Aprende Redes.com

Aprenderedes fue creado con fines educativos, de ninguna manera es una consultora técnica, por esto ruego solo hacer consultas pertinentes a la certificación CCNA».

1. Eduardo Llanos - November 11, 2006

saludos…
Buena la pagina, me gusta como se explica…

Puedo escojer cualquier numero de rango al crear un ACL’s, por ejemplo de: 1-99 empezar con el 20.?

2. Ernesto Ariganello - November 13, 2006

Hola, efectivamente, dentro del rango correspondiente puedes elegir el número que quieras.

Un saludo

3. victor - March 29, 2007

saludo.

si es posible, me gustaria me explicaran como crear una access-list que impida que una lan tenga acceso FTP, FTP-DATA, SSH a ningun sitio, pero X.. cantidad de hosts no tendrán retrinsión alguna.

me gustaria me ayuden a entender este problema.

4. luis yair rivas castillo - June 20, 2007

me encantaria aprender mas sobre las redes en general

5. Roberto Carvajal - July 24, 2007

Me gustaría tener ejemplos de configuraciones de ACLs, en el packet tracer. Porque he tratado de montarlas pero no funciona.

6. Ernesto Ariganello - July 27, 2007

Hola, en la version 4.1 del packet tracer si funcionan (basicas, pero funcionan)

Un saludo

7. Claudio S - September 4, 2007

disculpen como habilito el comando telnet en el packet tracer 4.1?
no tengo idea de nada si pueden poner la secuencia se los agradeceria mucho..gracias adioz

8. claudio soria - September 27, 2007

tengo un problema por alguna razón extrana no puedo borrar una acl que creé en mi router, de hecho nada de la configuración me deja cambiar, puedo agregar, mas no eliminar, a que se deberá este erro

9. Lydacass - September 27, 2007

Hola, me parece muy buena pagina. Me gustaria saber si hay algun material adicional que me pudiera servir para terminar de entender ACL que es un tema que no he podido dominar del todo.

Saludos

10. Ernesto Ariganello - October 1, 2007

Para mas info de ACL mirate el libro de “Fundamentos de Seguridad de Redes” de cisco.

Un saludo

11. daniel ch - October 12, 2007

Compañeros…. podrian ayudarme a encontrar material de ACL’s para estudiar y para practicar?

12. Roockie - October 24, 2007

Hola!
Quiero saber como hacer una ACL que me impida salir a otra red, solamente a un host en especial, pero los demas host si puedan tener acceso al host que estoy impidiendo
Me explico???

13. Caroline - November 29, 2007

¡GRACIAS MAESTRO ERNESTO!

14. Ernesto Ariganello - November 30, 2007

GRACIAS A TODOS USTEDES!!!

15. leandro - December 20, 2007

señor ariganello, usted hace tan simple lo que en los libros se vuelve inconprensible, yo estoy preparando la certificacion 640-801 y la verdad que me ayuda bastante para despejar dudas, siga asi que hace un trabajo magnifico!.

16. Ernesto Ariganello - December 20, 2007

Leo, gracias a ti por leer estas paginas.

Un saludo

17. RAFAEL MARTINEZ - January 31, 2008

buenas tardes maestro ernesto. uso mucho pagina y gracias por permitir prepararnos mejor en redes cisco. mi pregunta es cual es la funcion de cada uno de los protocolos ip, icmp, tcp, udp en las lista de accesos extendidas ya que cuando los aplicos en packet tracer no me funcionan a pesar se tener la sintansis bien.

gracias y disculpe la molestia

Saludos desde Venezuela

18. Ernesto Ariganello - February 1, 2008

Rafael, no creo entenderte bien, a ver…cada uno de estos protocolos tiene funciones especificas y muy puntuales tanto en su forma de conexion como en su uso. Al aplicar ACL debes saber que quieres capar o permitir y buscar el puerto y protocolo especifico para aplicarlo a la lista.

Un saludo a los hermanos venezolanos.

19. Ernesto Ariganello - February 1, 2008

Rafael, una cosa mas en los simuladores como el packet tracer no todo funciona como deberia.

20. RAFAEL MARTINEZ - February 4, 2008

BUENAS TARDES MAESTRO ERNESTO.

GRACIAS POR SU COMENTARIO. LO QUE SUCEDE ES QUE EN PACKET TRACER 4.11, SI TRABAJAR CON ACL EXTENDIDAS PARA QUE ELLAS PUEDEN EJECUTARSE DEBE COLOCARSE ANTES DE LA LINEA FINAL DE LA ACL (IMPLICITA DENY ANY ANY ) PERMIT IP ANY ANY PARA QUE PUEDAN TRABAJAR TODAS LAS LINEAS PRECEDENTES DE LA ACL. Y SI DESEO POR LO MENOS BLOQUEAR EL PING DE UN HOST A OTRO DEBE DE COLOCAR LA SIGUIENTE LINEA.
access-list 101 deny ip host 172.16.3.25 host 192.168.3.1

PIENSO QUE POR LO QUE HE LEIDO QUE LA SENTENCIA DEBERIA DE SER CON EL PROTOCOLO ICMP.

ENTONCES NO SE CUAL EN REALIDAD SE DEBE APLICAR.

GRACIAS POR SU AYUDA Y DISCULPE TANTA MOLESTIA

21. RAFAEL MARTINEZ - February 4, 2008

BUENAS TARDES MAESTRO ERNESTO.

UD DIRA ESTE HOMBRE SI PREGUNTA ..!

QUISIERA SABER SI CUANDO SE CONFIGURA UN SERVICIO DHCP EN UN ROUTER CISCO, HAY FORMA DE QUE EL RANGO QUE SE INDICA EN LA CONFIGURACION ABARQUE MAS DE UNA SUB-RED.

EJEMPLO: ( asigna la ip sin problema)
(config)# ip dchp pool prueba
(config)# network 172.16.3.0 255.255.255.0
(config)# default-router 172.16.3.1

yo requiero que el asigne desde la 172.16.3.0 hasta 172.16.5.224

cuando en simulador coloco varias entradas “network” el solo toma la ultima entrada.

estos es fallas del simulador en la realidad se pueden asignar multiples bloques de direcciones para un servicio dhcp en router serie 2620

Gracias. Nuevamente , pero ud no se imagina lo que su pagina me ayuda a entender mejor los temas de cisco.

22. Ernesto Ariganello - February 5, 2008

Rafael, te respondo las dos en una, con el pin debes utilizar el protocolo ICMP, en los puertos echo ó echo-reply segun corresponda al paquete de ida o a su respuesta. Por otro lado con DHCP puedes asignar solo un rango especifico de red (subred) por interfaz (subinterfaz).

Un saludo

23. alejandro - February 27, 2008

saludos, me parece excelente la info y como se describe de una forma facil de enterder, aun asi tengo una pekeña pregunta… como se hace para crear lista de control de acceso (ACL) pero ke impida numeros de direcciones IP pares o impares…

saludos y gracias por la info

24. Ernesto Ariganello - February 28, 2008

Estimado Alejandro, utilizando una wildcard. -piensa- que bit determina si el numero es par o impar!! Luego filtralo con la mascara comodin. ¿estas estudiando? tu profe ¿no lo explica?

Un saludo

25. jhlazo - March 12, 2008

WENO WENO WENO, buenisimo, ahroa si me siento preparado para mi examen .(^_^).

26. jafith - March 27, 2008

buenas tardes, necesito saber como hago en el paket tracer 4.1 la conexion de dos ciudades es que soy nuevo en este simulador ???

27. Pedro - May 2, 2008

Buen dia,

Tengo algunos problemas para decidir cuando elegir el protocolo a usar en las ACLs extendidas. ¿Cuando elegir IP, cuando elegir TCP o UDP?.
Al elegir IP, ¿se esta incluyendo implicita o explicitamente ICMP, TCP y/o UDP ?

Saludos

28. Ernesto Ariganello - May 5, 2008

Hola, IP incluye todo, debes ser mas puntual a la hora de elegir el protocolo.

