Configuración de Access-List extendida
Vamos a ver un tema un poco complicado, access-list o listas de acceso(ACL). ¿Qué es una lista de acceso? La ACL es una configuración de router que controla si un router permite o deniega paquetes según el criterio encontrado en el encabezado del paquete. Existen varios tipos que paso a detallar: estándar o extendidas(pueden ser nombradas o numeradas) y las complejas(dinámicas, reflexivas y basadas en tiempo). Nosotros en este post vamos a ver las extentidas numeradas. Estas van del 100 al 199 y del 2000 al 2699. Pueden filtrar paquetes según el protocolo(ip,tcp,udp,icmp,etc) que le indiquemos, puertos (80,23,etc) y lo mas importante comprueban la direccion de origen como destino. Las ACL estandar solamente comprueban la direccion de origen. nada de protocolos y puertos.
R1(config)#access-list [100-199] [permit|deny] [protocolo] [ip de origen] [wilcard] [ip de destino] [wildcard] (1) R1(config)#access-list 101 permit ip any any (2) R1(config)#int [interfaz] R1(config-if)#ip access-group 101 [in|out] (3)
(1): Con este comando definimos las reglas.
(2):Este comando nos da la posibilidad de permitir todo el trafico. Es necesario para que no nos frene trafico que no queremos filtrar.
(3):Con este comando aplicamos la ACL a la interfaz. In para el trafico que entra, es decir, los paquetes que ingresan al router por una determinada interfaz. Este concepto, desde el punto de vista mas técnico, se llama inbound-interno. Lo mismo sucede con out que es para el trafico que sale por una determinada interfaz. Desde el punto de vista mas técnico se conoce como outbound-externo.
IMPORTANTE: las ACL se procesan en forma secuencial, es decir, regla por regla. Si al analizar una regla coincide ya no sigue comparando las reglas con el paquete a analizar. Por eso el comando (2).
NO HAY UNA UNICA FORMA DE HACERLO, MI SOLUCION PROPUESTA ES UNA DE LAS OPCIONES.
(clic para agrandar)
Espero que les sirva, cualquier duda no duden en consultar.
AUTOR: Rodrigo
8 diciembre, 2012 en 19:08
Muy buen post sobre las ACLs.Una duda. En mi modesta experiencia con el packet tracer in y out no se refiere precisamente a entra y sale sino a in (inbound-interno), out (outbound-externo) que cambia por completo la lógica al aplicar la ACL. Si estoy equivocado agradecería la aclaración.
Saludos desde Cuba
8 diciembre, 2012 en 19:22
Buenas! Todo comentario es bienvenido. Mi idea es explicar lo mas sencillo las cosas para que todos puedas entenderlo. Con respecto a tu consulta, esta bien lo que decís; inboud significa entrante por lo que yo decidí poner “trafico que entra” o algo similar. Lo mismo sucede con outbound. El concepto que trato de mostrar es el mismo que vos me comentas. Igualmente ahora lo voy a modificar así queda mas completo.
Saludos
8 noviembre, 2013 en 22:50
necesito ver ejemplos packet tracer sobre acls muchas gracias
19 noviembre, 2013 en 18:53
Buenas! Voy a subir unos ejercicios en los proximos dias a la parte de Ejercicios. Mientras tanto podes intentar realizar la configuracion del video.
Saludos
3 agosto, 2013 en 23:55
una pequeña duda yo tenia entendido que existian tres clases principales de ACL la primera es la Extandar Numerada (1-99) o (1300-1999) las ACL Extendida numerada (100-199) o (2000-2699) y las ACL Extendidas Nombradas (NAME) y usted esta utilizando el formato de una ACL extandar pero con una numeracion de una extendida por que?
12 agosto, 2013 en 2:04
Buenas! En el video usé una ACL extendida. Pero aclaro, dentro de las nombradas podes usar las estandar o extendidas. De esta manera agrupas un conjunto de reglas bajo un nombre. Ej:
WEST(config)#ip access-list extended [Nombre]
WEST(config)#ip access-list standard [Nombre]
Espero que te sirva.
Saludos
9 agosto, 2013 en 23:23
Por cierto el titulo deberia ser ACL extendida porque las estandard van de 1-99 y no aceptan protocolos
12 agosto, 2013 en 1:54
Ya esta hecho el cambio. Gracias por la corrección.
Saludos!
26 marzo, 2014 en 23:41
Buenas noches, puedo crear ACLS en un switch ?
1 abril, 2014 en 15:20
No, solo las ACLS se pueden utilizar en los routers ya que éste maneja capa 3.
Saludos!
13 junio, 2014 en 0:08
Y cómo se hace para que sólo un segmento de la red pueda administrar un switch?
12 diciembre, 2014 en 13:01
Hola Camila! Para lograr eso tenes que definir una VLAN que sea de administración.
Espero que te sirva,
Saludos