Listas de acceso con nombre
octubre 31, 2019
Con listas de acceso IP numeradas, para modificar una lista tendría que borrar primero la lista de acceso numerada y volver a introducirla de nuevo con las correcciones necesarias. En una lista de acceso numerada no es posible borrar instrucciones individuales.
Las listas de acceso IP con nombre permiten eliminar entradas individuales de una lista específica. El borrado de entradas individuales permite modificar las listas de acceso sin tener que eliminarlas y volver a configurarlas desde el principio. Sin embargo no es posible insertar elementos selectivamente en una lista. Si se agrega un elemento a la lista, este se coloca al final de la misma.
No es posible usar el mismo nombre para varias listas de acceso. Las listas de acceso de diferentes tipos tampoco pueden compartir nombre.
Configuración de una lista de acceso Nombrada
Router(config)#ip access-list[standard|extended][nombre]
Router(config[std|ext]nac1)#[permit|deny][condiciones de prueba]
Router(config[std|ext]nac1)#no[permit|deny][condiciones de prueba]
Router(config)#Interfaz asociación de la ACL
Router(config-if)#ip access-group[nombre][in|out]
Para eliminar una instrucción individual, anteponga no a la condición de prueba.
Ejemplo de una ACL nombrada “INTRANET” denegando tráfico hacia un FTP:
Router(config)#ip access-list extended INTRANET
Router(config-ext-nacl)#deny tcp any any eq 21 log
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface ethernet 1
Router(config-if)#ip access-group INTRANET out
Se creo una ACL con el nombre INTRANET que deniega todo trafico de cualquier origen a cualquier destino hacia el Puerto 21, luego se permite cualquier otro trafico IP. Se uso el comando log (opcional) para enviar información de la ACL a un servidor. Se asocia a la interfaz ethernet 1 como saliente.
Para agregar un comentario a una ACL:
Router#configure t
Router(config)#access-list [número] remark [comentario]
Verificación de ACL
Router#show ip interface[tipo de interfaz][Nº de interfaz]
Verifica si una lista de acceso esta asociada a un interfaz.
Muestra información de la interfaz IP.
Router#show access-list
Muestra contenido de todas las listas de acceso:
Router#show access-lists
Standard IP access list 10
deny 192.168.1.0
Extended IP access list 120
deny tcp host 204.204.10.1 any eq 80
permit ip any any
Extended IP access list INTRANET
deny tcp any any eq 21 log
permit ip any any
Router#show[protocolo]access-list[Nº lista de acceso|nombre]
- Publicado en : General
- Autor : Ernesto
Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»
mi cosulta es sobre el comando opcional log; en donde se coloca la direccion del servidor en que se guardara el archivo
Hola, el comando loggin permite entro otras cosas asociar un servidor de log, pero esto no entra en el CCNA.
Mira el ejemplo
SR0_3524(config)#logging ?
Hostname or A.B.C.D IP address of the logging host
buffered Set buffered logging parameters
console Set console logging level
facility Facility parameter for syslog messages
file Set logging file parameters
monitor Set terminal line (monitor) logging level
on Enable logging to all supported destinations
source-interface Specify interface for source address in logging transactions
trap Set syslog server logging level
Para la implementación de syslog (logging) en linux con routers cisco tenemos este articulo:
http://www.busindre.com/servidor-gnulinux-syslog-router-cisco/
Saludos
que debo hacer en un pc para activar el servicio de servidor log.
Hay algun software para windows que active este servicio en el pc.
Hola Jorge, puedes instalar por ejemplo un Solarwinds.
Un saludo
Buen día,
existe un comando que permita que el nombre en un router sea mas largo . Gracias
ROHEN
No, Rohen.
Muchas gracias toda la info de este sitio me esta sirviendo mucho para un curso intensivo de cnna q estoy llevando dema gracias
olle muchas gracias
ayuda mucho esta guia ojala la pagina siga
suerte hermno gracias.
Gran web de apoyo, con gran trabajo por detras.
Felicidades Ernesto!
Felicitaciones y muchas gracias por todos los conocimientos que subes a esta web
este material es un muy buen complemento al aprendizaje individual de cada uno leyendo los materiales y aplicandolo en ejercicios prácticos.
Saludos Ernesto y a todos!
hola
me gustaria saber como hago para bloquear una red con una acl extendida… ayuda porfavor