ACL Extendida

Se utilizan con más frecuencia que las estándar porque ofrecen un mayor control.
Verifican las direcciones de paquetes de origen y destino, y también protocolos y
números de puerto.
Se puede permitir o rechazar el acceso de los paquetes según el lugar donde se
originaron y su destino, así como el tipo de protocolo y númerod de puerto o servicio
que se utiliza. Es posible configurar varias declaraciones en una sola ACL.
Las listas extendidas se asignan en la interfaz que esté más cercana a donde se
origina el tráfico, para no cargar la red con tráfico que finalmente se filtrará.
La sintaxis completa del comando ACL extendida es:
Router(config)# access-list numero_ACL deny|permit protocolo
dirección_origen mascara_wildcard_dir_origen dirección_destino
mascara_wildcard_dir_ destino eq|gt|lt número_puerto

Dónde:
Protocolo puede ser TCP, UDP, ICMP o IP. ICMP se utiliza para filtrar ping.
eq significa igual (=); gt significa mayor que (>); lt significa menor que (<)
El número de puerto aplica para TCP y UDP.
Recuerde que el número de ACL extendida es cualquier número dentro del rango de
100 al 199 ó de 2000 a 2699.
El comando ip access-group asigna la ACL extendida existente a una interfaz. Sólo se
permite una ACL por interfaz por protocolo por dirección. La sintaxis es:
Router(config-if)#ip access-group numero_ACL in | out

1
Ejemplo 1: Cree una lista de acceso para permitir todo el tráfico de la red
192.168.14.0 a la red 192.168.17.0
Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0
0.0.0.255
Router1(config)# interface FastEthernet0
Router1(config-if)#ip access-group 101 in

Como es una ACL extendida, se debe asignar lo más cerca de donde se origina el
tráfico, es decir, cerca de la red 192.168.14.0, que está en la FastEthernet0 de
Router1. El número de la ACL se escoge dentro del rango de 100 a 199. Como las
dos direcciones que se filtran son direcciones de red de clase C, para la máscara
wildcard los tres primeros octetos son los que se verifican con cero y el último con
unos, dando una máscara wildcard de 0.0.0.255
Recordando que al final, de forma implícita está una sentencia que deniega todo,
tendríamos :
Router1(config)# access-list 101 deny ip any any
Finalmente se asigna a la interfaz FastEthernet0 a la entrada, ya que es la ruta que
seguiría el paquete al seguir su camino hacia la red destino.
Ejemplo 2: Cree una lista de acceso para denegar sólo el tráfico de correo
electrónico, ping y TFTP que vaya de la red 192.168.16.0 al host 192.168.17.5

Router2(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255 192.168.17.5

0.0.0.0 eq 25
Router2(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255 192.168.17.5
0.0.0.0
Router2(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255 192.168.17.5
0.0.0.0 eq 69
Router2(config)# access-list 111 permit ip any any
Router2(config)# interface FastEthernet0
Router2(config-if)# ip access-group 111 in
La explicación de esta ACL es que se quiere denegar correo electrónico (puerto 25 de
TCP), ping (ICMP) y TFTP (puerto 69 de UDP). Con esta información, procedemos a
la primera parte de la configuración de la ACL. Luego con la última condición de la
ACL anulamos el efecto del deny any any del final.
Inmediatamente la ACL es asignada a la interfaz de red que está más cerca de donde
se origina el tráfico, y se asigna a la entada (in) por la dirección que tendría el paquete
al viajar del origen al destino señalado.