S2

29. Ernesto Rivera - May 8, 2008

Hola Ernesto,

Mi nombre es Ernesto Rivera actualmente estoy estudiando el curso de ccna modulo2 y no me queda claro las ACL, donde puedo encontrar ejemplos claros con diagramas de red disenados.

Saludos

30. Ezequiel - June 3, 2008

Hola, tengo una duda, que posiblemente sea una chorrada, pero me está volviendo loco, mi duda es, a la hora de configurar un ACL tanto estandar como extendida, esta se aplica a una interfaz, ya puede ser un serial como un fast-ethernet, hasta aqui todo correcto, mi duda es, como se cuando he de aplicar el sentido del tráfico, por ejemplo, me he fijado que en los enlaces seriales, se aplica hacia el tráfico entrante, ¿se puede configurar tambien como Out, en vez de In? ¿porque? ¿que cambia al configurar la interfaz como out y no como in, y viceversa?.
Si alguien pudiera ayudarme se lo agradeceria muchiiiisimo.
riverside1979@hotmail.com

31. Ernesto Ariganello - June 4, 2008

Ezequiel, las ACL pueden asociarse tanto entrantes como salientes, en cualquier interfaz. La unica condicion es que solo una por tipo y protocolo.

Un saludo.

32. Ezequiel - June 4, 2008

OK, solo una cosilla mas, entonces, por ejemplo, una ACL extendida, que se supone que ha de estar lo más cerca posible del origen del tráfico, en el router en el que se aplica, daría igual que se hiciera:

o en el fast-Ethernet en direccion salida o entrada.

o en el serial de entrada o salida.

Por supuesto, siempre y cuando solo se aplique en una de ellas.
Siento ser tan pesado, pero es que me hago un lio tremendo con esto.
Se me olvidaba, muchisimas grácias por contestarme.

Un saludo

33. Lindbergh - June 29, 2008

Saludos!
Quiero saber si existe un forma estructurada y lógica (método) para la elaboración de las ACLs y si es posible obtenerlo.
Respetuosamente; Lindbergh Bonilla, Costa Rica. CA.
Correo: Lbdcr@costarricense.cr

34. Alexander Torres - July 2, 2008

Saludos Sensei Ernesto!!!
Tengo configuradas dos vlan en un router:
vlan 1 10.84.72.0
Vlan 2 172.23.0.0
desde la 10.84.72.0 le hago ping 172.23.0.0 y viceversa.
estas van enrutadas hacia el mismo default gateway
Necesito una lista de acceso que no me permita que estas IP se puedan ver de modo tal que no les pueda hacer ping de una vlan a otra.

Gracias Sensei Ernesto, y de nuevo felicitaciones.

35. Ernesto Ariganello - July 3, 2008

Alexander: solo evitar el ping???

protocolo: ICMP
Puerto: echo

Saludo

36. alejandro - July 15, 2008

porfavor me podrian explicar como permito la ip impares , por ejemplo permitir todas las ip impares de la red 192.168.1.0 y tambien si pudierian explicar el permiso de las pares porfavor amigos, tengo un examen mañan les agradeceria si me responden en segudia porfavor

37. Ernesto Ariganello - July 15, 2008

Alejandro, este es un ejercicio que uso para mis alumnos por lo tanto no puedo darte la respuesta, solo piensa que bit debes tomar en cuanta para que un numero decimal sea impar, pon ese bit en cero y el resto en unos. Con esto conseguiras que todo numero impar sea tenido en cuenta por el router y a su vez denegado. No puedo darte mas datos.

Un saludo

38. Cesar - July 18, 2008

Q tal Ernesto.
Me llamo Cesar, es q tengo una duda y por el momento no tengo a quien preguntarle.
Tengo el simulador Packet Tracer 4.11 y no se como, vaya q interfaz agregarle al Router para una configuracion RDSI, no se si se puede en el simulador por q no la encuentro, si podrias ayudarme con eso porfavor.
Aprovecho para felicitarte por tus libros q son de bastante ayuda, yo tengo el de guia para la certificacion 801, aunque ya la cambiaron por la 802, es de gran ayuda.

Bueno…espero respuesta.

Un cordial saludo.

39. Ernesto Ariganello - July 18, 2008

Cesar, debes instalar una interfaz bri, o en su defecto pri.

Un saludo

40. jorge - August 8, 2008

hola ernesto estoy llevando el modulo 2 de ccna y estoy cabezon , tengo problemas para ententer lo de in /out , de como se aplica esto a lasinterfaces de lan y wan . Especialmente cuando dices interfas serial 0 quisiera saber si te refieres a la interface wan o lan , y lo mismo con la interface serial1 s ies wan o lan. Todo esto del ehejmplo q das.

Espero q me repsonas esto para poder analizar mejor. Solo te pido eso

gracias

41. Ernesto Ariganello - August 8, 2008

Jorge: tienes que verlo como el router, si el paquete que quieres analizar va a entrar al router (in) o va a salir hacia la red (out). Por otro lado las interfaces series son WAN, estas reglas se aplican a cualquier tipo de interfaz.

Suerte!

42. Humberto - August 26, 2008

Para denegar la interfaz S0/1……me refiero a que los paquetes que vengan de una interfaz Ethernet dentro de la LAN del mismo router solo salgan por la interfaz S0/0…Esta bien asi???

access-list 100 deny IP <><>
host <> (Con esto bloqueo la interfaz)
access-list 100 permit any any (Y permito todo lo demas)

int f0/0
ip access-group 100 in

43. Humberto - August 26, 2008

mmmm
No se porque lo mando asi….
quise poner
access-list 100 deny ip “red origen” “wildmask” host “ip host”
//Con lo anterior especifico que la red origen bloquee la ip del S0/1.
int f0/0
ip access-group 100 in
//Aplico la ACL a la interfaz Ethernet……que es lo mas cercano al destino.

Estoy mal???
Gracias

44. carlos - September 3, 2008

hola una pregunta: Como se puede hacer para que se comuniquen dos sub redes …………………

45. Ernesto Ariganello - September 4, 2008

Carlos, con un router ¿no?

S2

46. Eligio Flores - September 12, 2008

Hola Ernesto, ya dias estoy intentando hacer algo, tengo una red y quiero utilizar ACLs para filtrar el acceso a internet. Por ejemplo las pcs 10.30.55.30 a la .50 solo permiterles acceso www a la red 213.0.0.0 y todas las demas tengan acceso libre. no se si se puede con las ACLs del router o mejor usar un servidor proxy, gracias de antemano.

47. Ernesto Ariganello - September 12, 2008

Eligio, con ACL es factible y seguro.

S”

48. Ricardo - September 23, 2008

como puedo utilizaria las ACL en tuneles ???

49. Ernesto Ariganello - September 24, 2008

Ricardo, aplicando directamente la ACL a la interfaz que forma el tunel.

S2

50. German - October 9, 2008

holaaaaaaaaaaaa jejej grax por la pag esta muy buena ^^
me sirvio mucho!!!

51. Erick Flores - October 27, 2008

Mestro Ernesto, tengo un problema con la colocacion de las ACL, coloque una ACL en un Router de esta manera.
Croquis:
(RIP V1)
|——192.268.1.0—— ROUTER ——-192.168.2.0——|
E0 E1

access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

interface ethernet 0/1
ip access-group 101 in

Esta ACL de hecho no permite que el host 192.168.2.3 salga de la sub red 192.168.2.0, pero, ¿porque cuando trato de hacer ping del host 192.168.1.3 al host 192.168.2.3 no lo hace?, no entiendo si estoy filtrando es trafico de entrada en el puerto ethernet 0/1 y ademas estoy utilizando una ACL Extendida con dir. origen y destino.
Lo probe con el Packet Tracer 5.0.

52. Ernesto Ariganello - October 27, 2008

Erick, el ping si funciona lo que no llega es la respuesta, debes permitir el “echo-reply” para que esta sea permitida.

access-list 101 permit icmp any any echo-reply
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

o permiti icmp completo

access-list 101 permit icmp any any
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

Un saludo

53. Erick Flores - October 28, 2008

Muchisimas gracias Ernesto, ya entendi.

