Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Tarea 7 Maurilio Quijada

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 30

Ingeniería en Sistemas

Computacionales
CISCO II

Módulo 6. Listas de control de  acceso ACL.


Tarea 7. Control de Acceso (ACL)
Nombre:

Facilitador:

Actividad 1. Configuración de listas de acceso estándar


Routers serie 2600

INSTRUCCIONES: Lee con atención la información que a continuación se presenta y


contesta los cuestionamientos.

Desi Nomb Dire Másca Con Contr


gna re del cció ra de tras aseña
ción route n subre eña enabl
del r FA0/ d ena e
rout 0 ble /VTY/
er secr Cons
et ola
Rou GAD 192. 255.25 clas cisco
ter1 168. 5.255. s
14.1 0

Objetivo
• Configurar y aplicar una ACL estándar para permitir o denegar tráfico específico.
• Probar la ACL para determinar si se lograron los resultados deseados.

Información básica / preparación

Cree una red con un cableado similar al del diagrama. Se puede usar cualquier router que
cumpla con los requisitos de interfaz que se ven en el diagrama anterior como los routers
800, 1600, 1700, 2500, 2600 o una combinación de estos Consulte la tabla al final de esta
práctica de laboratorio para identificar correctamente los identificadores de interfaz que se
deben usar según el equipo disponible en el laboratorio. Los resultados de la configuración
utilizados en esta práctica se obtuvieron con los routers serie 1721. El uso de cualquier otro
router puede producir unos resultados ligeramente distintos.

Ejecute los siguientes pasos en cada router a menos que se especifique lo contrario:

 Iniciar una sesión de HyperTerminal tal como se realizó en la práctica de laboratorio


Establecer una sesión de HyperTerminal.

Nota: Vaya a las instrucciones de borrar y recargar al final de estas actividades.


Realice ese procedimiento en el router asignado a esta práctica antes de continuar.

Paso 1. Configurar el nombre de host y las contraseñas en el router Gadsden.

 En el router Gadsden, entre al modo de configuración global y configure el nombre de host tal
como aparece en el cuadro. Entonces, configure las contraseñas de consola, de la terminal
virtual y de enable. Configure la interfaz FastEthernet en el router de acuerdo al diagrama.

Paso 2. Configurar los hosts en el segmento Ethernet.

 Host 1
Dirección IP 192.168.14.2
Máscara de subred 255.255.255.0
Gateway por defecto 192.168.14.1

 Host 2
Dirección IP 192.168.14.3
Máscara de subred 255.255.255.0
Gateway por defecto 192.168.14.1

Paso 3. Guardar la información de configuración en el modo de comando EXEC


privilegiado.

 GAD#copy running-config startup-config

Paso 4 Confirmar la conectividad haciendo ping al gateway por defecto desde ambos
hosts

 Si los pings no tienen éxito, corrija la configuración y repita este paso hasta que tengan éxito.

Paso 5. Impedir el acceso a la interfaz Ethernet desde los hosts.

 Cree una lista de acceso que impida el acceso a FastEthernet 0 desde la red 192.168.14.0.
 En la petición de entrada de configuración del router escriba el siguiente comando:
GAD(config)#access-list 1 deny 192.168.14.0 0.0.0.255
GAD(config)#access-list 1 permit any

1.- Por qué hace falta la segunda sentencia?


Respuesta
______________para que no permita las conexiones
Paso 6. Hacer ping al router desde los hosts.

2.- Fueron exitosos los pings?


Respuesta
__________si
________________________________________________________

3.- Si lo fueron, ¿por qué?


Respuesta ____ con el router si y con la maquina también porque no son pares las ip
________________________________________________

Paso 7. Aplicar la lista de acceso a la interfaz.

 En la petición de entrada del modo de interfaz FastEthernet 0 escriba lo siguiente:


GAD(config-if)#ip access-group 1 in

Paso 8. Hacer ping al router desde los hosts.

4.- Fueron exitosos los pings?


Respuesta
_________________no_________________________________________________

5.- Si lo fueron, ¿porqué?


Respuesta
_______________porque se denegó el acceso_____________________________________
Paso 9. Crear una nueva lista de acceso.

 Ahora, cree una lista de acceso que impida que los hosts con números pares hagan ping pero
permita el host con número impar.

 ¿Cómo será esta lista de acceso? Termine este comando con una dirección IP de
comparación (aaa.aaa.aaa.aaa) y máscara wildcard (www.www.www.www) adecuadas:
access-list 2 permit aaa.aaa.aaa.aaa www.www.www.www

6.- Cómo quedaría?


Respuesta
__ Router(config)#access-list 2 permit 192.168.14.1 0.0.0.255
_________________________________________

7.- ¿Por qué no fue necesario poner la sentencia permit any al final esta vez?
Respuesta
_____________porque ya le indicamos que lo permita arriba ____________________

Paso 10. Aplicar la lista de acceso a la interfaz de router correspondiente.

 Primero, elimine la aplicación de lista de acceso antigua escribiendo no ip access-group 1 in


en el modo de configuración de interfaz.

 Aplique la lista de acceso nueva escribiendo ip access-group 2 in

Paso 11. Hacer ping al router desde cada host

8.- ¿Tuvo éxito el ping desde el host 1?


Respuesta
__________si pude________________________________________________________

9.- ¿Por qué o por qué no?


Respuesta
____________porque esta permitido que tenga acceso
______________________________________________________

10.- ¿Tuvo éxito el ping desde el host 2?


Respuesta
_______________si pudo___________________________________________________

11.- ¿Por qué o por qué no?


Respuesta
_______no lo se___________________________________________________________

 Al completar los pasos anteriores, desconéctese escribiendo exit. Apague el router.


Actividad 2. ACL estándar Routers serie 2600

Nomb Dirección Tipo Dirección Direcció Enruta Contras Contras


re del FA0/0 de S0/0 n LO0 mient eña eña VTY
router inter o enable
face
S0/0
GAD 192.168.1. DCE 192.168.2 172.16.1. RIP cisco class
1/24 .1/24 1/24
BHM 192.168.3. DTE 192.168.2 RIP cisco class
1/24 .2/24

Host Dirección IP Máscara de Gateway


subred
1 192.168.1.2 255.255.255. 192.168.1.1
0
2 192.168.1.3 255.255.255. 192.168.1.1
0
3 192.168.3.2 255.255.255. 192.168.3.1
0
4 192.168.3.3 255.255.255. 192.168.3.1
0

Objetivo

 Planificar, configurar y aplicar una ACL estándar para permitir o denegar tráfico específico.
 Probar la ACL para determinar si se lograron los resultados deseados.

Situación

 La sede de la empresa en Gadsden (GAD) ofrece servicios a las sucursales, como la oficina
de Birmingham (BHM). Estas oficinas tienen algunos problemas menores de seguridad y
desempeño.

 Por lo tanto, es necesario implementar una ACL estándar como una herramienta simple y
efectiva para controlar el tráfico.

Infraestructura

 El Host 3 representa la estación de quiosco cuyo acceso debe limitarse a la red local.
 El Host 4 representa a otro host de la oficina de BHM y la interface Loopback 0 del router GAD
representa la Internet.

Paso 1. Interconexión básica del router.

 Interconecte los routers de acuerdo con el diagrama.

Paso 2. Configuración básica.

 Es posible que el router tenga configuraciones de un uso anterior. Por este motivo, borre la
configuración inicial y vuelva a cargar el router para eliminar cualquier configuración residual.
Refiérase a las tablas en la primera página y configure el router y los host. Verifique la
conectividad haciendo ping a todos los sistemas y routers desde cada sistema.

 Para simular la Internet, agregue la siguiente configuración al router GAD.


GAD(config)#interface loopback0
GAD(config-if)#address 172.16.1.1 255.255.255.0
GAD(config-if)#exit
GAD(config)#router rip
GAD(config-router)#network 172.16.0.0
GAD(config-if)#^z
Paso 3. Establecer los requisitos de la lista de acceso.

 Es necesario limitar el acceso de la estación de quiosco (Host 3) a la red local. Se determina


que es necesario crear una lista de acceso estándar para evitar que el tráfico desde este host
llegue a cualquiera de las demás redes. La lista de control de acceso debe bloquear el tráfico
desde este host sin afectar otro tráfico desde esta red. Una ACL IP estándar es adecuada,
dado que filtra a base de la dirección origen a cualquier destino.

¿Cuál es la dirección origen del quiosco?

Objetivo

 Planificar, configurar y aplicar una ACL estándar para permitir o denegar tráfico específico.
 Probar la ACL para determinar si se lograron los resultados deseados.

Situación

 La sede de la empresa en Gadsden (GAD) ofrece servicios a las sucursales, como la oficina
de Birmingham (BHM). Estas oficinas tienen algunos problemas menores de seguridad y
desempeño.

 Por lo tanto, es necesario implementar una ACL estándar como una herramienta simple y
efectiva para controlar el tráfico.

Infraestructura

 El Host 3 representa la estación de quiosco cuyo acceso debe limitarse a la red local.
 El Host 4 representa a otro host de la oficina de BHM y la interface Loopback 0 del router GAD
representa la Internet.

Paso 1. Interconexión básica del router.

 Interconecte los routers de acuerdo con el diagrama.

Paso 2. Configuración básica.

 Es posible que el router tenga configuraciones de un uso anterior. Por este motivo, borre la
configuración inicial y vuelva a cargar el router para eliminar cualquier configuración residual.
Refiérase a las tablas en la primera página y configure el router y los host. Verifique la
conectividad haciendo ping a todos los sistemas y routers desde cada sistema.

 Para simular la Internet, agregue la siguiente configuración al router GAD.


GAD(config)#interface loopback0
GAD(config-if)#address 172.16.1.1 255.255.255.0
GAD(config-if)#exit
GAD(config)#router rip
GAD(config-router)#network 172.16.0.0
GAD(config-if)#^z

Paso 3. Establecer los requisitos de la lista de acceso.

 Es necesario limitar el acceso de la estación de quiosco (Host 3) a la red local. Se determina


que es necesario crear una lista de acceso estándar para evitar que el tráfico desde este host
llegue a cualquiera de las demás redes. La lista de control de acceso debe bloquear el tráfico
desde este host sin afectar otro tráfico desde esta red. Una ACL IP estándar es adecuada,
dado que filtra a base de la dirección origen a cualquier destino.

1.- ¿Cuál es la dirección origen del quiosco?


Respuesta
______192.168.3.1___________________________________________________________

Paso 4. Planificar los requisitos de la lista de acceso.

 Como ocurre con cualquier proyecto, la parte más importante del proceso es la planificación.
Primero, hay que definir la información necesaria para crear la ACL. Una lista de acceso
consta de una serie de sentencias ACL. Cada sentencia aumenta a la ACL de forma
secuencial. Dado que la lista se compone de más de una sentencia, el orden de las
sentencias debe planificarse cuidadosamente.

 Se ha determinado que para esta ACL se requerirán dos pasos lógicos. Cada uno de estos
pasos se puede lograr con una sola sentencia. Como herramienta de planificación, se puede
utilizar un editor de texto como el Bloc de notas, para organizar la lógica y luego escribir la
lista.

 En el editor de texto introduzca la lógica escribiendo:


! stop traffic from host 3
! permit all other traffic

 A partir de esta lógica se puede elaborar la ACL. En las tablas siguientes, anote la información
para cada sentencia.

Pare el tráfico de la computadora principal 3

No de lista Permitir o Dirección origen Máscara


denegar wildcard

Permita el resto del tráfico


No de lista Permitir o Dirección origen Máscara
denegar wildcard

2.- ¿Cuál sería el resultado de no incluir una sentencia para permitir todas las demás
direcciones origen?
Respuesta
__que puedan tener acceso ______________________________________________

3.- ¿Cuál sería el resultado de invertir el orden de las dos sentencias en la lista?
Respuesta
_______aplicarian de la misma forma_________________________________________

4.- ¿Por qué ambas sentencias usan el mismo número de ACL?


Respuesta
__________________________________________________________________

 El paso final en el proceso de planificación es determinar la mejor ubicación para la lista de


acceso y la dirección en la que se debe aplicar la lista. Examine el diagrama de la red y
seleccione la interfaz y dirección adecuadas. Anote esto en la tabla que se encuentra a
continuación:

Router Interfaz Dirección

Nota:* También se puede aplicar a SO para detener el tráfico a GAD.

Paso 5. Escribir y aplicar la ACL.

 Mediante la lógica e información de las listas de acceso desarrolladas anteriormente, complete


los comandos en el editor de texto. La sintaxis de la lista deberá ser similar a lo siguiente:

! stop traffic from host 3

access-list #deny address wildcard

! permit all other traffic

access-list #permit address wildcard

 Agregue las sentencias de configuración para aplicar la lista a este archivo de texto. Las
sentencias de configuración tendrán la siguiente forma:

interface type #/#

ip access-group #{in, out}


 Ahora es necesario aplicar la configuración de archivo de texto al router. Entre al modo de
configuración del router correspondiente y copie y pegue la configuración. Observe la
visualización de la CLI para garantizar que no haya errores.

Paso 6. Verificar la ACL.

 Ahora que se ha completado la ACL, es necesario confirmarla y probarla.


 El primer paso es verificar la lista para ver si se ha configurado correctamente en el router.
Para verificar la lógica de la ACL use el comando show access-lists. Anote el resultado.

5.- Respuesta
____________me daba error y no salio nada_______________________________

 A continuación, verifique que se haya aplicado la lista de acceso a la interfaz correcta y en la


dirección correcta. Para hacer esto examine la interfaz con el comando show ip interface.

6.- Verifique el resultado desde cada interfaz y anote las listas aplicadas a la interfaz.
Respuesta
______no me apareció nada me daba error no encontré la solución
____________________________________________________________
Interfaz
La lista de acceso de salida es:
La lista de acceso de entrada es:

Por último, pruebe la funcionalidad de la ACL intentando enviar paquetes desde el host
origen y verifique que se permita o deniegue de acuerdo a lo planificado. En este caso, la
prueba se realiza con un ping.
[ ] verify that host 3 CAN ping host 4
[ ] verify that host 3 CANNOT ping host 1
[ ] verify that host 3 CANNOT ping host 2
[ ] verify that host 3 CANNOT ping GAD Fa0/0
[ ] verify that host 3 CANNOT ping GAD LO0
[ ] verify that host 4 CAN ping host 1
[ ] verify that host 4 CAN ping host 2
[ ] verify that host 4 CAN ping GAD Fa0/0
[ ] verify that host 4 CAN ping GAD LO0

Paso 7. Documente la ACL.

 Como parte de toda la gestión de red, es necesario elaborar documentación. Agregue


comentarios adicionales al archivo de texto creado para la configuración. Este archivo también
debe contener resultados de los comandos show access-lists y show ip interface.
 El archivo debe guardarse junto con la demás documentación de red. La convención de
nombres de archivos debe reflejar la función del archivo y la fecha de implementación. Con
eso, se ha completado el proyecto de la ACL.

 Al terminar, borre la configuración inicial de los routers, quite y guarde los cables y el
adaptador.
 Termine la sesión y apague el router.

NOTA: En esta actividad enviarás la tarea y el archivo que generaste en el


block de notas.

Paso 4. Planificar los requisitos de la lista de acceso.

 Como ocurre con cualquier proyecto, la parte más importante del proceso es la planificación.
Primero, hay que definir la información necesaria para crear la ACL. Una lista de acceso
consta de una serie de sentencias ACL. Cada sentencia aumenta a la ACL de forma
secuencial. Dado que la lista se compone de más de una sentencia, el orden de las
sentencias debe planificarse cuidadosamente.

 Se ha determinado que para esta ACL se requerirán dos pasos lógicos. Cada uno de estos
pasos se puede lograr con una sola sentencia. Como herramienta de planificación, se puede
utilizar un editor de texto como el Bloc de notas, para organizar la lógica y luego escribir la
lista.

 En el editor de texto introduzca la lógica escribiendo:


! stop traffic from host 3
! permit all other traffic

 A partir de esta lógica se puede elaborar la ACL. En las tablas siguientes, anote la información
para cada sentencia.

