ACL en routers Cisco con Packet Tracer
Introducción
Las ACL (Access Control Lists) son listas de reglas configuradas en los routers que determinan qué tráfico de red está permitido y cuál debe ser bloqueado. Son una de las herramientas de seguridad más utilizadas en entornos de red Cisco, ya que permiten controlar el flujo de paquetes a nivel de interfaz con precisión quirúrgica.
En este artículo se documenta la configuración de ACL en un entorno de laboratorio usando Cisco Packet Tracer y conexión real mediante PuTTY: desde el diseño de la topología con múltiples routers hasta la aplicación de reglas de denegación de acceso a subredes específicas y la verificación de conectividad.
Requisitos previos
- Cisco Packet Tracer instalado (para la simulación virtual).
- PuTTY u otro cliente de terminal serie para la configuración real sobre hardware Cisco.
- Conocimientos básicos de enrutamiento IP y comandos de la CLI de Cisco IOS.
- Topología de red con al menos dos subredes diferenciadas para aplicar el filtrado.
Parte 1: Simulación con Packet Tracer
Diseño de la topología
El primer paso es diseñar la topología de red en Packet Tracer. En este ejercicio se trabaja con una red dividida en al menos dos segmentos: la red 1.0 y la red 2.0, conectadas a través de un router central que actuará como punto de control del tráfico.
Configuración de la ACL para denegar acceso a la red 2.0
Para denegar el acceso de paquetes provenientes de una red hacia la red 2.0, la ACL debe configurarse en el router que tiene acceso directo a dicha red. El principio fundamental es: aplicar la ACL lo más cerca posible del origen del tráfico que se desea bloquear.
La regla de denegación se define mediante el comando access-list indicando el número de lista, la acción (deny o permit) y la dirección IP de origen o la subred afectada:
! Ejemplo de ACL estándar (numerada) para denegar acceso desde una subred
Router(config)# access-list 1 deny 192.168.2.0 0.0.0.255
Router(config)# access-list 1 permit any
! Aplicar la ACL a la interfaz de entrada hacia la red 2.0
Router(config)# interface FastEthernet0/0
Router(config-if)# ip access-group 1 in
Parte 2: Configuración real con 5 routers y PuTTY
Topología física: 5 routers interconectados
En el entorno de laboratorio real se utilizan 5 routers Cisco interconectados para aplicar el filtrado de red. Todos los cables necesarios (Serial y FastEthernet) se conectan previamente para disponer de la topología completa antes de iniciar la configuración.
Conexión al router mediante PuTTY (Serial)
Para acceder a la CLI de cada router Cisco se utiliza PuTTY en modo conexión Serial. Esta aplicación permite conectarse directamente al puerto de consola del router desde un equipo con sistema operativo Windows, sin necesidad de conexión de red previa.
Los pasos para conectarse son:
- Abrir PuTTY y seleccionar el tipo de conexión Serial.
- Indicar el puerto COM asignado al cable de consola (habitualmente
COM3oCOM4). - Confirmar la velocidad de transmisión en 9600 baudios (valor estándar de Cisco).
- Pulsar Open para abrir la sesión de terminal.
Configuración de puertos, RIP y ACL
Una vez dentro de la CLI del router se configuran los siguientes elementos:
- Puertos Serial: asignación de IPs y activación de las interfaces serie para la conexión entre routers.
- Puertos FastEthernet: configuración de las interfaces de acceso a las redes locales de cada segmento.
- Protocolo RIP: habilitación del enrutamiento dinámico RIP para que los routers intercambien información de rutas automáticamente.
- Access Lists: definición de las reglas de filtrado para controlar el tráfico entre subredes.
Verificación de conectividad
Una vez configurados correctamente los routers con sus interfaces, el protocolo RIP y las ACL correspondientes, se verifica que la conectividad entre los rangos de red previstos funciona correctamente. La imagen siguiente muestra el rango de red alcanzable desde cada punto de la topología tras la configuración completa.
Resumen de comandos Cisco IOS utilizados
| Comando | Descripción |
|---|---|
access-list <N> deny <IP> | Crea una regla de denegación para una IP o subred concreta. |
access-list <N> permit any | Permite el resto del tráfico no denegado explícitamente. |
ip access-group <N> in/out | Aplica la ACL a una interfaz en dirección entrante o saliente. |
show ip access-lists | Muestra todas las ACL configuradas y el número de coincidencias. |
router rip | Activa el protocolo de enrutamiento dinámico RIP. |
network <red> | Anuncia una red en RIP para que sea conocida por los demás routers. |
no shutdown | Activa una interfaz que está administrativamente desactivada. |
show ip route | Muestra la tabla de enrutamiento del router. |
Conclusión
A lo largo de este artículo se ha visto cómo implementar ACL en routers Cisco tanto en simulación (Packet Tracer) como en entorno real (con PuTTY y hardware físico). Las ACL son una herramienta esencial para segmentar el tráfico de red y reforzar la seguridad perimetral, y su correcta aplicación —en la interfaz adecuada, con las IPs correctas y en la dirección de tráfico apropiada— es determinante para que el filtrado funcione como se espera.
Entradas recientes
- De la web estática a la dinámica: diferencias entre HTML y PHP, motores de búsqueda y herramientas
- KDE vs GNOME: diferencias, historia, alternativas y tutorial para instalar nuevos entornos en tu distribución
- Cómo funciona una fuente de alimentación: desmontaje, análisis de componentes y comprobación con multímetro
- Redes locales en Linux: tarjetas de red, comandos de diagnóstico, Wireshark y conceptos clave
- Permisos en Linux: acceso administrativo, chmod y chown