Módulo 5: ACL para

configuración IPv4
Materiales del instructor

Redes empresariales,
seguridad y automatización
v7.0 (ENSA)
Configurar ACL IPv4 estándar
Crear una ACL
Todas las listas de control de acceso (ACL) deben planificarse. Al configurar una
ACL compleja, se sugiere que:
• Utilice un editor de texto y escriba los detalles de la política que se va a
implementar.
• Agregue los comandos de configuración del IOS para realizar esas tareas.
• Incluya comentarios para documentar la ACL.
• Copie y pegue los comandos en el dispositivo.
• Pruebe siempre exhaustivamente una ACL para asegurarse de que aplica
correctamente la política deseada.
Configurar listas
ACL de IPv4 estándares Sintaxis de una ACL de IPv4 estándar numerada

Para crear una ACL estándar numerada, utilice el comando access-list .

Parámetro Descripción
número-acl El rango de números es de 1 a 99 o de 1300 a 1999
deny Deniega el acceso si se dan las condiciones.
permit Permite el acceso si se dan las condiciones.
texto de observación (Opcional) entrada de texto para fines de documentación
origen Identifica la red de origen o la dirección de host que se va a filtrar
comodín-origen (Optativo) Máscara wildcard de 32 bits para aplicar al origen.
registrar (Opcional) Genera y envía un mensaje informativo cuando el ACE coincide

Nota: Utilice el comando de configuración global no access-list access-list-number para eliminar una ACL estándar
numerada.
Configurar listas
ACL de IPv4 estándares Sintaxis de una ACL de IPv4 estándar con nombre

Para crear una ACL estándar numerada, utilice el comando ip access-list

standard
• Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de
minúsculas y deben ser únicos.
• No es necesario que los nombres de las ACL comiencen con mayúscula,
pero esto los hace destacarse cuando se observa el resultado de show
running-config.
Configuración de la ACL IPv4 estándar
Aplicación de la ACL IPv4 estándar
Después de configurar una ACL IPv4 estándar, debe vincularse a una interfaz o
entidad.
• El comando ip access-group se utiliza para enlazar una ACL IPv4 estándar
numerada o nombrada a una interfaz.
• Para eliminar una ACL de una interfaz, primero introduzca el comando no ip
access-group interface configuration.
Configuración de la ACL IPv4 estándar Ejemplo de ACL
estándar numerado
El ejemplo ACL
permite el
tráfico desde el
host
192.168.10.10
y todos los
hosts de la
interfaz de
salida de red
192.168.20.0/2
4 serial 0/1/0
en el router R1.
Configuración de ACL IPv4 estánda
Ejemplos de ACL estándar numeradas (Cont.)
• Use el comando show running-config para revisar el ACL en la
configuración.
• Use el comando show ip interface para verificar que el ACL está aplicado a
la interfaz.
Configuración de la ACL IPv4 denominada
Ejemplo de ACL estándar denominada
El ejemplo ACL permite el
tráfico desde el host
192.168.10.10 y todos los hosts
de la interfaz de salida de red
192.168.20.0/24 serial 0/1/0 en
el router R1.
Configuración de ACL IPv4 estándar
Ejemplos de ACL numeradas estandar (Cont.)
• Use el comando show
access-list show access-
list para revisar el ACL en
la configuración.
• Use el comando show ip
interface para verificar
que el ACL está aplicado
a la interfaz.
5.2 Modificación de ACL
de IPv4

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 10
Modificar ACL IPv4
Dos métodos para modificar una ACL
Después de configurar una ACL, es posible que deba modificarse. Las ACL con
varias ACE pueden ser complejas de configurar. A veces, el ACE configurado no
produce los comportamientos esperados.
Hay dos métodos que se deben utilizar al modificar una ACL:
• Utilice un editor de texto.
• Utilice números de secuencia
Modificar listas ACL de IPv4
Método de editor de textos
Las ACL con varias ACE deben crearse en un editor de texto. Esto le permite
planificar las ACE requeridas, crear la ACL y luego pegarla en la interfaz del
router. También simplifica las tareas para editar y corregir una ACL.
Para corregir un error en una ACL:
• Copie la ACL de la configuración en ejecución y péguela en el editor de texto.
• Realice las ediciones o cambios necesarios.
• Elimine la ACL configurada previamente en el router.
• Copie y pegue la ACL editada de nuevo en el router.
Modificar listas ACL de IPv4
método secuencia de números
Una ACE ACL se puede eliminar o
agregar utilizando los números de
secuencia ACL.
• Utilice el comando ip access-list
standard para editar una ACL.
• Las instrucciones no se pueden
sobrescribir con el mismo número
de secuencia que el de una
instrucción existente. La instrucción
actual debe eliminarse primero con
el comando no 10. A continuación,
se puede agregar el ACE correcto
utilizando el número de secuencia.
Modificar ACL IPv4
Modificar una ACL con nombre Ejemplo
Las ACL con nombre también pueden utilizar números de secuencia para
eliminar y agregar ACE. En el ejemplo se agrega una ACE para denegar hosts
192.168.10.11.
Modificar listas ACL de IPv4
Estadísticas de una ACL
El comando show access-lists del ejemplo muestra las estadísticas de cada
sentencia que se ha coincidente.
• El ACE de denegación se ha igualado 20 veces y el ACE de permiso se ha igualado 64
veces.
• Tenga en cuenta que la declaración deny any implícita no muestra ninguna estadística.
Para realizar un seguimiento de cuántos paquetes denegados implícitos se han
asociado, debe configurar manualmente el comando deny any .
• Utilice el comando clear access-list counters para borrar las estadísticas de ACL.
Protección de puertos
VTY con una ACL IPv4
estándar

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 16
Asegurar puertos VTY con una ACL de IPv4 estándar
El comando access-class
Una ACL estándar puede proteger el acceso administrativo remoto a un
dispositivo mediante las líneas vty implementando los dos siguientes pasos:
• Cree una ACL para identificar a qué hosts administrativos se debe permitir el acceso
remoto.
• Aplique la ACL al tráfico entrante en las líneas vty.
Protección de puertos VTY con una ACL IPv4 estándar
Ejemplo de acceso seguro a VTY
En este ejemplo se muestra cómo configurar una ACL para filtrar el tráfico vty.
• En primer lugar, se configura una entrada de base de datos local para un
usuario ADMIN y una clase de contraseña.
• Las líneas vty en R1 están configuradas para utilizar la base de datos local
para la autenticación, permitir el tráfico SSH y utilizar la ACL ADMIN-HOST
para restringir el tráfico.
Asegurar puertos VTY con una ACL de IPv4 estándar
Verificar que el puerto VTY esté asegurado
Después de configurar la ACL para restringir el acceso a las líneas VTY, es
importante verificar que funcione correctamente.

Para verificar las estadísticas de ACL, ejecute el comando show access-lists .

• La coincidencia en la línea permit del resultado es producto de una conexión
SSH correcta de la PC192.168.10.10.
• La coincidencia en la instrucción deny se debe al intento fallido de una PC, a
un dispositivo en la red , de establecer una conexión SSH.
5.4 Configuración de ACL
IPv4 extendidas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 20
Configurar ACL IPv4 extendidas
ACL extendidas
Las ACL extendidas proporcionan un mayor rango de control. Pueden
filtrar por dirección de origen, dirección de destino, protocolo (es
decir, IP, TCP, UDP, ICMP) y número de puerto.

Las ACL extendidas se pueden crear como:

• ACL extendida numerada: creada mediante el comando de configuración
global access-list access-list-number.
• Llamada ACL extendida: creada usando el nombre de lista de acceso
extendido de ip access-list .
Configurar protocolos y puertos de ACL
IPv4 extendidos Opciones de protocolo
Las ACL extendidas se
pueden filtrar por
protocolo y número de
puerto. Usar el símbolo
"?" para obtener ayuda
al ingresar a un ACE
complejo. Los cuatro
protocolos resaltados
son las opciones más
populares.
Configurar
protocolos y puertos de ACL IPv4 extendidos (Cont.)
La selección de un
protocolo influye en las
opciones de puerto.
Muchas opciones de
puerto TCP están
disponibles, como se
muestra en la salida.
Ejemplos de configuración de números de puerto y
protocolos de ACL IPv4 extendidos
Las ACL extendidas pueden filtrar en diferentes opciones de número de puerto
y nombre de puerto.

En este ejemplo se configura una ACL 100 extendida para filtrar el tráfico HTTP.
El primer ACE utiliza el nombre del puerto www. El segundo ACE utiliza el
número de puerto 80. Ambas ACE logran exactamente el mismo resultado.

La configuración del número de puerto es necesaria cuando no aparece un

nombre de protocolo específico, como SSH (número de puerto 22) o HTTPS
(número de puerto 443), como se muestra en el siguiente ejemplo.
Configurar ACL IPv4 extendidas
Aplicar una ACL IPv4 extendida numerada
En este ejemplo, la ACL permite que el tráfico HTTP y HTTPS de la red
192.168.10.0 vaya a cualquier destino.

