Las ACLs (Access Control Lists) son el mecanismo de seguridad básico en Cisco IOS. Son listas ordenadas de reglas que un router evalúa para permitir (Documentation Index
Fetch the complete documentation index at: https://mintlify.com/tutosrive/redes-de-datos-2026-1/llms.txt
Use this file to discover all available pages before exploring further.
permit) o denegar (deny) el tráfico de red basándose en parámetros como la dirección IP origen, la dirección IP destino, el protocolo o el puerto. Se aplican en las interfaces del router para controlar qué tráfico puede entrar (in) o salir (out) por cada interfaz, constituyendo la primera línea de defensa en el control de acceso a la red.
Reglas Fundamentales
Antes de configurar cualquier ACL, es imprescindible entender cómo las procesa Cisco IOS:- Procesamiento de arriba hacia abajo: el router evalúa las sentencias de la ACL en orden secuencial. En cuanto una sentencia coincide con el paquete, se ejecuta la acción (
permitodeny) y se deja de evaluar el resto de la lista. - Deny implícito al final: toda ACL en Cisco IOS tiene una sentencia
deny ip any anyimplícita e invisible al final. Si ninguna sentencia de la lista coincide con un paquete, este es descartado automáticamente. - Ubicación de ACLs estándar: deben colocarse lo más cerca del destino posible, ya que solo filtran por IP origen y podrían bloquear tráfico legítimo si se colocan cerca del origen.
- Ubicación de ACLs extendidas: deben colocarse lo más cerca del origen posible, para descartar el tráfico no deseado lo antes posible y no consumir ancho de banda innecesariamente.
ACLs Estándar (números 1–99)
Las ACLs estándar filtran el tráfico únicamente en función de la dirección IP origen del paquete. Son las más simples y se usan cuando el criterio de filtrado es solo quién envía el tráfico. Sintaxis:188.98.0.0/16 y denegar todo lo demás.
- La primera línea permite todo el tráfico proveniente de la red
188.98.0.0con máscara wildcard0.0.255.255(equivalente a/16). - La segunda línea deniega explícitamente cualquier otro origen (aunque esta línea sea redundante con el deny implícito, se recomienda incluirla para mayor claridad).
ACLs Extendidas (números 100–199)
Las ACLs extendidas ofrecen un control mucho más granular: filtran por protocolo (TCP, UDP, ICMP, IP), IP origen, IP destino y opcionalmente por puerto (origen o destino). Sintaxis general:tcp: solo se evalúan paquetes con protocolo TCP.any: cualquier IP origen.host 201.33.44.55: destino exacto (equivalente a201.33.44.55 0.0.0.0).eq 80: solo el puerto de destino 80 (HTTP).
ACLs con Nombre
Las ACLs con nombre son la forma moderna y recomendada de crear ACLs en Cisco IOS. Presentan varias ventajas sobre las numeradas:- El nombre es descriptivo y facilita identificar el propósito de la ACL.
- Permiten agregar y eliminar sentencias individuales usando números de secuencia, sin necesidad de borrar y recrear toda la lista.
Crear una ACL con nombre
Editar sentencias con números de secuencia
Los números de secuencia permiten insertar reglas en posiciones específicas o eliminar reglas individuales:Aplicar una ACL a una Interfaz
Una ACL no tiene efecto hasta que se aplica a una interfaz y se especifica la dirección del tráfico que debe filtrar:in: filtra el tráfico que entra a la interfaz (antes de ser enrutado).out: filtra el tráfico que sale por la interfaz (después de ser enrutado).
Solo se puede aplicar una ACL por interfaz por dirección (una
in y una out como máximo por interfaz).Máscaras Wildcard
La máscara wildcard es el complemento de la máscara de subred y se usa en las ACLs para indicar qué bits de la dirección IP deben coincidir (0 = debe coincidir, 1 = no importa).
| Wildcard | Equivalente CIDR | Significado |
|---|---|---|
0.0.0.0 | host exacto | Solo esa IP específica (equivale a host) |
0.0.0.255 | /24 | Toda una red /24 (256 direcciones) |
0.0.255.255 | /16 | Toda una red /16 (65 536 direcciones) |
255.255.255.255 | any | Cualquier IP (equivale a any) |
Verificación de ACLs
show ip access-lists incluye un contador de coincidencias por cada sentencia, lo que facilita verificar si la ACL está siendo procesada:
Material de Referencia
El documentoFundamentos de ACLs-2.pdf está disponible en la carpeta teoria/ del repositorio del curso y contiene la teoría oficial sobre las listas de control de acceso usada en clase.
Para practicar la configuración de ACLs en un entorno simulado, el archivo RED EJEMPLO.pkt en Packet-Tracer/from-teacher/simulaciones/ contiene una topología de red completa donde se aplican ACLs estándar y extendidas sobre distintas VLANs.