Configuración de ACL Extendidas IPv4
Configuración de ACL Extendidas IPv4

Configuración de ACL Extendidas IPv4

Configuración de ACL Extendidas IPv4
5

Resumen

Aprende a configurar ACL extendidas para IPv4 para filtrar el tráfico según los requisitos de red. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!

¡Bienvenido!: Este tema forma parte del Módulo 5 del curso de Cisco CCNA 3, para un mejor seguimiento del curso puede ir a la sección CCNA 3 para guiarte del índice.

1. ACL Extendidas

En los temas anteriores, aprendiste cómo configurar y modificar las ACL estándar y cómo proteger los puertos VTY con una ACL estándar para IPv4 . Las ACL estándar solo se filtran en la dirección de origen. Cuando se requiere un control de filtrado de tráfico más preciso, se pueden crear ACL extendidas de IPv4 .

Las ACL extendidas se utilizan con más frecuencia que las ACL estándar, porque proporcionan un mayor grado de control. Pueden filtrar por dirección de origen, dirección de destino, protocolo (es decir, IP, TCP, UDP, ICMP) y número de puerto. Esto proporciona una gama de criterios más amplia sobre la cual basar la ACL. Por ejemplo, una ACL extendida puede permitir el tráfico de correo electrónico de una red a un destino específico y, simultáneamente, denegar la transferencia de archivos y la navegación web.

Al igual que las ACL estándar, las ACL extendidas se pueden crear como:

  • ACL Extendida Numerada – Creado con el comando de configuración global access-list access-list-number
  • ACL Extendida Nombrada – Creado con el comando ip access-list extended access-list-name.

2. Sintaxis de ACL Extendida Numerada IPv4

Los pasos de procedimiento para configurar las ACL extendidos son los mismos que para las ACL estándar. Primero se configura la ACL extendida y luego se activa en una interfaz. Sin embargo, la sintaxis y los parámetros del comando son más complejos para soportar las características adicionales que proporcionan las ACLs extendidas.

Para crear una ACL extendida numerada, utiliza el siguiente comando de configuración global:

Router(config)# access-list access-list-number {deny | permit | remark text} 
protocol source source-wildcard [operator {port}] destination destination-wildcard [operator {port}] [established] [log]

Utiliza el comando de configuración global no access-list para eliminar un ACL extendido.

Aunque hay muchas palabras clave y parámetros para las ACLs extendidas, no es necesario usarlos todos cuando se configura una ACL extendida. La tabla proporciona una explicación detallada de la sintaxis para una ACL extendida.

Parámetro Descripción
access-list-number
  • Este es el número decimal de la ACL.
  • El rango del número del ACL extendido es de 100 a 199 y de 2000 a 2699.
deny
Esto deniega el acceso si la condición coincide.
permit
Esto permite el acceso si la condición coincide.
remark text
  • (Opcional) Agrega una entrada de texto para fines de documentación.
  • El texto de cada comentario tiene un límite de 100 caracteres.
protocol
  • Nombre o número de un protocolo de Internet.
  • Las palabras clave más comunes incluyen iptcpudpicmp.
  • La palabra clave ip coincide con todos los protocolos de IP.
source
  • Esto identifica la red de origen o la dirección de host que se va a filtrar.
  • Utiliza la palabra clave any para especificar todas las redes.
  • Utiliza la palabra clave host ip-address o simplemente ingresa una dirección IP (sin el host ) para identificar una dirección IP específica.
source-wildcard
 (Opcional) Máscara wildcard de 32 bits para aplicar al origen.
destination
  • Esto identifica la red de destino o la dirección de host que se va a filtrar.
  • Utiliza la palabra clave any para especificar todas las redes.
  • Utiliza la palabra clave host ip-address s o ip-address.
destination-wildcard
(Opcional) Máscara wildcard de 32 bits para aplicar al destino.
operator
  • (Opcional) Compara los puertos de origen y de destino.
  • Los operandos posibles incluyen lt (less than), gt (greater than), eq (equal), neq (not equal)
port
(Opcional) El nombre o número decimal de un puerto TCP o UDP.
established
  • (Opcional) Sólo para el protocolo TCP.
  • Esta es una característica de firewall de primera generación.
log
  • (Opcional) Esta palabra clave genera y envía un mensaje informativo siempre que se haga coincidir el ACE.
  • Este mensaje incluye el número ACL, la condición coincidente (es decir, permitido o denegado), dirección de origen y número de paquetes.
  • Este mensaje se genera para el primer paquete coincidente.
  • Esta palabra clave solo debe implementarse para solucionar problemas o por razones de seguridad.

