Universidad Politécnica de

Tlaxcala
Facilitador:
M.R.C Gerardo Gracia Rodríguez
CCNA v6.0
Conexión de redes
UA2
Capítulo 4: Listas de control
de acceso

CCNA routing y switching

Conexión de redes v6.0

 Capítulo 4: Secciones y objetivos
 4.1 Operación y configuración de ACL estándar
• Configurar ACL IPv4 estándar.
• Explicar el propósito y el funcionamiento de las ACL en redes de una pequeña a mediana empresa.
• Comparar las ACL IPv4 estándar y extendidas.
• Configurar las ACL IPv4 estándares para filtrar el tráfico en una red de una pequeña a mediana empresa.

 4.2 ACL IPv4 extendidas

• Configurar ACL IPv4 extendidas.
• Explicar la estructura de una entrada de control de acceso (ACE) extendida.
• Configurar ACL IPv4 extendidas para filtrar el tráfico según los requisitos de red.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 3
 Capítulo 4: Secciones y objetivos (continuación)
 4.3 ACL IPv6
• Configurar ACL IPv6.
• Comparar la creación de ACL IPv4 y ACL IPv6.
• Configurar ACL IPv6 para filtrar el tráfico según los requisitos de red.

 4.4 Solución de problemas de ACL

• Solucionar problemas de ACL.
• Explicar la forma en que procesa los paquetes un router cuando se aplica una ACL.
• Resolver problemas comunes de ACL con los comandos de CLI.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 4
4.1 Revisión de la operación
y configuración de ACL
estándar

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 5
 Revisión de la operación y configuración de la ACL estándar
Descripción general de la operación de la ACL
 Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas
como “entradas de control de acceso” (ACE).
• Las ACE también se denominan
comúnmente “instrucciones de ACL”.
• Las ACE de IPv4 incluyen el uso de
máscaras de comodín, que son una
cadena de 32 dígitos binarios que el
router utiliza para determinar qué
bits de la dirección debe examinar
para obtener una coincidencia.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 6

IR2020 GGR
 Revisión de la operación y configuración de la ACL estándar
Descripción general de la operación de la ACL
 Puede configurar lo siguiente:
• Una ACL por protocolo: para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para
cada protocolo habilitado en la interfaz.
• Una ACL por sentido: las ACL controlan el tráfico en una interfaz de a un sentido por vez. Se deben
crear dos ACL diferentes para controlar el tráfico entrante y saliente.
• Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, GigabitEthernet 0/0.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 7
 Revisión de la operación y configuración de la ACL estándar
Descripción general de la operación de la ACL
 Las ACL extendidas pueden filtrar el tráfico mediante el análisis de los números de puerto TCP.

 Los números de puerto TCP y UDP comunes incluyen los siguientes:

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 8
 Revisión de la operación y configuración de la ACL estándar
Descripción general de la operación de la ACL
 Para obtener ayuda con la explicación de la operación de una ACL, consulte la ruta de decisión
que se utiliza para filtrar el tráfico web.

 Se configuró una ACL para lo siguientes:

• Permitir el acceso web a los usuarios de
la red A, pero denegar los usuarios de la
red A tengan acceso al resto de los
servicios.
• Denegar el acceso HTTP a los usuarios
de la red B, pero permitir que los usuarios
de la red B tengan todo otro tipo de
acceso.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 9

IR2020 GGR
 Revisión de la operación y configuración de ACL estándar
Tipos de ACL IPv4
 Las ACL estándar filtran paquetes solamente según la dirección de origen.

 Las ACL extendidas filtran paquetes según lo siguiente:

• El tipo y número de protocolo (p. ej., IP, ICMP, UDP, TCP…)
• Las direcciones IP de origen y destino
• Los puertos TCP y UDP de origen y destino

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
 Revisión de la operación y configuración de ACL estándar
Tipos de ACL IPv4
 Las ACL estándar y extendidas se pueden crear con un número o un nombre para identificar la
ACL y su lista de instrucciones.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
 Revisión de la operación y configuración de la ACL estándar
Descripción general de la operación de la ACL
 Las ACL extendidas deben ubicarse lo
más cerca posible del origen del tráfico
que se desea filtrar.
• De esta manera, el tráfico no deseado se
deniega cerca de la red de origen, sin
que cruce la infraestructura de red.
 Las ACL estándar deben aplicarse lo
más cerca posible del origen.
• Si una ACL estándar se ubicara en el
origen del tráfico, filtrará el tráfico según
la dirección de origen determinada
independientemente de adónde se dirige
el tráfico.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
 Revisión de la operación y configuración de ACL estándar
Tipos de ACL IPv4
 Se configurará una ACL estándar para
que bloquee todo el tráfico que va de
192.168.10.0/24 a 192.168.30.0/24.