Las ACL extendidas se pueden aplicar en varias ubicaciones. Sin embargo,

normalmente se aplican cerca del origen. Aquí ACL 110 se aplica entrante en la
interfaz R1 G0/0/0.
Configurar ACL IPv4 extendidas
TCP Establecida ACL extendida
TCP también puede realizar servicios básicos de firewall con estado usando la
palabra clave TCP establecida.
• La palabra clave establecida permite que el tráfico interno salga de la
red privada interna y permite que el tráfico de respuesta devuelta entre en
la red privada interna.
• Se deniega el tráfico TCP generado por un host externo e intentando
comunicarse con un host interno.
Configurar ACL IPv4 extendidas
TCP Establecida ACL extendid(Cont.)\
• ACL 120 está configurado para permitir sólo devolver tráfico web a los hosts
internos. A continuación, la ACL se aplica saliente en la interfaz R1 G0/0/0.
• El comando show access-lists muestra que los hosts internos están
accediendo a los recursos web seguros desde Internet.
Nota: Si el segmento TCP que regresa tiene los bits ACK o de restablecimiento (RST) establecidos, que
indican que el paquete pertenece a una conexión existente, se produce una coincidencia TCP.
Configuración de las ACL IPv4 extendidas Creación de ACL extendidas denominadas

La asignación de nombres a las ACL hace más fácil comprender su función.

Para crear una ACL extendida con nombre, utilice el comando ip access-list
extended configuration.

En el ejemplo, se crea una ACL extendida con nombre llamada NO-FTP-ACCESS

y el indicador cambia a modo de configuración ACL extendida con nombre. Las
instrucciones ACE se introducen en el modo de subconfiguración de ACL
extendido con nombre.
Configuración de las ACL IPv4 extendidas Creación de ACL extendidas denominadas

La topología a continuación se utiliza para demostrar la configuración y

aplicación de dos ACL IPv4 extendidas con nombre a una interfaz:
• SURF - Esto permitirá que dentro del tráfico HTTP y HTTPS salga a Internet.
• Navegación - Esto solo permitirá devolver tráfico web a los hosts internos mientras
que todo el resto del tráfico que sale de la interfaz R1 G0/0/0 está implícitamente
denegado.
Ejemplo de Configuración de ACL IPv4 extendidas
denominadas ACL IPv4 extendida (Cont.)
• La ACL de SURFING permite
que el tráfico HTTP y HTTPS
de los usuarios internos
salga de la interfaz G0/0/1
conectada a Internet. La
ACL de BROWSING permite
que el tráfico web que
regrese de Internet vuelva
a la red privada interna.
• La ACL de SURF se aplica
entrante y la ACL de
navegación se aplica
saliente en la interfaz R1
G0/0/0.
Ejemplo de Configuración de ACL IPv4 extendidas
denominadas ACL IPv4 extendida (Cont.)
Para verificar las estadísticas de ACL, ejecute el comando show access-
lists. Observe que los contadores HTTPS seguros de permiso (es decir, eq 443)
en la ACL de SURF y los contadores de retorno establecidos en la ACL de
navegación han aumentado.
Configuración de las ACL IPv4 extendidas
Edición de ACL extendidas
Una ACL extendida se puede editar utilizando un editor de texto cuando se
requieren muchos cambios. O bien, si la edición se aplica a una o dos ACE, se
pueden utilizar números de secuencia.

Por ejemplo:
• El número de secuencia ACE 10 de la ACL de SURF tiene una dirección de
red IP de origen incorrecta.
Configuración de las ACL IPv4 extendidas
Edición de ACL extendida(Cont.)
• Para corregir este error, la sentencia original se elimina con el comando no
sequence_# y la sentencia corregida se agrega reemplazando la sentencia
original.
• El resultado del comando show access-lists verifica el cambio de
configuración.
Configuración de ACL IPv4 Extendidas Otro ejemplo de
ACL IPv4 Extendida
Se crearán dos ACL extendidas con nombre:
• PERMIT-PC1 - Esto sólo permitirá el acceso TCP PC1 a Internet y denegará todos los
demás hosts de la red privada.
• REPLY-PC1 - Esto sólo permitirá que el tráfico TCP devuelto especificado a PC1
deniegue implícitamente todo el resto del tráfico.
Configuración de ACL IPv4 Extendidas Otro ejemplo de
ACL IPv4 Extendida (Cont.)
• La ACL PERMIT-PC1
permite el acceso TCP PC1
(192.168.10.10) al tráfico
FTP, SSH, Telnet, DNS,
HTTP y HTTPS.
• La ACL REPLY-PC1
permitirá el tráfico de
retorno a PC1.
• La ACL PERMIT-PC1 se
aplica entrante y la ACL
REPLY-PC1 se aplica
saliente en la interfaz R1
G0/0/0.
Configuración de las ACL IPv4 extendidas Verificación de ACL extendidas

El comando show ip interface se

utiliza para verificar la ACL en la
interfaz y el sentido en el que se
aplicó.
Configuración de ACL IPv4 extendidas
Verifique ACLs extendidas (Cont.)
El comando show access-lists se puede utilizar para confirmar que las ACL
funcionan como se esperaba. El comando muestra contadores estadísticos que
aumentan cada vez que se hace coincidir una ACE.
Nota: Se debe generar tráfico para verificar el funcionamiento de la ACL.
Configuración de ACL IPv4 extendidas
Verifique ACLs extendidas (Cont.)
El comando show running-config se puede utilizar para validar lo que se
configuró. El comando también muestra las observaciones configuradas.