Standard ACL

standard acl placement explanation schema

1. ¿Qué es la Standard ACL?

Cuando se gestiona una red, a menudo es necesario controlar qué tráfico se permite o deniega.
Aquí es donde un Standard Access Control List (ACL) resulta útil.

Una ACL estándar es un conjunto de reglas que filtra el tráfico IPv4 basándose únicamente en la dirección IP de origen.

Ejemplo de ACL estándar que permite la red legal y bloquea el tráfico HR

En este ejemplo, queremos controlar el acceso a un servidor legal utilizando una Standard ACL:

  • Permitir que la red legal 192.168.1.0/24 acceda al servidor legal 192.168.3.1
  • Bloquear el acceso de la red de RRHH 192.168.2.0/24 al mismo servidor.

Este es un caso de uso típico en el que las ACL estándar son útiles para controlar el acceso en función de la IP de origen.

Configuración en el router Cisco

Ahora configuraremos este comportamiento paso a paso en el router R1.

Paso 1: Acceder al modo de configuración global

R1# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#

Paso 2: Crear la Standard ACL

Para crear una Standard ACL, utilice el comando ip access-list standard.

R1(config)# ip access-list standard ? 
  <1-99>        Standard IP access-list number
  <1300-1999>   Standard IP access-list number (expanded range)
  WORD          Access-list name

Aquí elegimos el número 10, que forma parte de los rangos válidos para las Standard ACLs:

  • De 1 a 99 (gama clásica)
  • De 1300 a 1999 (gama ampliada)
R1(config)# ip access-list standard 10 
R1(config-std-nacl)# permit ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

Paso 3: Autorizar la red jurídica

Queremos permitir el tráfico de la red 192.168.1.0/24.

R1(config-std-nacl)# permit ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

Aquí elegimos que coincida con una dirección de red:

R1(config-std-nacl)# permit 192.168.1.0 ?      
  A.B.C.D  Wildcard bits
  log      Log matches against this entry

A continuación, añadimos la máscara comodín:

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255

Vamos a explicar este comando:

  • 192.168.1.0 es la red con la que queremos coincidir
  • 0.0.0.255 se denomina wildcard mask

¿Qué es una wildcard mask?

Es la inversa de una subnet mask. Indica al router qué partes de la dirección deben coincidir:

  • 0 significa «debe coincidir exactamente»
  • 255 significa «se permite cualquier valor»

Así que 0.0.0.255 significa:
«Coincide con cualquier dirección de 192.168.1.0 a 192.168.1.255»

Paso 4: Denegar la red RH

Ahora bloqueamos todo el tráfico de la red HR 192.168.2.0/24.

R1(config-std-nacl)# deny 192.168.2.0 0.0.0.255

Esta regla bloquea cualquier IP de 192.168.2.0 a 192.168.2.255.

Importante: La denegación implícita

Cada ACL termina con una regla invisible que bloquea todo lo demás:

Cualquier paquete que no coincida con una regla de permiso será denegado automáticamente.

Por tanto, aunque no añada ninguna denegación, seguirá estando ahí por defecto.

En este punto, se crea la ACL. Pero aún no está activa.

En la siguiente sección, lo aplicaremos a la interfaz correcta del router para que pueda empezar a filtrar el tráfico.

2. Dónde aplicar el Standard ACL

Una vez creada su Standard ACL, no hará nada hasta que la aplique a una interfaz.
Este paso indica al router dónde debe operar la ACL y en qué dirección debe inspeccionar los paquetes.

Estrategia de colocación

Una Standard ACL filtra el tráfico sólo en función de la dirección IP de origen.
Debido a esta limitación, la mejor estrategia es aplicarla lo más cerca posible del destino.

¿Por qué no cerca de la fuente?
Si lo aplica demasiado pronto, puede bloquear accidentalmente tráfico que debería haber llegado a otras partes de la red.

En nuestro ejemplo, queremos:

  • Permitir 192.168.1.0/24 (Legal)
  • Bloque 192.168.2.0/24 (HR)
  • Proteger el acceso al servidor 192.168.3.1
standard acl placement explanation schema

El Servidor Legal está detrás de la interfaz G0/2 del router R1.

Por lo tanto, aplicamos la ACL a G0/2, que es el más cercano al destino.

Esto garantiza que sólo el tráfico permitido llegue al servidor.

Cómo aplicar la ACL

Ahora aplicaremos la ACL número 10 que creamos anteriormente.

Paso 1: Acceder al modo de configuración de interfaz

En primer lugar, accede a la interfaz que conduce al destino.

R1(config)# int g0/0

Paso 2: Compruebe las opciones ACL disponibles

Utilice el comando ip access-group. El router te mostrará los formatos soportados: 

R1(config-if)# ip access-group ?
  <1-199>      IP access list (standard or extended)
  <1300-2699>  IP expanded access list (standard or extended)
  WORD         Access-list name

Paso 3: Aplicar ACL 10 en la dirección de salida

Como estamos filtrando el tráfico que sale del router hacia el servidor, elegimos la dirección de salida.

