ACL Estándar

Ejemplo de ACL estándar que bloquea la red HR 192.168.2.0/24 y permite a la red Legal 192.168.1.0/24 acceder al Servidor Legal 192.168.3.0/24 a través del router R1

1. Qué es la ACL Estándar

Cuando se gestiona una red, a menudo es necesario controlar qué tráfico se permite o deniega.

Una lista de control de acceso (ACL) estándar le ayuda a conseguirlo filtrando el tráfico IPv4 basándose únicamente en la dirección IP de origen.

Diagrama ACL estándar IPv4 que permite a la red legal 192.168.1.0/24 y deniega a la red HR 192.168.2.0/24 el acceso al servidor legal 192.168.3.1

En el ejemplo siguiente:

  • La red legal (192.168.1.0/24) puede acceder al servidor legal (192.168.3.1).
  • A la red de RRHH (192.168.2.0/24) se le deniega el acceso a ese mismo servidor.

Este es un caso de uso perfecto para una ACL Estándar, sólo te importa quién está enviando el tráfico, no a dónde va o qué tipo de tráfico es.

2. Configurar ACL Estándar,

Ahora que ya sabes lo que es una ACL Estándar,, vamos a ver cómo configurar una paso a paso en un router Cisco.

Paso 1: Acceder al modo de configuración global

R1# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#

Paso 2: Crear la ACL Estándar,

Para crear una ACL Estándar, utilice el comando ip access-list standard.

R1(config)# ip access-list standard ? 
  <1-99>        Standard IP access-list number
  <1300-1999>   Standard IP access-list number (expanded range)
  WORD          Access-list name

Aquí elegimos el número 10, que forma parte de los rangos válidos para las ACLs Estándar:

  • De 1 a 99 (gama clásica)
  • De 1300 a 1999 (gama ampliada)
R1(config)# ip access-list standard 10 
R1(config-std-nacl)# permit ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

Paso 3: Autorizar la red jurídica

Queremos permitir el tráfico de la red 192.168.1.0/24.

Veamos las opciones disponibles:

R1(config-std-nacl)# permit ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

Aquí elegimos que coincida con una dirección de red:

R1(config-std-nacl)# permit 192.168.1.0 ?      
  A.B.C.D  Wildcard bits
  log      Log matches against this entry

Haremos coincidir una red utilizando una wildcard mask:

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255

Esta línea coincide con cualquier host de 192.168.1.0 a 192.168.1.255.

¿Por qué 0.0.0.255?

En las ACL, no utilizamos máscaras de subred, sino wildcard masks..

Una wildcard mask es la inversa de una máscara de subred. Indica al router qué bits debe ignorar al comparar direcciones IP. 

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
Máscara de subredMáscara comodínPartidos
255.255.255.00.0.0.255Todas las IP de una subred /24
255.255.255.2550.0.0.0Una IP exacta


Así que..:

permit 192.168.1.0 0.0.0.255 => allows the whole 192.168.1.0/24 network
permit 192.168.1.10 0.0.0.0 => allows only 192.168.1.10

Paso 4: Denegar la red RH

Ahora bloqueamos todo el tráfico desde 192.168.2.0/24:

R1(config-std-nacl)# deny 192.168.2.0 0.0.0.255

Esto coincide con todas las IPs en la subred HR y las bloquea.

Normalmente, no necesitas escribir un deny, ya hay un deny any implícito al final de cada ACL.
Pero aquí, lo añadimos explícitamente para mostrar cómo denegar manualmente una subred específica.

3. Dónde aplicar el ACL Estándar

Su ACL está ahora configurada pero no hará nada hasta que la aplique a una interfaz.

Estrategia de colocación

Las ACL Estándar sólo filtran en función de la dirección IP de origen.
Por eso la mejor práctica es aplicarlas lo más cerca posible del destino.

¿Por qué?

Porque si aplica la ACL demasiado pronto, podría bloquear el tráfico antes de que llegue a otras partes de la red.

Ejemplo de colocación de ACL estándar aplicando la ACL cerca del destino para permitir a la red Legal y bloquear a la red HR el acceso al Servidor Legal

En nuestro ejemplo:

  • Se permite la red legal (192.168.1.0/24)
  • Se deniega la red HR (192.168.2.0/24)
  • El Servidor Legal (192.168.3.1) es el destino
    Aplicaremos la ACL en la interfaz G0/0, que conecta con el servidor de destino.

Cómo aplicar la ACL

Ahora aplicaremos la ACL número 10 que creamos anteriormente.

Paso 1: Acceder al modo de configuración de interfaz

R1(config)# int g0/0

Paso 2: Compruebe las opciones ACL disponibles

Utilice el comando ip access-group. El router te mostrará los formatos soportados: 

R1(config-if)# ip access-group ?
  <1-199>      IP access list (standard or extended)
  <1300-2699>  IP expanded access list (standard or extended)
  WORD         Access-list name

Paso 3: Aplicar ACL 10 en la dirección de salida

Dado que el tráfico sale hacia el servidor, lo aplicamos de salida:

R1(config-if)# ip access-group 10 ?
  in   inbound packets
  out  outbound packets
R1(config-if)# ip access-group 10 out

Summary

Qué hacerPor qué
Aplicar la ACL en la interfaz de salidaDado que las ACL Estándar sólo comprueban la IP de origen
Usar ip access-group 10 outPara activar la ACL en el tráfico saliente

Ahora su ACL está activa y filtrando tráfico en la interfaz como se esperaba.

4. Verificación de ACL Estándar

Después de aplicar el ACL, es importante comprobarlo:

  1. La ACL está correctamente escrita
  2. La ACL se aplica correctamente a la interfaz

Cisco proporciona dos comandos para ello.

Paso 1: Compruebe el contenido de la ACL

Utilice el siguiente comando para ver las reglas ACL:

R1# show access-lists 10
Standard IP access list 10
    10 permit 192.168.1.0, wildcard bits 0.0.0.255
    20 deny   192.168.2.0, wildcard bits 0.0.0.255

Esto lo confirma:

  • ACE 10: Se permite el tráfico desde 192.168.1.0/24
  • ACE 20: El tráfico de 192.168.2.0/24 está bloqueado

Paso 2: Comprobar si la ACL se aplica a la interfaz

Utilice el siguiente comando para verificar que la ACL está realmente activa en la interfaz del router:

R1# show ip interface g0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 192.168.3.254/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is 10
  Inbound  access list is not set
  Proxy ARP is enabled
// OUTPUT OMITTED FOR BREVITY

Esto lo confirma:

  • La ACL número 10 se aplica en la dirección de salida
  • Está activo en la interfaz G0/0, que se conecta al servidor de destino

5. Conclusión

Lo que hay que recordar sobre las ACL Estándar

Concepto claveDescripción
Qué filtraSólo la dirección IP de origen
No se puede filtrarIP, protocolos o puertos de destino
Mejor colocaciónLo más cerca posible del destino
Evaluación de normasDe arriba abajo: gana el primer partido
Comportamiento por defectoTermina con una denegación implícita de todo
Rango de números1–99 or 1300–1999

Ahora que ya sabes cómo funcionan las ACL estándar, pasemos a las ACL Extendida aprendamos a filtrar el tráfico basándonos no sólo en la IP de origen, sino también en el destino, el protocolo y el número de puerto.