Scribd
Cargar
98 vistas55 páginas

Centro de Informática Y Sistemas CIS: Computación Iii

Cargado por

JESUS ARMANDO VILCHEZ RUIZ
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
98 vistas55 páginas

Centro de Informática Y Sistemas CIS: Computación Iii

Cargado por

JESUS ARMANDO VILCHEZ RUIZ
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

JEFATURA NACIONAL CIS

CENTRO DE INFORMÁTICA
Y SISTEMAS
CIS
COMPUTACIÓN III
DOCENTE: Rolando E. Guzmán N.
Email: rguzmann@[Link]

PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN PAC


© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 1
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC

CURSO: COMPUTACIÓN III


GRUPO: 16T1
SOFTWARE: Online
CURSO DIRIGIDO A:

Ingeniería de Sistemas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 2
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC
El PAC de la Universidad César Vallejo, es una exigencia académica de formación complementaria, que desarrolla en
los estudiantes habilidades y competencias avanzadas en el uso profesional de herramientas tecnológicas de
acuerdo a su especialidad y bajo estándares internacionales, con la finalidad de elevar su posición competitiva en el
mercado laboral.

OBJETIVO:

• Contribuir en la formación integral del estudiante, desarrollando competencias avanzadas en el uso de las TICs (mejorar
su productividad y su desempeño académico profesional, mejorando su competitividad y sus expectativas laborales.

BENEFICIOS

• Certificación a nombre de la Universidad César Vallejo y opción de certificarse internacionalmente en TICs, de acuerdo a
su plan de estudios.

• Material educativo y videotutoriales disponibles las 24 horas del día en nuestra plataforma virtual.

MODALIDAD:

• El Programa de Acreditación en Computación – PAC se desarrolla en la modalidad VIRTUAL.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 3
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC

METODOLOGÍA PARA DESARROLLAR EL CURSO EN MODALIDAD VIRTUAL (FLIPPED CLASSROOM - Aula Invertida)

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 4
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC
DEL DESARROLLO DE LAS SESIONES
• Todas las sesiones virtuales se desarrollarán usando las plataformas virtuales: Blackboard Learn, Trilce y Zoom

• Se requiere contar con los siguientes requisitos Técnicos:


• Computador personal Core 2 Duo o superior, mínimo 8 Gb de RAM
• Software, de acuerdo al nivel de computación
• Auriculares o micrófono, parlantes y cámara web (uso obligatorio)
• El estudiante anticipadamente, deberá descargar y revisar la guía informativa, directivas académicas, estudiar
el material didáctico del curso, para desarrollar las actividades de autoaprendizaje propuestas (no calificables);
en la sesión de clases desarrollará productos académicos para reforzar su aprendizaje.

• La clase grabada será publicada automáticamente en la plataforma BLACKBOARD LEARN, accediendo desde la
sección Libros y Herramientas de su curso, opción Grabaciones en la Nube.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 5
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC

SOBRE EL SISTEMA DE EVALUACIÓN


DEL CURSO
El Promedio Final de curso (PF) se obtiene a
partir de las siguientes variables definidas en
cada uno de los módulos:
• Promedio de exámenes de módulos
• Promedio de exámenes de simulación
y/o habilidades con Packet Tracer
• Curso de Autoaprendizaje CISCO
• Examen teórico final de instructor
• Examen práctico final de instructor (CPT)
• Examen Teórico Final – Cisco
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 6
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC
SOBRE EL SISTEMA DE EVALUACIÓN DEL CURSO (PRODUCTOS ACADÉMICOS)

[Link] de exámenes de módulos 15% : Exámenes de Módulos de Netacad (6)


[Link] evaluación de cada PRODUCTO ACADÉMICO se desarrollará en los últimos 50 min de la sesión y
corresponde a la temática de la sesión, teniendo el siguiente proceso y tiempo 25%: Promedio de exámenes
de simulación y/o habilidades con Packet Tracer (7 exámenes prácticos elaborados por el instructor)

a) Desarrollo de la PRÁCTICA DE CLASE en 30 minutos (no tiene calificación, debe desarrollarse previamente
para resolver el cuestionario online).

b) Responder el CUESTIONARIO ONLINE en Blackboard, en 20 minutos (la calificación será automática) con
un puntaje máximo de 20 puntos.

