Actividad de PT 5.2.

8: Configuracin de las ACL estndar

Diagrama de topologa
Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin 1 de !
Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco.
CC)* #+plortion
*cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr
Ta!la de direccionamiento
Dispositivo "nterfa# Direccin "P $scara de su!red
%&
'()()( 10.1.1.1 2//.2//.2//.2/2
*a()( 192.1!0.10.1 2//.2//.2//.0
*a()& 192.1!0.11.1 2//.2//.2//.0
%2
'()()( 10.1.1.2 2//.2//.2//.2/2
'()()& 10.2.2.1 2//.2//.2//.2/2
'()&)( 209.1!/.200.22/ 2//.2//.2//.221
*a()( 192.1!0.20.1 2//.2//.2//.0
%+
'()()& 10.2.2.2 2//.2//.2//.2/2
*a()( 192.1!0.20.1 2//.2//.2//.0
"'P
'()()& 209.1!/.200.22! 2//.2//.2//.221
*a()( 209.1!/.201.1 2//.2//.2//.221
*a()& 209.1!/.202.129 2//.2//.2//.221
PC& ,"C 192.1!0.10.10 2//.2//.2//.0
PC2 ,"C 192.1!0.11.10 2//.2//.2//.0
PC+ ,"C 192.1!0.20.10 2//.2//.2//.0
PC- ,"C 192.1!0.20.120 2//.2//.2//.0
'ervidor
T*TP)./0
,"C 192.1!0.20.2/1 2//.2//.2//.0
'ervidor
./0
,"C 209.1!/.201.20 2//.2//.2//.221
1ost e2terno ,"C 209.1!/.202.1/0 2//.2//.2//.221
3!4etivos de aprendi#a4e
In"estigr l con%ig$rci&n ct$l de l red.
#"l$r $n pol3tic de red y plni%icr $n implementci&n de *C..
Con%ig$rr *C. estndr y n$merds.
Con%ig$rr *C. estndr y nom(rds.
"ntroduccin
.s *C. estndr son g$iones de con%ig$rci&n del ro$ter 4$e controln si $n ro$ter cept o rech5
p4$etes seg'n l direcci&n de origen. #st cti"idd se concentr en de%inir criterios de %iltrdo,
con%ig$rr *C. estndr, plicr *C. inter%ces de ro$ter y "eri%icr y e"l$r l implementci&n
de l *C.. .os ro$ters y estn con%ig$rdos, lo 4$e incl$ye direcciones IP y enr$tmiento #I67P.
. contrse8 #9#C del $s$rio es cisco y l contrse8 #9#C pri"ilegid es class.
Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin 2 de !
Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco.
CC)* #+plortion
*cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr
Tarea &: "nvestigar la configuracin actual de la red
Paso &. 5isuali#ar la configuracin en e4ecucin en los routers.
:is$lice l con%ig$rci&n en e;ec$ci&n en los tres ro$ters medinte el comndo s6o7 running8config
mientrs est< en el modo #9#C pri"ilegido. =(ser"e 4$e ls inter%ces y el enr$tmiento estn
totlmente con%ig$rdos. Compre ls con%ig$rciones de l direcci&n IP con l t(l de direccionmiento
4$e se m$estr ms rri(. #n este momento, no de(e h(er ning$n *C. con%ig$rd en los ro$ters.
#l ro$ter ISP no re4$iere ning$n con%ig$rci&n d$rnte este e;ercicio. S$pongmos 4$e el ro$ter ISP no
est (;o s$ dministrci&n y el dministrdor del ISP se oc$p de s$ con%ig$rci&n y mntenimiento.
Paso 2. Confirmar 9ue todos los dispositivos puedan acceder a todas las dems u!icaciones.
*ntes de plicr c$l4$ier *C. $n red, es importnte con%irmr 4$e teng conecti"idd complet.
Si no pr$e( l conecti"idd en s$ red ntes de plicr $n *C., pro((lemente l resol$ci&n de
pro(lems se ms di%3cil.
>n pso 'til en l pr$e( de conecti"idd es "is$li5r ls t(ls de enr$tmiento en cd dispositi"o
pr seg$rrse de 4$e cd red %ig$re en <sts. #n 71, 72 y 72 e;ec$te el comndo s6o7 ip route.
?e(e "er 4$e cd dispositi"o tiene r$ts conectds pr redes conectds y r$ts dinmics tods
ls dems redes remots. Todos los dispositi"os p$eden cceder tods ls dems $(icciones.
*$n4$e l t(l de enr$tmiento p$ede ser 'til pr e"l$r el estdo de l red, l conecti"idd 'n de(e
pro(rse l hcer ping. 7elice ls sig$ientes pr$e(s-
?esde l PC1, hg ping l PC2.
