Standard ACL

Ejemplo de ACL estándar que bloquea la red HR 192.168.2.0/24 y permite a la red Legal 192.168.1.0/24 acceder al Servidor Legal 192.168.3.0/24 a través del router R1

1. Qué es la ACL Standard

Cuando se gestiona una red, a menudo es necesario controlar qué tráfico se permite o deniega.

Una lista de control de acceso (ACL) estándar le ayuda a conseguirlo filtrando el tráfico IPv4 basándose únicamente en la dirección IP de origen.

Diagrama ACL Standard que permite a la red legal 192.168.1.0/24 y deniega a la red HR 192.168.2.0/24 el acceso al servidor legal 192.168.3.1

En el ejemplo siguiente:

  • La red legal (192.168.1.0/24) puede acceder al servidor legal (192.168.3.1).
  • A la red de RRHH (192.168.2.0/24) se le deniega el acceso a ese mismo servidor.

Este es un caso de uso perfecto para una ACL Standard, sólo te importa quién está enviando el tráfico, no a dónde va o qué tipo de tráfico es.

2. Configurar ACL Standard

Ahora que ya sabes lo que es una ACL Standard, vamos a ver cómo configurar una paso a paso en un router Cisco.

Paso 1: Acceder al modo de configuración global

R1# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#

Paso 2: Crear la Standard ACL

Para crear una ACL Standard, utilice el comando ip access-list standard.

R1(config)# ip access-list standard ? 
  <1-99>        Standard IP access-list number
  <1300-1999>   Standard IP access-list number (expanded range)
  WORD          Access-list name

Aquí elegimos el número 10, que forma parte de los rangos válidos para las Standard ACLs:

  • De 1 a 99 (gama clásica)
  • De 1300 a 1999 (gama ampliada)
R1(config)# ip access-list standard 10 
R1(config-std-nacl)# permit ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

Paso 3: Autorizar la red jurídica

Queremos permitir el tráfico de la red 192.168.1.0/24.

Veamos las opciones disponibles:

R1(config-std-nacl)# permit ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

Aquí elegimos que coincida con una dirección de red:

R1(config-std-nacl)# permit 192.168.1.0 ?      
  A.B.C.D  Wildcard bits
  log      Log matches against this entry

Haremos coincidir una red utilizando una wildcard mask:

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255

Esta línea coincide con cualquier host de 192.168.1.0 a 192.168.1.255.

¿Por qué 0.0.0.255?

En las ACL, no utilizamos máscaras de subred, sino wildcard masks..

Una wildcard mask es la inversa de una máscara de subred. Indica al router qué bits debe ignorar al comparar direcciones IP. 

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
Máscara de subredWildcard MaskPartidos
255.255.255.00.0.0.255Todas las IP de una subred /24
255.255.255.2550.0.0.0Una IP exacta


Así que..:

permit 192.168.1.0 0.0.0.255 => allows the whole 192.168.1.0/24 network
permit 192.168.1.10 0.0.0.0 => allows only 192.168.1.10

Paso 4: Denegar la red RH

Ahora bloqueamos todo el tráfico desde 192.168.2.0/24:

R1(config-std-nacl)# deny 192.168.2.0 0.0.0.255

Esto coincide con todas las IPs en la subred HR y las bloquea.

Normalmente, no necesitas escribir un deny, ya hay un deny any implícito al final de cada ACL.
Pero aquí, lo añadimos explícitamente para mostrar cómo denegar manualmente una subred específica.

3. Dónde aplicar el ACL Standard

Su ACL está ahora configurada pero no hará nada hasta que la aplique a una interfaz.

Estrategia de colocación

Las ACL Standard sólo filtran en función de la dirección IP de origen.
Por eso la mejor práctica es aplicarlas lo más cerca posible del destino.

¿Por qué?

Porque si aplica la ACL demasiado pronto, podría bloquear el tráfico antes de que llegue a otras partes de la red.

Ejemplo de colocación de ACL estándar aplicando la ACL cerca del destino para permitir a la red Legal y bloquear a la red HR el acceso al Servidor Legal

En nuestro ejemplo:

  • Se permite la red legal (192.168.1.0/24)
  • Se deniega la red HR (192.168.2.0/24)
  • El Servidor Legal (192.168.3.1) es el destino
    Aplicaremos la ACL en la interfaz G0/0, que conecta con el servidor de destino.

Cómo aplicar la ACL

Ahora aplicaremos la ACL número 10 que creamos anteriormente.

Paso 1: Acceder al modo de configuración de interfaz

R1(config)# int g0/0

Paso 2: Compruebe las opciones ACL disponibles

Utilice el comando ip access-group. El router te mostrará los formatos soportados: 

R1(config-if)# ip access-group ?
  <1-199>      IP access list (standard or extended)
  <1300-2699>  IP expanded access list (standard or extended)
  WORD         Access-list name

Paso 3: Aplicar ACL 10 en la dirección de salida

Dado que el tráfico sale hacia el servidor, lo aplicamos de salida:

R1(config-if)# ip access-group 10 ?
  in   inbound packets
  out  outbound packets
R1(config-if)# ip access-group 10 out

Summary

Qué hacerPor qué
Aplicar la ACL en la interfaz de salidaDado que las ACL Standard sólo comprueban la IP de origen
Usar ip access-group 10 outPara activar la ACL en el tráfico saliente

Ahora su ACL está activa y filtrando tráfico en la interfaz como se esperaba.

4. Verificación de ACL Standard

Después de aplicar el ACL, es importante comprobarlo:

  1. La ACL está correctamente escrita
  2. La ACL se aplica correctamente a la interfaz

Cisco proporciona dos comandos para ello.

Paso 1: Compruebe el contenido de la ACL

Utilice el siguiente comando para ver las reglas ACL:

R1# show access-lists 10
Standard IP access list 10
    10 permit 192.168.1.0, wildcard bits 0.0.0.255
    20 deny   192.168.2.0, wildcard bits 0.0.0.255

Esto lo confirma:

  • ACE 10: Se permite el tráfico desde 192.168.1.0/24
  • ACE 20: El tráfico de 192.168.2.0/24 está bloqueado

Paso 2: Comprobar si la ACL se aplica a la interfaz

Utilice el siguiente comando para verificar que la ACL está realmente activa en la interfaz del router:

R1# show ip interface g0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 192.168.3.254/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is 10
  Inbound  access list is not set
  Proxy ARP is enabled
// OUTPUT OMITTED FOR BREVITY

Esto lo confirma:

  • La ACL número 10 se aplica en la dirección de salida
  • Está activo en la interfaz G0/0, que se conecta al servidor de destino

5. Named Standard ACLs

Ahora crearemos la misma lógica ACL que antes pero esta vez, utilizando un nombre en lugar de un número.

Esto facilita la lectura y gestión de su configuración

Ejemplo de ACL estándar con nombre que permite a la red Legal 192.168.1.0/24 y deniega a la red HR 192.168.2.0/24 el acceso al Servidor Legal utilizando una ACL con nombre ALLOW_LEGAL_DENY_HR

Paso 1: Acceder al modo de configuración global

Acceda al modo de configuración global y defina la ACL con un nombre descriptivo:

R1(config)# ip access-list standard ALLOW_LEGAL_DENY_HR

Esto crea una ACL con nombre en standard mode.

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
R1(config-std-nacl)# deny 192.168.2.0 0.0.0.255

Esta ACL con nombre permite la red Legal y bloquea la red HR, igual que la ACL 10.

6. Aplicación de Named ACL Standard

Al igual que con las numbered ACLs, una named ACL con nombre debe aplicarse a una interfaz para activarse.

En este ejemplo, queremos aplicar la ACL a la interfaz G0/0, que conduce al Servidor Legal.

Paso 1: Acceder al modo de configuración de interfaz

R1(config)# interface G0/0

Paso 2: Aplicar la named ACL en la dirección de salida

R1(config-if)# ip access-group ALLOW_LEGAL_DENY_HR out
  • Elegimos fuera porque el tráfico se envía hacia el servidor
  • Esto garantiza que la ACL filtre el tráfico antes de que llegue al destino

7. Verifying Named Standard ACLs

Puede comprobar el contenido de una named ACL con nombre utilizando el comando show access-lists, igual que para las ACL numeradas.

R1# show access-lists ALLOW_LEGAL_DENY_HR
Standard IP access list ALLOW_LEGAL_DENY_HR
    10 permit 192.168.1.0, wildcard bits 0.0.0.255
    20 deny 192.168.2.0, wildcard bits 0.0.0.255

Esto confirma que la ACL se ha creado correctamente y está lista para filtrar el tráfico.

8. Conclusión

Lo que hay que recordar sobre las Standard ACLs

Concepto claveDescripción
Qué filtraSólo la dirección IP de origen
No se puede filtrarIP, protocolos o puertos de destino
Mejor colocaciónLo más cerca posible del destino
Evaluación de normasDe arriba abajo: gana el primer partido
Comportamiento por defectoTermina con una denegación implícita de todo
Rango de números1–99 or 1300–1999
ACL con nombrePuede utilizar un nombre descriptivo en lugar de un número

Ahora que ya sabes cómo funcionan las ACL estándar, pasemos a las ACL Extended y aprendamos a filtrar el tráfico basándonos no sólo en la IP de origen, sino también en el destino, el protocolo y el número de puerto.