3. Curso de Autoaprendizaje CISCO 10%


• Cybersecurity Essentials
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 7
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC

SOBRE EL SISTEMA DE EVALUACIÓN DEL CURSO (FINAL)

1. El EXAMEN PARCIAL (EP) y FINAL (EF), se evaluará en las sesiones 05 (EP) y 08 (EF); cada evaluación estará
conformado por un Examen práctico y un Cuestionario online:

a) Examen práctico final con PACKET TRACER – 100’ (elaborado por el INSTRUCTOR –
contiene temas de todos los módulos), El Examen práctico final durará un máximo de 02 horas
académicas (100 minutos) y no debe haber sido aplicado anteriormente a otro grupo.

b) Examen teórico final – 50’ (elaborado por el INSTRUCTOR– contiene temas de todos los
módulos), El Cuestionario Online, durará un máximo de 01 hora académica (50 minutos), generado de
un banco de preguntas amplio y actualizado.

c) Examen Teórico Final (examen de CCNA NetAcad – 75’), directamente en la plataforma de Netacad.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 8
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC

SOBRE EL SISTEMA DE EVALUACIÓN DEL CURSO:

• Para los estudiantes que NO pudieron rendir sus productos académicos en las primeras sesiones (problemas de

corte de energía, conectividad o inasistencia), se brindará la opción que puedan rendir o recuperar SOLO 02
Productos Académicos hasta antes del examen del módulo respectivo, previa justificación y coordinación con su
profesor virtual.

• En cada sesión de clase se tendrá 02 ACTIVIDADES DE AUTOAPRENDIZAJE (prácticas propuestas). Estas

actividades, NO SON NECESARIAS PUBLICARLAS en la plataforma Blackboard ya que NO SON CALIFICABLES,


pero servirán para reforzar el desarrollo de la temática de cada sesión y tener mejor probabilidad de aprobar el
curso, ya que los cursos 100% prácticos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 9
PROGRAMA DE ACREDITACIÓN EN COMPUTACIÓN - PAC

DE LOS CRITERIOS DE APROBACIÓN

• La escala de calificación es vigesimal y el calificativo mínimo aprobatorio es 11.

• Cumplir con el desarrollo de los Productos Académicos evaluados en cada sesión de clases, el estudiante que por algún motivo
no rinda sus productos académicos, podrá rendir solo uno de ellos, en la fecha del examen parcial o final del módulo
correspondiente, para ello deberá presentar su justificación documentada de forma inmediata (antes de la siguiente sesión) con
su profesor a través de correo electrónico, de no presentarse será calificado con nota cero (0).

ORDEN Y DISCIPLINA

• Todo estudiante deberá mantener el respeto, orden y disciplina en las sesiones virtuales.

• Es obligación del estudiante asistir puntualmente a las sesiones virtuales programadas.

• Los casos de plagio, suplantación o situaciones similares que atenten contra el comportamiento ético en el desarrollo de los
productos académicos y/o exámenes (parcial y final) serán sancionados, quedando automáticamente DESAPROBADO EN EL
CURSO con nota de 00 (cero) en todas las variables de evaluación del módulo donde se generó el plagio, sin derecho a rendir
otro examen y/o evaluación de los productos académicos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 10
NORMAS DE CONVIVENCIA PARA LA SESIÓN VIRTUAL:
∙ Ingresar a la hora programada para la videoconferencia.
∙ Mantener su cámara encendida en la videoconferencia.
∙ Levanta la mano, para participar.
∙ Mantener su micrófono apagado, debe ser activado solo al momento de participación.
∙ Durante la videoconferencia, evitar generar interrupciones que perjudiquen el buen desarrollo
del proceso de aprendizaje.
∙ Evitar emplear el chat para fines no relacionados con el tema.
∙ Emplear un vocabulario adecuado durante la videoconferencia.
∙ El enlace de la videoconferencia es intransferible, es sólo para los estudiantes en el horario
establecido.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 11
Módulo 5: ACL para
configuración IPv4
Enterprise Networking, Security,
and Automation (ENSA)
Objetivos del módulo
Título de Módulo: ACL para configuración IPv4

Objetivo del módulo: Implementar las ACL de IPv4 para filtrar el tráfico y proteger el acceso
administrativo.