?esde l PC2, hg ping l host e+terno.
?esde l PC1, hg ping l ser"idor ,e(@TATP.
Cd $n de ests pr$e(s de conecti"idd de(e tener <+ito.
Tarea 2: /valuar una poltica de red : planificar una implementacin de ACL
Paso &. /valuar la poltica para las LA, del %&.
. red 192.1!0.10.0@21 p$ede cceder tods ls $(icciones, e+cepto l red
192.1!0.11.0@21.
. red 192.1!0.11.0@21 p$ede cceder todos los dems destinos, e+cepto c$l4$ier red
conectd l ISP.
Paso 2. Planificar la implementacin de ACL para las LA, del %&.
?os *C. implementn completmente l pol3tic de seg$ridd pr ls .*) del 71.
. primer *C. en el 71 denieg el tr%ico desde l red 192.1!0.10.0@21 l red
192.1!0.11.0@21 pero cept el resto del tr%ico.
#st primer *C., plicd en direcci&n de slid en l inter%5 A0@1, monitore el tr%ico 4$e
se en"3 l red 192.1!0.11.0.
. seg$nd *C. en el 72 denieg el cceso de l red 192.1!0.11.0@21 l ISP pero cept el
resto del tr%ico.
#l tr%ico sliente desde l inter%5 S0@1@0 est controldo.
Colo4$e ls sentencis *C. en orden, desde l ms espec3%ic l menos espec3%ic. Se
denieg el cceso del tr%ico de l red otr red ntes de permitir el cceso del resto del tr%ico.
Paso +. /valuar la poltica para la LA, del %+.
. red 192.1!0.20.0@10 p$ede cceder todos los destinos.
Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin 2 de !
Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco.
CC)* #+plortion
*cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr
#l host 192.1!0.20.120 no tiene permitido el cceso %$er de l .*).
Paso -. Planificar la implementacin de ACL para la LA, del %+.
>n *C. implement completmente l pol3tic de seg$ridd pr l .*) del 72.
. *C. se coloc en el 72 y denieg el cceso del host 192.1!0.20.120 %$er de l .*) pero
permite el tr%ico desde el resto de los hosts en l .*).
*l plicr $n *C. entrnte en l inter%5 A0@0, est *C. monitorer todo el tr%ico 4$e intente
slir de l red 192.1!0.20.0@10.
Colo4$e ls sentencis *C. en orden, desde l ms espec3%ic l menos espec3%ic. Se
denieg el cceso l host 192.1!0.20.120 ntes de permitir el cceso l resto del tr%ico.
Tarea +: Configurar ACL estndar : numeradas
Paso &. Determinar la mscara 7ildcard.
. mscr Bildcrd en $n sentenci *C. determin c$nto se de(e "eri%icr en $n direcci&n IP de
origen o destino. >n (it 0 implic hcer coincidir ese "lor en l direcci&n, mientrs 4$e $n (it 1 ignor
ese "lor en l direcci&n. 7ec$erde 4$e ls *C. estndr s&lo p$eden "eri%icr direcciones de origen.
?e(ido 4$e l *C. en el 71 denieg todo el tr%ico de l red 192.1!0.10.0@21, se rech5r
tod direcci&n IP de origen 4$e comience con 192.1!0.10. ?do 4$e el 'ltimo octeto de l
direcci&n IP p$ede ignorrse, l mscr Bildcrd correct es 0.0.0.2//. Cd octeto en est
mscr p$ede interpretrse como C"eri%icr, "eri%icr, "eri%icr, ignorrD.
. *C. en el 72 tm(i<n denieg el tr%ico de l red 192.1!0.11.0@21. P$ede plicrse l mism
mscr Bildcrd, 0.0.0.2//.
Paso 2. Determinar las sentencias.
.s *C. se con%ig$rn en el modo de con%ig$rci&n glo(l.
Pr ls *C. estndr, $se $n n'mero entre 1 y 99. #l n'mero &( se $s pr est list en el 71
pr y$dr recordr 4$e est *C. monitore l red 192.1!0.&(.0.
#n el 72, l list de cceso && denegar el tr%ico de l red 192.1!0.&&.0 c$l4$ier red del ISPE
por lo tnto, l opci&n den: est con%ig$rd con l red &;2.&<8.&&.( y l mscr Bildcrd
(.(.(.255.
?e(e permitirse el resto del tr%ico con l opci&n permit= de(ido l sentenci impl3cit Cdeny
nyD l %inl de ls *C.. . opci&n an: especi%ic todo host de origen.
Con%ig$re lo sig$iente en 71-
R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255
R1(config)#access-list 10 permit any
)ot- PcFet Trcer no cli%icr $n con%ig$rci&n de *C. hst tnto se ingresen tods ls sentencis
en el orden correcto.
