
Hits: 0

III - 49 Rev.10.91

ACCESS LIST ENTRIES

Access Lists+
• LIST ALL ACCESS-LIST

Muestra todas las entradas de una Lista de Control de Acceso.
Sintaxis:
Access Lists+list all access-list <id>
Ejemplo:
Access Lists+list all access-list 100

ACCESS LIST ENTRIES

PROT=21
Hits: 0
2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

Hits: 0
3 PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:33?

Hits: 0
Access Lists+
b) LIST CACHE
Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las
entradas que están en la caché. Este comando debe ir seguido de otros que permiten especificar con
más detalle la información a mostrar. Con este comando solamente se presenta la información de las
entradas que están en la caché.
Sintaxis:
Access Lists+list cache ?
lists
list
• LIST CACHE ALL-ACCESS-LISTS

Muestra todas las entradas de las Listas de Control de Acceso que están en la caché.
Ejemplo:
Access Lists>list cache all-access-lists

III - 50 Rev.10.91

Hits: 1


Access Lists+
• LIST CACHE ADDRESS-FILTER-ACCESS-LISTS

Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las
entradas que están en la caché que contienen la dirección IP y la máscara de subred que se incluye en
el patrón de búsqueda que introduce a continuación del comando. Este comando debe ir seguido de
otros que permiten especificar con más detalle las Listas de Acceso a mostrar. Si la dirección IP y la
máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso.
Sintaxis:
Access Lists+list cache address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists+list cache address-filter-access-lists 172.24.51.57 255.255.255.255


PROT=21
Hits: 2


Access Lists+
• LIST CACHE ACCESS-LIST

Muestra todas las entradas de una Lista de Control de Acceso que están en la caché.
Sintaxis:
Access Lists+list cache access-list <id>

III - 51 Rev.10.91
Ejemplo:
Access Lists+list cache access-list 100


PROT=21
Hits: 2
Access Lists+
c) LIST ENTRIES
Muestra las entradas de las Listas de Control de Acceso que están en la configuración activa. Este
comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar.
Con este comando no se presenta la información de las entradas que están en la caché.
Sintaxis:
Access Lists+list entries ?
lists
list
• LIST ENTRIES ALL-ACCESS-LISTS

Muestra todas las entradas de la Lista de Control de Acceso de la configuración activa.
Ejemplo:
Access Lists+list entries all-access-lists
ACCESS LIST ENTRIES

3 PERMIT SRC=234.233.44.33/32
Hits: 0
1 DENY SRC=192.23.0.22/255.255.0.255
Hits: 0
ACCESS LIST ENTRIES

PROT=21
Hits: 0
2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

Hits: 0

Hits: 0
ACCESS LIST ENTRIES

Hits: 0

III - 52 Rev.10.91
Hits: 0
ACCESS LIST ENTRIES

TOS OCTET=0
Hits: 0
Access Lists+
• LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS

Muestra todas las entradas de las Listas de Control de Acceso, de la configuración activa, que
contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda, que se
introduce a continuación del comando. Si la dirección IP y la máscara introducidas son 0.0.0.0 se
listan todas las Lista de Acceso.
Sintaxis:
Access Lists+list entries address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists+list entries address-filter-access-lists 172.24.51.57 255.255.255.255
ACCESS LIST ENTRIES
ACCESS LIST ENTRIES
ACCESS LIST ENTRIES

Hits: 0
ACCESS LIST ENTRIES

Access Lists+
• LIST ENTRIES ACCESS-LIST

Muestra todas las entradas de una Lista de Control de Acceso.
Sintaxis:
Access Lists+list entries access-list <id>
Ejemplo:
Access Lists+list entries access-list 100
ACCESS LIST ENTRIES

PROT=21
Hits: 0
2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

III - 53 Rev.10.91
Hits: 0

Hits: 0
Access Lists+
1.3. CLEAR-CACHE
Elimina todas las entradas de una Lista de Control de Acceso concreta de la caché que procesa las
Listas de Control de Acceso.
Sintaxis:
Access Lists+clear-cache <id>
Ejemplo:
Access Lists+clear-cache 100
Cache cleared.
Access Lists+
1.4. SET-CACHE-SIZE
Permite configurar el tamaño de la caché para una Lista de Control de Acceso. El tamaño está definido
por el número de entradas que permite la caché.
Sintaxis:
Access Lists+set-cache-size <id> <tamaño>
Ejemplo:
Access Lists+set-cache-size 100 33
Cache cleared.
Access Lists+
1.5. SHOW-HANDLES
Al introducir este comando, en entre los datos presentados con el comando LIST, aparece información
para depuración en cada entrada.
1.6. HIDE-HANDLES
Al introducir este comando se deshabilita que, entre los datos presentados con el comando LIST,
aparezca información para depuración en cada entrada.

III - 54 Rev.10.91
Capítulo 4
Anexo
1. Puerto Reservados
En los protocolos de nivel de transporte TCP y UDP, ampliamente utilizados sobre IP versión 4 (IPv4)
[RFC791], existe un campo denominado “puerto”. Dicho campo consta de 16 bits.
Los puertos son usados por TCP para nombrar los extremos de una conexión lógica en la cual se
mantiene una conversación. Con el propósito de proporcionar servicios a llamantes desconocidos, se
define un puerto de contacto para dicho servicio. Por ello, existe una lista que asigna números de
puertos predeterminados a servicios concretos.
Para posibles ampliaciones, esta misma asignación de puertos se utiliza con UDP.
Los números de puertos están divididos en tres rangos:
- Reservados (0-1023)
- Registrados (1024-49151)
- Dinámicos o privados (49152-65535)
La siguiente lista se muestran algunos de los Puertos Reservados más utilizado:
Keyword Decimal Description

