Software Cisco IOS y NX-OS : Software Cisco IOS versión 11.3

Registro Logging de acceso IP estándar

14 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Inglés (4 Noviembre 2007) | Comentarios


Contenidos

Registro de listas de acceso IP estándar

Resumen de características

Plataformas

Tareas de configuración

Ejemplo de configuración

Referencia de comandos

Registro de listas de acceso IP estándar

Resumen de características

Ahora, el software Cisco IOS puede proporcionar mensajes de registro sobre los paquetes que permite o deniega una lista de acceso IP estándar. Es decir, cualquier paquete que coincida con la lista de acceso hace que se genere un mensaje de registro informativo sobre el paquete que se va a enviar a la consola. El nivel de los mensajes que se registran en la consola se controla con el comando logging console. Anteriormente, esta capacidad sólo estaba disponible en listas de acceso IP ampliadas.

El primer paquete que activa la lista de acceso hace que se genere inmediatamente un mensaje de registro, y los paquetes posteriores se recopilan a intervalos de 5 minutos antes de mostrarlos o registrarlos. El mensaje de registro incluye el número de lista de acceso, si el paquete se ha permitido o denegado, la dirección IP de origen del paquete y el número de paquetes de ese orígen que se han permitido o denegado en el intervalo previo de 5 minutos.

Beneficios

Puede supervisar cuántos paquetes está permitiendo o denegando una lista de acceso particular, incluida la dirección de origen de cada paquete.

Plataformas

Esta característica se admite en todas las plataformas.

Tareas de configuración

Realice una de las siguientes tareas para recibir mensajes de registro sobre listas de acceso IP estándar. Elija la tarea que necesita, en función de si utiliza listas de acceso con números o con nombres.

Con independencia de si crea una lista de acceso con números o con nombres, después de crearla, debe aplicarla a una interfaz o a una línea terminal para poder utilizarla. Esa tarea se describe en la sección "Apply the Access List to an Interface or Terminal Line" (Aplique la lista de acceso a una interfaz o una línea terminal) del capítulo "Configuring IP Services" (Configuración de servicios IP) de Network Protocols Configuration Guide, Part 1 (Guía de configuración de protocolos de red, primera parte).

Cree una lista de acceso estándar con números

Para crear una lista de acceso con números y recibir mensajes de registro, realice una de las siguientes tareas en el modo de configuración global:

Tarea Comando

Defina una lista de acceso IP estándar con una dirección de origen y un comodín.

access-list número-lista-acceso {deny | permit} source [comodín-de origen] log

Defina una lista de acceso IP estándar utilizando una abreviatura para el origen y una máscara de origen de 0.0.0.0 255.255.255.255.

access-list número-lista-acceso {deny | permit} any log



Cree una lista de acceso estándar con nombres

Para crear una lista de acceso con nombres y recibir mensajes de registro, realice una de las siguientes tareas comenzando en el modo de configuración global:

Tarea Comando

Paso 1. Defina una lista de acceso IP estándar con un nombre.

ip access-list standard nombre

Paso 2. En el modo de configuración de listas de acceso, especifique una o varias condiciones permitidas o denegadas. Esto determina si el paquete se pasa o se elimina.

deny {origen [comodín-de origen] | any} log

o

permit {origen [comodín de origen] | any} log

Paso 3. Salga del modo de configuración de listas de acceso.

exit



Ejemplo de configuración

En el siguiente ejemplo, se definen las listas de acceso 1 y 2, las cuales incluyen la función de registro:

interface ethernet 0
 ip address 1.1.1.1 255.0.0.0
 ip access-group 1 in
 ip access-group 2 out
!
access-list 1 permit 5.6.0.0 0.0.255.255 log
access-list 1 deny 7.9.0.0 0.0.255.255 log
!
access-list 2 permit 1.2.3.4 log
access-list 2 deny 1.2.0.0 0.0.255.255 log