Título del tema Objetivo del tema


Configurar listas ACL IPv4 estándar para filtrar el
Configuración de ACL IPv4 estándar
tráfico y así cumplir con los requisitos de red.
Utilizar números de secuencia para editar listas ACL
Modificación de ACL IPv4
IPv4 estándar ya existentes.
Protección de puertos VTY con una ACL IPv4 Configurar una ACL estándar para proteger el acceso
estándar a VTY.
Configurar ACL IPv4 extendidas para filtrar el tráfico
Configuración de ACL IPv4 extendidas
según los requisitos de red.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 13
5.1 Configurar ACL IPv4
estándar

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 14
Configurar ACL IPv4 estándar
Crear una ACL
Todas las listas de control de acceso (ACL) deben planificarse. Al configurar una ACL
compleja, se sugiere que:
• Utilice un editor de texto y escriba los detalles de la política que se va a implementar.
• Agregue los comandos de configuración del IOS para realizar esas tareas.
• Incluya comentarios para documentar la ACL.
• Copie y pegue los comandos en el dispositivo.
• Pruebe siempre exhaustivamente una ACL para asegurarse de que aplica
correctamente la política deseada.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 15
Configurar listas
ACL de IPv4 estándares Sintaxis de una ACL de IPv4
estándar numerada
Para crear una ACL estándar numerada, utilice el comando access-list .

Parámetro Descripción
número-acl El rango de números es de 1 a 99 o de 1300 a 1999
deny Deniega el acceso si se dan las condiciones.
permit Permite el acceso si se dan las condiciones.
texto de observación (Opcional) entrada de texto para fines de documentación
origen Identifica la red de origen o la dirección de host que se va a filtrar
comodín-origen (Optativo) Máscara wildcard de 32 bits para aplicar al origen.
registrar (Opcional) Genera y envía un mensaje informativo cuando el ACE coincide

Nota: Utilice el comando de configuración global no access-list access-list-number para eliminar una ACL estándar
numerada.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 16
Configurar listas
ACL de IPv4 estándares Sintaxis de una ACL de IPv4
estándar con nombre
Para crear una ACL estándar numerada, utilice el comando ip access-list standard
• Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de minúsculas y
deben ser únicos.
• No es necesario que los nombres de las ACL comiencen con mayúscula, pero esto los
hace destacarse cuando se observa el resultado de show running-config.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 17
Configuración de la ACL IPv4 estándar
Aplicación de la ACL IPv4 estándar
Después de configurar una ACL IPv4 estándar, debe vincularse a una interfaz o entidad.
• El comando ip access-group se utiliza para enlazar una ACL IPv4 estándar
numerada o nombrada a una interfaz.
• Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-
group interface configuration.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 18
Configuración de la ACL IPv4 estándar Ejemplo de ACL
estándar numerado
El ejemplo ACL
permite el tráfico
desde el host
[Link] y
todos los hosts
de la interfaz de
salida de red
[Link]/24
serial 0/1/0 en el
router R1.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 19
Configuración de ACL IPv4 estánda
Ejemplos de ACL estándar numeradas (Cont.)
• Use el comando show running-config para revisar el ACL en la configuración.
• Use el comando show ip interface para verificar que el ACL esta aplicado a a interfaz

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 20
Configuración de la ACL IPv4 denominada
Ejemplo de ACL estándar denominada
El ejemplo ACL permite el tráfico
desde el host [Link] y todos
los hosts de la interfaz de salida de
red [Link]/24 serial 0/1/0 en
el router R1.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 21
Configuración de ACL IPv4 estándar
Ejemplos de ACL numeradas estandar (Cont.)
• Use el comando show
access-list show access-list
para revisar el ACL en la
configuración.
• Use el comando show ip
interface para verificar que el
ACL está aplicado a la
interfaz.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 22
5.2 Modificación de ACL de
IPv4

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 23
Modificar ACL IPv4
Dos métodos para modificar una ACL
Después de configurar una ACL, es posible que deba modificarse. Las ACL con varias
ACE pueden ser complejas de configurar. A veces, el ACE configurado no produce los
comportamientos esperados.
Hay dos métodos que se deben utilizar al modificar una ACL:
• Utilice un editor de texto.
• Utilice números de secuencia

