LABORATORIO DE DISEÑO DE REDES CONMUTADAS
PRÁCTICA # 12
“ACL Listas de control de acceso”
OBJETIVOS:
Implementar una red enrutada mediante el protocolo OSPF
Controlar el acceso a una red mediante el uso de listas de control de acceso con
la finalidad que se minimice la probabilidad de ataques
Realizar la resolución de problemas relacionados con ACL nombradas estándar
y nombradas ampliadas
ACTIVIDADES A DESARROLLAR:
ACTIVIDAD 1
Se requiere armar la siguiente red, considerando el provisionamiento de IP’s detallado
a continuación.
PC0 y PC2 son las PC’s de prueba
1
� LABORATORIO DE DISEÑO DE REDES CONMUTADAS
Gateway por
Dispositivo Interfaz Dirección IP Máscara de subred
defecto
R1 G0/1 192.168.3.1 255.255.255.0 No aplicable
G0/0 192.168.1.1 255.255.255.0 No aplicable
G0/1 192.168.3.2 255.255.255.0 No aplicable
R2 G0/0 192.168.2.1 255.255.255.0 No aplicable
PC0 NIC 192.168.1.100 255.255.255.0 192.168.1.1
PC1 NIC 192.168.2.100 255.255.255.0 192.168.2.1
PC2 NIC 192.168.2.101 255.255.255.0 192.168.2.1
INSTRUCCIONES Y PRUEBAS A REALIZAR:
1. Cablear la red acorde a la topología mostrada.
2. Configuraciones básicas en los router R1 y R2
Router(config)#hostname RX
RX(config)#no ip domain-lookup
3. Configure las PC (PC0 y PC2)
Ip address, default Gateway , subnet mask
4. Configure las interfaces de los tres routers. Ver tabla 1.
5. Configure las rutas remotas de manera estática.
6. Realizar ping de PC2 a PC0. Guardar captura
7. Configurar las ACL del router R1
2
� LABORATORIO DE DISEÑO DE REDES CONMUTADAS
R1(config)#access-list 1 deny host 192.168.2.101
R1(config)#access-list 1 permit any
R1(config)#int g0/0
R1(config-if)#ip access-group 1 out
Responder la pregunta 1 y 2
8. Realizar ping de PC2 a PC0.Responder la preguntar 1 ,2
9. Configurar ACL
R1(config)#access-list 1 deny host 192.168.2.100
10. Realizar show access-list y guarde la captura
ACTIVIDAD 2
Se requiere armar la siguiente red, considerando el provisionamiento de IP’s detallado
a continuación.
3
� LABORATORIO DE DISEÑO DE REDES CONMUTADAS
Tabla 1
Gateway por
Dispositivo Interfaz Dirección IP Máscara de subred
defecto
R1 G0/1 172.16.1.254 255.255.255.0 No aplicable
S0/0/0 172.16.2.1 255.255.255.0 No aplicable
S0/0/0 172.16.2.2 255.255.255.0 No aplicable
R2 S0/0/1 172.16.3.1 255.255.255.0 No aplicable
Lo 0 172.24.100.1 255.255.0.0 No aplicable
R3 S0/0/1 172.16.3.2 255.255.255.0 No aplicable
G0/1 172.16.4.254 255.255.255.0 No aplicable
PC1 NIC 172.16.1.1 255.255.255.0 172.16.1.254
PC3 NIC 172.16.4.1 255.255.255.0 172.16.4.25
4
INSTRUCCIONES Y PRUEBAS A REALIZAR:
4
� LABORATORIO DE DISEÑO DE REDES CONMUTADAS
1. Cablear la red acorde a la topología mostrada.
2. Configuraciones básicas en los router R1,R2,R3
Router(config)#hostname RX
RX(config)#no ip domain-lookup
RX(config)#line con 0
RX(config)#password cisco
RX(config)#loggin synchronous
RX(config)#line vty 0 4
RX(config)#password cisco
RX(config)#login
3. Configure las pc
Ip address, default Gateway , subnet mask
4. Configure las interfaces de los tres routers. Ver tabla 1.
5. Realizar ping entre las PCS. Responder pregunta 3
6. Configurar enrutamiento dinámico OSPF con process ID=1 y área 0 para los tres
routers
router ospf 1 (Completar)
…..xxxxxxxxx….xxxxxxxx..xxxx
……xxxxxxxxx….xxxxxxxx..xxxx
7. Analizar la tabla de enrutamiento de los tres router (show ip route).
(Realizar captura. )
8. Verifique la conectividad desde R2 a los hosts (PC1 y PC3)
(Realizar captura)
9. Establecer sesión telnet
R1(config)# ip domain-name RedesTeleco.com
R1(config)#crypto key generate rsa general-keys modulus 1024
R1(config)# username admin privilege 15 secret adminpass
R1(config)# line vty 0 4
R1(config-line)# transport input telnet
R1(config-line)# login local
5
� LABORATORIO DE DISEÑO DE REDES CONMUTADAS
R1(config-line)# end
10. Configurar las ACL estándar
Configure las ACL nombradas y estándar en las líneas VTY de R1 y R3 para
permitir que los hosts conectados directamente a sus subredes GigabitEthernet
tengan acceso Telnet. Deniegue el acceso a cualquier otro intento de conexión.
