ENSA_Module_5

Vista previa del material en texto

Módulo 5: ACL para configuración IPv4
Materiales del instructor
Enterprise Networking, Security, and Automation (ENSA) 
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
Programa Cisco Networking Academy
Enterprise Networking, Security, and Automation (ENSA) 
Módulo 5: ACL para configuración IPv4
1
Materiales del Instructor - Módulo 5, guía de planificación
Esta presentación se divide en dos partes:
Guía de planificación del instructor
Información para ayudarlo a familiarizarse con el módulo
Material didáctico
Presentación del instructor de la clase
Diapositivas opcionales que puede usar en el aula.
Comienza en la diapositiva #10
Nota: Elimine la Guía de planificación de esta presentación antes de compartirla con alguien.
Para obtener ayuda y recursos adicionales, vaya a la página de inicio del instructor y a los recursos para este curso. También puede visitar el sitio de desarrollo profesional en netacad.com, la página oficial de Facebook de Cisco Networking Academy o el grupo Instructor Only de Facebook.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
2
¿Qué esperar de este módulo?
Para facilitar el aprendizaje, los siguientes funciones de GUI pueden estar incluidas en este módulo:
	Característica	Descripción
	Animaciones.	Exponga a los aprendices a nuevas habilidades y conceptos.
	Videos	Exponga a los aprendices a nuevas habilidades y conceptos.
	Verifique su conocimiento.	Pruebas en línea por tema, para ayudar a los estudiantes a medir la comprensión del contenido. 
	Actividades interactivas	Una variedad de formatos para ayudar a los alumnos a medir la comprensión del contenido.
	Corrector de sintaxis	Pequeñas simulaciones que exponen a los alumnos a la línea de comandos de Cisco para practicar habilidades de configuración.
	Actividad de PT	Actividades de simulación y modelado diseñadas para la exploración, adquisición, refuerzo y expansión de habilidades
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
¿Qué esperar de este módulo? (Cont.)
Para facilitar el aprendizaje, los siguientes funciones pueden estar incluidas en este módulo:
	Característica	Descripción
	Laboratorios prácticos	Labs diseñados para trabajar con equipo físico.
	Actividades de clase
	Estos se encuentran en la página de Recursos para el instructor. Las actividades de clase están diseñadas para facilitar el aprendizaje, la discusión en clase y la colaboración.
	Cuestionarios de módulo	Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo de los temas presentados en el módulo
	Resumen del módulo	Recapitula brevemente el contenido del módulo.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
Verifique su conocimiento
Las actividades de Verifique su conocimiento están diseñadas para permitir que los estudiantes determinen rápidamente si comprenden el contenido para continuar con el curso, o si necesitan revisarlo.
Las actividades de Verifique su conocimiento no afectan las calificaciones de los estudiantes.
No hay diapositivas separadas para estas actividades en el PPT. Se enumeran en el área de notas de la diapositiva que aparece antes de estas actividades.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5
Módulo 5: Actividades
¿Qué actividades están asociadas con este módulo?
	Página #	Tipo de actividad	Nombre de la actividad	¿Opcional?
	5.1.7	Verificador de sintaxis	Configurar ACL IPv4 estándar	Se recomienda
	5.1.8	Packet Tracer	Configurar ACL IPv4 estándar numeradas	Se recomienda
	5.1.9	Packet Tracer	Configurar las ACL IPv4 estándar nombradas	Se recomienda
	5.2.6	Verificador de sintaxis	Modificar las ACL de IPv4	Se recomienda
	5.2.7	Packet Tracer	Configurar y modificar ACL estándar de IPv4	Se recomienda
	5.3.4	Verificador de sintaxis	Asegure los puertos VTY	Se recomienda
	5.4.12	Packet Tracer	Configurar las ACL IPv4 extendidas: escenario 1	Se recomienda
	5.4.13	Packet Tracer	Configurar las ACL IPv4 extendidas: escenario 2	Se recomienda
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
6
Módulo 5: Actividades (Cont.)
¿Qué actividades están asociadas con este módulo?
	Página #	Tipo de actividad	Nombre de la actividad	¿Opcional?