Pare el tráfico de la computadora principal 3

No de lista Permitir o Dirección origen Máscara


denegar wildcard

Permita el resto del tráfico


No de lista Permitir o Dirección origen Máscara
denegar wildcard
7.- ¿Cuál sería el resultado de no incluir una sentencia para permitir todas las demás
direcciones origen?
Respuesta
__________________________________________________________________

8.- ¿Cuál sería el resultado de invertir el orden de las dos sentencias en la lista?
Respuesta
__________________________________________________________________

9.- ¿Por qué ambas sentencias usan el mismo número de ACL?


Respuesta
__________________________________________________________________

 El paso final en el proceso de planificación es determinar la mejor ubicación para la lista de


acceso y la dirección en la que se debe aplicar la lista. Examine el diagrama de la red y
seleccione la interfaz y dirección adecuadas. Anote esto en la tabla que se encuentra a
continuación:

Router Interfaz Dirección

Nota:* También se puede aplicar a SO para detener el tráfico a GAD.

Paso 5. Escribir y aplicar la ACL.

 Mediante la lógica e información de las listas de acceso desarrolladas anteriormente, complete


los comandos en el editor de texto. La sintaxis de la lista deberá ser similar a lo siguiente:

! stop traffic from host 3

access-list #deny address wildcard

! permit all other traffic

access-list #permit address wildcard

 Agregue las sentencias de configuración para aplicar la lista a este archivo de texto. Las
sentencias de configuración tendrán la siguiente forma:

interface type #/#

ip access-group #{in, out}

 Ahora es necesario aplicar la configuración de archivo de texto al router. Entre al modo de


configuración del router correspondiente y copie y pegue la configuración. Observe la
visualización de la CLI para garantizar que no haya errores.
Paso 6. Verificar la ACL.

 Ahora que se ha completado la ACL, es necesario confirmarla y probarla.


 El primer paso es verificar la lista para ver si se ha configurado correctamente en el router.
Para verificar la lógica de la ACL use el comando show access-lists. Anote el resultado.

10.- Respuesta
__________________________________________________________________

 A continuación, verifique que se haya aplicado la lista de acceso a la interfaz correcta y en la


dirección correcta. Para hacer esto examine la interfaz con el comando show ip interface.

11.- Verifique el resultado desde cada interfaz y anote las listas aplicadas a la interfaz.
Respuesta
__________________________________________________________________

Interfaz
La lista de acceso de salida es:
La lista de acceso de entrada es:

Por último, pruebe la funcionalidad de la ACL intentando enviar paquetes desde el host
origen y verifique que se permita o deniegue de acuerdo a lo planificado. En este caso, la
prueba se realiza con un ping.
[ ] verify that host 3 CAN ping host 4
[ ] verify that host 3 CANNOT ping host 1
[ ] verify that host 3 CANNOT ping host 2
[ ] verify that host 3 CANNOT ping GAD Fa0/0
[ ] verify that host 3 CANNOT ping GAD LO0
[ ] verify that host 4 CAN ping host 1
[ ] verify that host 4 CAN ping host 2
[ ] verify that host 4 CAN ping GAD Fa0/0
[ ] verify that host 4 CAN ping GAD LO0

Paso 7. Documente la ACL.

 Como parte de toda la gestión de red, es necesario elaborar documentación. Agregue


comentarios adicionales al archivo de texto creado para la configuración. Este archivo también
debe contener resultados de los comandos show access-lists y show ip interface.

 El archivo debe guardarse junto con la demás documentación de red. La convención de


nombres de archivos debe reflejar la función del archivo y la fecha de implementación. Con
eso, se ha completado el proyecto de la ACL.

 Al terminar, borre la configuración inicial de los routers, quite y guarde los cables y el
adaptador.
 Termine la sesión y apague el router.

NOTA: En esta actividad enviarás la tarea y el archivo que generaste en el block de


notas.

Actividad 3. Configuración de listas de acceso extendidas


Routers serie 2600

Designaci Nombre del Dirección Máscara de Contrase Contraseña


ón router FA0/0 subred ña enable /VTY/
del router enable Consola
secret
Router1 GAD 192.168.1 255.255.255.0 class cisco
4.1

Objetivo

• Configurar y aplicar una ACL extendida para permitir o denegar tráfico específico.
• Probar la ACL para determinar si se lograron los resultados deseados.

Información básica / preparación

Cree una red con un cableado similar al del diagrama. Se puede usar cualquier router que
cumpla con los requisitos de interfaz que se ven en el diagrama anterior, como los routers
800, 1600, 1700, 2500, 2600, o una combinación de estos Consulte la tabla al final de esta
práctica de laboratorio para identificar correctamente los identificadores de interfaz que se
deben usar según el equipo disponible en el laboratorio. Los resultados de la configuración
utilizados en esta práctica se obtuvieron con los routers serie 1721. El uso de cualquier otro
router puede producir unos resultados ligeramente distintos.

Ejecute los siguientes pasos en cada router a menos que se especifique lo contrario:

 Iniciar una sesión de HyperTerminal tal como se realizó en la práctica de laboratorio:


Establecer una sesión de HyperTerminal.

Nota: Vaya a las instrucciones de borrar y recargar al final de estas actividades.


Realice ese procedimiento en el router asignado a esta práctica antes de continuar.

Paso 1. Configurar el nombre de host y las contraseñas en el router GAD.

 En el router GAD, entre al modo de configuración global y configure el nombre de host tal
como aparece en el cuadro. Entonces, configure las contraseñas de consola, de la terminal
virtual y de enable.
 Configure la interfaz FastEthernet en el router de acuerdo al diagrama.
 Permita el acceso HTTP ejecutando el comando ip http server en el modo de configuración
global.

