Configuración de ACL Estándar IPv4

Configuración de ACL Estándar para IPv4
5

Resumen

Aprende a configurar listas ACL estándar para IPv4 para filtrar el tráfico y así cumplir con los requisitos de red. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!

¡Bienvenido!: Este tema forma parte del Módulo 5 del curso de Cisco CCNA 3, para un mejor seguimiento del curso puede ir a la sección CCNA 3 para guiarte del índice.

1. Crear una ACL

En el módulo anterior, aprendiste acerca de lo que hace una ACL y por qué es importante. En este tema, aprenderás a crear ACL.

Todas las listas de control de acceso (ACL) deben ser planificadas. Sin embargo, esto es especialmente cierto para las ACL que requieren múltiples entradas de control de acceso (ACEs).

Al configurar una ACL compleja, se sugiere que:

  • Utilizar un editor de texto y escribir los detalles de la política que se va a implementar.
  • Agregar los comandos de configuración del IOS para realizar esas tareas.
  • Incluir comentarios para documentar la ACL.
  • Copiar y pegar los comandos en el dispositivo.
  • Siempre probar a fondo una ACL para asegurarte de que aplicas correctamente la política deseada.

Estas recomendaciones te permiten crear la ACL cuidadosamente sin afectar el tráfico de la red.

2. Sintaxis de ACL Estándar Numerada para IPv4

Para crear una ACL estándar numerada, utiliza el siguiente comando de configuración global:

Router(config)# access-list access-list-number {deny | permit | remark text} source [source-wildcard] [log]

Utiliza el comando de configuración global no access-list access-list-number para eliminar una ACL estándar numerada.

La tabla proporciona una explicación detallada de la sintaxis de una ACL estándar.

ParámetroDescripción
access-list-number
  • Este es el número decimal de la ACL.
  • El rango estándar del número de la ACL es de 1 a 99 o de 1300 a 1999.
deny
Esto niega el acceso si la condición coincide.
permit
Esto permite el acceso si la condición coincide.
remark text
  • (Opcional) Esto agrega una entrada de texto para fines de documentación.
  • El texto de cada comentario tiene un límite de 100 caracteres.
source
  • Esto identifica la red de origen o la dirección de host que se va a filtrar.
  • Utiliza la palabra clave any para especificar todas las redes.
  • Utiliza la palabra clave host ip-address o simplemente ingrese una dirección IP (sin el host ) para identificar una dirección IP específica.
source-wildcard
((Opcional) Máscara wildcard de 32 bits para aplicar al source. Si se omite, se asume una máscara 0.0.0.0 predeterminada.
log
  • (Opcional) Esta palabra clave genera y envía un mensaje informativo cada vez que el ACE se hace coincidir.
  • El mensaje incluye el número de la ACL, la condición de coincidencia (es decir, permitida o denegada), la dirección de origen y el número de paquetes.
  • Este mensaje se genera para el primer paquete coincidente.
  • Esta palabra clave sólo debe implementarse por razones de seguridad o de solución de problemas.

3. Sintaxis de ACL Estándar Nombrada para IPv4


La asignación de nombres a las ACL hace más fácil comprender su función. Para crear una ACL estándar con nombre, utiliza el siguiente comando de configuración global:

Router(config)# ip access-list standard access-list-name

Este comando entra en el modo de configuración estándar con nombre en el que se configuran las ACE del ACL.

Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de minúsculas y deben ser únicos. No es necesario que los nombres de las ACL comiencen con mayúscula, pero esto los hace destacarse cuando se observa el resultado de show running-config. También hace que sea menos probable que cree accidentalmente dos ACL diferentes con el mismo nombre pero con distinto uso de mayúsculas.

Nota: Utiliza el comando de configuración global no ip access-list standard access-list-name para eliminar una ACL IPv4 estándar nombrada.

En el ejemplo, se crea una ACL estándar para IPv4 llamada NO-ACCESS. Observa que el indicador cambia al modo de configuración de ACL estándar con nombre. Las sentencias ACE se introducen en el modo de subconfiguración ACL estándar con nombre. Utiliza la función de ayuda para ver todas las opciones de ACE ACL estándar con nombre.

Las tres opciones resaltadas se configuran de forma similar a la ACL estándar numerada. A diferencia del método ACL numerado, no es necesario repetir el comando ip access-list inicial para cada ACE.