	5.5.1	Packet Tracer	Desafío de implementación de ACL IPv4	Se recomienda
	5.5.2	Lab	Configurar y verificar las ACL IPv4 extendidas	Se recomienda
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
7
Módulo 5: Buenas prácticas
Antes de enseñar el Módulo 5, el instructor debe:
Revisar las actividades y evaluaciones para este módulo.
Intentar incluir tantas preguntas como sea posible para mantener a los estudiantes interesados durante la presentación en la clase.
Después de este módulo, el examen de seguridad de red está disponible, cubriendo los módulos 3-5
Tema 5.1
Preguntar a los estudiantes o tenga una discusión en clase:
Ofrezca a los alumnos un escenario para permitir o denegar el tráfico en una red y pídales que escriban una ACL en un editor de texto.
Tenga una discusión en clase sobre cuándo usar una ACL estándar.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
8
Módulo 5: Buenas prácticas (Cont.)
Tema 5.2
Preguntar a los estudiantes o tenga una discusión en clase:
Desarrolle una discusión en clase sobre cuándo un editor de texto o una secuencia de números son apropiados para modificar una ACL.
Dé a los estudiantes un ejemplo de ACL que tenga errores al menos en ACE. Haga que los estudiantes usen números de secuencia para reemplazar el ACE y corregir el ACL.
Tema 5.3
Preguntar a los estudiantes o tenga una discusión en clase:
Discuta por qué se aplicaría una ACL a las líneas VTY.
Haga que los estudiantes preparen una ACL en un editor de texto para limitar el acceso a las líneas VTY.
Tema 5.4
Preguntar a los estudiantes o tenga una discusión en clase:
Tener una discusión sobre la colocación adecuada de las ACL extendidas.
Pregunte a los alumnos qué comandos show se pueden usar para verificar las ACL extendidas.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
9
Módulo 5: ACL para configuración IPv4
Enterprise Networking, Security, and Automation (ENSA) 
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
Programa de Redes de la Academia de Cisco
Enterprise Networking, Security, and Automation (ENSA) 
Módulo 5: ACL para configuración IPv4
10
Objetivos del módulo
Título de Módulo: ACL para configuración IPv4
Objetivo del módulo: Implementar las ACL de IPv4 para filtrar el tráfico y proteger el acceso administrativo.
	Título del tema	Objetivo del tema
	Configuración de ACL IPv4 estándar	Configurar listas ACL IPv4 estándar para filtrar el tráfico y así cumplir con los requisitos de red.
	Modificación de ACL IPv4	Utilizar números de secuencia para editar listas ACL IPv4 estándar ya existentes.
	Protección de puertos VTY con una ACL IPv4 estándar	Configurar una ACL estándar para proteger el acceso a VTY.
	Configuración de ACL IPv4 extendidas	Configurar ACL IPv4 extendidas para filtrar el tráfico según los requisitos de red.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
11
5 — ACL para la configuración IPv4
5.0.2 - Qué aprenderé en este módulo?
5.1 Configurar ACL IPv4 estándar
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
12
Configurar ACL IPv4 estándar
Crear una ACL
Todas las listas de control de acceso (ACL) deben planificarse. Al configurar una ACL compleja, se sugiere que:
Utilice un editor de texto y escriba los detalles de la política que se va a implementar.
Agregue los comandos de configuración del IOS para realizar esas tareas.
Incluya comentarios para documentar la ACL.
Copie y pegue los comandos en el dispositivo.
Pruebe siempre exhaustivamente una ACL para asegurarse de que aplica correctamente la política deseada.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.1 – Cree una ACL.
13
Configurar listas
ACL de IPv4 estándares Sintaxis de una ACL de IPv4 estándar numerada
Para crear una ACL estándar numerada, utilice el comando access-list .
	Parámetro	Descripción
	número-acl	El rango de números es de 1 a 99 o de 1300 a 1999
	deny	Deniega el acceso si se dan las condiciones.
	permit	Permite el acceso si se dan las condiciones.
	 texto de observación	(Opcional) entrada de texto para fines de documentación
	origen	Identifica la red de origen o la dirección de host que se va a filtrar
	comodín-origen	(Optativo) Máscara wildcard de 32 bits para aplicar al origen.
	registrar	(Opcional) Genera y envía un mensaje informativo cuando el ACE coincide
Nota: Utilice el comando de configuración global no access-list access-list-number para eliminar una ACL estándar numerada.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.2 – Sintaxis de una ACL de IPv4 estándar numerada
14
Configurar listas
ACL de IPv4 estándares Sintaxis de una ACL de IPv4 estándar con nombre
Para crear una ACL estándar numerada, utilice el comando ip access-list standard
Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de minúsculas y deben ser únicos. 