Supongamos que la interfaz recibe 10 paquetes de 5.6.7.7 y 14 de 1.2.23.21. El primer registro tendría este aspecto:

list 1 permit 5.6.7.7 1 packet
list 2 deny 1.2.23.21 1 packet

Cinco minutos más tarde, la consola recibiría este registro:

list 1 permit 5.6.7.7 9 packets
list 2 deny 1.2.23.21 13 packets

Referencia de comandos

En esta sección, se documentan los siguientes comandos revisados de esta característica. Todos los demás comandos que se utilizan en ella se documentan en las referencias de comandos de la versión 11.3 de IOS de Cisco.

access-list (standard)

Para definir una lista de acceso IP estándar con un número, utilice la versión estándar del comando de configuración global access-list. Para quitar una lista de acceso estándar, utilice la forma de este comando con no .

access-list número-lista-acceso {deny | permit} origen [comodín de origen] [log]
no access-list número-lista-acceso

Precaución Las mejoras de este comando son compatibles con versiones anteriores; es decir, al migrar desde versiones anteriores a la versión 10.3, las listas de acceso se convierten automáticamente. Sin embargo, las versiones anteriores a la versión 10.3 no son compatibles con estas mejoras. Por lo tanto, si guarda una lista de acceso con estas imágenes y luego utiliza un software anterior a la versión 10.3, la lista de acceso resultante no se interpretará correctamente. Esto puede producirle graves problemas de seguridad. Guarde su archivo de configuración antiguo antes de iniciar estas imágenes.
Descripción de la sintaxis

número-lista-acceso

Número de una lista de acceso. Es un valor decimal comprendido entre 1 y  99.

deny

Deniega el acceso si se cumplen las condiciones.

permit

Permite el acceso si se cumplen las condiciones.

origen

Número de la red o host desde el cual se envía el paquete. Hay dos formas alternativas de especificar el origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

comodín-de origen

(Opcional) Bits de comodín que se aplican al origen. Hay dos formas alternativas de especificar el comodín de origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes. Coloque unos en las posiciones de bits que desea ignorar.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

log

(Opcional) Genera un mensaje de registro informativo sobre el paquete que coincide con la entrada que se va a enviar a la consola. (El nivel de mensajes que se registran en la consola se controla con el comando logging console.)

El mensaje incluye el número de lista de acceso, si el paquete se ha permitido o denegado, la dirección de origen y el número de paquetes. El mensaje se genera para el primer paquete que coincide y, luego, a intervalos de 5 minutos, e incluye el número de paquetes que se han permitido o denegado en el intervalo de 5 minutos previo.

Valor predeterminado

El valor predeterminado de las listas de acceso es una declaración de denegación implícita de todo. La lista de acceso siempre termina por medio de una declaración de denegación implícita de todo.

Modo de comando

Configuración global

Pautas de uso

La primera vez que apareció este comando fue en la versión 10.3 de IOS de Cisco. La primera vez que apareció la palabra clave log fue en la versión 11.3(3)T.

Planee cuidadosamente las condiciones de acceso y tenga en cuenta la declaración de denegación implícita al final de la lista de acceso.

Puede utilizar las listas de acceso para controlar la transmisión de paquetes en una interfaz, controlar el acceso a líneas terminales virtuales y restringir el contenido de las actualizaciones de enrutamiento.

Utilice el comando show access-lists de EXEC para ver el contenido de todas las listas de acceso.

Utilice el comando show ip access-lists de EXEC para ver el contenido de una lista de acceso.