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 24
Modificar listas ACL de IPv4
Método de editor de textos
Las ACL con varias ACE deben crearse en un editor de texto. Esto permite crear o editar
la ACL y luego pegarla en la interfaz del router. También simplifica las tareas para editar y
corregir una ACL.
Para corregir un error en una ACL:
• Copie la ACL de la configuración en ejecución y péguela en el editor de texto.
• Realice las ediciones o cambios necesarios.
• Elimine la ACL configurada previamente en el router.
• Copie y pegue la ACL editada de nuevo en el router.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 25
Modificar listas ACL de IPv4
método secuencia de números
Una ACE ACL se puede eliminar o agregar
utilizando los números de secuencia ACL.
• Utilice el comando ip access-list
standard para editar una ACL.
• Las instrucciones no se pueden
sobrescribir con el mismo número de
secuencia que el de una instrucción
existente. La instrucción actual debe
eliminarse primero con el comando no
10. A continuación, se puede agregar el
ACE correcto utilizando el número de
secuencia.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 26
Modificar ACL IPv4
Modificar una ACL con nombre Ejemplo
Las ACL con nombre también pueden utilizar números de secuencia para eliminar y
agregar ACE. En el ejemplo se agrega una ACE para denegar hosts [Link].

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 27
Modificar listas ACL de IPv4
Estadísticas de una ACL
El comando show access-lists del ejemplo muestra las estadísticas de cada sentencia
que se ha coincidente.
• El ACE de denegación se ha igualado 20 veces y el ACE de permiso se ha igualado 64 veces.
• Tenga en cuenta que la declaración deny any implícita no muestra ninguna estadística. Para
realizar un seguimiento de cuántos paquetes denegados implícitos se han asociado, debe
configurar manualmente el comando deny any .
• Utilice el comando clear access-list counters para borrar las estadísticas de ACL.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 28
Protección de puertos VTY
con una ACL IPv4 estándar

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 29
Asegurar puertos VTY con una ACL de IPv4 estándar
El comando access-class
Una ACL estándar puede proteger el acceso administrativo remoto a un dispositivo
mediante las líneas vty implementando los dos siguientes pasos:
• Cree una ACL para identificar a qué hosts administrativos se debe permitir el acceso remoto.
• Aplique la ACL al tráfico entrante en las líneas vty.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 30
Protección de puertos VTY con una ACL IPv4 estándar
Ejemplo de acceso seguro a VTY
En este ejemplo se muestra cómo configurar una ACL para filtrar el tráfico vty.
• En primer lugar, se configura una entrada de base de datos local para un usuario
ADMIN y una clase de contraseña.
• Las líneas vty en R1 están configuradas para utilizar la base de datos local para la
autenticación, permitir el tráfico SSH y utilizar la ACL ADMIN-HOST para restringir el
tráfico.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 31
Asegurar puertos VTY con una ACL de IPv4 estándar
Verificar que el puerto VTY esté asegurado
Después de configurar la ACL para restringir el acceso a las líneas VTY, es importante
verificar que funcione correctamente.

Para verificar las estadísticas de ACL, ejecute el comando show access-lists .


• La coincidencia en la línea permit del resultado es producto de una conexión SSH
correcta de la PC192.168.10.10.
• La coincidencia en la instrucción deny se debe al intento fallido de una PC, a un
dispositivo en la red , de establecer una conexión SSH.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 32
5.4 Configuración de ACL
IPv4 extendidas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 33
Configurar ACL IPv4 extendidas
ACL extendidas
Las ACL extendidas proporcionan un mayor rango de control. Pueden filtrar por
dirección de origen, dirección de destino, protocolo (es decir, IP, TCP, UDP,
ICMP) y número de puerto.

Las ACL extendidas se pueden crear como:


• ACL extendida numerada: creada mediante el comando de configuración global
access-list access-list-number.
• Llamada ACL extendida: creada usando el nombre de lista de acceso extendido
de ip access-list .

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 34
Configurar protocolos y puertos de ACL
IPv4 extendidos Opciones de protocolo

Las ACL
extendidas se
pueden filtrar por
protocolo y
número de puerto.
Usar el símbolo
"?" para obtener
ayuda al ingresar
a un ACE
complejo. Los
cuatro protocolos
resaltados son las
opciones más
populares.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 35
Configurar
protocolos y puertos de ACL IPv4 extendidos (Cont.)
La selección de un
protocolo influye en las
opciones de puerto.
Muchas opciones de
puerto TCP están
disponibles, como se
muestra en la salida.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 36
Ejemplos de configuración de números de puerto y
protocolos de ACL IPv4 extendidos
Las ACL extendidas pueden filtrar en diferentes opciones de número de puerto y nombre
de puerto.