No es necesario que los nombres de las ACL comiencen con mayúscula, pero esto los hace destacarse cuando se observa el resultado de show running-config.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.3 – Sintaxis de una ACL de IPv4 estándar con nombre
15
Configuración de la ACL IPv4 estándar
Aplicación de la ACL IPv4 estándar
Después de configurar una ACL IPv4 estándar, debe vincularse a una interfaz o entidad. 
El comando ip access-group se utiliza para enlazar una ACL IPv4 estándar numerada o nombrada a una interfaz.
Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group interface configuration.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.4 –Aplicación de una ACL IPv4 estándar
16
Configuración de la ACL IPv4 estándar Ejemplo de ACL estándar numerado
El ejemplo ACL permite el tráfico desde el host 192.168.10.10 y todos los hosts de la interfaz de salida de red 192.168.20.0/24 serial 0/1/0 en el router R1.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.5 — Ejemplo de ACL IPv4 estándar numerada
17
Configuración de ACL IPv4 estánda
 Ejemplos de ACL estándar numeradas (Cont.)
Use el comando show running-config para revisar el ACL en la configuración.
Use el comando show ip interface para verificar que el ACL esta aplicado a a interfaz
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.5 — Ejemplo de ACL IPv4 estándar numerada (cont.)
18
Configuración de la ACL IPv4 denominada 
Ejemplo de ACL estándar denominada
El ejemplo ACL permite el tráfico desde el host 192.168.10.10 y todos los hosts de la interfaz de salida de red 192.168.20.0/24 serial 0/1/0 en el router R1.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.6 — Ejemplo de ACL IPv4 estándar con nombre
19
Configuración de ACL IPv4 estándar
Ejemplos de ACL numeradas estandar (Cont.)
Use el comando show access-list show access-list para revisar el ACL en la configuración.
Use el comando show ip interface para verificar que el ACL está aplicado a la interfaz.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.6 — Ejemplo de ACL IPv4 estándar con nombre (cont.)
5.1.7 — Comprobador de sintaxis — Configurar ACL IPv4 estándar
20
Configurar listas ACL de IPv4 estándares
Packet Tracer – Configurar listas ACL de IPv4 estándares
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
Planifique una implementación de ACL
Configure, aplique y verifique una ACL estándar
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.8 – Packet Tracer - Configure ACL IPv4 estándar numeradas
21
Configurar ACL IPv4 estándares
Packet Tracer – Configurar listas ACL de IPv4 estándares con nombre
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
Configurar y aplicar una ACL estándar con nombre
Verificar la implementación de la ACL
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.1 — Configurar ACL IPv4 estándar
5.1.8 – Packet Tracer - Configure ACL IPv4 estándar numeradas
22
5.2 Modificación de ACL de IPv4
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.2 – Modificación de ACL de IPv4
23
Modificar ACL IPv4
Dos métodos para modificar una ACL
Después de configurar una ACL, es posible que deba modificarse. Las ACL con varias ACE pueden ser complejas de configurar. A veces, el ACE configurado no produce los comportamientos esperados. 
Hay dos métodos que se deben utilizar al modificar una ACL:
Utilice un editor de texto.
Utilice números de secuencia
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.2 – Modificación de ACL de IPv4
5.2.1 — Dos métodos para modificar y ACL
24
Modificar listas ACL de IPv4
Método de editor de textos
Las ACL con varias ACE deben crearse en un editor de texto. Esto permite crear o editar la ACL y luego pegarla en la interfaz del router. También simplifica las tareas para editar y corregir una ACL.
Para corregir un error en una ACL:
Copie la ACL de la configuración en ejecución y péguela en el editor de texto.
Realice las ediciones o cambios necesarios.
Elimine la ACL configurada previamente en el router.