R1(config)# ip access-list standard NO-ACCESS
R1(config-std-nacl)# ?
Standard Access List configuration commands:
  <1-2147483647>  Sequence Number
  default         Set a command to its defaults
  deny            Specify packets to reject
  exit            Exit from access-list configuration mode
  no              Negate a command or set its defaults
  permit          Specify packets to forward
  remark          Access list entry comment
R1(config-std-nacl)#

4. Aplicación de una ACL Estándar para IPv4

Después de configurar una ACL estándar para IPv4, debe vincularse a una interfaz o función. El siguiente comando se puede utilizar para enlazar una ACL estándar para IPv4 numerada o nombrada a una interfaz:

Router(config-if) # ip access-group {access-list-number | access-list-name} {in | out}

Para eliminar una ACL de una interfaz, primero introduce el comando de configuración de interfaz no ip access-group. Sin embargo, la ACL seguirá configurada en el router. Para eliminar la ACL del router, usa el comando de configuración global no access-list.

5. Ejemplo de ACL Estándar Numerada para IPv4

La topología de la figura se utilizará para demostrar la configuración y aplicación de ACL estándar para IPv4 numeradas y nombradas a una interfaz. Este primer ejemplo muestra una implementación de ACL estándar numerada para IPv4.

Topología Ejemplo ACL estándar IPv4

Topología Ejemplo ACL estándar IPv4

Supongamos que solo PC1 está permitido salir a Internet. Para habilitar esta directiva, se podría aplicar una ACE de ACL estándar saliente en S0/1/0, como se muestra en la figura.

R1(config)# access-list 10 remark ACE permits ONLY host 192.168.10.10 to the internet
R1(config)# access-list 10 permit host 192.168.10.10
R1(config)# do show access-lists
Standard IP access list 10
   10 permit 192.168.10.10
R1(config)#

Observa que la salida del comando show access-lists no muestra las declaraciones de remark. Los comentarios de ACL se muestran en el archivo de configuración en ejecución. Aunque el comando remark no es necesario para activar la ACL, se recomienda encarecidamente para fines de documentación.

Ahora asume que una nueva política de red establece que los hosts de la LAN 2 también deben estar permitidos en Internet. Para habilitar esta política, se podría agregar un segundo ACE de ACL estándar a la ACL 10, como se muestra en la salida.

R1(config)# access-list 10 remark ACE permits all host in LAN 2
R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255
R1(config)# do show access-lists
Standard IP access list 10
    10 permit 192.168.10.10
    20 permit 192.168.20.0, wildcard bits 0.0.0.255
R1(config)#

Aplica la ACL 10 de salida en la interfaz Serial 0/1/0.

R1(config)# interface Serial 0/1/0
R1(config-if)# ip access-group 10 out
R1(config-if)# end
R1#

La política resultante de ACL 10 sólo permitirá al host 192.168.10.10 y a todos los hosts de la LAN 2 salir de la interfaz Serial 0/1/0. Todos los demás hosts de la red 192.168.10.0 no serán permitidos a la Internet.

Utiliza el comando show running-config para revisar la ACL en la configuración, como se muestra en el ejemplo.

R1# show run | section access-list
access-list 10 remark ACE permits host 192.168.10.10
access-list 10 permit 192.168.10.10
access-list 10 remark ACE permits all host in LAN 2
access-list 10 permit 192.168.20.0 0.0.0.255
R1#

Observa cómo también se muestran las instrucciones remarks.

Por último, utiliza el comando show ip interface para verificar si una interfaz tiene una ACL aplicada. En el resultado de ejemplo, se observa específicamente la interfaz Serial 0/1/0 para las líneas que incluyen el texto «access list».

R1# show ip int Serial 0/1/0 | include access list
  Outgoing Common access list is not set
  Outgoing access list is 10
  Inbound Common access list is not set
  Inbound  access list is not set
R1#

6. Ejemplo de ACL Estándar Nombrada para IPv4

Este segundo ejemplo muestra una implementación de ACL estándar para IPv4 con nombre. La topología se repite en la figura para tu conveniencia.

Topología Ejemplo ACL estándar IPv4

Topología Ejemplo ACL estándar IPv4

Supongamos que sólo PC1 tiene permitido salir a Internet. Para habilitar esta política, una ACL estándar llamado PERMIT-ACCESS podría aplicarse a la salida en S0/1/0.

Elimina el ACL 10 previamente configurado y crea un ACL estándar llamado PERMIT-ACCESS, como se muestra aquí.

R1(config)# no access-list 10
R1(config)# ip access-list standard PERMIT-ACCESS
R1(config-std-nacl)# remark ACE permits host 192.168.10.10
R1(config-std-nacl)# permit host 192.168.10.10
R1(config-std-nacl)#

Ahora agrega un ACE que permita sólo el host 192.168.10.10 y otro ACE que permita todos los hosts LAN 2 a la Internet.