R1
R1(config)#ip access-list standard vty-local
R1(config-std-nacl)#permit 172.16.1.0 0.0.0.255
R1(config-std-nacl)#deny any
R1(config)#line vty 0 4
R1(config-line)#access-class vty-local in
R3
R3(config)#ip access-list standard vty-local
R3(config-std-nacl)#permit 172.16.4.0 0.0.0.255
R3(config-std-nacl)#deny any
R3(config)#line vty 0 4
R3(config-line)#access-class vty-local in
11. Configurar las ACL ampliadas
Mediante ACL ampliadas en R2, complete los siguientes requisitos:
Las LAN conectadas a R1 y R3 se utilizan para prácticas de laboratorio
informáticas para estudiantes. El administrador de red observó que los
estudiantes de estas prácticas de laboratorio juegan a través de la WAN
con estudiantes remotos. Asegúrese de que la ACL impida que la LAN
conectada a R1 alcance a la LAN de R3 y que la LAN de R3 no pueda
alcanzar la LAN de R1. Debe ser específico en las sentencias, de modo
que cualquier LAN nueva que se haya agregado a R1 o R3 no se verá
afectada.
Permita el ingreso del tráfico OSPF.
Permita el ingreso del tráfico ICMP a las interfaces locales de R2.
Se debe permitir el ingreso del tráfico de red destinado al puerto TCP
80. Debe negarse el acceso de todo tráfico restante y éste se debe
registrar.
6
� LABORATORIO DE DISEÑO DE REDES CONMUTADAS
Debe negarse el acceso a todo el tráfico que no se haya especificado
anteriormente.
R2
R2(config)#ip access-list extended BLOCK_R1
R2(config-ext-nacl)#deny ip 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255
R2(config-ext-nacl)#permit ospf any
R2(config-ext-nacl)#permit icmp any host 172.16.2.2
R2(config-ext-nacl)#permit icmp any host 172.16.3.2
R2(config-ext-nacl)#permit icmp any host 172.16.100.1
R2(config-ext-nacl)#permit tcp any eq 80
R2(config-ext-nacl)#ip access-list extended BLOCK_R3
R2(config-ext-nacl)#deny ip 172.16.4.0 0.0.0.255 172.16.1.0 0.0.0.255
R2(config-ext-nacl)#permit ospf any any
R2(config-ext-nacl)#permit icmp any host 172.16.2.2
R2(config-ext-nacl)#permit icmp any host 172.16.3.2
R2(config-ext-nacl)#permit icmp any host 172.16.100.1
R2(config-ext-nacl)#permit tcp any eq 80
R2(config-ext-nacl)#exit
R2(config)#interface s0/0/0
R2(config-if)#ip access-group BLOCK_R1 in
R2(config)#interface s0/0/1
R2(config-if)#ip access-group BLOCK_R3 in
12. Verificar las ACL creadas.
Pruebe cada protocolo que se intenta bloquear y asegúrese de permitir el
acceso del tráfico admitido.
Esto requiere probar los pings.
Haga ping desde PC1 a PC3.
Haga ping desde PC3 a PC1.
Ambos pings deberían fallar.
Probar el ping a R2.
Haga ping a R2 desde R1 y PC1.
Haga ping a R2 desde R3 y PC3.
Ambos pings deberían realizarse correctamente.
CAPTURAS
7
� LABORATORIO DE DISEÑO DE REDES CONMUTADAS
Realizar otras pruebas de ping para confirmar que se haya denegado el
resto del tráfico.
PREGUNTAS
1. Realizar ping PC2 a PC0. Adjuntar captura.Explique por qué el ping no es
exitoso.
No porque esta denegado el acceso a la PC2
2. ¿Qué tipo de Access-list se configuró en R1?
Es lista de acceso estándar porque solo se configura ip destino
sh
3. Analizar por qué el ping no fue exitoso. ¿Que faltaría configurar en los router
para establecer ping exitoso?
4. ¿En qué se diferencian las ACL estándar y las ACL extendidas?
5. ¿Qué es la denominación de las ACL?
6. ¿Qué función realiza la opción any en las ACL?