Copie y pegue la ACL editada de nuevo en el router.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.2 – Modificación de ACL de IPv4
5.2.2 — Método del editor de texto
25
Modificar listas ACL de IPv4
método secuencia de números
Una ACE ACL se puede eliminar o agregar utilizandolos números de secuencia ACL.
Utilice el comando ip access-list standard para editar una ACL. 
Las instrucciones no se pueden sobrescribir con el mismo número de secuencia que el de una instrucción existente. La instrucción actual debe eliminarse primero con el comando no 10. A continuación, se puede agregar el ACE correcto utilizando el número de secuencia. 
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.2 – Modificación de ACL de IPv4
5.2.3 — Método de número de secuencia
26
Modificar ACL IPv4
Modificar una ACL con nombre Ejemplo
Las ACL con nombre también pueden utilizar números de secuencia para eliminar y agregar ACE. En el ejemplo se agrega una ACE para denegar hosts 192.168.10.11.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.2 – Modificación de ACL de IPv4
5.2.4 — Modificar un ejemplo de ACL con nombre
27
Modificar listas ACL de IPv4
Estadísticas de una ACL
El comando show access-lists del ejemplo muestra las estadísticas de cada sentencia que se ha coincidente. 
El ACE de denegación se ha igualado 20 veces y el ACE de permiso se ha igualado 64 veces.
Tenga en cuenta que la declaración deny any implícita no muestra ninguna estadística. Para realizar un seguimiento de cuántos paquetes denegados implícitos se han asociado, debe configurar manualmente el comando deny any .
Utilice el comando clear access-list counters para borrar las estadísticas de ACL.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.2 – Modificación de ACL de IPv4
5.2.5 – Estadísticas de una ACL
5.2.6 — Comprobador de sintaxis — Modificar ACL IPv4
28
Modificar las ACL de IPv4
Packet Tracer – configure y modifique las ACL IPv4 estándar
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
Configurar dispositivos y verificar la conectividad
Configurar y verificar ACL estándar numeradas y con nombre
Modificar una ACL estándar
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.2 – Modificación de ACL de IPv4
5.2.7 -Packet Tracer: Configuración de listas ACL IPv4 estandar
29
Protección de puertos VTY con una ACL IPv4 estándar
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.3 - Protección de puertos VTY con una ACL IPv4 estándar
30
Asegurar puertos VTY con una ACL de IPv4 estándar
 El comando access-class
Una ACL estándar puede proteger el acceso administrativo remoto a un dispositivo mediante las líneas vty implementando los dos siguientes pasos:
Cree una ACL para identificar a qué hosts administrativos se debe permitir el acceso remoto.
Aplique la ACL al tráfico entrante en las líneas vty.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.3 - Protección de puertos VTY con una ACL IPv4 estándar
7.2.3.1 - El comando access-class
31
Protección de puertos VTY con una ACL IPv4 estándar
Ejemplo de acceso seguro a VTY
En este ejemplo se muestra cómo configurar una ACL para filtrar el tráfico vty.
En primer lugar, se configura una entrada de base de datos local para un usuario ADMIN y una clase de contraseña.
Las líneas vty en R1 están configuradas para utilizar la base de datos local para la autenticación, permitir el tráfico SSH y utilizar la ACL ADMIN-HOST para restringir el tráfico.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.3 - Protección de puertos VTY con una ACL IPv4 estándar
5.3.2 — Ejemplo de Acceso Secure VTY
32
Asegurar puertos VTY con una ACL de IPv4 estándar
Verificar que el puerto VTY esté asegurado
Después de configurar la ACL para restringir el acceso a las líneas VTY, es importante verificar que funcione correctamente.
Para verificar las estadísticas de ACL, ejecute el comando show access-lists .
La coincidencia en la línea permit del resultado es producto de una conexión SSH correcta de la PC192.168.10.10. 
La coincidencia en la instrucción deny se debe al intento fallido de una PC, a un dispositivo en la red , de establecer una conexión SSH.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.3 - Protección de puertos VTY con una ACL IPv4 estándar
5.3.3 – Verificación de la seguridad del puerto VTY
5.3.4 — Comprobador de sintaxis — Proteja los puertos VTY
33
5.4 Configuración de ACL IPv4 extendidas
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
34
Configurar ACL IPv4 extendidas
ACL extendidas
Las ACL extendidas proporcionan un mayor rango de control. Pueden filtrar por dirección de origen, dirección de destino, protocolo (es decir, IP, TCP, UDP, ICMP) y número de puerto.
