6.3 ACL estándar
6.3.6
Escribir una ACL estándar para denegar una subred específica
Nota para el instructor
  Se presenta un ejemplo de ACL común: denegar tráfico desde una subred específica saliente de una interfaz de router. Observe que la máscara wildcard indica que sólo la red y la subred, pero no los bits de host, se deben verificar. A continuación aparece el permiso explícito any, para permitir que el tráfico de las demás subredes se pueda enviar.

La Mejor práctica para enseñar los indicadores de objetivos del 6.3.1 al 6.3.5 incluye la Actividad de laboratorio (con Diario de ingeniería). Prepárese: la Actividad de laboratorio (con Diario de ingeniería) se divide en dos partes. Completar ambas lleva 60 minutos. Además, es necesario utilizar toda la configuración de laboratorio para hacer la práctica de laboratorio, de manera que no es posible que la clase completa pueda trabajar en esta práctica de laboratorio de forma simultánea, aunque sea en grupo. Pero la única manera de aprender realmente los comandos complejos del IOS es trabajar con un router verdadero y cometer errores reales.

Observe que estos indicadores de objetivos corresponden a los Objetivos nº 44 y nº 45 del Examen de Certificación CCNA.

Tome nota de la Actividad de laboratorio interactiva. Esta actividad puede satisfacer varias necesidades. Puede hacer que todos los estudiantes realicen esta actividad a manera de preparación antes de participar en la verdadera actividad de laboratorio práctico con el router. Si los estudiantes deben turnarse para usar el router, los que no tienen acceso al router en un momento determinado pueden realizar esta actividad preparatoria. Por último, puede utilizar esta actividad a manera de repaso. Con el tiempo se prepararán actividades de esta clase para todos los laboratorios prácticos. Nos interesa su opinión, de modo que lo invitamos a que envíe sus comentarios, inquietudes o preguntas a dfrezzo@cisco.com.

El ejemplo muestra cómo una ACL está diseñada para bloquear el tráfico desde una subred específica, 172.16.4.0, y para permitir que el resto del tráfico sea enviado. Observe la máscara wildcard, 0.0.0.255: Los ceros en los primeros tres octetos indican que estos bits se probarán para verificar la existencia de coincidencias, mientras que el último octeto de sólo unos indica una condición de "no importa" para la comparación del último octeto de la dirección IP (la porción del host). Observe también que la abreviatura any ha sido usada para la dirección IP del origen.

Denegar una subred específica

(access-list 1 deny) 172.16.4.0 0.0.0.255
access-list 1 permit any
(deny any implícito)
(access-list 1 deny any)

interface ethernet 0
ip access-group 1 out

Actividad de laboratorio interactiva  (Flash, 514 kB)
  Antes de realizar la actividad de laboratorio propiamente dicha, le recomendamos que lleve a cabo esta actividad preparatoria para probar su conocimiento de la sintaxis de comando de las Listas de control de acceso estándar (ACL).

Actividad de laboratorio    
  En esta práctica de laboratorio se trabaja con Listas de control de acceso estándar (ACL) para regular el tráfico que se permite pasar a través de un router según el origen, ya sea un host específico (normalmente una estación de trabajo o servidor) o una red completa (cualquier host o servidor en esa red).