Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Grupos de objetos para los ACL
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 263 KB | Inglés (6 Septiembre 2010) | Comentarios

Contenidos

Grupos de objetos para los ACL

Encontrar la información de la característica

Contenido

Restricciones para los grupos de objetos para los ACL

Información sobre los grupos de objetos para los ACL

Grupos de objetos

Objetos permitidos en los grupos de objeto de red

Objetos permitidos en los grupos de objetos del servicio

ACL basados en los grupos de objetos

Cómo configurar el objeto ACL basados en el grupo

Crear un grupo de objeto de red

Crear a un grupo de objetos del servicio

Creando un objeto ACL basado en el grupo

Aplicando un objeto ACL basado en el grupo a una interfaz

Verificar a los grupos de objetos para los ACL

Ejemplos de configuración para los grupos de objetos para los ACL

Ejemplo: Crear un grupo de objeto de red

Ejemplo: Crear a un grupo de objetos del servicio

Ejemplo: Creando un objeto ACL basado en el grupo

Ejemplo: Aplicando un objeto ACL basado en el grupo a una interfaz

Ejemplo: Verificar a los grupos de objetos para los ACL

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para los grupos de objetos para los ACL


Grupos de objetos para los ACL


Primera publicación: De julio el 11 de 2008
Última actualización: 6 de septiembre de 2010

Los grupos de objetos para la característica ACL le dejan clasificar los usuarios, los dispositivos, o los protocolos en los grupos y aplicar a esos grupos al Listas de control de acceso (ACL) para crear las directivas del control de acceso para esos grupos. Esta característica le deja utilizar a los grupos de objetos en vez de los IP Addresses, de los protocolos, y de los puertos individuales, que se utilizan en los ACL convencionales. Esta característica permite las entradas de control de acceso múltiples (ACE), pero ahora usted puede utilizar cada ACE para permitir que un grupo entero de usuarios acceda a un grupo de servidores o de servicios o los niegue de hacer tan.

En las Redes grandes, el número de ACL puede ser grande (los centenares de líneas) y difícil de configurar y de manejar, especialmente si los ACL cambian con frecuencia. El objeto ACL basados en el grupo es más pequeño, más legible, y más fácil de configurar y de manejar que los ACL convencionales, simplificando las implementaciones estáticas y dinámicas ACL para los entornos de acceso del usuario grandes en el Routers del Cisco IOS.

El Firewall Cisco IOS se beneficia de los grupos de objetos, porque él simplifica la creación de la directiva (por ejemplo, agrupe A tiene acceso para agrupar los servicios A).

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para los grupos de objetos para la sección ACL”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Restricciones para los grupos de objetos para los ACL

Información sobre los grupos de objetos para los ACL

Cómo configurar el objeto ACL basados en el grupo

Ejemplos de configuración para los grupos de objetos para los ACL

Referencias adicionales

Información de la característica para los grupos de objetos para los ACL

Restricciones para los grupos de objetos para los ACL

Usted puede utilizar a los grupos de objetos solamente en los ACL Nombrados y numerados extendidos.

Direccionamientos basados en el grupo del IPv4 del soporte del objeto ACL solamente.

El objeto ACL basados en el grupo soporta solamente las interfaces de la capa 3 (tales como interfaces ruteadas y interfaces VLAN). El objeto ACL basados en el grupo no soporta las características de la capa 2 tales como VLA N ACL (VACL) ni vira ACL hacia el lado de babor (PACL).

El objeto ACL basados en el grupo no se soporta con el IPSec.

El número más elevado del objeto ACE basados en el grupo soportado en un ACL es 2048.

Información sobre los grupos de objetos para los ACL

Usted puede configurar los ACE convencionales y los ACE que refieren a los grupos de objetos en el mismo ACL.

Usted puede utilizar el objeto ACL basados en el grupo con los criterios de concordancia del Calidad de Servicio (QoS), el Firewall Cisco IOS, el Protocolo de configuración dinámica de host (DHCP), y cualquier otra función que utilice los ACL ampliados. Además, usted puede utilizar el objeto ACL basados en el grupo con el tráfico Multicast.

Cuando hay mucho entrante y paquetes salientes, usando el objeto los ACL basados en el grupo aumentan el funcionamiento cuando están comparados a los ACL convencionales. También, en las configuraciones grandes, esta característica reduce el almacenamiento necesario en el NVRAM, porque usar a los grupos de objetos en los ACE significa que usted no necesita definir un ACE individual para cada emparejar del direccionamiento y del protocolo.

Para configurar a los grupos de objetos para la característica ACL, usted debe entender los conceptos siguientes:

Grupos de objetos

ACL basados en los grupos de objetos

Grupos de objetos

Un grupo de objetos puede contener un solo objeto (tal como una sola dirección IP, red, o subred) o los varios objetos (tales como los IP Addresses, redes, o subredes de la suma de múltiples).

ACE típico podía permitir que un grupo de usuarios tenga acceso solamente a un grupo específico de servidores. En un objeto ACL basado en el grupo, usted puede crear solo ACE que utiliza un nombre de grupo de objetos en vez de crear muchos ACE (que requerirían cada uno tener una diversa dirección IP). Un grupo de objetos similar (tal como un grupo de puertos del protocolo) puede ser ampliado para proporcionar el acceso solamente a un conjunto de las aplicaciones para un grupo de usuarios a un grupo de servidores. Los ACE pueden tener los grupos de objetos para la fuente solamente, el destino solamente, ninguno, o ambos.

Usted puede utilizar a los grupos de objetos para separar la propiedad de los componentes de ACE. Por ejemplo, cada departamento en una organización podría controlar su membresía del grupo, y el administrador podría poseer ACE sí mismo para controlar que los departamentos pueden entrar en contacto uno otro.

Usted puede utilizar a los grupos de objetos como miembros (niños) de otros grupos de objetos. Por ejemplo, usted puede crear a un grupo de dirección ENG-ALL que contenga a los grupos de dirección ENG-EAST y ENG-WEST. Usted puede utilizar un número sin límite de niveles de grupos de objetos jerarquizados (del niño) (sin embargo, un máximo de dos niveles se recomienda).

Usted puede utilizar a los grupos de objetos en las características que utilizan las correspondencias (COMPLETAS) de la clase del lenguaje de la directiva de Cisco.

Este soportes de característica dos tipos de grupos de objetos para los parámetros ACL que agrupan: grupos de objeto de red y grupos de objetos de servicio. Estos grupos de objetos pueden ser utilizados para agrupar los IP Addresses, los protocolos, los servicios del protocolo (puertos), y los tipos del Internet Control Message Protocol (ICMP).

Objetos permitidos en los grupos de objeto de red

Un grupo de objeto de red es un grupo de un de los después de los objetos:

Cualquier dirección IP — incluye un rango de 0.0.0.0 a 255.255.255.255 (esto se especifica usando any el comando.)

IP Addresses del host

Nombres de host

Otros grupos de objeto de red

Rangos de los IP Addresses

Subredes

Objetos permitidos en los grupos de objetos del servicio

Un grupo de objetos de servicio es un grupo de un de los después de los objetos:

La fuente y el protocolo de destino vira hacia el lado de babor (por ejemplo Telnet o el Simple Network Management Protocol (SNMP))

El ICMP teclea (por ejemplo la generación de eco, la respuesta de eco, o imposible acceder al host)

Protocolos a nivel superior (tales como TCP, User Datagram Protocol (UDP), o Encapsulating Security Payload (ESP))

Grupos de objetos del otro servicio

ACL basados en los grupos de objetos

Todas las características que el uso o la referencia ACL convencionales es compatible con el objeto ACL basados en el grupo, y las interacciones de la característica para los ACL convencionales son lo mismo con el objeto ACL basados en el grupo. Esta característica amplía la sintaxis ACL convencional para soportar el objeto ACL basados en el grupo y también agrega las nuevas palabras claves junto con las direcciones de origen y de destino y los puertos.

Usted puede aplicar el objeto ACL basados en el grupo a las interfaces que se configuran en un caso o las características del VPN Routing and Forwarding (VRF) que se utilicen dentro de un contexto VRF.

Usted puede agregar a, borrar de, o cambiar los objetos en una lista de calidad de miembro de grupo de objetos dinámicamente (significado sin borrar y la redefinición del grupo de objetos). También, usted puede agregar a, borrar de, o cambiar los objetos en una lista de calidad de miembro de grupo de objetos sin la redefinición del ACL ACE que está utilizando el grupo de objetos (significado que cambia el grupo de objetos sin borrar ACE y después la redefinición de ACE después del cambio). Usted puede agregar los objetos a los grupos, los borra de los grupos, y después se asegura de que los cambios están funcionando correctamente dentro del objeto ACL basado en el grupo sin reaplicar el ACL a la interfaz.