54. Carlo Gonzalez - October 30, 2008

Hola señor Ernesto Ariganello, muy buena la pagina, y muy facil de entender el proceso de ACL, pero tengo una pregunta, o mas bien, un ejercicio que aun no logro entender. El ejercicio es el siguiente:
1- Denegar de los 15 primeros host, solo los pares de las SR1 10.0.1.0 el acceso a la SR4 10.0.4.0

2- Denegar de los primeros 79 host solo los impares de la SR1 10.0.1.0, el acceso a la SR 5 10.0.5.0

Agradeceria mucho,cualquier ayuda que me de en este ejercicio, desde ya mis más profundos agradecimientos.

55. Eligio Flores - November 12, 2008

Hola, un saludo a todos. Y felicidades sr. Ernesto este gran sitio.
Tengo un pequeño problema al momento de aplicar ACLs a un router cisco 1750. Este router esta conectado a un switch por su fastethernet y al swithc tengo tambien conectado un router linksys para compartir el internet con la direccion 10.30.55.3, mi idea es usar el 1750(10.30.55.5) para solo permitir el acceso a internet a ciertas paginas. Tengo una ruta estatica por default que todo lo que entre por el 1750(10.30.55.5) lo mande al 10.30.55.3 hasta aqui esta bien todo todas mis pcs entrar a internet libremente. Aplico esta ACL por ejemplo:

access-list 102 permit ip any host 74.125.95.104
ip access-group 102 out —->en la FastE 0

Esto para que solo las pcs entren a ese sitio q es el de gogle y al poner la direccion en el explorador no entra, pero si ledoy un ping a http://www.google.com me responde y mas aun su en vez de poner el dominio pongo la direccion ip en el explorardor entra. Gracias de antemano por los comentarios.

56. juan pablo - November 12, 2008

hola ernetsto, gracias de antemano por tu colaboracion al exponer esta pagina que es bastante exlicativa.
quisiera consultar como puedo probar si realmante funciona una lista de acceso EXTENDIDA cuando trabajo en un simulador como el Bosom Net sim, ya que en las listas de acceso extendidas que configuré, realmente no pude comprobar si funcionan o no, es decir no supe si la informacion se filtra o no se filtra y como se comprueba, gracias por ayudar a personas como nosotros los que te escribimos que realmente queremos aprender.

57. Ernesto Ariganello - November 13, 2008

Hola Juan Pablo, no se que posibilidades brinda ese simulador, en otros se puede (creo) simular web, tftp y otros puertos. Prueba con el Packet Tracer.

Un saludo

58. Dario =P - December 5, 2008

a alguien le vi que pregunto por como filtrar los pares o los impares.
mira, si tienes por ejemplo la red 172.20.112.0 y quieres los pares seria con la wildcard 0.0.0.254 y para los impares debes poner en la ACL 172.20.112.1 con la will 0.0.0.254.
Analiza esto recuerda que el ultimo bit si es 1 es impar si es 0 es par, es por ello que solo me corro un host.

xD no soy muy bueno explicando pero eso funciona.

59. Richardson - December 11, 2008

Hola Ernesto

quisiera saber si podrias ayudarme con un ejercicio de ACL

tengo que permitir el acceso a los primeros 20 host de la red 100.128.128.0 /25 y no tengo idea de como hacerlo.

agradeceria mucho si me pudieras explicar como realizar el ejercicio.

Saludos!

60. banito!!!! - January 13, 2009

M e parece muy completa la informacion que presentan pero si quiero bloquear varias acls es decir solo un bloque como de la 200.31.15.131 ala 200.31.15.140, ¿com se hace?

61. CESAR18 - June 12, 2009

hola Ernesto tengo un problema con las ACLs tengo 2 redes diferentes con ospf, en una de las redes tengo 2 clientes y un serverubuntu y en la otra un cliente xp un cliente ubuntu y server2008 ¿COMO HAGO PARA QUE SOLO SE PERMITA EL ACCESO ENTRE LOS DOS SERVIDORES Y DENEGAR EL ACCESO DE LOS CLIENTES DE LAS 2 REDES?

