Professional Documents
Culture Documents
Propósito
Este resumen les puede servir a los estudiantes de CCNA como referencia. De ninguna
manera debe ser considerado como un sustituto de la lectura del capítulo
correspondiente, de la asistencia a la presentación del instructor o - ¡peor aun! - de
participar en las prácticas.
Bibliografía
En la versión 2 del del curso CCNA, el tema de las ACL aparece en el semestre 3.
Wildcards
• "Wildcard" significa "comodín", como el joker en el juego de naipes.
• Tanto en la dirección de origen, como (en el caso de las ACL extendidas) en la
dirección de destino, se especifican las direcciones como dos grupos de
números: un número IP, y una máscara wildcard.
• Si se traduce a binario, los "1" en la máscara wildcard significan que en la
dirección IP correspondiente puede ir cualquier valor.
• Para permitir o denegar una red o subred, la máscara wildcard es igual a la
máscara de subred, cambiando los "0" por "1" y los "1" por "0" (en binario).
• Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se
pueden denegar todas las máquinas con números IP impares, o permitir el rango
de IP 1-31, en varias subredes a la vez.
Ejemplos:
La dirección in o out (entrada o salida) se refiere al router que están configurando en ese
momento. Por ejemplo, con la siguiente configuración de routers (A, B, C son routers;
X, Y son hosts (o redes)):
(Lo más recomendable en este caso es usar una lista extendida, en el router A, y
aplicarla a la interface a su izquieda, dirección "in" - entrante.)
También se debe recordar que normalmente el tráfico fluye en dos direcciones. Por
ejemplo, si "Y" es un servidor Web, teóricamente, en el router C, interface a la derecha,
se podría bloquear la solicitud al servidor (out), o también la respuesta del servidor (in).
ACL estándar
Sintaxis para un renglón (se escribe en el modo de configuración global):
interface F0
ip access-group 1 out
ACL extendidas
Sintaxis para cada renglón:
El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP,
ICMP.
El "operando" puede ser un número de puerto (por ejemplo 21), o una sigla conocida,
por ejemplo, "ftp".
Ejemplo 2: Permitir tráfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, para todos.
Denegar todo lo demás.
Comandos varios
show ip interface (muestra asignaciones de ACL)
show access-lists (muestra el contenido de las ACL)
debug ip packet 101 [detail] (permite analizar cómo se aplican las
ACL)