TAREA PRÁCTICA 9

Asignatura: Networking 3

Autor: Christofer Macas

Fecha de informe: 29 de julio 2021

A. TÍTULO

Configuración de ACLs Estándar en IPV4.

B. OBJETIVOS DE LA PRACTICA

• Comprender la función que cumple una ACL en una topología con

direccionamiento IPV4
• Aprender a configurar ACLs Estándar IPv4 en los equipos de red.
• Verificar el correcto funcionamiento de las ACL IPV4 en los equipos.
• Establecer conclusiones y recomendaciones

C. MARCO TEÓRICO

VLSM

El subneteo con VLSM (Variable Length Subnet Mask), máscara variable ó

máscara de subred de longitud variable, es uno de los métodos que se
implementó para evitar el agotamiento de direcciones IPv4 permitiendo un
mejor aprovechamiento y optimización del uso de direcciones. Antes de seguir
explicando voy a hacer una breve aclaración sobre VLSM, CIDR y sumarización
de rutas. Estos 3 conceptos son complementarios y se prestan a con fusión.
VLSM permite que una organización utilice más de una máscara de subred dentro
del mismo espacio de direccionamiento de red. La implementación de VLSM
maximiza la eficiencia del direccionamiento y con frecuencia se la conoce como
unas subredes subredes.

ACL

Una lista de control de acceso o ACL (del inglés, access control list) es un
concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a un
determinado objeto, dependiendo de ciertos aspectos del proceso que hace el
pedido.
Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como
enrutadores y conmutadores. Su principal objetivo es filtrar tráfico: permitir o
denegar el tráfico de red de acuerdo con alguna condición. Sin embargo, también
tienen usos adicionales, como, por ejemplo, distinguir "tráfico interesante" (tráfico
suficientemente importante como para activar o mantener una conexión) en RDSI
(red digital de servicios integrados).

El motivo por el que suele gestionarse en una clase o sistema separado y no en

cada una de las partes que pretenden asociarse a permisos es por seguir las
reglas SOLID; en este caso, la S —Single responsibility (principio de
responsabilidad única)—, lo cual te permite incluso escalar mejor. Se asemejaría a
un sistema de control de accesos físico típico de un edificio, donde esa parte está
centralizada en un lugar. Este lugar sólo necesita saber dos cosas: quién eres (por
ejemplo un ID de una tarjeta, tu ID de usuario) y qué quieres hacer. Este te
responde si tienes permiso de hacerlo o no. Con este enfoque, este mismo
sistema no solo puede ser utilizado para acceder a lugares, sino para cualquier
cosa que necesite separarse de personas que pueden y no pueden hacer cosas;
por ejemplo, acceder a una página o sección, publicar un comentario, hacer una
amistad, enviar un correo.

En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de
servicio o nombres de dominios (de redes) que están disponibles en una terminal
u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales o
redes que tienen permiso para usar el servicio. Tanto servidores individuales como
enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden
configurarse generalmente para controlar tráfico entrante y saliente, y en este
contexto son similares a un cortafuegos.

Existen dos tipos de listas de control de acceso: fijas y variables.

D. MATERIALES Y EQUIPO
Tabla 1 Materiales

Simulador GNS3
 Máquina virtual

VMware

VPCs

Router

Laptop

TOPOLOGÍA

Figura 1 Topología

E. PROCEDIMIENTO EXPERIMENTAL

DIAGRAMA EN BLOQUES
 Configuraciones Configuracion de Configuración de Configuración
Topologia Comprobación
basicas direccioes IPv4 OSPF de ACL

ASIGNACIÓN DE DIRECCIONES IPV4

Tabla 2 Direcciones IPv4

Dirección Mascara de
Equipo Interfaz Mascara de red Puerta de enlace
IPv4 subred
F0/0 195.50.45.33 /28 255.255.255.240 No aplicable
R1
S0/1 195.50.45.65 /30 255.255.255.252 No aplicable
F0/0 195.50.45.1 /27 255.255.255.224 No aplicable
R2 S1/0 195.50.45.66 /30 255.255.255.252 No aplicable
S1/1 195.50.45.69 /30 255.255.255.252 No aplicable
F0/0 195.50.45.49 /28 255.255.255.240 No aplicable
R3
S1/0 195.50.45.70 /30 255.255.255.252 No aplicable
PC1 Ethernet 0 195.50.45.34 /28 255.255.255.240 195.50.45.33
PC2 Ethernet 0 195.50.45.35 /28 255.255.255.240 195.50.45.33
PC3 Ethernet 0 195.50.45.2 /27 255.255.255.224 195.50.45.1
PC4 Ethernet 0 195.50.45.3 /27 255.255.255.224 195.50.45.1
PC5 Ethernet 0 195.50.45.50 /28 255.255.255.240 195.50.45.49
PC6 Ethernet 0 195.50.45.51 /28 255.255.255.240 195.50.45.49

F. DESARROLLO

Configuración básica en cada Router.