Las ACL extendidas se pueden crear como:
ACL extendida numerada: creada mediante el comando de configuración global access-list access-list-number.
Llamada ACL extendida: creada usando el nombre de lista de acceso extendido de ip access-list .
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.1 – ACL extendidas
35
Configurar protocolos y puertos de ACL 
IPv4 extendidos
Las ACL extendidas se pueden filtrar por protocolo y número de puerto. Usar el símbolo "?" para obtener ayuda al ingresar a un ACE complejo. Los cuatro protocolos resaltados son las opciones más populares.
Opciones de protocolo
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.3 — Protocolos y puertos
36
Configurar
 protocolos y puertos de ACL IPv4 extendidos (Cont.) 
La selección de un protocolo influye en las opciones de puerto. Muchas opciones de puerto TCP están disponibles, como se muestra en la salida.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.3 — Protocolos y puertos
37
Ejemplos de configuración de números de puerto y protocolos de ACL IPv4 extendidos
Las ACL extendidas pueden filtrar en diferentes opciones de número de puerto y nombre de puerto. 
En este ejemplo se configura una ACL 100 extendida para filtrar el tráfico HTTP. El primer ACE utiliza el nombre del puerto www. El segundo ACE utiliza el número de puerto 80. Ambas ACE logran exactamente el mismo resultado.
La configuración del número de puerto es necesaria cuando no aparece un nombre de protocolo específico, como SSH (número de puerto 22) o HTTPS (número de puerto 443), como se muestra en el siguiente ejemplo.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.4 — Ejemplos de configuración de protocolos y números de puerto
38
Configurar ACL IPv4 extendidas
Aplicar una ACL IPv4 extendida numerada
En esteejemplo, la ACL permite que el tráfico HTTP y HTTPS de la red 192.168.10.0 vaya a cualquier destino.
Las ACL extendidas se pueden aplicar en varias ubicaciones. Sin embargo, normalmente se aplican cerca del origen. Aquí ACL 110 se aplica entrante en la interfaz R1 G0/0/0.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.5 — Aplicar una ACL IPv4 extendida numerada
39
Configurar ACL IPv4 extendidas
TCP Establecida ACL extendida
TCP también puede realizar servicios básicos de firewall con estado usando la palabra clave TCP establecida.
La palabra clave establecida permite que el tráfico interno salga de la red privada interna y permite que el tráfico de respuesta devuelta entre en la red privada interna.
Se deniega el tráfico TCP generado por un host externo e intentando comunicarse con un host interno.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.6 — TCP Establecido ACL Extendida
40
Configurar ACL IPv4 extendidas
TCP Establecida ACL extendid(Cont.)\
ACL 120 está configurado para permitir sólo devolver tráfico web a los hosts internos. A continuación, la ACL se aplica saliente en la interfaz R1 G0/0/0. 
El comando show access-lists muestra que los hosts internos están accediendo a los recursos web seguros desde Internet. 
Nota: Si el segmento TCP que regresa tiene los bits ACK o de restablecimiento (RST) establecidos, que indican que el paquete pertenece a una conexión existente, se produce una coincidencia TCP.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.6 — TCP Establecida ACL Extendida (Cont.)
41
Configuración de las ACL IPv4 extendidas Creación de ACL extendidas denominadas
La asignación de nombres a las ACL hace más fácil comprender su función. Para crear una ACL extendida con nombre, utilice el comando ip access-list extended configuration.
En el ejemplo, se crea una ACL extendida con nombre llamada NO-FTP-ACCESS y el indicador cambia a modo de configuración ACL extendida con nombre. Las sentencias ACE se introducen en el modo de subconfiguración de ACL extendido con nombre.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.7 — Sintaxis de ACL IPv4 extendida con nombre
42
Configuración de las ACL IPv4 extendidas Creación de ACL extendidas denominadas
La topología a continuación se utiliza para demostrar la configuración y aplicación de dos ACL IPv4 extendidas con nombre a una interfaz:
SURF - Esto permitirá que dentro del tráfico HTTP y HTTPS salga a Internet. 
