Modificación de ACL para IPv4
Resumen
Aprende a utilizar números de secuencia para editar listas ACL estándar para IPv4 ya existentes. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 5 del curso de Cisco CCNA 3, para un mejor seguimiento del curso puede ir a la sección CCNA 3 para guiarte del índice.
Tabla de Contenido
1. Dos Métodos para Modificar una ACL
Después de configurar una ACL, es posible que deba modificarse. Las ACL con varias ACE pueden ser complejas de configurar. A veces, el ACE configurado no produce los comportamientos esperados. Por estos motivos, las ACL pueden requerir inicialmente un poco de prueba y error para lograr el resultado de filtrado deseado.
En esta sección se analizarán dos métodos que se utilizarán al modificar una ACL:
- Utilizar un editor de texto.
- Utilizar Números de secuencia
2. Método Editor de Texto
Las ACL con varias ACE deben crearse en un editor de texto. Esto te permite planificar las ACE requeridas, crear la ACL y luego pegarla en la interfaz del router. También simplifica las tareas para editar y corregir una ACL.
Por ejemplo, supongamos que ACL 1 se introdujo incorrectamente utilizando 19 en lugar de 192 para el primer octeto, como se muestra en la configuración en ejecución.
R1# show run | section access-list access-list 1 deny 19.168.10.10 access-list 1 permit 192.168.10.0 0.0.0.255 R1#
En el ejemplo, la primera ACE debería haber sido denegar el host en 192.168.10.10. Sin embargo, el ACE se ingresó incorrectamente.
Para corregir el error:
- Copia la ACL de la configuración en ejecución y pégala en el editor de texto.
- Realiza las ediciones o cambios necesarios.
- Elimina la ACL configurada previamente en el router, de lo contrario, al pegar los comandos ACL editados solo se agregará a las ACE de ACL existentes en el router.
- Copia y pega la ACL editada de nuevo en el router.
Supongamos que ACL 1 se ha corregido. Por lo tanto, se debe eliminar la ACL incorrecta y las instrucciones ACL 1 corregidas deben pegarse en modo de configuración global, como se muestra en el ejemplo.
R1(config)# no access-list 1 R1(config)# R1(config)# access-list 1 deny 192.168.10.10 R1(config)# access-list 1 permit 192.168.10.0 0.0.0.255 R1(config)#
3. Método Números de Secuencia
Una ACE de un ACL también se puede eliminar o agregar utilizando los números de secuencia ACL. Los números de secuencia se asignan automáticamente cuando se introduce una ACE. Estos números se enumeran en el comando show access-lists . El comando show running-config no muestra números de secuencia.
En el ejemplo anterior, el ACE incorrecto para ACL 1 está utilizando el número de secuencia 10, como se muestra en el ejemplo.
R1# show access-lists
Standard IP access list 1
10 deny 19.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#
Utiliza el comando ip access-list standard para editar una ACL. Las instrucciones no se pueden sobrescribir con el mismo número de secuencia que el de una instrucción existente. Por lo tanto, la instrucción actual debe eliminarse primero con el comando no 10. A continuación, se configura el ACE correcto utilizando el número de secuencia 10. Comprueba los cambios mediante el comando show access-lists, como se muestra en el ejemplo.
R1# conf t
R1(config)# ip access-list standard 1
R1(config-std-nacl)# no 10
R1(config-std-nacl)# 10 deny host 192.168.10.10
R1(config-std-nacl)# end
R1# show access-lists
Standard IP access list 1
10 deny 192.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#
4. Ejemplo Modificar una ACL Nombrada
Las ACL con nombre también pueden utilizar números de secuencia para eliminar y agregar ACE. Consulta el ejemplo de la ACL NO-ACCESS.
R1# show access-lists
Standard IP access list NO-ACCESS
10 deny 192.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
Supongamos que el host 192.168.10.5 de la red 192.168.10.0/24 también debería haber sido denegado. Si ha introducido una ACE nueva, se añadiría al final de la ACL. Por lo tanto, el host nunca se denegaría porque ACE 20 permite todos los hosts de esa red.