El comando para aplicar una ACL extendida de IPv4 a una interfaz es el mismo que el comando utilizado para las ACL estándar de IPv4 .

Router(config-if)# ip access-group {access-list-number | access-list-name} {in | out}

Para eliminar una ACL de una interfaz, primero introduce el comando de configuración de interfaz no ip access-group . Para eliminar la ACL del router, usa el comando de configuración global no access-list.

Nota: La lógica interna aplicada al ordenamiento de las declaraciones de los ACL estándar no se aplica a los ACL extendidos. El orden en que se introducen las declaraciones durante la configuración es el orden en que se visualizan y procesan.

3. Protocolos y Puertos


Las ACL extendidas pueden filtrar en muchos tipos diferentes de protocolos y puertos de Internet. Haz clic en cada botón para obtener más información acerca de los protocolos de Internet y los puertos en los que las ACL extendidas pueden filtrar.

Los cuatro protocolos resaltados son las opciones más populares.

Nota: Utilice el ? para obtener ayuda al entrar en un ACE complejo.

Note: Si no aparece un protocolo de Internet, se puede especificar el número de protocolo IP. Por ejemplo, el protocolo ICMP número 1, TCP es 6 y UDP es 17.

R1(config)# access-list 100 permit ?
  <0-255>       An IP protocol number
  ahp           Authentication Header Protocol
  dvmrp         dvmrp
  eigrp         Cisco's EIGRP routing protocol
  esp           Encapsulation Security Payload
  gre           Cisco's GRE tunneling
  icmp          Internet Control Message Protocol
  igmp          Internet Gateway Message Protocol
  ip            Any Internet Protocol
  ipinip        IP in IP tunneling
  nos           KA9Q NOS compatible IP over IP tunneling
  object-group  Service object group
  ospf          OSPF routing protocol
  pcp           Payload Compression Protocol
  pim           Protocol Independent Multicast
  tcp           Transmission Control Protocol
  udp           User Datagram Protocol
R1(config)# access-list 100 permit

Seleccionar un protocolo influye en las opciones de puerto. Por ejemplo, seleccionando:

  • El protocolo TCP proporcionaría opciones de puertos relacionados con el TCP
  • El protocolo UDP proporcionaría opciones de puertos específicos UDP
  • El protocolo ICMP proporcionaría opciones de puertos relacionados con ICMP (es decir, mensajes)

Una vez más, observe cuántas opciones de puerto TCP están disponibles. Los puertos resaltados son opciones populares.

Se pueden especificar los nombres o el número del puerto. Sin embargo, los nombres de los puertos facilitan la comprensión del propósito de un ACE. Observa cómo algunos nombres de puertos comunes (por ejemplo, SSH y HTTPS) no están listados. Para estos protocolos, se tendrán que especificar los números de los puertos.

R1(config)# access-list 100 permit tcp any any eq ?
  <0-65535>    Port number
  bgp          Border Gateway Protocol (179)
  chargen      Character generator (19)
  cmd          Remote commands (rcmd, 514)
  daytime      Daytime (13)
  discard      Discard (9)
  domain       Domain Name Service (53)
  echo         Echo (7)
  exec         Exec (rsh, 512)
  finger       Finger (79)
  ftp          File Transfer Protocol (21) 
  ftp-data     FTP data connections (20) 
  gopher       Gopher (70)
  hostname     NIC hostname server (101)
  ident        Ident Protocol (113)
  irc          Internet Relay Chat (194)
  klogin       Kerberos login (543)
  kshell       Kerberos shell (544)
  login        Login (rlogin, 513)
  lpd          Printer service (515)
  msrpc        MS Remote Procedure Call (135)
  nntp         Network News Transport Protocol (119)
  onep-plain   Onep Cleartext (15001)
  onep-tls     Onep TLS (15002)
  pim-auto-rp  PIM Auto-RP (496)
  pop2         Post Office Protocol v2 (109)
  pop3         Post Office Protocol v3 (110) 
  smtp         Simple Mail Transport Protocol (25) 
  sunrpc       Sun Remote Procedure Call (111)
  syslog       Syslog (514)
  tacacs       TAC Access Control System (49)
  talk         Talk (517)
  telnet       Telnet (23) 
  time         Time (37)
  uucp         Unix-to-Unix Copy Program (540)
  whois        Nicname (43)
  www          World Wide Web (HTTP, 80)