R1(config-std-nacl)# remark ACE permits host 192.168.10.10
R1(config-std-nacl)# permit host 192.168.10.10
R1(config-std-nacl)# remark ACE permits all hosts in LAN 2
R1(config-std-nacl)# permit 192.168.20.0 0.0.0.255
R1(config-std-nacl)# exit
R1(config)#

Aplica el nuevo nombre de ACL de salida a la interfaz de la serie 0/1/0.

R1(config)# interface Serial 0/1/0
R1(config-if)# ip access-group PERMIT-ACCESS out
R1(config-if)# end
R1#

Utiliza los comandos show access-lists y show running-config para revisar la ACL en la configuración, como se muestra en la salida.

R1# show access-lists
Standard IP access list PERMIT-ACCESS
    10 permit 192.168.10.10
    20 permit 192.168.20.0, wildcard bits 0.0.0.255
R1# show run | section ip access-list
ip access-list standard PERMIT-ACCESS
 remark ACE permits host 192.168.10.10
 permit 192.168.10.10
 remark ACE permits all hosts in LAN 2
 permit 192.168.20.0 0.0.0.255
R1#

Por último, utiliza el comando show ip interface para verificar si una interfaz tiene una ACL aplicada. En el resultado de ejemplo, se observa específicamente la interfaz Serial 0/1/0 para las líneas que incluyen texto de «access list».

R1# show ip int Serial 0/1/0 | include access list
  Outgoing Common access list is not set
  Outgoing access list is PERMIT-ACCESS
  Inbound Common access list is not set
  Inbound  access list is not set
R1#

7. Comprobación de Sintaxis – Configurar ACL Estándar para IPv4

Configura una ACL numerada y nombrada en R1.

Configurar ACL Estándar para IPv4

Configurar ACL Estándar para IPv4

Crearás una ACL numerada que deniega el host 192.168.10.10, pero permite todos los demás hosts de la LAN 1. Comienza configurando la ACE ACL 20 que deniega el host 192.168.10.10 usando la palabra clave del host.

R1(config)#access-list 20 deny host 192.168.10.10

Crea un segundo ACE ACL 20 numerado que permita a todos los demás hosts de la LAN 1 en la red 192.168.10.0/24.

R1(config)#access-list 20 permit 192.168.10.0 0.0.0.255

Debido a que las políticas del ACL 20 sólo se aplican al tráfico de la LAN 1, el ACL se aplicaría mejor a la interfaz G0/0/0 R1. Entra en el modo de interfaz g0/0/0, aplica la ACL 20 de entrada y vuelve al modo de configuración global. Asegúrate de usar g0/0/0 como designación de la interfaz.

R1(config)#interface g0/0/0
R1(config-if)#ip access-group 20 in
R1(config-if)#exit

Ahora crearás un ACL estándar nombrado que permite al host 192.168.10.10, pero niega a todos los demás hosts el acceso a LAN 2. Empieza configurando una ACL estándar con nombre llamada LAN2-FILTER.

R1(config)#ip access-list standard LAN2-FILTER

Crear un ACE que permita al host 192.168.10.10 usando la palabra clave host.

R1(config-std-nacl)#permit host 192.168.10.10

Denegar a todos los demás hosts usando la palabra clave any y regresa al modo de configuración global.

R1(config-std-nacl)#deny any
R1(config-std-nacl)#exit

El LAN2-FILTER se aplicaría mejor a la salida de la LAN 2. Ingresa al modo de interfaz g0/0/1, aplica el ACL LAN2-FILTER saliente y vuelve al modo de configuración global. Asegúrate de usar g0/0/1 como designación de la interfaz.

R1(config)#interface g0/0/1
R1(config-if)#ip access-group LAN2-FILTER out
R1(config-if)#exit

Ha configurado con éxito las ACLs estándar numeradas y nombradas IPv4 en R1.

8. Packet Tracer – Configurar ACL Estándar Numerada IPv4

Las listas de control de acceso (ACL) estándar son scripts de configuración del router que controlan si un router permite o deniega paquetes según la dirección de origen. Esta actividad se concentra en definir criterios de filtrado, configurar ACL estándar, aplicar ACL a interfaces de router y verificar y evaluar la implementación de la ACL. Los routers ya están configurados, lo que incluye direcciones IPv4 y enrutamiento EIGRP.

9. Packet Tracer – Configurar ACL Estándar Nombrada IPv4

El administrador de red ejecutivo te ha solicitado que crees una ACL estándar con nombre para impedir el acceso a un servidor de archivos. Se debe denegar el acceso de todos los clientes de una red y de una estación de trabajo específica de una red diferente.

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.

Deja un Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

50% OFF POR BLACK FRIDAYCUPÓN: BLACKFRIDAY