El rango del número del ACL extendido es de 100 a 199 y de 2000 a 2699.
En las ACLs extendidas podemos filtrar por IP, puerto y protocolo.
Ejercicio 1
Dada la siguiente red, crear una ACL extendida que impida el tráfico HTTP desde la red 192.168.2.0/24 a la red 192.168.1.0 y que permita el resto del tráfico.
Como regla siempre es colocar la ACL extendida, lo más cerca posible del origen del tráfico denegado, en este caso la interfaz Gig0/2
Router(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 80
Router(config)#access-list 101 permit ip any any
Router(config)#interface Gig0/2
Router(config-if)#ip access-group 101 in
Router#show access-list
Ejercicio 2
En la red del ejercicio 1, crear una ACL que impida el tráfico de ping hacia la red 192.168.1.0
Se trata de impedir el tráfico ICMP desde las redes 192.168.2.0 y 192.168.3.0 hacia la red 192.168.1.0. Por lo tanto, tenemos dos opciones:
a) Crear una ACL extendida de entrada y asignarla a las interfaces Gig0/1 y Gig0/2
Router(config)#access-list 102 deny icmp any 192.168.1.0 0.0.0.255
Router(config)#access-list 102 permit ip any any
Router(config)#interface Gig0/1
Router(config-if)#ip access-group 102 in
Router(config-if)#exit
Router(config)#interface Gig0/2
Router(config-if)#ip access-group 102 in
Router#show access-list
b) Crear una ACL extendida de salida y asignarla a la interfaz Gig0/0
Primero hay que borrar la ACL del apartado a)
Router(config)#no access-list 102
Router(config)#access-list 102 deny icmp any 192.168.1.0 0.0.0.255
Router(config)#access-list 102 permit ip any any
Router(config)#interface Gig0/0
Router(config-if)#ip access-group 102 out
Router#show access-list
Las dos soluciones son equivalentes en cuanto al resultado, pero no son iguales.
En el primer caso los paquetes son analizados por la ACL en la interfaz de entrada Gig0/2. Pero en el segundo caso los paquetes son enrutados hacia la interfaz de salida Gig0/0 y entonces se evalúa la ACL.
En el segundo caso hay más procesamiento porque se consulta la tabla de enrutamiento. La regla de ubicación nos indica que la opción más correcta es la primera.
