Resumen Capitulo 5 CCNA Exploration 4.0 Qu es una ACL?

La ACL es una configuracin de router que controla si un router permite o deniega paquetes segn el criterio encontrado en el encabezado del paquete. Las ACL son unos de los objetos ms comnmente utilizados en el software IOS de Cisco. Las ACL tambin se utilizan para seleccionar los tipos de trfico por analizar, reenviar o procesar de otras maneras. Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL se revisa de arriba a abajo, una lnea a la vez, y se busca un patrn que coincida con el paquete entrante. La ACL hace cumplir una o ms polticas de seguridad corporativas al aplicar una regla de permiso o denegacin para determinar el destino del paquete. Es posible configurar las ACL para controlar el acceso a una red o subred. De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto, no filtra el trfico. El trfico que ingresa al router es enrutado segn la tabla de enrutamiento. Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarse a travs del router lo atraviesan hacia el prximo segmento de la red. A continuacin, le presentamos pautas para el uso de las ACL: * Utilice las ACL en routers firewall entre su red interna y su red externa, como Internet. * Utilice las ACL en un router situado entre dos partes de la red a fin de controlar el trfico que entra o sale de una parte especfica de su red interna. * Configure las ACL en routers de borde situados en los extremos de la red. Esto proporciona un bfer muy bsico desde la red externa, o entre un rea menos controlada y un rea ms sensible de su red. * Configure las ACL para cada protocolo de red configurado en las interfaces del router de borde. Puede configurar las ACL en una interfaz para filtrar los trficos entrantes, salientes o ambos. Las tres P Puede recordar una regla general para aplicar las ACL en un router mediante las tres P. Puede configurar una ACL por protocolo, por direccin y por interfaz. Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y saliente. Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo, Fast Ethernet 0/0. Escribir una ACL puede ser una tarea desafiante y compleja. Cada interfaz puede tener varios protocolos y direcciones definidos. El router del ejemplo tiene dos interfaces configuradas para IP: AppleTalk e IPX. Es probable que este router necesite 12 ACL por separado, una ACL para cada protocolo, multiplicada por dos por cada direccin y por dos por la cantidad de puertos. Las ACL realizan las siguientes tareas: * Limitar el trfico de red para mejorar el rendimiento de sta. Por ejemplo, si la poltica corporativa no permite el trfico de video en la red, pueden configurarse y aplicarse las ACL que bloquean el trfico de video. Esto reduce considerablemente la carga de la red y aumenta su rendimiento. * Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las

condiciones de la red, se preserva el ancho de banda. * Proporcionar un nivel bsico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. * Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del router. Por ejemplo, una ACL puede permitir el trfico de correo electrnico, pero bloquear todo el trfico de Telnet. * Controlar las reas de la red a las que puede acceder un cliente. * Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACL pueden permitir o denegar el acceso de un usuario a tipos de archivos, como FTP o HTTP. Las ACL inspeccionan los paquetes de la red segn un criterio, como direccin de origen, de destino, protocolos y nmeros de puerto. Adems de permitir o denegar el trfico, una ACL puede clasificar el trfico para darle prioridad en la lnea. Esta capacidad es similar a tener un pase VIP para un concierto o evento deportivo. El pase VIP le da a determinados invitados privilegios que no se ofrecen al pblico en general, como el ingreso a reas restringidas y asientos en el palco. Cmo funcionan las ACL? Las listas de acceso definen el conjunto de reglas que proporcionan control adicional para los paquetes que ingresan a las interfaces de entrada, paquetes que pasan a travs del router y paquetes que salen de las interfaces de salida del router. Las ACL no actan sobre paquetes que se originan en el mismo router. Las ACL se configuran para ser aplicadas al trfico entrante o saliente. * ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas de enrutamiento si el paquete se descarta. Si el paquete est autorizado por las pruebas, luego se procesa para el enrutamiento. * ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a travs de la ACL de salida. Las sentencias de la ACL operan en orden secuencial. Comparan los paquetes con la ACL, de arriba hacia abajo, una sentencia a la vez. Una sentencia implcita final cubre todos los paquetes para los cuales las condiciones no resultan verdaderas. Esta ltima prueba coincide con todos los dems paquetes y produce una "denegacin" del paquete. En lugar de salir o entrar a una interfaz, el router descarta todos los paquetes restantes. La ltima sentencia generalmente se denomina "implicit deny any statement" (denegar implcitamente una sentencia) o "deny all traffic" (denegar todo el trfico). Debido a esta sentencia, una ACL debe contar con, al menos, una sentencia de permiso; de lo contrario, la ACL bloquea todo el trfico. Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede haber una ACL por protocolo, por direccin y por interfaz. Tipos de ACL de Cisco Hay dos tipos de ACL Cisco: estndar y extendidas. ACL estndar Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin global. ACL extendidas Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo

de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor disparidad de control. En la figura, la ACL 103 permite el trfico que se origina desde cualquier direccin en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuracin global. Los comandos para las ACL se explican en los prximos temas. Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes ms pequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no le informa el propsito de la ACL. Por ello, si se parte del IOS de Cisco Versin 11.2, puede utilizar un nombre para identificar una ACL de Cisco. La figura resume la regla para especificar las ACL numeradas y las ACL denominadas. En cuanto a las ACL, si se pregunta por qu se saltean los nmeros del 200 al 1299, la respuesta es porque esos nmeros son utilizados por otros protocolos. Este curso se centra slo en las ACL IP. Por ejemplo, los nmeros del 600 al 699 son utilizados por AppleTalk y los nmeros del 800 al 899 por IPX. Una conversacin TCP Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este control puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL tambin pueden configurarse para controlar el trfico de red segn el puerto TCP que se utiliza. Cuando solicita datos de un servidor Web, IP se encarga de la comunicacin entre la PC y el servidor. TCP se encarga de la comunicacin entre su navegador Web (aplicacin) y el software de servidor de red. Cuando enva un correo electrnico, visita una pgina Web o descarga un archivo, TCP es el responsable de desglosar los datos en paquetes para IP, antes de enviarlos, y de integrar los datos de los paquetes al recibirlos Recuerde que TCP ofrece un servicio orientado a la conexin, confiable y de stream de bytes. El trmino "orientado a la conexin" significa que las dos aplicaciones que utilizan TCP deben establecer una conexin TCP entre s antes de intercambiar datos. TCP es un protocolo full-duplex, que significa que cada conexin TCP admite un par de streams de bytes, y cada stream fluye en una direccin. TCP incluye un mecanismo de control de flujo para cada stream de bytes que permite al receptor limitar la cantidad de datos que el transmisor puede enviar. TCP tambin implementa un mecanismo de control de congestin. Filtrado de paquetes El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla el acceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso segn un criterio establecido. Un router acta como filtro de paquetes cuando reenva o deniega paquetes segn las reglas de filtrado. Cuando un paquete llega al router de filtrado de paquetes, ste extrae determinada informacin del encabezado del paquete y toma decisiones segn las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El filtrado de paquetes acta en la capa de red del modelo de interconexin de sistema abierto (OSI, Open Systems Interconnection) o en la capa Internet de TCP/IP. Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la autorizacin o denegacin del trfico segn las direcciones IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las listas de control de acceso o ACL.

La ACL puede extraer la siguiente informacin del encabezado del paquete, probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios: * Direccin IP de origen * Direccin IP de destino * Tipo de mensaje ICMP La ACL tambin puede extraer informacin de las capas superiores y probarla respecto de las reglas. La informacin de las capas superiores incluye: * Puerto TCP/UDP de origen * Puerto TCP/UDP de destino

CISCO - CCNA 3 --------- Captulo 6 ------ Resumen

22:12 ERIOL--MK 1 COMMENT

Ruteo Inter-VLAN
Una VLAN es tcnicamente un dominio de broadcast diferente, por lo que de forma predeterminada no pueden comunicarse entre s, salvo se usen diferentes tcnicas de ruteo inter-vlan cada una de los cuales tiene sus ventajas y sus desventajas, a continuacin mostrar un ejemplo de una tcnica llamada "Router-on-a-stick", que en resumen consiste en configurar una interfaz fsica de un Router para operar como un enlace troncal en el puerto de un switch, el Router efectua el ruteo intervlan de forma interna mediante el uso de subinterfaces, una subinterfaz es una interfaz virtual(va software) que se crea en una interfaz fsica, por lo que se asocia cada subinterfaz con un nmero de VLAN, asi que podemos tener varias subinterfaces creadas en una misma interfaz fsica, lo cual presenta ventajas y desventajas que enumeramos a continuacin.

Ventajas

Fcil de implementar solo se requiere crear una subinterfaz por cada VLAN en el Router.

Mucho ms econmica que tener un Router por VLAN.

Mucho mejor latencia que tener un Router por VLAN.