Usted puede configurar los tiempos múltiples basados en el grupo del objeto un ACL con un grupo fuente solamente, un grupo de destino solamente, o fuente y los grupos de destino.

Usted no puede borrar a un grupo de objetos que se esté utilizando dentro de un ACL o de una directiva COMPLETA.

Cómo configurar el objeto ACL basados en el grupo

Para configurar a los grupos de objetos para la característica ACL, usted primero crea a uno o más grupos de objetos. Éstas pueden ser cualquier combinación de grupos de objeto de red (conteniendo los objetos tales como direcciones de host y las direcciones de red) o los grupos de objetos de servicio (tales como quienes utilice a los operadores lt eq gt neq, y range con los números del puerto). Entonces, usted crea los ACE que aplican una directiva (por ejemplo permit o deny) a esos grupos de objetos.

Esta sección contiene los siguientes procedimientos:

Creando un grupo de objeto de red (opcional)

Creando a un grupo de objetos del servicio (opcional)

Creando un objeto ACL basado en el grupo (requerido)

Aplicando un objeto ACL basado en el grupo a una interfaz (requerida)

Verificando a los grupos de objetos para los ACL (opcionales)

Crear un grupo de objeto de red

Un grupo de objeto de red que contiene un solo objeto (tal como una sola dirección IP, un nombre de host, otro grupo de objeto de red, o una subred) o los varios objetos (tales como los IP Addresses de la suma de múltiples, nombres de host, un rango de los IP Addresses, otros grupos de red de objeto, o subredes), se puede utilizar con un ACL en un objeto de red ACL basado en el grupo, para crear las directivas del control de acceso para los objetos.

Realice esta tarea de crear un grupo de objeto de red.

PASOS SUMARIOS

1. enable

2. configure terminal

3. object-group network object-group-name

4. description description-text

5.host {host-address | host-name}

6.network-address {/nn | network-mask}

7. range host-address1 host-address2

8. any

9. group-object nested-object-group-name

10.Relance una cierta combinación de los pasos 5 a 9 hasta que usted haya especificado los objetos en los cuales usted quiere basar a su grupo de objetos.

11. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

object-group network object-group-name

Example:

Router(config)# object-group network my_network_object_group

Define el nombre de grupo de objetos y ingresa al modo de configuración del objeto-grupo de la red.

Paso 4 

description description-text

Example:

Router(config-network-group)# description test engineers

(Opcional) especifica una descripción del grupo de objetos.

Usted puede utilizar hasta 200 caracteres.

Paso 5 

host {host-address | host-name}

Example:

Router(config-network-group)# host 209.165.200.237

(Opcional) especifica la dirección IP o el nombre de un host.

Si usted especifica a una dirección de host, usted debe utilizar un direccionamiento del IPv4.

Paso 6 

network-address {/nn | network-mask}

Example:

Router(config-network-group)# 209.165.200.241 255.255.255.224

(Opcional) especifica un objeto de la subred.

Usted debe especificar un direccionamiento del IPv4 para la dirección de red. La máscara de la red predeterminada es 255.255.255.255.

Paso 7 

range host-address1 host-address2

Example:

Router(config-network-group)# range 209.165.200.242 209.165.200.243

(Opcional) especifica un rango de los IP Addresses del host.

Si usted especifica un rango de 000.000.000.000 a 255.255.255.255, el efecto es lo mismo que el uso any del comando.

Si usted especifica la misma dirección IP para host-address1 y host-address2 los argumentos, el efecto es lo mismo que el uso host del comando — la dirección IP idéntica especificada se convierte en la dirección IP del solo host para el grupo de objetos.

Paso 8 

any

Example:

Router(config-network-group)# any

(Opcional) especifica cualquier dirección IP del host en el rango 0.0.0.0 a 255.255.255.255.

Paso 9 

group-object nested-object-group-name

Example:

Router(config-network-group)# group-object my_nested_object_group

(Opcional) especifica a un grupo de objetos jerarquizado (del niño) que se incluirá en el grupo de objetos actual (del padre).

El tipo de grupo de objetos del niño debe hacer juego el del padre (por ejemplo, si usted está creando un grupo de objeto de red, usted debe especificar otro grupo de objeto de red como el niño).

Usted puede utilizar los objetos duplicados en un grupo de objetos solamente vía la anidación de los objetos del grupo. Por ejemplo, si el objeto 1 está en el grupo A y el grupo B, usted puede definir un C del grupo que incluye A y el B. Sin embargo, usted no puede incluir un objeto del grupo que haga la jerarquía del grupo convertirse en circular (por ejemplo, usted no puede incluir el grupo A en el grupo B y después también incluir el grupo B en el grupo A).

Usted puede utilizar un número sin límite de niveles de grupos de objetos jerarquizados (sin embargo, un máximo de dos niveles se recomienda).

Paso 10 

Relance una cierta combinación de los pasos 5 a 9 hasta que usted haya especificado los objetos en los cuales usted quiere basar a su grupo de objetos.

Paso 11 

end

Example:

Router(config-network-group)# end

Vuelve al modo EXEC privilegiado.

Crear a un grupo de objetos del servicio

Usted puede utilizar a un grupo de objetos del servicio para especificar los puertos específicos TCP y/o UDP o los rangos de ellos. Cuando asocian al grupo de objetos del servicio a un ACL, este objeto ACL basado en el grupo del servicio se puede utilizar para controlar el acceso a los puertos.

PASOS SUMARIOS

1. enable

2. configure terminal

3. object-group service object-group-name

4. description description-text

5. protocol

6. tcp | udp | tcp-udp [{{[]source eq | lt | gt} port1 | range port1 port2}] [{[]eq | lt | gt} port1 | range port1 port2]

7. icmp icmp-type

8. group-object nested-object-group-name

9.Relance una cierta combinación de los pasos 5 a 8 hasta que usted haya especificado los objetos en los cuales usted quiere basar a su grupo de objetos.

10. end

PASOS DETALLADOS
 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

object-group service object-group-name

Example:

Router(config)# object-group service my_service_object_group

Define el nombre de grupo de objetos y ingresa al modo de configuración del objeto-grupo del servicio.

Paso 4 

description description-text

Example:

Router(config-service-group)# description test engineers

(Opcional) especifica una descripción del grupo de objetos.

Usted puede utilizar hasta 200 caracteres.

Paso 5 

protocol

Example:

Router(config-service-group)# ahp

(Opcional) especifica protocolo IP un número o un nombre.

Paso 6 

tcp | udp | tcp-udp [source {{[eq] | lt | gt} port1 | range port1 port2}] [{[eq] | lt | gt} port1 | range port1 port2]

Example:

Router(config-service-group)# tcp-udp range 2000 2005

(Opcional) especifica el TCP, el UDP, o ambos.

Paso 7 

icmp icmp-type

Example:

Router(config-service-group)# icmp conversion-error

(Opcional) especifica el número decimal o el nombre de un tipo ICMP.

Paso 8 

group-object nested-object-group-name

Example:

Router(config-service-group)# group-object my_nested_object_group

(Opcional) especifica a un grupo de objetos jerarquizado (del niño) que se incluirá en el grupo de objetos actual (del padre).

El tipo de grupo de objetos del niño debe hacer juego el del padre (por ejemplo, si usted está creando un grupo de objeto de red, usted debe especificar otro grupo de objeto de red como el niño).

Usted puede utilizar los objetos duplicados en un grupo de objetos solamente vía la anidación de los objetos del grupo. Por ejemplo, si el objeto 1 está en el grupo A y el grupo B, usted puede definir un C del grupo que incluye A y el B. Sin embargo, usted no puede incluir un objeto del grupo que haga la jerarquía del grupo convertirse en circular (por ejemplo, usted no puede incluir el grupo A en el grupo B y después también incluir el grupo B en el grupo A).

Usted puede utilizar un número sin límite de niveles de grupos de objetos jerarquizados (sin embargo, un máximo de dos niveles se recomienda).

Paso 9 

Relance una cierta combinación de los pasos 5 a 8 hasta que usted haya especificado los objetos en los cuales usted quiere basar a su grupo de objetos.

Paso 10 

end

Example:

Router(config-service-group)# end

Vuelve al modo EXEC privilegiado.

Creando un objeto ACL basado en el grupo

Al crear un objeto ACL basado en el grupo, usted configura un ACL que se refiera a uno o más grupos de objetos. Como a los ACL convencionales, usted puede asociar la misma política de acceso con una o más interfaces.

Usted puede definir los ACE múltiples que se refieren a los grupos de objetos dentro del mismo objeto ACL basado en el grupo. También, usted puede reutilizar a un grupo de objetos específico en los ACE múltiples.

Realice esta tarea de crear un objeto ACL basado en el grupo.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip access-list extended access-list-name

4. remark remark

5.deny protocol source []source-wildcard destination del []destination-wildcarddel []option option-namedel []precedence precedencedel []tos tosdel []established[log | log-input] []time-range time-range-namedel []fragments

6. remark remark

7.permit protocol source []source-wildcard destination del []destination-wildcarddel []del []option option-namedel []precedence precedencedel []tos tos]established [log | log-input] []time-range time-range-namedel []fragments

8.Relance una cierta combinación de los pasos 4 a 7 hasta que usted haya especificado los campos y los valores en los cuales usted quiere basar su lista de acceso.

9. end

PASOS DETALLADOS
 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip access-list extended access-list-name

Example:

Router(config)# ip access-list extended nomarketing

Define una lista de acceso IP ampliado usando un nombre y ingresa al modo de configuración de la lista de acceso ampliada.

Paso 4 

remark remark

Example:

Router(config-ext-nacl)# remark protect server by denying access from the Marketing network

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una afirmación puede preceder a una entrada de la lista de acceso o seguirla.

En este ejemplo, la observación recuerda al administrador de la red que la entrada subsiguiente niega el acceso a la red del márketing a la interfaz.

Paso 5 

deny protocol source [source-wildcard] destination [destination-wildcard] [option option-name] [precedence precedence] [tos tos] [established] [log | log-input] [time-range time-range-name] [fragments]

Example:

Router(config-ext-nacl)# deny ip 209.165.200.244 255.255.255.224 host 209.165.200.245 log

(Opcional) Niega cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Utilice opcionalmente object-group service-object-group-name la palabra clave y el argumento como substituto para protocol.

Utilice opcionalmente object-group source-network-object-group-name la palabra clave y el argumento como substituto para source source-wildcard.

Utilice opcionalmente object-group destination-network-object-group-name la palabra clave y el argumento como substituto para destination destination-wildcard.

Si source-wildcard o destination-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, que hace juego todos los bits de la dirección de origen o de destino, respectivamente.

Utilice opcionalmente any la palabra clave como substituto para source source-wildcard o destination destination-wildcard especificar el direccionamiento y al comodín de 0.0.0.0 255.255.255.255.

Utilice opcionalmente host source la palabra clave y el argumento para indicar una fuente y un comodín de la fuente source de 0.0.0.0 o host destination la palabra clave y el argumento para indicar un destino y a un comodín del destino destination de 0.0.0.0.

En este ejemplo, los paquetes de todas las fuentes se niegan el acceso a la red de destino 209.165.200.244. Los mensajes de registración sobre los paquetes permitidos o negados por la lista de acceso se envían al recurso configurado por logging facility el comando (por ejemplo, consola, terminal, o Syslog). Es decir, cualquier paquete que haga juego la lista de acceso hará un mensaje de registración informativo sobre el paquete ser enviado al recurso configurado. El nivel de mensajes registrados a la consola es controlado por logging console el comando.

Paso 6 

remark remark

Example:

Router(config-ext-nacl)# remark allow TCP from any source to any destination

(Opcional) Añade un comentario fácil de utilizar sobre una entrada de la lista de acceso.

Una afirmación puede preceder a una entrada de la lista de acceso o seguirla.

Paso 7 

permit protocol source [source-wildcard] destination [destination-wildcard] [option option-name] [precedence precedence] [tos tos] [established] [log | log-input] [time-range time-range-name] [fragments]

Example:

Router(config-ext-nacl)# permit tcp any any

Permite cualquier paquete que coincida con todas las condiciones especificadas en la sentencia.

Cada lista de acceso necesita por lo menos una declaración del permiso.

Utilice opcionalmente object-group service-object-group-name la palabra clave y el argumento como substituto para protocol.

Utilice opcionalmente object-group source-network-object-group-name la palabra clave y el argumento como substituto para source source-wildcard.

Utilice opcionalmente object-group destination-network-object-group-name la palabra clave y el argumento como substituto para destination destination-wildcard.

Si source-wildcard o destination-wildcard se omite, una máscara comodín de 0.0.0.0 se asume, que hace juego en todos los bits de la dirección de origen o de destino, respectivamente.

Utilice opcionalmente any la palabra clave como substituto para source source-wildcard o destination destination-wildcard especificar el direccionamiento y al comodín de 0.0.0.0 255.255.255.255.

En este ejemplo, los paquetes TCP se permiten de cualquier fuente a cualquier destino.

Utilice log-input la palabra clave para incluir la interfaz de entrada, el MAC Address de origen, o el circuito virtual en la salida de registro.

Paso 8 

Relance una cierta combinación de los pasos 4 a 7 hasta que usted haya especificado los campos y los valores en los cuales usted quiere basar su lista de acceso.

Recuerde que todas las fuentes permitidas no específicamente son negadas por una declaración deny implícita en el extremo de la lista de acceso.

Paso 9 

end

Example:

Router(config-ext-nacl)# end

Vuelve al modo EXEC privilegiado.

Aplicando un objeto ACL basado en el grupo a una interfaz

Usted utiliza ip access-group el comando de aplicar un objeto ACL basado en el grupo a una interfaz. La sintaxis de los comandos y el uso son lo mismo que para los ACL convencionales. El objeto ACL basado en el grupo se puede utilizar al tráfico de control en la interfaz que se aplica a.

Realice esta tarea de aplicar un objeto ACL basado en el grupo a una interfaz.

PASOS SUMARIOS

1. enable

2. configure terminal

3. interface type number

4.ip access-group {access-list-name | access-list-number} {in | out}

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

interface type number

Example:

Router(config)# interface vlan 100

Especifica el tipo de interfaz y el número y ingresa al modo de configuración de la interfaz.

Paso 4 

ip access-group {access-list-name | access-list-number} {in | out}

Example:
Router(config-if)# ip access-group 
my_ogacl_policy in

Aplica el ACL a la interfaz y especifica si filtrar entrante o los paquetes salientes.

Paso 5 

end

Example:

Router(config-if)# end

Vuelve al modo EXEC privilegiado.

Verificar a los grupos de objetos para los ACL

Realice esta tarea de verificar a los grupos de objetos para los ACL.

PASOS SUMARIOS

1. enable

2.show object-group[]object-group-name

3.show ip access-list []access-list-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show object-group [object-group-name]

Example:

Router# show object-group my_object_group

Visualiza la configuración en el grupo de objetos Nombrado o numerado (o en todos los grupos de objetos si no se ingresa ningún nombre).

Paso 3 

show ip access-list [access-list-name]

Example:

Router# show ip access-list my_ogacl_policy

Visualiza el contenido del Nombrado o la lista de acceso numerada o el objeto ACL basado en el grupo (o para todas las Listas de acceso y objeto ACL basados en el grupo si no se ingresa ningún nombre).

Ejemplos de configuración para los grupos de objetos para los ACL

Ejemplo: Crear un grupo de objeto de red

Ejemplo: Crear a un grupo de objetos del servicio

Ejemplo: Creando un objeto ACL basado en el grupo

Ejemplo: Aplicando un objeto ACL basado en el grupo a una interfaz

Ejemplo: Verificar a los grupos de objetos para los ACL

Ejemplo: Crear un grupo de objeto de red

Las demostraciones del siguiente ejemplo cómo crear un my_network_object_group Nombrado del grupo de objeto de red, que contiene dos hosts, un rango de los IP Addresses, y una subred como objetos:

Router> enable
Router# configure terminal
Router(config)# object-group network my_network_object_group
Router(config-network-group)# host 209.165.200.237
Router(config-network-group)# host 209.165.200.238
Router(config-network-group)# range 209.165.200.239 209.165.200.240
Router(config-network-group)# 209.165.200.241 255.255.255.224

Las demostraciones del siguiente ejemplo cómo crear los sjc_ftp_servers Nombrados de un grupo de objeto de red, que contiene dos hosts, una subred, y un grupo de objetos existente (el niño) nombraron los sjc_eng_ftp_servers como objetos:

Router> enable
Router# configure terminal
Router(config)#object-group network sjc_ftp_servers
Router(config-network-group)# host sjc.eng.ftp
Router(config-network-group)# host 209.165.200.242
Router(config-network-group)# 209.165.200.225 255.255.255.224
Router(config-network-group)# group-object sjc_eng_ftp_servers

Ejemplo: Crear a un grupo de objetos del servicio

Las demostraciones del siguiente ejemplo cómo crear un my_service_object_group Nombrado del grupo de objetos del servicio, que contiene vario el ICMP, los protocolos y un grupo de objetos existente (niño) TCP, UDP, y TCP-UDP nombraron los sjc_eng_svcs como objetos:

Router> enable
Router# configure terminal
Router(config)# object-group service my_service_object_group
Router(config-service-group)# icmp echo
Router(config-service-group)# tcp smtp
Router(config-service-group)# tcp telnet
Router(config-service-group)# tcp source range 1 65535 telnet
Router(config-service-group)# udp domain
Router(config-service-group)# tcp-udp range 2000 2005
Router(config-service-group)# group-object sjc_eng_svcs

Ejemplo: Creando un objeto ACL basado en el grupo

Las demostraciones del siguiente ejemplo cómo crear un objeto ACL basado en el grupo que permite los paquetes de los usuarios en el my_network_object_group si los puertos del protocolo hacen juego los puertos especificados en el my_service_object_group:

Router> enable
Router# configure terminal
Router(config)# ip access-list extended my_ogacl_policy
Router(config-ext-nacl)# permit object-group my_service_object_group object-group 
my_network_object_group any
Router(config-ext-nacl)# deny tcp any any
Router(config-ext-nacl)# exit
Router(config)# exit

Ejemplo: Aplicando un objeto ACL basado en el grupo a una interfaz

Las demostraciones del siguiente ejemplo cómo aplicar un objeto ACL basado en el grupo a una interfaz. En este ejemplo, un my_ogacl_policy nombrado ACL basado en el grupo del objeto se aplica a la interfaz VLAN 100:

Router> enable
Router# configure terminal
Router(config)# interface vlan 100
Router(config-if)# ip access-group my_ogacl_policy in
Router(config-if)# end

Ejemplo: Verificar a los grupos de objetos para los ACL

Las demostraciones del siguiente ejemplo cómo visualizar a todos los grupos de objetos:

Router> enable
Router# show object-group

Network object group auth_proxy_acl_deny_dest
 host 209.165.200.235

Service object group auth_proxy_acl_deny_services
 tcp eq www
 tcp eq 443

Network object group auth_proxy_acl_permit_dest
 209.165.200.226 255.255.255.224
 209.165.200.227 255.255.255.224
 209.165.200.228 255.255.255.224
 209.165.200.229 255.255.255.224
 209.165.200.246 255.255.255.224
 209.165.200.230 255.255.255.224
 209.165.200.231 255.255.255.224
 209.165.200.232 255.255.255.224
 209.165.200.233 255.255.255.224
 209.165.200.234 255.255.255.224

Service object group auth_proxy_acl_permit_services
 tcp eq www
 tcp eq 443

Las demostraciones del siguiente ejemplo cómo al mostrar información sobre el objeto específico ACL basados en el grupo:

Router# show ip access-list my_ogacl_policy

Extended IP access list my_ogacl_policy
10	permit object-group eng_service any any

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Información general sobre los ACL

Descripción General de la Lista de Acceso IP

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Comandos de seguridad

Referencia de Comandos de Seguridad de Cisco IOS


Estándares

Estándar
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Esta función no soporta RFCs nuevos o modificados, y el soporte de los RFCs existentes no ha sido modificado por ella.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para los grupos de objetos para los ACL

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para los grupos de objetos para los ACL 

Nombre de la función
Versiones
Información sobre la Función

Grupos de objetos para los ACL

12.4(20)T

Los grupos de objetos para la característica ACL le dejan clasificar los usuarios, los dispositivos, o los protocolos en los grupos y aplicarlos al Listas de control de acceso (ACL) para crear las directivas del control de acceso para esos grupos. Esta característica le deja utilizar a los grupos de objetos en vez de los IP Addresses, de los protocolos, y de los puertos individuales, que se utilizan en los ACL convencionales. Esta característica permite las entradas de control de acceso múltiples (ACE), pero ahora usted puede utilizar cada ACE para permitir que un grupo entero de usuarios acceda a un grupo de servidores o de servicios o los niegue de hacer tan.

Las secciones siguientes proporcionan información acerca de esta función:

ACL basados en los grupos de objetos

Grupos de objetos

Crear un grupo de objeto de red

Crear a un grupo de objetos del servicio

Creando un objeto ACL basado en el grupo

Aplicando un objeto ACL basado en el grupo a una interfaz

Verificar a los grupos de objetos para los ACL

Se han insertado o modificado los siguientes comandos: deny ip access-group ip access-list object-group network object-group service permit show ip access-list show object-group.