CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Prctica de laboratorio 8.3.4: Planificacin, configuracin y verificacin de las ACL extendidas

Dispositivo Router 1 Router 2 Switch 1 Host 1 Host 2 Host 3

Nombre del Host R1 R2 S1 H1 H2 H3

Direccin IP de FastEthernet 0/0 192.168.1.1/24 192.168.5.1/24 192.168.1.10/24 192.168.1.11/24 192.168.5.10/24

Direccin IP Serial 0/0/0 192.168.15.1/30 192.168.15.2/30

Tipo de interfaz serial 0/0/0 DCE DTE

Gateway predeterminado

Contrasea secreta de enable class class class

Contrasea de enable, de vty y de consola cisco cisco cisco

192.168.1.1 192.168.1.1 192.168.5.1

Objetivos
Configurar ACL extendidas para controlar el trfico. Verificar el funcionamiento de las ACL.

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 1 de 5

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa Informacin bsica / Preparacin

En esta prctica de laboratorio trabajar con ACL extendidas para controlar el trfico de la red basado en direcciones IP del host. Se puede usar cualquier router que cumpla con los requisitos de interfaz que se muestran en el diagrama de topologa. Por ejemplo, se pueden usar los routers serie 800, 1600, 1700, 1800, 2500, 2600, 2800 o cualquier combinacin. La informacin en esta prctica de laboratorio se aplica a los routers serie 1841. Tambin se aplica a otros routers, aunque la sintaxis de comandos puede variar. Las interfaces pueden variar segn el modelo de router. Por ejemplo, en algunos routers, Serial 0 puede ser Serial 0/0 o Serial 0/0/0 y Ethernet0 puede ser FastEthernet 0/0. El switch Cisco Catalyst 2960 viene preconfigurado y slo necesita que se le asigne informacin bsica de seguridad antes de ser conectado a una red. Se necesitan los siguientes recursos: Un switch Cisco 2960 u otro switch similar Dos routers Cisco 1841 o similares, cada uno con una interfaz serial y una Ethernet Tres PC con Windows, al menos una con un programa de emulacin de terminal y todas configuradas como hosts Al menos un cable conector de consola RJ-45 a DB-9 para configurar los routers y el switch Tres cables de conexin directa Ethernet Un cable de conexin cruzada Ethernet Un cable serial de conexin cruzada DTE/DCE de dos partes

NOTA: asegrese de que los routers y los switches se hayan eliminado y no tengan configuraciones de inicio. Las instrucciones para eliminar tanto el switch como el router se proporcionan en el Manual de Prcticas de Laboratorio, que se encuentra en la seccin Tools (Herramientas) del sitio Web Academy Connection. NOTA: routers habilitados para SDM: si se elimina startup-config en un router habilitado para SDM, ste ya no aparecer de manera predeterminada cuando se reinicie el router. Ser necesario establecer una configuracin bsica de router usando los comandos IOS. Los pasos de esta prctica de laboratorio utilizan comandos IOS y no requieren el uso de SDM. Si desea utilizar SDM, consulte las instrucciones del Manual de Prcticas de Laboratorio, que se encuentra en la seccin Tools (Herramientas) del sitio Web Academy Connection, o comunquese con su instructor si fuera necesario.

Paso 1: Conecte el equipo.

a. Conecte la interfaz Serial 0/0/0 del Router 1 a la interfaz Serial 0/0/0 del Router 2 mediante un cable serial. b. Conecte la interfaz Fa0/0 del router 1 al puerto Fa0/1 del switch 1 mediante un cable de conexin directa. c. Conecte un cable de consola a cada PC para realizar configuraciones en los routers y el switch. d. Conecte el Host 1 al puerto Fa0/3 del switch 1 mediante un cable de conexin directa. e. Conecte el Host 2 al puerto Fa0/2 del switch 1 mediante un cable de conexin directa. f. Conecte un cable de conexin cruzada entre el Host 3 y la interfaz Fa0/0 del Router 2.

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 2 de 5

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Paso 2: Realice la configuracin bsica del Router 1.
a. Conecte una PC al puerto de consola del router para realizar configuraciones utilizando un programa de emulacin de terminal. b. En el Router 1, configure el nombre del host, las interfaces, las contraseas y el mensaje del da, y deshabilite las bsquedas de DNS segn la tabla de direccionamiento y el diagrama de topologa. Guarde la configuracin.

Paso 3: Realice la configuracin bsica del Router 2.

Realice la configuracin bsica en el Router 2 y guarde la configuracin.

Paso 4: Realice la configuracin bsica del Switch 1.

Configure el Switch 1 con un nombre de host, consola, Telnet y contraseas privilegiadas segn la tabla de direccionamiento y el diagrama de topologa.

Paso 5: Configure los hosts con la direccin IP, la mscara de subred y el gateway predeterminado.
a. Configure los hosts con la direccin IP, la mscara de subred y el gateway predeterminado segn la tabla de direccionamiento y el diagrama de topologa. b. Cada estacin de trabajo debe tener capacidad para hacer ping al router conectado. Si los pings no son satisfactorios, resuelva el problema segn sea necesario. Verifique que se hayan asignado una direccin IP y un gateway predeterminado especficos a la estacin de trabajo.

Paso 6: Configure el enrutamiento RIP y verifique la conectividad de extremo a extremo en la red.

a. En el R1, habilite el protocolo de enrutamiento RIP y configrelo para publicar ambas redes conectadas. b. En el R2, habilite el protocolo de enrutamiento RIP y configrelo para publicar ambas redes conectadas. c. Desde cada host, haga ping a los otros dos hosts. Los pings tuvieron xito? __________ Si la respuesta es negativa, resuelva el problema de las configuraciones del router y el host para detectar el error. Haga ping de nuevo hasta que todos sean satisfactorios.

