Prctica de laboratorio 5.2.

1 ACL estndar

Objetivo
Planificar, configurar y aplicar una ACL estndar para permitir o denegar trfico especfico y probar la ACL para determinar si se lograron los resultados deseados.

Situacin
La sede de la empresa en Gadsden (GAD) ofrece servicios a las sucursales, como la oficina de Birmingham (BHM). Estas oficinas tienen algunos problemas menores de seguridad y desempeo.

Por lo tanto, es necesario implementar una ACL estndar como una herramienta simple y efectiva para controlar el trfico.

Infraestructura
El Host 3 representa la estacin de quiosco cuyo acceso debe limitarse a la red local. El Host 4 representa a otro host de la oficina de BHM y la interface Loopback 0 del router GAD representa la Internet.

Paso 1 Interconexin bsica del router

a. Interconecte los routers de acuerdo al diagrama.

Paso 2 Configuracin bsica

1 - 4 CCNA 2: Routers y principios bsicos de enrutamiento v 3.1Prctica de laboratorio 11.2.1b Copyright 2003, Cisco Systems, Inc.

a.

Es posible que el router tenga configuraciones de un uso anterior. Por este motivo, borre la configuracin inicial y vuelva a cargar el router para eliminar cualquier configuracin residual. Refirase a las tablas en la primera pgina y configure el router y los host. Verifique la conectividad haciendo ping a todos los sistemas y routers desde cada sistema.

b. Para simular la Internet, agregue la siguiente configuracin al router GAD. GAD(config)#interface loopback0 GAD(config-if)#address 172.16.1.1 255.255.255.0 GAD(config-if)#exit GAD(config)#router rip GAD(config-router)#network 172.16.0.0 GAD(config-if)#^z

Paso 3 Establecer los requisitos de la lista de acceso

a. Es necesario limitar el acceso de la estacin de quiosco (Host 3) a la red local. Se determina que es necesario crear una lista de acceso estndar para evitar que el trfico desde este host llegue a cualquiera de las dems redes. La lista de control de acceso debe bloquear el trfico desde este host sin afectar otro trfico desde esta red. Una ACL IP estndar es adecuada, dado que filtra a base de la direccin origen a cualquier destino. Cul es la direccin origen del quiosco? 192.168.3.2

Paso 4 Planificar los requisitos de la lista de acceso

a. Como ocurre con cualquier proyecto, la parte ms importante del proceso es la planificacin. Primero, hay que definir la informacin necesaria para crear la ACL. Una lista de acceso consta de una serie de sentencias ACL. Cada sentencia aumenta a la ACL de forma secuencial. Dado que la lista se compone de ms de una sentencia, el orden de las sentencias debe planificarse cuidadosamente. b. Se ha determinado que para esta ACL se requerirn dos pasos lgicos. Cada uno de estos pasos se puede lograr con una sola sentencia. Como herramienta de planificacin, se puede utilizar un editor de texto como el Bloc de notas, para organizar la lgica y luego escribir la lista. En el editor de texto introduzca la lgica escribiendo: ! stop traffic from host 3 Access-list 15 deny host 192.168.3.2 ! permit all other traffic Access-list 15 permit host 192.168.3.3 c. A partir de esta lgica se puede elaborar la ACL. En las tablas siguientes, anote la informacin para cada sentencia. pare el trfico frl ordenador pincipal 3 Nro de lista permitir o denegar Direccin origen Mscara wildcard

15

denegar

192.168.3.2

0.0.0.255

permita el resto del trfico Nro de lista permitir o denegar

Direccin origen

Mscara wildcard

15

permitir

192.168.3.3

0.0.0.255

2 - 4 CCNA 2: Routers y principios bsicos de enrutamiento v 3.1Prctica de laboratorio 11.2.1b Copyright 2003, Cisco Systems, Inc.

d. Cul sera el resultado de no incluir una sentencia para permitir todas las dems direcciones origen? Quedaria implcito la denegacin de trafico para todas las dems direcciones de origen. e. Cul sera el resultado de invertir el orden de las dos sentencias en la lista? ninguno Por qu ambas sentencias usan el mismo nmero de ACL? En realidad, bastara con tan solo una lnea de lista de acceso access-list 15 permit host 192.168.3.2 g. El paso final en el proceso de planificacin es determinar la mejor ubicacin para la lista de acceso y la direccin en la que se debe aplicar la lista. Examine el diagrama de la red y seleccione la interfaz y direccin adecuadas. Anote esto en la tabla que se encuentra a continuacin: Router Interfaz Direccin

f.