Paso 2. Configurar los hosts en el segmento Ethernet.

Host 1
Dirección IP 192.168.14.2
Máscara de subred 255.255.255.0
Gateway por defecto 192.168.14.1

Host 2
Dirección IP 192.168.14.3
Máscara de subred 255.255.255.0
Gateway por defecto 192.168.14.1

Paso 3. Guardar la información de configuración en el modo de comando EXEC


privilegiado.

 GAD#copy running-config startup-config


Paso 4. Confirmar la conectividad haciendo ping al gateway por defecto desde
ambos hosts.

 Si los pings no tienen éxito, corrija la configuración y repita este paso hasta que tengan éxito

Paso 5. Conectarse al router mediante el navegador de Web.

 Desde el host, conéctese al router mediante un navegador de Web para asegurarse de que la
función de servidor de Web esté activa.

Paso 6. Impedir el acceso HTTP (Puerto 80) desde los hosts de la interfaz Ethernet.

 Cree una lista de acceso que impida el acceso mediante navegador de Web a FastEthernet 0
desde la red 192.168.14.0.

 En la petición de entrada de configuración del router escriba el siguiente comando:

GAD(config)#access-list 101 deny tcp 192.168.14.0 0.0.0.255 any eq 80


GAD(config)#access-list 101 permit ip any any

1.- ¿Por qué hace falta la segunda sentencia?


Respuesta
____________
______________________________________________________

Paso 7. Aplicar la lista de acceso a la interfaz.

 En la petición de entrada del modo de interfaz FastEthernet 0 escriba:

GAD(config-if)#ip access-group 101 in

Paso 8. Hacer ping al router desde los hosts.

2.- ¿Fueron exitosos los pings?


Respuesta
___________si hace ping pero no pude acceder desde
navegador_______________________________________________________

3.- Si es así, ¿por qué?


Respuesta
__________________________________________________________________

Paso 9. Conectarse al router mediante el navegador de Web.

4.- ¿Pudo conectarse el navegador?


Respuesta
______________________no____________________________________________

Paso 10. Hacer telnet al router desde los hosts.

5.- ¿Pudo hacer Telnet con éxito?


Respuesta
__________________________________________________________________
6.- ¿Por qué o por qué no?
Respuesta
_________________no habilite para hacer telnet _________________________________

Al completar los pasos anteriores, desconéctese escribiendo exit. Apague el router.

Actividad 4. Listas de acceso extendidas sencillas


Routers serie 2600

Designació Nombre Contraseñ Contrase Protocolo de Sentencias de red RIP


n del del a enable ñas enrutamient
router router secret enable/V o
TY/Cons
ola
Router1 GAD class cisco RIP 172.16.0.0
Router2 BHM class cisco RIP 192.168.1.0
172.16.0.0

Designa Dirección Tipo de Dirección Dirección Entradas


ción del Fast Ethernet interfac Serial 0 Fast Ethernet de tabla
router 0 e Serial 1 de host
0 IP
Router1 172.16.2.1/24 DTE 172.16.1.1/24 BHM
Router2 192.168.1.18/ DCE 172.16.1.2/24 192.168.1.33/2 GAD
28 8

Host Dirección IP Máscara de Gateway


subred
Servidor de 192.168.1.18 255.255.255.2 192.168.1.17
nómina 40
A 192.168.1.19 255.255.255.2 192.168.1.17
40
B 192.168.1.34 255.255.255.2 192.168.1.33
40
C 192.168.1.35 255.255.255.2 192.168.1.33
40
D 172.16.2.2 255.255.255.0 172.16.2.1

Objetivo

 En esta práctica de laboratorio, se configuran listas de acceso extendidas para filtrar tráfico de
red a red, de host a red y de red a host.

Situación

 Una empresa de marketing tiene dos instalaciones. La oficina principal es en Birmingham


(BHM) y la sucursal es en Gadsden (GAD). El administrador de telecomunicaciones de ambas
oficinas necesita planificar e implementar listas de control de acceso para mejorar la seguridad
y el desempeño. En la oficina de BHM, hay dos grupos de usuarios de redes. Uno es el grupo
Administrativo y el otro es el grupo de Producción, y cada grupo utiliza una red diferente. Las
dos redes se interconectan con un router.
 La oficina de GAD es una red stub y sólo tiene una LAN conectada a ella.

Paso 1. Configuraciones básicas del router y el host.

 Interconecte los routers y los hosts de acuerdo con el diagrama. Configure todos los aspectos
básicos del router, como el nombre de host, contraseña enable, acceso de telnet, interfaces
del router. Consulte el diagrama y las tablas que aparecen más arriba.

Nota: El router BHM requiere dos interfaces Ethernet.

 Las configuraciones de cada router deben realizarse de la siguiente manera:

BHM#show running-config
<Resultado omitido>
hostname BHM
!
enable secret class
!
interface FastEthernet0
ip address 192.168.1.17 255.255.255.240
!
interface Serial0
ip address 172.16.1.2 255.255.255.0
clock rate 56000
!
interface FastEthernet 1
ip address 192.168.1.33 255.255.255.240
!
router rip
network 172.16.0.0
network 192.168.1.0
!
line vty 0 4
password cisco
login
!
end
BHM#
GAD#show running-config
<Resultado omitido>
!
hostname GAD
!
enable password class
!

interface FastEthernet0
ip address 172.16.2.1 255.255.255.0
!
interface Serial0
ip address 172.16.1.1 255.255.255.0
!
router rip
network 172.16.0.0
!
line vty 0 4
password cisco
login
!
no scheduler allocate
end
GAD#

 Configure los hosts con la información pertinente mediante la información definida


anteriormente. Antes de aplicar cualquier tipo de lista de acceso, es importante verificar la
conectividad entre sistemas.