En este ejemplo se configura una ACL 100 extendida para filtrar el tráfico HTTP. El primer
ACE utiliza el nombre del puerto www. El segundo ACE utiliza el número de puerto 80.
Ambas ACE logran exactamente el mismo resultado.

La configuración del número de puerto es necesaria cuando no aparece un nombre de


protocolo específico, como SSH (número de puerto 22) o HTTPS (número de puerto
443), como se muestra en el siguiente ejemplo.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 37
Configurar ACL IPv4 extendidas
Aplicar una ACL IPv4 extendida numerada
En este ejemplo, la ACL permite que el tráfico HTTP y HTTPS de la red [Link]
vaya a cualquier destino.

Las ACL extendidas se pueden aplicar en varias ubicaciones. Sin embargo, normalmente
se aplican cerca del origen. Aquí ACL 110 se aplica entrante en la interfaz R1 G0/0/0.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 38
Configurar ACL IPv4 extendidas
TCP Establecida ACL extendida
TCP también puede realizar servicios básicos de firewall con estado usando la palabra
clave TCP establecida.
• La palabra clave establecida permite que el tráfico interno salga de la red privada
interna y permite que el tráfico de respuesta devuelta entre en la red privada interna.
• Se deniega el tráfico TCP generado por un host externo e intentando comunicarse con
un host interno.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 39
Configurar ACL IPv4 extendidas
TCP Establecida ACL extendid(Cont.)\
• ACL 120 está configurado para permitir sólo devolver tráfico web a los hosts internos.
A continuación, la ACL se aplica saliente en la interfaz R1 G0/0/0.
• El comando show access-lists muestra que los hosts internos están accediendo a
los recursos web seguros desde Internet.
Nota: Si el segmento TCP que regresa tiene los bits ACK o de restablecimiento (RST) establecidos,
que indican que el paquete pertenece a una conexión existente, se produce una coincidencia TCP.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 40
Configuración de las ACL IPv4 extendidas
Creación de ACL extendidas denominadas
La asignación de nombres a las ACL hace más fácil comprender su función. Para crear
una ACL extendida con nombre, utilice el comando ip access-list extended
configuration.

En el ejemplo, se crea una ACL extendida con nombre llamada NO-FTP-ACCESS y el


indicador cambia a modo de configuración ACL extendida con nombre. Las sentencias
ACE se introducen en el modo de subconfiguración de ACL extendido con nombre.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 41
Configuración de las ACL IPv4 extendidas
Creación de ACL extendidas denominadas (Cont.)
La topología a continuación se utiliza para demostrar la configuración y aplicación de dos
ACL IPv4 extendidas con nombre a una interfaz:
• SURF - Esto permitirá que dentro del tráfico HTTP y HTTPS salga a Internet.
• Navegación - Esto solo permitirá devolver tráfico web a los hosts internos mientras que todo el
resto del tráfico que sale de la interfaz R1 G0/0/0 está implícitamente denegado.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 42
Ejemplo de Configuración de ACL IPv4 extendidas
denominadas ACL IPv4 extendida (Cont.)
• La ACL de SURF permite
que el tráfico HTTP y
HTTPS de los usuarios
internos salga de la interfaz
G0/0/1 conectada a Internet.
La ACL de navegación
permite que el tráfico web
que regrese de Internet
vuelva a la red privada
interna.
• La ACL de SURF se aplica
entrante y la ACL de
navegación se aplica
saliente en la interfaz R1
G0/0/0.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 43
Ejemplo de Configuración de ACL IPv4 extendidas
denominadas ACL IPv4 extendida (Cont.)
Para verificar las estadísticas de ACL, ejecute el comando show access-lists.
Observe que los contadores HTTPS seguros de permiso (es decir, eq 443) en la ACL de
SURF y los contadores de retorno establecidos en la ACL de navegación han aumentado.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 44
Configuración de las ACL IPv4 extendidas
Edición de ACL extendidas
Una ACL extendida se puede editar utilizando un editor de texto cuando se requieren
muchos cambios. O bien, si la edición se aplica a una o dos ACE, se pueden utilizar
números de secuencia.