Configurar cada router de acuerdo con los siguientes parámetros

• Nombre del dispositivo ejemplo R1_Iniciales del estudiante ejemplo

R1_CM.
• Contraseña de enable
• Desactivar la traducción de nombres de resolución dominio.
• Configuración de Banner “Christofer Macas, NET3_Tarea 9”)
• Configuración de acceso EXEC privilegiado.
• Configuración de SSH
• Configurar el cifrado de contraseñas
Figura 2 Configuración básica en R1

Figura 3 Configuración básica en R2

 Figura 4Configuración básica en R3

configuración de direcciones IP a cada interfaz

Las direcciones IP se configuran de acuerdo con la tabla de direccionamiento.

Figura 5 Configuración de direcciones IP en R1

Figura 6 Configuración de direcciones IP en R2

 Figura 7 Configuración de direcciones IP en R3

Configurar el protocolo de enrutamiento OSPF

Se configuro el protocolo de enrutamiento OSPF en área 0.

Figura 8 OSPF en R1

Figura 9 OSPF en R2

Figura 10 OSPF en R3

Asignar las direcciones IP a las VPC

Figura 11 IP PC1
Figura 12 IP PC2

Figura 13 IP PC3

Figura 14 IP PC4

Figura 15 IP PC5
 Figura 16 IP PC6

Configurar las siguientes ACL estándar

Permitir que solo la primera mitad de host de la LAN_R1 puedan tener

comunicación con la PC5 de la LAN_R3. Denegar el resto de tráfico.

Calcular la máscara de wildcard para la primera mitad.

Figura 17 Calculo de wildcard

Se configuro en R1 y R3 las siguientes ACL, en R1 se configura la comunicación

solo con PC5.

Figura 18 ACL en R1
En R3 se configura que la mitad de los host tengan acceso.

Figura 19 ACL en R3

Denegar la comunicación entre la Red LAN_R1 y el primer host disponible de

la red LAN_R2. Habilitar el resto del tráfico en la red.

Para denegar la comunicación de toda la red LAN de R1 se bloquea al host de la

LAN R2 y se permite el resto de tráfico con permit any la interfaz que se asigna
esta ACL es la f0/0 en out.

Figura 20 ACL en R1

Denegar la comunicación del primer host de la red LAN_R2 con la red

LAN_R3

Se estable una denegación al primer host de la red LAN de R2 esta Access list se
ubica en R3 en la interfaz f0/0 en out

Figura 21 ACL en R3

Permitir el tráfico de solo los hosts pares de la red LAN_R1 con la red
LAN_R3. Denegar el resto de tráfico en la red LAN_R1.
Cálculo de la máscara de wildcard para los hosts pares.

Figura 22 Wildcard

Se establece la sentencia de permitir solo a los hosts pares de la LAN de R1 a la

LAN de R3 esta Access list se aplica a la interfaz f0/0 de R3 en out

Figura 23 ACL en R3

Permitir el tráfico de solo los hosts impares de la red LAN_R2 con la red
LAN_R3. Denegar el resto de tráfico en la red LAN_R2.

Calculo de la máscara de wildcard para denegar los hosts pares.

Figura 24 Wildcard
Se estable la denegación de los hosts pares en la red LAN de R2 y el acceso a los
hosts impares, para denegar el resto de trafico se deja activa la regla implícita de
la Access list se asigna a la interfaz de R2 en “in”.

Figura 25 ACL en R2

Figura 26 Interfaz asignada

I. RESULTADOS Y CONCLUSIONES

Resultados

Realizar capturas de pantallas de las configuraciones básicas

Se configuro cada Switch con los siguientes parámetros.

• Nombre del dispositivo ejemplo R1_Iniciales del estudiante ejemplo

R1_CM.
• Contraseña de enable
• Desactivar la traducción de nombres de resolución dominio.
• Configuración de Banner “Christofer Macas, NET3_Tarea 9”)
• Configuración de acceso EXEC privilegiado.
• Configuración de SSH
• Configurar el cifrado de contraseñas
 Figura 27 Configuración básica

Evidenciar la configuración del Protocolo de enrutamiento.

Como se observa en cada tabla de enrutamiento las redes son aprendidas por el
protocolo OSPF.

