Configuración y Aplicación de Listas de Control de Acceso (ACL) en Cisco IOS

Preguntas Frecuentes sobre Listas de Control de Acceso (ACL) en Cisco

Aplicación de ACL Estándar

Si el administrador de redes creó una ACL estándar que permite solamente a los dispositivos que se conectan al acceso a la red G0/0 del R2 acceder a los dispositivos en la interfaz G0/1 del R1, ¿cómo se debe aplicar la ACL? (imagen)

Respuesta: Outbound (saliente) en la interfaz R1 G0/1.

Reordenamiento de ACE en Cisco IOS

¿Qué tipo de instrucciones de ACL Cisco IOS suele reordenar como las primeras ACE (Entradas de Control de Acceso)?

Respuesta: Instrucciones de tipo Host.

Efecto del Reinicio en ACLs

¿Qué sucede con las ACE de la lista de acceso 10 si se reinicia el router antes de implementar cualquier otro comando (y sin guardar la configuración)? (imagen)

Respuesta: Las ACE de la lista de acceso 10 se vuelven a numerar. (Nota: Si la configuración activa no se guardó antes del reinicio, las ACE añadidas se perderían. La renumeración automática suele ocurrir durante la edición, no por un reinicio sin guardar.)

Procesamiento de Paquetes por ACLs

¿Cuáles de las siguientes son tres afirmaciones que describen el procesamiento de paquetes por parte de las ACLs?

• Cada instrucción se verifica solo hasta que se detecta una coincidencia o hasta que se llega al final de la lista de ACE.
• La entrada implícita deny any rechaza cualquier paquete que no coincida con una ACE anterior.
• Los paquetes pueden rechazarse o reenviarse según lo indique la ACE con la que coincidan.

Protección de Conexiones con Access-Class

¿Qué tipo de conexión de router se puede proteger con el comando access-class?

Respuesta: Líneas Vty (Virtual Teletype).

Eliminación de una ACE Específica

¿Cuál es la manera más rápida de eliminar una única ACE de una ACL nombrada?

Respuesta: Utilizar la palabra clave no y el número de secuencia de la ACE que se eliminará.

Uso de ACLs Salientes (Outbound)

¿En qué configuración sería preferible colocar una ACL saliente (outbound) en lugar de una ACL entrante (inbound)?

Respuesta: Cuando la ACL se aplica a una interfaz de salida para filtrar los paquetes que provienen de varias interfaces de entrada antes de que estos salgan por dicha interfaz.

Bloqueo Específico y Permiso General

¿Qué puede hacer el administrador para bloquear los paquetes del host 172.16.0.1 sin dejar de permitir el resto del tráfico de la red 172.16.0.0? (imagen)

Respuesta: Agregar manualmente una nueva ACE `deny host 172.16.0.1` con un número de secuencia inferior al de la ACE que permite la red (por ejemplo, usar el número de secuencia 5 si la ACE `permit 172.16.0.0 ...` tiene el número 10 o superior).

Interpretación de Configuración ACL

¿Qué conclusión se puede extraer de esta configuración? (imagen)

Respuesta: Todo el tráfico se bloqueará, no solo el tráfico de la subred 172.16.0.0/24 (esto podría ocurrir si, por ejemplo, la única ACE es un `deny` específico y no hay un `permit` posterior, dejando actuar al `deny any` implícito).

Verificación de ACLs

¿En qué router se debería ejecutar el comando show access-lists?

Respuesta: En el router que tiene la ACL configurada.

Sintaxis de ACL Estándar

¿Qué dirección se requiere en la sintaxis del comando de una ACL estándar?

Respuesta: La dirección IP de origen.

Comandos para Permitir un Host Específico

Un administrador desea permitir únicamente al host 192.168.15.23 acceder a la red a través de una interfaz donde se aplicará una ACL. ¿Cuáles son los dos comandos de configuración que pueden crear la ACE necesaria en la ACL estándar número 10?

• Router1(config)# access-list 10 permit host 192.168.15.23
• Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0