You are on page 1of 65

Materiales para el instructor

Captulo 7: Listas de control


de acceso

CCNA Routing and Switching


Routing and Switching Essentials v6.0

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 1
Materiales del instructor: Gua de
planificacin del captulo 7
Esta presentacin en PowerPoint se divide en dos
partes:
1. Gua de planificacin para el instructor
Informacin para ayudarlo a familiarizarse con el captulo
Ayuda a la enseanza

2. Presentacin de la clase del instructor


Diapositivas opcionales que puede utilizar en el aula
Comienza en la diapositiva n. 13

Nota: Elimine la Gua de planificacin de esta presentacin antes de


compartirla con otras personas.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 2
Gua de planificacin de
Routing and Switching
Essentials 6.0
Captulo 7: Listas de control
de acceso

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 3
Captulo 7: Actividades
Qu actividades se relacionan con este captulo?
N. de Tipo de actividad Nombre de la actividad Opcional?
pgina
7.0.1.2 Actividad de clase Permtame que lo ayude Opcional
7.1.1.4 Packet Tracer Demostracin de ACL Recomendado
7.1.2.6 Actividad Determinar la mscara de comodn correcta -
7.1.2.7 Actividad Determinar el permiso o la denegacin -
7.1.3.3 Actividad Funcionamiento de las ACL -
7.2.1.5 Actividad Configurar listas ACL de IPv4 estndares -
7.2.1.6 Packet Tracer Configuracin de ACL de IPv4 estndar con Recomendado
nmeros
7.2.1.7 Packet Tracer Configuracin de ACL de IPv4 estndar con Recomendado
nombre
7.2.2.7 Prctica de laboratorio Configurar y modificar listas ACL de IPv4 Opcional
estndares

La contrasea utilizada en las actividades de Packet Tracer en este captulo es: PT_ccna5

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 4
Captulo 7: Actividades
Qu actividades se relacionan con este captulo?
N. de Tipo de actividad Nombre de la actividad Opcional?
pgina
7.2.3.1 Verificador de sintaxis Proteger lneas VTY con una ACL de IPv4 -
estndar
7.2.3.3 Packet Tracer Configuracin de una ACL de IPv4 en lneas Recomendado
VTY
7.2.3.4 Prctica de laboratorio Configuracin y verificacin de restricciones de Opcional
VTY
7.3.2.4 Packet Tracer Solucin de problemas de ACL de IPv4 Recomendado
estndar
7.3.2.5 Prctica de laboratorio Solucin de problemas de configuracin y Opcional
ubicacin de las ACL de IPv4 estndar
7.4.1.1 Actividad de clase Denegacin de FTP Opcional
7.4.1.2 Packet Tracer Desafo de integracin de habilidades Recomendado

La contrasea utilizada en las actividades de Packet Tracer en este captulo es: PT_ccna5

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 5
Captulo 7: Evaluacin
Los estudiantes deben completar la "Evaluacin" del captulo 7
despus de completar el captulo 7.
Los cuestionarios, las prcticas de laboratorio, los Packet Tracers
y otras actividades se pueden utilizar para evaluar informalmente
el progreso de los estudiantes.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 6
Captulo 7: Prcticas recomendadas
Antes de ensear el captulo 7, el instructor debe:
Completar el captulo 7: "Evaluacin".
Los objetivos de este captulo son:
Explicar de qu manera las listas ACL filtran el trfico.
Explicar la forma en que las ACL utilizan mscaras de comodn.
Explicar cmo se crea una ACL.
Explicar cmo se ubica una ACL.
Configurar listas ACL de IPv4 estndares para filtrar el trfico y as cumplir con
los requisitos de red.
Utilizar nmeros de secuencia para editar listas ACL de IPv4 estndares ya
existentes.
Configurar una ACL estndar para proteger el acceso a VTY.
Explicar la forma en que procesa los paquetes un router cuando se aplica una
ACL.
Solucionar errores comunes en listas ACL de IPv4 estndares con los
comandos de la CLI.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 7
Captulo 7: Prcticas recomendadas (cont.)
Seccin 7.1
El instructor debe asegurarse de que este captulo sea lo ms prctico posible.
Enfatice el hecho de que las ACL son listas secuenciales de instrucciones
permit o deny, por lo que el orden es importante.
Los routers no aplican las ACL a s mismos. El trfico generado por el router no
tiene ninguna ACL aplicada, por lo que probar las ACL desde un router no
generar los resultados esperados.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 8
Captulo 7: Prcticas recomendadas (cont.)
Seccin 7.2
Muestre la forma en que los estudiantes pueden utilizar un editor de texto para
crear y luego pegar sus ACL en su programa de terminal. Esto facilita mucho la
edicin de ACL por parte de los estudiantes.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 9
Captulo 7: Prcticas recomendadas (cont.)
Seccin 7.3
Prctica, prctica y ms prctica!
Haga que los estudiantes ideen situaciones en las que se deban permitir y/ o
bloquear paquetes.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 10
Captulo 7: Ayuda adicional
Para obtener ayuda adicional sobre las estrategias de enseanza,
incluidos los planes de leccin, las analogas para los conceptos
difciles y los temas de debate, visite la Comunidad CCNA en
https://www.netacad.com/group/communities/community-home.

Prcticas recomendadas de todo el mundo para ensear


CCNA Routing and Switching.
https://www.netacad.com/group/communities/ccna-blog

Si tiene planes o recursos de leccin que desee compartir, sbalos a


la Comunidad CCNA, a fin de ayudar a otros instructores.
Los estudiantes pueden inscribirse en Packet Tracer Know How 1:
Packet Tracer 101 (autoinscripcin)

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 11
Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 12
Captulo 7: Listas de
control de acceso

Routing and Switching Essentials v6.0

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 13
Captulo 7: Secciones y objetivos
7.1 Funcionamiento de una ACL
Explicar de qu manera las listas ACL filtran el trfico.
Explicar la forma en que las ACL utilizan mscaras de comodn.
Explicar cmo se crea una ACL.
Explicar cmo se ubica una ACL.

7.2 ACL de IPv4 estndar


Configurar listas ACL de IPv4 estndares para filtrar el trfico y as cumplir
con los requisitos de red.
Utilizar nmeros de secuencia para editar listas ACL de IPv4 estndares ya
existentes.
Configurar una ACL estndar para proteger el acceso a VTY.

7.3 Solucin de problemas en listas ACL


Explicar la forma en que procesa los paquetes un router cuando se aplica
una ACL.
Solucionar errores comunes en listas ACL de IPv4 estndares con los
comandos de la CLI.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 14
7.1 Funcionamiento de
una ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 15
Propsito de las listas ACL
Qu es una ACL?
Los routers no tienen listas ACL configuradas de manera predeterminada,
por lo que no filtran el trfico de manera predeterminada.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 16
Propsito de las listas ACL
Filtrado de paquetes
El filtrado de paquetes, a veces denominado "filtrado de paquetes
esttico", controla el acceso a una red mediante el anlisis de los
paquetes entrantes y salientes y la transferencia o el descarte de estos
segn determinados criterios, como la direccin IP de origen, la
direccin IP de destino y el protocolo incluido en el paquete.
Cuando reenva o deniega los paquetes segn las reglas de filtrado, un
router funciona como filtro de paquetes.
Una ACL es una lista secuencial de instrucciones permit (permitir) o
deny (denegar), conocidas como "entradas de control de acceso" (ACE).

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 17
Propsito de las listas ACL
Funcionamiento de una ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 18
Mscaras de comodn en listas ACL
Introduccin a las mscaras de comodn en
listas ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 19
Mscaras de comodn en listas ACL
Introduccin a las mscaras de comodn en
listas ACL (continuacin)

Ejemplo

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 20
Mscaras de comodn en listas ACL
Ejemplos de mscaras de comodn

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 21
Mscaras de comodn en listas ACL
Ejemplos de mscaras de comodn
(continuacin)

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 22
Mscaras de comodn en listas ACL
Clculo de la mscara de comodn

El clculo de mscaras de comodn puede ser difcil. Un mtodo


abreviado es restar la mscara de subred a 255.255.255.255.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 23
Mscaras de comodn en listas ACL
Palabras clave de una mscara de comodn

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 24
Mscaras de comodn en listas ACL
Ejemplos de palabras clave de una mscara
de comodn

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 25
Pautas para la creacin de listas ACL
Pautas generales para la creacin de
listas ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 26
Pautas para la creacin de listas ACL
Prcticas recomendadas para una ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 27
Pautas para la ubicacin de listas ACL
Dnde ubicar las listas ACL?