R1(config-if)# ip access-group 10 ?
  in   inbound packets
  out  outbound packets
R1(config-if)# ip access-group 10 out

Summary

  • Aplicar ACL estándar lo más cerca posible del destino
  • Utilice ip access-group en la interfaz correcta
  • Elija hacia fuera al filtrar los paquetes que salen del router

Ahora la ACL está activa y empezará a filtrar el tráfico basándose en las reglas configuradas.

3. Verificación de Standard ACLs

Después de aplicar el ACL, es importante comprobarlo:

  1. La ACL está correctamente escrita
  2. La ACL se aplica correctamente a la interfaz

Cisco proporciona dos comandos para ello.

Paso 1: Compruebe el contenido de la ACL

Utilice el siguiente comando para ver las reglas ACL:

R1# show access-lists 10
Standard IP access list 10
    10 permit 192.168.1.0, wildcard bits 0.0.0.255
    20 deny   192.168.2.0, wildcard bits 0.0.0.255

Esto lo confirma:

  • El tráfico de 192.168.2.0/24 está bloqueado
  • Se permite el tráfico desde 192.168.1.0/24

Paso 2: Comprobar si la ACL se aplica a la interfaz

Utilice el siguiente comando para verificar que la ACL está realmente activa en la interfaz del router:

R1# show ip interface g0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 192.168.3.254/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is 10
  Inbound  access list is not set
  Proxy ARP is enabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP CEF switching is enabled
  IP mtu 1500

Esto lo confirma:

  • La ACL número 10 se aplica en la dirección de salida
  • Está activo en la interfaz G0/0, que se conecta al servidor de destino

4. Named Standard ACLs

10Por defecto, las Standard ACLs se crean utilizando números (por ejemplo, < wpml_ignored_tag >).
Sin embargo, también se pueden utilizar nombres, lo que hace que la configuración sea más legible y fácil de gestionar.

Vamos a crear una named Stadard ACL llamada ALLOW_LEGAL_DENY_HR con la misma lógica que antes.

Ejemplo de ACL estándar que permite la red legal y bloquea el tráfico HR

Paso 1: Acceder al modo de configuración global

Acceda al modo de configuración global y defina la ACL con un nombre descriptivo:

R1(config)# ip access-list standard ALLOW_LEGAL_DENY_HR

Esto crea una ACL con nombre en standard mode.

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
R1(config-std-nacl)# deny 192.168.2.0 0.0.0.255

Esta configuración significa:

  • Permitir todo el tráfico de la red Legal (192.168.1.0/24)
  • Bloquear todo el tráfico de la red de RRHH (192.168.2.0/24)

Al igual que con las ACL numeradas, siempre hay una denegación implícita al final.

5. Aplicación de Named Standard ACLs a interfaces

Al igual que con las numbered ACLs, una named ACL con nombre debe aplicarse a una interfaz para activarse.

En este ejemplo, queremos aplicar la ACL a la interfaz G0/0, que conduce al Servidor Legal.

Paso 1: Acceder al modo de configuración de interfaz

R1(config)# interface G0/0

Paso 2: Aplicar la named ACL en la dirección de salida

R1(config-if)# ip access-group ALLOW_LEGAL_DENY_HR out
  • Elegimos fuera porque el tráfico se envía hacia el servidor
  • Esto garantiza que la ACL filtre el tráfico antes de que llegue al destino

6. Verificación de Named Standard ACLs

Puede comprobar el contenido de una named ACL con nombre utilizando el comando show access-lists, igual que para las ACL numeradas.

R1# show access-lists ALLOW_LEGAL_DENY_HR
Standard IP access list ALLOW_LEGAL_DENY_HR
    10 permit 192.168.1.0, wildcard bits 0.0.0.255
    20 deny 192.168.2.0, wildcard bits 0.0.0.255

Esto confirma que la ACL se ha creado correctamente y está lista para filtrar el tráfico.

7. Conclusión

Lo que hay que recordar sobre las Standard ACLs

Concepto claveDescripción
Qué filtraSólo dirección IP de origen
No se puede filtrarIP, puertos o protocolos de destino
Dónde aplicarloLo más cerca posible del destino
Evaluación de normasDe arriba a abajo – gana el primer partido, el resto se ignora
Comportamiento por defectoDenegar todo implícitamente al final (aunque no esté configurado)
Rango de números1-99 (clásico) o 1300-1999 (ampliado)
ACL con nombreUtilice un nombre descriptivo en lugar de un número para facilitar la lectura.
ActivaciónSólo funciona cuando se aplica a una interfaz utilizando ip access-group

Ahora que ha aprendido las ACL estándar, el próximo curso se centrará en la configuración de una Extended ACL.