4. Ejemplos Configuración de Protocolos y Números de Puerto

Las ACLs extendidas pueden filtrar en diferentes opciones de número de puerto y nombre de puerto. Este ejemplo configura una ACL extendida 100 para filtrar el tráfico HTTP. El primer ACE utiliza el nombre de puerto www. El segundo ACE usa el número de puerto 80. Ambos ACEs logran exactamente el mismo resultado.

R1(config)# access-list 100 permit tcp any any eq www
!or...
R1(config)# access-list 100 permit tcp any any eq 80

La configuración del número de puerto es necesaria cuando no hay un nombre de protocolo específico listado como SSH (número de puerto 22) o un HTTPS (número de puerto 443), como se muestra en el siguiente ejemplo.

R1(config)# access-list 100 permit tcp any any eq 22
R1(config)# access-list 100 permit tcp any any eq 443
R1(config)#

5. Aplicar una ACL Extendida Numerada IPv4

La topología de la figura se utilizará para demostrar la configuración y aplicación de ACLs IPv4 extendidas numeradas y nombradas a una interfaz. Este primer ejemplo muestra una implementación de ACLs extendidas numeradas IPv4.

Ejemplo ACL Extendida Numerada
Ejemplo ACL Extendida Numerada

En este ejemplo, la ACL permite que el tráfico HTTP y HTTPS de la red 192.168.10.0 vaya a cualquier destino.

Las ACL extendidas se pueden aplicar en varias ubicaciones. Sin embargo, normalmente se aplican cerca del origen. Por lo tanto, ACL 110 se aplicó entrante en la interfaz R1 G0/0/0.

R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config)# interface g0/0/0
R1(config-if)# ip access-group 110 in
R1(config-if)# exit
R1(config)#

6. TCP established en ACL Extendida

TCP también puede realizar servicios básicos de firewall con estado usando la palabra clave TCP established. La palabra clave permite que el tráfico interno salga de la red privada interna y permite que el tráfico de respuesta devuelta entre en la red privada interna, como se muestra en la figura.

TCP established
TCP established

Sin embargo, el tráfico TCP generado por un host externo e intentando comunicarse con un host interno es denegado.

La palabra clave established puede utilizarse para permitir únicamente el tráfico HTTP de retorno de los sitios web solicitados, mientras que se niega todo el resto del tráfico.

En la topología, el diseño de este ejemplo muestra que el ACL 110, que fue configurado previamente, filtrará el tráfico de la red privada interna. El ACL 120, utilizando la palabra clave established, filtrará el tráfico que entre en la red privada interna desde la red pública externa.

established en ACL Extendida
established en ACL Extendida

En el ejemplo, el ACL 120 está configurado para permitir sólo el retorno del tráfico web a los hosts internos. El nuevo ACL se aplica entonces a la salida en la interfaz R1 G0/0/0. El comando “show access-lists” muestra ambas ACLs. Nota en las estadísticas de coincidencias/matches que dentro de los hosts han estado accediendo a los recursos web seguros desde Internet.

R1(config)# access-list 120 permit tcp any 192.168.10.0 0.0.0.255 established
R1(config)# interface g0/0/0
R1(config-if)# ip access-group 120 out
R1(config-if)# end
R1# show access-lists
Extended IP access list 110
    10 permit tcp 192.168.10.0 0.0.0.255 any eq www
    20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (657 matches) 
Extended IP access list 120
    10 permit tcp any 192.168.10.0 0.0.0.255 established (1166 matches) 
R1#

Observe que los contadores HTTPS seguros (es decir, eq 443) del permiso en ACL 110 y los contadores de retorno establecidos en ACL 120 han aumentado.

El parámetro established permite que sólo las respuestas al tráfico que se origina en la red 192.168.10.0/24 vuelvan a esa red. Específicamente, se produce una coincidencia si el segmento TCP de retorno tiene establecidos los bits de bandera ACK o de reinicio/reset (RST). Esto indica que el paquete pertenece a una conexión existente. Sin el parámetro establecido en la declaración ACL, los clientes podrían enviar tráfico a un servidor web, y recibir el tráfico que regresa del servidor web. Todo el tráfico estaría permitido.

7. Sintaxis de ACL Extendida Nombrada IPv4

Nombrar una ACL facilita la comprensión de su función. Para crear una ACL extendida con nombre, usa el siguiente comando de configuración global:

Router(config)# ip access-list extendedaccess-list-name

Este comando ingresa al modo de configuración extendida con nombre. Recuerda que los nombres de ACL son alfanuméricos, distinguen entre mayúsculas y minúsculas y deben ser únicos.

En el ejemplo, se crea una ACL extendida con nombre llamada NO-FTP-ACCESS y el indicador cambia a modo de configuración ACL extendida con nombre. Las instrucciones ACE se introducen en el modo de subconfiguración de ACL extendido con nombre.

R1(config)# ip access-list extended NO-FTP-ACCESS
R1(config-ext-nacl)#

8. Ejemplo de ACL Extendida Nombrada IPv4

Las ACL extendidas nombradas se crean esencialmente de la misma manera que los ACL estándar nombrados.

La topología de la figura se utiliza para demostrar la configuración y aplicación de dos ACLs IPv4 extendidas con nombre a una interfaz:

  • SURFING – Esto permitirá que el tráfico interno de HTTP y HTTPS salga a Internet.
  • BROWSING – Esto sólo permitirá devolver el tráfico web a los hosts internos mientras que el resto del tráfico que sale de la interfaz R1 G0/0/0 es negado implícitamente.
Ejemplo de ACL Extendida Nombrada
Ejemplo de ACL Extendida Nombrada

El ejemplo muestra la configuración de la ACL de SURFING entrante y la ACL de BROWSING saliente.

La ACL de SURFING permite que el tráfico HTTP y HTTPS de los usuarios internos salga de la interfaz G0/0/1 conectada a Internet. La ACL de BROWSING permite que el tráfico web que regrese de Internet vuelva a la red privada interna.

La ACL de SURFING se aplica de entrada y la ACL de BROWSING se aplica de salida en la interfaz G0/0/0 en R1, como se muestra en el ejemplo.

Los hosts internos han estado accediendo a los recursos web seguros desde Internet. El comando show access-lists se utiliza para verificar las estadísticas de ACL. Observa que los contadores HTTPS seguros de permiso (es decir, eq 443) en la ACL de SURFING y los contadores de retorno establecidos en la ACL de BROWSING han aumentado.

R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# Remark Permits inside HTTP and HTTPS traffic 
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config-ext-nacl)# exit
R1(config)# 
R1(config)# ip access-list extended BROWSING
R1(config-ext-nacl)# Remark Only permit returning HTTP and HTTPS traffic 
R1(config-ext-nacl)# permit tcp any 192.168.10.0 0.0.0.255 established
R1(config-ext-nacl)# exit
R1(config)# interface g0/0/0
R1(config-if)# ip access-group SURFING in
R1(config-if)# ip access-group BROWSING out
R1(config-if)# end
R1# show access-lists
Extended IP access list SURFING
    10 permit tcp 192.168.10.0 0.0.0.255 any eq www
    20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (124 matches) 
Extended IP access list BROWSING
    10 permit tcp any 192.168.10.0 0.0.0.255 established (369 matches) 
R1#

9. Editar ACL Extendidas

Al igual que las ACL estándar, una ACL extendida se puede editar utilizando un editor de texto cuando se requieren muchos cambios. De lo contrario, si la edición se aplica a una o dos ACE, se pueden utilizar números de secuencia.

Por ejemplo, supongamos que acabas de introducir las ACL SURFING y BROWSING y deseas verificar tu configuración mediante el comando show access-lists.

R1# show access-lists 
Extended IP access list BROWSING
    10 permit tcp any 192.168.10.0 0.0.0.255 established 
Extended IP access list SURFING
    10 permit tcp 19.168.10.0 0.0.0.255 any eq www
    20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 
R1#

Observa que el número de secuencia ACE 10 en la ACL de SURFING tiene una dirección de red IP de origen incorrecta.

Para corregir este error utilizando números de secuencia, la instrucción original se elimina con el comando no sequence # y la sentencia corregida se agrega reemplazando la sentencia original.

R1# configure terminal
R1(config)# ip access-list extended SURFING 
R1(config-ext-nacl)# no 10
R1(config-ext-nacl)# 10 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config-ext-nacl)# end

El ejemplo verifica el cambio de configuración mediante el comando show access-lists.

R1# show access-lists 
Extended IP access list BROWSING
    10 permit tcp any 192.168.10.0 0.0.0.255 established 
Extended IP access list SURFING
    10 permit tcp 192.168.10.0 0.0.0.255 any eq www 
    20 permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1#

10. Otro Ejemplo de ACL Extendida Nombrada IPv4

La figura muestra otro escenario para implementar una ACL IPv4 extendida con nombre. Supongamos que PC1 en la red privada interna está permitido tráfico FTP, SSH, Telnet, DNS, HTTP y HTTPS. Sin embargo, se debe denegar el acceso a todos los demás usuarios de la red privada interna.

Se crearán dos ACL extendidas con nombre:

  • PERMIT-PC1 – Esto sólo permitirá el acceso TCP PC1 a Internet y denegará todos los demás hosts de la red privada.
  • REPLY-PC1 – Esto sólo permitirá que el tráfico TCP de retorno especificado a PC1 niegue implícitamente todo el resto del tráfico.
Ejemplo ACL Extendida Nombrada IPv4
Ejemplo ACL Extendida Nombrada IPv4

El ejemplo muestra la configuración de la ACL PERMIT-PC1 entrante y la REPLY-PC1 saliente.

La ACL PERMIT-PC1 permite el acceso TCP PC1 (es decir, 192.168.10.10) al tráfico FTP (es decir, puertos 20 y 21), SSH (22), Telnet (23), DNS (53), HTTP (80) y HTTPS (443).

La ACL  REPLY-PC1 permitirá el tráfico de retorno a PC1.

Hay muchos factores a tener en cuenta al aplicar una ACL, entre los que se incluyen:

  • El dispositivo para aplicarlo
  • La interfaz para aplicarlo
  • La dirección para aplicarlo

Se debe tener en cuenta cuidadosamente para evitar resultados de filtrado no deseados. La ACL PERMIT-PC1 se aplica entrante y la ACL REPLY-PC1 se aplica saliente en la interfaz R1 G0/0/0.

R1(config)# ip access-list extended PERMIT-PC1
R1(config-ext-nacl)# Remark Permit PC1 TCP access to internet 
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 20
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 21
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 22
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 23
R1(config-ext-nacl)# permit udp host 192.168.10.10 any eq 53
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 53
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 80
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 443
R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 any 
R1(config-ext-nacl)# exit
R1(config)# 
R1(config)# ip access-list extended REPLY-PC1
R1(config-ext-nacl)# Remark Only permit returning traffic to PC1 
R1(config-ext-nacl)# permit tcp any host 192.168.10.10 established
R1(config-ext-nacl)# exit
R1(config)# interface g0/0/0
R1(config-if)# ip access-group PERMIT-PC1 in
R1(config-if)# ip access-group REPLY-PC1 out
R1(config-if)# end
R1#

11. Verificar ACL extendidas

Después de configurar y aplicar una ACL a una interfaz, usa los comandos show del IOS de Cisco para verificar la configuración.

Haz clic en cada botón para obtener más información sobre cómo verificar la configuración de una ACL.

