Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 163 vistas

    Practica Redes 5.2.7

    Cargado por

    Rosa Rubio
    Este documento describe los pasos para configurar y probar listas de control de acceso (ACL) estándar IPv4 en routers Cisco. Se configuran dos ACL, una numerada en R3 y una con nombre en R1, para permitir el tráfico entre redes LAN específicas según las políticas de seguridad. Luego se prueban las ACL para verificar que solo permiten el tráfico autorizado. Finalmente, se indica que una de las ACL necesita modificarse para coincidir con un cambio en la política de seguridad.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Practica Redes 5.2.7

    Cargado por

    Rosa Rubio
    163 vistas12 páginas
    Este documento describe los pasos para configurar y probar listas de control de acceso (ACL) estándar IPv4 en routers Cisco. Se configuran dos ACL, una numerada en R3 y una con nombre en R1, para permitir el tráfico entre redes LAN específicas según las políticas de seguridad. Luego se prueban las ACL para verificar que solo permiten el tráfico autorizado. Finalmente, se indica que una de las ACL necesita modificarse para coincidir con un cambio en la política de seguridad.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe los pasos para configurar y probar listas de control de acceso (ACL) estándar IPv4 en routers Cisco. Se configuran dos ACL, una numerada en R3 y una con nombre en R1, para permitir el tráfico entre redes LAN específicas según las políticas de seguridad. Luego se prueban las ACL para verificar que solo permiten el tráfico autorizado. Finalmente, se indica que una de las ACL necesita modificarse para coincidir con un cambio en la política de seguridad.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    163 vistas12 páginas

    Practica Redes 5.2.7

    Cargado por

    Rosa Rubio
    Este documento describe los pasos para configurar y probar listas de control de acceso (ACL) estándar IPv4 en routers Cisco. Se configuran dos ACL, una numerada en R3 y una con nombre en R1, para permitir el tráfico entre redes LAN específicas según las políticas de seguridad. Luego se prueban las ACL para verificar que solo permiten el tráfico autorizado. Finalmente, se indica que una de las ACL necesita modificarse para coincidir con un cambio en la política de seguridad.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 12

    Packet Tracer: Configuración de listas ACL IPv4 estandar

    Tabla de asignación de direcciones

    Objetivos

    Parte 1. Verificar la conectividad

    Parte 2: Configurar y verificar ACL estándar numeradas y con nombre

    Parte 3: Modificar una ACL estándar

    Antecedentes/Escenario

    La seguridad de red es una cuestión importante al diseñar y administrar redes IP. La


    capacidad para configurar reglas apropiadas para filtrar los paquetes, sobre la base
    de las políticas de seguridad establecidas, es una aptitud valiosa.

    En esta práctica de laboratorio, establecerá reglas de filtrado para dos oficinas


    representadas por el R1 y el R3. La administración estableció algunas políticas de
    acceso entre las redes LAN ubicadas en el R1 y el R3 que usted debe implementar.
    El router ISP que se ubica entre el R1 y el R3 no tendrá ninguna ACL. Usted no tiene
    permitido el acceso administrativo al router ISP, debido a que solo puede controlar y
    administrar sus propios equipos.

    Instrucciones

    Parte 1; verifique conectividad

    En la parte 1, verifique la conectividad entre los dispositivos

    Note: Es muy importante probar si la conectividad funciona antes de configurar y


    aplicar listas de acceso. Tiene que asegurarse de que la red funcione adecuadamente
    antes de empezar a ffiltrar el tráfico.

    Preguntas:
    Desde PC-A, ping PC-C y PC-D. ¿Tus ping fueron exitosos? No

    Desde R1, ping PC-C y PC-D. ¿Tus ping fueron exitosos? Si

    Desde PC-C, ping PC-A y PC-B. ¿Tus ping fueron exitosos? No


    Desde R3, ping PC-A y PC-B. ¿Tus ping fueron exitosos? Si

    ¿Pueden todas las PCs hacer ping al servidor 209.165.200.254? No

    Parte 2: Configurar y verificar las ACL numeradas y con nombre estándar

    Paso 1: Configurar una ACL estándar numerada.

    Las ACL estándar filtran paquetes solamente según la dirección de origen. Una
    práctica recomendada típica para las ACL estándar es configurarlas y aplicarlas lo
    más cerca posible del destino. Para la primera lista de acceso cree una ACL estándar
    numerada que permita que el tráfico proveniente de todos los hosts en la red
    192.168.10.0/24 y de todos los hosts en la red 192.168.20.0/24 acceda a todos los
    hosts en la red 192.168.30.0/24. La política de seguridad también indica que debe
    haber una entrada de control de acceso (ACE) deny any también conocida como
    “instrucción de ACL”, al final de todas las ACL.

    Preguntas:
    ¿Qué máscara wildcard usaría para permitir que todos los hosts en la red
    192.168.10.0/24 accedan a la red 192.168.30.0/24 ? 0.0.0.255

    Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta
    ACL? R3

    ¿En qué interfaz colocaría esta ACL? R3 ¿En qué sentido la aplicaría? Out

    a.Configure la ACL en R3. Use 1 como el número de lista de acceso.


    Abrir la ventana de configuración
    R3(config)# access-list 1 remark Allow R1 LANs Access
    R3(config)# access-list 1 permit 192.168.10.0 0.0.0.255
    R3(config)# access-list 1 permit 192.168.20.0 0.0.0.255
    R3(config)# access-list 1 deny any

    b. Aplique la ACL a la interfaz apropiada en el sentido correcto.

    R3(config)# interface g0/0/0


    R3(config-if)# ip access-group 1 out
    c. Verifique una ACL numerada.

    El uso de diversos comandos show puede ayudarle a verificar la sintaxis y la


    colocación de las ACL en el router.

    Preguntas:
    ¿Qué comando usaría para ver la lista de acceso 1 en su totalidad, con todas las
    ACE? Show Access-list

    ¿Qué comando usaría para ver dónde se aplicó la lista de acceso y en qué
    sentido? Show ip interface *interface name*

    1) en R3, emita el comando show access-lists 1.

    R3# show access-list 1


    Standard IP access list 1
    permit 192.168.10.0, wildcard bits 0.0.0.255
    permit 192.168.20.0, wildcard bits 0.0.0.255
    deny any

    2) en R3, emita el comando show ip interface g0/0/0

    R3# show ip interface g0/0/0


    GigabitEthernet0/0/0 is up, line protocol is up (connected)
    Internet address is 192.168.30.1/24
    Broadcast address is 255.255.255.255
    Address determined by setup command
    MTU is 1500 bytes
    Helper address is not set
    Directed broadcast forwarding is disabled
    Outgoing access list is 1
    Inbound access list is not set
    Preguntas:
    3) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.10.0/24n
    acceda a la red 192.168.30.0/24

    Desde el símbolo del sistema en la PC-A, haga ping a la dirección IP de la PC-


    C. ¿Fueron los pings exitosos? Si

    4) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.20.0/24


    acceda a la red 192.168.30.0/24.

    Desde el símbolo del sistema en la PC-B, haga ping a la dirección IP de la PC-


    C. ¿Fueron los pings exitosos? Si

    5) ¿Deben tener éxito los pings de PC-D a PC-C? Ping de PC-D a PC-C para
    verificar su respuesta. No porque solo PC A y B tienen acceso a comunicarse
    con PC C

    d. Desde R1 prompt, ping PC-C’s IP address otra vez.

    R1# ping 192.168.30.3

    Pregunta:
    ¿El ping se realizó correctamente? Explique. No, porque no tiene permiso de
    acceder a ese network

    e. emita el el comando show access-lists 1 Tenga en cuenta que el resultado del


    comando muestra información sobre el número de veces que cada ACE ha
    coincidido con el tráfico que alcanzó la interfaz Gigabit Ethernet 0/0/0.

    R3# show access-lists 1


    Standard IP access list 1
    permit 192.168.10.0 0.0.0.255 (4 matc(es))
    permit 192.168.20.0 0.0.0.255 (4 match(es))
    deny any (4 matc(es))

    Paso 2: Configurar una ACL estándar con nombre.

    Cree una ACL estándar con nombre que se ajuste a la siguiente política: permitir que
    el tráfico de todos los hosts en la red 192.168.40.0/24 tenga acceso a todos los hosts
    en la red 192.168.10.0/24. Además, solo debe permitir el acceso del host PC-C a la
    red 192.168.10.0/24. El nombre de esta lista de acceso debe ser BRANCH-OFFICE-
    POLICY.

    Preguntas:
    Según las mejores prácticas recomendadas por Cisco ¿en qué router colocaría esta
    ACL? R1

    ¿En qué interfaz colocaría esta ACL? G0/0/0 ¿En qué sentido la aplicaría? out

    a. Cree la ACL estándar con nombre BRANCH-OFFICE-POLICY en el R1.

    R1(config)# ip access-list standard BRANCH-OFFICE-POLICY


    R1(config-std-nacl)# permit host 192.168.30.3
    R1(config-std-nacl)# permit 192.168.40.0 0.0.0.255
    R1 (config-std-nacl) # end
    R1#
    *Feb 15 15:56:55.707: %SYS-5-CONFIG_I: Configured from
    console by console

    Pregunta:
    Mira el primer ACE en la lista de acceso. ¿Cuál es otra forma de escribir esto?
    Permit host 192.168.30.3 0.0.0.0

    b. Aplique la ACL a la interfaz apropiada en el sentido correcto.

    R1# config t
    R1(config)# interface g0/0/0
    R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out

    c. Verifique una ACL con nombre.

    1) En R1, emita el comando show access-lists.

    R1# show access-lists


    Standard IP access list BRANCH-OFFICE-POLICY
    10 permit host 192.168.30.3
    20 permit 192.168.40.0 0.0.0.255

    Pregunta:
    ¿Hay alguna diferencia entre esta ACL en el R1 y la ACL en el R3? Si Si es
    así, ¿cuál es? R3 tiene línea 30 con Deny any mientras que R1 no

    2) En R1, emita el comando show ip interface g0/0/0para verificar t la ACL en


    la interfaz.

    R1# show ip interface g0/0/0


    GigabitEthernet0/0/0 is up, line protocol is up (connected)
    Internet address is 192.168.10.1/24
    Broadcast address is 255.255.255.255
    Address determined by setup command
    MTU is 1500 bytes
    Helper address is not set
    Directed broadcast forwarding is disabled
    Outgoing access list is BRANCH-OFFICE-POLICY
    Inbound access list is not set
    Pregunta:

    Probar la ACL. Desde el símbolo del sistema en la PC-C, haga ping a la


    dirección IP de la PC-A. ¿Fueron exitosos los pings? Si

    3) Pruebe la ACL para asegurarse de que solo el host PC-C tenga acceso a la
    red 192.168.10.0/24. Debe hacer un ping extendido y usar la dirección G0/1
    en el R3 como origen. Haga ping a la dirección IP de la PC-A.

    R3# ping
    Protocol [ip]:
    Target IP address: 192.168.10.3
    Repeat count [5]:
    Datagram size [100]:
    Timeout in seconds [2]:
    Extended commands [n]: y
    Source address or interface: 192.168.30.1
    Type of service [0]:
    Set DF bit in IP header? [no]:
    Validate reply data? [no]:
    Data pattern [0xABCD]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Sweep range of sizes [n]:
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is
    2 seconds:
    Packet sent with a source address of 192.168.30.1
    U.U.U

    Pregunta:
    ¿Fueron correctos los pings? No porque ese no tiene permiso

    4) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.40.0/24


    accede a la red 192.168.10.0/24. Desde el símbolo del sistema en la PC-D,
    haga ping a la dirección IP de la PC-A.

    Pregunta:
    ¿Fueron correctos los pings? Si

    Cierre la ventana de configuración

    Parte 3: Modificar una ACL estándar

    En el ámbito empresarial, es común que las políticas de seguridad cambien. Por este
    motivo, quizá sea necesario modificar las ACL. En la parte 3 cambiará una de las ACL
    que configuró antes para que coincida con una nueva política de administración que
    se debe implementar.