Desventajas

Los Routers son ms lentos que los switches para ruteo inter-VLAN, lo ideal es tener un switch multicapa.

Si se necesita incrementar el nmero de puertos, entre ms puertos requiera un Router ms costoso resulta.

Estamos expuestos al buen funcionamiento de una sola interfaz fsica en el Router, esto es un nico punto de fallo.

http://xomalli.blogspot.mx/2011/09/ruteo-inter-vlan-con-router-on-stick.html

http://XOMALLI.blogspot.mx

Dertalles de Ruteo Inter-Vlan

El enrutamiento inter VLAN se realiza utilizando un router dedicado o un switch multicapa.

El enrutamiento inter VLAN facilita la comunicacin entre dispositivos aislados por los lmites de la VLAN.

El enrutamiento inter VLAN tradicional requiere de la configuracin de un router con interfaces fsicas mltiples, conectadas fsicamente para separar las VLAN en un switch.

El modelo router-on-a-stick proporciona una funcionalidad similar al enrutamiento inter VLAN tradicional a un costo reducido, pero proporciona menor rendimiento en las redes ocupadas.

El enrutamiento inter VLAN tradicional utiliza las interfaces fsicas del router, mientras que el enrutamiento inter VLAN del router-on-a-stick utiliza interfaces lgicas de la interfaz fsica.

Para reducir el riesgo de problemas en la configuracin del switch, router o direccin IP, es necesario verificar la configuracin de cada dispositivo.

Uso del router como gateway

El enrutamiento tradicional requiere de routers que tengan interfaces fsicas mltiples para facilitar el enrutamiento inter VLAN. El router realiza el enrutamiento al conectar cada una de sus interfaces fsicas a una VLAN nica. Adems, cada interfaz est configurada con una direccin IP para la subred asociada con la VLAN conectada a sta. Al configurar las direcciones IP en las interfaces fsicas, los dispositivos de red conectados a cada una de las VLAN pueden comunicarse con el router utilizando la interfaz fsica conectada a la misma VLAN. En esta configuracin los dispositivos de red pueden utilizar el router como un gateway para acceder a los dispositivos conectados a las otras VLAN.

Interfaces y sub interfaces

Para superar las limitaciones de hardware del enrutamiento inter VLAN basado en interfaces fsicas del router, se utilizan subinterfaces virtuales y enlaces troncales, como en el ejemplo del router-on-a-stick descrito anteriormente. Las subinterfaces son interfaces virtuales basadas en software asignadas a interfaces fsicas. Cada subinterfaz se configura con su propia direccin IP, mscara de subred y asignacin de VLAN nica, permitiendo que una interfaz fsica nica sea parte en forma simultnea de mltiples redes lgicas. Esto resulta til cuando se realiza el enrutamiento inter VLAN en redes con mltiples VLAN y pocas interfaces fsicas del router. Al configurar el enrutamiento inter VLAN mediante el modelo router-on-a-stick, la interfaz fsica del router debe estar conectada al enlace troncal en el switch adyacente. Las subinterfaces se crean para cada VLAN/subred nica en la red. A cada subinterfaz se le asigna una direccin IP especfica a la subred de la cual ser parte y se configura en tramas con etiqueta de la VLAN para la VLAN con la cual interactuar la interfaz. De esa manera, el router puede mantener separado el trfico de cada subinterfaz a medida que atraviesa el enlace troncal hacia el switch.

Configuracin de la subinterfaz
La configuracin de las subinterfaces del router es similar a la configuracin de las interfaces fsicas, excepto que es necesario crear la subinterfaz y asignarla a una VLAN. Antes de asignar una direccin IP a una subinterfaz, es necesario configurar la subinterfaz para que funcione en una VLAN especfica mediante el comando encapsulation dot1q vlan id. Una vez asignada la VLAN, el comando ip address 172.17.10.1 255.255.255.0 asigna la subinterfaz a la direccin IP apropiada para esa VLAN.

A diferencia de una interfaz fsica tpica, las subinterfaces no estn habilitadas con el comando no shutdown en el nivel de modo de configuracin de la subinterfaz del software IOS de Cisco. Sin embargo, cuando la interfaz fsica est habilitada con el comando no shutdown, todas las subinterfaces configuradas estn habilitadas. De manera similar, si la interfaz fsica est deshabilitada, todas las subinterfaces estn deshabilitadas.

Lmites del puerto

Las interfaces fsicas estn configuradas para tener una interfaz por VLAN en la red. En las redes con muchas VLAN, no es posible utilizar un nico router para realizar el enrutamiento inter VLAN. Los routers tienen limitaciones fsicas para evitar que contengan una gran cantidad de interfaces fsicas. Sin embargo, si es una prioridad evitar el uso de subinterfaces, puede utilizar mltiples routers para realizar el enrutamiento inter VLAN para todas las VLAN. Las subinterfaces permiten ampliar el router para acomodar ms VLAN que las permitidas por las interfaces fsicas. El enrutamiento inter VLAN en grandes ambientes con muchas VLAN puede acomodarse mejor si se utiliza una interfaz fsica nica con muchas subinterfaces.

Rendimiento
Debido a que no existe contencin para ancho de banda en interfaces fsicas separadas, las interfaces fsicas tienen un mejor rendimiento cuando se las compara con el uso de subinterfaces. El trfico de cada VLAN conectada tiene acceso al ancho de banda completo de la interfaz fsica del router conectado a dicha VLAN para el enrutamiento inter VLAN. Cuando se utilizan subinterfaces para el enrutamiento inter VLAN, el trfico que se est enrutando compite por ancho de banda en la interfaz fsica nica. En una red

ocupada, esto puede causar un cuello de botella en la comunicacin. Para balancear la carga de trfico en una interfaz fsica, las subinterfaces se configuran en mltiples interfaces fsicas, lo que da como resultado una menor contencin entre el trfico de la VLAN.

Puertos de acceso y puertos de enlace troncal

La conexin de las interfaces fsicas para el enrutamiento inter VLAN requiere que los puertos del switch estn configurados como puertos de acceso. Las subinterfaces requieren que el puerto del switch est configurado como un puerto de enlace troncal, para que pueda aceptar el trfico etiquetado de la VLAN en el enlace troncal. Al utilizar subinterfaces, muchas VLAN pueden enrutarse sobre un enlace troncal nico, en lugar de utilizar una interfaz fsica nica para cada VLAN.

Costo
Con respecto a la parte financiera, resulta ms econmico utilizar subinterfaces, en lugar de interfaces fsicas separadas. Los routers que tienen muchas interfaces fsicas son ms caros que los routers con una interfaz nica. Adems, si tiene un router con muchas interfaces fsicas, cada interfaz est conectada a un puerto del switch separado, lo que consume puertos del switch adicionales en la red. Los puertos del switch son un recurso costoso en switches de alto rendimiento. Al consumir puertos adicionales para las funciones de enrutamiento inter VLAN, el switch y el router elevan el costo total de la solucin de enrutamiento inter VLAN.

Complejidad
El uso de subinterfaces para el enrutamiento inter VLAN tiene como resultado una configuracin fsica menos compleja que el uso de interfaces fsicas separadas, debido a que la cantidad de cables de red fsica que interconectan el router con el switch es menor. Con menos cables, hay menos confusin acerca de dnde est conectado el cable en el switch. Dado que las VLAN son entroncadas en un enlace nico, resulta ms fcil resolver el problema de las conexiones fsicas.

Verificar configuracin del router

Para verificar la configuracin del router, utilice el comando show running-config en el modo EXEC privilegiado. Este comando muestra la configuracin operativa actual del router. Puede ver las direcciones IP que se configuraron para cada una de las interfaces del router, as como tambin el estado operativo de la interfaz.

Verificar la configuracin del router

El comando show running-config confirma que la subinterfaz F0/0.10 en el router R1 se configur para permitir el acceso al trfico de la VLAN 100 y no de la VLAN 10. Quizs esto fue un error de mecanografa. Con la correcta verificacin, los problemas de configuracin del router se resuelven rpidamente, lo que permite que el enrutamiento inter VLAN funcione bien nuevamente. Recuerde que las VLAN estn conectadas directamente, siendo sta la manera en que ingresan a la tabla de enrutamiento.

Las subredes son la clave para implementar el enrutamiento inter VLAN. Las VLAN corresponden a subredes nicas en la red. Para que el enrutamiento inter VLAN funcione, es necesario conectar un router a todas las VLAN, ya sea por medio de interfaces fsicas separadas o subinterfaces de enlace troncal. Toda interfaz o subinterfaz necesita que se le asigne una direccin IP que corresponda a la subred para la cual est conectada. Esto permite que los dispositivos en la VLAN se comuniquen con la interfaz del router y habiliten el enrutamiento del trfico a otras VLAN conectadas al router.

Comandos de verificacin
Antes aprendi que toda interfaz, o subinterfaz, necesita que se le asigne una direccin IP que corresponda a la subred para la cual est conectada. Un error comn es configurar incorrectamente una direccin IP para una subinterfaz. Los resultados del comando show running-config. El comando show ip interface es otro comando til. La segunda rea resaltada muestra la direccin IP incorrecta.

Enrutamiento Clasico
El enrutamiento inter VLAN es el proceso de trfico de enrutamiento entre diferentes VLAN, mediante un router dedicado o un switch multicapa. El enrutamiento inter VLAN facilita la comunicacin entre los dispositivos aislados por los lmites de la VLAN. La topologa de enrutamiento inter VLAN que utiliza un router externo con subinterfaces con enlace troncal a un switch de Capa 2 se llama router-on-a-stick. Con esta opcin, es importante configurar una direccin IP en cada subinterfaz lgica, as como tambin el nmero de VLAN asociadas. Las redes conmutadas modernas utilizan interfaces virtuales del switch en los switches multicapas para habilitar el enrutamiento inter VLAN. Los switches Catalyst 2960 pueden utilizarse en un escenario de router-on-a-stick,

mientras que los switches Catalyst 3560 pueden utilizarse para la opcin de switching multicapa para el enrutamiento inter VLAN.

PROCESO DE CONFIGURACION ACL

El proceso de creacin de una ACL se lleva a cabo creando la lista y posteriormente asocindola a una interfaz entrante o saliente. Configuracin de ACL estndar Router(config)#access-list[1-99][permit|deny][direccin de origen][mascara comodn] Donde: 1-99 Identifica el rango y la lista. Permit|deny indica si esta entrada permitir o bloquear el trfico a partir de la direccin especificada. Direccin de origen identifica la direccin IP de origen. Mascara comodn o wildcard identifica los bits del campo de la direccin que sern comprobados. La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits). Asociacin de la lista a una interfaz Router(config-if)#ip access-group[n de lista de acceso][in|out] Donde: Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida. Ejemplo de una ACL estndar denegando una red: Router#configure terminal Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0 Router(config)#access-list 10 permit any Router(config)#interface serial 0 Router(config-if)#ip access-group 10 in Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen, Posteriormente se asocio la ACL a la interfaz Serial 0. Configuracin de ACL extendida El proceso de configuracin de una ACL IP extendida es el siguiente:

Router(config)#access-list[100-199][permit|deny][protocol][direccin de origen][mascara comodn][direccin de destino][mascara de destino][puerto][establisehed][log] 100-199 identifica el rango y nmero de lista Permit|deny: indica si la entrada permitir o bloqueara la direccin especificada. Protocolo: como por ejemplo IP, TCP, UDP, ICMP Direccin origen y destino: identifican direcciones IP de origen y destino. Mascara wildcard origen y mascara destino: Son las mascaras comodn. Las 0 indican las posiciones que deben coincidir, y los 1 las que no importan. Puerto opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq

(distinto que) y un nmero de puerto de protocolo correspondiente. Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que l rafico TCP pase si el paquete utiliza una conexin ya establecida (por ejemplo posee un conjunto de bits ACK) Log: (opcional) Enva un mensaje de registro a la consola a un servidor syslog determinado. Algunos de los nmeros de puertos ms conocidos: 20 Datos del protocolo FTP 21 FTP 23 Telnet 25 SMTP 69 TFTP 53 DNS

Asociacin de la lista a una interfaz Router(config-if)#ip access-group[n de lista de acceso][in|out] Donde: Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.

Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red: Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80 Router(config)#access-list 120 permit ip any any

Router(config)#interface serial 1 Router(config-if)#ip access-group 120 in Se ha denegado al host 204.204.10.1, (identificndolo con la abreviatura host) hacia el puerto 80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta ACL se asocio a la interfaz Serial 1 como entrante. Aplicacin de una ACL a la linea de telnet Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una lista de acceso estndar y asociarla a la Line VTY. El proceso de creacin se lleva a cabo como una ACL estndar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la Lnea de telnet es el siguiente: router(config)#line vty 0 4 router(config-line)#access-class[N de lista de acceso][in|out]

Como eliminar las listas de acceso Desde el modo interfaz donde se aplico la lista: Router(config-if)#no ip access-group[N de lista de acceso] Desde el modo global elimine la ACL router(config)#no access-list[N de lista de acceso]