 Las ACL estándar se deben aplicar lo

más cerca posible del destino y, por lo
tanto, podrían aplicarse en la interfaz de
salida R3 G0/0.
• La aplicación en la interfaz de entrada R3
S0/0/1 impedirá que el tráfico llegue a
192.168.31.0/24 y, por lo tanto, no se
debe aplicar a esta interfaz.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
 Revisión de la operación y configuración de ACL estándar
Tipos de ACL IPv4
 Se configurará una ACL extendida para
que bloquee todo el tráfico FTP y Telnet
que va de 192.168.11.0/24 a
192.168.30.0/24.

 La ACL extendida se debe aplicar lo más

cerca posible del origen y, por lo tanto,
podría aplicarse en la interfaz de entrada
R1 G0/1.
• La aplicación en la interfaz de salida R1
S0/0/1 impediría que el tráfico llegue
192.168.31.0/24, pero también procesaría
innecesariamente paquetes de
192.168.10.0/24.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
 Revisión de la operación y configuración de ACL estándar
Implementación de ACL IPv4 estándar
 La sintaxis completa del comando de ACL estándar es la siguiente:
• access-list ACL-# {deny | permit | remark} source [source-wildcard][log]

 Por ejemplo:
• Permitir todas las direcciones IP en la
red 192.168.10.0/24.

• Usar el comando no access-list 10 para

quitar una ACL.

• Utilizar la palabra clave remark para

documentar una ACL para que sea más
fácil comprender.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
 Revisión de la operación y configuración de ACL estándar
Implementación de ACL IPv4 estándar
 Una ACL IPv4 se la vincula a una interfaz con el siguiente comando del modo de configuración de
interfaz:
• ip access-group {ACL-# | access-list-name} {in | out}

 Nota:
• Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la
interfaz; luego, introduzca el comando global no access-list para eliminar toda la ACL.
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 16
 Revisión de la operación y configuración de ACL estándar
Implementación de ACL IPv4 estándar
 Crear una ACL con nombre estándar.
• Utilice el comando de configuración global ip access-list
standard name.
• Los nombres son alfanuméricos, distinguen mayúsculas de
minúsculas y deben ser únicos.
• El comando ingresa en el modo de configuración de ACL con
nombre estándar.
• Use las instrucciones permit, deny o remark.
• Aplique la ACL en una interfaz con el comando ip
access-group name.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
 Revisión de la operación y configuración de ACL estándar
Implementación de ACL IPv4 estándar
 Utilice el comando show ip interface para verificar la
ACL en la interfaz.
• El resultado incluye el número o el nombre de la lista de
acceso y el sentido en el que se aplicó la ACL.

 Utilice el comando show access-lists [ACL-# | access-

list-name] para ver el contenido de una ACL estándar.
• Observe que las instrucciones NO_ACCESS están
desordenadas porque CISCO IOS utiliza una función de
hash especial para las ACL estándar y reordena las ACE
de host para que se procesen primero, lo que optimiza la
búsqueda de una entrada de ACL de host.
• Las ACL estándar procesan las ACE de la red en el orden
en que se introdujeron.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
4.2 ACL IPv4 extendidas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
 ACL IPv4 extendidas
Estructura de las ACL IPv4 extendidas
 Las ACL IPv4 extendidas proporcionan un filtrado
más preciso.
• Las ACL extendidas se numeran del 100 al 199 y del
2000 a 2699, lo que da un total de 799 ACL
extendidas numeradas posibles.
• Las ACL extendidas también pueden tener nombre.
• Las ACL extendidas se utilizan con más frecuencia
que las ACL estándar, porque proporcionan un mayor
grado de control.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
 ACL IPv4 extendidas
Estructura de las ACL IPv4 extendidas
 Las ACL extendidas se pueden filtrar por protocolo y número de puerto.

 Se puede especificar una aplicación mediante la configuración de alguna de las siguientes opciones:
• El número de puerto

• El nombre de un puerto conocido

 Nota:
• Utilice el signo de interrogación (?) para ver los nombres de puerto conocidos disponibles.
• P. ej.: access-list 101 permit tcp any any eq ?
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 21
 ACL IPv4 extendidas
Configuración de las ACL IPv4 extendidas
 La sintaxis completa del comando de ACL extendida es el siguiente:
• access-list ACL-# {deny | permit | remark} protocol {source source-
wildcard][operator [port-number | port-name]] {destination destination-
wildcard][operator [port-number | port-name]]

 Por ejemplo:
• La ACL 103 permite enviar solicitudes a los
puertos 80 y 443.

• La ACL 104 permite recibir respuestas de

HTTP y HTTPS establecidos.

• El parámetro established permite que solo

las respuestas al tráfico procedente de la red
192.168.10.0/24 vuelvan a esa red.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 22
 ACL IPv4 extendidas
Configuración de las ACL IPv4 extendidas
 La aplicación de ACL extendidas es similar a la de ACL estándar, con la diferencia de que debe
aplicarse lo más cerca posible del origen.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 23
 ACL IPv4 extendidas
Configuración de las ACL IPv4 extendidas
 En este ejemplo, se deniega el tráfico FTP de la subred 192.168.11.0 que se dirige a la subred
192.168.10.0, pero se permite todo el tráfico restante.
• FTP utiliza dos números de puerto (puertos
TCP 20 y 21); por lo tanto, se requieren dos
ACE.
• En el ejemplo se utilizan los nombres de
puerto conocidos ftp y ftp-data.
• Si no hay por lo menos una instrucción
permit en una ACL, todo el tráfico en la
interfaz donde se aplicó esa ACL se
descarta.
• La ACL se aplica en sentido de entrada a la
interfaz G0/1 del R1.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
 ACL IPv4 extendidas
Configuración de las ACL IPv4 extendidas
 Las ACL extendidas con nombre se crean de la misma forma que las ACL estándar con nombre.

 En este ejemplo, se crean dos ACL con nombre.

• SURFING permite que los usuarios en la red 192.168.10.0/24 salgan y vayan a los puertos 80 y 443.
• BROWSING permite el regreso del tráfico HTTP y HTTPS.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 25
 ACL IPv4 extendidas
Configuración de las ACL IPv4 extendidas
 Los comandos show ip interface y show access-lists se pueden utilizar para verificar el
contenido de las ACL extendidas.

 El resultado y los números de secuencia que se muestran

en el resultado del comando show access-lists están en el
orden en que se introdujeron las instrucciones.
• A diferencia de las ACL estándar, las ACL extendidas no
implementan la misma lógica interna ni la misma función de hash.
• Las entradas de host no se enumeran automáticamente antes de
las entradas de rango.

 El comando show ip interface se utiliza para verificar la

ACL en la interfaz y el sentido en el que se aplicó.
• El resultado de este comando incluye el número o el nombre de la
lista de acceso y el sentido en el que se aplicó la ACL.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 26
 ACL IPv4 extendidas
Configuración de las ACL IPv4 extendidas
 Una ACL extendida se puede editar de dos
maneras:
En este ejemplo, el método 2 se utiliza para corregir la ACL
• Método 1: Editor de texto con nombre SURFING que permite la red 192.168.11.0/24
• La ACL se copia y pega donde se realizan los cambios. incorrectamente y se edita para que permita 192.168.10.0/24.

• La lista de acceso actual se elimina mediante el comando

no access-list.
• Luego, la ACL modificada se pega nuevamente en la
configuración.
• Método 2: Números de secuencia
• Los números de secuencia se pueden utilizar para eliminar
o insertar una instrucción de ACL.
• El comando ip access-list extended nombre se utiliza para
ingresar al modo de configuración de ACL con nombre.
• Si la ACL es numerada en vez de tener un nombre, se
utiliza el número de la ACL en el parámetro nombre.
• Las ACE se pueden insertar o eliminar.
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 27
4.3 ACL IPv6

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 28
 ACL IPv6
Creación de una ACL IPv6
 Las ACL IPv6 son similares a las ACL IPv4 tanto en la configuración como en el funcionamiento.

Existen dos tipos de En cuanto a IPv6, hay

ACL en IPv4: las solamente un tipo de ACL,
estándar y las que equivale a la ACL IPv4
extendidas. Ambos extendida con nombre.
tipos de ACL pueden No hay ninguna ACL con
tener un número o número en IPv6.
nombre.

 Nota:
• Una ACL IPv4 y una ACL IPv6 no pueden tener el mismo nombre.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 29
 ACL IPv6
Creación de una ACL IPv6
 Hay tres diferencias fundamentales entre las ACL IPv4 y las ACL IPv6:
• El comando que se utiliza para aplicar una ACL IPv6 a una interfaz es ipv6 traffic-filter.
• Las ACL IPv6 no usan máscaras de comodín, sino que, en cambio, especifican la longitud del prefijo
para indicar el grado de coincidencia de una dirección IPv6 de origen o destino.
• Una ACL IPv6 agrega dos instrucciones permit implícitas al final de cada lista de acceso IPv6.
• permit icmp any any nd-na
• permit icmp any any nd-ns
• deny ipv6 any any statement

 Estas dos instrucciones adicionales permiten que los

mensajes IPv6 ICMP Neighbor Discovery (ND) y
Neighbor Solicitation (NS) logren lo mismo que ARP IPv4.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 30
 ACL IPv6
Configuración de ACL IPv6
 Esta es la topología de ejemplo que se utilizará para demostrar ACL IPv6.
• Todas las interfaces están configuradas y activas.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 31
 ACL IPv6
Configuración de ACL IPv6
 En IPv6 solo hay ACL con nombre y su configuración es similar a la de ACL IPv4 extendidas con
nombre.

 En este ejemplo:
• La primera instrucción da el nombre IPv6 ACL NO-R3-LAN-
ACCESS.
• La segunda instrucción deniega todos los paquetes IPv6 de
2001:DB8:CAFE:30::/64 con destino a a cualquier red IPv6.
• La tercera instrucción permite el resto de los paquetes IPv6.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 32

IR2020 GGR
 ACL IPv6
Configuración de ACL IPv6
 Una vez configurada, una ACL IPv6 se vincula a una interfaz con el siguiente comando de interfaz:
• ipv6 traffic-filter access-list-name {in | out}

El comando aplica la ACL IPv6 NO-R3-LAN-ACCESS en sentido de

entrada a la interfaz S0/0/0 de R1.

 Para quitar una ACL IPv6, introduzca el comando no ipv6

traffic-filter en la interfaz y, luego, introduzca el comando
global no ipv6 access-list para quitar la lista de acceso.

 Nota: Tanto en IPv4 como en IPv6 se utiliza el comando

access-class para aplicar una lista de acceso a los
puertos VTY.
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 33
 ACL IPv6
Configuración de ACL IPv6
 En este ejemplo, una ACL IPv6 permite el
acceso limitado de usuarios de LAN del R3 a
las LAN en el R1.
1. Estas ACE permiten el acceso desde cualquier
dispositivo hasta el servidor web
(2001:DB8:CAFE:10::10).
2. El resto de los dispositivos tienen denegado el
acceso a la red 2001:DB8:CAFE:10::/64.
3. A la PC3 (2001:DB8:CAFE:30::12) se le permite el
acceso por Telnet a la PC2
(2001:DB8:CAFE:11::11).
4. El resto de los dispositivos tiene denegado el
acceso por Telnet a la PC2.
5. El resto del tráfico IPv6 se permite al resto de los
destinos.
6. La lista de acceso IPv6 se aplica en sentido de
entrada a la interfaz G0/0 , por lo que solo la red
2001:DB8:CAFE:30::/64 se ve afectada.
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 34
 ACL IPv6
Configuración de ACL IPv6
 Los comandos que se utilizan para verificar una lista de acceso de IPv6 son similares a los que se
utilizan para las ACL IPv4.
 Utilice el comando show ipv6 interface para ver qué
ACL y dirección están configuradas en una interfaz.

