jump to navigation

Listas de acceso con nombre

octubre 31, 2019

Con listas de acceso IP numeradas, para modificar una lista tendría que borrar primero la lista de acceso numerada y volver a introducirla de nuevo con las correcciones necesarias. En una lista de acceso numerada no es posible borrar instrucciones individuales.
Las listas de acceso IP con nombre permiten eliminar entradas individuales de una lista específica. El borrado de entradas individuales permite modificar las listas de acceso sin tener que eliminarlas y volver a configurarlas desde el principio. Sin embargo no es posible insertar elementos selectivamente en una lista. Si se agrega un elemento a la lista, este se coloca al final de la misma.
No es posible usar el mismo nombre para varias listas de acceso. Las listas de acceso de diferentes tipos tampoco pueden compartir nombre.

Configuración de una lista de acceso Nombrada

Router(config)#ip access-list[standard|extended][nombre]
Router(config[std|ext]nac1)#[permit|deny][condiciones de prueba]
Router(config[std|ext]nac1)#no[permit|deny][condiciones de prueba]
Router(config)#Interfaz asociación de la ACL
Router(config-if)#ip access-group[nombre][in|out]

Para eliminar una instrucción individual, anteponga no a la condición de prueba.
Ejemplo de una ACL nombrada “INTRANET” denegando tráfico hacia un FTP:

Router(config)#ip access-list extended INTRANET
Router(config-ext-nacl)#deny tcp any any eq 21 log
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface ethernet 1
Router(config-if)#ip access-group INTRANET out

Se creo una ACL con el nombre INTRANET que deniega todo trafico de cualquier origen a cualquier destino hacia el Puerto 21, luego se permite cualquier otro trafico IP. Se uso el comando log (opcional) para enviar información de la ACL a un servidor. Se asocia a la interfaz ethernet 1 como saliente.
Para agregar un comentario a una ACL:

Router#configure t
Router(config)#access-list [número] remark [comentario]

Verificación de ACL

Router#show ip interface[tipo de interfaz][Nº de interfaz]

Verifica si una lista de acceso esta asociada a un interfaz.
Muestra información de la interfaz IP.

Router#show access-list

Muestra contenido de todas las listas de acceso:

Router#show access-lists
Standard IP access list 10
deny 192.168.1.0
Extended IP access list 120
deny  tcp host 204.204.10.1 any eq 80
permit ip any any
Extended IP access list INTRANET
deny  tcp any any eq 21 log
permit ip any any

Router#show[protocolo]access-list[Nº lista de acceso|nombre]




Este blog no persigue fines económicos, sin embargo necesitamos de la publicidad para que podamos seguir adelante. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir en marcha. A ti no te costará nada y a nosotros nos será de gran ayuda.





Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»

1. Mauricio Carrera - diciembre 5, 2006

mi cosulta es sobre el comando opcional log; en donde se coloca la direccion del servidor en que se guardara el archivo

2. Ernesto Ariganello - diciembre 7, 2006

Hola, el comando loggin permite entro otras cosas asociar un servidor de log, pero esto no entra en el CCNA.
Mira el ejemplo

SR0_3524(config)#logging ?
Hostname or A.B.C.D IP address of the logging host

buffered Set buffered logging parameters
console Set console logging level
facility Facility parameter for syslog messages
file Set logging file parameters
monitor Set terminal line (monitor) logging level
on Enable logging to all supported destinations
source-interface Specify interface for source address in logging transactions
trap Set syslog server logging level

3. NetMan - septiembre 18, 2007

Para la implementación de syslog (logging) en linux con routers cisco tenemos este articulo:

http://www.busindre.com/servidor-gnulinux-syslog-router-cisco/

Saludos

4. jorge - junio 4, 2008

que debo hacer en un pc para activar el servicio de servidor log.

Hay algun software para windows que active este servicio en el pc.

5. Ernesto Ariganello - junio 4, 2008

Hola Jorge, puedes instalar por ejemplo un Solarwinds.

Un saludo

6. Rohen - noviembre 28, 2008

Buen dí­a,

existe un comando que permita que el nombre en un router sea mas largo . Gracias

ROHEN

7. nwman - agosto 11, 2009

No, Rohen.

8. Jose Tapia - diciembre 12, 2009

Muchas gracias toda la info de este sitio me esta sirviendo mucho para un curso intensivo de cnna q estoy llevando dema gracias

9. Ann - diciembre 13, 2009

olle muchas gracias
ayuda mucho esta guia ojala la pagina siga
suerte hermno gracias.

10. Josu - abril 12, 2010

Gran web de apoyo, con gran trabajo por detras.

Felicidades Ernesto!

11. Mauricio - diciembre 9, 2010

Felicitaciones y muchas gracias por todos los conocimientos que subes a esta web
este material es un muy buen complemento al aprendizaje individual de cada uno leyendo los materiales y aplicandolo en ejercicios prácticos.

Saludos Ernesto y a todos!

12. pirulito - marzo 3, 2011

hola
me gustaria saber como hago para bloquear una red con una acl extendida… ayuda porfavor




Hospedado en el Data Center de Tecnocratica