------- ------- -----------
ftp-data 20/tcp File Transfer [Default Data]
ftp-data 20/udp File Transfer [Default Data]
ftp 21/tcp File Transfer [Control]

ftp 21/udp File Transfer [Control]
telnet 23/tcp Telnet

telnet 23/udp Telnet
smtp 25/tcp Simple Mail Transfer

smtp 25/udp Simple Mail Transfer
nameserver 42/tcp Host Name Server

nameserver 42/udp Host Name Server
domain 53/tcp Domain Name Server

domain 53/udp Domain Name Server
tftp 69/tcp Trivial File Transfer

tftp 69/udp Trivial File Transfer
gopher 70/tcp Gopher

gopher 70/udp Gopher
http 80/tcp World Wide Web HTTP

http 80/udp World Wide Web HTTP
snmp 161/tcp SNMP

snmp 161/udp SNMP
snmptrap 162/tcp SNMPTRAP

snmptrap 162/udp SNMPTRAP
ROUTER TELDAT – Control de acceso Anexo Doc.DM752

IV - 56 Rev.10.91
2. Protocolos Reservados
En IP versión 4 (IPv4) [RFC791], hay un campo denominado protocolo, el cual identifica el siguiente
nivel de protocolo. El campo protocolo consta de 8 bits. En IP versión 6 (IPv6) [RFC1883] este campo
se denomina “Next Header”.
Asignación de números de Protocolos de Internet:
Decimal Keyword Protocol References

------- ------- -------- ----------
0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883]
1 ICMP Internet Control Message [RFC792]
2 IGMP Internet Group Management [RFC1112]
3 GGP Gateway-to-Gateway [RFC823]
4 IP IP in IP (encapsulation) [RFC2003]
5 ST Stream [RFC1190,RFC1819]
6 TCP Transmission Control [RFC793]
7 CBT CBT [Ballardie]
8 EGP Exterior Gateway Protocol [RFC888,DLM1]
9 IGP any private interior gateway [IANA]
(used by Cisco for their IGRP)
10 BBN-RCC-MON BBN RCC Monitoring [SGC]
11 NVP-II Network Voice Protocol [RFC741,SC3]
12 PUP PUP [PUP,XEROX]
13 ARGUS ARGUS [RWS4]
14 EMCON EMCON [BN7]
15 XNET Cross Net Debugger [IEN158,JFH2]
16 CHAOS Chaos [NC3]
17 UDP User Datagram [RFC768,JBP]
18 MUX Multiplexing [IEN90,JBP]
19 DCN-MEAS DCN Measurement Subsystems [DLM1]
20 HMP Host Monitoring [RFC869,RH6]
21 PRM Packet Radio Measurement [ZSU]
22 XNS-IDP XEROX NS IDP [ETHERNET,XEROX]
23 TRUNK-1 Trunk-1 [BWB6]
24 TRUNK-2 Trunk-2 [BWB6]
25 LEAF-1 Leaf-1 [BWB6]
26 LEAF-2 Leaf-2 [BWB6]
27 RDP Reliable Data Protocol [RFC908,RH6]
28 IRTP Internet Reliable Transaction [RFC938,TXM]
29 ISO-TP4 ISO Transport Protocol Class 4 [RFC905,RC77]
30 NETBLT Bulk Data Transfer Protocol [RFC969,DDC1]
31 MFE-NSP MFE Network Services Protocol [MFENET,BCH2]
32 MERIT-INP MERIT Internodal Protocol [HWB]
33 SEP Sequential Exchange Protocol [JC120]
34 3PC Third Party Connect Protocol [SAF3]
35 IDPR Inter-Domain Policy Routing Protocol [MXS1]
36 XTP XTP [GXC]
37 DDP Datagram Delivery Protocol [WXC]
38 IDPR-CMTP IDPR Control Message Transport Proto [MXS1]
39 TP++ TP++ Transport Protocol [DXF]
40 IL IL Transport Protocol [Presotto]
41 IPv6 Ipv6 [Deering]
42 SDRP Source Demand Routing Protocol [DXE1]
43 IPv6-Route Routing Header for IPv6 [Deering]
44 IPv6-Frag Fragment Header for IPv6 [Deering]
45 IDRP Inter-Domain Routing Protocol [Sue Hares]

IV - 57 Rev.10.91
46 RSVP Reservation Protocol [Bob Braden]
47 GRE General Routing Encapsulation [Tony Li]
48 MHRP Mobile Host Routing Protocol [David Johnson]
49 BNA BNA [Gary Salamon]
50 ESP Encapsulating Security Payload [RFC1827]
51 AH Authentication Header [RFC1826]
52 I-NLSP Integrated Net Layer Security TUBA [GLENN]
53 SWIPE IP with Encryption [JI6]
54 NARP NBMA Address Resolution Protocol [RFC1735]
55 MOBILE IP Mobility [Perkins]
56 TLSP Transport Layer Security Protocol [Oberg]
using Kryptonet key management
57 SKIP SKIP [Markson]
58 IPv6-ICMP ICMP for IPv6 [RFC1883]
59 IPv6-NoNxt No Next Header for IPv6 [RFC1883]
60 IPv6-Opts Destination Options for IPv6 [RFC1883]
61 any host internal protocol [IANA]
62 CFTP CFTP [CFTP,HCF2]
63 any local network [IANA]
64 SAT-EXPAK SATNET and Backroom EXPAK [SHB]
65 KRYPTOLAN Kryptolan [PXL1]
66 RVD MIT Remote Virtual Disk Protocol [MBG]
67 IPPC Internet Pluribus Packet Core [SHB]
68 any distributed file system [IANA]
69 SAT-MON SATNET Monitoring [SHB]
70 VISA VISA Protocol [GXT1]
71 IPCV Internet Packet Core Utility [SHB]
72 CPNX Computer Protocol Network Executive [DXM2]
73 CPHB Computer Protocol Heart Beat [DXM2]
74 WSN Wang Span Network [VXD]
75 PVP Packet Video Protocol [SC3]
76 BR-SAT-MON Backroom SATNET Monitoring [SHB]
77 SUN-ND SUN ND PROTOCOL-Temporary [WM3]
78 WB-MON WIDEBAND Monitoring [SHB]
79 WB-EXPAK WIDEBAND EXPAK [SHB]
80 ISO-IP ISO Internet Protocol [MTR]
81 VMTP VMTP [DRC3]
82 SECURE-VMTP SECURE-VMTP [DRC3]
83 VINES VINES [BXH]
84 TTP TTP [JXS]
85 NSFNET-IGP NSFNET-IGP [HWB]
86 DGP Dissimilar Gateway Protocol [DGP,ML109]
87 TCF TCF [GAL5]
88 EIGRP EIGRP [CISCO,GXS]
89 OSPFIGP OSPFIGP [RFC1583,JTM4]
90 Sprite-RPC Sprite RPC Protocol [SPRITE,BXW]
91 LARP Locus Address Resolution Protocol [BXH]
92 MTP Multicast Transport Protocol [SXA]
93 AX.25 AX.25 Frames [BK29]
94 IPIP IP-within-IP Encapsulation Protocol [JI6]
95 MICP Mobile Internetworking Control Pro. [JI6]
96 SCC-SP Semaphore Communications Sec. Pro. [HXH]
97 ETHERIP Ethernet-within-IP Encapsulation [RDH1]
98 ENCAP Encapsulation Header [RFC1241,RXB3]
99 any private encryption scheme [IANA]
100 GMTP GMTP [RXB5]
101 IFMP Ipsilon Flow Management Protocol [Hinden]
102 PNNI PNNI over IP [Callon]
103 PIM Protocol Independent Multicast [Farinacci]

IV - 58 Rev.10.91
104 ARIS ARIS [Feldman]
105 SCPS SCPS [Durst]
106 QNX QNX [Hunter]
107 A/N Active Networks [Braden]
108 IPComp IP Payload Compression Protocol [RFC2393]
109 SNP Sitara Networks Protocol [Sridhar]
110 Compaq-Peer Compaq Peer Protocol [Volpe]
111 IPX-in-IP IPX in IP [Lee]
112 VRRP Virtual Router Redundancy Protocol [Hinden]
113 PGM PGM Reliable Transport Protocol [Speakman]
114 any 0-hop protocol [IANA]
115 L2TP Layer Two Tunneling Protocol [Aboba]
116 DDX D-II Data Exchange (DDX) [Worley]
117 IATP Interactive Agent Transfer Protocol [Murphy]
118 STP Schedule Transfer Protocol [JMP]
119 SRP SpectraLink Radio Protocol [Hamilton]
120 UTI UTI [Lothberg]
121 SMP Simple Message Protocol [Ekblad]
122 SM SM [Crowcroft]
123 PTP Performance Transparency Protocol [Welzl]
124 ISIS over IPv4 [Przygienda]
125 FIRE [Partridge]
126 CRTP Combat Radio Transport Protocol [Sautter]
127 CRUDP Combat Radio User Datagram [Sautter]
128 SSCOPMCE [Waber]
129 IPLT [Hollbach]
130 SPS Secure Packet Shield [McIntosh]
131 PIPE Private IP Encapsulation within IP [Petri]
132 SCTP Stream Control Transmission Protocol [Stewart]
133 FC Fibre Channel [Rajagopal]
134 RSVP-E2E-IGNORE [RFC3175]
135-254 Unassigned [IANA]
255 Reserved [IANA]

IV - 59 Rev.10.91
3. Valores de Protocolos en listas “stateful”
En algunos comandos de configuración de las listas stateful se hace refencia al valor de protocolo.
Estos son los valores permitidos.
3com-amp3 3Com AMP3
3com-tsmux 3Com TSMUX
3pc Third Party Connect Protocol
914c/g Texas Instruments 914 Terminal
9pfs Plan 9 file service
acap ACAP
acas ACA Services
accessbuilder Access Builder
accessnetwork Access Network
acp Aeolon Core Protocol
acr-nema ACR-NEMA Digital Img
aed-512 AED 512 Emulation service
agentx AgentX
alpes Alpes
aminet AMInet
an Active Networks
anet ATEXSSTR
ansanotify ANSA REX Notify
ansatrader ansatrader
aodv AODV
aol-messenger AOL Instant Messenger Chat Messages
apertus-ldp Apertus Tech Load Distribution
appleqtc Apple Quick Time
appleqtcsrvr appleqtcsrvr
applix Applix ac
arcisdms arcisdms
argus ARGUS
ariel1 Ariel1
ariel2 Ariel2
ariel3 Ariel3
aris ARIS
arns A remote network server system
as-servermap AS Server Mapper
asa ASA Message router object def
asa-appl-proto asa-appl-proto
asip-webadmin AppleShare IP WebAdmin
asipregistry asipregistry
at-3 AppleTalk Unused
at-echo AppleTalk Echo
at-nbp AppleTalk Name Binding

IV - 60 Rev.10.91
at-rtmp AppleTalk Routing Maintenance
at-zis AppleTalk Zone Information
audit Unisys Audit SITP
auditd Digital Audit daemon
aurora-cmgr Aurora CMGR
aurp Appletalk Update-Based Routing Pro.
auth Authentication Service
avian avian
ax25 AX.25 Frames
banyan-rpc banyan-rpc
banyan-vip banyan-vip
bbnrccmon BBN RCC Monitoring
bdp Bundle Discovery protocol
bftp Background File Transfer Program
bgmp BGMP
bgp Border Gateway Protocol
bgs-nsi bgs-nsi
bhevent bhevent
bhfhs bhfhs
bhmds bhmds
bl-idm Britton Lee IDM
bmpp bmpp
bna BNA
bnet bnet
borland-dsj borland-dsj
br-sat-mon Backroom SATNET Monitoring
CAIlic Computer Associates Intl License Server
cab-protocol CAB Protocol
cableport-ax Cable Port A/X
cadlock cadlock
cbt CBT
cdc Certificate Distribution Center
cfdptkt cfdptkt
cftp CFTP
chaos Chaos
chargen Character Generator
chshell chcmd
cifs Common Internet File System
cimplex cimplex
cisco-fna cisco FNATIVE
cisco-phone Cisco IP Phones and PC-Based Unified Communicators
cisco-sys cisco SYSMAINT
cisco-tdp Cisco TDP
cisco-tna cisco TNATIVE
citrix Citrix ICA traffic
clearcase Clear Case Protocol Software Informer
cloanto-net-1 cloanto-net-1
cmip-agent CMIP/TCP Agent
cmip-man CMIP/TCP Manager

IV - 61 Rev.10.91
coauthor oracle
codaauth2 codaauth2
collaborator collaborator
commerce commerce
compaq-peer Compaq Peer Protocol
compressnet Management Utility
comscm comscm
con con
conference chat
connendp almanid Connection Endpoint
contentserver contentserver
corba-iiop Corba Internet Inter-Orb Protocol (IIOP)
corerjd corerjd
courier rpc
covia Communications Integrator
cphb Computer Protocol Heart Beat
cpnx Computer Protocol Network Executive
creativepartnr creativepartnr
creativeserver creativeserver
crs crs
crtp Combat Radio Transport Protocol
crudp Combat Radio User Datagram
cryptoadmin Crypto Admin
csi-sgwp Cabletron Management Protocol
csnet-ns Mailbox Name Nameserver
ctf Common Trace Facility
cuseeme Desktop Video Conferencing
custix Customer Ixchange
cvc_hostd cvc_hostd
cybercash cybercash
cycleserv cycleserv
cycleserv2 cycleserv2
dantz dantz
dasp dasp
datasurfsrv DataRamp Svr
datasurfsrvsec DataRamp Svr svs
datex-asn datex-asn
daytime Daytime Protocol
dbase dBASE Unix
dccp Datagram Congestion Control Protocol
dcn-meas DCN Measurement Subsystems
dcp Device Control Protocol
dctp dctp
ddm-dfm DDM Distributed File management
ddm-rdb DDM-Remote Relational Database Access
ddm-ssl DDM-Remote DB Access Using Secure Sockets
ddp Datagram Delivery Protocol
ddx D-II Data Exchange
decap decap

IV - 62 Rev.10.91
decauth decauth
decbsrv decbsrv
decladebug DECLadebug Remote Debug Protocol
decvms-sysmgt decvms-sysmgt
dec_dlm dec_dlm
dei-icda dei-icda
deos Distributed External Object Store
device device
dgp Dissimilar Gateway Protocol
dhcp Dynamic Host Configuration Protocol/Bootstrap Protocol
dhcp-failover DHCP Failover
dhcp-failover2 dhcp-failover2
dhcpv6-client DHCPv6 Client
dhcpv6-server DHCPv6 Server
digital-vrc digital-vrc
directconnect Direct Connect File Transfer Traffic
directplay DirectPlay
directplay8 DirectPlay8
directv-catlg Direct TV Data Catalog
directv-soft Direct TV Software Updates
directv-tick Direct TV Tickers
directv-web Direct TV Webcasting
discard Discard
disclose campaign contribution disclosures
dixie DIXIE Protocol Specification
dls Directory Location Service
dls-mon Directory Location Service Monitor
dn6-nlm-aud DNSIX Network Level Module Audit
dna-cml DNA-CML
dns Domain Name System
dnsix DNSIX Securit Attribute Token Map
doom Doom
dpsi dpsi
dsfgw dsfgw
dsp Display Support Protocol
dsp3270 Display Systems Protocol
dsr Dynamic Source Routing Protocol
dtag-ste-sb DTAG
dtk dtk
dwr dwr
echo Echo Protocol
egp Exterior Gateway Protocol
eigrp Enhanced Interior Gateway Routing Protocol
elcsd errlog copy/server daemon
embl-ndt EMBL Nucleic Data Transfer
emcon EMCON
emfis-cntl EMFIS Control Service
emfis-data EMFIS Data Service
encap Encapsulation Header

IV - 63 Rev.10.91
entomb entomb
entrust-aaas entrust-aaas
entrust-aams entrust-aams
entrust-ash Entrust Administration Service Handler
entrust-kmsh Entrust Key Management Service Handler
entrust-sps entrust-sps
erpc Encore Expedited Remote Pro.Call
escp-ip escp-ip
esro-emsdp ESRO-EMSDP V1.3
esro-gen Efficient Short Remote Operations
etherip Ethernet-within-IP Encapsulation
eudora-set Eudora Set
exchange MS-RPC for Exchange
exec remote process execution;
fatserv Fatmen Server
fc Fibre Channel
fcp FirstClass Protocol
finger Finger User Information Protocol
fire FIRE
flexlm Flexible License Manager
fln-spx Berkeley rlogind with SPX auth
ftp-agent FTP Software Agent System
ftp-data File Transfer
ftps-data ftp protocol, data, over TLS/SSL
fujitsu-dev Fujitsu Device Control
gacp Gateway Access Control Protocol
gdomap gdomap
genie Genie Protocol
genrad-mux genrad-mux
ggf-ncp GNU Generation Foundation NCP
ggp Gateway-to-Gateway
ginad ginad
gmtp GMTP
go-login go-login
gopher Gopher
graphics Graphics
gre General Routing Encapsulation
groove groove
gss-http gss-http
gss-xlicen GNU Generation Foundation NCP
gtp-user GTP-User Plane
ha-cluster ha-cluster
hap hap
hassle hassle
hcp-wismar Hardware Control Protocol Wismar
hdap hdap
hello-port HELLO_PORT
hems hems
hip Host Identity Protocol

IV - 64 Rev.10.91
hmmp-ind HMMP Indication
hmmp-op HMMP Operation
hmp Host Monitoring
hopopt IPv6 Hop-by-Hop Option
hostname NIC Host Name Server
hp-alarm-mgr hp performance data alarm manager
hp-collector hp performance data collector
hp-managed-node hp performance data managed node
http Hypertext Transfer Protocol
http-alt HTTP Alternate
http-mgmt http-mgmt
http-rpc-epmap HTTP RPC Ep Map
hybrid-pop hybrid-pop
hyper-g hyper-g
hyperwave-isp hyperwave-isp
i-nlsp Integrated Net Layer Security TUBA
iafdbase iafdbase
iafserver iafserver
iasd iasd
iatp Interactive Agent Transfer Protocol
ibm-app IBM Application
ibm-db2 IBM Information Management
ibprotocol Internet Backplane Protocol
iclcnet-locate ICL coNETion locate server
iclcnet_svinfo ICL coNETion server info
icmp Internet Control Message Protocol
idfp idfp
idpr Inter-Domain Policy Routing Protocol
idpr-cmtp IDPR Control Message Transport Proto
idrp Inter-Domain Routing Protocol
ieee-mms ieee-mms
ieee-mms-ssl ieee-mms-ssl
ifmp Ipsilon Flow Management Protocol
igmp Internet Group Management Protocol
igmp Internet Group Management Protocol
igrp Cisco interior gateway
iiop iiop
il IL Transport Protocol
imap Internet Message Access Protocol
imsp Interactive Mail Support Protocol
inbusiness inbusiness
infoseek InfoSeek
ingres-net INGRES-NET Service
intecourier intecourier
integra-sme Integra Software Management Environment
intrinsa intrinsa
ipcd ipcd
ipcomp IP Payload Compression Protocol
ipcserver Sun IPC server

IV - 65 Rev.10.91
ipcv Internet Packet Core Utility
ipdd ipdd
ipinip IP in IP
ipip IP-within-IP Encapsulation Protocol
iplt IPLT
ipp Internet Printing Protocol
ippc Internet Pluribus Packet Core
ipsec IP Encapsulating Security Payload - Authentication-Header
ipv6-frag Fragment Header for IPv6
ipv6-icmp ICMP for IPv6
ipv6-nonxt No Next Header for IPv6
ipv6-opts Destination Options for IPv6
ipv6-route Routing Header for IPv6
ipv6inip Ipv6 encapsulated
ipx Internet Packet Exchange
ipx-in-ip IPX in IP
irc Internet Relay Chat
irc-serv IRC-SERV
irtp Internet Reliable Transaction
is99c TIA/EIA/IS-99 modem client
is99s TIA/EIA/IS-99 modem server
isakmp Internet Security Association & Key Management Protocol
isi-gl Interoperable Self Installation Graphics Language
isis ISIS over IPv4
iso-ill ISO ILL Protocol
iso-ip iso-ip
iso-tp0 iso-tp0
iso-tp4 ISO Transport Protocol Class 4
iso-tp4 ISO Transport Protocol Class 4
iso-tsap ISO-TSAP Class 0
iso-tsap-c2 ISO Transport Class 2 Non-Control
itm-mcell-s itm-mcell-s
jargon Jargon
Konspire2b konspire2b p2p network
k-block k-block
kali kali
kerberos Kerberos Network Authentication Service
keyserver Key Server
kis KIS Protocol
klogin KLogin
knet-cmp KNET/VM Command/Message Protocol
kpasswd kpasswd
kryptolan kryptolan
kshell KShell
l2tp L2F/L2TP Tunnel
la-maint IMP Logical Address Maintenance
lanserver lanserver
larp Locus Address Resolution Protocol
ldap Lightweight Directory Access Protocol

IV - 66 Rev.10.91
ldp LDP
leaf-1 Leaf-1
leaf-2 Leaf-2
legent-1 Legent Corporation
legent-2 Legent Corporation
ljk-login ljk-login
lockd LockD
locus-con Locus PC-Interface Conn Server
locus-map Locus PC-Interface Net Map Ser
mac-srvr-admin MacOS Server Admin
magenta-logic magenta-logic
mailbox-lm mailbox-lm
mailq MAILQ
maitrd maitrd
manet MANET Protocols
mapi Messaging Application Programming Interface
masqdialer masqdialer
matip-type-a MATIP Type A
matip-type-b MATIP Type B
mcidas McIDAS Data Transmission Protocol
mcns-sec mcns-sec
mdc-portmapper mdc-portmapper
mecomm mecomm
meregister meregister
merit-inp MERIT Internodal Protocol
meta5 meta5
metagram metagram
meter meter
mfcobol Micro Focus Cobol
mfe-nsp MFE Network Services Protocol
mftp mftp
mgcp Media Gateway Control Protocol
micom-pfs micom-pfs
micp Mobile Internetworking Control Pro.
micromuse-lm micromuse-lm
microsoftds Microsoft Directory Services
mit-dov MIT Dover Spooler
mit-ml-dev MIT ML Device
mobile IP Mobility
mobileip-agent mobileip-agent
mobilip-mn mobilip-mn
mondex mondex
monitor monitor
mortgageware mortgageware
mpls-in-ip MPLS-in-IP
mpm Message Processing Module
mpm-flags MPM FLAGS Protocol
mpm-snd MPM [default send]
mpp Netix Message Posting Protocol

IV - 67 Rev.10.91
mptn Multi Protocol Trans. Net
mrm mrm
ms-olap Microsoft OLAP
ms-rome microsoft rome
ms-shuttle microsoft shuttle
ms-sql-m Microsoft-SQL-Monitor
msdp msdp
msexch-routing MS Exchange Routing
msft-gc Microsoft Global Catalog
msft-gc-ssl Microsoft Global Catalog with LDAP/SSL
msg-auth msg-auth
msg-icp msg-icp
msn-messenger MSN Messenger Chat Messages
msnp msnp
msp Message Send Protocol
mtp Multicast Transport Protocol
multiling-http Multiling HTTP
multiplex Network Innovations Multiplex
mumps Plus Fives MUMPS
mux Multiplexing
mylex-mapd mylex-mapd
mysql MySQL
name Host Name Server
namp namp
narp NBMA Address Resolution Protocol
nas Netnews Administration System
nced nced
ncld ncld
ncp NCP
ndsauth NDSAUTH
nest-protocol nest-protocol
net-assistant net-assistant
net8-cman Oracle Net8 CMan Admin
netbios NetBIOS over IP (MS Windows)
netblt Bulk Data Transfer Protocol
netgw netgw
netnews readnews
netrcs Network based RCS
netrjs-1 Remote Job Service
netsc-dev NETSC
netsc-prod NETSC
netviewdm1 IBM NetView DM
netwall for emergency broadcasts
netware-ip Novell Netware over IP

IV - 68 Rev.10.91
new-rwho new who
nextstep NextStep Window Server
nfs Network File System
ni-ftp NI FTP
ni-mail NI MAIL
nicname Who Is
nlogin nlogin
nmap nmap
nmsp Networked Media Streaming Protocol
nnsp nnsp
nntp Network News Transfer Protocol
notes Lotus Notes(R)
novadigm Novadigm Enterprise Desktop Manager (EDM)
novastorbakcup Novastor Backup
npmp-gui npmp-gui
npmp-local npmp-local
npmp-trap npmp-trap
npp Network Payment Protocol
nqs nqs
ns ns
nsfnet-igp NSFNET-IGP
nsiiops IIOP Name Service over TLS/SSL
nsrmp Network Security Risk Management Protocol
nss-routing NSS-Routing
nsw-fe NSW User System FE
ntalk ntalk
ntp Network Time Protocol
nvp-ii Network Voice Protocol
nxedit nxedit
obex obex
objcall Tivoli Object Dispatcher
ocbinder ocbinder
ocserver ocserver
ocs_amu ocs_amu
ocs_cmu ocs_cmu
odmr odmr
ohimsrv ohimsrv
olsr olsr
omginitialrefs omginitialrefs
omserv omserv
onmux onmux
opalis-rdv opalis-rdv
opalis-robot opalis-robot
opc-job-start IBM Operations Planning and Control Start
opc-job-track IBM Operations Planning and Control Track
openport openport
openvms-sysipc openvms-sysipc
ora-srv Oracle TCP/IP Listener
oraclenames oraclenames

IV - 69 Rev.10.91
oraclenet8cman Oracle Net8 Cman
orbix-config Orbix 2000 Config
orbix-loc-ssl Orbix 2000 Locator SSL
orbix-locator Orbix 2000 Locator
ospf Open Shortest Path First
osu-nms OSU Network Monitoring System
p++ TP++ Transport Protocol
parsec-game Parsec Gameserver
passgo passgo
passgo-tivoli passgo-tivoli
password-chg Password Change
pawserv Perf Analysis Workbench
pcanywhere Symantic PCAnywhere
pcmail-srv PCMail Server
pdap Prospero Data Access Protocol
peer2peer Match peer to peer traffic
personal-link personal-link
pftp pftp
pgm PGM Reliable Transport Protocol
philips-vc Philips Video-Conferencing
phonebook Phone
photuris photuris
pim Protocol Independent Multicast
pim-rp-disc PIM-RP-DISC
pip pip
pipe Private IP Encapsulation within IP
pirp pirp
pkix-3-ca-ra PKIX-3 CA/RA
pkix-timestamp pkix-timestamp
pnni PNNI over IP
pop2 Post Office Protocol - Version 2
pop3 Post Office Protocol
pov-ray pov-ray
powerburst Air Soft Power Burst
pptp Microsoft Point-to-Point Tunneling Protocol for VPN
print-srv Network PostScript
printer Printer
prm Packet Radio Measurement
prm-nm Prospero Resource Manager Node Man
prm-sm Prospero Resource Manager Sys. Man
profile PROFILE Naming System
prospero Prospero Directory Service
ptcnameservice PTC Name Service
ptp Performance Transparency Protocol
ptp-event PTP Event
ptp-general PTP General
pump pump
pup PUP
purenoise purenoise

IV - 70 Rev.10.91
pvp Packet Video Protocol
pwdgen Password Generator Protocol
qbikgdp qbikgdp
qft Queued File Transport
qmqp qmqp
qmtp The Quick Mail Transfer Protocol
qnx QNX
qotd Quote of the Day
qrh qrh
quotad quotad
rap Route Access Protocol
rcp Rate Control Protocol
rda rda
rdb-dbs-disp Oracle Remote Data Base
rdp Reliable Data Protocol
re-mail-ck Remote Mail Checking Protocol
realm-rusd ApplianceWare managment protocol
remote-kis remote-kis
remotefs rfs server
repcmd repcmd
repscmd repscmd
rescap rescap
rip Routing Information Protocol
ripng ripng
ris Intergraph
ris-cm Russell Info Sci Calendar Manager
rje Remote Job Entry
rlp Resource Location Protocol
rlzdbase rlzdbase
rmc rmc
rmiactivation rmiactivation
rmiregistry rmiregistry
rmonitor rmonitord
rmt Remote MT Protocol
rpc2portmap rpc2portmap
rrh rrh
rrp Registry Registrar Protocol
rsh-spx Berkeley rshd with SPX auth
rsvd rsvd
rsvp Resource Reservation Protocol
rsvp-e2e-ignore RSVP-E2E-IGNORE
rsvp-e2e-ignore RSVP-E2E-IGNORE
rsvp_tunnel rsvp_tunnel
rsync rsync
rtelnet Remote Telnet Service
rtip rtip
rtsps RTSPS
rushd rushd
rvd MIT Remote Virtual Disk Protocol

IV - 71 Rev.10.91
rxe rxe
s-net Sirius Systems
saft saft Simple Asynchronous File Transfer
sanity sanity
sap System Analysis and Program Development
sat-expak SATNET and Backroom EXPAK
sat-expak SATNET and Backroom EXPAK
sat-mon SATNET Monitoring
sat-mon SATNET Monitoring
scc-security scc-security
scc-sp Semaphore Communications Sec. Pro.
scc-sp Semaphore Communications Sec. Pro.
sco-dtmgr SCO Desktop Administration Server
sco-inetmgr Internet Configuration Manager
sco-sysmgr SCO System Administration Server
sco-websrvrmg3 SCO Web Server Manager 3
sco-websrvrmgr SCO WebServer Manager
scohelp scohelp
scoi2odialog scoi2odialog
scps SCPS
sctp Stream Control Transmission Protocol
scx-proxy scx-proxy
sdnskmp SDNSKMP
sdrp Source Demand Routing Protocol
secure-ftp Secure FTP
secure-http Secure HTTP
secure-imap Secure IMAP
secure-irc irc protocol over TLS
secure-ldap ldap protocol over TLS
secure-nntp nntp protocol over TLS
secure-pop3 pop3 protocol over TLS
secure-telnet Secure Telnet
secure-vmtp SECURE-VMTP
semantix semantix
send SEND
server-ipx Internetwork Packet Exchange Protocol
servstat Service Status update
set Secure Electronic Transaction
sfs-config Cray SFS config server
sfs-smp-net Cray Network Semaphore server
sftp Simple File Transfer Protocol
sgcp sgcp
sgmp sgmp
sgmp-traps sgmp-traps
shockwave Shockwave
shrinkwrap shrinkwrap
siam siam
sift-uft Sender-Initiated/Unsolicited File Transfer
silc silc

IV - 72 Rev.10.91
sip Session Initiation Protocol
sitaradir sitaradir
sitaramgmt sitaramgmt
sitaraserver sitaraserver
skinny Skinny Client Control Protocol
skip SKIP
skronk skronk
sm SM
smakynet smakynet
smartsdp smartsdp
smp Simple Message Protocol
smpnameres smpnameres
smsd smsd
smsp Storage Management Services Protocol
smtp Simple Mail Transfer Protocol
smux SMUX
snagas SNA Gateway Access Server
snare snare
snmp Simple Network Management Protocol
snp Sitara Networks Protocol
snpp Simple Network Paging Protocol
sntp-heartbeat SNTP HEARTBEAT
socks Firewall Security Protocol
softpc Insignia Solutions
sonar sonar
spmp spmp
sprite-rpc Sprite RPC Protocol
sps Secure Packet Shield
spsc spsc
sql*net Oracle SQL*NET
sql-net SQL-NET
sqlexec SQL Exec
sqlnet SQL*NET for Oracle
sqlserv SQL Services
sqlserver Microsoft SQL Server Desktop Videoconferencing
src IBM System Resource Controller
srmp Spider Remote Monitoring Protocol
srp SpectraLink Radio Protocol
srssend srssend
ss7ns ss7ns
sscopmce SSCOPMCE
ssh Secured Shell
sshell SSLshell
sst SCSI on ST
st Stream
statsrv Statistics Service
stmf stmf
stp Schedule Transfer Protocol
streettalk streettalk

IV - 73 Rev.10.91
stun-nat STUN
stx Stock IXChange
su-mit-tg SU/MIT Telnet Gateway
submission submission
subntbcst_tftp subntbcst_tftp
sun-dr sun-dr
sun-nd SUN ND PROTOCOL-Temporary
supdup SUPDUP
sur-meas Survey Measurement
surf surf
svrloc Server Location
swift-rvf Swift Remote Virtural File Protocol
swipe IP with Encryption
synoptics-trap Trap Convention Port
synotics-broker SynOptics Port Broker Port
synotics-relay SynOptics SNMP Relay Port
syslog System Logging Utility
systat System Statistics
tacacs Terminal Access Controller Access-Control System
tacnews TAC News
talk talk
tcf TCF
tcp Transmission Control Protocol
td-replica Tobit David Replica
td-service Tobit David Service Layer
teedtap teedtap
tell send
telnet Telnet Protocol
tempo newdate
tenfold tenfold
texar Texar Security Port
ticf-1 Transport Independent Convergence for FNA
ticf-2 Transport Independent Convergence for FNA
timbuktu Timbuktu
time Time
timed timeserver
tinc tinc
tlisrv oracle
tlsp Transport Layer Security Protocol
tn-tl-fd1 tn-tl-fd1
tnETOS NEC Corporation
tns-cml tns-cml
tp++ TP++ Transport Protocol
tpip tpip
trunk-1 Trunk-1
trunk-2 Trunk-2
tserver Computer Supported Telecomunication Applications
ttp TTP
uaac UAAC Protocol

IV - 74 Rev.10.91
uarps Unisys ARPs
udp User Datagram Protocol
udplite UDPLite
uis uis
ulistproc List Processor
ulp ulp
ulpnet ulpnet
unidata-ldm Unidata LDM
unify Unify
ups Uninterruptible Power Supply
urm Cray Unified Resource Manager
uti UTI
utime unixtime
utmpcd utmpcd
utmpsd utmpsd
uucp uucpd
uucp-path UUCP Path Service
uucp-rlogin uucp-rlogin
uuidgen UUIDGEN
vacdsm-app VACDSM-APP
vacdsm-sws VACDSM-SWS
vatp Velazquez Application Transfer Protocol
vemmi vemmi
vid vid
videotex videotex
visa VISA Protocol
vmnet vmnet
vmpwscs vmpwscs
vmtp VMTP
vnas vnas
vnc Virtual Network Computing
vpp Virtual Presence Protocol
vpps-qua vpps-qua
vpps-via vpps-via
vrrp Virtual Router Redundancy Protocol
vsinet vsinet
vslmp vslmp
wap-push WAP PUSH
wap-push-http WAP Push OTA-HTTP port
wap-push-https WAP Push OTA-HTTP secure
wap-pushsecure WAP PUSH SECURE
wap-vcal WAP vCal
wap-vcal-s WAP vCal Secure
wap-vcard WAP vCard
wap-vcard-s WAP vCard Secure
wap-wsp WAP connectionless session service
wap-wsp-s WAP secure connectionless session service
wap-wsp-wtp WAP session service
wap-wsp-wtp-s WAP secure session service

IV - 75 Rev.10.91
wb-expak WIDEBAND EXPAK
wb-expak WIDEBAND EXPAK
wb-mon WIDEBAND Monitoring
webster webster
whoami whoami
whois++ Whois++
winmx WinMX Traffic
worldfusion World Fusion
wpgs wpgs
wsn Wang Span Network
x-bone-ctl Xbone CTL
xact-backup xact-backup
xdmcp X Display Manager Control Protocol
xdtp eXtensible Data Transfer Protocol
xfer XFER Utility
xnet Cross Net Debugger
xns-auth XNS Authentication
xns-ch XNS Clearinghouse
xns-courier Xerox
xns-idp XEROX NS IDP
xns-mail XNS mail
xns-time XNS Time Protocol
xtp XTP
xvttp xvttp
xwindows X11, X Windows
xyplex-mux Xyplex
yahoo-messenger Yahoo Messenger Chat Messages
z39.50 ANSI Z39.50
zannet zannet
zserv Zebra server

IV - 76 Rev.10.91

Dm752v10-91 Control de Acceso

Uploaded by

Copyright:

Available Formats

You might also like

Dm752v10-91 Control de Acceso

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dm752v10-91 Control de Acceso

Uploaded by

Copyright:

Available Formats

Router Teldat

Capítulo 1 Introducción ....................................................................................................1

ROUTER TELDAT – Control de acceso Introducción Doc.DM752

Las Listas de Control de Acceso indican al protocolo asociado el resultado de la

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

-- Access Lists user configuration --

Con esto se accede al menú principal de configuración de la funcionalidad de Controles de Acceso. En

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

El orden de las entradas en la Lista de Control de Acceso es muy importante en casos,

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

Extended Access List 101>

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

Standard Access List 1, assigned to no protocol

Extended Access List 100, assigned to no protocol

1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0

2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

Access Lists config>

Standard Access List 1, assigned to no protocol

Access Lists config>

Extended Access List 100, assigned to no protocol

1 PERMIT SRC=172.34.53.23/32 DES=0.0.0.0/0 Conn:0

2 DENY SRC=0.0.0.0/0 DES=0.0.0.0/0 Conn:0

Access Lists config>

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

Standard Access List 1>

El submenú de Listas de control de acceso Genéricas admite los siguientes subcomandos:

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

a) ENTRY <id> DEFAULT

b) ENTRY <id> PERMIT

c) ENTRY <id> DENY

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

• ENTRY <id> SOURCE ADDRESS

Dirección Máscara comodín Concordancia de la entrada

0.0.130.0 0.0.254.0 Concuerda con las direcciones origen x.x.130.x y x.x.131.x,

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

Standard Access List 1>entry 4 source address 192.0.0.17 255.0.0.255

ATENCIÓN: La configuración de una interfaz como origen únicamente debe utilizarse

e) ENTRY <id> DESCRIPTION

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

Standard Access List 1, assigned to no protocol

1 DESCRIPTION: primera entrada

Standard Access List 1>

Standard Access List 1, assigned to no protocol

1 DESCRIPTION: primera entrada

Standard Access List 1>

Standard Access List 1, assigned to no protocol

1 DESCRIPTION: primera entrada

Standard Access List 1>

ROUTER TELDAT – Control de acceso Configuración Doc.DM752

Standard Access List 1, assigned to no protocol

Standard Access List 1>move-entry 1 end

Standard Access List 1, assigned to no protocol

Standard Access List 1>

Standard Access List 1, assigned to no protocol

1 DESCRIPTION: primera entrada

ROUTER TELDAT – Control de acceso Configuración Doc.DM752