jump to navigation

Listas de acceso con nombrenoviembre 6, 2006



Con listas de acceso IP numeradas, para modificar una lista tendría que borrar primero la lista de acceso numerada y volver a introducirla de nuevo con las correcciones necesarias. En una lista de acceso numerada no es posible borrar instrucciones individuales.
Las listas de acceso IP con nombre permiten eliminar entradas individuales de una lista específica. El borrado de entradas individuales permite modificar las listas de acceso sin tener que eliminarlas y volver a configurarlas desde el principio. Sin embargo no es posible insertar elementos selectivamente en una lista. Si se agrega un elemento a la lista, este se coloca al final de la misma.
No es posible usar el mismo nombre para varias listas de acceso. Las listas de acceso de diferentes tipos tampoco pueden compartir nombre.

 
Configuración de una lista de acceso Nombrada

Router(config)#ip access-list[standard|extended][nombre]
Router(config[std|ext]nac1)#[permit|deny][condiciones de prueba]
Router(config[std|ext]nac1)#no[permit|deny][condiciones de prueba]
Router(config)#Interfaz asociación de la ACL
Router(config-if)#ip access-group[nombre][in|out]

Para eliminar una instrucción individual, anteponga no a la condición de prueba.
Ejemplo de una ACL nombrada “INTRANET” denegando tráfico hacia un FTP:

Router(config)#ip access-list extended INTRANET                                       
Router(config-ext-nacl)#deny tcp any any eq 21 log
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface ethernet 1
Router(config-if)#ip access-group INTRANET out

Se creo una ACL con el nombre INTRANET que deniega todo trafico de cualquier origen a cualquier destino hacia el Puerto 21, luego se permite cualquier otro trafico IP. Se uso el comando log (opcional) para enviar información de la ACL a un servidor. Se asocia a la interfaz ethernet 1 como saliente.
Para agregar un comentario a una ACL:

Router#configure t
Router(config)#access-list [número] remark [comentario]

 

 

Verificación de ACL

Router#show ip interface[tipo de interfaz][Nº de interfaz]

Verifica si una lista de acceso esta asociada a un interfaz.
Muestra información de la interfaz IP.

Router#show access-list

Muestra contenido de todas las listas de acceso:

Router#show access-lists
Standard IP access list 10
    deny   192.168.1.0
Extended IP access list 120
    deny   tcp host 204.204.10.1 any eq 80
    permit ip any any
Extended IP access list INTRANET
    deny   tcp any any eq 21 log
    permit ip any any

Router#show[protocolo]access-list[Nº lista de acceso|nombre]

Sí el material de este post te ha sido de utilidad colabora y difúndelo. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir adelante.
Este blog no persigue fines económicos, sin embargo necesitamos de la publicidad para que podamos seguir adelante. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir en marcha. A ti no te costará nada y a nosotros nos será de gran ayuda.







Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»

1. Mauricio Carrera - diciembre 5, 2006

mi cosulta es sobre el comando opcional log; en donde se coloca la direccion del servidor en que se guardara el archivo

2. Ernesto Ariganello - diciembre 7, 2006

Hola, el comando loggin permite entro otras cosas asociar un servidor de log, pero esto no entra en el CCNA.
Mira el ejemplo

SR0_3524(config)#logging ?
Hostname or A.B.C.D IP address of the logging host

buffered Set buffered logging parameters
console Set console logging level
facility Facility parameter for syslog messages
file Set logging file parameters
monitor Set terminal line (monitor) logging level
on Enable logging to all supported destinations
source-interface Specify interface for source address in logging transactions
trap Set syslog server logging level

3. NetMan - septiembre 18, 2007

Para la implementación de syslog (logging) en linux con routers cisco tenemos este articulo:

http://www.busindre.com/servidor-gnulinux-syslog-router-cisco/

Saludos

4. jorge - junio 4, 2008

que debo hacer en un pc para activar el servicio de servidor log.

Hay algun software para windows que active este servicio en el pc.

5. Ernesto Ariganello - junio 4, 2008

Hola Jorge, puedes instalar por ejemplo un Solarwinds.

Un saludo

6. Rohen - noviembre 28, 2008

Buen día,

existe un comando que permita que el nombre en un router sea mas largo . Gracias

ROHEN

7. nwman - agosto 11, 2009

No, Rohen.

8. Jose Tapia - diciembre 12, 2009

Muchas gracias toda la info de este sitio me esta sirviendo mucho para un curso intensivo de cnna q estoy llevando dema gracias

9. Ann - diciembre 13, 2009

olle muchas gracias
ayuda mucho esta guia ojala la pagina siga
suerte hermno gracias.

10. Josu - abril 12, 2010

Gran web de apoyo, con gran trabajo por detras.

Felicidades Ernesto!

11. Mauricio - diciembre 9, 2010

Felicitaciones y muchas gracias por todos los conocimientos que subes a esta web
este material es un muy buen complemento al aprendizaje individual de cada uno leyendo los materiales y aplicandolo en ejercicios prácticos.

Saludos Ernesto y a todos!

12. pirulito - marzo 3, 2011

hola
me gustaria saber como hago para bloquear una red con una acl extendida… ayuda porfavor




Hospedado en el Data Center de Tecnocratica