 Utilice el comando show access-lists para ver todas

las listas de acceso IPv4 e IPv6 configuradas.
• Observe que los números de secuencia de ACL IPv6 se
muestran al final de la ACE.

 El comando show running-config muestra todas las ACE y las instrucciones remark.
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 35
4.4 Solución de problemas
de ACL

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 36
 Solución de problemas de ACL
Procesamiento de paquetes con ACL
 Es recomendable tener en cuenta cómo se procesa una ACL de entrada y de salida.

 Las ACL de entrada operan de la siguiente manera:

• Si hay una coincidencia entre la información en un encabezado de paquete y una instrucción de ACL, el resto de las
instrucciones de la lista se omiten y se permite o se deniega el paquete según lo especificado por la instrucción de la
coincidencia.
• Si no existe una coincidencia entre un encabezado de paquete y una instrucción de ACL, el paquete se prueba en
relación con la siguiente instrucción de la lista. Este proceso de búsqueda de coincidencias continúa hasta que se llega al
final de la lista.
• Al final de cada ACL hay una instrucción “deny any” implícita. Debido a esta instrucción, una ACL debe incluir, por lo
menos, una instrucción “permit”; de lo contrario, la ACL bloquea todo el tráfico.

 Las ACL de salida operan de la siguiente manera:

• El router revisa la tabla de routing para ver si el paquete es enrutable.
• El router revisa si la interfaz de salida está agrupada en una ACL.
• Si lo está, la ACL se prueba en relación con la combinación de las ACE asociadas a esa interfaz.
• Según las pruebas de ACL, el paquete se permite o se deniega.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 37
 Solución de problemas de ACL
Procesamiento de paquetes con ACL
 Cuando un paquete llega a una interfaz del router:
• El router revisa si la dirección de la capa 2 de destino coincide con su dirección de la capa 2 de la interfaz.
• Si la trama se acepta, el router revisa si hay una ACL en la interfaz de entrada.
• Si existe una ACL, el paquete se prueba en relación con las ACE y se permite o deniega.
• Si el paquete se permite, se compara con la tabla de routing para determinar la interfaz de destino.
• Si existe una entrada para el destino en la tabla de routing, el paquete se conmuta a la interfaz de salida.

 A continuación, el router revisa si la interfaz de salida tiene una ACL.

• Si existe una ACL, el paquete se prueba en relación con las ACE.
• Si el paquete coincide con una ACE, se permite o se deniega.
• Si no hay una ACL o si se permite el paquete, este se encapsula en el nuevo protocolo de capa 2 y se
reenvía por la interfaz al siguiente dispositivo.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 38
 Solución de problemas de ACL
Procesamiento de paquetes con ACL
 Las ACL estándar solo examinan la dirección IPv4 de origen.
• El destino del paquete y los puertos involucrados no se tienen en cuenta.

 El software Cisco IOS prueba las direcciones en relación con las ACE de la ACL.
• La primera coincidencia determina si el software acepta o rechaza la dirección.
• Dado que el software deja de probar las condiciones después de la primera coincidencia, el orden de las
condiciones es fundamental.
• Si no coincide ninguna condición, la dirección se rechaza.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 39
 Solución de problemas de ACL
Procesamiento de paquetes con ACL
 Las ACL extendidas filtran por protocolo, dirección de origen, dirección de destino y números de
puerto.
 La ACL primero filtra por la dirección de origen y, a continuación, por el puerto y el protocolo de
origen.

 Luego, filtra por la dirección de destino y después por el puerto y el protocolo de destino, y toma la
decisión final de permiso o denegación.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 40
 Solución de problemas de las ACL
Errores comunes de las ACL
 Los errores más comunes de las ACL incluyen introducir las ACE en el orden incorrecto y no
aplicar los criterios adecuados a las reglas de ACL.

 En este ejemplo, el host 192.168.10.10 no tiene

conectividad de Telnet con 192.168.30.12.
• El comando show access-lists muestra coincidencias
para la primera instrucción “deny”, lo que indica que el
tráfico coincidió con esta ACE.

