Configuración de ACL Estándar para IPv4
Resumen
Aprende a configurar listas ACL estándar para IPv4 para filtrar el tráfico y así cumplir con los requisitos de red. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 5 del curso de Cisco CCNA 3, para un mejor seguimiento del curso puede ir a la sección CCNA 3 para guiarte del índice.
Tabla de Contenido
1. Crear una ACL
En el módulo anterior, aprendiste acerca de lo que hace una ACL y por qué es importante. En este tema, aprenderás a crear ACL.
Todas las listas de control de acceso (ACL) deben ser planificadas. Sin embargo, esto es especialmente cierto para las ACL que requieren múltiples entradas de control de acceso (ACEs).
Al configurar una ACL compleja, se sugiere que:
- Utilizar un editor de texto y escribir los detalles de la política que se va a implementar.
- Agregar los comandos de configuración del IOS para realizar esas tareas.
- Incluir comentarios para documentar la ACL.
- Copiar y pegar los comandos en el dispositivo.
- Siempre probar a fondo una ACL para asegurarte de que aplicas correctamente la política deseada.
Estas recomendaciones te permiten crear la ACL cuidadosamente sin afectar el tráfico de la red.
2. Sintaxis de ACL Estándar Numerada para IPv4
Para crear una ACL estándar numerada, utiliza el siguiente comando de configuración global:
Router(config)# access-list access-list-number {deny | permit | remark text} source [source-wildcard] [log]
Utiliza el comando de configuración global no access-list access-list-number para eliminar una ACL estándar numerada.
La tabla proporciona una explicación detallada de la sintaxis de una ACL estándar.
| Parámetro | Descripción |
|---|---|
access-list-number |
|
deny |
Esto niega el acceso si la condición coincide. |
permit |
Esto permite el acceso si la condición coincide. |
remark text |
|
source |
|
source-wildcard |
((Opcional) Máscara wildcard de 32 bits para aplicar al source. Si se omite, se asume una máscara 0.0.0.0 predeterminada. |
log |
|
3. Sintaxis de ACL Estándar Nombrada para IPv4
La asignación de nombres a las ACL hace más fácil comprender su función. Para crear una ACL estándar con nombre, utiliza el siguiente comando de configuración global:
Router(config)# ip access-list standard access-list-name
Este comando entra en el modo de configuración estándar con nombre en el que se configuran las ACE del ACL.
Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de minúsculas y deben ser únicos. No es necesario que los nombres de las ACL comiencen con mayúscula, pero esto los hace destacarse cuando se observa el resultado de show running-config. También hace que sea menos probable que cree accidentalmente dos ACL diferentes con el mismo nombre pero con distinto uso de mayúsculas.
Nota: Utiliza el comando de configuración global no ip access-list standard access-list-name para eliminar una ACL IPv4 estándar nombrada.
En el ejemplo, se crea una ACL estándar para IPv4 llamada NO-ACCESS. Observa que el indicador cambia al modo de configuración de ACL estándar con nombre. Las sentencias ACE se introducen en el modo de subconfiguración ACL estándar con nombre. Utiliza la función de ayuda para ver todas las opciones de ACE ACL estándar con nombre.
Las tres opciones resaltadas se configuran de forma similar a la ACL estándar numerada. A diferencia del método ACL numerado, no es necesario repetir el comando ip access-list inicial para cada ACE.
R1(config)# ip access-list standard NO-ACCESS R1(config-std-nacl)# ? Standard Access List configuration commands: <1-2147483647> Sequence Number default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment R1(config-std-nacl)#
4. Aplicación de una ACL Estándar para IPv4
Después de configurar una ACL estándar para IPv4, debe vincularse a una interfaz o función. El siguiente comando se puede utilizar para enlazar una ACL estándar para IPv4 numerada o nombrada a una interfaz:
Router(config-if) # ip access-group {access-list-number | access-list-name} {in | out}
Para eliminar una ACL de una interfaz, primero introduce el comando de configuración de interfaz no ip access-group. Sin embargo, la ACL seguirá configurada en el router. Para eliminar la ACL del router, usa el comando de configuración global no access-list.