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 28
Pautas para la ubicacin de listas ACL
Dnde ubicar las listas ACL?
(continuacin)
Cada ACL se debe colocar donde tenga ms impacto en la eficiencia.
Las reglas bsicas son las siguientes:
Listas ACL extendidas: coloque las listas ACL extendidas lo ms
cerca posible del origen del trfico que se filtrar.
Listas ACL estndares: debido a que en las listas ACL estndares
no se especifican las direcciones de destino, colquelas tan cerca
del destino como sea posible.
La ubicacin de la ACL y, por lo tanto, el tipo de ACL que se utiliza,
tambin pueden depender del alcance del control del administrador
de red, del ancho de banda de las redes que intervienen y de la
facilidad de configuracin.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 29
Pautas para la ubicacin de listas ACL
Ubicacin de listas ACL estndares
El administrador desea impedir que el trfico que se origina en la red
192.168.10.0/24 llegue a la red 192.168.30.0/24.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 30
7.2 ACL de IPv4 estndar

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 31
Configurar listas ACL de IPv4 estndares
Sintaxis de una ACL de IPv4 estndar
numerada
Router(config)# access-list nmero-de-lista-de-acceso
{ deny | permit | remark } origen [ comodn-de-origen ] [ log ]

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 32
Configurar listas ACL de IPv4 estndares
Aplicar listas ACL de IPv4 estndares a las
interfaces

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 33
Configurar listas ACL de IPv4 estndares
Aplicar listas ACL de IPv4 estndares a las
interfaces (continuacin)

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 34
Configurar listas ACL de IPv4 estndares
Ejemplos de listas ACL de IPv4 estndares
numeradas

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 35
Configurar listas ACL de IPv4 estndares
Ejemplos de listas ACL de IPv4 estndares
numeradas (continuacin)

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 36
Configurar listas ACL de IPv4 estndares
Sintaxis de una ACL de IPv4 estndar con
nombre

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 37
Configurar listas ACL de IPv4 estndares
Sintaxis de una ACL de IPv4 estndar con nombre
(continuacin)

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 38
Modificar listas ACL de IPv4
Mtodo 1: Utilizar un editor de texto

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 39
Modificar listas ACL de IPv4
Mtodo 2: Utilizar nmeros de secuencia

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 40
Modificar listas ACL de IPv4
Editar listas ACL estndares con nombre

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 41
Modificar listas ACL de IPv4
Verificar listas ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 42
Modificar listas ACL de IPv4
Estadsticas de una ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 43
Asegurar puertos VTY con una ACL de IPv4 estndar
El comando access-class
El comando access-class configurado en el modo de configuracin de
lnea restringe las conexiones entrantes y salientes entre una VTY
determinada (en un dispositivo de Cisco) y las direcciones incluidas en
una lista de acceso.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 44
Asegurar puertos VTY con una ACL de IPv4 estndar
Verificar que el puerto VTY est asegurado

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 45
7.3 Solucin de problemas
en listas ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 46
Procesar paquetes con listas ACL
Denegar todo implcito
Se debe configurar al menos una ACE permit en una ACL. En caso contrario, se bloquea
todo el trfico.
Para la red en la ilustracin, si se aplica la ACL 1 o la ACL 2 a la interfaz S0/0/0 del R1 en
el sentido de salida, se obtiene el mismo resultado.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 47
Procesar paquetes con listas ACL
El orden de las ACE en una ACL

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 48
Procesar paquetes con listas ACL
El orden de las ACE en una ACL
(continuacin)

