CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Prctica de laboratorio 8.3.3: Configuracin y verificacin de las ACL estndar

Dispositivo Router 1 Router 2 Switch 1

Nombre del Host R1 R2 S1

Direccin IP de FastEthernet 0/0 192.168.200.1/24 n/c n/c

Direccin IP Serial 0/0/0 192.168.100.1/30 192.168.100.2/30 n/c

Tipo de interfaz serial 0/0/0 DCE DTE n/c

Direcciones de interfaz loopback n/c Lo0 192.168.1.1/32 Lo1 192.168.2.1/32 n/c

Contrasea secreta de enable class class class

Contrasea de enable, de vty y de consola cisco cisco cisco

Objetivos
Configurar las ACL estndar para limitar el trfico. Verificar el funcionamiento de las ACL.

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 1 de 5

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa Informacin bsica / Preparacin

En esta prctica de laboratorio trabajar con las ACL estndar para controlar el trfico de red basado en direcciones IP del host. Se puede usar cualquier router que cumpla con los requisitos de interfaz que se muestran en el diagrama anterior. Por ejemplo, se pueden usar los routers serie 800, 1600, 1700, 1800, 2500, 2600, 2800 o cualquier combinacin. La informacin en esta prctica de laboratorio se basa en el router serie 1841. Se pueden utilizar otros routers; sin embargo, la sintaxis del comando puede variar. Las interfaces pueden variar segn el modelo de router. Por ejemplo, en algunos routers Serial 0 puede ser Serial 0/0 o Serial 0/0/0 y Ethernet 0 puede ser FastEthernet 0/0. El switch Cisco Catalyst 2960 viene preconfigurado y slo se le debe asignar informacin bsica de seguridad antes de conectarlo a una red. Se necesitan los siguientes recursos: Un switch Cisco 2960 u otro switch similar Dos routers Cisco serie 1841 o similares, cada uno con una interfaz Ethernet y una serial Una PC con Windows, con un programa de emulacin de terminal y configurada como host Al menos un cable de consola RJ-45 a DB-9 para configurar los routers y el switch Dos cables Ethernet de conexin directa Un cable serial de conexin cruzada DTE/DCE de dos partes

NOTA: asegrese de que los routers y los switches se hayan eliminado y no tengan configuraciones de inicio. Las instrucciones para eliminar tanto el switch como el router se proporcionan en el Manual de Prcticas de Laboratorio, que se encuentra en la seccin Tools (Herramientas) del sitio Web Academy Connection. NOTA: routers habilitados para SDM: si se elimina startup-config en un router habilitado para SDM, ste ya no aparecer de manera predeterminada cuando se reinicie el router. Ser necesario establecer una configuracin bsica de router usando los comandos IOS. Los pasos de esta prctica de laboratorio utilizan comandos IOS y no requieren el uso de SDM. Si desea utilizar SDM, consulte las instrucciones del Manual de Prcticas de Laboratorio, que se encuentra en la seccin Tools (Herramientas) del sitio Web Academy Connection, o comunquese con su instructor si fuera necesario.

Paso 1: Conecte el equipo.

a. Conecte la interfaz Serial 0/0/0 del Router 1 a la interfaz Serial 0/0/0 del Router 2 mediante un cable serial. b. Conecte la interfaz Fa0/0 del router 1 al puerto Fa0/1 del switch 1 mediante un cable de conexin directa. c. Conecte un cable de consola a la PC para realizar las configuraciones en los routers y el switch. d. Conecte el H1 al puerto Fa0/2 del Switch 1 mediante un cable de conexin directa.

Paso 2: Realice la configuracin bsica del Router 1.

a. Conecte una PC al puerto de consola del router para realizar configuraciones utilizando un programa de emulacin de terminal. b. En el Router 1, configure el nombre del host, las interfaces, las contraseas y el mensaje del da, y deshabilite las bsquedas de DNS segn la tabla de direccionamiento y el diagrama de topologa. Guarde la configuracin.

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 2 de 5

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Paso 3: Realice la configuracin bsica del Router 2.
Realice la configuracin bsica en el Router 2 y guarde la configuracin.

Paso 4: Realice la configuracin bsica del Switch 1.

Configure el Switch 1 con un nombre de host y contraseas segn la tabla de direccionamiento y el diagrama de topologa.

Paso 5: Configure el host con la direccin IP, la mscara de subred y el gateway predeterminado.
a. Configure el host con la correspondiente direccin IP, la mscara de subred y el gateway predeterminado. Al host se le debe asignar la direccin 192.168.200.10/24 y el gateway predeterminado 192.168.200.1. b. La estacin de trabajo debe tener la capacidad de hacer ping al router conectado. Si el ping no fue satisfactorio, resuelva el problema segn sea necesario. Verifique que se hayan asignado una direccin IP y un gateway predeterminado especficos a la estacin de trabajo.

Paso 6: Configure el enrutamiento RIP y verifique la conectividad de extremo a extremo en la red.

a. Habilite el protocolo de enrutamiento RIP en el Router 1 y configrelo para que publique ambas redes conectadas. b. Habilite el protocolo de enrutamiento RIP en el Router 2 y configrelo para que publique las tres redes conectadas. c. Haga ping desde el Host 1 a las dos interfaces loopback en el Router 2. Tuvieron xito los ping desde el Host 1? __________ Si la respuesta es negativa, resuelva el problema de las configuraciones del router y el host para detectar el error. Haga ping de nuevo hasta que ambos sean satisfactorios.

Paso 7: Configure y pruebe una ACL estndar.

En esta topologa de laboratorio, las interfaces loopback en R2 simulan dos redes clase C conectadas al router. Las ACL se utilizarn para controlar el acceso a estas subredes. La interfaz loopback 0 representa una red de estaciones de trabajo de administracin y la interfaz loopback 1 representa una red de ingeniera de acceso limitado. En esta red, es necesario tener al menos una estacin de trabajo de administracin en la subred 192.168.200.0/24 junto con otras estaciones de trabajo del usuario. A la estacin de trabajo de administracin se le asigna una direccin IP esttica 192.168.200.10. Las estaciones de trabajo del usuario consumen el resto de las direcciones IP de la red. La ACL debera permitir el acceso de la estacin de trabajo de administracin a las redes conectadas a R2, pero no permitir el acceso a estas redes desde los otros hosts de la red 192.168.200.0. Se utiliza una ACL estndar que se coloca en R2, ya que R2 est ms cerca del destino. a. Cree una ACL estndar en R2 que se usar para acceder a las redes conectadas. Esta ACL permite el acceso al host 192.168.200.10 y lo niega al resto. R2(config)#access-list 1 permit 192.168.200.10 R2(config)#access-list 1 deny any

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 3 de 5

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

NOTA: la sentencia deny implcita al final de una lista de control de acceso cumple esta misma funcin. No obstante, el agregado de la lnea a la ACL facilita su documentacin y se considera una buena prctica. Al agregar explcitamente esta sentencia, se lleva la cuenta de la cantidad de paquetes que coinciden con la sentencia y el administrador puede ver cuntos paquetes se rechazaron. b. Luego de crear la ACL, se debe aplicar a una interfaz en el router. Utilice la interfaz serial 0/0/0 para permitir el control en las redes 192.168.1.0 y 192.168.2.0. El trfico potencial pasara a la interfaz; por lo tanto, aplique la ACL en la direccin entrante. R2(config)#interface serial 0/0/0 R2(config-if)#ip access-group 1 in c. Ahora que se ha creado y aplicado la ACL, utilice el comando show access-lists en R2 para visualizar la ACL. Existe alguna coincidencia para cualquier sentencia ACL? __________ R2#show access-lists Standard IP access list 1 10 permit 192.168.200.10 20 deny any El resultado del comando show access-lists muestra la ACL creada? __________ El resultado del comando show access-lists muestra de qu manera se aplic la ACL? __________ d. Utilice el comando show ip interface s0/0/0 para mostrar la aplicacin de la ACL. Qu le indica el resultado del comando show ip interface acerca de la ACL? ________________________________________________________________________________

Paso 8: Pruebe la ACL.

a. Haga ping en la direccin de loopback 192.168.1.1 desde el Host 1. El ping tuvo xito? __________ b. Haga ping en la direccin de loopback 192.168.2.1 desde el Host 1. El ping tuvo exito? __________ c. Ejecute el comando show access-list nuevamente. Cuntas coincidencias hay para la primera sentencia ACL (permit)? __________ R2#show access-lists Standard IP access list 1 permit 192.168.200.10 (16 matches) deny any Cuntas coincidencias hay para la segunda sentencia ACL (deny)? __________ d. Consulte la tabla de enrutamiento en R2 mediante el comando show ip route. Qu ruta no aparece en la tabla de enrutamiento? ___________________________________

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 4 de 5

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

La ruta no aparece en la tabla de enrutamiento porque la ACL slo permite los paquetes desde 192.168.200.10. Los paquetes de actualizacin RIP desde R1 se obtienen de la interfaz serial 0/0/0 del router 192.168.100.1 y la ACL los rechaza. Debido a que la ACL bloquea las actualizaciones RIP de R1 que publican la red 192.168.200.0, R2 no tiene informacin sobre la red 192.168.200.0. La ACL no bloque los pings que se hicieron antes. Fallaron porque R2 no pudo devolver la respuesta de eco. R2 no tena informacin sobre cmo llegar a la red 192.168.200.0. Este ejemplo muestra por qu las ACL se deben programar cuidadosamente y su funcionalidad se debe comprobar exhaustivamente. e. Vuelva a crear la ACL en R2 para permitir que se reciban las actualizaciones de enrutamiento desde R1. R2(config)#no access-list 1 R2(config)#access-list 1 permit 192.168.200.10 R2(config)#access-list 1 permit 192.168.100.1 R2(config)#access-list 1 deny any f. Haga ping en 192.168.1.1 y 192.168.2.1 desde el Host 1. Son satisfactorios los pings ahora? ___________ g. Cambie la direccin IP del Host 1 a 192.168.200.11. h. Haga ping nuevamente en 192.168.1.1 y 192.168.2.1 desde el Host 1. Los pings son satisfactorios? __________ Muestre la ACL nuevamente mediante el comando show access-lists. Hay coincidencias para la sentencia ACL 192.168.100.1? __________ NOTA: puede borrar los contadores ACL mediante el comando clear ip access-list counters desde el indicador de comandos del EXEC privilegiado.

Paso 9: Reflexione.
a. Por qu se requieren una planificacin y una prueba ms detalladas de las listas de control de acceso? _______________________________________________________________________________ b. Cul es la limitacin principal de las ACL estndar? _______________________________________________________________________________

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 5 de 5