62. ernesto - June 13, 2009

Cesar18, simplemente permite las IP de los servidores y deniega el resto. Si es necesario filtra puertos.

S2

63. Enrique morales - August 7, 2009

Sr ernesto es mi maestro gracias es un genio en sto saludos. y gracias por compartir sus conocimientos con todos

64. ivan cespedes - November 16, 2009

Hola Ernesto mucho respeto a tus conocimientos. Me gustaría saber si me puedes hacer el favor de explicarme un poco la utilización de “icmp any any echo-reply” y en sí que hace o qué función tiene el “echo-reply” respecto a ICMP. Necesito solucionar esta duda pronto, gracias.

65. ivan cespedes - November 16, 2009

Hola Ernesto, bueno estuve investigando un poco y llegue a una conclusión pero no sé si es acertada entonces me gustaría saber qué opinas?

Si utilizo el “echo-replay” es como decir “no salga” o en caso contrario “salga”.

Si utilizo el “echo” es “no entre” o en caso contrario “entre”.

Por ejemplo si quiero permitir que entre un ping a la red pero que no salga seria:

access-list 101 permit icmp any any echo
access-list 101 deny icmp any any echo-reply

Bueno me gustaría saber si tengo razón gracias!!!

66. MARCOS ARGUELLES - November 19, 2009

hola a todos me ha gustado mucho la informacion y la entiendo bien solo que tengo una duda por ejemplo en la escuela me estan enseñando a bloquear solo las ip nones o ip pares de una cierta red lo que no entiendo es como cambiar la wilcard mask espero pronto encontra respuesta saludos y gracia snuevamente por la informacion

67. Diegox - November 30, 2009

excelente! gran pagina.. te felicito falta gente como tu en este rubro

DXS

68. anibal!!!! - December 11, 2009

esta buenisimo!!!!

69. Jose Tapia - December 12, 2009

gracia excelente, de verdad gracias por tu interes por compartir lo que sabes

70. Edgar Rodolfo - December 16, 2009

gracias amigo, gracias por compartir y hacer q otras personas q soñamos con ccna podamos aprender de ti, saludos from peru edgar rodolfo…

71. jean - April 14, 2010

Buenas noches hermano felicitaciones por esta informacion y por toda la q existe en esta excelente pagina de verdad q me a ayudado demasiado en mis modulos un cordial saludo a todos y felicitaciones sigan asi….desde VENEZUELA UN ABRAZO

72. sebastian barrera - May 11, 2010

buenas tardes a todos
quisiera saber como puedo hacer una acl que me permita que los host de la red 172.20.16.0/23 con direcciones ip pares accedan al servidor web. lo estoy haciendo en packet tracer pero no me funciona.
mi acl extendida nombrada es:
permit tcp 172.20.16.0 0.0.0.254 host 10.2.11.1 eq 80
y a la interfaz la agrupe como in

73. ernesto - May 12, 2010

Sebas, lo estas haciendo al revés, deniega los impares y luego permite el resto!

Suerte

74. Alexi - July 9, 2010

Wow!!!

Me acabas de salvar la vida, con esta explicacion tan bien hecha; en 5 minutos (bueno 10 por que estoy entre dormida y despierta) entendi lo que el profesor explico en dos clases de aprox dos horas cada una :S
GRACIAS !!!
Muy buena forma de explicar, trato de escribir lo mejor posible sorry, llevo horas con la practica que no acababa, y ya me stoy durmiendo, Saludos…

75. ernesto - July 9, 2010

Alexi, gracias, para eso estamos!

Un saludo

76. Angie - July 18, 2010

Señor Ernesto de verdad muchas gracias por la información de su página, ya curse los cuatro modulos de Cisco CCNA y me estoy preparando para la certificacion y la informacion que presenta en su pagina es muy clara y puntual, hace mas facil la comprension del curriculum.
Saludos desde Costa Rica

77. ernesto - July 19, 2010

Un saludo para los amigos de Costa Rica.