 Solución:
• El host 192.168.10.10 no tiene conectividad con
192.168.30.12 porque la instrucción 10 deniega el
host 192.168.10.10; por lo tanto, nunca se puede
establecer la coincidencia con la instrucción 20.
• Las instrucciones 10 y 20 deben invertirse.
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 41
 Solución de problemas de las ACL
Errores comunes de las ACL
 En este ejemplo, la red 192.168.10.0/24 no
puede utilizar TFTP para conectarse a la red
192.168.30.0/24.

 Solución:
• La instrucción 30 en la lista de acceso 120 permite
todo el tráfico TCP.
• Sin embargo, como TFTP utiliza UDP en lugar de
TCP, se deniega implícitamente.
• La instrucción 30 debería ser permit ip any any.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 42
 Solución de problemas de las ACL
Errores comunes de las ACL
 En este ejemplo, la red 192.168.11.0/24 puede utilizar
Telnet para conectarse a 192.168.30.0/24, pero según la
política de la empresa, esta conexión no debería
permitirse.

 Los resultados del comando show access-lists 130

indican que se encontró una coincidencia para la
instrucción “permit”.

 Solución:
• El número de puerto de Telnet en la instrucción 10 de la ACL
130 figura en el orden incorrecto, ya que actualmente deniega
cualquier paquete de origen con un número de puerto
equivalente a Telnet.
• Configure 10 deny tcp 192.168.11.0 0.0.0.255 192.168.30.0 0.0.0.255 eq telnet.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 43
 Solución de problemas de las ACL
Errores comunes de las ACL
 En este ejemplo, el host 192.168.30.12 puede conectarse
a 192.168.31.12 mediante Telnet, pero la política de la
empresa establece que esta conexión no debe permitirse.

 Los resultados del comando show access-lists 140

indican que se encontró una coincidencia para la
instrucción “permit”.

 Solución:
• El host 192.168.30.12 puede utilizar Telnet para conectarse a
192.168.31.12 porque no hay reglas que denieguen el host
192.168.30.12 o su red como origen.
• La instrucción 10 de la lista de acceso 140 deniega la interfaz
del router por la que el tráfico ingresa a este.
• La dirección host IPv4 en la instrucción 10 debería ser
192.168.30.12.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 44
 Solución de problemas de las ACL
Errores comunes de las ACL
 En este ejemplo, el host 192.168.30.12 puede utilizar
Telnet para conectarse a 192.168.31.12, pero según la
política de seguridad, esta conexión no debe permitirse.

 El resultado del comando show access-lists 150 indica

que no se encontraron coincidencias para la instrucción
“deny” según se esperaba.

 Solución:
• El host 192.168.30.12 puede utilizar Telnet para conectarse a
192.168.31.12, debido al sentido en el que se aplica la lista de
acceso 150 a la interfaz G0/1.
• La instrucción 10 deniega la conexión de todas las direcciones
de origen al host 192.168.31.12 mediante Telnet.
• Sin embargo, para un filtrado correcto, este filtro se debe aplicar
en sentido de salida en G0/1.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 45
 Solución de problemas de las ACL
Errores comunes de las ACL
 En este ejemplo, R1 está configurado con un ACL IPv6
para denegar el acceso FTP de la red :10 a la red :11.
• Sin embargo, después de configurar la ACL, la PC1 todavía
puede conectarse al servidor FTP que se ejecuta en la PC2.
• El resultado del comando show ipv6 access-list muestra las
coincidencias para la instrucción “permit”, pero no para las
instrucciones “deny”.

 Solución:
• La ACL se aplicó con el nombre correcto, pero con una dirección
incorrecta.
• Para corregir este problema, elimine el comando ipv6 traffic-
filter NO-FTP-TO-11 out y reemplácelo con el comando ipv6
traffic-filter NO-FTP-TO-11.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 46
 Solución de problemas de las ACL
Errores comunes de las ACL
 En este ejemplo, el R3 está configurado con una ACL IPv6 con
el nombre RESTRICTED-ACCESS que debe permitir el acceso
a la red :10, denegar el acceso a la red :11 y permitir el acceso
por SSH a la PC en 2001:DB8:CAFE:11::11.