5. Ejemplo de ACL Estándar Numerada para IPv4
La topología de la figura se utilizará para demostrar la configuración y aplicación de ACL estándar para IPv4 numeradas y nombradas a una interfaz. Este primer ejemplo muestra una implementación de ACL estándar numerada para IPv4.
Supongamos que solo PC1 está permitido salir a Internet. Para habilitar esta directiva, se podría aplicar una ACE de ACL estándar saliente en S0/1/0, como se muestra en la figura.
R1(config)# access-list 10 remark ACE permits ONLY host 192.168.10.10 to the internet R1(config)# access-list 10 permit host 192.168.10.10 R1(config)# do show access-lists Standard IP access list 10 10 permit 192.168.10.10 R1(config)#
Observa que la salida del comando show access-lists no muestra las declaraciones de remark. Los comentarios de ACL se muestran en el archivo de configuración en ejecución. Aunque el comando remark no es necesario para activar la ACL, se recomienda encarecidamente para fines de documentación.
Ahora asume que una nueva política de red establece que los hosts de la LAN 2 también deben estar permitidos en Internet. Para habilitar esta política, se podría agregar un segundo ACE de ACL estándar a la ACL 10, como se muestra en la salida.
R1(config)# access-list 10 remark ACE permits all host in LAN 2
R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255
R1(config)# do show access-lists
Standard IP access list 10
10 permit 192.168.10.10
20 permit 192.168.20.0, wildcard bits 0.0.0.255
R1(config)#
Aplica la ACL 10 de salida en la interfaz Serial 0/1/0.
R1(config)# interface Serial 0/1/0 R1(config-if)# ip access-group 10 out R1(config-if)# end R1#
La política resultante de ACL 10 sólo permitirá al host 192.168.10.10 y a todos los hosts de la LAN 2 salir de la interfaz Serial 0/1/0. Todos los demás hosts de la red 192.168.10.0 no serán permitidos a la Internet.
Utiliza el comando show running-config para revisar la ACL en la configuración, como se muestra en el ejemplo.
R1# show run | section access-list access-list 10 remark ACE permits host 192.168.10.10 access-list 10 permit 192.168.10.10 access-list 10 remark ACE permits all host in LAN 2 access-list 10 permit 192.168.20.0 0.0.0.255 R1#
Observa cómo también se muestran las instrucciones remarks.
Por último, utiliza el comando show ip interface para verificar si una interfaz tiene una ACL aplicada. En el resultado de ejemplo, se observa específicamente la interfaz Serial 0/1/0 para las líneas que incluyen el texto «access list».
R1# show ip int Serial 0/1/0 | include access list Outgoing Common access list is not set Outgoing access list is 10 Inbound Common access list is not set Inbound access list is not set R1#
6. Ejemplo de ACL Estándar Nombrada para IPv4
Este segundo ejemplo muestra una implementación de ACL estándar para IPv4 con nombre. La topología se repite en la figura para tu conveniencia.
Supongamos que sólo PC1 tiene permitido salir a Internet. Para habilitar esta política, una ACL estándar llamado PERMIT-ACCESS podría aplicarse a la salida en S0/1/0.
Elimina el ACL 10 previamente configurado y crea un ACL estándar llamado PERMIT-ACCESS, como se muestra aquí.
R1(config)# no access-list 10 R1(config)# ip access-list standard PERMIT-ACCESS R1(config-std-nacl)# remark ACE permits host 192.168.10.10 R1(config-std-nacl)# permit host 192.168.10.10 R1(config-std-nacl)#
Ahora agrega un ACE que permita sólo el host 192.168.10.10 y otro ACE que permita todos los hosts LAN 2 a la Internet.
R1(config-std-nacl)# remark ACE permits host 192.168.10.10 R1(config-std-nacl)# permit host 192.168.10.10 R1(config-std-nacl)# remark ACE permits all hosts in LAN 2 R1(config-std-nacl)# permit 192.168.20.0 0.0.0.255 R1(config-std-nacl)# exit R1(config)#
Aplica el nuevo nombre de ACL de salida a la interfaz de la serie 0/1/0.