    Intente hacer ping al servidor en 209.165.200.254 desde PC-A. El ping falla. La ACL
    en R1 está bloqueando el tráfico de Internet para que regrese a PC-A. Esto se debe
    a que la dirección de origen de los paquetes que se devuelven no está en el intervalo
    de direcciones permitidas.

    La administración decidió que los usuarios de la red t 209.165.200.224/27 no deben


    tener acceso total a la red 192.168.10.0/24. La administración también desea que las
    ACL en todos sus routers se ajusten a reglas coherentes. Se debe colocar una
    ACE al final de todas las ACLs. Debe modificar la ACL BRANCH-OFFICE-POLICY.

    Agregará dos líneas adicionales a esta ACL. Hay dos formas de hacer esto:

    OPCIÓN 1: emita el comando no ip access-list standard BRANCH-OFFICE-


    POLICY en el modo de configuración global. Esto eliminaría la ACL del router. Según
    el IOS del router, ocurriría una de las siguientes situaciones: se cancelaría todo el
    filtrado de paquetes y se permitiría el acceso de todos los paquetes al router o bien,
    debido a que no quitó el comando ip access-group de la interfaz G0/1, el filtrado se
    sigue implementando. Independientemente de lo que suceda, una vez que la ACL ya
    no esté, puede volver a escribir toda la ACL o cortarla y pegarla con un editor de texto.

    OPCIÓN 2: Puede modificar las ACL implementadas y agregar o eliminar líneas


    específicas dentro de las ACL. Esto puede ser práctico, especialmente con las ACL
    que tienen muchas líneas de código. Al volver a escribir toda la ACL, o al cortarla y
    pegarla, se pueden producir errores con facilidad. La modificación de las líneas
    específicas dentro de la AC se logra fácilmente.

    Para esta actividad, use la Opción 2.

    Paso 1: Modificar y verificar una ACL estándar con nombre. .

    a. Desde R1, emita el comando show access-lists


    Abrir la ventana de configuración
    R1# show access-lists
    Standard IP access list BRANCH-OFFICE-POLICY
    10 permit 192.168.30.3 (8 matches)
    20 permit 192.168.40.0 0.0.0.255 (5 matches)
    b. Agregue dos líneas adicionales al final de la ACL. En el modo de configuración
    global, modifique la ACL BRANCH-OFFICE-POLICY.

    R1#(config)# ip access-list standard BRANCH-OFFICE-POLICY


    R1(config-std-nacl)# 30 permit 209.165.200.224 0.0.0.31
    R1(config-std-nacl)# 40 deny any
    R1 (config-std-nacl) # end

    c. Verifique la ACL.

    1) En R1, emita el comando show access-lists

    R1# show access-lists


    Standard IP access list BRANCH-OFFICE-POLICY
    10 permit 192.168.30.3 (8 matches)
    20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches)
    30 permit 209.165.200.224, wildcard bits 0.0.0.31
    40 deny any

    Pregunta:
    ¿Debe aplicar la ACL BRANCH-OFFICE-POLICY to the G0/1 a la interfaz en
    R1? No, a g0/0/0

    2) pruebe la ACL para ver si permite que el tráfico de la red 209.165.200.224/27


    acceda a la red 192.168.10.0/24. Desde PC-A, realice un ping al servidor en
    209.165.200.254.

    Pregunta:
    ¿Fueron correctos los pings? Si

    Cierre la ventana de configuración

    Preguntas de reflexión

    1. Como puede observar, las ACL estándar son muy eficaces y funcionan muy bien.
    ¿Por qué tendría la necesidad de usar ACL extendidas? Para filtrar paquetes según
    los atributos
    2. Generalmente, se requiere escribir más al usar una ACL con nombre que una ACL
    numerada. ¿Por qué elegiría ACL con nombre en vez de ACL numeradas?
    Fin del documento

    Cuando hayas concluido la configuración del archivo 5.2.7 genera prueba de


    comunicación mediante ping entre las computadoras:

    PC-A --> PC-B

    PC-A --> PC-C


    PC-A --> PC-D

    PC-A --> 209.165.200.254

    También podría gustarte