 Después de configurar la ACL, la PC3 no puede llegar a la red

10 o la red 11, y no puede utilizar SSH en
2001:DB8:CAFE:11::11.

 Solución:
• La primera declaración “permit” debería permitir el acceso a la red :10, pero solo se permite el acceso al host
2001:DB8:CAFE:10::
• Para corregir este problema, elimine el argumento de host y cambie el prefijo /64 a. Puede hacer esto sin eliminar la ACL
reemplazando la ACE con el número de secuencia 10.
• El segundo error en la ACL es el orden de las dos siguientes instrucciones. Por esto, debe primero eliminar las
instrucciones y luego introducirlas en el orden correcto.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 47
Solución de problemas de las ACL
Errores comunes de las ACL
 En este ejemplo, el R1 está configurado con una ACL
IPv6 con el nombre DENY-ACCESS que debe permitir el
acceso a la red :11 de la red :30, pero denegar el acceso
a la red :10.
• La ACL DENY-ACCESS debe permitir el acceso a la red :11
desde la red :30 y denegar el acceso a la red :10.
• Sin embargo, después de aplicar la ACL a la interfaz: la red 10
aún es accesible desde la red :30.

 Solución:
• El problema es con la ubicación de la ACL, que se debe aplicar
lo más cerca posible del origen del tráfico.
• Elimine la ACL en el R1 y aplique la ACL en el R3.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 48
4.5 Resumen del capítulo

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 49
 Conclusión
Capítulo 4: Listas de control de acceso
 Los routers no filtran tráfico de manera predeterminada. El tráfico que ingresa al router se enruta solamente
en función de la información de la tabla de routing.
 Una ACL es una lista secuencial de instrucciones permit o deny. La última instrucción de una ACL siempre
es una denegación implícita de cualquier instrucción que bloquee todo el tráfico. Para que la denegación
implícita de cualquier instrucción al final de la ACL no bloquee todo el tráfico, se puede agregar la instrucción
permit ip any any.
 Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información
dentro del paquete con cada entrada, en orden secuencial, para determinar si el paquete coincide con una
de las instrucciones. Si se encuentra una coincidencia, el paquete se procesa según corresponda.
 Las ACL pueden aplicarse al tráfico entrante o el tráfico saliente.

 Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen
únicamente. La regla básica para la colocación de una ACL estándar es colocarla cerca del destino.
 Las ACL extendidas filtran paquetes según varios atributos: el tipo de protocolo, la dirección IPv4 de origen o
de destino y los puertos de origen o de destino. La regla básica para la colocación de una ACL extendida es
colocarla lo más cerca posible del origen.
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 50
 Conclusión
Capítulo 4: Listas de control de acceso (continuación )
 El comando de configuración global access-list define una ACL estándar con un número en el
intervalo de 1 a 99 o una ACL extendida con un número en el intervalo de 100 a 199. El comando
ip access-list standard nombre se utiliza para crear una ACL estándar con nombre, mientras que
el comando ip access-list extended nombre se utiliza para una lista de acceso extendida.

 Una vez configurada la ACL, se la vincula a una interfaz con el comando ip access-group en
modo de configuración de interfaz. Un dispositivo puede tener solo una ACL por protocolo, por
dirección y por interfaz.

 Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la
interfaz; luego, introduzca el comando global no access-list para eliminar toda la ACL.

 Los comandos show running-config y show access-lists sirven para verificar la configuración de
ACL. El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido en el
que se aplicó.

 El comando access-class configurado en modo de configuración de línea se utiliza para vincular

una ACL a una línea VTY en particular.
IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 51
 Conclusión
Capítulo 4: Listas de control de acceso
 En el modo de configuración global, utilice el comando ipv6 access-list nombre para crear una
ACL IPv6. A diferencia de las ACL IPv4, las ACL IPv6 no usan máscaras de comodín. En cambio,
se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe
coincidir.

 Después de que se configura una ACL IPv6, se la vincula a una interfaz mediante el comando
ipv6 traffic-filter.
 A diferencia de IPv4, las ACL IPv6 no admiten la opción estándar o extendida.

IR2020 GGR © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 52