Configuremos algunas listas de acceso para que pueda demostrarle cómo se hace esto en enrutadores Cisco IOS. En esta lección cubriremos la lista de acceso estándar. Esta es la topología:
Dos enrutadores y cada enrutador tiene una interfaz de bucle invertido. Usaré dos rutas estáticas para que los enrutadores puedan alcanzar la interfaz de bucle invertido del otro:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2
R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1
¡Ahora comencemos con una lista de acceso estándar! Crearé algo en R2 que solo permita el tráfico de la red 192.168.12.0 / 24:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255
Esta entrada de permiso único será suficiente. Tenga en cuenta que en la parte inferior de la lista de acceso hay un «denegar cualquiera». No lo vemos, pero está ahí. Vamos a aplicar esta lista de acceso entrante en R2:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 in
Utilice el comando ip access-group para aplicarlo a una interfaz. Lo apliqué inbound con la palabra clave in.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1
Puede verificar que la lista de acceso se haya aplicado con el comando mostrar interfaz ip. Arriba puede ver que la lista de acceso 1 se ha aplicado de entrada.
Ahora generemos algo de tráfico
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
Nuestro ping es exitoso; comprobemos la lista de acceso:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
Como puede ver, la lista de acceso muestra el número de coincidencias por instrucción. Podemos usar esto para verificar nuestra lista de acceso. Déjame mostrarte algo útil cuando juegas con listas de acceso:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)
Cuando envías un ping puedes usar la palabra clave de origen para seleccionar la interfaz. La dirección IP de origen de este paquete IP ahora es 1.1.1.1 y puede ver que estos pings fallan porque la lista de acceso los elimina.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
No los verá con el comando mostrar lista de acceso porque el comando «denegar cualquiera» los está soltando.
¿Y si quisiera algo diferente? Digamos que quiero denegar el tráfico de la red 192.168.12.0 / 24 pero permitir todas las demás redes? Puedo hacer algo como esto: