Anda di halaman 1dari 13

UNIVERSIDAD TCNICA DE MANAB

FACULTAD DE CIENCIAS INFORMTICAS


CARRERA DE INGENIERA EN SISTEMAS


PROYECTO DE ADMINISTRACIN DE REDES



DOCENTE:
Ing.Danyll Rodriguez


INTEGRANTES:
Sornoza Henriquez Jos Antonio
Damin Santiago Vera Gmez
Zambrano Cedeo Jorge Arun


NIVEL:
6 A


SEMESTRE MAYO-SEPTIEMBRE DEL 2014

UNIVERSIDAD TCNICA DE MANAB
FACULTAD DE CIENCIAS INFORMTICAS
CARRERA DE INGENIERA EN SISTEMAS INFORMTICOS

"Forma Profesionales innovadores en el campo de las Ciencias Informticas, que den respuestas a las
necesidades de la sociedad, con eficiencia, honestidad, equidad y solidaridad, y que contribuyan al buen
vivir"
UNIVERSIDAD TCNICA DE MANAB
VISIN:
Ser institucin universitaria, lder y referente de la educacin superior en el Ecuador,
promoviendo la creacin, desarrollo, transmisin y difusin de la ciencia, la tcnica y
la cultura, con reconocimiento social y proyeccin regional y mundial.
MISIN:
Formar acadmicos, cientficos y profesionales responsables, humanistas, ticos y
solidarios, comprometidos con los objetivos del desarrollo nacional, que
contribuyan a la solucin de los problemas del pas como universidad de docencia
con investigacin, capaces de generar y aplicar nuevos conocimientos, fomentando
la promocin y difusin de los saberes y las culturas, previstos en la Constitucin de
la Repblica del Ecuador.

FACULTAD DE CIENCIAS INFORMTICAS
VISIN:
Ser una facultad lder que con integridad, transparencia y equidad forme
profesionales capaces de desarrollar soluciones informticas innovadoras,
generadores de conocimientos e investigacin permanente.
MISIN:
Formar profesionales investigadores en el campo de las Ciencias Informticas, al
servicio de la sociedad, que aporten con soluciones innovadoras al desarrollo
tecnolgico del pas.








ACL
S

Las ACL son listas de condiciones que se aplican al trfico que viaja a travs de la
interfaz del router.

Estas listas le informan al router qu tipo de paquetes aceptar o rechazar. La
aceptacin y rechazo se pueden basar en ciertas condiciones especficas. Las ACL
permiten la administracin del trfico y aseguran el acceso hacia y desde una red.
Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el
Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX). Las
ACL se pueden configurar en el router para controlar el acceso a una red o subred.
Las ACL filtran el trfico de red, controlando si los paquetes enrutados se envan o
se bloquean en las interfaces del router.








El router examina cada paquete y lo enviar o lo descartar, segn las condiciones
especificadas en la ACL. Algunos de los puntos de decisin de ACL son direcciones
origen y destino, protocolos y nmeros de puerto de capa superior.
Las ACL se definen segn el protocolo, la direccin o el puerto.


Para controlar el flujo de trfico en una interfaz, se debe definir una ACL para cada
protocolo habilitado en la interfaz. Las ACL controlan el trfico en una direccin por
vez, en una interfaz. Se necesita crear una ACL por separado para cada direccin,
una para el trfico entrante y otra para el saliente. Finalmente, cada interfaz puede
contar con varios protocolos y direcciones definidas. Si el router tiene dos interfaces
configuradas para IP, AppleTalk e IPX, se necesitan 12 ACLs separadas. Una ACL por
cada protocolo, multiplicada por dos por direccin entrante y saliente, multiplicada
por dos por el nmero de puertos.
Estas son las razones principales para crear las ACL:
Limitar el trfico de red y mejorar el rendimiento de la red. Al restringir el
trfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de
la red y en consecuencia mejorar el rendimiento de la misma.
Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las
actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a
las condiciones de la red, se preserva el ancho de banda.
Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo,
las ACL pueden permitir que un host acceda a una parte de la red y evitar que
otro acceda a la misma rea. Por ejemplo, al Host A se le permite el acceso a la
red de Recursos Humanos, y al Host B se le niega el acceso a dicha red.
Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del
router. Permitir que se enrute el trfico de correo electrnico, pero bloquear
todo el trfico de telnet.
Permitir que un administrador controle a cules reas de la red puede acceder
un cliente.
Analizar ciertos hosts para permitir o denegar acceso a partes de una red.
Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de
archivos, tales como FTP o HTTP.
Si las ACL no estn configuradas en el router, todos los paquetes que pasen a travs
del router tendrn acceso a todas las partes de la red.
Funcionamiento de las ACL
Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los
paquetes en interfaces entrantes o salientes.