R1(config)# interface Serial 0/1/0 R1(config-if)# ip access-group PERMIT-ACCESS out R1(config-if)# end R1#
Utiliza los comandos show access-lists y show running-config para revisar la ACL en la configuración, como se muestra en la salida.
R1# show access-lists
Standard IP access list PERMIT-ACCESS
10 permit 192.168.10.10
20 permit 192.168.20.0, wildcard bits 0.0.0.255
R1# show run | section ip access-list
ip access-list standard PERMIT-ACCESS
remark ACE permits host 192.168.10.10
permit 192.168.10.10
remark ACE permits all hosts in LAN 2
permit 192.168.20.0 0.0.0.255
R1#
Por último, utiliza el comando show ip interface para verificar si una interfaz tiene una ACL aplicada. En el resultado de ejemplo, se observa específicamente la interfaz Serial 0/1/0 para las líneas que incluyen texto de «access list».
R1# show ip int Serial 0/1/0 | include access list Outgoing Common access list is not set Outgoing access list is PERMIT-ACCESS Inbound Common access list is not set Inbound access list is not set R1#
7. Comprobación de Sintaxis – Configurar ACL Estándar para IPv4
Configura una ACL numerada y nombrada en R1.
Crearás una ACL numerada que deniega el host 192.168.10.10, pero permite todos los demás hosts de la LAN 1. Comienza configurando la ACE ACL 20 que deniega el host 192.168.10.10 usando la palabra clave del host.
R1(config)#access-list 20 deny host 192.168.10.10
Crea un segundo ACE ACL 20 numerado que permita a todos los demás hosts de la LAN 1 en la red 192.168.10.0/24.
R1(config)#access-list 20 permit 192.168.10.0 0.0.0.255
Debido a que las políticas del ACL 20 sólo se aplican al tráfico de la LAN 1, el ACL se aplicaría mejor a la interfaz G0/0/0 R1. Entra en el modo de interfaz g0/0/0, aplica la ACL 20 de entrada y vuelve al modo de configuración global. Asegúrate de usar g0/0/0 como designación de la interfaz.
R1(config)#interface g0/0/0 R1(config-if)#ip access-group 20 in R1(config-if)#exit
Ahora crearás un ACL estándar nombrado que permite al host 192.168.10.10, pero niega a todos los demás hosts el acceso a LAN 2. Empieza configurando una ACL estándar con nombre llamada LAN2-FILTER.
R1(config)#ip access-list standard LAN2-FILTER
Crear un ACE que permita al host 192.168.10.10 usando la palabra clave host.
R1(config-std-nacl)#permit host 192.168.10.10
Denegar a todos los demás hosts usando la palabra clave any y regresa al modo de configuración global.
R1(config-std-nacl)#deny any R1(config-std-nacl)#exit
El LAN2-FILTER se aplicaría mejor a la salida de la LAN 2. Ingresa al modo de interfaz g0/0/1, aplica el ACL LAN2-FILTER saliente y vuelve al modo de configuración global. Asegúrate de usar g0/0/1 como designación de la interfaz.
R1(config)#interface g0/0/1 R1(config-if)#ip access-group LAN2-FILTER out R1(config-if)#exit
Ha configurado con éxito las ACLs estándar numeradas y nombradas IPv4 en R1.
8. Packet Tracer – Configurar ACL Estándar Numerada IPv4
Las listas de control de acceso (ACL) estándar son scripts de configuración del router que controlan si un router permite o deniega paquetes según la dirección de origen. Esta actividad se concentra en definir criterios de filtrado, configurar ACL estándar, aplicar ACL a interfaces de router y verificar y evaluar la implementación de la ACL. Los routers ya están configurados, lo que incluye direcciones IPv4 y enrutamiento EIGRP.
9. Packet Tracer – Configurar ACL Estándar Nombrada IPv4
El administrador de red ejecutivo te ha solicitado que crees una ACL estándar con nombre para impedir el acceso a un servidor de archivos. Se debe denegar el acceso de todos los clientes de una red y de una estación de trabajo específica de una red diferente.
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
