Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe 6 Laboratorio Comunicaciones II
Informe 6 Laboratorio Comunicaciones II
I.
Objetivos
Conocer los diferentes tipos de listas de acceso y el rango de nmeros asignados a estas.
Entender el procesamiento top-down de las listas de acceso.
Conocer que es una negacin implcita.
Usar los comandos de las listas de acceso.
Usar la mscara comodn (wildcard mask) en las listas de acceso.
Crear una lista de acceso IP estndar numerada.
II.
Desarrollo
Proponga una red en la que se controle el acceso de un equipo por medio de una lista de
acceso estndar, mencione las ventajas y desventajas que se tienen al utilizar una lista
de acceso estndar.
Se propone la red propuesta en la figura 1, en donde hay una red LAN 1: 192.168.1.0/24
donde se encuentran 3 equipos terminales, y una LAN 2:192.168.2.0/24 a la que se
encuentra conectado un router R2.
Se procede a limitar el acceso a la configuracin del router R1 solo por el equipo
terminal PC1, pero antes se debe verificar que se puede establecer una sesin con R1
desde cualquier equipo terminal, para ello se procede a hacer telnet desde cada uno de
los PC.
Una vez hecho esto se procede a configurar la lista de control de acceso en R1 como se
muestra en la siguiente figura.
Ahora bien se procede a confirmar que la lista de control de acceso funcione, haciendo
telnet a R1 desde cada PC, para el PC1 el cual es el nico que puede hacer sesin, el
procedimiento es exactamente igual que en la figura 2, para los otros dos el
procedimiento da como el de las figuras 6 y 7.
La idea central que se puede observar de los comandos propuestos, es bloquear todos
los paquetes que vengan de parte del host 192.168.2.2/24, y permitir el ingreso de
paquetes provenientes del host 192.168.2.1/24 y del resto de los posibles host en la red
LAN 192.168.2.0/24, hacia el router 1(R1) por el puerto serial S0/0.
Sin embargo, cuando se declaran listas de control de acceso hay que tener en cuenta que
deben haber la menor cantidad de sentencias con el fin de disminuir el costo
computacional que sugiere el estar realizando comparaciones, por tanto la lnea 1 de los
comandos ejecutados es completamente innecesaria ya que la direccin de host
192.168.2.1/24 est incluida en la sentencia de la lnea 3 donde incluye todos los hosts
posibles en la red 192.168.2.0/24.
De esta manera, y teniendo en cuenta que las sentencias se comparan de uno en uno y de
arriba hacia abajo (top-down), primero se verifica si el paquete viene de 192.168.2.2/24,
de ser as lo descarta, de lo contrario pasa a la siguiente sentencia en donde verifica si el
paquete proviene de 192.168.2.0/24, y como es claro que si se lleg hasta esta sentencia
es porque no es el paquete que queremos bloquear, pasar todo paquete que llegue hasta
esta sentencia incluyendo los provenientes de 192.168.2.1/24, por otro lado la sentencia
de la lnea 4 garantiza que no entre a R1 ningn paquete que no pertenezca a
192.168.2.0/24.
Los comandos a ejecutar debern ser entonces:
1-Router(config)#access-list 1 deny 192.168.2.2
2-Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255
3-Router(config)#access-list 1 deny any
4-Router(config)#interface serial 0/0
5-Router(config-if)#ip access-group 1 in
Un posible caso de aplicacin vendra de agregar al caso de la figura 1 una red LAN2
172.20.0.0/16 que se comunica a travs de R1, lo que se interpreta a partir de los
comandos ejecutados es que se desea bloquear la salida de paquetes a travs del puerto
FastEthernet 0/0, provenientes de la red 192.168.2.0/24 y 172.20.0.0/16, adems de
permitir la salida de paquetes provenientes del host 192.168.2.1/24 y los paquetes
provenientes de cualquier otra red.
Sin embargo, tanto en la lnea 1 y 2 los comandos ejecutados sugieren que la direccin
IP a comparar es de un host pues no se especifica una wildcard, el router la toma por
defecto como 0.0.0.0 con lo que compara cada uno de los octetos, por tanto es una
direccin nica, en la lnea 3 ocurre lo mismo, aun as en la lnea 1 y 2 las direcciones
IP terminan en .0 lo que no es usual en direcciones de host, por tanto los comandos se
tomaran como si el objetivo fuera el de filtrar paquetes de una red y no de un host.
Si la lnea 1 filtra los paquetes de 192.168.2.0/24 y nos los deja pasar, entonces nunca
dejara pasar los provenientes de 192.168.2.1/24, por tanto la lnea 3 debera ser la lnea
1 o inicial, con lo que se propone el siguiente cdigo:
1-Router(config)#access-list 2 permit 192.168.2.1
2-Router(config)#access-list 2 deny 192.168.2.0 0.0.0.255
3-Router(config)#access-list 2 deny 172.20.0.0 0.0.255.255
Antes de aplicar las listas de acceso a cada uno de los caminadores se proceder a
comprobar que desde cada una de las redes LAN se pueda hacer telnet a cualquier
encaminador, esto se muestra en la figura 4, en donde se puede ver que desde el PC2
ubicado en la LAN1:192.168.1.0/24 se puede hacer telnet a cada uno de los
encaminadores.
Figura 11. Comprobacin de telnet desde el PC2 hacia los encaminadores de la red.
En la figura 5 se puede ver que desde el PC2 el ping responde si se hace hasta el PC4
(LAN4:192.168.4.0/24) y hasta el PC5 (LAN3:192.168.3.0/24), lo que significa que el
efecto de hacer telnet desde la LAN1 hasta R2 y R3, es anlogo para las dems LAN.
Con el comando show ip interface se verifica que la lista de acceso 1 que se cre
anteriormente este asociada a las interfaces deseadas, lo que se puede observar en las
figuras 7 y 8, para las interfaces FastEthernet 0/0 y FastEthernet 0/1 respectivamente.
Figura 16. Telnet desde PC2 a R1, R2 y R3 con la lista de acceso configurada en cada
encaminador.
Figura 17. Telnet desde R1 hacia R2 y R3 con la lista de acceso configurada en cada
encaminador.