Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Acl standard
1. Raúl Bajo Newfly.wordpress.com
ACL Standard
Personalmente una de las cosas más complicadas de entender y saber configurar son las ACL (listas
de control de acceso). Vamos a crear una topología y a partir de aquí trabajaremos con listas de
acceso Standard y Extendidas. En el archivo .pka ya vienen configuradas las rutas estáticas, antes de
ejecutar algún comando, verificar que los pings son exitosos desde cualquier equipo. Recuerdo que
si el primer ping nos da error, hay que volver a hacerlo, da error por la resolución ARP.
Recomiendo hacer este ejercicio con el siguiente enlace abierto, a partir de la página 247, entramos
en el tema de las ACL. Doy por hecho que tenemos unos conocimientos mínimos para poder hacer
este ejercicio:
https://newfly.wordpress.com/ccna/ccna-4/
ACL Standard
¿Qué son las ACL?
Las listas de control de acceso simplemente nos permite controlar el tráfico que hay en una red. O
dicho de otra manera, bloquear el tráfico entre diferentes redes.
En este primer ejercicio vamos a bloquear el tráfico de la red 192.168.10.0 que va dirigido a la red
192.168.30.0.
Dos cosas a tener en cuenta antes de empezar a configurar.
¿Qué analiza una ACL Standard?
¿Dónde se ubica?
En las listas de control de acceso Standard mirará siempre la dirección IP de origen.
Las ACL Standard siempre la ubicaremos lo más cerca posible de su destino,
En este caso como queremos bloquear el tráfico desde la .10.0 a la .30.0, el destino más cercano
sería la red .30.0. Exactamente en el router Mexico, concretamente en la interfaz Fa1/0 que es la
más cercana a la red 30.0.
Recordamos que las ACL Standard miran la IP de origen, quiere decir, que cuando se envíe un
paquete desde la red .10.0, llegará al router Mexico y en la salida Fa1/0 encontrará una lista de
acceso que denegará el tráfico. No podrá pasar nada de dicha red, en cambio sí que pasará un
paquete enviado desde la red .20.0.
Para las ACL hay que seguir dos pasos, primero crearla y segundo donde la activamos, o sea en qué
interfaz y en qué sentido actuaría, puede ser de entrada o de salida. En este caso será de salida.
2. Raúl Bajo Newfly.wordpress.com
COMANDOS
Accedemos al router Mexico:
Mexico(config)#access-list ? (he puesto el “?” para ver los números de las ACL)
<1-99> IP standard access list
<100-199> IP extended access list
Mexico(config)#access-list 1 de
Mexico(config)#access-list 1 deny 192.168.10.0 0.0.0.255
Mexico(config)#access-list 1 permit any (permitimos el resto del tráfico)
Apuntes:
Las ACL se numeran de 1 a 99 las Standard y de 100 a la 199. También tener en cuenta que las listas
de acceso se leen de arriba abajo, por eso siempre debe haber como mínimo un “permit” porque
por defecto, aunque no se configure, la última orden es un deny any, o sea que lo deniega todo, si
no pusiéramos un permit, todo el tráfico seria denegado.
Ahora ya está creada, ahora vamos a decirle donde debe actuar la ACL. La vamos a activar en la
salida del router, concretamente en la interfaz Fa1/0
Mexico(config)#interface fa01/0
Mexico(config-if)#ip access-group 1 out (el 1 es el número de la ACL y el out, es para
decirle que queremos que actúe en la salida del router)
Vamos a comprobar si funciona la lista de control de acceso, para ello vamos a hacer un ping
desde el PC0 al servidor 4. No va a dar fallo.
¿Cómo podemos comprobar si funciona realmente la ACL?
Ejecutando el siguiente comando, show Access-lists:
Mexico#sh access-lists
Standard IP access list 1
10 deny 192.168.10.0 0.0.0.255 (5 match(es))
20 permit any
Nos muestra que la red 192.168.10.0 será denegada y que la red 192.168.20.0 está permitida.
Además nos muestra los paquetes que han sido rechazados, en este caso 5 match(es), que son
las 5 veces que he intentado hacer ping.
Importante a tener en cuenta:
Las ACL Standard se basan en la IP de origen
Se colocan lo más cerca posible de su destino
Hay que tener en cuenta si queremos que sea de entrada o de salida