Configuracion de Access-List extendida

Posted on Actualizado enn

Vamos a ver un tema un poco complicado, access-list o listas de  acceso(ACL). ¿Qué es una lista de acceso? La ACL es una configuración de router que controla si un router permite o deniega paquetes según el criterio encontrado en el encabezado del paquete.  Existen varios tipos que paso a detallar: estándar o extendidas(pueden ser nombradas o numeradas) y las complejas(dinámicas, reflexivas y basadas en tiempo). Nosotros en este post vamos a ver las extentidas numeradas. Estas van del 100 al 199 y del 2000 al 2699. Pueden filtrar paquetes según el protocolo(ip,tcp,udp,icmp,etc) que le indiquemos, puertos (80,23,etc) y lo mas importante comprueban la direccion de origen como destino. Las ACL estandar solamente comprueban la direccion de origen. nada de protocolos y puertos.

R1(config)#access-list [100-199] [permit|deny] [protocolo] [ip de origen] [wilcard] [ip de destino] [wildcard] (1)
R1(config)#access-list 101 permit ip any any (2)
R1(config)#int [interfaz]
R1(config-if)#ip access-group 101 [in|out] (3)

(1): Con este comando definimos las reglas.

(2):Este comando nos da la posibilidad de permitir todo el trafico. Es necesario para que no nos frene trafico que no queremos filtrar.

(3):Con este comando aplicamos la ACL a la interfaz. In para el trafico que entra, es decir, los paquetes que ingresan al router por una determinada interfaz. Este concepto, desde el punto de vista mas técnico, se llama inbound-interno. Lo mismo sucede con  out que es para el trafico que sale por una determinada interfaz. Desde el punto de vista mas técnico se conoce como outbound-externo.

IMPORTANTE: las ACL se procesan en forma secuencial, es decir, regla por regla. Si al analizar una regla coincide ya no sigue comparando las reglas con el paquete a analizar. Por eso el comando (2).

NO HAY UNA UNICA FORMA DE HACERLO, MI SOLUCION PROPUESTA ES UNA DE LAS OPCIONES.

(clic para agrandar)

Espero que les sirva, cualquier duda no duden en consultar.

AUTOR: Rodrigo

12 comentarios sobre “Configuracion de Access-List extendida

    Saura escribió:
    8 diciembre, 2012 en 19:08

    Muy buen post sobre las ACLs.Una duda. En mi modesta experiencia con el packet tracer in y out no se refiere precisamente a entra y sale sino a in (inbound-interno), out (outbound-externo) que cambia por completo la lógica al aplicar la ACL. Si estoy equivocado agradecería la aclaración.
    Saludos desde Cuba

      Admin respondido:
      8 diciembre, 2012 en 19:22

      Buenas! Todo comentario es bienvenido. Mi idea es explicar lo mas sencillo las cosas para que todos puedas entenderlo. Con respecto a tu consulta, esta bien lo que decís; inboud significa entrante por lo que yo decidí poner “trafico que entra” o algo similar. Lo mismo sucede con outbound. El concepto que trato de mostrar es el mismo que vos me comentas. Igualmente ahora lo voy a modificar así queda mas completo.

      Saludos

        abde escribió:
        8 noviembre, 2013 en 22:50

        necesito ver ejemplos packet tracer sobre acls muchas gracias

        Admin respondido:
        19 noviembre, 2013 en 18:53

        Buenas! Voy a subir unos ejercicios en los proximos dias a la parte de Ejercicios. Mientras tanto podes intentar realizar la configuracion del video.

        Saludos

    wilson escribió:
    3 agosto, 2013 en 23:55

    una pequeña duda yo tenia entendido que existian tres clases principales de ACL la primera es la Extandar Numerada (1-99) o (1300-1999) las ACL Extendida numerada (100-199) o (2000-2699) y las ACL Extendidas Nombradas (NAME) y usted esta utilizando el formato de una ACL extandar pero con una numeracion de una extendida por que?

      Admin respondido:
      12 agosto, 2013 en 2:04

      Buenas! En el video usé una ACL extendida. Pero aclaro, dentro de las nombradas podes usar las estandar o extendidas. De esta manera agrupas un conjunto de reglas bajo un nombre. Ej:
      WEST(config)#ip access-list extended [Nombre]
      WEST(config)#ip access-list standard [Nombre]

      Espero que te sirva.
      Saludos

    Reytiranox escribió:
    9 agosto, 2013 en 23:23

    Por cierto el titulo deberia ser ACL extendida porque las estandard van de 1-99 y no aceptan protocolos

      Admin respondido:
      12 agosto, 2013 en 1:54

      Ya esta hecho el cambio. Gracias por la corrección.

      Saludos!

    Yiceth escribió:
    26 marzo, 2014 en 23:41

    Buenas noches, puedo crear ACLS en un switch ?

      Admin respondido:
      1 abril, 2014 en 15:20

      No, solo las ACLS se pueden utilizar en los routers ya que éste maneja capa 3.

      Saludos!

        Camila escribió:
        13 junio, 2014 en 0:08

        Y cómo se hace para que sólo un segmento de la red pueda administrar un switch?

        Rodrigo respondido:
        12 diciembre, 2014 en 13:01

        Hola Camila! Para lograr eso tenes que definir una VLAN que sea de administración.

        Espero que te sirva,
        Saludos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s