Por ejemplo:
• El número de secuencia ACE 10 de la ACL de SURF tiene una dirección de red IP de
origen incorrecta.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 45
Configuración de las ACL IPv4 extendidas
Edición de ACL extendida(Cont.)
• Para corregir este error, la sentencia original se elimina con el comando no
sequence_# y la sentencia corregida se agrega reemplazando la sentencia original.
• El resultado del comando show access-lists verifica el cambio de configuración.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 46
Configuración de ACL IPv4 Extendidas
Otro ejemplo de ACL IPv4 Extendida
Se crearán dos ACL extendidas con nombre:
• PERMIT-PC1 - Esto sólo permitirá el acceso TCP PC1 a Internet y denegará todos los demás
hosts de la red privada.
• REPLY-PC1 - Esto sólo permitirá que el tráfico TCP devuelto especificado a PC1 deniegue
implícitamente todo el resto del tráfico.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 47
Configuración de ACL IPv4 Extendidas
Otro ejemplo de ACL IPv4 Extendida (Cont.)
• La ACL PERMIT-PC1 permite
el acceso TCP PC1
([Link]) al tráfico FTP,
SSH, Telnet, DNS, HTTP y
HTTPS.
• La ACL REPLY-PC1 permitirá
el tráfico de retorno a PC1.
• La ACL PERMIT-PC1 se
aplica entrante y la ACL
REPLY-PC1 se aplica saliente
en la interfaz R1 G0/0/0.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 48
Configuración de las ACL IPv4 extendidas
Verificación de ACL extendidas
El comando show ip interface se utiliza
para verificar la ACL en la interfaz y el
sentido en el que se aplicó.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 49
Configuración de ACL IPv4 extendidas
Verifique ACLs extendidas (Cont.)
El comando show access-lists se puede utilizar para confirmar que las ACL funcionan
como se esperaba. El comando muestra contadores estadísticos que aumentan cada vez
que se hace coincidir una ACE.
Nota: Se debe generar tráfico para verificar el funcionamiento de la ACL.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 50
Configuración de ACL IPv4 extendidas
Verifique ACLs extendidas (Cont.)
El comando show running-config se puede utilizar para validar lo que se configuró. El
comando también muestra las observaciones configuradas.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 51
5.5 - Módulo de práctica y
cuestionario

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 52
Práctica del módulo y cuestionario
¿Qué aprendí en este módulo?
• Para crear una ACL estándar con nombre, utilice el comando de configuración global ip
access-list standard access-list-name .
• Utilice el comando de configuración global no access-list access-list-number para eliminar
una ACL estándar numerada.
• Use el comando show ip interface para verificar que el ACL esta aplicado a a interfaz
• Para crear una ACL estándar con nombre, utilice el comando de configuración global ip
access-list standard access-list-name .
• Utilice el comando de configuración global no ip access-list standard access-list-name
para eliminar una ACL IPv4 estándar con nombre.
• Para enlazar una ACL IPv4 estándar numerada o nombrada a una interfaz, utilice el
comando de configuración global ip access-group{access-list-number| access-list-name } {
in | out }.
• Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group
interface configuration.
• Para eliminar la ACL, se utiliza el comando de configuración global no access-list.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 53
Práctica del módulo y cuestionario
¿Qué aprendí en este módulo?
• Pueden filtrar por dirección de origen, dirección de destino, protocolo (es decir, IP, TCP, UDP,
ICMP) y número de puerto.
• Para crear una ACL extendida numerada, use el Router (config) # access-list access-list-
number {deny | permit | remark text } código fuente de protocolo [operador [port]]
destinationdestination-comodín[operator[port]] [establecido] [log] comando de configuración
global.
• Los ALC también pueden realizar servicios básicos de firewall con estado usando la palabra
clave TCP establecida .
• El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido en el
que se aplicó.
• Para modificar una ACL, utilice un editor de texto o números de secuencia.
• Una ACE ACL también se puede eliminar o agregar utilizando los números de secuencia
ACL.
• Los números de secuencia se asignan automáticamente cuando se introduce una ACE.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.


Información confidencial de Cisco 54

También podría gustarte