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 49
Procesar paquetes con listas ACL
Cisco IOS reordena las listas ACL
estndares
Observe que las instrucciones se enumeran en un orden distinto al orden en que se
introdujeron.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 50
Procesar paquetes con listas ACL
Cisco IOS reordena las listas ACL
estndares (continuacin)
El orden en que se enumeran las ACE estndar es la secuencia utilizada por el IOS para
procesar la lista.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 51
Procesar paquetes con listas ACL
Procesos de routing y listas ACL
Cuando una trama ingresa a una interfaz, el router revisa si la direccin de capa 2 de
destino coincide con la direccin de capa 2 de la interfaz, o si dicha trama es una trama
de difusin.
Si se acepta la direccin de la trama, se desmonta la informacin de la trama y el router
revisa si hay una ACL en la interfaz de entrada.
Si existe una ACL, el paquete se prueba en relacin con las instrucciones de la lista.
Si el paquete coincide con una instruccin, se permite o se deniega.
Si se acepta el paquete, se compara con las entradas en la tabla de routing para
determinar la interfaz de destino.
Si existe una entrada para el destino en la tabla de routing, el paquete se conmuta a la
interfaz de salida. De lo contrario, se descarta.
A continuacin, el router revisa si la interfaz de salida tiene una ACL. Si existe una ACL, el
paquete se prueba en relacin con las instrucciones de la lista. Si el paquete coincide con
una instruccin, se permite o se deniega.
Si no hay una ACL o si se permite el paquete, este se encapsula en el nuevo protocolo de
capa 2 y se reenva por la interfaz al siguiente dispositivo.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 52
Errores comunes en listas ACL de IPv4 estndares
Solucionar problemas en listas ACL de IPv4
estndares: Ejemplo 1

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 53
Errores comunes en listas ACL de IPv4 estndares
Solucionar problemas en listas ACL de IPv4
estndares: Ejemplo 1 (continuacin)

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 54
Errores comunes en listas ACL de IPv4 estndares
Solucionar problemas en listas ACL de IPv4
estndares: Ejemplo 2
Poltica de seguridad: la red 192.168.11.0/24 no debera poder
acceder a la red 192.168.10.0/24.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 55
Errores comunes en listas ACL de IPv4 estndares
Solucionar problemas en listas ACL de IPv4
estndares: Ejemplo 2 (continuacin)
Se aplic la ACL 20 a la interfaz equivocada en la direccin equivocada.
Se deniega todo el trfico entrante de 192.168.11.0/24 a travs de la
interfaz G0/1.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 56
Errores comunes en listas ACL de IPv4 estndares
Solucionar problemas en listas ACL de IPv4
estndares: Ejemplo 2 (continuacin)

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 57
Errores comunes en listas ACL de IPv4 estndares
Solucionar problemas en listas ACL de IPv4
estndares: Ejemplo 3
Problema
Poltica de
seguridad: Solo a
PC1 se le permite
el acceso remoto
SSH a R1.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 58
Errores comunes en listas ACL de IPv4 estndares
Solucionar problemas en listas ACL de IPv4
estndares: Ejemplo 3 (continuacin)
Solucin!
Poltica de
seguridad: Solo a
PC1 se le permite
el acceso remoto
SSH a R1.

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 59
7.4 Resumen

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 60
Resumen del captulo
Resumen
Explicar de qu manera las listas ACL filtran el trfico.
Explicar la forma en que las ACL utilizan mscaras de comodn.
Explicar cmo se crea una ACL.
Explicar cmo se ubica una ACL.
Configurar listas ACL de IPv4 estndares para filtrar el trfico y as
cumplir con los requisitos de red.
Utilizar nmeros de secuencia para editar listas ACL de IPv4
estndares ya existentes.
Configurar una ACL estndar para proteger el acceso a VTY.
Explicar la forma en que procesa los paquetes un router cuando se
aplica una ACL.
Solucionar errores comunes en listas ACL de IPv4 estndares con los
comandos de la CLI.
Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 61
Seccin 7.1
Trminos y comandos
Lista de control de acceso host
(ACL)
cualquiera
Filtrado de paquetes
Entradas de control de
acceso (ACE)
Listas ACL estndares
Listas ACL extendidas
Listas ACL entrantes
Listas ACL salientes
Mscaras de comodn
Bit 0 de la mscara de
comodn
Bit 1 de la mscara de
comodn
access-list nmero-
de-lista-de-
acceso permit direcci
n_ip mscara de
comodn

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 62
Seccin 7.2
Trminos y comandos
access-list nmero- clear access-list
de-lista-de- counters
acceso { deny | perm
access-class nmero-
it | remark }origen
de-lista-de-
[ comodn-de-
acceso { in |out }
origen ][ log ]
show access-lists
no access-list
nmero-de-lista-de-
accesso
ip access-
group {nmero-de-
lista-de-
acceso | nombre-de-
lista-de-acceso}
{ in | out }
ip access-
list standard nombre

Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 63
Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 64
Presentation_ID 2008 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 65