6.2 Tareas de configuración de las ACL
6.2.1 Creación de ACL
Nota para el instructor
  Se presenta la sintaxis para crear las ACL. Aunque la configuración básica sólo requiere dos comandos (uno para crear la lista de acceso y otro para aplicarlo a una interfaz específica), hay muchos parámetros que deben configurarse. La Mejor práctica para enseñar este indicador de objetivos es la Miniconferencia, en la que se debe analizar cuidadosamente la sintaxis real para las listas de acceso verdaderas, y probablemente entonces volver atrás y explicar la abstracción de todo el comando. La referencia del Diario de ingeniería tiene sólo un ejemplo explicado de este tipo. Este indicador de objetivos se relaciona con el Objetivo nº 44 del Examen de certificación CCNA.
En la práctica, los comandos ACL pueden ser largas cadenas de caracteres. Entre las tareas clave para la creación de ACL que se examinan en esta sección se incluyen las siguientes:
  • Las ACL se crean utilizando el modo de configuración global.
  • Al especificar un número ACL del 1 al 99 se instruye al router que debe aceptar las sentencias de las ACL estándar. Al especificar un número ACL del 100 al 199 se instruye al router para aceptar las sentencias de las ACL extendidas.
  • Se deben seleccionar y ordenar lógicamente las ACL de forma muy cuidadosa. Los protocolos IP permitidos se deben especificar; todos los demás protocolos se deben denegar.
  • Se deben seleccionar los protocolos IP que se deben verificar; todos los demás protocolos no se verifican. Más adelante en el procedimiento, también se puede especificar un puerto destino opcional para mayor precisión.

Agrupación de ACL en interfaces

Aunque cada protocolo tiene su propio conjunto de tareas específicas y reglas que se requieren para proporcionar filtrado de tráfico, en general la mayoría de los protocolos requieren los dos pasos básicos. El primer paso es crear una definición de ACL, y el segundo es aplicar la ACL a una interfaz.

Las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o saliente, según la configuración. Las ACL salientes son generalmente más eficientes que las entrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada paquete para ver si cumple con la condición de la ACL antes de conmutar el paquete a una interfaz saliente.

Asignación de un número único a cada ACL

Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva, asignando un número a la ACL del protocolo. Cuando se usa un número para identificar una ACL, el número debe estar dentro del intervalo específico de números que es válido para el protocolo.

Se pueden especificar ACL por números para los protocolos enumerados para la tabla. La tabla también incluye el intervalo de números de ACL que es válido para cada protocolo.

Después de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas, necesita eliminar todas las sentencias en la ACL numerada mediante el comando no access-list list-number.

Diario de ingeniería
  Ejemplo de configuración de ACL numerada