Anda di halaman 1dari 5

Práctica de laboratorio: Planificación, configuración y verificación

de las ACL extendidas

Topología a Utilizar.

Tipo de Contraseña
interfaz Contraseña de enable,
Nombre Dirección IP de Dirección serial Gateway secreta de de vty y de
Dispositivo del Host FastEthernet 0/0 IP Serial 0/0/0 predeterminado enable consola
(modo (modo
priviligiado) usuario)
Router 1 R1 192.168.38.1/24 192.168.91.1/30 DCE jorge roque
Router 2 R2 192.168.39.1/24 192.168.91.2/30 DTE jorge roque
Switch 1 S1 jorge roque
Host 1 H1 192.168.38.10/24 192.168.38.1
Host 2 H2 192.168.38.11/24 192.168.38.1
Host 3 H3 192.168.39.10/24 192.168.39.1

Objetivos
• Configurar ACL extendidas para controlar el tráfico.
• Verificar el funcionamiento de las ACL

Información básica / Preparación


En esta práctica de laboratorio trabajará con ACL extendidas para controlar el tráfico de la red basado en
direcciones IP del host. Se puede usar cualquier router que cumpla con los requisitos de interfaz que se
muestran en el diagrama de topología. Por ejemplo, se pueden usar los routers serie 800, 1600, 1700,
1800, 2500, 2600, 2800 o cualquier combinación.
Paso 1: Conecte la Topología.

1. Conecte la interfaz Serial 0/0/0 del Router 1 a la interfaz Serial 0/0/0 del Router 2 mediante un cable serial.
2. Conecte la interfaz Fa0/0 del router 1 al puerto Fa0/1 del switch 1 mediante un cable de conexión directa.
3. Conecte un cable de consola a cada PC para realizar configuraciones en los routers y el switch. ?
4. Conecte el Host 1 al puerto Fa0/3 del switch 1 mediante un cable de conexión directa.
5. Conecte el Host 2 al puerto Fa0/2 del switch 1 mediante un cable de conexión directa.
6. Conecte un cable de conexión cruzada entre el Host 3 y la interfaz Fa0/0 del Router

Paso 2: Realice la configuración básica del Router 1.


a. Conecte una PC al puerto de consola del router para realizar configuraciones utilizando un
programa de emulación de terminal.
b. En el Router 1, configure el nombre del host, las interfaces, las contraseñas y el mensaje del día,
y deshabilite las búsquedas de DNS según la tabla de direccionamiento y el diagrama de
topología. Guarde la configuración.

Paso 3: Realice la configuración básica del Router 2.


Realice la configuración básica en el Router 2 y guarde la configuración.

Paso 4: Realice la configuración básica del Switch 1.


Configure el Switch 1 con un nombre de host, consola, Telnet y contraseñas privilegiadas según la tabla
de direccionamiento y el diagrama de topología.

Paso 5: Configure los hosts con la dirección IP, la máscara de subred y el gateway
predeterminado.
a. Configure los hosts con la dirección IP, la máscara de subred y el gateway predeterminado según
la tabla de direccionamiento y el diagrama de topología.
b. Cada estación de trabajo debe tener capacidad para hacer ping al router conectado. Si los pings
no son satisfactorios, resuelva el problema según sea necesario. Verifique que se hayan asignado
una dirección IP y un gateway predeterminado específicos a la estación de trabajo.

Paso 6: Configure el enrutamiento RIP y verifique la conectividad de extremo a extremo en


la red.
a. En el R1, habilite el protocolo de enrutamiento RIP y configúrelo para publicar ambas
redes conectadas.
b. En el R2, habilite el protocolo de enrutamiento RIP y configúrelo para publicar ambas
redes conectadas.
c. Desde cada host, haga ping a los otros dos hosts.
¿Los pings tuvieron éxito? Si
Si la respuesta es negativa, resuelva el problema de las configuraciones del router y el host
para detectar el error. Haga ping de nuevo hasta que todos sean satisfactorios.

Paso 7: Configure las ACL extendidas para controlar el tráfico.


El Host 3 en esta red contiene información de dominio privado. Los requisitos de seguridad para esta red
establecen que sólo ciertos dispositivos podrán acceder a esta máquina. El Host 1 es el único host que
podrá acceder a esta computadora. Todos los otros hosts en esta red se utilizan para acceso de invitado y
no se les debe permitir el acceso al Host 3. Además, el Host 3 es la única computadora en la red que puede
acceder a las interfaces de R1 para una administración remota. Las ACL extendidas se utilizarán para
controlar el acceso en esta red.
a. Confeccione una lista de requisitos para una mayor claridad:
1) El Host 1 puede acceder al Host 3. Todos los otros hosts (sólo en esa red) no pueden acceder
al Host 3. Todo host adicional que se agregue en el futuro a otras redes debe tener acceso al
Host 3, ya que no serán máquinas a las que se pueda tener acceso de invitado.
2) El Host 3 puede acceder a las interfaces de R1. Todos los otros dispositivos en la red no
tendrán acceso.
b. Analice los requisitos y determine la ubicación de las listas de control de acceso extendidas.
Según los requisitos, el tráfico que debe controlarse es el que sale de la interfaz Fa0/0 de R2 con
destino al Host 3. Por lo tanto, la lista de control de acceso debe ubicarse en la interfaz Fa0/0 de R2.
c. Cree una ACL extendida para realizar las tareas establecidas y aplíquela a R2.
// El Host 1 puede acceder al Host 3
R2(config)# access-list 101 permit ip host 192.168.38.10 host 192.168.39.10
// Todos los otros hosts (sólo en esa red) no pueden acceder al Host 3.
R2(config)# access-list 101 deny ip 192.168.38.0 0.0.0.255 host 192.168.39.10
// Todo host adicional que se agregue en el futuro a otras redes deben tener
acceso al host 3.
R2(config)# access-list 101 permit ip any any
// no entiendo porque denegar : deeny en implícita pero por cuestiones de
practica se agrega
R2(config)# access-list 101 deny ip any any

NOTA: la sentencia deny implícita al final de una lista de control de acceso cumple esta misma
función. No obstante, el agregado de la línea a la ACL facilita su documentación y se considera una
buena práctica. Al agregar explícitamente esta sentencia, se lleva la cuenta de la cantidad de
paquetes que coinciden con la sentencia y el administrador puede ver cuántos paquetes se
rechazaron.
d. Aplique la lista de acceso en la interfaz Fa0/0 de R2 en la dirección de salida.
R2(config)#interface fastethernet 0/0
R2(config-if)#ip access-group 101 out
e. Verifique la ACL en R2 con el comando show access-lists.
¿El resultado del comando show access-lists muestra la ACL que se creó?
Si
R2#show access-list
Extended IP access list 101
10 permit ip host 192.168.38.10 host 192.168.39.10
20 deny ip 192.168.38.0 0.0.0.255 host 192.168.39.10
30 permit ip any any
40 deny ip any any

¿El resultado del comando show access-lists muestra de qué manera se aplicó la ACL?
Si
R2#show access-list
Extended IP access list 101

f. Utilice el comando show ip interface fa0/0 en R2 para mostrar la aplicación de la ACL.


¿Qué le indica el resultado del comando show ip interface acerca de la ACL?
El tipo de entrada o salida que tienen los paquetes en el router
Outgoing access list is 101
Inbound access list is not set
Paso 8: Pruebe la ACL.
a. Haga ping al Host 3 desde los Hosts 1 y 2.
¿Puede el Host 1 hacer ping al Host 3? si
¿Puede el Host 2 hacer ping al Host 3? No

b. Para verificar que las otras direcciones puedan hacer ping al Host 3, haga ping al Host 3 desde R1.
¿El ping tuvo éxito? Si
c. Muestre nuevamente la lista de control de acceso con el comando show access-lists.
¿Qué información adicional se muestra además de las sentencias de la lista de acceso?

Hace referencia que es una lista de acceso extendida: Extended IP access list 101

d. Elimine esta lista de control de acceso antes de continuar.


R2(config)#interface fastethernet 0/0
R2(config-if)#no ip access-group 101 out
R2(config-if)#exit
R2(config)#no access-list 101

Paso 9: Configure y pruebe la ACL para el próximo requisito.


a. El Host 3 es el único host al que se le debe permitir conectarse a R1 para la administración remota.
Cree una lista de control de acceso que cumpla con este requisito. Esta ACL deberá ubicarse en R1,
ya que R1 es el destino del tráfico. Ninguno de los otros hosts tendrá permitido el acceso. Éste es el
único tráfico que se controla. El resto del tráfico debe estar autorizado.
R1(config)#access-list 101 permit ip host 192.168.39.10 host
192.168.91.1
R1(config)#access-list 101 permit ip host 192.168.39.10 host
R1(config)#access-list 101 deny ip any host 192.168.91.1
R1(config)#access-list 101 deny ip any host 192.168.38.1
R1(config)#access-list 101 permit ip any any
R1(config)#access-list 101 deny ip any any
b. Dado que el tráfico de origen puede provenir de cualquier dirección, esta ACL debe aplicarse a
ambas interfaces en R1. El tráfico que se controlará debe ser el que ingrese al router.
R1(config)#interface fastethernet 0/0
R1(config-if)#ip access-group 101 in
R1(config-if)#interface serial 0/0/0
R1(config-if)#ip access-group 101 in
c. Ahora intente hacer telnet a R1 desde todos los hosts y R2. Intente hacer telnet a ambas direcciones
de R1.
¿Puede hacer telnet a R1 desde cualquiera de estos dispositivos? Si la respuesta es sí, ¿desde
cuáles? Si solamente desde H3
d. Muestre el resultado del comando show access-lists en R1.
¿El resultado del comando show access-lists muestra que las sentencias coinciden?
Si

R1#show access-lists
Extended IP access list 101
10 permit ip host 192.168.39.10 host 192.168.91.1 (2 match(es))
20 deny ip any host 192.168.91.1 (3 match(es))
30 deny ip any host 192.168.38.1 (8 match(es))
40 permit ip any any (30 match(es))
50 deny ip any any

Paso 10: Reflexione.


a. ¿Por qué se requieren una planificación y una prueba más detalladas de las listas de control de
acceso?
Se tiene que planificar, es decir recopilar todos los requerimientos o
condiciones de cada uno de los dispositivos en los cuales habrán tráficos de
paquetes, luego tiene que haber una análisis para establecer prioridades y tipo
de ACL que se ocupara ya sea estándar o extendidas o combinación.

b. ¿Cuál es la ventaja de utilizar las ACL extendidas en comparación con las ACL estándar?
Que las ACL extendidas tienen más atributos para bloquear los tráficos de red como:
origen, destino, protocolo y puerto.