 Verifique la conectividad haciendo ping a todos los sistemas y routers desde cada sistema.

 Todos los hosts deben poder hacer ping los unos a los otros y a las interfaces del router. Si los
pings a algunas interfaces no tienen éxito, es necesario encontrar y corregir el problema.

 Siempre se deben verificar las conexiones de la capa física, ya que con frecuencia son la
fuente de los problemas de conectividad. A continuación, verifique las interfaces del router.
Asegúrese de que no estén apagadas, configuradas de forma incorrecta, y de que RIP esté
configurado correctamente. Finalmente, recuerde que junto con las direcciones IP válidas, los
hosts también deben tener gateways por defecto especificados.

 Ahora que la infraestructura está armada, es el momento de implementar la seguridad de la


red.

Paso 2. Impedir que los usuarios de Producción accedan a la red GAD.

 La política de la empresa especifica que sólo el grupo Administrativo debe poder acceder a la
oficina de GAD. El acceso a la red por parte del grupo de Producción queda prohibido.

 Configure una lista de acceso extendida para permitir que el grupo Administrativo tenga
acceso a la oficina de GAD. El grupo de producción no debe tener acceso a la oficina de GAD.

 Después de un análisis cuidadoso, se decide que la mejor opción será utilizar una lista de
acceso extendida y aplicarla a la interfaz S0 de salida en el router BHM.

Nota: Recuerde que cuando se configura la lista de acceso, el router procesa


cada sentencia de la lista en el orden en que se creó. No se puede reordenar
una lista de acceso, ni saltear, editar o eliminar las sentencias de una lista de
acceso numerada. Por este motivo, puede resultar conveniente crear la lista de
acceso en un editor de texto como el Bloc de notas y luego pegar los comandos
en el router, en lugar de escribirlos directamente en un router.

 Introduzca lo siguiente:

BHM#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
BHM(config)#access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
 Esta sentencia define una lista de acceso extendida denominada “100”. Denegará el acceso ip
por parte de cualquier usuario de la red 192.168.1.32 – 192.168.1.47 si intentan acceder a la
red 172.16.2.0. Aunque se puede definir un acceso menos específico, esta lista de acceso
podría permitir a los usuarios de producción acceder a otros sitios (de estar disponibles) a
través de lainterfaz S0.

 Recuerde que existe un comando deny all implícito al final de cada lista de acceso. Debemos
asegurarnos de que el grupo administrativo tenga permiso de acceder a la red de GAD.
Aunque es posible imponer más restricciones, en este caso, simplemente dejaremos pasar
cualquier otro tráfico.

 Introduzca la siguiente sentencia:

BHM(config)#access-list 100 permit ip any any

 Ahora es necesario aplicar la lista de acceso a una interface. Es posible aplicar la lista a
cualquier tráfico entrante que vaya dirigido a la interfaz de red de producción Fa0/1. Sin
embargo, si hubiera mucho tráfico entre la red administrativa y la de producción, el router
tendría que verificar cada paquete. Existe la posibilidad de que esto implique una carga
innecesaria a los recursos del router. Por lo tanto, la lista de acceso se aplica a cualquier
tráfico de salida que pase por la interfaz S0 del router BHM.

 Introduzca lo siguiente:

BHM(config)#interface s0
BHM(config-if)#ip access-group 100 out

 Verifique que la sintaxis de la lista de acceso sea correcta mediante el comando show
running-config. A continuación se indican las sentencias válidas que deberían estar en la
configuración.

interface Serial0
ip access-group 100 out
<Resultado omitido>
access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
access-list 100 permit ip any any

 Otro comando valioso es el comando show access-lists. Un resultado de muestra se


presenta a continuación:

BHM#show access-lists
Extended IP access list 100
deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
permit ip any any

 El comando show access-lists también muestra contadores, indicando cuántas veces se ha


utilizado la lista. Aquí no se muestran los contadores dado que no se ha intentado la
verificación aún.
Nota: Use el comando clear access-list counters para reiniciar los contadores de lista
de acceso.

 Ahora pruebe la lista de acceso verificando la conectividad a la red GAD por parte de los hosts
administrativo y de producción.

1.- ¿Puede hacer ping el host de producción (B) al host de GAD (D)?
Respuesta
__________________________________________________________________

2.- ¿Puede hacer ping el host de producción (C) al host de GAD (D)?
Respuesta
__________________________________________________________________

3.- ¿Puede hacer ping el host administrativo (A) al host de GAD (D)?
Respuesta
__________________________________________________________________

4.- ¿Puede hacer ping el host de producción (B) al host de administración (A)?
Respuesta
__________________________________________________________________

5.- ¿Puede hacer ping el host de producción (B) a la interfaz serial del router de GAD?
Respuesta
__________________________________________________________________

 Los hosts de producción (B) y (C) deben poder hacer ping al host administrativo (A) y la
interfaz serial del router de GAD. Sin embargo, no deben poder hacer ping al host de GAD (D).
El router debe devolver un mensaje de respuesta al host que indique “Destination net
unreachable” (Red destino inalcanzable).

6.- Emita el comando show access-lists. ¿Cuántas coincidencias hay?


Respuesta
__________________________________________________________________

Nota: El comando show access-lists muestra la cantidad de coincidencias por


línea. Por lo tanto, es posible que la cantidad de coincidencias de denegación
parezca extraña, hasta darse cuenta de que los pings coinciden con la
sentencia de denegar y la sentencia de permitir.
Para ayudar a comprender de qué manera opera la lista de acceso, ejecute
periódicamente el comando show access-lists.

Paso 3. Permitir que un usuario de Producción acceda a la red GAD.

 Se recibe una llamada de un usuario del grupo de producción (B). Esa persona es el
responsable de intercambiar ciertos archivos entre la red de producción y la red de GAD. Es
necesario modificar la lista de acceso extendida para permitirle que acceda a la red de GAD,
denegando por otro lado el acceso de todos los demás de la red de producción.

 Configure una lista de acceso extendida para permitir el acceso de ese usuario a GAD.

 Desafortunadamente, no se puede reordenar una lista de acceso, ni saltear, editar o eliminar


las sentencias de una lista de acceso numerada. Si se intenta eliminar una sola sentencia de
una lista de acceso numerada, se eliminará la lista completa.

 Por lo tanto, es necesario eliminar la lista de acceso extendida inicial y crear una nueva. Para
eliminar la lista de acceso 101o, introduzca lo siguiente:

BHM#conf t
Enter configuration commands, one per line. End with CNTL/Z.
BHM(config)#no access-list 100

 Verifique que se haya eliminado con el comando show access-lists.

 Ahora, cree una nueva lista de acceso extendida. Siempre se debe filtrar desde lo más
específico hasta lo más general. Por lo tanto la primera línea de la lista de acceso debe
permitir que el host de producción (B) acceda a la red de GAD. El resto de la lista de acceso
debe ser igual a la que se introdujo anteriormente.

 Para filtrar el host de producción (B), la primera línea de la lista de acceso debe ser la
siguiente:

BHM(config)#access-list 100 permit ip host 192.168.1.34 172.16.2.0 0.0.0.255

Por lo tanto, la lista de acceso permite que el host de producción (B) acceda a la red de GAD.

 Ahora deniegue acceso a los demás hosts de producción a la red de GAD y permita el acceso
a cualquier otro. Consulte el paso anterior para saber las siguientes dos líneas de la
configuración.

 El comando show access-list muestra un resultado similar a lo siguiente:

BHM#show access-lists
Extended IP access list 100
permit ip host 192.168.1.34 172.16.2.0 0.0.0.255
deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
permit ip any any
BHM#

 Ahora pruebe la lista de acceso verificando la conectividad a la red GAD por parte de los hosts
administrativo y de producción.

7.- ¿Puede hacer ping el host de producción (B) al host de GAD (D)?
Respuesta
__________________________________________________________________
8.- ¿Puede hacer ping el host de producción (C) al host de GAD (D)?
Respuesta
__________________________________________________________________

El host de producción (B) ahora debe poder hacer ping al host de GAD (D). Sin embargo,
todos losdemás hosts de producción (C) no deben poder hacer ping al host de GAD (D).
Nuevamente, el router debe devolver un mensaje de respuesta al host que indique
“Destination net unreachable” (Red destino inalcanzable).

Paso 4. Permitir que los usuarios de GAD accedan al servidor de nómina de la


Administración.

 El grupo de administración tiene el servidor de nómina. Periódicamente, los usuarios


de la oficina de GAD necesitan acceso FTP y HTTP al servidor de nómina para cargar
y descargar informes de nómina.

 Configure una lista de acceso extendida para permitir que los usuarios de la oficina de
GADtengan acceso FTP, HTTP al servidor de nómina solamente. Se decide también
permitir el acceso ICMP para que ellos hagan ping al servidor. Los usuarios de GAD
no deben poder hacer ping a ningún otro host en la red de Administración.

 No conviene que haya tráfico innecesario entre los sitios, por lo tanto se decide
configurar una lista de acceso extendida en el router de GAD.

 Tome en cuenta que de vez en cuando haría falta acceso EXEC privilegiado a GAD.
Por este motivo, se ha configurado el acceso Telnet a GAD. De lo contrario, sería
necesario viajar a la oficina de GAD para configurarlo.

 Haga Telnet al router de GAD desde el router de BHM y entre al modo enable. Haga
diagnóstico de fallas según sea necesario.

Nota: Una trampa en la que se puede caer al configurar las listas de acceso en
los routers remotos es “dejarse afuera” de forma inadvertida. Esto no es un
problema grave cuando el router se encuentra en una ubicación física local. Sin
embargo, podría ser un problema enorme si el router se encuentra físicamente
ubicado en otro punto geográfico.

 Por este motivo, se recomienda enfáticamente que se emita el comando reload in 30


en el router remoto. Esto recarga automáticamente el router remoto dentro de los 30
minutos después de emitir el comando. Así, si el administrador se queda bloqueado,
con el tiempo se recargará la configuración anterior, permitiendo el acceso al router
nuevamente. Use el comando reload cancel para desactivar la recarga pendiente.
 Configure una lista de acceso extendida para permitir el acceso FTP al servidor de
nómina. La sentencia de la lista de acceso debe ser similar al siguiente:

GAD(config)#access-list 110 permit tcp any host 192.168.1.18 eq ftp

 Esta línea permitirá que cualquier host de la red de GAD tenga acceso FTP al servidor
de nómina, en la dirección 192.168.1.18.

9.- ¿Qué se podría haber definido en lugar de usar la palabra clave “any”?
Respuesta
__________________________________________________________________

10.- ¿Qué se podría haber definido en lugar de usar la palabra clave “host”?
Respuesta
__________________________________________________________________

11.- ¿Qué se podría haber definido en lugar de usar la palabra clave “ftp”?
Respuesta
__________________________________________________________________

 Ahora, configure la línea siguiente de la lista de acceso para permitir el acceso HTTP
al servidor de nómina. La sentencia de la lista de acceso debe ser similar al siguiente:

GAD(config)#access-list 110 permit tcp any host 192.168.1.18 eq www

 Esta línea permitirá que cualquier host de la red de GAD tenga acceso FTP al servidor
de nómina, en la dirección 192.168.1.18.
12.- ¿Qué otra cosa se podría haber definido en lugar de usar la palabra clave “www”?
Respuesta
__________________________________________________________________

 Ahora, configure la línea siguiente de la lista de acceso para permitir el acceso HTTP
al servidor de nómina. La sentencia de la lista de acceso debe ser similar al siguiente:

GAD(config)#access-list 110 permit icmp any host 192.168.1.18

 Esta línea permitirá que cualquier host de la red de GAD haga ping al servidor de
nómina, en la dirección 192.168.1.18.

 Por último, ningún usuario de GAD debe poder acceder a ningún otro host en la red de
Administración. Aunque no es obligatorio, siempre es buena idea incluir una sentencia
deny. La sentencia sirve como recordatorio y hace que sea más fácil comprender la
lista de acceso. La sentencia de la lista de acceso debe ser similar al siguiente:
GAD(config)#access-list 110 deny ip any 192.168.1.16 0.0.0.15

 Ahora es necesario aplicar la lista de acceso a una interface. Para reducir el tráfico
WAN no deseado, se decide aplicar la lista de acceso a cualquier tráfico de salida a
través de la interfaz S0 del router de GAD. Introduzca lo siguiente:

GAD(config)#interface s0
GAD(config-if)#ip access-group 110 out

 Ahora pruebe la lista de acceso verificando la conectividad al servidor de nómina por


parte del host de GAD (D).

13.- ¿Puede hacer ping el host de GAD (D) al servidor de nómina?


Respuesta
__________________________________________________________________

14.-¿Puede hacer ping el host de GAD (D) al host (A)?


Respuesta
__________________________________________________________________

 El host de GAD debe poder hacer ping al servidor de nómina solamente. El router
debe devolver el mensaje “Destination net unreachable” (Red destino no alcanzable)
al intentar hacer ping al host administrativo (D).

Paso 5. Documente la ACL.

 Como parte de toda la gestión de red, es necesario elaborar documentación. Agregue


comentarios adicionales al archivo de texto creado para la configuración. Este archivo
también debe contener resultados de los comandos show access-lists y show ip
interface.
 El archivo debe guardarse junto con la demás documentación de red. La convención
de nombres de archivos debe reflejar la función del archivo y la fecha de
implementación.
 Con eso, se ha completado esta práctica de laboratorio de ACL extendida.
 Al terminar, borre la configuración inicial de los routers, quite y guarde los cables y el
adaptador.
 Termine la sesión y apague el router.
Borrar y recargar el router

Ingrese en el modo EXEC privilegiado escribiendo enable (habilitar). Si pide una contraseña,
introduzca class. Si “class” no funciona, solicite ayuda a su instructor. Router>enable

En el modo EXEC privilegiado, introduzca el comando erase startup-config.


Router#erase startup-config

La petición de la línea de respuesta será:


Erasing the nvram filesystem will remove all files! Continue?
[confirm]
Presione Intro para confirmar.
La respuesta deberá ser:
Erase of nvram: complete

En el modo EXEC privilegiado, introduzca el comando reload (recargar).


Router#reload

La petición de la línea de respuesta será:


System configuration has been modified. Save? [yes/no]:
Escriba n y luego presione Intro.

La petición de la línea de respuesta será:


Proceed with reload? [confirm]
Presione Intro para confirmar.

La primera línea de la respuesta será:


Reload requested by console.

Una vez que el router se ha recargado el mensaje de respuesta será:


Would you like to enter the initial configuration dialog? [yes/no]:
Escriba n y luego presione Intro.

La petición de la línea de respuesta será:


Press RETURN to get started!
Presione Intro.

El router está listo para iniciar la práctica de laboratorio siguiente.


RESUMEN DE LA INTERFAZ DE ROUTER
Modelo de Interfaz Interfaz Interfaz Interfaz
Router Ethernet N°1 Ethernet N°2 Serial N°1 Serial N°2

800 (806) Ethernet 0 Ethernet 1


(E0) (E1)

1600 Ethernet 0 Ethernet 1 Serial 0 (S0) Serial 1 (S1)


(E0) (E1)
1700 FastEthernet FastEthernet Serial 0 (S0) Serial 1 (S1)
0 (FA0) 1 (FA1)
2500 Ethernet 0 Ethernet 1 Serial 0 (S0) Serial 1 (S1)
(E0) (E1)
2600 FastEthernet FastEthernet Serial 0/0 Serial 0/1
0/0 (FA0/0) 0/1 (FA0/1) (S0/0) (S0/1)

Para saber exactamente cómo está configurado el router, consulte las interfaces. Esto le
permitirá identificar el tipo de router así como cuántas interfaces posee el router. No hay una
forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para
cada clase de router. Lo que se ha presentado son los identificadores de las posibles
combinaciones de interfaces en el dispositivo. Esta tabla de interfaces no incluye ningún otro
tipo de interfaz aunque otro tipo pueda existir en un router dado. La interfaz BRI RDSI es un
ejemplo de esto. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en
los comandos IOS para representar la interfaz.

También podría gustarte