*hor cree $n *C. en el 72 pr denegr l red 192.1!0.11.0 y permitir ls dems redes. Pr est
*C., $se el n'mero &&. Con%ig$re lo sig$iente en 72-
R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255
R2(config)#access-list 11 permit any
Paso +. Aplicar las sentencias a las interfaces.
#n 71, ingrese l modo de con%ig$rci&n pr l inter%5 A0@1.
Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin 1 de !
Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco.
CC)* #+plortion
*cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr
#;ec$te el comndo ip access8group &( out pr plicr l *C. estndr sliente en l inter%5.
R1(config)#interface fa0/1
R1(config-if)#ip access-group 10 out
#n 72, ingrese l modo de con%ig$rci&n pr l inter%5 S0@1@0.
#;ec$te el comndo ip access8group && out pr plicr l *C. estndr sliente en l inter%5.
R2(config)#interface s0/1/0
R2(config-if)#ip access-group 11 out
Paso -. 5erificar : pro!ar las ACL.
Con ls *C. con%ig$rds y plicds, l PC1 G192.1!0.10.10H no de(e poder hcer ping l PC2
G192.1!0.11.10H, y 4$e l *C. 10 se plic con direcci&n de slid en l A0@1 en 71.
. PC2 G192.1!0.11.10H no de(e poder hcer ping l ser"idor ,e( G209.1!/.201.20H ni l host e+terno
G209.1!/.202.1/0H, pero s3 de(e poder hcer ping c$l4$ier otr $(icci&n, y 4$e l *C. 11 se plic
en direcci&n de slid en l S0@1@0 en 72. Sin em(rgo, l PC2 no p$ede hcer ping l PC1 por4$e l
*C. 10 en 71 impide l resp$est de eco de l PC1 l PC2.
Paso 5. 5erificar los resultados.
S$ porcent;e de %inli5ci&n de(e ser del !7I. ?e lo contrrio, hg clic en 5erificar resultados pr
"er 4$< componentes re4$eridos 'n no se hn completdo.
Tarea -: Configurar ACL estndar : nom!radas
Paso &. Determinar la mscara 7ildcard.
. pol3tic de cceso pr 72 indic 4$e el host en 192.1!0.20.120 no de(e tener permitido
ning'n cceso %$er de l .*) locl. #l resto de los hosts de l red 192.1!0.20.0 de(e tener
permitido el cceso ls dems $(icciones.
Pr "eri%icr $n 'nico host, de(e "eri%icrse l direcci&n IP complet medinte l pl(r
cl"e 6ost.
Se permiten todos los p4$etes 4$e no coinciden con l sentenci host.
Paso 2. Determinar las sentencias.
#n 72, entre l modo de con%ig$rci&n glo(l.
Cree $n *C. nom(rd con l denominci&n )=J*CC#SS medinte el comndo ip access8
list standard ,3>ACC/''. Ingresr l modo de con%ig$rci&n de *C.. Tods ls sentencis
permit y deny se con%ig$rn desde este modo de con%ig$rci&n.
?enieg$e el tr%ico desde el host 192.1!0.20.120 con l opci&n 6ost.
Permit todo el tr%ico restnte con permit an:.
Con%ig$re l sig$iente *C. nom(rd en 72-
R3(config)#ip access-list standard NO_A!""
R3(config-std-nacl)#deny #ost 192.168.$0.128
R3(config-std-nacl)#permit any
Paso +. Aplicar las sentencias a la interfa# correcta.
#n 72, ingrese l modo de con%ig$rci&n pr l inter%5 A0@0.
#;ec$te el comndo ip access8group ,3>ACC/'' in pr plicr l *C. nom(rd entrnte en l
inter%5. #ste comndo hce 4$e todo el tr%ico 4$e ingres l inter%5 A0@0 desde l .*)
192.1!0.20.0@21 se compre con l *C..
Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin / de !
Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco.
CC)* #+plortion
*cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr
R3(config)#interface fa0/0
R3(config-if)#ip access-group NO_A!"" in
Paso -. 5erificar : pro!ar las ACL.
Kg clic en 5erificar resultados y l$ego en Prue!as de conectividad. .s sig$ientes pr$e(s de(en
%llr-
PC1 PC2
PC2 l host e+terno
PC2 l ser"idor ,e(
Todos los pings desde PC1 y hci <st, e+cepto entre PC2 y PC1
Paso 5. 5erificar los resultados.
S$ porcent;e de %inli5ci&n de(e ser del 100I. ?e lo contrrio, hg clic en 5erificar resultados pr
o(ser"r 4$< componentes re4$eridos 'n no se hn completdo.
Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin ! de !
Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco.