Router Teldat Control de Acceso

Transcripción

Router Teldat
Control de Acceso
Doc. DM752 Rev. 10.91
Junio, 2013
ÍNDICE
Capítulo 1 Introducción ....................................................................................................1
1.
Listas de Control de Acceso ............................................................................................... 2
Capítulo 2 Configuración..................................................................................................3
1.
2.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
4.
4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
5.
5.1.
5.2.
Introducción ....................................................................................................................... 4
Acceso a configuración ...................................................................................................... 5
Menú principal de configuración........................................................................................ 6
? (AYUDA) ............................................................................................................. 7
ACCESS-LIST ........................................................................................................ 7
LIST ........................................................................................................................ 7
a)
LIST ALL-ACCESS-LISTS ...................................................................................... 8
b)
LIST STANDARD-ACCESS-LISTS ......................................................................... 8
c)
LIST EXTENDED-ACCESS-LISTS ......................................................................... 8
NO ........................................................................................................................... 9
a)
NO ACCESS-LIST ................................................................................................... 9
EXIT ....................................................................................................................... 9
Listas de Acceso Genéricas ................................................................................................ 10
? (AYUDA) ............................................................................................................. 10
ENTRY ................................................................................................................... 10
a)
ENTRY <id> DEFAULT ......................................................................................... 11
b)
ENTRY <id> PERMIT ............................................................................................ 11
c)
ENTRY <id> DENY ................................................................................................ 11
d)
ENTRY <id> SOURCE ........................................................................................... 12
•
ENTRY <id> SOURCE ADDRESS ............................................................ 12
e)
ENTRY <id> DESCRIPTION ................................................................................. 13
LIST ........................................................................................................................ 13
a)
LIST ALL-ENTRIES ................................................................................................ 14
b)
LIST ADDRESS-FILTER-ENTRIES........................................................................ 14
c)
LIST ENTRY ............................................................................................................ 14
MOVE-ENTRY ...................................................................................................... 14
DESCRIPTION....................................................................................................... 15
NO ........................................................................................................................... 15
a)
NO ENTRY .............................................................................................................. 16
b)
NO DESCRIPTION ................................................................................................. 16
EXIT ....................................................................................................................... 16
Listas de Acceso Extendidas .............................................................................................. 17
? (AYUDA) ............................................................................................................. 17
ENTRY ................................................................................................................... 17
a)
ENTRY <id> DEFAULT ......................................................................................... 18
b)
ENTRY <id> PERMIT ............................................................................................ 18
c)
ENTRY <id> DENY ................................................................................................ 18
d)
ENTRY <id> SOURCE ........................................................................................... 19
•
ENTRY <id> SOURCE ADDRESS ............................................................ 19
•
ENTRY <id> SOURCE PORT-RANGE..................................................... 20
e)
ENTRY <id> DESTINATION ................................................................................. 21
•
ENTRY <id> DESTINATION ADDRESS ................................................. 21
•
ENTRY <id> DESTINATION PORT-RANGE .......................................... 23
f)
ENTRY <id> PROTOCOL...................................................................................... 23
g)
ENTRY <id> PROTOCOL-RANGE ....................................................................... 24
h)
ENTRY <id> DS-FIELD ......................................................................................... 24
i)
ENTRY <id> LABEL .............................................................................................. 24
- ii -
j)
k)
l)
m)
n)
5.3.
5.4.
5.5.
5.6.
5.7.
6.
6.1.
6.2.
6.3.
7.
8.
ENTRY <id> PRECEDENCE ................................................................................. 25
ENTRY <id> TCP-SPECIFIC ESTABLISHED ...................................................... 25
ENTRY <id> TOS-OCTET ..................................................................................... 25
ENTRY <id> CONNECTION ................................................................................. 25
LIST ........................................................................................................................ 26
a)
LIST ALL-ENTRIES ................................................................................................ 26
b)
LIST ADDRESS-FILTER-ENTRIES........................................................................ 27
c)
LIST ENTRY ............................................................................................................ 27
MOVE-ENTRY ...................................................................................................... 27
DESCRIPTION....................................................................................................... 28
NO ........................................................................................................................... 28
a)
NO ENTRY .............................................................................................................. 28
b)
NO DESCRIPTION ................................................................................................. 29
EXIT ....................................................................................................................... 29
Listas de Acceso Stateful ................................................................................................... 30
? (AYUDA) ............................................................................................................. 30
ENTRY ................................................................................................................... 30
a)
ENTRY <id> DEFAULT ......................................................................................... 31
b)
ENTRY <id> LABEL .............................................................................................. 32
c)
ENTRY <id> DENY ................................................................................................ 32
d)
e)
ENTRY <id> DESTINATION ADDRESS ............................................................... 33
f)
ENTRY <id> DESTINATION TCP PORT .............................................................. 33
g)
ENTRY <id> DESTINATION UDP PORT ............................................................. 33
h)
ENTRY <id> HEX-STRING.................................................................................... 33
i)
ENTRY <id> IN-INTERFACE ................................................................................ 33
j)
ENTRY <id> IPSEC ............................................................................................... 34
k)
ENTRY <id> LENGTH INTERVAL ........................................................................ 34
l)
ENTRY <id> NO..................................................................................................... 34
m)
ENTRY <id> PROTOCOL...................................................................................... 34
n)
ENTRY <id> PROTOCOL-RANGE ....................................................................... 35
o)
ENTRY <id> PEER2PEER ..................................................................................... 35
p)
ENTRY <id> PERMIT ............................................................................................ 35
q)
ENTRY <id> RATE-LIMIT ..................................................................................... 35
r)
ENTRY <ID> CONN-LIMIT .................................................................................. 36
s)
ENTRY <id> TCP-FLAGS...................................................................................... 36
t)
ENTRY <id> SOURCE ADDRESS ......................................................................... 36
u)
ENTRY <id> SOURCE TCP PORT ........................................................................ 37
v)
ENTRY <id> SOURCE UDP PORT ....................................................................... 37
w)
ENTRY <id> STRING............................................................................................. 37
x)
ENTRY <id> STUN ................................................................................................ 37
y)
ENTRY <id> RTP ................................................................................................... 37
z)
ENTRY <id> SESSION EXPIRE ............................................................................ 38
aa) ENTRY <id> SESSION STATE............................................................................... 38
bb) ENTRY <id> SESSION-MARK ............................................................................... 38
cc)
ENTRY <id> HTTP-FILTER .................................................................................. 39
dd) ENTRY <id> WEBSTR ........................................................................................... 40
ee)
ENTRY <id> WEBURL .......................................................................................... 41
NO ........................................................................................................................... 41
a)
NO ENTRY .............................................................................................................. 41
Show Config....................................................................................................................... 42
Ejemplo práctico ................................................................................................................ 43
•
Creación de las listas de control de acceso .................................................. 43
•
Asociación de Lista de acceso a Protocolo IPSec ........................................ 44
Capítulo 3 Monitorización ................................................................................................46
1.
Comandos de Monitorización ............................................................................................ 47
- iii -
1.1.
1.2.
a)
b)
c)
1.3.
1.4.
1.5.
1.6.
? (AYUDA) ............................................................................................................. 47
LIST ........................................................................................................................ 48
LIST ALL ................................................................................................................. 48
•
LIST ALL ALL-ACCESS-LISTS ............................................................... 48
•
LIST ALL ADDRESS-FILTER-ACCESS-LISTS ...................................... 49
•
LIST ALL ACCESS-LIST .......................................................................... 50
LIST CACHE ........................................................................................................... 50
•
LIST CACHE ALL-ACCESS-LISTS ......................................................... 50
•
LIST CACHE ADDRESS-FILTER-ACCESS-LISTS ................................ 51
•
LIST CACHE ACCESS-LIST ..................................................................... 51
LIST ENTRIES ........................................................................................................ 52
•
LIST ENTRIES ALL-ACCESS-LISTS....................................................... 52
•
LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS ............................. 53
•
LIST ENTRIES ACCESS-LIST .................................................................. 53
CLEAR-CACHE ..................................................................................................... 54
SET-CACHE-SIZE ................................................................................................. 54
SHOW-HANDLES ................................................................................................. 54
HIDE-HANDLES ................................................................................................... 54
Capítulo 4 Anexo ...............................................................................................................55
1.
2.
3.
Puerto Reservados .............................................................................................................. 56
Protocolos Reservados ....................................................................................................... 57
Valores de Protocolos en listas “stateful” .......................................................................... 60
- iv -
Capítulo 1
Introducción
1. Listas de Control de Acceso
Los routers se sirven de listas de control de acceso (ACL) para identificar el tráfico que pasa por ellos.
Las listas de acceso pueden filtrar el flujo de paquetes o rutas que pasan por los interfaces del router.
Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican
a direcciones IP origen o destino, puertos origen o destino, o a protocolos IP de capa superior tales
como IP, TCP.
Pueden separar el tráfico en diferentes colas según sea su prioridad.
Tipos de listas de acceso:
Estándar(1-99): comprueban las direcciones de origen de los paquetes que solicitan
enrutamiento.
Extendidas(100-1999): comprueban tanto la dirección de origen como la de destino de cada
paquete, también pueden verificar protocolos específicos, números de puertos y otros
parámetros.
Stateful(5000-9999): comprueban tanto la dirección origen y destino del paquete como el
estado y el tipo de la sesión. Para poder configurar listas stateful debe estar habilitada la
facilidad AFS (ver manual Dm786 “AFS”).
Las listas de acceso se pueden aplicar tanto de entrada (evita la sobrecarga de router), como de salida.
Una lista de control de acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el
router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo. El
protocolo que utiliza una Lista de Control de Acceso, la utiliza como una herramienta que le permite
establecer filtros de tráfico. Los protocolos que permiten el manejo de Listas de Control de Acceso
incorporan comandos que permiten asociar el protocolo a dichas Listas. Los protocolos típicos que
manejan Listas de Control de Acceso son, entre otros: BRS, IPSec, Policy Routing, RIP.
Un conjunto de protocolos de especial interés son los de enrutado, entre los que destacan RIP, OSPF y
BGP. Dichos protocolos utilizan Listas de Control de Acceso, de manera directa o a través de Route
Maps (ver manual Dm764 “Route Mapping”), para controlar las rutas que se instalan en la tabla de
rutas o que se distribuyen a otros equipos. Existen además otras herramientas muy similares a las
Listas de Acceso pero orientadas especialmente al filtrado de rutas, como son las Listas de Prefijos
(ver manual Dm780 “Listas de Prefijos”).
Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de
las entradas. El resultado de la búsqueda a la recepción de un paquete puede ser:
Lista de Acceso
Permitir
Encontrado
Denegar
Paquete IP
No Encontrado
No Encontrado
Es el protocolo asociado el que determina lo que debe hacer con el paquete IP, a tenor del resultado de
la aplicación de la Lista de Acceso.
ROUTER TELDAT – Control de acceso Introducción
I-2
Doc.DM752
Rev.10.91
Capítulo 2
Configuración
1. Introducción
Cada entrada de esta lista es un bloque de sentencias y una acción, y está identificada por un único
número (el identificador o campo ID de la entrada). El bloque de sentencias esta compuesto por una
dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP
destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), valores
del byte tipo de servicio IP, y el identificador de la conexión entre interfaces por los que viajaría el
paquete. No es necesario especificarlos todos, tan sólo el que se desee. La acción representa el
procesamiento asignado a los paquetes coincidentes con el bloque de sentencias asociado: PERMIT o
DENY.
Una lista de control de acceso genérica, extendida y stateful está formada por una serie de entradas
que definen las propiedades que debe tener un paquete para que se considere que perteneciente a esa
entrada y por consiguiente a esa lista. Después, esa lista de control de acceso se asigna a un protocolo.
Lista 1
Acción
Sentencia A
Entrada 1
Sentencia B
|
Sentencia Z
Acción
Sentencia A
Entrada 2
Sentencia B
|
Sentencia Z
Acción
Sentencia A
Entrada n
Sentencia B
|
Sentencia Z
Una Lista de Control de Acceso por sí misma no supone un filtro para limitar el flujo
de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas
necesariamente a un protocolo.
Las Listas de Control de Acceso indican al protocolo asociado el resultado de la
búsqueda dentro de las entradas. El resultado de la búsqueda puede tener los siguientes
valores: No encontrado, Permitir o Denegar. El protocolo asociado determina qué
hacer con el paquete ante el resultado devuelto por la Lista de Control de Acceso.
ROUTER TELDAT – Control de acceso Configuración
II - 4
Doc.DM752
Rev.10.91
2. Acceso a configuración
Las operaciones de crear, modificar o eliminar listas de acceso se hace desde un menú especifico, en el
cual a demás se permite visualizar las listas creadas.
En la estructura de configuración del router, los Controles de Acceso, están organizados como una
funcionalidad (FEATURE). Para visualizar las funcionalidades que permite configurar el router, se
debe introducir el comando feature seguido de una signo de interrogación (?).
Ejemplo:
Config>feature ?
access-lists
bandwidth-reservation
control-access
dns
frame-relay-switch
ip-discovery
ldap
mac-filtering
nsla
nsm
ntp
prefix-lists
radius
route-map
scada-forwarder
sniffer
stun
syslog
tms
vlan
vrf
wrr-backup-wan
wrs-backup-wan
Config>
Access generic access lists configuration
environment
Bandwidth-Reservation configuration environment
Control-access configuration environment
DNS configuration environment
Frame Relay Switch configuration environment
TIDP configuration environment
LDAP configuration environment
Mac-filtering configuration environment
Network Service Level Advisor configuration
Network Service Monitor configuration environment
NTP configuration environment
Access generic prefix lists configuration
environment
RADIUS protocol configuration environment
Route-map configuration environment
SCADA Forwarder configuration environment
Sniffer configuration environment
Stun facility configuration environment
Syslog configuration environment
TMS configuration environment
IEEE 802.1Q switch configuration environment
VRF configuration environment
WRR configuration environment
WRS configuration environment
Para acceder al menú de configuración de Controles de Acceso se debe introducir, desde el menú raíz
de configuración (PROCESS 4), la palabra feature, seguida de access-lists.
Ejemplo:
Config>feature access-lists
-- Access Lists user configuration -Access Lists config>
Con esto se accede al menú principal de configuración de la funcionalidad de Controles de Acceso. En
este menú se permite crear, eliminar y visualizar las lista de acceso.
Cada lista de control de acceso está formada por entradas, en la que se indica el criterio y los
parámetros que permiten o limitan el acceso.
Existen tres tipos de listas de control de acceso: Genéricas, Extendidas y Stateful.
En las listas Genéricas se utilizan muy pocos parámetros para definir las características de cada
entrada de Control de Acceso. Por el contrario, las listas Extendidas permiten definir un mayor
número de parámetros de selección. Las listas stateful permiten especificar además el estado de la
conexión (establecida, nueva, etc.), tipo de conexión (rtp, peer to peer, etc.).
Dentro del menú principal de Listas de Acceso existen dos submenús, uno para cada tipo de lista. El
acceso a cada submenú se produce en el momento de editar una lista concreta, dependiendo que el tipo
seleccionado sea Extendida, Genérica o Stateful.
II - 5
Doc.DM752
Rev.10.91
3. Menú principal de configuración
Dentro de menú principal de configuración de Control de Acceso se permite crear y eliminar listas.
También se permite visualizar la configuración de las las listas creadas.
Una Lista de Acceso consta de una serie de entradas. Cada entrada de esta lista es un bloque de
sentencias y una acción. Cada entrada está identificada por un único número (el identificador o campo
ID de la entrada). El bloque de sentencias puede estar compuesto por una dirección IP origen (o rango
de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de
protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre
interfaces por los que viajaría el paquete. La acción determina el criterio que se aplica a los paquetes
IP que cumplen con la condición indicada por las sentencias. La acción puede ser de dos tipos:
incluyente (permit) o excluyente(deny).
El router permite configurar 9999 listas de acceso. Las listas de acceso cuyo identificador tenga un
valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tenga un
valor entre 100 y 1999 son Listas de Acceso Extendidas. Las listas de acceso cuyo identificador tenga
un valor entre 5000 y 9999 son Listas de Acceso Stateful.
Por defecto las 9999 Listas de Acceso están vacías. Una lista de acceso está vacía cuando no contiene
entradas.
Dependiendo del tipo de lista creada (Genérica/Extendida/Stateful), la configuración de las entradas a
cada lista se hace dentro de un submenú propio de cada una de ellas, que tendrá los mismos
parámetros para todas las que son del mismo tipo. La descripción del modo de configuración de los
parámetros de estos submenús se indica en los apartados siguientes a éste.
Si alguno de los parámetros u opciones de las entradas de las Listas de Control de Acceso no se
configura, no es tenido en cuenta a la hora de realizar la comprobación de acceso.
El orden de las entradas en la Lista de Control de Acceso es muy importante en casos,
en los cuales, la información referenciada por las sentencias se solape entre diferentes
entradas.
Se debe tener presente que el orden de tratamiento de las entradas de una lista no viene
definido por el número del identificador de la entrada, sino por el orden en que se
introducen. Este orden se puede visualizar utilizando el comando “list ”. El orden se
puede modificar utilizando el comando “ move-entry “. Es decir, si al recorrer la lista,
empezando por el primer elemento o entrada que aparece al listar, se encuentra un
elemento que encaja en nuestra búsqueda, no se sigue buscando y se aplica la acción
indicada en dicho elemento.
Nótese, por tanto, que el orden de búsqueda entre las entradas de una Lista de Control
de Acceso DIFIERE del utilizado en una Lista de Prefijos (ver manual Dm780 “Listas
de Prefijos”), en donde este orden viene dado por el valor de su identificador.
Dentro del menú principal de Control de Acceso se dispone de los siguientes comandos:
Comando
Función
? (ayuda)
Lista los comandos u opciones disponibles.
Configura una lista de acceso.
Muestra la configuración de las listas de acceso.
access-list
list
II - 6
Doc.DM752
Rev.10.91
no
Niega un comando o pone su valor por defecto.
3.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Access Lists config>?
Ejemplo:
Access Lists config>?
access-list
Configure an access-list
list
Display access-lists configuration
no
Negates a command or sets its defaults
exit
Access Lists config>
3.2. ACCESS-LIST
Este comando provoca el acceso al submenú que permite configurar entradas en una lista de acceso.
Las Listas de Acceso se identifican por un valor numérico que puede tomar valore entre 1 y 9999.Por
lo tanto, el router permite configurar 9999 Listas de Acceso. Las listas de acceso cuyo identificador
tiene un valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador
tiene un valor entre 100 y 1999 son Listas de Acceso Extendidas. Las listas de acceso cuyo
identificador tenga un valor entre 5000 y 9999 son Listas de Acceso Stateful.
Cuando se introduce este comando seguido de un identificador, se pasa al submenú que permite
configurar la Lista de Acceso para dicho identificador, apareciendo en el nuevo prompt el tipo de Lista
de Acceso y su identificador.
Sintaxis:
Access Lists config>access-list ?
<1..99>
Standard Access List number (1-99)
<100..1999>
Extended Access List number (100-1999)
<5000..10000> Stateful access-list
Ejemplo:
Access Lists config>access-list 101
Extended Access List 101>
3.3. LIST
El comando LIST muestra la información de configuración de la facilidad Listas de Control de
Acceso. Las listas de acceso stateful no pueden ser listadas, para ver su contenido se debe ejecutar el
comando “show config”.
Sintaxis:
Access Lists config>list ?
all-access-lists
Display all access-lists configuration
standard-access-lists
Display standard access-lists configuration
extended-access-lists
Display extended access-lists configuration
II - 7
Doc.DM752
Rev.10.91
a) LIST ALL-ACCESS-LISTS
Muestra TODA la información de configuración Listas de Control de Acceso, excepto de las
Listas de Control de Acceso Stateful.
Sintaxis:
Access Lists config>list all-access-lists
Ejemplo:
Access Lists config>list all-access-lists
Standard Access List 1, assigned to no protocol
1
PERMIT
SRC=192.60.1.24/32
2
PERMIT
SRC=0.0.0.0/0
Extended Access List 100, assigned to no protocol
1
PERMIT SRC=172.34.53.23/32
PROT=10-255
2
DENY
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
b) LIST STANDARD-ACCESS-LISTS
Muestra las Listas de Control de Acceso de tipo General configuradas.
Sintaxis:
Access Lists config>list standard-access-lists
Ejemplo:
Access Lists config>list standard-access-lists
1
PERMIT
SRC=192.60.1.24/32
2
PERMIT
SRC=0.0.0.0/0
c) LIST EXTENDED-ACCESS-LISTS
Muestra las Listas de Control de Acceso de tipo Extendido configuradas.
Sintaxis:
Access Lists config>list extended-access-lists
Ejemplo:
Access Lists config>list extended-access-lists
1
PERMIT SRC=172.34.53.23/32
PROT=10-255
2
DENY
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
II - 8
Doc.DM752
Rev.10.91
3.4. NO
Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos
parámetros.
Sintaxis:
Access Lists config>no ?
access-list
Configure an access-list
a) NO ACCESS-LIST
Elimina el contenido de una Lista de Control de Acceso.
Sintaxis:
Access Lists config>no access-list <ID>
Ejemplo:
Access Lists config>no access-list 100
3.5. EXIT
Sale del entorno de configuración de la facilidad de Controles de Acceso. Retorna al prompt de
configuración general.
Sintaxis:
Access Lists config>exit
Ejemplo:
Access Lists config>exit
Config>
II - 9
Doc.DM752
Rev.10.91
4. Listas de Acceso Genéricas
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el
valor 1 y 99, es decir se trata de una Lista Genérica.
En el prompt del nuevo submenú se indica que la lista es de tipo Genérica (Standard) y su
Identificador.
Ejemplo:
Standard Access List 1>
El submenú de Listas de control de acceso Genéricas admite los siguientes subcomandos:
Comando
Función
? (ayuda)
Configura una entrada dentro de una Lista de Control de
Acceso.
Cambiar el orden de las entradas.
Permite insertar una descripción textual de una Lista de
Control de Acceso.
entry
list
move-entry
description
no
4.1. ? (AYUDA)
Sintaxis:
Standard Access List #>?
Ejemplo:
Standard Access
entry
list
move-entry
description
no
exit
Standard Access
List 1>?
Configure an entry for this access-list
Display this access-list configuration
move an entry within an access-list
Configure a description for this access-list
List 1>
4.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una Lista de Control de Acceso.
II - 10
Doc.DM752
Rev.10.91
Este comando se debe introducir siempre seguido del identificador del número de registro y de una
sentencia.
Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no
está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro
introducido.
Sintaxis:
Standard Access List #>entry <id> <sentencia> [valor]
Las opciones de configuración de una entrada Global son las siguientes:
Standard Access List #>entry <id> ?
default
Sets default values to an existing
permit
Configures type of entry or access
deny
Configures type of entry or access
source
Source menu: subnet or port
description
Sets a description for the current
or a new entry
control as permit
control as deny
entry
a) ENTRY <id> DEFAULT
Pone todos los parámetros de una entrada de tipo General a sus valores por defecto.
Estos son:
• PERMITIDO
• ADDRESS: 0.0.0.0/0
Sintaxis:
Standard Access List #>entry <id> default
Ejemplo:
Standard Access List 1>entry 3 default
b) ENTRY <id> PERMIT
Identifica la entrada como tipo PERMITIDO. Este parámetro indica que todo el tráfico que cumpla
con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando
es un indicador de acción, y por tanto determina la función de las sentencias de la entrada
(incluyente/excluyente).
Sintaxis:
Standard Access List #>entry <id> permit
Ejemplo:
Standard Access List 1>entry 3 permit
c) ENTRY <id> DENY
Identifica la entrada como tipo NO PERMITIDO. Este parámetro indica que todo el tráfico que
cumpla con los parámetros de selección del registro NO podrá pasar a través del Control de Acceso.
Este comando es un indicador de acción, y por tanto determina la función de las sentencias de la
entrada.
Sintaxis:
Standard Access List #>entry <id> deny
Ejemplo:
Standard Access List 1>entry 3 deny
II - 11
Doc.DM752
Rev.10.91
d) ENTRY <id> SOURCE
Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes.
Sintaxis:
Standard Access List #>entry <id> source <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes:
Standard Access List #>entry <id> source ?
address
IP address and mask of the source subnet
• ENTRY <id> SOURCE ADDRESS
Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica mediante una
máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un
interfaz y que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será
asignada por algún otro mecanismo, como pudiera ser PPP.
En el caso de que se quiera especificar un rango de direcciones, se pueden considerar, a efectos
prácticos, dos tipos de máscara:
Máscara de subred estándar: Corresponde a las máscaras utilizadas habitualmente para definir
subredes. Por ejemplo, 255.255.255.0, que equivale a una subred /24.
Máscara comodín (wildcard): Puede considerarse como una generalización del tipo anterior. Mediante
una máscara comodín se delimita de manera más específica los grupos de direcciones que se
comprueban con la entrada. Para ello, los bits activos en una máscara comodín indican las posiciones
exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una mejor
comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas <dirección>
<máscara comodín> y los grupos de direcciones que concuerdan con la entrada:
Dirección
Máscara comodín
Concordancia de la entrada
172.24.0.127
255.255.0.255
0.0.0.67
0.0.0.255
Concuerda con las direcciones origen x.x.x.67, sean cuales
sean los valores de x. (Ej: 10.150.130.67)
0.0.130.0
0.0.254.0
Concuerda con las direcciones origen x.x.130.x y x.x.131.x,
sean cuales sean los valores de x. (Ejs: 18.102.130.2,
192.168.131.125)
192.0.125.0
255.0.253.0
Concuerda con las direcciones origen 192.x.125.x y
192.x.127.x, sean cuales sean los valores de x. (Ejs:
192.142.125.8, 192.3.127.135)
192.0.125.0
254.0.253.0
Concuerda con las direcciones origen 192.x.125.x,
193.x.125.x, 192.x.127.x y 193.x.127.x, sean cuales sean
los valores de x. (Ej: 192.222.125.44, 193.111.127.201)
Concuerda con las direcciones origen 172.24.x.127, sea
cual sea el valor de x. (Ej: 172.24.12.127)
Con el objetivo de comprobar que el usuario entiende los conceptos referentes a la configuración de
máscaras comodín, se requiere que las posiciones de los bits de la máscara cuyo valor sea 0 estén
también a 0 en la dirección. En caso contrario, el equipo da un error y propone una sugerencia de
dirección adaptada a la máscara proporcionada (que el usuario debe valorar para determinar si se
corresponde con la configuración deseada).
Así, por ejemplo, si se intenta introducir en el comando la dirección 172.24.155.130 con la máscara
255.255.254.255, el equipo da un error, ya que en el tercer octeto de la máscara (254), el último bit no
II - 12
Doc.DM752
Rev.10.91
se corresponde con su homólogo en la dirección (155). En este caso el equipo da como sugerencia la
dirección 172.24.154.130.
En el caso de configurar una dirección IP se debe introducir la dirección IP y la máscara, en el caso de
configurar un Interfaz se debe introducir el nombre de éste.
Sintaxis:
a) Dirección IP
Standard Access List #>entry <id> source address <dirección> <máscara>
b) Interfaz
Standard Access List #>entry <id> source address <interfaz>
Ejemplo:
a) Dirección IP
Standard Access List 1>entry 3 source address 192.168.4.5 255.255.255.255
Standard Access List 1>entry 4 source address 192.0.0.17 255.0.0.255
b) Interfaz
Standard Access List 1>entry 3 source address serial0/0
ATENCIÓN: La configuración de una interfaz como origen únicamente debe utilizarse
en aquellas listas de acceso que vayan a estar asociadas al protocolo IPSec. Para el
resto de protocolos y funcionalidades, esta opción actualmente no se aplica y por tanto
no debe ser configurada.
e) ENTRY <id> DESCRIPTION
Permite establecer una descripción textual que nos permita más tarde entender mejor la finalidad o uso
de la entrada.
Sintaxis:
Standard Access List 1>entry <id> description ?
<1..64 chars>
Description text
Ejemplo:
Standard Access List 1>entry 1 description “primera entrada”
4.3. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está
siendo editada, es decir, la que su identificador está indicado en el prompt del menú.
Sintaxis:
Standard Access List #>list
all-entries
address-filter-entries
entry
?
Display any entry of this access-list
Display the entries that match an ip address
Display one entry of this access-list
II - 13
Doc.DM752
Rev.10.91
a) LIST ALL-ENTRIES
Muestra todas las entradas de configuración de la Listas de Control de Acceso, es decir, toda la
configuración de la misma.
Sintaxis:
Standard Access List #>list all-entries
Ejemplo:
Standard Access List 1>list all-entries
1
1
DESCRIPTION: primera entrada
PERMIT SRC=192.60.1.24/32
2
PERMIT
SRC=0.0.0.0/0
b) LIST ADDRESS-FILTER-ENTRIES
Muestra las entradas de configuración de la Listas de Control de Acceso que contienen una
determinada dirección IP.
Sintaxis:
Standard Access List #>list address-filter-entries <dirección> <subred>
Ejemplo:
Standard Access List 1>list address-filter-entries 192.60.1.24 255.255.255.255
1
1
PERMIT SRC=192.60.1.24/32
c) LIST ENTRY
Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a
continuación del comando.
Sintaxis:
Standard Access List #>list entry <id>
Ejemplo:
Standard Access List 1>list entry 1
1
1
PERMIT SRC=192.60.1.24/32
4.4. MOVE-ENTRY
Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de
otra que se indica, dentro de la Lista de Control de Acceso.
El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a
continuación se introduce el identificador de la posición por delante de la cual se desea colocar la
II - 14
Doc.DM752
Rev.10.91
entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se
debe especificar la opción end.
Sintaxis:
Standard Access List #>move-entry <entrada_a_mover> {<entrada_destino> | end}
Ejemplo:
1
DENY
SRC=0.0.0.0/0
2
PERMIT
SRC=234.233.44.33/32
3
PERMIT
SRC=192.23.0.22/255.255.0.255
Standard Access List 1>move-entry 1 end
2
PERMIT
SRC=234.233.44.33/32
3
PERMIT
SRC=192.23.0.22/255.255.0.255
1
DENY
SRC=0.0.0.0/0
4.5. DESCRIPTION
Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita
más tarde entender mejor su propósito o función.
Sintaxis:
Standard Access List #>description ?
<1..64 chars>
Description text
Ejemplo:
Standard Access List 1>description “lista para ipsec”
Standard Access List 1>list all
Description: lista para ipsec
1
1
PERMIT SRC=1.1.1.1/32
4.6. NO
parámetros.
Sintaxis:
Standard Access List #>no ?
entry
description
II - 15
Doc.DM752
Rev.10.91
a) NO ENTRY
Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista
que se desea eliminar.
Sintaxis:
Standard Access List #>no entry <id>
Ejemplo:
Standard Access List 1>no entry 3
b) NO DESCRIPTION
Elimina la descripción textual asociada a la Lista de Control de Acceso.
Sintaxis:
Standard Access List #>no description
Ejemplo:
Standard Access List 1>no description
4.7. EXIT
Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del
menú principal de Control de Acceso.
Sintaxis:
Standard Access List #>exit
Ejemplo:
Standard Access List 1>exit
II - 16
Doc.DM752
Rev.10.91
5. Listas de Acceso Extendidas
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el
valor 100 y 1999, es decir se trata de una Lista Extendida.
En el prompt del nuevo submenú se indica que la lista es de tipo Extendida (Extended) y su
identificador.
Ejemplo:
El submenú de Listas de Control de Acceso Extendidas admite los siguientes subcomandos:
Comando
Función
? (ayuda)
Configura una entrada para esta Lista de Acceso.
Cambiar el orden de las entradas.
Permite insertar una descripción textual de una Lista de
Control de Acceso.
entry
list
move-entry
description
no
5.1. ? (AYUDA)
Sintaxis:
Extended Access List #>?
Ejemplo:
Extended Access List 100>?
entry
list
Display this access-list configuration
move-entry
move an entry within an access-list
description
no
exit
5.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso.
Este comando se debe introducir siempre seguido del identificador del número de registro de una
sentencia.
II - 17
Doc.DM752
Rev.10.91
está en la lista. Cuando se introduce un identificador que ya existe, se modifica el valor del parámetro
introducido.
Sintaxis:
Extended Access List #>entry <id> <parámetro> [valor]
Las opciones de configuración de una entrada Extendida son las siguientes:
Extended Access List 100>entry 1 ?
default
Sets default values to an existing or a new entry
permit
Configures type of entry or access control as permit
deny
Configures type of entry or access control as deny
source
Source menu: subnet or port
destination
Destination menu: subnet or port
protocol
Protocol
protocol-range
Protocol range
connection
IP connection identifier (rule)
description
Sets a description for the current entry
ds-field
DSCP in IP packets
precedence
Precedence in IP packets
tcp-specific
Tcp specific filtering
tos-octet
TOS octet value in IP packets
no
Pone todos los parámetros de una entrada de tipo Extendido a sus valores por defecto.
Estos son:
• PERMITIDO
• SOURCE: 0.0.0.0/0
• DESTINATION 0.0.0.0/0
• NO PROTOCOL-RANGE
• NO TOS-OCTET
• NO CONNECTION
• NO TCP-SPECIFIC
Sintaxis:
Extended Access List #>entry <id> default
Ejemplo:
Extended Access List 100>entry 3 default
b) ENTRY <id> PERMIT
con los parámetros de selección del registro podrá pasar a través del Control de Acceso. Este comando
es un indicador de acción, y por tanto determina la función de las sentencias de la entrada.
Sintaxis:
Extended Access List #>entry <id> permit
Ejemplo:
Extended Access List 100>entry 3 permit
c) ENTRY <id> DENY
II - 18
Doc.DM752
Rev.10.91
entrada.
Sintaxis:
Extended Access List #>entry <id> deny
Ejemplo:
Extended Access List 100>entry 3 deny
d) ENTRY <id> SOURCE
Establece la sentencia de parámetros IP en el direccionamiento ‘origen’ de los mensajes.
Sintaxis:
Extended Access List #>entry <id> source <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia origen de IP son las siguientes:
Extended Access List #>entry <id> source ?
address
port-range
source port range
• ENTRY <id> SOURCE ADDRESS
Establece la sentencia de dirección IP ‘origen’. El rango de direcciones elegido se indica mediante una
máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a un
Interfaz, que es desconocida en el momento de configurar el equipo, porque, por ejemplo, será
asignada por algún otro mecanismo como pudiera ser PPP.
En el caso de que se quiera especificar un rango de direcciones, se pueden considerar, a efectos
prácticos, dos tipos de máscara:
comprueban con la entrada. Para ello, los bits activos en una máscara comodín indican las posiciones
exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una mejor
comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas <dirección>
<máscara comodín> y los grupos de direcciones que concuerdan con la entrada:
Dirección
Máscara comodín
172.24.0.127
255.255.0.255
0.0.0.67
0.0.0.255
Concuerda con las direcciones origen x.x.x.67, sean cuales
0.0.130.0
0.0.254.0
Concuerda con las direcciones origen x.x.130.x y x.x.131.x,
sean cuales sean los valores de x. (Ejs: 18.102.130.2,
192.168.131.125)
192.0.125.0
255.0.253.0
Concuerda con las direcciones origen 192.x.125.x y
192.142.125.8, 192.3.127.135)
192.0.125.0
254.0.253.0
Concuerda con las direcciones origen 192.x.125.x,
Concuerda con las direcciones origen 172.24.x.127, sea
II - 19
Doc.DM752
Rev.10.91
dirección 172.24.154.130.
Sintaxis:
a) Dirección IP
Extended Access List #>entry <id> source address <dirección> <máscara>
b) Interfaz
Extended Access List #>entry <id> source address interface <interfaz>
Ejemplo:
a) Dirección IP
Extended Access List 100>entry 3 source address 192.168.4.5 255.255.255.255
b) Interfaz
Extended Access List 100>entry 3 source address interface serial0/0
ATENCIÓN: La configuración de una interfaz como origen únicamente debe utilizarse
en aquellas listas de acceso que vayan a estar asociadas al protocolo IPSec. Para el
resto de protocolos y funcionalidades, esta opción actualmente no se aplica y por tanto
no debe ser configurada.
• ENTRY <id> SOURCE PORT-RANGE
El significado de este comando depende del tipo de protocolo del paquete que se está filtrando.
• Si el paquete corresponde a TCP o UDP, este comando establece la sentencia para el puerto
‘origen’ del paquete. Debe ir seguido de dos números. El primero indica el identificador de
puerto en el límite inferior del rango, y el segundo el identificador en el límite superior. En
caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos
identificadores de puerto puede tomar valores entre 0 y 65535.
En este caso, por tanto, la finalidad del comando es permitir o denegar el acceso a distintos
puertos TCP o UDP origen.
• Si el paquete corresponde al protocolo ICMP, y la entrada esta configurada para realizar
el filtrado de dicho protocolo (mediante el comando entry <id> protocol icmp), este
comando establece la sentencia para el tipo de paquete ICMP. Debe ir seguido de dos
números, que sirven para especificar un rango. El primero indica el tipo de mensaje ICMP
II - 20
Doc.DM752
Rev.10.91
usado como límite inferior del rango, mientras que el segundo indica el límite superior del
mismo. Si no se desea establecer un rango, basta con poner ambos valores iguales.
En este caso, por tanto, la finalidad del comando es permitir o denegar un tipo o conjunto de
tipos de mensajes ICMP.
Nótese que para obtener este comportamiento es imprescindible configurar el protocolo ICMP
en la entrada única y exclusivamente mediante el comando entry <id> protocol icmp.
• Si está configurado este comando el paquete sólo puede encajar por los motivos anteriores,
el resto de paquetes no encajan.
Sintaxis:
Extended Access List #>entry <id> source port-range <limite_inf> <limite_sup>
Ejemplo 1:
Extended Access List 100>entry 3 source port-range 2 4
Esta entrada concuerda con todos los paquetes TCP o UDP cuyo puerto origen esté comprendido entre
2 y 4 (ambos inclusive).
Ejemplo 2:
Extended Access List 100>entry 3 protocol icmp
Extended Access List 100>entry 3 source port-range 3 3
Esta entrada concuerda con todos los paquetes ICMP de tipo 3 (destination unreachable), sea cual sea
su código.
e) ENTRY <id> DESTINATION
Establece la sentencia de parámetros IP en el direccionamiento ‘destino’ de los mensajes.
Sintaxis:
Extended Access List #>entry <id> destination <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia destino de IP son las siguientes:
Extended Access List #>entry <id> destination ?
address
port-range
source port range
• ENTRY <id> DESTINATION ADDRESS
Establece la sentencia de dirección IP ‘destino’. El rango de direcciones elegido se indica mediante
una máscara. Esta dirección puede ser no numerada, es decir, se puede poner una dirección asociada a
un Interfaz, que es desconocida en el momento de configurar el equipo. En el caso de que se quiera
especificar un rango de direcciones, se pueden considerar, a efectos prácticos, dos tipos de máscara:
compruebarán con la entrada. Para ello, los bits activos en una máscara comodín indican las
posiciones exactas de los bits de la dirección que deben ser comprobados por la entrada. Para una
mejor comprensión de estos conceptos, se presentan a continuación algunos ejemplos de duplas
<dirección> <máscara comodín> y los grupos de direcciones que concuerdan con la entrada:
II - 21
Doc.DM752
Rev.10.91
Dirección
Máscara comodín
172.24.0.127
255.255.0.255
0.0.0.67
0.0.0.255
Concuerda con las direcciones destino x.x.x.67, sean cuales
0.0.130.0
0.0.254.0
Concuerda con las direcciones destino x.x.130.x y
x.x.131.x, sean cuales sean los valores de x. (Ejs:
18.102.130.2, 192.168.131.125)
192.0.125.0
255.0.253.0
Concuerda con las direcciones destino 192.x.125.x y
192.142.125.8, 192.3.127.135)
192.0.125.0
254.0.253.0
Concuerda con las direcciones destino 192.x.125.x,
Concuerda con las direcciones destino 172.24.x.127, sea
dirección 172.24.154.130.
Sintaxis:
a) Dirección IP
Extended Access List #>entry <id> destination address <dirección> <máscara>
b) Interfaz
Extended Access List #>entry <id> destination address interface <interfaz>
Ejemplo:
a) Dirección IP
Extended Access List 100>entry 3 destination address 192.168.4.5 255.255.255.255
b) Interfaz
Extended Access List 100>entry 3 destination address interface serial0/0
ATENCIÓN: La configuración de una interfaz como destino no se aplica actualmente
en ningún protocolo o funcionalidad. Por tanto, nunca debe ser configurado.
II - 22
Doc.DM752
Rev.10.91
• ENTRY <id> DESTINATION PORT-RANGE
El significado de este comando depende del tipo de protocolo del paquete que se está filtrando.
• Si el paquete corresponde a TCP o UDP, este comando establece la sentencia para el puerto
‘destino’ del paquete. Debe ir seguido de dos números. El primero indica el identificador
de puerto en el límite inferior del rango, y el segundo el identificador en el límite superior.
En caso de no desear un rango, basta con poner ambos valores iguales. El valor de ambos
identificadores de puerto puede tomar valores entre 0 y 65535.
En este caso, por tanto, la finalidad del comando es permitir o denegar el acceso a distintos
puertos TCP o UDP destino.
• Si el paquete corresponde al protocolo ICMP, y la entrada esta configurada para realizar
el filtrado de dicho protocolo (mediante el comando entry <id> protocol icmp), este
comando establece la sentencia para el código de paquete ICMP. Debe ir seguido de dos
números, que sirven para especificar un rango. El primero indica el código de mensaje
ICMP usado como límite inferior del rango, mientras que el segundo indica el límite
superior del mismo. Si no se desea establecer un rango, basta con poner ambos valores
iguales.
En este caso, por tanto, la finalidad del comando es permitir o denegar un código o conjunto
de códigos de mensajes ICMP. Utilizado en combinación con entry <id> source port-range
<limite_inf> <limite_sup>, analizado anteriormente, es posible especificar de manera
absoluta el tipo y código de los mensajes ICMP que se desea filtrar.
Nótese que para obtener este comportamiento es imprescindible configurar el protocolo ICMP
en la entrada única y exclusivamente mediante el comando entry <id> protocol icmp.
• Si está configurado este comando el paquete sólo puede encajar por los motivos anteriores,
el resto de paquetes no encajan.
Sintaxis:
Extended Access List #>entry <id> destination port-range <limite_inf> <limite_sup>
Ejemplo 1:
Extended Access List 100>entry 3 destination port-range 2 4
Esta entrada concuerda con todos los paquetes TCP o UDP cuyo puerto destino esté comprendido
entre 2 y 4 (ambos inclusive).
Ejemplo 2:
Extended
Extended
Extended
Extended
Access
Access
Access
Access
List
List
List
List
100>entry 3 protocol icmp
100>entry 3 source port-range 3 3
100>entry 3 destination port-range 1 5
100>
Esta entrada concuerda con todos los paquetes ICMP de tipo 3 (destination unreachable), y con código
comprendido entre 1 y 5 (ambos inclusive).
f) ENTRY <id> PROTOCOL
Establece la sentencia del protocolo del paquete IP. Este comando debe ir seguido del número de
protocolo (un valor entre 0 y 255) o bien del nombre del mismo. Si se especifica protocolo IP se
admitirá cualquier protocolo.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos.
II - 23
Doc.DM752
Rev.10.91
Sintaxis:
Extended Access List #>entry <id> protocol ?
<0..255>
An IP protocol number
esp
Encapsulation Security Payload
gre
Generic Routing Encapsulation
icmp
Internet Control Message Protocol
igmp
Internet Gateway Message Protocol
ip
Any Internet Protocol
ospf
OSPF routing protocol
pim
Protocol Independent Multicast
tcp
Transmission Control Protocol
udp
User Datagram Protocol
Ejemplo:
Extended Access List 100>entry 3 protocol icmp
g) ENTRY <id> PROTOCOL-RANGE
Establece la sentencia del protocolo o rango de protocolos del paquete IP. Este comando debe ir
seguido de dos números. El primero indica el identificador de protocolo en el límite inferior del rango,
y el segundo el identificador en el límite superior. En caso de no desear un rango, basta con poner
ambos valores iguales. El valor de ambos identificadores de protocolo puede tomar valores entre 0 y
255.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos.
Sintaxis:
Extended Access List #>entry <id> protocol-range <prot_inferior> <prot_superior>
Ejemplo:
Extended Access List 100>entry 3 protocol-range 21 44
h) ENTRY <id> DS-FIELD
Establece la sentencia de Control de Acceso en base al valor del campo dscp del byte de Tipo de
Servicio del paquete IP. Puede tomar valores entre 0 y 63.
Sintaxis:
Extended Access List #>entry <id> ds-field <valor>
Ejemplo:
Extended Access List 100>entry 3 ds-field 12
i) ENTRY <id> LABEL
Establece la sentencia de etiqueta del paquete IP. La etiqueta es un parámetro interno asociado a cada
paquete. Consiste en un número entre 0 y 99 que puede ser utilizado para la selección, clasificación y
filtrado del tráfico IP.
Por defecto, todos los paquetes IP tienen asociado un valor de etiqueta igual a 0. Es posible cambiar
dicho valor mediante Policy Routing (véase manual Dm745 “Policy Routing”), utilizando un Route
Map configurado adecuadamente (véase manual Dm 764 “Route Mapping”). Este tráfico marcado con
una etiqueta puede ser posteriormente seleccionado en una lista de acceso mediante entry <id> label.
Sintaxis:
Extended Access List #>entry <id> label <valor>
II - 24
Doc.DM752
Rev.10.91
Ejemplo:
Extended Access List 100>entry 3 label 12
j) ENTRY <id> PRECEDENCE
Establece la sentencia de Control de Acceso en base al valor del campo precedencia del byte de Tipo
de Servicio del paquete IP. Puede tomar valores entre 0 y 7.
Sintaxis:
Extended Access List #>entry <id> precedence <valor>
Ejemplo:
Extended Access List 100>entry 3 precedence 3
k) ENTRY <id> TCP-SPECIFIC ESTABLISHED
Establece la sentencia de Control de Acceso de los paquetes TCP en base a si la sesión TCP está
previamente establecida o no. Para discernir si una sesión TCP está ya establecida se comprueba que
esté presente el bit ACK o el bit RST en la cabecera del paquete TCP, si alguno de los dos está
presente la sesión se considera establecida.
Sintaxis:
Extended Access List #>entry <id> tcp-specific established-state
Ejemplo:
La configuración siguiente muestra una lista de acceso en la que encajarán todas las sesiones TCP
establecidas en la entrada 1.
entry
entry
entry
entry
1
1
1
1
default
permit
protocol tcp
tcp-specific established-state
l) ENTRY <id> TOS-OCTET
Establece la sentencia de Control de Acceso en base al valor del byte de Tipo de Servicio del paquete
IP. Puede tomar valores entre 0 y 255. Adicionalmente, se puede especificar una máscara de bits que
determinará los bits del byte Tipo de Servicio que se desean marcar. El valor de la máscara puede ser
entre 1 y 255.
Sintaxis:
Extended Access List #>entry <id> tos-octet <valor> [mask <mascara>]
Ejemplo:
Extended Access List 100>entry 3 tos-octet 240 mask 254
m) ENTRY <id> CONNECTION
Permite asociar el identificador de la conexión entre interfaces a una entrada de la Lista de Control de
Acceso. Esta conexión identifica la interfaz lógica por la que se enrutaría el paquete; se configura en
las reglas de IP. Al establecer esta relación, se puede asociar el tráfico no sólo por la dirección origen,
destino, etc, del paquete, sino también por el interfaz concreto de conexión.
Dejar la conexión sin especificar, o poner conexión cero, hace que la conexión no se considere este
parámetro a la hora de ejecutar el Control de Acceso.
II - 25
Doc.DM752
Rev.10.91
Cuando se lista la entrada, aparecerá una interrogación al lado de la conexión (p. ej, Conn:1?) si ésta
no existe.
Sintaxis:
Extended Access List #>entry <id> connection <valor>
Ejemplo:
Suponiendo que exista la siguiente regla definida en IP:
ID
1
Local Address --> Remote Address
172.24.70.1
--> 172.24.70.2
Timeout
0
Firewall
NO
NAPT
NO
Esto identifica una conexión concreta, entre una dirección local del router y un extremo (el resto de
parámetros no se consideran). Definimos entonces una entrada en la Lista de Control de Acceso, con
el identificador de esta conexión ( 1 ) como sentencia:
Extended Access List 100>entry 10 connection 1
n) ENTRY <id> DESCRIPTION
de la entrada.
Sintaxis:
Extended Access List 1>entry <id> description ?
<1..64 chars>
Description text
Ejemplo:
Extended Access List 100>entry 1 description “primera entrada”
5.3. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está
siendo editada, es decir, la que su identificador está indicado en el prompt del menú.
Sintaxis:
Extended Access List #>list
all-entries
address-filter-entries
entry
?
Display any entry of this access-list
Display the entries that match an ip address
Display one entry of this access-list
a) LIST ALL-ENTRIES
Muestra todas las entrada de configuración de la Listas de Control de Acceso, es decir, toda la
configuración de la misma.
Sintaxis:
Extended Access List #>list all-entries
Ejemplo:
Extended Access List 100>list all-entries
1
PERMIT
SRC=172.25.54.33/32
DES=192.34.0.0/16
Conn:0
II - 26
Doc.DM752
Rev.10.91
PROT=21
2
DENY
SRC=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
b) LIST ADDRESS-FILTER-ENTRIES
Muestra las entrada de configuración de la Listas de Control de Acceso que contienen una determinada
dirección IP.
Sintaxis:
Extended Access List #>list address-filter-entries <dirección> <subred>
Ejemplo:
Extended Access List 100>list address-filter-entries 172.25.54.33 255.255.255.255
1
PERMIT SRC=172.25.54.33/32
PROT=21
DES=192.34.0.0/16
Conn:0
c) LIST ENTRY
Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a
continuación del comando.
Sintaxis:
Extended Access List #>list entry <id>
Ejemplo:
Extended Access List 100>list entry 1
1
PERMIT SRC=172.25.54.33/32
PROT=21
DES=192.34.0.0/16
Conn:0
Label=22
5.4. MOVE-ENTRY
Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de
otra que se indica, dentro de la Lista de Control de Acceso.
El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a
continuación se introduce el identificador de la posición por delante de la cual se desea colocar la
entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se
debe especificar la opción end
Sintaxis:
Extended Access List #>move-entry <entrada_a_mover> {<entrada_destino> | end}
Ejemplo:
1
PERMIT
SRC=172.32.55.33/32
DES=172.33.44.32/32
II - 27
Conn:0
Doc.DM752
Rev.10.91
DPORT=1024-65535
2
PERMIT SRC=192.233.33.11/32
PROT=33-102
3
DENY
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
Extended Access List 100>move-entry 1 end
2
PERMIT SRC=192.233.33.11/32
PROT=33-102
3
DENY
1
PERMIT SRC=172.32.55.33/32
DPORT=1024-65535
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
DES=172.33.44.32/32
Conn:0
5.5. DESCRIPTION
Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita
más tarde entender mejor su propósito o función.
Sintaxis:
Extended Access List #>description ?
<1..64 chars>
Description text
Ejemplo:
Extended Access List 1>description “lista para ipsec”
Extended Access List 1>list all
Description: lista para ipsec
2
PERMIT SRC=192.233.33.11/32
PROT=33-102
3
DENY
1
PERMIT SRC=172.32.55.33/32
DPORT=1024-65535
SRC=0.0.0.0/0
DES=0.0.0.0/0
DES=0.0.0.0/0
Conn:0
Conn:0
DES=172.33.44.32/32
Conn:0
5.6. NO
parámetros.
Sintaxis:
Extended Access List #>no ?
entry
description
a) NO ENTRY
II - 28
Doc.DM752
Rev.10.91
Sintaxis:
Extended Access List #>no entry <id>
Ejemplo:
Extended Access List 100>no entry 3
b) NO DESCRIPTION
Elimina la descripción textual asociada a la Lista de Control de Acceso.
Sintaxis:
Extended Access List #>no description
Ejemplo:
Extended Access List 100>no description
5.7. EXIT
Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del
menú principal de Control de Acceso.
Sintaxis:
Extended Access List #>exit
Ejemplo:
Extended Access List 100>exit
II - 29
Doc.DM752
Rev.10.91
6. Listas de Acceso Stateful
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre
los valores 5000 y 9999, es decir se trata de una Lista Stateful.
En el prompt del nuevo submenú se indica que la lista es de tipo Stateful y su identificador.
Ejemplo:
Stateful Access List 5001>
Como se ha comentado anteriormente, para poder configurar estas listas de acceso debe estar
habilitada la facilidad AFS, y hay que tener en cuenta que si se realiza algún cambio dinámico
mientras la sesión está activa, si se observa que no tiene efecto dicho cambio, es necesario finalizar la
sesión. Para ello se debe deshabilitar y habilitar la facilidad AFS con lo comandos “NO ENABLE” y
“ENABLE” del menú de configuración de AFS (ver manual Dm786 “AFS”).
El submenú de Listas de Control de Acceso Stateful admite los siguientes subcomandos:
Comando
Función
? (ayuda)
Configura una entrada para esta Lista de Acceso.
entry
no
6.1. ? (AYUDA)
Sintaxis:
Stateful Access List #>?
Ejemplo:
Stateful Access List 100>?
entry
no
exit
6.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso.
Este comando se debe introducir siempre seguido del identificador del número de registro de una
sentencia.
está en la lista. Cuando se introduce un identificador que ya existe, se agrega una nueva entrada a
dicho identificador.
II - 30
Doc.DM752
Rev.10.91
A diferencia de las listas de control de acceso genéricas/extendidas es posible
configurar más de un mismo criterio de selección en una misma entrada, teniendo en
cuenta que deben cumplirse a la vez TODOS los criterios de selección especificados en
la entrada para que el paquete encaje.
Esto puede ser de mucha utilidad cuando se desea que encajen paquetes que no cumplen varios
criterios simultáneamente, como en el siguiente ejemplo, que se desea que la dirección destino y el
puerto udp destino no sean ningunos de los indicados:
entry 15 default
entry 15 deny
entry 15 description "RemoteToIP. Entre VPNs 41000 en lugar de no rtp"
entry 15 source address 172.24.100.160 mask 255.255.255.224
entry 15 no destination udp port 50001
entry 15 no destination udp port 1967
entry 15 no destination address 172.24.0.25
entry 15 no destination address 172.25.0.0 mask 255.255.0.0
entry 15 no destination udp port 41000 41010
entry 15 no rtp
entry 15 no destination tcp port 6890 6899
entry 15 no source tcp port 6890 6899
Sintaxis:
Stateful Access List #>entry <id> <parámetro> [valor]
Las opciones de configuración de una entrada Stateful son las siguientes:
Stateful Access List 100>entry 1 ?
default
Set default values
deny
Deny this entry
description
Entry description
destination
Destination match criterias
hex-string
Search an specific hexadecimal string
in-interface
Match an incoming interface
ipsec
IPSEC match criterias
label
Label for classification
length-interval
Define a datagram length interval to match to
no
Negate the following match criteria
out-interface
Match an outgoing interface
permit
Permit this entry
protocol
IP protocol matching options
protocol-range
Specify a protocol range
peer2peer
Match peer to peer traffic
rate-limit
Match an specific rate limit in kbps
conn-limit
Match an specific connection limit
tcp-flags
Match an specific tcp flag
rtp
Match any RTP packet flow
session
Define a session control match
session-mark
Mark the session with an specific tag
source
Source match criterias
string
Search an specific string
http-filter
Filter urls/contents containted in http
webstr
Filter urls/hosts in http sessions
weburl
Filter urls in http sessions
Pone todos los parámetros de una entrada de tipo Stateful a sus valores por defecto.
Estos son:
• PERMITIDO
• ADDRESS: 0.0.0.0/0
II - 31
Doc.DM752
Rev.10.91
Sintaxis:
Stateful Access List #>entry <id> deny
Ejemplo:
Stateful Access List 5000>entry 3 deny
b) ENTRY <id> LABEL
El criterio de selección es la etiqueta del paquete IP. La etiqueta es un parámetro interno asociado a
cada paquete. Consiste en un número que puede ser utilizado para la selección, clasificación y filtrado
del tráfico IP.
Por defecto, todos los paquetes IP tienen asociado un valor de etiqueta igual a 0. Es posible cambiar
dicho valor mediante Service Policy (véase manual Dm795 “Policy-Map Class-Map”) y Policy
Routing (véase manual Dm745 “Policy Routing”). Este tráfico marcado con una etiqueta puede ser
posteriormente seleccionado en una lista de acceso mediante entry <id> label.
Sintaxis:
Stateful Access List #>entry <id> label <label-value> [mask <label-mask>]
Los valores a configurar son los siguientes:
id
Identificador de la entrada a configurar.
label-value
Valor que debe llevar la etiqueta del paquete.
label-mask
Máscara que especifica qué bits de la etiqueta del paquete se van a
comprobar.
Ejemplo:
Stateful Access List 5000>entry 3 label 1
c) ENTRY <id> DENY
entrada.
Sintaxis:
Stateful Access List #>entry <id> deny
Ejemplo:
Stateful Access List 5000>entry 3 deny
d) ENTRY <id> DESCRIPTION
de la entrada.
Sintaxis:
Stateful Access List #>entry <id> description <description>
Ejemplo:
Stateful Access List 5000>entry 1 description “Access list number 5000”
II - 32
Doc.DM752
Rev.10.91
e) ENTRY <id> DESTINATION ADDRESS
Permite seleccionar un paquete según su IP de destino. Se puede especificar una IP o una red, siendo
la máscara opcional. Si no se especifica máscara se supone máscara de host. También permite
seleccionar la dirección de destino por rango.
Sintaxis:
Stateful Access List #>entry <id> destination address <ip> [mask <mask>]
Stateful Access List #>entry <id> destination address [range] <iplow> <iphigh>
Ejemplo:
Stateful Access List 5000>entry 1 destination address 1.1.1.0 mask 255.255.255.0
Ejemplo:
Stateful Access List 5000>entry 1 destination address range 2.2.2.1 2.2.2.100
f) ENTRY <id> DESTINATION TCP PORT
Permite especificar un puerto o rango de puertos destino TCP. El paquete debe ser TCP para encajar
en este criterio.
Sintaxis:
Stateful Access List #>entry <id> destination tcp port <low-port> <high-port>
Ejemplo:
Stateful Access List 5000>entry 1 destination address tcp port 20000 21000
g) ENTRY <id> DESTINATION UDP PORT
Permite especificar un puerto o rango de puertos destino UDP. El paquete debe ser UDP para encajar
en este criterio.
Sintaxis:
Stateful Access List #>entry <id> destination udp port <low-port> <high-port>
Ejemplo:
Stateful Access List 5000>entry 1 destination address udp port 20000 21000
h) ENTRY <id> HEX-STRING
Permite especificar una cadena hexadecimal, el sistema AFS recorre el paquete en busca de esa
cadena, si está dentro del paquete se considera que el paquete encaja.
Sintaxis:
Stateful Access List #>entry <id> hex-string <string>
Ejemplo:
Stateful Access List 5000>entry 1 hex-string AABBCC
i) ENTRY <id> IN-INTERFACE
Permite especificar un interfaz de entrada.
Sintaxis:
Stateful Access List #>entry <id> in-interface <interface>
II - 33
Doc.DM752
Rev.10.91
Ejemplo:
Stateful Access List 5000>entry 1 in-interface ethernet0/0
j) ENTRY <id> IPSEC
Permite seleccionar solo los paquetes que hayan sido encapsulados o desencapsulados por IPSEC.
Sintaxis:
Stateful Access List #>entry <id> ipsec [encapsulated|desencapsulated]
Ejemplo:
Stateful Access List 5000>entry 1 ipsec encapsulated
k) ENTRY <id> LENGTH INTERVAL
Permite especificar un intervalo de longitud de un paquete. Si la longitud del paquete se encuentra
dentro de este intervalo se considera que encaja.
Sintaxis:
Stateful Access List #>entry <id> length-interval <low> <high>
Ejemplo:
Stateful Access List 5000>entry 1 length-interval 1000 1500
l) ENTRY <id> NO
Si se selecciona la opción no delante del criterio de selección se considera que un paquete encaja si
NO cumple el criterio de selección que sigue a la particula no.
Sintaxis:
Stateful Access List #>entry <id> no <criteria>
Ejemplo:
Stateful Access List 5000> entry 1 no length-interval 1000 1500
m) ENTRY <id> PROTOCOL
Permite seleccionar un paquete según el protocolo encapsulado en IP.
La lista de protocolos soportados en este comando aparece en el anexo 3 de este documento.
Sintaxis:
Stateful Access List #>entry <id> protocol <protocol>
Ejemplo:
Stateful Access List 5000> entry 1 protocol tcp
Algunos de los protocolos seleccionados pueden admitir subopciones, por ejemplo, peer2peer.
II - 34
Doc.DM752
Rev.10.91
Stateful Access List 5000$entry 1 protocol peer2peer ?
all
All peer to peer traffic
apple
AppleJuice traffic
ares
Ares AresLite traffic
bit-torrent
BitTorrent traffic
dc
Direct Connect traffic
e-mule
E-mule E-donkey traffic
gnutella
Gnutella traffic
kazaa
Kazaa traffic
mute
Mute traffic
soul
SoulSeek traffic
waste
Waste traffic
winmx
WinMx traffic
xdcc
XDCC traffic
Ejemplo:
Stateful Access List 5000> entry 1 protocol peer2peer all
n) ENTRY <id> PROTOCOL-RANGE
Permite seleccionar un paquete según un rango de protocolos IP. El rango se especifica con los valores
numéricos de los protocolos.
Sintaxis:
Stateful Access List #>entry <id> protocol-range <limit1> <limit2>
Ejemplo:
Stateful Access List 5000> entry 1 protocol-range 1 17
o) ENTRY <id> PEER2PEER
Permite seleccionar el tráfico considerado como peer to peer, de los protocolos e-mule, kazaa y
bittorrent. Estos protocolos cambian constantemente, por lo que su clasificación automática es difícil y
puede que no resulte 100% efectiva.
Sintaxis:
Stateful Access List #>entry <id> peer2peer
Ejemplo:
Stateful Access List 5000>entry 1 peer2peer
p) ENTRY <id> PERMIT
con los parámetros de selección del registro puede pasar a través del Control de Acceso. Este comando
es un indicador de acción, y por tanto determina la función de las sentencias de la entrada.
Sintaxis:
Stateful Access List #>entry <id> permit
Ejemplo:
Stateful Access List 5000>entry 3 permit
q) ENTRY <id> RATE-LIMIT
Especifica un límite en kilobits por segundo, superado el cual se considera que un paquete encaja en
este criterio. Esta medido en kilobits por segundo.
II - 35
Doc.DM752
Rev.10.91
Sintaxis:
Stateful Access List #>entry <id> rate-limit <limit> <burst>
Ejemplo:
Stateful Access List 5000>entry 1 rate-limit 100
r) ENTRY <ID> CONN-LIMIT
Especifica un límite de conexiones para determinada dirección IP o máscara, superado el cual se
considera que un paquete encaja en este criterio.
Sintaxis:
Stateful Access List #>entry <id> conn-limit <limit> <mask>
Ejemplo:
Stateful Access List 5000>entry 1 conn-limit 3 32
s) ENTRY <id> TCP-FLAGS
Permite seleccionar un paquete según los valores de los flags TCP del paquete. Se especifica un valor
(o un “OR” de ellos) y una máscara (Conjunto de ellos). El valor del flag TCP se ajusta a la siguiente
tabla:
U, URG.
A, ACK.
P, PSH.
R, RST.
S, SYN.
F, FIN.
0x20 Urgent pointer valid flag.
0x10 Acknowledgment number valid flag.
0x08 Push flag.
0x04 Reset connection flag.
0x02 Synchronize sequence numbers flag.
0x01 End of data flag.
Sintaxis:
Stateful Access List #>entry <id> tcp-flags <flags> <mask>
Ejemplo:
Stateful Access List #>entry <id> tcp-flags 2 2
t) ENTRY <id> SOURCE ADDRESS
Permite seleccionar un paquete según su IP de origen. Se puede especificar una IP o una red o un
rango. Si no se especifica máscara se supone máscara de host.
Sintaxis:
Stateful Access List #>entry <id> source address <ip> [mask <mask>]
Stateful Access List #>entry <id> source address [range] <iplow> <iphigh>
Ejemplo:
Stateful Access List 5000>entry 1 source address 2.2.2.0 mask 255.255.255.0
Ejemplo:
Stateful Access List 5000>entry 1 source address range 2.2.2.1 2.2.2.100
II - 36
Doc.DM752
Rev.10.91
u) ENTRY <id> SOURCE TCP PORT
Se permite especificar un puerto o rango de puertos origen TCP.El paquete debe ser TCP para encajar
en este criterio.
Sintaxis:
Stateful Access List #>entry <id> source tcp port <low-port> <high-port>
Ejemplo:
Stateful Access List 5000>entry 1 source tcp port 10000 12000
v) ENTRY <id> SOURCE UDP PORT
Se permite especificar un puerto o rango de puertos origen UDP. El paquete debe ser UDP para
encajar en este criterio.
Sintaxis:
Stateful Access List #>entry <id> source udp port <low-port> <high-port>
Ejemplo:
Stateful Access List 5000>entry 1 source udp port 10000 12000
w) ENTRY <id> STRING
Permite especificar una cadena de texto, el sistema AFS recorre el paquete en busca de esa cadena, si
está dentro del paquete se considera que el paquete encaja. Por defecto la comparación no es sensible a
las mayúsculas, pero con la opción case-sensitive se realiza la comparación teniéndolas en cuenta.
Opcionalmente se permite especificar un punto inicial de búsqueda y un punto final.
Sintaxis:
Stateful Access List #>entry <id> string <s> [case-sensitive] [from <fm>] [to <to>]
Ejemplo:
Stateful Access List 5000>entry 1 string “www.teldat.com”
x) ENTRY <id> STUN
Permite filtrar los paquetes que transportan protocolo STUN, tanto TCP como UDP.
El protocolo STUN se define en la RFC 5389 "Session Traversal Utilities for NAT (STUN)".
Sintaxis:
Stateful Access List #>entry <id> stun
Ejemplo:
Stateful Access List 5000> entry 1 stun
y) ENTRY <id> RTP
Los flujos UDP son analizados automáticamente para descubrir el tráfico RTP. Si un paquete
pertenece a un flujo clasificado como RTP se considera que encaja con este criterio. Se permite
además filtrar por el tipo de tráfico transportado por el RTP: audio, video o por el payload-type
definido.
Sintaxis:
Stateful Access List #>entry <id> rtp <audio | video | payload-type <type>>
II - 37
Doc.DM752
Rev.10.91
Ejemplo:
Stateful Access List 5000> entry 1 rtp
z) ENTRY <id> SESSION EXPIRE
El criterio de selección es el tiempo de vida que le queda a la sesión. Permite especificar un intervalo
de tiempo.
Sintaxis:
Stateful Access List #>entry <id> session expire <seconds>
Ejemplo:
Stateful Access List 5000>entry 3 session expire 500
aa) ENTRY <id> SESSION STATE
El criterio de selección es el estado de la sesión, esto es, si es nueva, ya esta establecida, se le esta
haciendo NAT de origen o destino.
Sintaxis:
Stateful Access List #>entry <id> session state <state>
Los estados posibles para una sesión son los siguientes:
invalid
La sesión está en estado invalido, lista para ser borrada.
new
La sesión es nueva, es el primer paquete para esta sesión.
established
La sesión está establecida.
awaited
La sesión es esperada por algún ALG.
untrack
El paquete IP no tiene sesión, no ha podido ser creada.
source-nat
Se esta aplicando NAT en origen a la sesión.
destination-nat
Se esta aplicando NAT en destino a la sesión.
Ejemplo:
Stateful Access List 5000>entry 3 session expire established
bb) ENTRY <id> SESSION-MARK
El criterio de selección es la marca de la sesión. Inicialmente las sesiones se crean con una marca de
valor 0. Mediante este comando se pueden seleccionar las sesiones cuya marca coincida con la dada.
Opcionalmente se puede definir una máscara para especificar los bits de la máscara a consultar.
Este criterio permite, por ejemplo, marcar mediante Policy Routing las sesiones que accedan a
determinada URL, y seleccionarlas mediante dicha marca en BRS para priorizarlas adecuadamente.
Sintaxis:
Stateful Access List #>entry <id> session-mark <mark-value> [mask <mask-value>]
id
mark-value
Valor que debe llevar la marca de sesión.
mask-value
Máscara que especifica qué bits de la marca de sesión se van a
comprobar.
II - 38
Doc.DM752
Rev.10.91
Ejemplo:
Stateful Access List 5000>entry 3 session-mark 1
cc) ENTRY <id> HTTP-FILTER
Se permite realizar un filtrado de páginas Web, de modo que se prohíbe el acceso a aquellas que tienen
un contenido no deseado. Dicho contenido no deseado, o las propias direcciones urls de las páginas
consideradas con contenido no deseado, se especifican en un archivo de configuración, cuyo formato
se explica a continuación. El equipo se descarga mediante el protocolo tftp el archivo de configuración
indicado.
Mediante este comando se especifica la dirección ip del servidor tftp que tiene el archivo, junto con el
nombre de dicho archivo de configuración:
Sintaxis:
Stateful Access List #>entry <id> http-filter <server-ip> <file-name>
id
server-ip
Dirección IP del servidor TFTP.
file-name
Nombre del archivo a recibir con la configuración.
Ejemplo:
Stateful Access List 5000>entry 3 http-filter 192.168.212.19 example
A continuación se va a describir el formato que debe seguir el archivo de configuración, mediante el
siguiente ejemplo:
Ejemplo:
[<config>]
refresh-interval = 3600
[<template>]
<html>
<head>
<title>Teldat Filtering Acceso denegado</title>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
</head>
<body bgcolor=#FFFFFF>
<center>
<table border=0 cellspacing=0 cellpadding=2 height=540 width=700>
<tr>
<td colspan=2 bgcolor=#FEA700 height=100 align=center>

Acceso denegado!
</td>
</tr>
<tr>
<td colspan=2 bgcolor=#FFFACD height=30 align=right>

</td>
</tr>
<tr>
<td width=550 bgcolor=#FFFFFF align=center valign=center>


II - 39
Doc.DM752
Rev.10.91
El acceso a la pagina web ha sido denegado
 
 
Usted esta viendo este mensaje de error porque la pagina a la que 
intenta acceder contiene, o esta clasificada como conteniendo, 
material que se considera inapropiado.
 
Si tiene preguntas, por favor pongase en contacto con el Administrador de
Sistemas o el Administrador de la Red.
 

</td>
</tr>
</table>
</body>
</html>
[<urls>]
www.marca.com
www.sport.es
198.66.198.103
198.66.198.55
[<words>]
sexo
[<white-urls>]
www.elpais.es
1.- En primer lugar, si se desea, se puede configurar el intervalo de actualización del archivo, es decir,
el tiempo que debe transcurrir para que el equipo solicite de nuevo al servidor el archivo. Para ello hay
que introducir la etiqueta [<config>], y en la línea siguiente el valor deseado para el intervalo de
actualización, en este ejemplo, el equipo solicita el archivo cada hora (3600 segundos). Si no se
especifica ningún valor, el intervalo de actualización es de 1 día por defecto.
2.- A continuación, se puede introducir la página http de error que se desea mostrar en caso de que se
haya intentado acceder a una página no deseada. Para ello hay que introducirla a continuación de la
etiqueta [<template>].
3.- Por último se debe introducir la configuración para realizar el filtrado de las páginas Web, ya sea
por su contenido o por su dirección url. Para ello se pueden introducir:
- la lista de direcciones urls (o direcciones IP) de las páginas que se consideran que contienen
contenido no deseado, a continuación de la etiqueta [<urls>].
- la lista de palabras consideradas como contenido no deseado, a continuación de la etiqueta
[<words>].
- la lista de dirección urls de las páginas que se consideran de confianza, es decir, de las que no
se va a buscar en su contenido por si contienen las palabras no deseadas, a continuación de la
etiqueta [<white-urls>].
Hay que tener en cuenta que para que el filtrado por contenido funcione, el contenido
de la página solicitada no puede estar codificado; para asegurarse de que esto no
ocurre se puede utilizar el comando “http force-identity-encoding” de NAT (ver
manual Dm788 “Nuevo Protocolo NAT”).
dd) ENTRY <id> WEBSTR
Permite filtrar paquetes por contenido dentro de host o URL.
Sintaxis:
Stateful Access List #>entry <id> webstr [host|url] <1..150 chars>
II - 40
Doc.DM752
Rev.10.91
Ejemplo:
Stateful Access List 5000> entry 1 webstr
ee) ENTRY <id> WEBURL
Permite filtrar paquetes por contenido. Busca texto o expresiones regulares dentro de los paquetes.
Sintaxis:
Stateful Access List #>entry <id> weburl [regex|text] <1..150 chars>
Ejemplo:
Stateful Access List 5000> entry 1 weburl regex “textoquequierobuscar*”
6.3. NO
parámetros.
Sintaxis:
Stateful Access List #>no ?
entry
a) NO ENTRY
Sintaxis:
Stateful Access List #>no entry <id>
Ejemplo:
Stateful Access List 5000>no entry 3
II - 41
Doc.DM752
Rev.10.91
7. Show Config
Show Config es una herramienta de la consola de configuración (PROCESS 4), que permite listar los
comandos necesarios para configurar el router a partir de una configuración vacía (no conf).
Este comando se puede utilizar, tanto para copiar configuraciones, como para listarlas, o simplemente
para visualizarlas.
Show Config parte de la configuración definida internamente por defecto, generando los comandos de
la parte de configuración que difiere de ésta.
Show Config puede incorporar comentarios, que van después de punto y coma (‘;’).
El comando se puede ejecutar desde cualquier menú, mostrando la configuración introducida en todos
los submenús que cuelgan del actual.
Ejemplo:
Access Lists config>show conf
; Showing Menu and Submenus Configuration ...
; C3G IPSec Router 1 29 Version 10.1.xPA
access-list 1
;
entry 1 default
entry 1 permit
entry 1 source address 192.60.1.24 255.255.255.255
;
entry 2 default
entry 2 permit
;
exit
;
access-list 100
;
entry
entry
entry
entry
1
1
1
1
default
permit
source address 172.34.53.23 255.255.255.255
protocol-range 10 255
;
entry 2 default
entry 2 deny
;
exit
;
Con la lista de comandos obtenidos en el show config se puede copiar, editar, modificándola, de
manera que puede servir como plantilla para posteriores configuraciones.
II - 42
Doc.DM752
Rev.10.91
8. Ejemplo práctico
Se trata de crear una nueva red privada virtual (VPN) entre el Host A y el Host B. El resto del tráfico
entre las redes privadas se deja pasar de modo normal. Crearemos un Túnel IPSec entre ambos Host.
Para ello en primer lugar se debe crear la Lista de Control de Acceso que utiliza IPSec como filtro de
tráfico. En este ejemplo solamente se muestra cómo se hace la configuración de las Listas de Acceso y
la asociación del Túnel IPSec a la misma.
HOST A
HOST B
172.24.51.57
172.60.1.163
200.200.200.2
200.200.200.1
Red Privada 1
Red Pública
Router 1
Red Privada 2
Router 2
• Creación de las listas de control de acceso
La configuración que se debe introducir al Router 1 es:
-- Access Lists user configuration -Access Lists config>access-list 101
La lista de acceso configurada queda por tanto:
1
PERMIT
SRC=172.24.51.57/32
DES=172.60.1.163/32
Conn:0
Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión
introduciendo ésta en la consola tal y como aparece:
II - 43
Doc.DM752
Rev.10.91
Extended Access List 101>show conf
entry
entry
entry
entry
1
1
1
1
default
permit
source address 172.24.51.57 255.255.255.255
destination address 172.60.1.163 255.255.255.255
;
La configuración que se debe introducir al Router 2 es:
-- Access Lists user configuration -Access Lists config>access-list 101
La lista de acceso configurada queda por tanto:
1
PERMIT
SRC=172.60.1.163/32
DES=172.24.51.57/32
Conn:0
Extended Access List 101>show conf
entry
entry
entry
entry
1
1
1
1
default
permit
source address 172.60.1.163 255.255.255.255
destination address 172.24.51.57 255.255.255.255
;
• Asociación de Lista de acceso a Protocolo IPSec
Para completar las bases de datos de políticas de Seguridad (SPD) IPSec, es necesario “mapear” los
elementos de la Lista de Control de Acceso a los Templates elegidos.
En este caso la operación es la misma en los dos routers, debido a que en los dos routers se ha puesto
la Lista de Control de Acceso con el mismo identificador (101).
II - 44
Doc.DM752
Rev.10.91
Config>p ip
-- Internet protocol user configuration -IP config>ipse
-- IPSec user configuration -IPSec config>assign-access-list 101
IPSec config>template 2 def
IPSec config>map-template 101 2
IPSec config>
IPSec config>show conf
assign-access-list 101
;
template 2 default
template 2 manual esp des md5
;
map-template 101 2
IPSec config>
II - 45
Doc.DM752
Rev.10.91
Capítulo 3
Monitorización
1. Comandos de Monitorización
En esta sección se detallan los comandos que permiten utilizar las herramientas de monitorización de
la facilidad de Listas de Control de Acceso. Para poder introducir estos comandos es necesario acceder
al prompt de monitorización de la facilidad de Listas de Acceso.
Para acceder al entorno de monitorización de la facilidad de Listas de Acceso, se debe introducir el
comando FEATURE ACCESS-LISTS en el prompt de monitorización general (+).
Ejemplo:
+ feature access-lists
-- Access Lists user console -Access Lists+
El router dispone de una caché que mantiene las últimas direcciones encontradas, con el fin de que el
periodo de búsqueda dentro de las Lista de Acceso se minimice. En los listados se indica las entradas
de cada Lista que están introducidas en la caché.
Dentro del entorno de monitorización de la facilidad de Lista de Control de Acceso se dispone de los
siguientes comandos:
Comando
Función
? (AYUDA)
Borra todas las entradas en la caché de Listas de Acceso.
Configura el número disponible de entradas de caché.
Al listar presenta los manejadores asociados.
Al listar oculta los manejadores asociados.
LIST
CLEAR-CACHE
SET-CACHE-SIZE
SHOW-HANDLES
HIDE-HANDLES
1.1. ? (AYUDA)
Sintaxis:
Access Lists+?
Ejemplo:
Access Lists+?
list
clear-cache
set-cache-size
show-handles
hide-handles
exit
Access Lists+
Displays the access lists configuration
Deletes all the entries in an access lists cache
Configures the available number of cache entries
Makes the associated handles to be shown when listing
Makes the associated handles to stay hidden when listing
Exit to parent menu
ROUTER TELDAT – Control de acceso Monitorización
III - 47
Doc.DM752
Rev.10.91
1.2. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que
están activas. Como estadístico interesante, aparece el número de ocurrencias que se han dado en una
entrada, es decir el número de veces que un paquete ha coincido con las sentencias de la entrada
(Hits).
El router dispone una caché que mantiene las últimas direcciones encontradas, con el fin de que el
periodo de búsqueda dentro de las Lista de Acceso se minimice. En algunos listados se indican las
entradas de cada Lista que están introducidas en la caché.
Sintaxis:
Access Lists+list ?
all
Displays the whole access lists configuration and entries
information
cache
Displays only access lists entry cache information
entries
Displays only the active access lists entries configuration
a) LIST ALL
Muestra todas las entradas de configuración de las Listas de Control de Acceso, es decir, toda la
configuración de la misma. Se presentan las entradas configuradas y las que están dentro de la caché.
Este comando debe ir seguido de otros que permiten especificar con más detalle la información a
mostrar. Las listas de acceso stateful no pueden ser listadas, por lo que no aparecen al ejecutar este
comando.
Sintaxis:
Access Lists+list all ?
all-access-lists
address-filter-access-lists
access-list
Displays
lists
Displays
match an
Displays
list
information for all active access
information for access lists that
address search pattern
information for a specified access
• LIST ALL ALL-ACCESS-LISTS
Muestra todas las listas de control de acceso de la configuración activa. Se presentan las entradas
configuradas y las que están dentro de la caché.
Ejemplo:
Access Lists+list all all-access-lists
ACCESS LIST ENTRIES
3
PERMIT SRC=234.233.44.33/32
Hits: 0
1
DENY
SRC=192.23.0.22/255.255.0.255
Hits: 0
ACCESS LIST CACHE. Hits = 0, Miss = 0
Cache size: 32 entries, Promotion zone: 6 entries
ACCESS LIST ENTRIES
1
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 0
DES=192.34.0.0/16
Conn:0
III - 48
Doc.DM752
Rev.10.91
2
DENY
SRC=0.0.0.0/0
Hits: 0
DES=0.0.0.0/0
3
PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0
PROT=21-44 SPORT=34-56 DPORT=2-4
Hits: 0
Conn:0
Conn:33
Extended Access List 101, assigned to IPSec
ACCESS LIST ENTRIES
1
PERMIT SRC=172.24.51.57/32
Hits: 0
2
PERMIT SRC=0.0.0.0/0
Hits: 0
DES=172.60.1.163/32
DES=0.0.0.0/0
Conn:0
Label=22
Conn:0
ACCESS LIST ENTRIES
1
PERMIT SRC=1.0.0.0/8 DES=2.0.0.0/8 Conn:0
TOS OCTET=0
Hits: 0
Access Lists+
• LIST ALL ADDRESS-FILTER-ACCESS-LISTS
Muestra todas entradas de las Listas de Control de Acceso que contienen la dirección IP y la máscara
de subred que se incluye en el patrón de búsqueda que introducido a continuación del comando.
También se presentan las listas que hay disponibles. Se presentan las entradas configuradas y las que
están dentro de la caché Si la dirección IP y la máscara introducidas son 0.0.0.0 se listan todas las
Lista de Acceso.
Sintaxis:
Access Lists+list all address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists+list all address-filter-access-lists 172.24.51.57 255.255.255.255
ACCESS LIST ENTRIES
ACCESS LIST ENTRIES
ACCESS LIST ENTRIES
1
PERMIT SRC=172.24.51.57/32 DES=172.60.1.163/32
Hits: 0
III - 49
Conn:0
Doc.DM752
Rev.10.91
ACCESS LIST ENTRIES
Access Lists+
• LIST ALL ACCESS-LIST
Muestra todas las entradas de una Lista de Control de Acceso.
Sintaxis:
Access Lists+list all access-list <id>
Ejemplo:
Access Lists+list all access-list 100
ACCESS LIST ENTRIES
1
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 0
DES=192.34.0.0/16
2
DENY
SRC=0.0.0.0/0
Hits: 0
DES=0.0.0.0/0
3
PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0
Hits: 0
Conn:0
Conn:0
Conn:33?
Access Lists+
b) LIST CACHE
Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las
entradas que están en la caché. Este comando debe ir seguido de otros que permiten especificar con
más detalle la información a mostrar. Con este comando solamente se presenta la información de las
entradas que están en la caché.
Sintaxis:
Access Lists+list cache ?
all-access-lists
access-list
Displays
lists
Displays
match an
Displays
list
• LIST CACHE ALL-ACCESS-LISTS
Muestra todas las entradas de las Listas de Control de Acceso que están en la caché.
Ejemplo:
Access Lists>list cache all-access-lists
III - 50
Doc.DM752
Rev.10.91
1
PERMIT SRC=172.24.51.57/32
Hits: 1
DES=172.60.1.163/32
Conn:0
Access Lists+
• LIST CACHE ADDRESS-FILTER-ACCESS-LISTS
Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las
entradas que están en la caché que contienen la dirección IP y la máscara de subred que se incluye en
el patrón de búsqueda que introduce a continuación del comando. Este comando debe ir seguido de
otros que permiten especificar con más detalle las Listas de Acceso a mostrar. Si la dirección IP y la
máscara introducidas son 0.0.0.0 se listan todas las Lista de Acceso.
Sintaxis:
Access Lists+list cache address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists+list cache address-filter-access-lists 172.24.51.57 255.255.255.255
1
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 2
DES=192.34.0.0/16
Conn:0
Access Lists+
• LIST CACHE ACCESS-LIST
Muestra todas las entradas de una Lista de Control de Acceso que están en la caché.
Sintaxis:
Access Lists+list cache access-list <id>
III - 51
Doc.DM752
Rev.10.91
Ejemplo:
Access Lists+list cache access-list 100
1
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 2
DES=192.34.0.0/16
Conn:0
Access Lists+
c) LIST ENTRIES
Muestra las entradas de las Listas de Control de Acceso que están en la configuración activa. Este
comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar.
Con este comando no se presenta la información de las entradas que están en la caché.
Sintaxis:
Access Lists+list entries ?
all-access-lists
access-list
Displays
lists
Displays
match an
Displays
list
• LIST ENTRIES ALL-ACCESS-LISTS
Muestra todas las entradas de la Lista de Control de Acceso de la configuración activa.
Ejemplo:
Access Lists+list entries all-access-lists
ACCESS LIST ENTRIES
3
PERMIT SRC=234.233.44.33/32
Hits: 0
1
DENY
SRC=192.23.0.22/255.255.0.255
Hits: 0
ACCESS LIST ENTRIES
1
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 0
DES=192.34.0.0/16
2
DENY
SRC=0.0.0.0/0
Hits: 0
DES=0.0.0.0/0
3
PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0
Hits: 0
Conn:0
Conn:0
Conn:33?
ACCESS LIST ENTRIES
1
PERMIT SRC=172.24.51.57/32
Hits: 0
2
PERMIT
SRC=0.0.0.0/0
DES=172.60.1.163/32
DES=0.0.0.0/0
Conn:0
Conn:0
III - 52
Doc.DM752
Rev.10.91
Hits: 0
ACCESS LIST ENTRIES
1
PERMIT SRC=1.0.0.0/8 DES=2.0.0.0/8 Conn:0
TOS OCTET=0
Hits: 0
Access Lists+
• LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS
Muestra todas las entradas de las Listas de Control de Acceso, de la configuración activa, que
contienen la dirección IP y la máscara de subred que se incluye en el patrón de búsqueda, que se
introduce a continuación del comando. Si la dirección IP y la máscara introducidas son 0.0.0.0 se
listan todas las Lista de Acceso.
Sintaxis:
Access Lists+list entries address-filter-access-lists <direcciónIP> <subred>
Ejemplo:
Access Lists+list entries address-filter-access-lists 172.24.51.57 255.255.255.255
ACCESS LIST ENTRIES
ACCESS LIST ENTRIES
ACCESS LIST ENTRIES
1
PERMIT SRC=172.24.51.57/32
Hits: 0
DES=172.60.1.163/32
Conn:0
ACCESS LIST ENTRIES
Access Lists+
• LIST ENTRIES ACCESS-LIST
Muestra todas las entradas de una Lista de Control de Acceso.
Sintaxis:
Access Lists+list entries access-list <id>
Ejemplo:
Access Lists+list entries access-list 100
ACCESS LIST ENTRIES
1
PERMIT SRC=172.25.54.33/32
PROT=21
Hits: 0
2
DENY
SRC=0.0.0.0/0
DES=192.34.0.0/16
DES=0.0.0.0/0
Conn:0
Conn:0
III - 53
Doc.DM752
Rev.10.91
Hits: 0
3
PERMIT SRC=0.0.0.0/0 DES=0.0.0.0/0
Hits: 0
Conn:33?
Access Lists+
1.3. CLEAR-CACHE
Elimina todas las entradas de una Lista de Control de Acceso concreta de la caché que procesa las
Listas de Control de Acceso.
Sintaxis:
Access Lists+clear-cache <id>
Ejemplo:
Access Lists+clear-cache 100
Cache cleared.
Access Lists+
1.4. SET-CACHE-SIZE
Permite configurar el tamaño de la caché para una Lista de Control de Acceso. El tamaño está definido
por el número de entradas que permite la caché.
Sintaxis:
Access Lists+set-cache-size <id> <tamaño>
Ejemplo:
Access Lists+set-cache-size 100 33
Cache cleared.
Access Lists+
1.5. SHOW-HANDLES
Al introducir este comando, en entre los datos presentados con el comando LIST, aparece información
para depuración en cada entrada.
1.6. HIDE-HANDLES
Al introducir este comando se deshabilita que, entre los datos presentados con el comando LIST,
aparezca información para depuración en cada entrada.
III - 54
Doc.DM752
Rev.10.91
Capítulo 4
Anexo
1. Puerto Reservados
En los protocolos de nivel de transporte TCP y UDP, ampliamente utilizados sobre IP versión 4 (IPv4)
[RFC791], existe un campo denominado “puerto”. Dicho campo consta de 16 bits.
Los puertos son usados por TCP para nombrar los extremos de una conexión lógica en la cual se
mantiene una conversación. Con el propósito de proporcionar servicios a llamantes desconocidos, se
define un puerto de contacto para dicho servicio. Por ello, existe una lista que asigna números de
puertos predeterminados a servicios concretos.
Para posibles ampliaciones, esta misma asignación de puertos se utiliza con UDP.
Los números de puertos están divididos en tres rangos:
- Reservados (0-1023)
- Registrados (1024-49151)
- Dinámicos o privados (49152-65535)
La siguiente lista se muestran algunos de los Puertos Reservados más utilizado:
Keyword
------ftp-data
ftp-data
Decimal
------20/tcp
20/udp
Description
----------File Transfer [Default Data]
File Transfer [Default Data]
ftp
ftp
21/tcp
21/udp
File Transfer [Control]
File Transfer [Control]
telnet
telnet
23/tcp
23/udp
Telnet
Telnet
smtp
smtp
25/tcp
25/udp
Simple Mail Transfer
Simple Mail Transfer
nameserver
nameserver
42/tcp
42/udp
Host Name Server
Host Name Server
domain
domain
53/tcp
53/udp
Domain Name Server
Domain Name Server
tftp
tftp
69/tcp
69/udp
Trivial File Transfer
Trivial File Transfer
gopher
gopher
70/tcp
70/udp
Gopher
Gopher
http
http
80/tcp
80/udp
World Wide Web HTTP
World Wide Web HTTP
snmp
snmp
161/tcp
161/udp
SNMP
SNMP
snmptrap
snmptrap
162/tcp
162/udp
SNMPTRAP
SNMPTRAP
ROUTER TELDAT – Control de acceso Anexo
IV - 56
Doc.DM752
Rev.10.91
2. Protocolos Reservados
En IP versión 4 (IPv4) [RFC791], hay un campo denominado protocolo, el cual identifica el siguiente
nivel de protocolo. El campo protocolo consta de 8 bits. En IP versión 6 (IPv6) [RFC1883] este campo
se denomina “Next Header”.
Asignación de números de Protocolos de Internet:
Decimal
------0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
Keyword
------HOPOPT
ICMP
IGMP
GGP
IP
ST
TCP
CBT
EGP
IGP
Protocol
References
----------------IPv6 Hop-by-Hop Option
[RFC1883]
Internet Control Message
[RFC792]
Internet Group Management
[RFC1112]
Gateway-to-Gateway
[RFC823]
IP in IP (encapsulation)
[RFC2003]
Stream
[RFC1190,RFC1819]
Transmission Control
[RFC793]
CBT
[Ballardie]
Exterior Gateway Protocol
[RFC888,DLM1]
any private interior gateway
[IANA]
(used by Cisco for their IGRP)
BBN-RCC-MON BBN RCC Monitoring
[SGC]
NVP-II
Network Voice Protocol
[RFC741,SC3]
PUP
PUP
[PUP,XEROX]
ARGUS
ARGUS
[RWS4]
EMCON
EMCON
[BN7]
XNET
Cross Net Debugger
[IEN158,JFH2]
CHAOS
Chaos
[NC3]
UDP
User Datagram
[RFC768,JBP]
MUX
Multiplexing
[IEN90,JBP]
DCN-MEAS
DCN Measurement Subsystems
[DLM1]
HMP
Host Monitoring
[RFC869,RH6]
PRM
Packet Radio Measurement
[ZSU]
XNS-IDP
XEROX NS IDP
[ETHERNET,XEROX]
TRUNK-1
Trunk-1
[BWB6]
TRUNK-2
Trunk-2
[BWB6]
LEAF-1
Leaf-1
[BWB6]
LEAF-2
Leaf-2
[BWB6]
RDP
Reliable Data Protocol
[RFC908,RH6]
IRTP
Internet Reliable Transaction
[RFC938,TXM]
ISO-TP4
ISO Transport Protocol Class 4
[RFC905,RC77]
NETBLT
Bulk Data Transfer Protocol
[RFC969,DDC1]
MFE-NSP
MFE Network Services Protocol
[MFENET,BCH2]
MERIT-INP
MERIT Internodal Protocol
[HWB]
SEP
Sequential Exchange Protocol
[JC120]
3PC
Third Party Connect Protocol
[SAF3]
IDPR
Inter-Domain Policy Routing Protocol
[MXS1]
XTP
XTP
[GXC]
DDP
Datagram Delivery Protocol
[WXC]
IDPR-CMTP
IDPR Control Message Transport Proto
[MXS1]
TP++
TP++ Transport Protocol
[DXF]
IL
IL Transport Protocol
[Presotto]
IPv6
Ipv6
[Deering]
SDRP
Source Demand Routing Protocol
[DXE1]
IPv6-Route Routing Header for IPv6
[Deering]
IPv6-Frag
Fragment Header for IPv6
[Deering]
IDRP
Inter-Domain Routing Protocol
[Sue Hares]
IV - 57
Doc.DM752
Rev.10.91
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
RSVP
GRE
MHRP
BNA
ESP
AH
I-NLSP
SWIPE
NARP
MOBILE
TLSP
Reservation Protocol
[Bob Braden]
General Routing Encapsulation
[Tony Li]
Mobile Host Routing Protocol
[David Johnson]
BNA
[Gary Salamon]
Encapsulating Security Payload
[RFC1827]
Authentication Header
[RFC1826]
Integrated Net Layer Security TUBA
[GLENN]
IP with Encryption
[JI6]
NBMA Address Resolution Protocol
[RFC1735]
IP Mobility
[Perkins]
Transport Layer Security Protocol
[Oberg]
using Kryptonet key management
SKIP
SKIP
[Markson]
IPv6-ICMP
ICMP for IPv6
[RFC1883]
IPv6-NoNxt No Next Header for IPv6
[RFC1883]
IPv6-Opts
Destination Options for IPv6
[RFC1883]
any host internal protocol
[IANA]
CFTP
CFTP
[CFTP,HCF2]
any local network
[IANA]
SAT-EXPAK
SATNET and Backroom EXPAK
[SHB]
KRYPTOLAN
Kryptolan
[PXL1]
RVD
MIT Remote Virtual Disk Protocol
[MBG]
IPPC
Internet Pluribus Packet Core
[SHB]
any distributed file system
[IANA]
SAT-MON
SATNET Monitoring
[SHB]
VISA
VISA Protocol
[GXT1]
IPCV
Internet Packet Core Utility
[SHB]
CPNX
Computer Protocol Network Executive
[DXM2]
CPHB
Computer Protocol Heart Beat
[DXM2]
WSN
Wang Span Network
[VXD]
PVP
Packet Video Protocol
[SC3]
BR-SAT-MON Backroom SATNET Monitoring
[SHB]
SUN-ND
SUN ND PROTOCOL-Temporary
[WM3]
WB-MON
WIDEBAND Monitoring
[SHB]
WB-EXPAK
WIDEBAND EXPAK
[SHB]
ISO-IP
ISO Internet Protocol
[MTR]
VMTP
VMTP
[DRC3]
SECURE-VMTP SECURE-VMTP
[DRC3]
VINES
VINES
[BXH]
TTP
TTP
[JXS]
NSFNET-IGP NSFNET-IGP
[HWB]
DGP
Dissimilar Gateway Protocol
[DGP,ML109]
TCF
TCF
[GAL5]
EIGRP
EIGRP
[CISCO,GXS]
OSPFIGP
OSPFIGP
[RFC1583,JTM4]
Sprite-RPC Sprite RPC Protocol
[SPRITE,BXW]
LARP
Locus Address Resolution Protocol
[BXH]
MTP
Multicast Transport Protocol
[SXA]
AX.25
AX.25 Frames
[BK29]
IPIP
IP-within-IP Encapsulation Protocol
[JI6]
MICP
Mobile Internetworking Control Pro.
[JI6]
SCC-SP
Semaphore Communications Sec. Pro.
[HXH]
ETHERIP
Ethernet-within-IP Encapsulation
[RDH1]
ENCAP
Encapsulation Header
[RFC1241,RXB3]
any private encryption scheme
[IANA]
GMTP
GMTP
[RXB5]
IFMP
Ipsilon Flow Management Protocol
[Hinden]
PNNI
PNNI over IP
[Callon]
PIM
[Farinacci]
IV - 58
Doc.DM752
Rev.10.91
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135-254
255
ARIS
SCPS
QNX
A/N
IPComp
SNP
Compaq-Peer
IPX-in-IP
VRRP
PGM
ARIS
[Feldman]
SCPS
[Durst]
QNX
[Hunter]
Active Networks
[Braden]
IP Payload Compression Protocol
[RFC2393]
Sitara Networks Protocol
[Sridhar]
Compaq Peer Protocol
[Volpe]
IPX in IP
[Lee]
Virtual Router Redundancy Protocol
[Hinden]
PGM Reliable Transport Protocol
[Speakman]
any 0-hop protocol
[IANA]
L2TP
Layer Two Tunneling Protocol
[Aboba]
DDX
D-II Data Exchange (DDX)
[Worley]
IATP
Interactive Agent Transfer Protocol
[Murphy]
STP
Schedule Transfer Protocol
[JMP]
SRP
SpectraLink Radio Protocol
[Hamilton]
UTI
UTI
[Lothberg]
SMP
Simple Message Protocol
[Ekblad]
SM
SM
[Crowcroft]
PTP
Performance Transparency Protocol
[Welzl]
ISIS over IPv4
[Przygienda]
FIRE
[Partridge]
CRTP
Combat Radio Transport Protocol
[Sautter]
CRUDP
Combat Radio User Datagram
[Sautter]
SSCOPMCE
[Waber]
IPLT
[Hollbach]
SPS
Secure Packet Shield
[McIntosh]
PIPE
Private IP Encapsulation within IP
[Petri]
SCTP
Stream Control Transmission Protocol [Stewart]
FC
Fibre Channel
[Rajagopal]
RSVP-E2E-IGNORE
[RFC3175]
Unassigned
[IANA]
Reserved
[IANA]
IV - 59
Doc.DM752
Rev.10.91
3. Valores de Protocolos en listas “stateful”
En algunos comandos de configuración de las listas stateful se hace refencia al valor de protocolo.
Estos son los valores permitidos.
3com-amp3
3Com AMP3
3com-tsmux
3Com TSMUX
3pc
Third Party Connect Protocol
914c/g
Texas Instruments 914 Terminal
9pfs
Plan 9 file service
acap
ACAP
acas
ACA Services
accessbuilder
Access Builder
accessnetwork
Access Network
acp
Aeolon Core Protocol
acr-nema
ACR-NEMA Digital Img
aed-512
AED 512 Emulation service
agentx
AgentX
alpes
Alpes
aminet
AMInet
an
Active Networks
anet
ATEXSSTR
ansanotify
ANSA REX Notify
ansatrader
ansatrader
aodv
AODV
aol-messenger
AOL Instant Messenger Chat Messages
apertus-ldp
Apertus Tech Load Distribution
appleqtc
Apple Quick Time
appleqtcsrvr
appleqtcsrvr
applix
Applix ac
arcisdms
arcisdms
argus
ARGUS
ariel1
Ariel1
ariel2
Ariel2
ariel3
Ariel3
aris
ARIS
arns
A remote network server system
as-servermap
AS Server Mapper
asa
ASA Message router object def
asa-appl-proto
asa-appl-proto
asip-webadmin
AppleShare IP WebAdmin
asipregistry
asipregistry
at-3
AppleTalk Unused
at-5
AppleTalk Unused
at-7
AppleTalk Unused
at-8
AppleTalk Unused
at-echo
AppleTalk Echo
at-nbp
AppleTalk Name Binding
IV - 60
Doc.DM752
Rev.10.91
at-rtmp
AppleTalk Routing Maintenance
at-zis
AppleTalk Zone Information
audit
Unisys Audit SITP
auditd
Digital Audit daemon
aurora-cmgr
Aurora CMGR
aurp
Appletalk Update-Based Routing Pro.
auth
Authentication Service
avian
avian
ax25
AX.25 Frames
banyan-rpc
banyan-rpc
banyan-vip
banyan-vip
bbnrccmon
BBN RCC Monitoring
bdp
Bundle Discovery protocol
bftp
Background File Transfer Program
bgmp
BGMP
bgp
Border Gateway Protocol
bgs-nsi
bgs-nsi
bhevent
bhevent
bhfhs
bhfhs
bhmds
bhmds
bl-idm
Britton Lee IDM
bmpp
bmpp
bna
BNA
bnet
bnet
borland-dsj
borland-dsj
br-sat-mon
Backroom SATNET Monitoring
CAIlic
Computer Associates Intl License Server
cab-protocol
CAB Protocol
cableport-ax
Cable Port A/X
cadlock
cadlock
cbt
CBT
cdc
Certificate Distribution Center
cfdptkt
cfdptkt
cftp
CFTP
chaos
Chaos
chargen
Character Generator
chshell
chcmd
cifs
Common Internet File System
cimplex
cimplex
cisco-fna
cisco FNATIVE
cisco-phone
Cisco IP Phones and PC-Based Unified Communicators
cisco-sys
cisco SYSMAINT
cisco-tdp
Cisco TDP
cisco-tna
cisco TNATIVE
citrix
Citrix ICA traffic
clearcase
Clear Case Protocol Software Informer
cloanto-net-1
cloanto-net-1
cmip-agent
CMIP/TCP Agent
cmip-man
CMIP/TCP Manager
IV - 61
Doc.DM752
Rev.10.91
coauthor
oracle
codaauth2
codaauth2
collaborator
collaborator
commerce
commerce
compaq-peer
Compaq Peer Protocol
compressnet
Management Utility
comscm
comscm
con
con
conference
chat
connendp
almanid Connection Endpoint
contentserver
contentserver
corba-iiop
Corba Internet Inter-Orb Protocol (IIOP)
corerjd
corerjd
courier
rpc
covia
Communications Integrator
cphb
Computer Protocol Heart Beat
cpnx
Computer Protocol Network Executive
creativepartnr
creativepartnr
creativeserver
creativeserver
crs
crs
crtp
Combat Radio Transport Protocol
crudp
Combat Radio User Datagram
cryptoadmin
Crypto Admin
csi-sgwp
Cabletron Management Protocol
csnet-ns
Mailbox Name Nameserver
ctf
Common Trace Facility
cuseeme
Desktop Video Conferencing
custix
Customer Ixchange
cvc_hostd
cvc_hostd
cybercash
cybercash
cycleserv
cycleserv
cycleserv2
cycleserv2
dantz
dantz
dasp
dasp
datasurfsrv
DataRamp Svr
datasurfsrvsec
DataRamp Svr svs
datex-asn
datex-asn
daytime
Daytime Protocol
dbase
dBASE Unix
dccp
Datagram Congestion Control Protocol
dcn-meas
DCN Measurement Subsystems
dcp
Device Control Protocol
dctp
dctp
ddm-dfm
DDM Distributed File management
ddm-rdb
DDM-Remote Relational Database Access
ddm-ssl
DDM-Remote DB Access Using Secure Sockets
ddp
Datagram Delivery Protocol
ddx
D-II Data Exchange
decap
decap
IV - 62
Doc.DM752
Rev.10.91
decauth
decauth
decbsrv
decbsrv
decladebug
DECLadebug Remote Debug Protocol
decvms-sysmgt
decvms-sysmgt
dec_dlm
dec_dlm
dei-icda
dei-icda
deos
Distributed External Object Store
device
device
dgp
Dissimilar Gateway Protocol
dhcp
Dynamic Host Configuration Protocol/Bootstrap Protocol
dhcp-failover
DHCP Failover
dhcp-failover2
dhcp-failover2
dhcpv6-client
DHCPv6 Client
dhcpv6-server
DHCPv6 Server
digital-vrc
digital-vrc
directconnect
Direct Connect File Transfer Traffic
directplay
DirectPlay
directplay8
DirectPlay8
directv-catlg
Direct TV Data Catalog
directv-soft
Direct TV Software Updates
directv-tick
Direct TV Tickers
directv-web
Direct TV Webcasting
discard
Discard
disclose
campaign contribution disclosures
dixie
DIXIE Protocol Specification
dls
Directory Location Service
dls-mon
Directory Location Service Monitor
dn6-nlm-aud
DNSIX Network Level Module Audit
dna-cml
DNA-CML
dns
Domain Name System
dnsix
DNSIX Securit Attribute Token Map
doom
Doom
dpsi
dpsi
dsfgw
dsfgw
dsp
Display Support Protocol
dsp3270
Display Systems Protocol
dsr
Dynamic Source Routing Protocol
dtag-ste-sb
DTAG
dtk
dtk
dwr
dwr
echo
Echo Protocol
egp
Exterior Gateway Protocol
eigrp
Enhanced Interior Gateway Routing Protocol
elcsd
errlog copy/server daemon
embl-ndt
EMBL Nucleic Data Transfer
emcon
EMCON
emfis-cntl
EMFIS Control Service
emfis-data
EMFIS Data Service
encap
Encapsulation Header
IV - 63
Doc.DM752
Rev.10.91
entomb
entomb
entrust-aaas
entrust-aaas
entrust-aams
entrust-aams
entrust-ash
Entrust Administration Service Handler
entrust-kmsh
Entrust Key Management Service Handler
entrust-sps
entrust-sps
erpc
Encore Expedited Remote Pro.Call
escp-ip
escp-ip
esro-emsdp
ESRO-EMSDP V1.3
esro-gen
Efficient Short Remote Operations
etherip
Ethernet-within-IP Encapsulation
eudora-set
Eudora Set
exchange
MS-RPC for Exchange
exec
remote process execution;
fatserv
Fatmen Server
fc
Fibre Channel
fcp
FirstClass Protocol
finger
Finger User Information Protocol
fire
FIRE
flexlm
Flexible License Manager
fln-spx
Berkeley rlogind with SPX auth
ftp-agent
FTP Software Agent System
ftp-data
File Transfer
ftps-data
ftp protocol, data, over TLS/SSL
fujitsu-dev
Fujitsu Device Control
gacp
Gateway Access Control Protocol
gdomap
gdomap
genie
Genie Protocol
genrad-mux
genrad-mux
ggf-ncp
GNU Generation Foundation NCP
ggp
Gateway-to-Gateway
ginad
ginad
gmtp
GMTP
go-login
go-login
gopher
Gopher
graphics
Graphics
gre
General Routing Encapsulation
groove
groove
gss-http
gss-http
gss-xlicen
GNU Generation Foundation NCP
gtp-user
GTP-User Plane
ha-cluster
ha-cluster
hap
hap
hassle
hassle
hcp-wismar
Hardware Control Protocol Wismar
hdap
hdap
hello-port
HELLO_PORT
hems
hems
hip
Host Identity Protocol
IV - 64
Doc.DM752
Rev.10.91
hmmp-ind
HMMP Indication
hmmp-op
HMMP Operation
hmp
Host Monitoring
hopopt
IPv6 Hop-by-Hop Option
hostname
NIC Host Name Server
hp-alarm-mgr
hp performance data alarm manager
hp-collector
hp performance data collector
hp-managed-node
hp performance data managed node
http
Hypertext Transfer Protocol
http-alt
HTTP Alternate
http-mgmt
http-mgmt
http-rpc-epmap
HTTP RPC Ep Map
hybrid-pop
hybrid-pop
hyper-g
hyper-g
hyperwave-isp
hyperwave-isp
i-nlsp
Integrated Net Layer Security TUBA
iafdbase
iafdbase
iafserver
iafserver
iasd
iasd
iatp
Interactive Agent Transfer Protocol
ibm-app
IBM Application
ibm-db2
IBM Information Management
ibprotocol
Internet Backplane Protocol
iclcnet-locate
ICL coNETion locate server
iclcnet_svinfo
ICL coNETion server info
icmp
Internet Control Message Protocol
idfp
idfp
idpr
Inter-Domain Policy Routing Protocol
idpr-cmtp
IDPR Control Message Transport Proto
idrp
Inter-Domain Routing Protocol
ieee-mms
ieee-mms
ieee-mms-ssl
ieee-mms-ssl
ifmp
Ipsilon Flow Management Protocol
igmp
Internet Group Management Protocol
igmp
Internet Group Management Protocol
igrp
Cisco interior gateway
iiop
iiop
il
IL Transport Protocol
imap
Internet Message Access Protocol
imsp
Interactive Mail Support Protocol
inbusiness
inbusiness
infoseek
InfoSeek
ingres-net
INGRES-NET Service
intecourier
intecourier
integra-sme
Integra Software Management Environment
intrinsa
intrinsa
ipcd
ipcd
ipcomp
IP Payload Compression Protocol
ipcserver
Sun IPC server
IV - 65
Doc.DM752
Rev.10.91
ipcv
Internet Packet Core Utility
ipdd
ipdd
ipinip
IP in IP
ipip
IP-within-IP Encapsulation Protocol
iplt
IPLT
ipp
Internet Printing Protocol
ippc
Internet Pluribus Packet Core
ipsec
IP Encapsulating Security Payload - Authentication-Header
ipv6-frag
Fragment Header for IPv6
ipv6-icmp
ICMP for IPv6
ipv6-nonxt
No Next Header for IPv6
ipv6-opts
Destination Options for IPv6
ipv6-route
Routing Header for IPv6
ipv6inip
Ipv6 encapsulated
ipx
Internet Packet Exchange
ipx-in-ip
IPX in IP
irc
Internet Relay Chat
irc-serv
IRC-SERV
irtp
Internet Reliable Transaction
is99c
TIA/EIA/IS-99 modem client
is99s
TIA/EIA/IS-99 modem server
isakmp
Internet Security Association & Key Management Protocol
isi-gl
Interoperable Self Installation Graphics Language
isis
ISIS over IPv4
iso-ill
ISO ILL Protocol
iso-ip
iso-ip
iso-tp0
iso-tp0
iso-tp4
iso-tp4
iso-tsap
ISO-TSAP Class 0
iso-tsap-c2
ISO Transport Class 2 Non-Control
itm-mcell-s
itm-mcell-s
jargon
Jargon
Konspire2b
konspire2b p2p network
k-block
k-block
kali
kali
kerberos
Kerberos Network Authentication Service
keyserver
Key Server
kis
KIS Protocol
klogin
KLogin
knet-cmp
KNET/VM Command/Message Protocol
kpasswd
kpasswd
kryptolan
kryptolan
kshell
KShell
l2tp
L2F/L2TP Tunnel
la-maint
IMP Logical Address Maintenance
lanserver
lanserver
larp
Locus Address Resolution Protocol
ldap
Lightweight Directory Access Protocol
IV - 66
Doc.DM752
Rev.10.91
ldp
LDP
leaf-1
Leaf-1
leaf-2
Leaf-2
legent-1
Legent Corporation
legent-2
Legent Corporation
ljk-login
ljk-login
lockd
LockD
locus-con
Locus PC-Interface Conn Server
locus-map
Locus PC-Interface Net Map Ser
mac-srvr-admin
MacOS Server Admin
magenta-logic
magenta-logic
mailbox-lm
mailbox-lm
mailq
MAILQ
maitrd
maitrd
manet
MANET Protocols
mapi
Messaging Application Programming Interface
masqdialer
masqdialer
matip-type-a
MATIP Type A
matip-type-b
MATIP Type B
mcidas
McIDAS Data Transmission Protocol
mcns-sec
mcns-sec
mdc-portmapper
mdc-portmapper
mecomm
mecomm
meregister
meregister
merit-inp
MERIT Internodal Protocol
meta5
meta5
metagram
metagram
meter
meter
mfcobol
Micro Focus Cobol
mfe-nsp
MFE Network Services Protocol
mftp
mftp
mgcp
Media Gateway Control Protocol
micom-pfs
micom-pfs
micp
Mobile Internetworking Control Pro.
micromuse-lm
micromuse-lm
microsoftds
Microsoft Directory Services
mit-dov
MIT Dover Spooler
mit-ml-dev
MIT ML Device
mobile
IP Mobility
mobileip-agent
mobileip-agent
mobilip-mn
mobilip-mn
mondex
mondex
monitor
monitor
mortgageware
mortgageware
mpls-in-ip
MPLS-in-IP
mpm
Message Processing Module
mpm-flags
MPM FLAGS Protocol
mpm-snd
MPM [default send]
mpp
Netix Message Posting Protocol
IV - 67
Doc.DM752
Rev.10.91
mptn
Multi Protocol Trans. Net
mrm
mrm
ms-olap
Microsoft OLAP
ms-rome
microsoft rome
ms-shuttle
microsoft shuttle
ms-sql-m
Microsoft-SQL-Monitor
msdp
msdp
msexch-routing
MS Exchange Routing
msft-gc
Microsoft Global Catalog
msft-gc-ssl
Microsoft Global Catalog with LDAP/SSL
msg-auth
msg-auth
msg-icp
msg-icp
msn-messenger
MSN Messenger Chat Messages
msnp
msnp
msp
Message Send Protocol
mtp
Multicast Transport Protocol
multiling-http
Multiling HTTP
multiplex
Network Innovations Multiplex
mumps
Plus Fives MUMPS
mux
Multiplexing
mylex-mapd
mylex-mapd
mysql
MySQL
name
Host Name Server
namp
namp
narp
NBMA Address Resolution Protocol
nas
Netnews Administration System
nced
nced
ncld
ncld
ncp
NCP
ndsauth
NDSAUTH
nest-protocol
nest-protocol
net-assistant
net-assistant
net8-cman
Oracle Net8 CMan Admin
netbios
NetBIOS over IP (MS Windows)
netblt
Bulk Data Transfer Protocol
netgw
netgw
netnews
readnews
netrcs
Network based RCS
netrjs-1
Remote Job Service
netrjs-2
Remote Job Service
netrjs-3
Remote Job Service
netrjs-4
Remote Job Service
netsc-dev
NETSC
netsc-prod
NETSC
netviewdm1
IBM NetView DM
netviewdm2
IBM NetView DM
netviewdm3
IBM NetView DM
netwall
for emergency broadcasts
netware-ip
Novell Netware over IP
IV - 68
Doc.DM752
Rev.10.91
new-rwho
new who
nextstep
NextStep Window Server
nfs
Network File System
ni-ftp
NI FTP
ni-mail
NI MAIL
nicname
Who Is
nlogin
nlogin
nmap
nmap
nmsp
Networked Media Streaming Protocol
nnsp
nnsp
nntp
Network News Transfer Protocol
notes
Lotus Notes(R)
novadigm
Novadigm Enterprise Desktop Manager (EDM)
novastorbakcup
Novastor Backup
npmp-gui
npmp-gui
npmp-local
npmp-local
npmp-trap
npmp-trap
npp
Network Payment Protocol
nqs
nqs
ns
ns
nsfnet-igp
NSFNET-IGP
nsiiops
IIOP Name Service over TLS/SSL
nsrmp
Network Security Risk Management Protocol
nss-routing
NSS-Routing
nsw-fe
NSW User System FE
ntalk
ntalk
ntp
Network Time Protocol
nvp-ii
Network Voice Protocol
nxedit
nxedit
obex
obex
objcall
Tivoli Object Dispatcher
ocbinder
ocbinder
ocserver
ocserver
ocs_amu
ocs_amu
ocs_cmu
ocs_cmu
odmr
odmr
ohimsrv
ohimsrv
olsr
olsr
omginitialrefs
omginitialrefs
omserv
omserv
onmux
onmux
opalis-rdv
opalis-rdv
opalis-robot
opalis-robot
opc-job-start
IBM Operations Planning and Control Start
opc-job-track
IBM Operations Planning and Control Track
openport
openport
openvms-sysipc
openvms-sysipc
ora-srv
Oracle TCP/IP Listener
oraclenames
oraclenames
IV - 69
Doc.DM752
Rev.10.91
oraclenet8cman
Oracle Net8 Cman
orbix-config
Orbix 2000 Config
orbix-loc-ssl
Orbix 2000 Locator SSL
orbix-locator
Orbix 2000 Locator
ospf
Open Shortest Path First
osu-nms
OSU Network Monitoring System
p++
parsec-game
Parsec Gameserver
passgo
passgo
passgo-tivoli
passgo-tivoli
password-chg
Password Change
pawserv
Perf Analysis Workbench
pcanywhere
Symantic PCAnywhere
pcmail-srv
PCMail Server
pdap
Prospero Data Access Protocol
peer2peer
Match peer to peer traffic
personal-link
personal-link
pftp
pftp
pgm
PGM Reliable Transport Protocol
philips-vc
Philips Video-Conferencing
phonebook
Phone
photuris
photuris
pim
pim-rp-disc
PIM-RP-DISC
pip
pip
pipe
Private IP Encapsulation within IP
pirp
pirp
pkix-3-ca-ra
PKIX-3 CA/RA
pkix-timestamp
pkix-timestamp
pnni
PNNI over IP
pop2
Post Office Protocol - Version 2
pop3
Post Office Protocol
pov-ray
pov-ray
powerburst
Air Soft Power Burst
pptp
Microsoft Point-to-Point Tunneling Protocol for VPN
print-srv
Network PostScript
printer
Printer
prm
Packet Radio Measurement
prm-nm
Prospero Resource Manager Node Man
prm-sm
Prospero Resource Manager Sys. Man
profile
PROFILE Naming System
prospero
Prospero Directory Service
ptcnameservice
PTC Name Service
ptp
Performance Transparency Protocol
ptp-event
PTP Event
ptp-general
PTP General
pump
pump
pup
PUP
purenoise
purenoise
IV - 70
Doc.DM752
Rev.10.91
pvp
Packet Video Protocol
pwdgen
Password Generator Protocol
qbikgdp
qbikgdp
qft
Queued File Transport
qmqp
qmqp
qmtp
The Quick Mail Transfer Protocol
qnx
QNX
qotd
Quote of the Day
qrh
qrh
quotad
quotad
rap
Route Access Protocol
rcp
Rate Control Protocol
rda
rda
rdb-dbs-disp
Oracle Remote Data Base
rdp
Reliable Data Protocol
re-mail-ck
Remote Mail Checking Protocol
realm-rusd
ApplianceWare managment protocol
remote-kis
remote-kis
remotefs
rfs server
repcmd
repcmd
repscmd
repscmd
rescap
rescap
rip
Routing Information Protocol
ripng
ripng
ris
Intergraph
ris-cm
Russell Info Sci Calendar Manager
rje
Remote Job Entry
rlp
Resource Location Protocol
rlzdbase
rlzdbase
rmc
rmc
rmiactivation
rmiactivation
rmiregistry
rmiregistry
rmonitor
rmonitord
rmt
Remote MT Protocol
rpc2portmap
rpc2portmap
rrh
rrh
rrp
Registry Registrar Protocol
rsh-spx
Berkeley rshd with SPX auth
rsvd
rsvd
rsvp
Resource Reservation Protocol
rsvp-e2e-ignore
RSVP-E2E-IGNORE
rsvp-e2e-ignore
RSVP-E2E-IGNORE
rsvp_tunnel
rsvp_tunnel
rsync
rsync
rtelnet
Remote Telnet Service
rtip
rtip
rtsps
RTSPS
rushd
rushd
rvd
MIT Remote Virtual Disk Protocol
IV - 71
Doc.DM752
Rev.10.91
rxe
rxe
s-net
Sirius Systems
saft
saft Simple Asynchronous File Transfer
sanity
sanity
sap
System Analysis and Program Development
sat-expak
sat-expak
sat-mon
SATNET Monitoring
sat-mon
SATNET Monitoring
scc-security
scc-security
scc-sp
scc-sp
sco-dtmgr
SCO Desktop Administration Server
sco-inetmgr
Internet Configuration Manager
sco-sysmgr
SCO System Administration Server
sco-websrvrmg3
SCO Web Server Manager 3
sco-websrvrmgr
SCO WebServer Manager
scohelp
scohelp
scoi2odialog
scoi2odialog
scps
SCPS
sctp
Stream Control Transmission Protocol
scx-proxy
scx-proxy
sdnskmp
SDNSKMP
sdrp
Source Demand Routing Protocol
secure-ftp
Secure FTP
secure-http
Secure HTTP
secure-imap
Secure IMAP
secure-irc
irc protocol over TLS
secure-ldap
ldap protocol over TLS
secure-nntp
nntp protocol over TLS
secure-pop3
pop3 protocol over TLS
secure-telnet
Secure Telnet
secure-vmtp
SECURE-VMTP
semantix
semantix
send
SEND
server-ipx
Internetwork Packet Exchange Protocol
servstat
Service Status update
set
Secure Electronic Transaction
sfs-config
Cray SFS config server
sfs-smp-net
Cray Network Semaphore server
sftp
Simple File Transfer Protocol
sgcp
sgcp
sgmp
sgmp
sgmp-traps
sgmp-traps
shockwave
Shockwave
shrinkwrap
shrinkwrap
siam
siam
sift-uft
Sender-Initiated/Unsolicited File Transfer
silc
silc
IV - 72
Doc.DM752
Rev.10.91
sip
Session Initiation Protocol
sitaradir
sitaradir
sitaramgmt
sitaramgmt
sitaraserver
sitaraserver
skinny
Skinny Client Control Protocol
skip
SKIP
skronk
skronk
sm
SM
smakynet
smakynet
smartsdp
smartsdp
smp
Simple Message Protocol
smpnameres
smpnameres
smsd
smsd
smsp
Storage Management Services Protocol
smtp
Simple Mail Transfer Protocol
smux
SMUX
snagas
SNA Gateway Access Server
snare
snare
snmp
Simple Network Management Protocol
snp
Sitara Networks Protocol
snpp
Simple Network Paging Protocol
sntp-heartbeat
SNTP HEARTBEAT
socks
Firewall Security Protocol
softpc
Insignia Solutions
sonar
sonar
spmp
spmp
sprite-rpc
Sprite RPC Protocol
sps
Secure Packet Shield
spsc
spsc
sql*net
Oracle SQL*NET
sql-net
SQL-NET
sqlexec
SQL Exec
sqlnet
SQL*NET for Oracle
sqlserv
SQL Services
sqlserver
Microsoft SQL Server Desktop Videoconferencing
src
IBM System Resource Controller
srmp
Spider Remote Monitoring Protocol
srp
SpectraLink Radio Protocol
srssend
srssend
ss7ns
ss7ns
sscopmce
SSCOPMCE
ssh
Secured Shell
sshell
SSLshell
sst
SCSI on ST
st
Stream
statsrv
Statistics Service
stmf
stmf
stp
Schedule Transfer Protocol
streettalk
streettalk
IV - 73
Doc.DM752
Rev.10.91
stun-nat
STUN
stx
Stock IXChange
su-mit-tg
SU/MIT Telnet Gateway
submission
submission
subntbcst_tftp
subntbcst_tftp
sun-dr
sun-dr
sun-nd
SUN ND PROTOCOL-Temporary
supdup
SUPDUP
sur-meas
Survey Measurement
surf
surf
svrloc
Server Location
swift-rvf
Swift Remote Virtural File Protocol
swipe
IP with Encryption
synoptics-trap
Trap Convention Port
synotics-broker
SynOptics Port Broker Port
synotics-relay
SynOptics SNMP Relay Port
syslog
System Logging Utility
systat
System Statistics
tacacs
Terminal Access Controller Access-Control System
tacnews
TAC News
talk
talk
tcf
TCF
tcp
Transmission Control Protocol
td-replica
Tobit David Replica
td-service
Tobit David Service Layer
teedtap
teedtap
tell
send
telnet
Telnet Protocol
tempo
newdate
tenfold
tenfold
texar
Texar Security Port
ticf-1
Transport Independent Convergence for FNA
ticf-2
Transport Independent Convergence for FNA
timbuktu
Timbuktu
time
Time
timed
timeserver
tinc
tinc
tlisrv
oracle
tlsp
Transport Layer Security Protocol
tn-tl-fd1
tn-tl-fd1
tnETOS
NEC Corporation
tns-cml
tns-cml
tp++
tpip
tpip
trunk-1
Trunk-1
trunk-2
Trunk-2
tserver
Computer Supported Telecomunication Applications
ttp
TTP
uaac
UAAC Protocol
IV - 74
Doc.DM752
Rev.10.91
uarps
Unisys ARPs
udp
User Datagram Protocol
udplite
UDPLite
uis
uis
ulistproc
List Processor
ulp
ulp
ulpnet
ulpnet
unidata-ldm
Unidata LDM
unify
Unify
ups
Uninterruptible Power Supply
urm
Cray Unified Resource Manager
uti
UTI
utime
unixtime
utmpcd
utmpcd
utmpsd
utmpsd
uucp
uucpd
uucp-path
UUCP Path Service
uucp-rlogin
uucp-rlogin
uuidgen
UUIDGEN
vacdsm-app
VACDSM-APP
vacdsm-sws
VACDSM-SWS
vatp
Velazquez Application Transfer Protocol
vemmi
vemmi
vid
vid
videotex
videotex
visa
VISA Protocol
vmnet
vmnet
vmpwscs
vmpwscs
vmtp
VMTP
vnas
vnas
vnc
Virtual Network Computing
vpp
Virtual Presence Protocol
vpps-qua
vpps-qua
vpps-via
vpps-via
vrrp
Virtual Router Redundancy Protocol
vsinet
vsinet
vslmp
vslmp
wap-push
WAP PUSH
wap-push-http
WAP Push OTA-HTTP port
wap-push-https
WAP Push OTA-HTTP secure
wap-pushsecure
WAP PUSH SECURE
wap-vcal
WAP vCal
wap-vcal-s
WAP vCal Secure
wap-vcard
WAP vCard
wap-vcard-s
WAP vCard Secure
wap-wsp
WAP connectionless session service
wap-wsp-s
WAP secure connectionless session service
wap-wsp-wtp
WAP session service
wap-wsp-wtp-s
WAP secure session service
IV - 75
Doc.DM752
Rev.10.91
wb-expak
WIDEBAND EXPAK
wb-expak
WIDEBAND EXPAK
wb-mon
WIDEBAND Monitoring
webster
webster
whoami
whoami
whois++
Whois++
winmx
WinMX Traffic
worldfusion
World Fusion
wpgs
wpgs
wsn
Wang Span Network
x-bone-ctl
Xbone CTL
xact-backup
xact-backup
xdmcp
X Display Manager Control Protocol
xdtp
eXtensible Data Transfer Protocol
xfer
XFER Utility
xnet
Cross Net Debugger
xns-auth
XNS Authentication
xns-ch
XNS Clearinghouse
xns-courier
Xerox
xns-idp
XEROX NS IDP
xns-mail
XNS mail
xns-time
XNS Time Protocol
xtp
XTP
xvttp
xvttp
xwindows
X11, X Windows
xyplex-mux
Xyplex
yahoo-messenger
Yahoo Messenger Chat Messages
z39.50
ANSI Z39.50
zannet
zannet
zserv
Zebra server
IV - 76
Doc.DM752
Rev.10.91

Router Teldat Control de Acceso

Transcripción

Documentos relacionados

un mundo de acceso - Access Technologies International

Riverside Middle School (RIV) After-School Program

Diseño de Accesorios 06

25€ 15€ 20€ 10 - EuropeanWorld