El comando show ip interface se utiliza para verificar la ACL en la interfaz y la dirección en la que se aplicó, como se muestra en la salida.

El comando genera un poco de salida, pero observa cómo los nombres de ACL en mayúsculas se destacan en la salida.

Para reducir la salida del comando, utiliza técnicas de filtrado, como se muestra en el segundo comando.

R1# show ip interface g0/0/0
GigabitEthernet0/0/0 is up, line protocol is up (connected)
  Internet address is 192.168.10.1/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is REPLY-PC1
  Inbound  access list is PERMIT-PC1
  Proxy ARP is enabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is disabled
  IP fast switching on the same interface is disabled
  IP Flow switching is disabled
  IP Fast switching turbo vector
  IP multicast fast switching is disabled
  IP multicast distributed fast switching is disabled
  Router Discovery is disabled
R1#
R1# show ip interface g0/0/0 | include access list
Outgoing access list is REPLY-PC1
Inbound access list is PERMIT-PC1
R1#

El comando show access-lists se puede utilizar para confirmar que las ACL funcionan como se esperaba. El comando muestra contadores estadísticos que aumentan cada vez que se hace coincidir una ACE.

Nota: Se debe generar tráfico para verificar el funcionamiento de la ACL.

En el ejemplo superior, el comando Cisco IOS se usa para mostrar el contenido de todas las ACL.

Observa cómo el IOS muestra la palabra clave aunque se hayan configurado los números de puerto.

Además, ten en cuenta que las ACL extendidas no implementan la misma lógica interna y función de hashing que las ACL estándar. Los números de salida y de secuencia que aparecen en la salida del comando show access-lists son el orden en que se ingresaron las instrucciones. Las entradas de los hosts no se enumeran automáticamente antes de las entradas de los rangos.

R1# show access-lists 
Extended IP access list PERMIT-PC1
    10 permit tcp host 192.168.10.10 any eq ftp-data
    20 permit tcp host 192.168.10.10 any eq ftp
    30 permit tcp host 192.168.10.10 any eq 22
    40 permit tcp host 192.168.10.10 any eq telnet
    50 permit udp host 192.168.10.10 any eq domain
    60 permit tcp host 192.168.10.10 any eq domain
    70 permit tcp host 192.168.10.10 any eq www
    80 permit tcp host 192.168.10.10 any eq 443
    90 deny ip 192.168.10.0 0.0.0.255 any
Extended IP access list REPLY-PC1
    10 permit tcp any host 192.168.10.10 established
R1#

El comando show running-config se puede utilizar para validar lo que se configuró. El comando también muestra los remarks configurados.

El comando se puede filtrar para mostrar sólo la información pertinente, como se muestra a continuación.

R1# show running-config | begin ip access-list
ip access-list extended PERMIT-PC1
 remark Permit PC1 TCP access to internet
 permit tcp host 192.168.10.10 any eq ftp-data
 permit tcp host 192.168.10.10 any eq ftp
 permit tcp host 192.168.10.10 any eq 22
 permit tcp host 192.168.10.10 any eq telnet
 permit udp host 192.168.10.10 any eq domain
 permit tcp host 192.168.10.10 any eq domain
 permit tcp host 192.168.10.10 any eq www
 permit tcp host 192.168.10.10 any eq 443
 deny   ip 192.168.10.0 0.0.0.255 any
ip access-list extended REPLY-PC1
 remark Only permit returning traffic to PC1
 permit tcp any host 192.168.10.10 established
!
(output omitted)
!
end 

R1#

12. Packet Tracer – Configurar ACL extendidas IPv4 – Escenario 1

En esta actividad de Packet Tracer, completarás los siguientes objetivos:

  • Parte 1: Configurar, aplicar y verificar una ACL extendida numerada IPv4
  • Parte 2: Configurar, aplicar y verificar una ACL extendida nombrada IPv4

13. Packet Tracer – Configurar ACL extendidas IPv4 – Escenario 2

En esta actividad de Packet Tracer, completarás los siguientes objetivos:

  • Parte 1: Configurar una ACL extendidas de IPv4 con nombre
  • Parte 2: Aplicar y verificar la ACL extendida de IPv4

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.