Paso 7: Configure las ACL extendidas para controlar el trfico.

El Host 3 en esta red contiene informacin de dominio privado. Los requisitos de seguridad para esta red establecen que slo ciertos dispositivos podrn acceder a esta mquina. El Host 1 es el nico host que podr acceder a esta computadora. Todos los otros hosts en esta red se utilizan para acceso de invitado y no se les debe permitir el acceso al Host 3. Adems, el Host 3 es la nica computadora en la red que puede acceder a las interfaces de R1 para una administracin remota. Las ACL extendidas se utilizarn para controlar el acceso en esta red. a. Confeccione una lista de requisitos para una mayor claridad: 1) El Host 1 puede acceder al Host 3. Todos los otros hosts (slo en esa red) no pueden acceder al Host 3. Todo host adicional que se agregue en el futuro a otras redes debe tener acceso al Host 3, ya que no sern mquinas a las que se pueda tener acceso de invitado. 2) El Host 3 puede acceder a las interfaces de R1. Todos los otros dispositivos en la red no tendrn acceso.

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 3 de 5

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

b. Analice los requisitos y determine la ubicacin de las listas de control de acceso extendidas. Segn los requisitos, el trfico que debe controlarse es el que sale de la interfaz Fa0/0 de R2 con destino al Host 3. Por lo tanto, la lista de control de acceso debe ubicarse en la interfaz Fa0/0 de R2. c. Cree una ACL extendida para realizar las tareas establecidas y aplquela a R2. R2(config)#access-list 192.168.5.10 R2(config)#access-list 192.168.5.10 R2(config)#access-list R2(config)#access-list 101 permit ip host 192.168.1.10 host 101 deny ip 192.168.1.0 0.0.0.255 host 101 permit ip any any 101 deny ip any any

NOTA: la sentencia deny implcita al final de una lista de control de acceso cumple esta misma funcin. No obstante, el agregado de la lnea a la ACL facilita su documentacin y se considera una buena prctica. Al agregar explcitamente esta sentencia, se lleva la cuenta de la cantidad de paquetes que coinciden con la sentencia y el administrador puede ver cuntos paquetes se rechazaron. d. Aplique la lista de acceso en la interfaz Fa0/0 de R2 en la direccin de salida. R2(config)#interface fastethernet 0/0 R2(config-if)#ip access-group 101 out e. Verifique la ACL en R2 con el comando show access-lists. El resultado del comando show access-lists muestra la ACL que se cre? __________ El resultado del comando show access-lists muestra de qu manera se aplic la ACL? __________ f. Utilice el comando show ip interface fa0/0 en R2 para mostrar la aplicacin de la ACL. Qu le indica el resultado del comando show ip interface acerca de la ACL? ________________________________________________________________________________

Paso 8: Pruebe la ACL.

a. Haga ping al Host 3 desde los Hosts 1 y 2. Puede el Host 1 hacer ping al Host 3? __________ Puede el Host 2 hacer ping al Host 3? __________ b. Para verificar que las otras direcciones puedan hacer ping al Host 3, haga ping al Host 3 desde R1. El ping tuvo xito? __________ c. Muestre nuevamente la lista de control de acceso con el comando show access-lists. Qu informacin adicional se muestra adems de las sentencias de la lista de acceso? _______________________________________________________________________________ d. Elimine esta lista de control de acceso antes de continuar. R2(config)#interface fastethernet 0/0 R2(config-if)#no ip access-group 101 out R2(config-if)#exit R2(config)#no access-list 101

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 4 de 5

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Paso 9: Configure y pruebe la ACL para el prximo requisito.

a. El Host 3 es el nico host al que se le debe permitir conectarse a R1 para la administracin remota. Cree una lista de control de acceso que cumpla con este requisito. Esta ACL deber ubicarse en R1, ya que R1 es el destino del trfico. Ninguno de los otros hosts tendr permitido el acceso. ste es el nico trfico que se controla. El resto del trfico debe estar autorizado. R1(config)#access-list 192.168.15.1 R1(config)#access-list R1(config)#access-list R1(config)#access-list R1(config)#access-list R1(config)#access-list 101 permit ip host 192.168.5.10 host 101 101 101 101 101 permit ip host 192.168.5.10 host 192.168.1.1 deny ip any host 192.168.15.1 deny ip any host 192.168.1.1 permit ip any any deny ip any any

b. Dado que el trfico de origen puede provenir de cualquier direccin, esta ACL debe aplicarse a ambas interfaces en R1. El trfico que se controlar debe ser el que ingrese al router. R1(config)#interface fastethernet 0/0 R1(config-if)#ip access-group 101 in R1(config-if)#interface serial 0/0/0 R1(config-if)#ip access-group 101 in c. Ahora intente hacer telnet a R1 desde todos los hosts y R2. Intente hacer telnet a ambas direcciones de R1. Puede hacer telnet a R1 desde cualquiera de estos dispositivos? Si la respuesta es s, desde cules? ____________________ d. Muestre el resultado del comando show access-lists en R1. El resultado del comando show access-lists muestra que las sentencias coinciden? __________

Paso 10: Reflexione.

a. Por qu se requieren una planificacin y una prueba ms detalladas de las listas de control de acceso? _______________________________________________________________________________ b. Cul es la ventaja de utilizar las ACL extendidas en comparacin con las ACL estndar? _______________________________________________________________________________

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Pgina 5 de 5