Configuracin y verificacin de las ACL estndar

Dispositivo
Nombre
del Host
Direccin IP de
FastEthernet 0/0
Direccin IP
Serial 0/0/0
Tipo de
interfaz
serial
0/0/0
Direcciones de
interfaz
loopbac
!ontrase"a
secreta de
enable
!ontrase"a
de enable#
de vt$ $ de
consola
Router 1 R1 192.168.200.1/2 192.168.100.1/!0 "C# n/c class cisco
Router 2 R2 n/c 192.168.100.2/!0 "$#
Lo0
192.168.1.1/!2
Lo1
192.168.2.1/!2
class cisco
%&itc' 1 %1 n/c n/c n/c n/c class cisco
%b&etivos
Configurar las ACL estndar (ara li)itar el trfico.
*erificar el funciona)iento de las ACL.
Informacin b'sica / Preparacin
#n esta (rctica de la+oratorio tra+a,ar con las ACL estndar (ara controlar el trfico de red +asado en
direcciones -. del 'ost. %e (uede usar cual/uier router /ue cu)(la con los re/uisitos de interfa0 /ue se
)uestran en el diagra)a anterior. .or e,e)(lo1 se (ueden usar los routers serie 8001 16001 12001 18001
23001 26001 2800 o cual/uier co)+inacin.
La infor)acin en esta (rctica de la+oratorio se +asa en el router serie 181. %e (ueden utili0ar otros
routers4 sin e)+argo1 la sinta5is del co)ando (uede variar. Las interfaces (ueden variar seg6n el )odelo de
router. .or e,e)(lo1 en algunos routers %erial 0 (uede ser %erial 0/0 o %erial 0/0/0 y #t'ernet 0 (uede ser
7ast#t'ernet 0/0. #l s&itc' Cisco Catalyst 2960 viene (reconfigurado y slo se le de+e asignar infor)acin
+sica de seguridad antes de conectarlo a una red.
%e necesitan los siguientes recursos8
9n s&itc' Cisco 2960 u otro s&itc' si)ilar
"os routers Cisco serie 181 o si)ilares1 cada uno con una interfa0 #t'ernet y una serial
9na .C con :indo&s1 con un (rogra)a de e)ulacin de ter)inal y configurada co)o 'ost
Al )enos un ca+le de consola R;<3 a "=<9 (ara configurar los routers y el s&itc'
"os ca+les #t'ernet de cone5in directa
9n ca+le serial de cone5in cru0ada "$#/"C# de dos (artes
N%T() aseg6rese de /ue los routers y los s&itc'es se 'ayan eli)inado y no tengan configuraciones de
inicio. Las instrucciones (ara eli)inar tanto el s&itc' co)o el router se (ro(orcionan en el >anual de
.rcticas de La+oratorio1 /ue se encuentra en la seccin $ools ?@erra)ientasA del sitio :e+ Acade)y
Connection.
N%T() ro*ters habilitados para SD+8 si se eli)ina startu(<config en un router 'a+ilitado (ara %">1 Bste ya
no a(arecer de )anera (redeter)inada cuando se reinicie el router. %er necesario esta+lecer una
configuracin +sica de router usando los co)andos -C%. Los (asos de esta (rctica de la+oratorio utili0an
co)andos -C% y no re/uieren el uso de %">. %i desea utili0ar %">1 consulte las instrucciones del >anual
de .rcticas de La+oratorio1 /ue se encuentra en la seccin $ools ?@erra)ientasA del sitio :e+ Acade)y
Connection1 o co)unD/uese con su instructor si fuera necesario.
Paso ,) !onecte el e-*ipo.
a. Conecte la interfa0 %erial 0/0/0 del Router 1 a la interfa0 %erial 0/0/0 del Router 2 )ediante un ca+le
serial.
+. Conecte la interfa0 7a0/0 del router 1 al (uerto 7a0/1 del s&itc' 1 )ediante un ca+le de cone5in
directa.
c. Conecte un ca+le de consola a la .C (ara reali0ar las configuraciones en los routers y el s&itc'.
d. Conecte el @1 al (uerto 7a0/2 del %&itc' 1 )ediante un ca+le de cone5in directa.
Paso /) 0ealice la confi1*racin b'sica del 0o*ter ,.
a. Conecte una .C al (uerto de consola del router (ara reali0ar configuraciones utili0ando un (rogra)a
de e)ulacin de ter)inal.
+. #n el Router 11 configure el no)+re del 'ost1 las interfaces1 las contraseEas y el )ensa,e del dDa1 y
des'a+ilite las +6s/uedas de "F% seg6n la ta+la de direcciona)iento y el diagra)a de to(ologDa.
Guarde la configuracin.
Paso 2) 0ealice la confi1*racin b'sica del 0o*ter /.
Realice la configuracin +sica en el Router 2 y guarde la configuracin.
Paso 3) 0ealice la confi1*racin b'sica del S4itch ,.
Configure el %&itc' 1 con un no)+re de 'ost y contraseEas seg6n la ta+la de direcciona)iento y el diagra)a
de to(ologDa.
Paso 5) !onfi1*re el host con la direccin IP# la m'scara de s*bred $ el 1ate4a$
predeterminado.
a. Configure el 'ost con la corres(ondiente direccin -.1 la )scara de su+red y el gate&ay
(redeter)inado. Al 'ost se le de+e asignar la direccin 192.168.200.10/2 y el gate&ay
(redeter)inado 192.168.200.1.
+. La estacin de tra+a,o de+e tener la ca(acidad de 'acer (ing al router conectado. %i el (ing no fue
satisfactorio1 resuelva el (ro+le)a seg6n sea necesario. *erifi/ue /ue se 'ayan asignado una
direccin -. y un gate&ay (redeter)inado es(ecDficos a la estacin de tra+a,o.
Paso 6) !onfi1*re el enr*tamiento 0IP $ verifi-*e la conectividad de e7tremo a e7tremo en
la red.
a. @a+ilite el (rotocolo de enruta)iento R-. en el Router 1 y config6relo (ara /ue (u+li/ue a)+as
redes conectadas.
+. @a+ilite el (rotocolo de enruta)iento R-. en el Router 2 y config6relo (ara /ue (u+li/ue las tres
redes conectadas.
c. @aga (ing desde el @ost 1 a las dos interfaces loo(+acH en el Router 2.
I$uvieron B5ito los (ing desde el @ost 1J KKKKKKKKKK sD
%i la res(uesta es negativa1 resuelva el (ro+le)a de las configuraciones del router y el 'ost (ara
detectar el error. @aga (ing de nuevo 'asta /ue a)+os sean satisfactorios.
Paso 8) !onfi1*re $ pr*ebe *na (!9 est'ndar.
#n esta to(ologDa de la+oratorio1 las interfaces loo(+acH en R2 si)ulan dos redes clase C conectadas al
router. Las ACL se utili0arn (ara controlar el acceso a estas su+redes. La interfa0 loo(+acH 0 re(resenta
una red de estaciones de tra+a,o de ad)inistracin y la interfa0 loo(+acH 1 re(resenta una red de ingenierDa
de acceso li)itado.
#n esta red1 es necesario tener al )enos una estacin de tra+a,o de ad)inistracin en la su+red
192.168.200.0/2 ,unto con otras estaciones de tra+a,o del usuario. A la estacin de tra+a,o de
ad)inistracin se le asigna una direccin -. esttica 192.168.200.10. Las estaciones de tra+a,o del usuario
consu)en el resto de las direcciones -. de la red.
La ACL de+erDa (er)itir el acceso de la estacin de tra+a,o de ad)inistracin a las redes conectadas a R21
(ero no (er)itir el acceso a estas redes desde los otros 'osts de la red 192.168.200.0.
%e utili0a una ACL estndar /ue se coloca en R21 ya /ue R2 est )s cerca del destino.
a. Cree una ACL estndar en R2 /ue se usar (ara acceder a las redes conectadas. #sta ACL (er)ite
el acceso al 'ost 192.168.200.10 y lo niega al resto.
