Please enable JavaScript.
Coggle requires JavaScript to display documents.
Configuración de ACL para IPv4, Las ACL extendidas se pueden crear como -…
Configuración de ACL para IPv4
Configuración de ACL estándar para IPv4
Sintaxis de ACL estándar numerada para IPv4
Router(config)# access-list access-list-number {deny | permit | remark text} source [source-wildcard] [log]
Parámentro
access-list-number
Este es el número decimal de la ACL.
El rango de números ACL estándar es de 1 a 99 o 1300 a 1999.
deny
Esto deniega el acceso si la condición coincide.
permit
Esto permite el acceso si la condición coincide.
remark text
Opcional) Esto agrega una entrada de texto para fines de documentación.
El texto de cada comentario tiene un límite de 100 caracteres.
source
Esto identifica la red de origen o la dirección de host que se va a filtrar.
source-wildcard
(Opcional) Máscara wildcard de 32 bits para aplicar al origen. Si se omite, se asume una máscara 0.0.0.0 predeterminada.
log
(Opcional) Esta palabra clave genera y envía un mensaje informativo siempre que se haga coincidir el ACE.
Para eliminar una ACL estándar numerada
Se utiliza el comando: el comando de configuración global
no access-list access-list-number
Sintaxis de ACL con nombre estándar para IPv4
La asignación de nombres a las ACL hace más fácil comprender su función. Para crear una ACL estándar con nombre, se utiliza el siguiente comando de configuración global:
Router(config)# ip access-list standard access-list-name
Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de minúsculas y deben ser únicos
Se usa el comando de configuración global no ip access-list standard access-list-name para eliminar una ACL IPv4 estándar con nombre.
Aplicación de una ACL estándar para IPv4
Después de configurar una ACL estándar para IPv4, debe vincularse a una interfaz o función. El siguiente comando se puede utilizar para enlazar una ACL estándar para IPv4 numerada o nombrada a una interfaz:
Router(config-if) # ip access-group {access-list-number | access-list-name} {in | out}
Modificación de ACL para IPv4
Dos métodos para modificar una ACL
Método del editor de texto
Las ACL con varias ACE deben crearse en un editor de texto. Esto le permite planificar las ACE requeridas, crear la ACL y luego pegarla en la interfaz del router. También simplifica las tareas para editar y corregir una ACL.
Método de números de secuencia
Una ACE de un ACL también se puede eliminar o agregar utilizando los números de secuencia ACL. . Estos números se enumeran en el comando show access-lists . El comando
show running-config
no muestra números de secuencia.
Ejemplo
R1# show access-lists
Standard IP access list 1
10 deny 19.168.10.10
20 permit 192.168.10.0, wildcard bits 0.0.0.255
R1#
R1# conf t
R1(config)# ip access-list standard 1
R1(config-std-nacl)# no 10
R1(config-std-nacl)# 10 deny host 192.168.10.10
R1(config-std-nacl)# end R1# show access-lists
Standard IP access list 1 10 deny 192.168.10.10 20 permit 192.168.10.0, wildcard bits 0.0.0.255 R1#
Estadísticas de ACL
El comando
show access-lists
del ejemplo muestra las estadísticas de cada sentencia
El comando
clear access-list counters
para borrar las estadísticas de ACL
Protección de puertos VTY con una ACL estándar para IPv4
El comando access-class
Las ACL normalmente filtran el tráfico entrante o saliente en una interfaz. Sin embargo, una ACL también se puede utilizar para proteger el acceso administrativo remoto a un dispositivo mediante las líneas vty.
Cree una ACL para identificar a qué hosts administrativos se debe permitir el acceso remoto
Aplique la ACL al tráfico entrante en las líneas vty
Se usa el siguiente comando para aplicar una ACL a las líneas vty:
R1(config-line)# access-class {access-list-number | access-list-name} { in | out }
La palabra clave
in
es la opción más utilizada para filtrar el tráfico vty entrante. El
out
parámetro filtra el tráfico vty saliente y rara vez se aplica.
Se debe tener en cuenta lo siguiente al configurar listas de acceso en líneas vty:
Las listas de acceso numeradas y nombradas se pueden aplicar a las líneas vty.
Se deben establecer restricciones idénticas en todas las líneas vty, porque un usuario puede intentar conectarse a cualquiera de ellas
Configuración de ACL extendidas para IPv4
Listas ACL extendidas
ACL Extendido Numerada: creada mediante el comando de configuración global - Created using the access-list access-list-number .
Nombrado ACL - Created using the IP access-list extended access-list-name.
Sintaxis de ACL extendida numerada para IPv4
Para crear una ACL extendida numerada, se usa el siguiente comando de configuración global:
Router(config)# access-list access-list-number {deny | permit | remark text} protocol source source-wildcard [operator {port}] destination destination-wildcard [operator {port}] [established] [log]
Se usa el comando de configuración global
no ip access-list extended access-list-name
para eliminar una ACL extendida.
Protocolos y puertos
Las ACL extendidas pueden filtrar en muchos tipos diferentes de protocolos y puertos de Internet
Los cuatro protocolos que se resaltan son las opciones más populares.
Nota: se usa el ? para obtener ayuda al entrar en un ACE complejo.
Si no aparece un protocolo de Internet, se puede especificar el número de protocolo IP. Por ejemplo, el protocolo ICMP número 1, TCP es 6 y UDP es 17.
Opciones de palabra clave de puertos
Seleccionar un protocolo influye en las opciones de puerto. Por ejemplo, seleccionando:
protocolo tcp proporcionaría opciones de puertos relacionados con TCP
protocolo udp proporcionaría opciones de puertos específicos UDP
protocolo icmp proporcionaría opciones de puertos relacionados con ICMP (es decir, mensajes)
Sintaxis de ACL IPv4 extendida con nombre
Para crear una ACL extendida con nombre, se usa el siguiente comando de configuración global:
Router(config)# ip access-list extended access-list-name
Editar ACL extendidas
La instrucción original se elimina con el comando
no sequence\ #_
y la sentencia corregida se agrega reemplazando la sentencia original.
Verificación de ACL extendidas
show ip interface
El comando show ip interface se utiliza para verificar la ACL en la interfaz y la dirección en la que se aplicó, como se muestra en la salida.
show access-lists
El comando show access-lists se puede utilizar para confirmar que las ACL funcionan como se esperaba. El comando muestra contadores estadísticos que aumentan cada vez que se hace coincidir una ACE
show running-config
El comando show running-config se puede utilizar para validar lo que se configuró. El comando también muestra los remarks configurados.
Las ACL extendidas se pueden crear como