Ejemplos

En el siguiente ejemplo de una lista de acceso estándar, se permite el acceso únicamente a los host de las tres redes especificadas. Los bits de comodín se aplican a las partes del host de las direcciones de red. Se rechazará cualquier host cuya dirección de origen no coincida con las declaracións de la lista de acceso.

access-list 1 permit 192.5.34.0  0.0.0.255
access-list 1 permit 128.88.0.0  0.0.255.255
access-list 1 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)

Para que resulte más fácil especificar un gran número de direcciones individuales, puede omitir el comodín si es todo ceros. Por lo tanto, el efecto de los dos siguientes comandos de configuración es idéntico:

access-list 2 permit 36.48.0.3
access-list 2 permit 36.48.0.3  0.0.0.0
Comandos relacionados

access-class
access-list (extended)
distribute-list in
distribute-list out
ip access-group
priority-list
queue-list
show access-lists
show ip access-list

deny

Para definir condiciones para una lista de acceso IP con nombre, utilice el comando de configuración deny de las listas de acceso. Para quitar una condición de denegación de una lista de acceso, utilice la forma de este comando con no.

deny {origen [comodín-de origen] | any} [log]
no deny {origen [comodín-de origen] | any}

deny protocolo de origen comodín-de origen destino comodín-destino [precedence
prioridad] [tos tds] [log]
no deny protocolo de origen comodín-de origen destino comodín-destino [precedence


Para ICMP, también puede utilizar la siguiente sintaxis:

deny icmp origen comodín-de origen destino comodín-destino [tipo-icmp [código-icmp] |
mensaje-icmp] [precedence prioridad] [tos tds] [log]

Para IGMP, también puede utilizar la siguiente sintaxis:

deny igmp origen comodín-de origen destino comodín-destino [tipo-igmp]
[precedence prioridad] [tos tds] [log]

Para TCP, también puede utilizar la siguiente sintaxis:

deny tcp origen comodín-de origen [operador puerto [puerto]] destino comodín-destino
[operador puerto [puerto]] [established] [precedence prioridad] [tos tds] [log]

Para UDP, también puede utilizar la siguiente sintaxis:

deny udp origen comodín-de origen [operador puerto [puerto]] destino comodín-destino
[operador puerto [puerto]] [precedence prioridad] [tos tds] [log]

Descripción de la sintaxis

origen

Número de la red o host desde el cual se envía el paquete. Hay dos formas alternativas de especificar el origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

comodín-de origen

(Opcional) Bits de comodín que se aplican al origen. Hay dos formas alternativas de especificar el comodín de origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes. Coloque unos en las posiciones de bits que desea ignorar.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

protocolo

Nombre o número de un protocolo IP. Puede ser una de las palabras clave eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp o udp, o un entero comprendido entre 0 y 255 que representa un número de protocolo IP. Para utilizar un protocolo de Internet (incluidos ICMP, TCP y UDP), utilice la palabra clave ip. Algunos protocolos permiten otros calificadores que se describen más adelante.

origen

Número de la red o host desde el cual se envía el paquete. Existen tres maneras alternativas de especificar el origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

  • Utilice host origen como abreviatura de un origen y un comodín-de origen del origen 0.0.0.0.

comodín-de origen

Número de bits de comodín para aplicar al origen. Existen tres maneras alternativas de especificar un comodín de origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes. Coloque unos en las posiciones de bits que desea ignorar.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

  • Utilice host origen como abreviatura de un origen y un comodín-de origen del origen 0.0.0.0.

destino

Número de la red o host al cual se envía el paquete. Hay tres formas alternativas de especificar el destino:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes.

  • Utilice la palabra clave any como abreviatura del destino y un comodín-destino de 0.0.0.0 255.255.255.255.

  • Utilice host destino como abreviatura de un destino y un comodín-destino del destino 0.0.0.0.

comodín-destino

Bits de comodín que se aplican al destino. Hay tres formas alternativas de especificar el comodín de destino:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes. Coloque unos en las posiciones de bits que desea ignorar.

  • Utilice la palabra clave any como abreviatura de un destino y un comodín-destino de 0.0.0.0 255.255.255.255.

  • Utilice host destino como abreviatura de un destino y un comodín-destino del destino 0.0.0.0.

precedence prioridad

(Opcional) Los paquetes se pueden filtrar por nivel de prioridad, que especifica un número comprendido entre 0 y 7, o por el nombre, tal y como se indica en la sección "Pautas de uso".

tos tds

(Opcional) Los paquetes se pueden filtrar por tipo de nivel de servicio, que especifica un número comprendido entre 0 y 15, o por el nombre, tal y como se indica en la sección "Pautas de uso" del comando access-list (extended).

tipo-icmp

(Opcional) Los paquetes ICMP se pueden filtrar por tipo de mensaje ICMP. El tipo es un número comprendido entre 0 y 255.

código-icmp

(Opcional) Los paquetes ICMP que se filtran por tipo de mensaje ICMP también se pueden filtrar por el código de mensaje ICMP. El código es un número comprendido entre 0 y 255.

mensaje-icmp

(Opcional) Los paquetes ICMP se pueden filtrar por un nombre de tipo de mensaje ICMP o por el nombre del código y tipo de mensaje ICMP. Los posibles nombres se indican en la sección "Pautas de uso" del comando access-list (extended).

tipo-igmp

(Opcional) Los paquetes IGMP se pueden filtrar por tipo de mensaje IGMP o por nombre de mensaje. Un tipo de mensaje es un número comprendido entre 0 y 15. Los nombres de mensajes IGMP se indican en la sección "Pautas de uso" del comando access-list (extended).

operador

(Opcional) Compara puertos de origen o de destino. Entre los posibles operandos, se incluyen lt (menor que), gt (mayor que), eq (igual), neq (no igual) y range (intervalo incluido).

Si el operador se coloca después del origen y el comodín-de origen, debe coincidir con el puerto de origen.

Si el operador se coloca después del destino y el comodín-destino, debe coincidir con el puerto de destino.

El operador range necesita dos números de puerto. Los demás operadores necesitan un número de puerto.

puerto

(Opcional) El número decimal o el nombre de un puerto TCP o UDP. Un número de puerto es un número comprendido entre 0 y 65535. Los nombres de puertos TCP y UDP se encuentran en la sección "Pautas de uso" del comando access-list (extended). Los nombres de puertos TCP sólo se pueden utilizar si se filtra TCP. Los nombres de puertos UDP sólo se pueden utilizar si se filtra UDP.

established

(Opcional) Sólo para el protocolo TCP: indica que hay una conexión establecida. Se produce una coincidencia si el datagrama de TCP tiene el conjunto de bits ACK o RST. No hay coincidencia cuando el datagrama de TCP inicial forma una conexión.

log

(Opcional) Genera un mensaje de registro informativo sobre el paquete que coincide con la entrada que se va a enviar a la consola. (El nivel de mensajes que se registra en la consola se controla con el comando logging console).

El mensaje de una lista estándar incluye el número de lista de acceso, si el paquete se ha permitido o denegado, la dirección de origen y el número de paquetes.

El mensaje de una lista ampliada incluye el número de lista de acceso, si el paquete se ha permitido o denegado, el protocolo, si el protocolo era TCP, UDP, ICMP o un número, y, si es apropiado, las direcciones de origen y de destino, y los números de puerto de origen y de destino.

El mensaje de las listas estándar y ampliadas se genera para el primer paquete que coincide y, luego, a intervalos de 5 minutos, e incluye el número de paquetes que se han permitido o denegado en el intervalo de 5 minutos previo.

Valor predeterminado

No existe ninguna condición específica por la que se deniega un paquete que pasa por la lista de acceso con nombre.

Modo de comando

Configuración de listas de acceso

Pautas de uso

La primera vez que apareció este comando fue en la versión 11.2 de IOS de Cisco. La primera vez que apareció la palabra clave log para una lista de acceso estándar fue en la versión 11.3(3)T.

Utilice este comando después del comando ip access-list para especificar las condiciones en las cuales un paquete no puede pasar por la lista de acceso con nombre.

Ejemplo:

En el siguiente ejemplo, se define una condición de denegación para una lista de acceso estándar denominada Internetfilter:

ip access-list standard Internetfilter
 deny 192.5.34.0  0.0.0.255
 permit 128.88.0.0  0.0.255.255
 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)
Comandos relacionados

Puede utilizar los índices maestros o realizar búsquedas en línea para encontrar documentación de comandos relacionados.

ip access-group
ip access-list
permit
show ip access-list

permit

Para definir condiciones para una lista de acceso IP con nombre, utilice el comando de configuración permit de listas de acceso. Para quitar una condición de una lista de acceso, utilice la forma de este comando con no.

permit {origen [comodín de origen] | any} [log]
no permit {origen [comodín-de origen] | any}

permit protocolo de origen comodín-de origen destino comodín-destino [precedence
prioridad] [tos tds] [log]
no permit protocolo de origen comodín-de origen destino comodín-destino [precedence
prioridad] [tos tds] [log]

Para ICMP, también puede utilizar la siguiente sintaxis:

permit icmp origen comodín-de origen destino comodín-destino [tipo-icmp [código-icmp] |
mensaje-icmp] [precedence prioridad] [tos tds] [log]

Para IGMP, también puede utilizar la siguiente sintaxis:

permit igmp origen comodín-de origen destino comodín-destino [tipo-igmp]
[precedence prioridad] [tos tds] [log]

Para TCP, también puede utilizar la siguiente sintaxis:

permit tcp origen comodín-de origen [operador puerto [puerto]] destino comodín-destino
[operador puerto [puerto]] [established] [precedence prioridad] [tos tds] [log]

Para UDP, también puede utilizar la siguiente sintaxis:

permit udp origen comodín-de origen [operador puerto [puerto]] destino comodín-destino
[operador puerto [puerto]] [precedence prioridad] [tos tds] [log]

Descripción de la sintaxis

origen

Número de la red o host desde el cual se envía el paquete. Hay dos formas alternativas de especificar el origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

comodín-de origen

(Opcional) Bits de comodín que se aplican al origen. Hay dos formas alternativas de especificar el comodín de origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes. Coloque unos en las posiciones de bits que desea ignorar.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

protocolo

Nombre o número de un protocolo IP. Puede ser una de las palabras clave eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp o udp, o un entero comprendido entre 0 y 255 que representa un número de protocolo IP. Para utilizar un protocolo de Internet (incluidos ICMP, TCP y UDP), utilice la palabra clave ip. Algunos protocolos permiten otros calificadores que se describen más adelante.

origen

Número de la red o host desde el cual se envía el paquete. Existen tres maneras alternativas de especificar el origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

  • Utilice host origen como abreviatura de un origen y un comodín-de origen del origen 0.0.0.0.

comodín-de origen

Número de bits de comodín para aplicar al origen. Existen tres maneras alternativas de especificar un comodín de origen:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes. Coloque unos en las posiciones de bits que desea ignorar.

  • Utilice la palabra clave any como abreviatura de un origen y un comodín-de origen de 0.0.0.0 255.255.255.255.

  • Utilice host origen como abreviatura de un origen y un comodín-de origen del origen 0.0.0.0.

destino

Número de la red o host al cual se envía el paquete. Hay tres formas alternativas de especificar el destino:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes.

  • Utilice la palabra clave any como abreviatura del destino y un comodín-destino de 0.0.0.0 255.255.255.255.

  • Utilice host destino como abreviatura de un destino y un comodín-destino del destino 0.0.0.0.

comodín-destino

Bits de comodín que se aplican al destino. Hay tres formas alternativas de especificar el comodín de destino:

  • Utilice una cantidad de 32 bits en un formato de puntos decimales de cuatro partes. Coloque unos en las posiciones de bits que desea ignorar.

  • Utilice la palabra clave any como abreviatura de un destino y un comodín-destino de 0.0.0.0 255.255.255.255.

  • Utilice host destino como abreviatura de un destino y un comodín-destino del destino 0.0.0.0.

precedence prioridad

(Opcional) Los paquetes se pueden filtrar por nivel de prioridad, que especifica un número comprendido entre 0 y 7, o por el nombre, tal y como se indica en la sección "Pautas de uso".

tos tds

(Opcional) Los paquetes se pueden filtrar por tipo de nivel de servicio, que especifica un número comprendido entre 0 y 15, o por el nombre, tal y como se indica en la sección "Pautas de uso" del comando access-list (extended).

tipo-icmp

(Opcional) Los paquetes ICMP se pueden filtrar por tipo de mensaje ICMP. El tipo es un número comprendido entre 0 y 255.

código-icmp

(Opcional) Los paquetes ICMP que se filtran por tipo de mensaje ICMP también se pueden filtrar por el código de mensaje ICMP. El código es un número comprendido entre 0 y 255.

mensaje-icmp

(Opcional) Los paquetes ICMP se pueden filtrar por un nombre de tipo de mensaje ICMP o por el nombre del código y tipo de mensaje ICMP. Los posibles nombres se indican en la sección "Pautas de uso" del comando access-list (extended).

tipo-igmp

(Opcional) Los paquetes IGMP se pueden filtrar por tipo de mensaje IGMP o por nombre de mensaje. Un tipo de mensaje es un número comprendido entre 0 y 15. Los nombres de mensajes IGMP se indican en la sección "Pautas de uso" del comando access-list (extended).

operador

(Opcional) Compara puertos de origen o de destino. Entre los posibles operandos, se incluyen lt (menor que), gt (mayor que), eq (igual), neq (no igual) y range (intervalo incluido).

Si el operador se coloca después del origen y el comodín-de origen, debe coincidir con el puerto de origen.

Si el operador se coloca después del destino y el comodín-destino, debe coincidir con el puerto de destino.

El operador range necesita dos números de puerto. Los demás operadores necesitan un número de puerto.

puerto

(Opcional) El número decimal o el nombre de un puerto TCP o UDP. Un número de puerto es un número comprendido entre 0 y 65535. Los nombres de puertos TCP y UDP se encuentran en la sección "Pautas de uso" del comando access-list (extended). Los nombres de puertos TCP sólo se pueden utilizar si se filtra TCP. Los nombres de puertos UDP sólo se pueden utilizar si se filtra UDP.

established

(Opcional) Sólo para el protocolo TCP: indica que hay una conexión establecida. Se produce una coincidencia si el datagrama de TCP tiene el conjunto de bits ACK o RST. No hay coincidencia cuando el datagrama de TCP inicial forma una conexión.

log

(Opcional) Genera un mensaje de registro informativo sobre el paquete que coincide con la entrada que se va a enviar a la consola. (El nivel de mensajes que se registra en la consola se controla con el comando logging console).

El mensaje de una lista estándar incluye el número de lista de acceso, si el paquete se ha permitido o denegado, la dirección de origen y el número de paquetes.

El mensaje de una lista ampliada incluye el número de lista de acceso, si el paquete se ha permitido o denegado, el protocolo, si el protocolo era TCP, UDP, ICMP o un número, y, si es apropiado, las direcciones de origen y de destino, y los números de puerto de origen y de destino.

El mensaje de las listas estándar y ampliadas se genera para el primer paquete que coincide y, luego, a intervalos de 5 minutos, e incluye el número de paquetes que se han permitido o denegado en el intervalo de 5 minutos previo.

Valor predeterminado

No existe ninguna condición específica para que un paquete pase por la lista de acceso con nombre.

Modo de comando

Configuración de listas de acceso

Pautas de uso

La primera vez que apareció este comando fue en la versión 11.2 de IOS de Cisco. La primera vez que apareció la palabra clave log para una lista de acceso estándar fue en la versión 11.3(3)T.

Utilice este comando después del comando ip access-list para definir las condiciones en las cuales un paquete pasa por la lista de acceso.

Ejemplo:

En el siguiente ejemplo, se definen las condiciones para una lista de acceso estándar denominada Internetfilter:

ip access-list standard Internetfilter
 deny 192.5.34.0  0.0.0.255
 permit 128.88.0.0  0.0.255.255
 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)
Comandos relacionados

deny
ip access-group
ip access-list
show ip access-list