Figura 28 Tabla de enrutamiento en R1

Figura 29 Tabla de enrutamiento en R2

 Figura 30 Tabla de enrutamiento en R3

Comprobación de ACL

Permitir que solo la primera mitad de host de la LAN_R1 puedan tener

comunicación con la PC5 de la LAN_R3. Denegar el resto de tráfico.

Para comprobar esta ACL se realiza un ping a la PC5 desde la PC1 que tiene una
dirección IP de la primera mitad de host.

Figura 31 Ping

Repetimos el ping con dirección a las otras redes para verificar que el resto del
tráfico se cancela

Figura 32 Sin acceso al resto de trafico

Se configuro la PC2 con una dirección IP fuera del rango de la primera mitad.

Figura 33 IP configurada

Verificamos que no tenga acceso a ninguna red

Figura 34 Ping

Finalmente comprobamos los matches generados por las ACL

Figura 35 Matches en R1

Figura 36 Matches en R3

Denegar la comunicación entre la Red LAN_R1 y el primer host disponible de

la red LAN_R2. Habilitar el resto del tráfico en la red.

Para comprobar el funcionamiento de esta ACL se realiza un ping al primer host

de R2
 Figura 37 Ping

Se comprueba que el resto de trafico es posible mediante un ping al resto de la

red

Figura 38 Ping

Verificamos los matches

Figura 39 Matches

Denegar la comunicación del primer host de la red LAN_R2 con la red

LAN_R3

Para comprobar esta ACL se realiza un ping al primer host de la LAN de R2 desde
una PC de la LAN de R3
 Figura 40 Ping

Verificamos los matches de la Access list

Figura 41 Matches

Permitir el tráfico de solo los hosts pares de la red LAN_R1 con la red
LAN_R3. Denegar el resto de tráfico en la red LAN_R1.

Para comprobar el funcionamiento de la Access list se configura una dirección IP a

cada PC de la LAN de R1, una par y una impar.

Figura 42 Direcciones IP

Se realiza un ping a la PC5 ubicada en la LAN de R3 desde cada PC de la LAN de

R1

Figura 43 Ping desde PC1

 Figura 44 Ping desde PC2

Verificamos los matches de la ACL.

Figura 45 Matches

Permitir el tráfico de solo los hosts impares de la red LAN_R2 con la red
LAN_R3. Denegar el resto de tráfico en la red LAN_R2.

Para comprobar esta Access list se configura las direcciones IP de las PC de la

LAN de R2 una par y una impar.

Figura 46 IP en PC

Realizamos un ping desde cada PC de la LAN de R2 hacia la LAN de R3.

Figura 47 Ping
También verificamos que se deniega el resto de tráfico realizado ping al resto de
redes.

Figura 48 Ping

Verificar los matches

Figura 49 Matches

Conclusiones.

• Las Access list estándar nos permiten bloquear el trafico de los hosts para
configurar las Access list estándar se debe tener en cuenta que el rango de
asignación es de 1-99.
• Las ACL es una de las habilidades muy importantes que necesita un
administrador de redes, dominar las listas de acceso proporciona un plus de
seguridad a nuestra red.
• Mediante el uso adecuado de la mascara de wildcard se puede bloquear o
permitir un rango de hosts de una red de acuerdo con las coincidencias o
inconsistencias se agrega un numero binario 0 o 1.
• Controlar el trafico en una red nos permite gestionar los recursos de esta ya
que al bloquear a toda una red el acceso a servicios o en si a otra red,
reducimos el procesamiento de los equipos.
• Las ACL aumentan la seguridad en las redes y mejoran la gestión ya que
solo el administrador de la red puede permitir el acceso o denegar, también
es importante la regla implícita de las ACL que bloquea todo el trafico de la
red.

Recomendaciones

• Verificar con un ping después de asignar direcciones en los enlaces para

verificar su conexión ya que una mala configuración o asignación de IP
conllevara que la red no converja
 • Se recomienda realizar una tabla de direccionamiento para no digitar mal
las direcciones IP dentro de la topología
• Se recomienda realizar las ACL en un documento de texto antes de
configurar el dispositivo.
• Se recomienda probar cada ACL y verificar los matches que se generan.

H. BIBLIOGRAFÍA

Anón. s. f. «UPS - ST004141.pdf».

Castro, Esmeralda Gabriela Patiño, y Ing Jorge Noguera. s. f. «TRABAJO DE

GRADO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERA EN
ELECTRÓNICA Y REDES DE COMUNICACIÓN». 209.

Jimenez, Karla Cecibel Tandazo. s. f. «CARRERA DE INGENIERÍA DE

SISTEMAS E INFORMÁTICA». 79.