Navegación - Esto solo permitirá devolver tráfico web a los hosts internos mientras que todo el resto del tráfico que sale de la interfaz R1 G0/0/0 está implícitamente denegado. 
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.8 — Ejemplo de ACL IPv4 extendida con nombre
43
Ejemplo de Configuración de ACL IPv4 extendidas denominadas ACL IPv4 extendida (Cont.) 
La ACL de SURF permite que el tráfico HTTP y HTTPS de los usuarios internos salga de la interfaz G0/0/1 conectada a Internet. La ACL de navegación permite que el tráfico web que regrese de Internet vuelva a la red privada interna.
La ACL de SURF se aplica entrante y la ACL de navegación se aplica saliente en la interfaz R1 G0/0/0.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.8 — Ejemplo de ACL IPv4 extendida con nombre (cont.)
44
Ejemplo de Configuración de ACL IPv4 extendidas denominadas ACL IPv4 extendida (Cont.) 
Para verificar las estadísticas de ACL, ejecute el comando show access-lists. Observe que los contadores HTTPS seguros de permiso (es decir, eq 443) en la ACL de SURF y los contadores de retorno establecidos en la ACL de navegación han aumentado. 
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.8 — Ejemplo de ACL IPv4 extendida con nombre (cont.)
45
Configuración de las ACL IPv4 extendidas
 Edición de ACL extendidas
Una ACL extendida se puede editar utilizando un editor de texto cuando se requieren muchos cambios. O bien, si la edición se aplica a una o dos ACE, se pueden utilizar números de secuencia.
Por ejemplo:
El número de secuencia ACE 10 de la ACL de SURF tiene una dirección de red IP de origen incorrecta.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.9 — Editar ACL extendidas
46
Configuración de las ACL IPv4 extendidas
 Edición de ACL extendida(Cont.)
Para corregir este error, la sentencia original se elimina con el comando no sequence_# y la sentencia corregida se agrega reemplazando la sentencia original.
El resultado del comando show access-lists verifica el cambio de configuración.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.9 — Editar ACL extendidas (cont.)
47
Configuración de ACL IPv4 Extendidas Otro ejemplo de ACL IPv4 Extendida
Se crearán dos ACL extendidas con nombre:
PERMIT-PC1 - Esto sólo permitirá el acceso TCP PC1 a Internet y denegará todos los demás hosts de la red privada. 
REPLY-PC1 - Esto sólo permitirá que el tráfico TCP devuelto especificado a PC1 deniegue implícitamente todo el resto del tráfico. 
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.10 — Otro ejemplo de ACL IPv4 extendida
48
Configuración de ACL IPv4 Extendidas Otro ejemplo de ACL IPv4 Extendida (Cont.)
La ACL PERMIT-PC1 permite el acceso TCP PC1 (192.168.10.10) al tráfico FTP, SSH, Telnet, DNS, HTTP y HTTPS.
La ACL REPLY-PC1 permitirá el tráfico de retorno a PC1.
La ACL PERMIT-PC1 se aplica entrante y la ACL REPLY-PC1 se aplica saliente en la interfaz R1 G0/0/0.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.10 — Otro ejemplo de ACL IPv4 extendida (cont.)
49
Configuración de las ACL IPv4 extendidas Verificación de ACL extendidas
El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido en el que se aplicó.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.11 — Verificar ACL extendidas
50
Configuración de ACL IPv4 extendidas 
Verifique ACLs extendidas (Cont.)
El comando show access-lists se puede utilizar para confirmar que las ACL funcionan como se esperaba. El comando muestra contadores estadísticos que aumentan cada vez que se hace coincidir una ACE.
Nota: Se debe generar tráfico para verificar el funcionamiento de la ACL. 
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuraciónde ACL IPv4 extendidas
5.4.11 — Verificar ACL extendidas (cont.)
51
Configuración de ACL IPv4 extendidas
 Verifique ACLs extendidas (Cont.)
El comando show running-config se puede utilizar para validar lo que se configuró. El comando también muestra las observaciones configuradas.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.11 — Verificar ACL extendidas
52
Configurar las ACL IPv4 extendidas
 Packet Tracer - Configurar las ACL IPv4 extendidas: escenario 1
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
Configurar, aplicar y verificar una ACL extendida numerada
Configurar, aplicar y verificar una ACL extendida con nombre
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.12 – Packet Tracer: configuración de ACL extendidas, situación 1
53
Configurar las ACL de IPv4 extendidas 
Packet Tracer— Configurar ACL IPv4 Extendidas - Escenario 2 
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
Configurar una ACL extendida y nombrada
Aplicar y verificar la ACL extendida
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.4 Configuración de ACL IPv4 extendidas
5.4.13 – Packet Tracer: configuración de ACL extendidas, situación 2
54
5.5 - Módulo de práctica y cuestionario
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5- ACL para configuración IPv4
5.5 – Práctica del módulo y cuestionario
55
Módulo de práctica y Quiz Packet Tracer –
Desafío de implementación de ACL IPv4 
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
Configurar un router con ACL estándar nombrada
Configurar un router con ACL extendida nombradas
Configurar un router con ACL extendidas para cumplir con requisitos de comunicación específicos
Configurar una ACL para controlar el acceso a las líneas de terminal de dispositivos de red
Configurar las interfaces de router adecuadas con ACL en la dirección apropiada
Verificar el funcionamiento de las ACL configuradas
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.5 – Práctica del módulo y cuestionario
5.5.1 — Packet Tracer — Desafío de implementación de ACL IPv4
56
Práctica del módulo y cuestionario 
Lab — Configurar y verificar ACL IPv4 extendidas
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
Armar la red y configurar los ajustes básicos de los dispositivos
Configurar y verificar de IPv4 ACL extendidas
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
5.0 - ACL para la configuración IPv4	
5.5 – Práctica del módulo y cuestionario
5.5.2 — Lab — Configurar y verificar ACL IPv4 extendidas
57
Práctica del módulo y cuestionario
¿Qué aprendí en este módulo?
Para crear una ACL estándar con nombre, utilice el comando de configuración global ip access-list standard access-list-name .
Utilice el comando de configuración global no access-list access-list-number para eliminar una ACL estándar numerada. 
Use el comando show ip interface para verificar que el ACL esta aplicado a a interfaz
Para crear una ACL estándar con nombre, utilice el comando de configuración global ip access-list standard access-list-name . 
Utilice el comando de configuración global no ip access-list standard access-list-name para eliminar una ACL IPv4 estándar con nombre.
Para enlazar una ACL IPv4 estándar numerada o nombrada a una interfaz, utilice el comando de configuración global ip access-group{access-list-number| access-list-name } { in | out }.
Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group interface configuration. 
Para eliminar la ACL, se utiliza el comando de configuración global no access-list.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
58
5.0 - ACL para la configuración IPv4	
5.5 – Práctica del módulo y cuestionario
5.5.3 - ¿Qué aprendí en este módulo?
Práctica del módulo y cuestionario
¿Qué aprendí en este módulo?
Pueden filtrar por dirección de origen, dirección de destino, protocolo (es decir, IP, TCP, UDP, ICMP) y número de puerto.
Para crear una ACL extendida numerada, use el Router (config) # access-list access-list-number {deny | permit | remark text } código fuente de protocolo [operador [port]] destinationdestination-comodín[operator[port]] [establecido] [log] comando de configuración global. 
Los ALC también pueden realizar servicios básicos de firewall con estado usando la palabra clave TCP establecida .
El comando show ip interface se utiliza para verificar la ACL en la interfaz y el sentido en el que se aplicó.
Para modificar una ACL, utilice un editor de texto o números de secuencia.
Una ACE ACL también se puede eliminar o agregar utilizando los números de secuencia ACL. 
Los números de secuencia se asignan automáticamente cuando se introduce una ACE.
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
59
5.0 - ACL para la configuración IPv4	
5.5 – Práctica del módulo y cuestionario
5.5.3 - ¿Qué aprendí en este módulo?
Módule 5: ACLs para configuración IPv4
Nuevos términos y comandos
	numbered extended ACL
named extended ACL
numbered standard ACL
named standard ACL
ip access-list standard
no ip access-list standard
ip access-list extended
ip access-list
ip access-group
show access-lists
clear access-list counters
access-class
established
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
60
‹Nº›
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
61