La solución consiste en agregar un host de denegación de ACE 192.168.10.5 entre ACE 10 y ACE 20, como ACE 15, como se muestra en el ejemplo. Observa también que la nueva ACE se introdujo sin utilizar la palabra clave host. La palabra clave es opcional al especificar un host de destino.
Utiliza el comando show access-lists para comprobar que la ACL tiene ahora un ACE 15 nuevo insertado correctamente antes de la instrucción permit.
Observa que el número de secuencia 15 se muestra antes que el número de secuencia 10. Sería de esperar que el orden de las instrucciones en el resultado reflejará el orden en que se introdujeron. Sin embargo, el IOS pone las declaraciones de host en un orden utilizando una función de hashing especial. El orden resultante optimiza el ACL para buscar primero por las entradas del host y luego por las entradas de red.
Nota: La función de hash se aplica solamente a las instrucciones de host en listas de acceso estándar IPv4. Los detalles de la función de hash exceden el ámbito de este curso.
R1# configure terminal
R1(config)#ip access-list standard NO-ACCESS
R1(config-std-nacl)# 15 deny 192.168.10.5
R1(config-std-nacl)# end
R1#
R1# show access-lists
Standard IP access list NO-ACCESS
15 deny 192.168.10.5
10 deny 192.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#
5. Estadísticas de ACL
Observa que el comando show access-lists del ejemplo muestra las estadísticas de cada sentencia que ha sido coincidente. La ACE denegada en la ACL NO-ACCESS ha sido comparado 20 veces y el ACE de permiso ha sido comparado 64 veces.
Ten en cuenta que el “deny any” implícito en la última declaración no muestra ninguna estadística. Para rastrear cuántos paquetes negados implícitos han sido coincidentes, debes configurar manualmente el comando “deny any” al final del ACL.
Utiliza el comando clear access-list counters para borrar las estadísticas de ACL. Este comando se puede utilizar solo o con el número o el nombre de una ACL específica.
R1# show access-lists
Standard IP access list NO-ACCESS
10 deny 192.168.10.10 (20 matches)
20 permit 192.168.10.0, wildcard bits 0.0.0.255 (64 matches)
R1# clear access-list counters NO-ACCESS
R1# show access-lists
Standard IP access list NO-ACCESS
10 deny 192.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#
6. Comprobación de Sintaxis – Modificar ACL IPv4
Modifica una ACL mediante números de secuencia.
Utiliza el comando show access-lists para verificar las ACLs configurados.
R1#show access-lists
Standard IP access list 1
10 deny 19.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
Observa que el ACE 10 es incorrecto y necesita ser editado. Entra en el modo de configuración global y usa el comando ip access-list standard para el ACL 1.
R1#configure terminal R1(config)#ip access-list standard 1
Un ACE incorrecto debe ser borrado y luego reingresado. Eliminar el ACE con el número de secuencia 10.
R1(config-std-nacl)#no 10
A continuación, vuelve a introducir el ACE correcto utilizando la secuencia número 10 para denegar al host con la dirección IP 192.168.10.10 el acceso fuera de la LAN 1 y vuelve al modo privilegiado EXEC utilizando el comando end.
R1(config-std-nacl)#10 deny host 192.168.10.10 R1(config-std-nacl)#end
Verifica la nueva entrada usando el comando show access-lists.
R1#show access-lists
Standard IP access list 1
10 deny 192.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
Has modificado con éxito un ACL numerado IPv4 en R1.
7. Packet Tracer – Configurar y Modificar ACL Estándar de IPv4
En esta actividad de Packet Tracer, completarás los siguientes objetivos:
- Parte 1: Configurar los dispositivos y verificar la conectividad
- Parte 2: Configurar y verificar ACL estándar numeradas y con nombre
- Parte 3: Modificar una ACL estándar
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