R2
Paso 5 Escribir y aplicar la ACL
a.

S0/0/0

OUT

Mediante la lgica e informacin de la lista de acceso desarrollado anteriormente, complete los comandos en el editor de texto. La sintaxis de la lista deber ser similar a lo siguiente: ! permit all other traffic access-list 15 permit host 192.168.3.2

b. Agregue las sentencias de configuracin para aplicar la lista a este archivo de texto. Las sentencias de configuracin tendrn la siguiente forma: BHM(config)#interface serial 0/0/0 BHM(config-if)#ip access-group 15 out c. Ahora es necesario aplicar la configuracin de archivo de texto al router. Entre al modo de configuracin del router correspondiente y copie y pegue la configuracin. Observe la visualizacin de la CLI para garantizar que no haya errores.

Paso 6 Verificar la ACL

Ahora que se ha completado la ACL, es necesario confirmarla y probarla. a. El primer paso es verificar la lista para ver si se ha configurado correctamente en el router. Para verificar la lgica de la ACL use el comando show access-lists. Anote el resultado. Standard IP access list 15 permit host 192.168.3.3

b. A continuacin, verifique que se haya aplicado la lista de acceso a la interfaz correcta y en la direccin correcta. Para hacer esto examine la interfaz con el comando show ip interface. Verifique el resultado desde cada interfaz y anote las listas aplicadas a la interfaz. Interfaz Serial0/0/0 is up, line protocol is up (connected) Outgoing access list is 15

La lista de acceso de salida es

3 - 4 CCNA 2: Routers y principios bsicos de enrutamiento v 3.1Prctica de laboratorio 11.2.1b Copyright 2003, Cisco Systems, Inc.

La lista de acceso de entrada es

Inbound access list is not set

c. Por ltimo, pruebe la funcionalidad de la ACL intentando enviar paquetes desde el host origen y verifique que se permita o deniegue de acuerdo a lo planificado. En este caso, la prueba se realiza con un ping. [*] verify that host 3 CAN ping host 4 [*] verify that host 3 CANNOT ping host 1 [*] verify that host 3 CANNOT ping host 2 [*] verify that host 3 CANNOT ping GAD Fa0/0 [*] verify that host 3 CANNOT ping GAD LO0 [*] verify that host 4 CAN ping host 1 [*] verify that host 4 CAN ping host 2 [*] verify that host 4 CAN ping GAD Fa0/0 [*] verify that host 4 CAN ping GAD LO0

Paso 7 Documente la ACL

a. Como parte de toda la gestin de red, es necesario elaborar documentacin. Agregue comentarios adicionales al archivo de texto creado para la configuracin. Este archivo tambin debe contener resultados de los comandos show access-lists y show ip interface. BHM#show access-lists Standard IP access list 15 permit host 192.168.3.3 (4 match(es)) BHM#show ip interface s0/0/0 Serial0/0/0 is up, line protocol is up (connected) Internet address is 192.168.2.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 15 Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is disabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is disabled IP multicast distributed fast switching is disabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled
4 - 4 CCNA 2: Routers y principios bsicos de enrutamiento v 3.1Prctica de laboratorio 11.2.1b Copyright 2003, Cisco Systems, Inc.

WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled

b. El archivo debe guardarse junto con la dems documentacin de red. La convencin de nombres de archivos debe reflejar la funcin del archivo y la fecha de implementacin.

BHM#show running-config Building configuration... Current configuration : 915 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname BHM ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! no ip domain-lookup ! interface FastEthernet0/0 ip address 192.168.3.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/0/0 ip address 192.168.2.2 255.255.255.0 ip access-group 15 out ! interface Serial0/0/1 no ip address shutdown ! interface Vlan1 no ip address shutdown ! router rip version 2 network 192.168.2.0 network 192.168.3.0 no auto-summary ! ip classless ! !
5 - 4 CCNA 2: Routers y principios bsicos de enrutamiento v 3.1Prctica de laboratorio 11.2.1b Copyright 2003, Cisco Systems, Inc.

access-list 15 permit host 192.168.3.3 ! banner motd ^CAcceso solo a personal Autorizado^C ! line con 0 password class logging synchronous login line vty 0 4 password class login ! end c. Con eso, se ha completado el proyecto de la ACL. d. Al terminar, borre la configuracin inicial de los routers, quite y guarde los cables y el adaptador. Termine la sesin y apague el router.

6 - 4 CCNA 2: Routers y principios bsicos de enrutamiento v 3.1Prctica de laboratorio 11.2.1b Copyright 2003, Cisco Systems, Inc.