R2(config)#access-list 1 permit 192.168.200.10
R2(config)#access-list 1 deny any
N%T() la sentencia deny i)(lDcita al final de una lista de control de acceso cu)(le esta )is)a
funcin. Fo o+stante1 el agregado de la lDnea a la ACL facilita su docu)entacin y se considera una
+uena (rctica. Al agregar e5(lDcita)ente esta sentencia1 se lleva la cuenta de la cantidad de
(a/uetes /ue coinciden con la sentencia y el ad)inistrador (uede ver cuntos (a/uetes se
rec'a0aron.
+. Luego de crear la ACL1 se de+e a(licar a una interfa0 en el router. 9tilice la interfa0 serial 0/0/0 (ara
(er)itir el control en las redes 192.168.1.0 y 192.168.2.0. #l trfico (otencial (asarDa a la interfa04
(or lo tanto1 a(li/ue la ACL en la direccin entrante.
R2(config)#interface serial 0/0/0
R2(config-if)#ip access-group 1 in
c. A'ora /ue se 'a creado y a(licado la ACL1 utilice el co)ando show access-lists en R2 (ara
visuali0ar la ACL.
I#5iste alguna coincidencia (ara cual/uier sentencia ACLJ KKKKKKKKKK
.ro+a+le)ente no 'aya ninguna en este )o)ento. %i 'a (asado suficiente tie)(o 'a+r algunas
coincidencias (ara la sentencia deny /ue se generen a (artir de las actuali0aciones R-. +lo/ueadas
desde R1.
R2#show access-lists
Standard IP access list 1
10 permit 192.16.200.10
20 deny any
I#l resultado del co)ando show access-lists )uestra la ACL creadaJ
KKKKKKKKKK sD
I#l resultado del co)ando show access-lists )uestra de /uB )anera se a(lic la ACLJ
KKKKKKKKKK no
d. 9tilice el co)ando show ip interface s0/0/0 (ara )ostrar la a(licacin de la ACL.
R2#show ip interface s0/0/0
Serial0!0!0 is "p# line protocol is "p
Internet address is 192.16.100.2!$0
%roadcast address is 2&&.2&&.2&&.2&&
'ddress determined (y set"p command
)*+ is 1&00 (ytes
,elper address is not set
-irected (roadcast for.arding is disa(led
)"lticast reser/ed gro"ps 0oined1 222.0.0.9
3"tgoing access list is not set
In(o"nd access list is 1
Pro4y 'RP is ena(led
5ocal Pro4y 'RP is disa(led
6se omite el res"ltado7
ILuB le indica el resultado del co)ando show ip interface acerca de la ACLJ
KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
Lue est a(licada y su direccin.
Paso :) Pr*ebe la (!9.
a. @aga (ing en la direccin de loo(+acH 192.168.1.1 desde el @ost 1.
I#l (ing tuvo B5itoJ KKKKKKKKKK Fo
+. @aga (ing en la direccin de loo(+acH 192.168.2.1 desde el @ost 1.
I#l (ing tuvo e5itoJ KKKKKKKKKK Fo
c. #,ecute el co)ando show access-list nueva)ente.
ICuntas coincidencias 'ay (ara la (ri)era sentencia ACL ?permitAJ KKKKKKKKKK
Las res(uestas (ueden variar1 (ero de+erDa 'a+er (or lo )enos de 8 a 16 coincidencias si se
'icieron los (ings a los loo(+acHs.
R2#show access-lists
Standard IP access list 1
permit 192.16.200.10 (16 matc8es)
deny any
ICuntas coincidencias 'ay (ara la segunda sentencia ACL ?denyAJ KKKKKKKKKK
Las res(uestas (ueden variar1 (ero (ro+a+le)ente ninguna. %i 'a (asado suficiente tie)(o1 (ueden
e5istir algunas coincidencias (ara la sentencia deny /ue se generen a (artir de las actuali0aciones
R-. +lo/ueadas desde R1.
d. Consulte la ta+la de enruta)iento en R2 )ediante el co)ando show ip route.
R2#show ip route
9odes1 9 - connected# S - static# R - RIP# ) - mo(ile# % - %:P
- - ;I:RP# ;< - ;I:RP e4ternal# 3 - 3SP=# I' - 3SP= inter area
>1 - 3SP= >SS' e4ternal type 1# >2 - 3SP= >SS' e4ternal type 2
;1 - 3SP= e4ternal type 1# ;2 - 3SP= e4ternal type 2
i - IS-IS# s" - IS-IS s"mmary# 51 - IS-IS le/el-1# 52 - IS-IS
le/el-2
ia - IS-IS inter area# ? - candidate defa"lt# + - per-"ser static
ro"te
o - 3-R# P - periodic do.nloaded static ro"te
:ate.ay of last resort is not set
9 192.16.1.0!22 is directly connected# 5oop(ac@0
9 192.16.2.0!22 is directly connected# 5oop(ac@1
192.16.100.0!$0 is s"(netted# 1 s"(nets
9 192.16.100.0 is directly connected# Serial0!0!0
R2#
ILuB ruta no a(arece en la ta+la de enruta)ientoJ KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
9na ruta 'acia la red 192.168.200.0.
La ruta no a(arece en la ta+la de enruta)iento (or/ue la ACL slo (er)ite los (a/uetes desde
192.168.200.10. Los (a/uetes de actuali0acin R-. desde R1 se o+tienen de la interfa0 serial 0/0/0
del router 192.168.100.1 y la ACL los rec'a0a. "e+ido a /ue la ACL +lo/uea las actuali0aciones R-.
de R1 /ue (u+lican la red 192.168.200.01 R2 no tiene infor)acin so+re la red 192.168.200.0. La
ACL no +lo/ue los (ings /ue se 'icieron antes. 7allaron (or/ue R2 no (udo devolver la res(uesta
de eco. R2 no tenDa infor)acin so+re c)o llegar a la red 192.168.200.0.
Este e&emplo m*estra por -*; las (!9 se deben pro1ramar c*idadosamente $ s*
f*ncionalidad se debe comprobar e7ha*stivamente.
e. *uelva a crear la ACL en R2 (ara (er)itir /ue se reci+an las actuali0aciones de enruta)iento
desde R1.
R2(config)#no access-list 1
R2(config)#access-list 1 permit 192.168.200.10
R2(config)#access-list 1 permit 192.168.100.1
R2(config)#access-list 1 deny any
f. @aga (ing en 192.168.1.1 y 192.168.2.1 desde el @ost 1.
I%on satisfactorios los (ings a'oraJ KKKKKKKKKKK sD
g. Ca)+ie la direccin -. del @ost 1 a 192.168.200.11.
'. @aga (ing nueva)ente en 192.168.1.1 y 192.168.2.1 desde el @ost 1.
ILos (ings son satisfactoriosJ KKKKKKKKKK no
i. >uestre la ACL nueva)ente )ediante el co)ando show access-lists.
I@ay coincidencias (ara la sentencia ACL 192.168.100.1J KKKKKKKKKK
%D. A'ora se (er)iten las actuali0aciones R-. desde la interfa0 serial 0/0/0 de R1 192.168.100.1.
R2#show access-lists
Standard IP access list 1
20 permit 192.16.100.1 ($0 matc8es)
10 permit 192.16.200.10 (22 matc8es)
$0 deny any (22 matc8es)
R2#
N%T() (uede +orrar los contadores ACL )ediante el co)ando clear ip access-list
counters desde el indicador de co)andos del #M#C (rivilegiado.
Paso <) 0efle7ione.
a. I.or /uB se re/uieren una (lanificacin y una (rue+a )s detalladas de las listas de control de
accesoJ
KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
.ara verificar /ue %NLC se (er)ita el trfico /ue se (retendDa.
+. ICul es la li)itacin (rinci(al de las ACL estndarJ
KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
%lo (ueden filtrar so+re la +ase de la direccin de origen.