LISTAS DE CONTROL DE ACCESO ESTÁNDAR

La red mostrada en la figura interconecta cuatro sucursales de una empresa y las redes LAN se pueden comunicar a través de rutas estáticas o
algún protocolo de enrutamiento dinámico.

Para esta red crearemos algunas listas de control de acceso (ACL) mediante comandos del Cisco IOS:

Ejercicio 1

CREAR y APLICAR una lista de control de acceso que impida que los hosts de la red LAN de R1 se puedan comunicar con los hosts de la red LAN de
R3, permitiendo el tráfico proveniente de todas las demás redes.

Solución

Se pretende implementar, mediante una ACL estándar, la política de seguridad que se acaba de enunciar.

La ACL estándar filtra paquetes basándose únicamente en la dirección IP origen de los mismos.

Lo primero que se hace es identificar el origen y el destino de la comunicación que será bloqueada o permitida mediante la ACL:

De acuerdo al enunciado del ejercicio, la red LAN de R1 es el origen de los paquetes que serán bloqueados mediante una ACL y los hosts de
la red LAN de R3 es el destino de esos paquetes.

Una ACL estándar se suele colocar lo más cercano al destino.

El router R3 es el más cercano al destino; por lo tanto, aquí se creará y aplicará la ACL 1, cuya primer sentencia o declaración es:

R3(config)#access-list 1 deny [Link] [Link]

access-list es el comando del Cisco IOS que crea una sentencia en una ACL (una ACL puede estar compuesta por n sentencias).

1 es el número de la ACL (éste puede ser cualquier número entre 1 y 99, dado que se trata de una ACL estándar).

deny se utiliza en este caso porque la sentencia bloqueará paquetes (“permit” admite paquetes).

[Link] [Link] es el rango de direcciones IP origen de los paquetes IP que se bloquearán. [Link] es la denominada WCM
(wild card mask).

En este caso, [Link] /24 es el rango de direcciones de la red LAN de R1 (origen de los paquetes). [Link] es la WCM (wild card mask) para
esta sentencia, y se obtiene de la siguiente manera.

La máscara de subred /24 ([Link]) se expresa en binario: 11111111.11111111.11111111.00000000

Después, los bits de la máscara se invierten, y así se obtiene la WCM:

00000000.00000000.00000000.11111111 = [Link]

Rodolfo Hernández
CCNA/CCSI Instructor
LISTAS DE CONTROL DE ACCESO ESTÁNDAR

En esta ACL se debe crear una segunda sentencia que permita a todos los demás paquetes:

R3(config)#access-list 1 permit any

permit se utiliza en este caso porque la sentencia permitirá paquetes.

any es el rango de direcciones IP origen de los paquetes IP que se admitirán.

En este caso, any significa “todas las direcciones IP”. El parámetro any es una abreviatura de la siguiente dirección IP y wild card mask:

any = [Link] [Link]

Así, la lista de control de acceso queda de la siguiente manera:

R3(config)#access-list 1 deny [Link] [Link]

R3(config)#access-list 1 permit any

Lo que falta es aplicar la ACL a una de las interfaces del router R3. Como se observa en la figura, R3 posee tres interfaces activas (S0, S1 y Fa0).

El tráfico proviene de la red LAN de R1, entonces la ACL 1 no debe aplicarse en la interfaz S0 de R3 porque por ésta no pasará el tráfico de R1 a R3.

La ACL 1 no debe aplicarse en la interfaz S1 de R3 porque entonces el tráfico de R1 no podrá llegar a la red LAN de R4.

La ACL 1 se aplicará en la interfaz Fa0 de R3:

R3(config)#interface fa0

R3(config-if)#ip access-group 1 out

Ingresamos a la interfaz y luego aplicamos la ACL 1 para tráfico saliente (“in” significa tráfico entrante y “out” significa tráfico saliente).

Rodolfo Hernández
CCNA/CCSI Instructor
LISTAS DE CONTROL DE ACCESO ESTÁNDAR

Rodolfo Hernández
CCNA/CCSI Instructor
LISTAS DE CONTROL DE ACCESO ESTÁNDAR

Ejercicio 2

CREAR y APLICAR una lista de control de acceso que impida que los hosts de la red LAN de R2 se puedan comunicar con los hosts de la red LAN de
R4, permitiendo el tráfico proveniente de todas las demás redes.

Solución

De acuerdo al enunciado del ejercicio, la red LAN de R2 es el origen de los paquetes que serán bloqueados mediante una ACL y los hosts de la red
LAN de R4 es el destino de esos paquetes.

El router R4 es el más cercano al destino; por lo tanto, aquí se creará y aplicará la ACL 2, cuya primer sentencia o declaración es:

R4(config)#access-list 2 deny [Link] [Link]

[Link] [Link] es el rango de direcciones IP origen de los paquetes IP que se bloquearán.

En este caso, [Link] /27 es el rango de direcciones de la red LAN de R2 (origen de los paquetes). [Link] es la WCM (wild card mask) para
esta sentencia, y se obtiene de la siguiente manera.

La máscara de subred /27 ([Link]) se expresa en binario: 11111111.11111111.11111111.11100000

Rodolfo Hernández
CCNA/CCSI Instructor
LISTAS DE CONTROL DE ACCESO ESTÁNDAR

Después, los bits de la máscara se invierten, y así se obtiene la WCM:

00000000.00000000.00000000.00011111 = [Link]

En esta ACL se debe crear una segunda sentencia que permita a todos los demás paquetes:

R4(config)#access-list 2 permit any

Así, la lista de control de acceso queda de la siguiente manera:

R4(config)#access-list 2 deny [Link] [Link]

R4(config)#access-list 2 permit any

Toda ACL en un router Cisco incluirá por defecto, al final de ésta, una declaración deny any (bloquear todos los paquetes).

Esto lo hace Cisco por motivos de seguridad. Por lo tanto, si se nos llegara a olvidar la declaración permit any al final de la ACL, entonces tendrá
efecto la declaración deny any, y entonces no se cumplirá el otro requerimiento de este ejercicio: “permitiendo el tráfico proveniente de todas
las demás redes.”

Es importante señalar que, por sentido común:

Toda ACL deberá tener al menos una declaración permit.

Finalmente, se aplica la ACL a una de las interfaces del router R4:

Como se observa en la figura, R4 posee dos interfaces activas (S0 y Gi0). El tráfico proviene de la red LAN de R2. En este caso, la ACL 2 puede
aplicarse tanto en la interfaz S0 como en la interface Fa0 de R4.

Rodolfo Hernández
CCNA/CCSI Instructor
LISTAS DE CONTROL DE ACCESO ESTÁNDAR

Aplicando la ACL 2 en la interfaz S0 de R4:

R4(config)#interface S0

R4(config-if)#ip access-group 2 in

Ingresamos a la interfaz y luego aplicamos la ACL 2 para tráfico entrante.

Rodolfo Hernández
CCNA/CCSI Instructor
LISTAS DE CONTROL DE ACCESO ESTÁNDAR

Ejercicio 3

CREAR y APLICAR una lista de control de acceso que impida que el host PCA se pueda comunicar con los hosts de la red LAN de R1.

Solución

De acuerdo al enunciado del ejercicio, del host PCA provienen los paquetes que serán bloqueados mediante una ACL y los hosts de la red LAN de R1
es el destino de esos paquetes.

El router R1 es el más cercano al destino; por lo tanto, aquí se creará y aplicará la ACL 3, cuya primer sentencia o declaración es:

R1(config)#access-list 3 deny [Link] [Link]

[Link] [Link] es la dirección IP origen (host PCA) de los paquetes IP que se bloquearán.

[Link] es la WCM (wild card mask) para esta sentencia, ya que queremos bloquear una sola dirección IP.

En una WCM, los ceros checan el bit correspondiente y los unos ignoran el bit correspondiente.

Así, la WCM [Link] checa todos los bits de la dirección IP del host PCA (al ignorar bits, los unos en una WCM se usan para abarcar rangos de
direcciones IP (como en los ejercicios 1 y 2), pero en este ejercicio se trata de una y sólo una dirección IP).

Rodolfo Hernández
CCNA/CCSI Instructor
LISTAS DE CONTROL DE ACCESO ESTÁNDAR

En esta ACL se debe crear una segunda sentencia que permita a todos los demás paquetes:

R1(config)#access-list 3 permit any

Así, la lista de control de acceso queda de la siguiente manera:

R1(config)#access-list 3 deny [Link] [Link]

R1(config)#access-list 3 permit any

Como se observa en la figura, R1 posee dos interfaces activas (S0 y Gi0).

El tráfico proviene del host PCA. En este caso, la ACL 3 puede aplicarse tanto en la interfaz S0 como en la interface Gi0 de R1.

Aplicando la ACL 3 en la interfaz Gi0 de R1:

R1(config)#interface Gi0

R1(config-if)#ip access-group 3 out

Ingresamos a la interfaz y luego aplicamos la ACL 3 para tráfico saliente.

Rodolfo Hernández
CCNA/CCSI Instructor
LISTAS DE CONTROL DE ACCESO ESTÁNDAR

RESUELVA EL SIGUIENTE PROBLEMA:

CREAR y APLICAR las ACLs estándar que satisfagan los siguientes requerimientos:

1) Los hosts de la red LAN de ROMA no podrán comunicarse con los hosts de la red LAN de BERLIN.
2) Los hosts de las redes LAN de TOKIO no podrán comunicarse con los hosts de la red LAN de ROMA.
3) Los hosts de la red LAN de BERLIN, excepto PC1, no podrán comunicarse con los hosts de la red LAN de TOKIO.
4) El host PC2 no podrá comunicarse con Internet.
5) Se permite cualquier otra comunicación.

Rodolfo Hernández
CCNA/CCSI Instructor