Estas decisiones se toman haciendo coincidir una sentencia de condicin en una
lista de acceso y luego realizando la accin de aceptacin o rechazo definida en la
sentencia.
El orden en el que se ubican las sentencias de la ACL es importante. El software
Cisco IOS verifica si los paquetes cumplen cada sentencia de condicin, en orden,
desde la parte superior de la lista hacia abajo. Una vez que se encuentra una
coincidencia, se lleva a cabo la accin de aceptar o rechazar y no se verifican otras
sentencias ACL. Si una sentencia de condicin que permite todo el trfico est
ubicada en la parte superior de la lista, no se verifica ninguna sentencia que est por
debajo.
Si se requieren ms cantidad de sentencias de condicin en una lista de acceso, se
debe borrar y volver a crear toda la ACL con las nuevas sentencias de condicin.
Para que el proceso de revisin de una ACL sea ms simple, es una buena idea
utilizar un editor de textos como el Bloc de notas y pegar la ACL a la configuracin
del router.
El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen
o no.
A medida que una trama ingresa a una interfaz, el router verifica si la direccin de
Capa 2 concuerda o si es una trama de broadcast. Si se acepta la direccin de la
trama, la informacin de la trama se elimina y el router busca una ACL en la interfaz
entrante. Si existe una ACL, entonces se verifica si el paquete cumple o no las
condiciones de la lista. Si el paquete cumple las condiciones, se lleva a cabo la accin
de aceptar o rechazar el paquete. Si se acepta el paquete en la interfaz, se lo
compara con las entradas de la tabla de enrutamiento para determinar la interfaz
destino y conmutarlo a aquella interfaz. A continuacin, el router verifica si la
interfaz destino tiene una ACL. Si existe una ACL, se compara el paquete con las
sentencias de la lista y si el paquete concuerda con una sentencia, se lleva a cabo la
aceptacin o el rechazo del paquete. Si no hay ACL o se acepta el paquete, el
paquete se encapsula en el nuevo protocolo de Capa 2 y se enva por la interfaz
hacia el dispositivo siguiente.
A manera de revisin, las sentencias de la ACL operan en orden secuencial lgico. Si
se cumple una condicin, el paquete se permite o deniega, y el resto de las
sentencias de la ACL no se verifican. Si todas las sentencias ACL no tienen
coincidencias, se coloca una sentencia implcita que dice deny any (denegar
cualquiera) en el extremo de la lista por defecto. Aunque la lnea deny any no sea
visible como ltima lnea de una ACL, est ah y no permitir que ningn paquete
que no coincida con las lneas anteriores de la ACL sea aceptada. Cuando est
aprendiendo por primera vez cmo crear una ACL, es una buena prctica agregar
el deny any al final de las ACL para reforzar la presencia dinmica de la prohibicin
implcita deny.
Se puede configurar una ACL por protocolo, por direccin y por interfaz.
Una ACL por protocolo: para controlar el flujo de trfico de una
interfaz, se debe definir una ACL para cada protocolo habilitado en la
interfaz.
Una ACL por direccin: las ACL controlan el trfico en una direccin a la
vez de una interfaz. Deben crearse dos ACL por separado para
controlar el trfico entrante y saliente.
Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por
ejemplo, Fast Ethernet 0/0.
Objetivos de las ACL
En resumen, los objetivos que se persiguen con la creacin de ACL son:
Limitar el trfico de red y mejorar el rendimiento de la red. Al restringir
el trfico de vdeo, por ejemplo, las ACL pueden reducir ampliamente la
carga de la red y en consecuencia mejorar el rendimiento de la misma.
Controlar el flujo del trfico. Las ACL pueden restringir el envo de
las actualizaciones de enrutamiento. Si no se necesitan actualizaciones
debido a las condiciones de la red, se preserva el ancho de banda.
Proporcionar un nivel bsico de seguridad para el acceso a la red. Por
ejemplo, las ACL pueden permitir que un host acceda a una parte de la
red y evitar que otro acceda a la misma rea. Por ejemplo, el host-1 se le
permite el acceso a la red de
Produccin
Establecer qu tipo de trfico se enva o se bloquea en las interfaces del
router. Por ejemplo, permitir que se enve el trfico relativo al correo
electrnico, y se bloquea el trfico de ftp.
Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos
de archivos, tales como FTP o HTTP.


TIPOS DE LISTAS DE ACCESO
Listas de acceso estndar:
Las listas de acceso IP estndar comprueban las direcciones de origen de los
paquetes que solicitan enrutamiento. El resultado es el permiso o la denegacin de
la salida del paquete por parte del protocolo, basndose en la direccin IP de la red-
subred-host de origen.
Listas de acceso extendidas:
Las listas de acceso comprueban tanto la direccin de origen como la de destino de
cada paquete. Tambin pueden verificar protocolos especificados, nmeros de
puerto y otros parmetros.
Una vez creada, una ACL debe asociarse a una interfaz de la siguiente manera:
Lista de acceso entrante:
Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de
salida, si el paquete pasa las pruebas de filtrado, ser procesado para su
enrutamiento (evita la sobrecarga asociada a las bsquedas en las tablas de
enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado).
Lista de acceso saliente:
Los paquetes entrantes son enrutados a la interfaz de salida y despus son
procesados por medio de la lista de acceso de salida antes de su transmisin.
Las listas de acceso expresan el conjunto de reglas que proporcionan un control
aadido para los paquetes que entran en interfaces de entrada, paquetes que se
trasmiten por el router, y paquetes que salen de las interfaces de salida del router.
Las listas de acceso no actan sobre paquetes originados en el propio router, como
las actualizaciones de enrutamiento a las sesiones Telnet salientes.
Listas de acceso numeradas
La siguiente tabla muestra los rangos de listas de acceso numeradas:
IP estndar.1-99 y 1300-1999
IP extendida..100-199 y 2000-2699
DECnet.300-399
XNS estndar.400-499
XNS extendida500-599
Apple Talk600-699
IPX estndar..800-899
IPX extendida900-999
Filtros Sap..1000-1099

Las listas de acceso IP estndar:
verifican slo la direccin de origen en la cabecera del paquete (Capa 3).
Las listas de acceso IP extendidas:
pueden verificar otros muchos elementos, incluidas opciones de la cabecera
del segmento (Capa 4), como los nmeros de puerto.
Direcciones IP de origen y destino, protocolos especficos.
Nmeros de puerto TCP y UDP,

















TRABAJO PRCTICO
Se tiene la red UTM que est integrada por 7 redes, 4 routers y 12 host (que se han
tomado en cuenta para el diseo). El esquema de conexin se presenta en la
siguiente tabla:
REDES ROUTERS HOST
82.0.0.0 /8 R0 PORTOVIEJO (SERVIDOR WEB)
172.22.32.0 / 19 R1 JIPIJAPA, PAJAN, SANTA ANA, OLMEDO
172.22.64.0 /19 R2 MANTA, MONTECRISTI, JARAMIJ
172.22.96.0 /19 R3 BOLIVAR, JUNIN, SUCRE
172.22.128.0 / 19 R3 CHONE
192.168.1.0 / 24 R0, R1
192.168.2.0 / 24 R0, R2, R3

Se pide establecer la topologa de la red, configurar la misma en Packet Tracer
asignando las direcciones IPv4 a cada interfaz de red de cada uno de los
dispositivos, el Gateway y las tablas de enrutamiento; se debe tomar en cuenta lo
siguiente:
PORTOVIEJO, es el servidor WEB con una IP esttica.
JIPIJAPA, PAJAN, SANTA ANA y OLMEDO toman la direccin IP mediante
DHCP.
MANTA tendr una direccin IP esttica.
MONTECRISTI, y JARAMIJ se configuran automticamente por DHCP, pero
no podrn recibir ninguna de las primeras 10 direcciones IP de su rango.
SIMON BOLIVAR tendr una direccin IP esttica.
JUNIN y SUCRE se configuraran automticamente por DHCP, pero no
podrn recibir ninguna de las 10 primeras direcciones IP de su rango.
CHONE tendr una direccin IP esttica.
Las interfaces de los routers tendrn la primera IP asignable en su rango (por
ejemplo: 192.168.1.1 en la red 192.168.1.0). Si varios routers estn conectados
a la misma red R1 tendr la primera IP (por ejemplo 192.168.1.1), R2 la
segunda (192.168.1.2) y R3 la tercera (192.168.0.3). A partir de ah las IPs que
se asignen a los host se podrn configurar a criterio del grupo.
Por medio de ACLs se debe obtener lo siguiente:
CHONE no podr comunicarse ni con BOLIVAR ni con JUNIN. Con el resto de
host si podr comunicarse, aunque con el servidor web PORTOVIEJO solo
mediante HTTP.
MONTECRISTI y JARAMIJ no podrn comunicarse ni con BOLIVAR y SUCRE,
con el resto de hosts SI podrn comunicarse aunque con el el servidor web
PORTOVIEJO, solo mediante HTTPS.
JIPIJAPA, PAJAN, SANTA ANA Y OLMEDO NO podrn comunicarse con
MONTECRISTI, JARAMIJO, JUNIN Y SUCRE; con el resto de host SI podrn
comunicarse, aunque con el servidor web PORTOVIEJO solo mediante HTTP
Y HTTPS.
El resto de hosts, no podr acceder al servidor web PORTOVIEJO de ninguna
forma.

TOPOLOGA DE RED UTILIZADA






















DISPOSITIVOS UTILIZADOS
1 Servidor utilizando el servicio WEB y DNS
3 Switch
12 Host
4 Routers
3 Servidores DHCP






TABLA DE DIRECCIONAMIENTO
DISPOSITIVOS INTERFAZ DIRECCIN IP CLOCK RATE
Fa 0/0 82.0.0.1 N/A
ROUTER 0 Se 2/0 192.168.1.1 128000
Se 3/0 192.168.3.1 128000
Se 4/0 192.168.2.1 128000
RUOTER 1 Fa 0/0 172.22.32.1 N/A
Se 2/0 192.168.1.2 128000
ROUTER 2 Fa 0/0 172.22.64.1 N/A
Se 2/0 192.168.3.2 128000
ROUTER 3 Fa 0/0 172.22.96.1 N/A
Fa 1/0 172.22.128.1 N/A
Se 2/0 192.168.2.2 128000

TABLA DE ENRUTAMIENTO ESTTICO




DISPOSITIVOS REDES
ROUTER 0 172.22.64.0/19 VA 192.168.3.2
172.22.128.0/19 VA 192.168.2.2
172.22.96.0/19 VA 192.168.2.2
172.22.32.0/19 VA 192.168.1.2
ROUTER 1 82.0.0.0/8 VA 192.168.1.1
172.22.64.0/19 VA 192.168.1.1
172.22.128.0/19 VA 192.168.1.1
172.22.96.0/19 VA 192.168.1.1
ROUTER 2 82.0.0.0/8 VA 192.168.3.1
172.22.32.0/19 VA 192.168.3.1
172.22.128.0/19 VA 192.168.3.1
172.22.96.0/19 VA 192.168.3.1
ROUTER 3 82.0.0.0/8 VA 192.168.2.1
172.22.32.0/19 VA 192.168.2.1
172.22.64.0/19 VA 192.168.2.1











BIBLIOGRAFA

http://telematicaupc.wordpress.com/2011/03/26/%C2%BFque-son-las-acl-2/
http://recursostic.educacion.es/observatorio/web/es/component/content/arti
cle/1065-listas-de-control-de-acceso-acl?start=3
http://aprenderedes.com/2006/10/tipos-de-listas-de-acceso/
http://cesarcabrera.info/blog/%C2%BFcomo-funcionan-las-acls-v-ejemplos/