CS 5-2-1 ACL estandar

Práctica de laboratorio 5.2.1 ACL estándar

Objetivo Planificar, configurar y aplicar una ACL estándar para perm itir o denegar tráfico específico y probar la ACL para determ inar si se lograron los resultados deseados.

Situación La sede de la empresa en Gadsden (GAD) ofrece servicios a las sucursales, como la oficina de Birmingham (BHM). Estas oficinas tienen algunos problemas menores de seguridad y desempeño. Por lo tanto, es necesario im plementar una ACL estándar como una herramienta simple y efectiva para controlar el tráfico.

Infraestructura El Host 3 representa la estación de quiosco cuyo acceso debe limitarse a la r ed local. El Host 4 representa a otro host de la oficina de BHM y la interface Loopback 0 del router GAD representa la Internet.

Paso 1 Interconexión básica del router a. Interconecte los routers de acuerdo al diagrama.

Paso 2 Configuración básica 1 - 4 CCNA 2: Routers y principios básicos de enrutamiento v 3.1  –Práctica de l aboratorio 11.2.1b Copyright  2003, Cisco Systems, Inc.

a.

Es posible que el router tenga configuraciones de un uso anterior. Por este motivo, borre la configuración inicial y vuelva a cargar el router para eliminar cualquier configuración residual. Refiérase a las tablas en la primera página y configure el router y los host. Verifique la conectividad haciendo ping a todos los sistemas y routers desde cada sistema.

b. Para simular la Internet, agregue la siguiente configuración al router GAD. GAD(config)#interface loopback0 GAD(config-if)#address 172.16.1.1 255.255.255.0 GAD(config-if)#exit GAD(config)#router rip GAD(config-router)#network 172.16.0.0 GAD(config-if)#^z

Paso 3 Establecer los requisitos de la lista de acceso a.

Es necesario limitar el acceso de la estación de quiosco (Host 3) a la red local. Se determina que es necesario crear una lista de acceso estándar para evitar que el tráfico desde este host llegue a cualquiera de las demás redes. La lista de control de acceso debe bloquear el tráfico desde este host sin afectar otro tráfico desde esta red. Una ACL IP estándar es adecuada, dado que filtra a base de la dirección origen a cualquier destino. ¿Cuál es la dirección origen del quiosco? 192.168.3.2

Paso 4 Planificar los requisitos de la lista de acceso a. Como ocurre con cualquier proyecto, la parte más importante del proceso es la planificación. Primero, hay que definir la información necesaria para crear la ACL. Una lista de acceso consta de una serie de sentencias ACL. Cada sentencia aumenta a la ACL de forma secuencial. Dado que la lista se compone de más de una sentencia, el orden de las sentencias debe planificarse cuidadosamente. b.

Se ha determinado que para esta ACL se requerirán dos pasos lógicos. Cada uno de estos pasos se puede lograr con una sola sentencia. Como herramienta de planificación, se puede utilizar un editor de texto como el Bloc de notas, para organizar la lógica y luego escribir l a lista. En el editor de texto introduzca la lógica escribiendo: ! stop traffic from host 3 Access-list 15 deny host 192.168.3.2 ! permit all other traffic Access-list 15 permit host 192.168.3.3

c. A partir de esta lógica se puede elaborar la ACL. En las tablas siguientes, anote la información para cada sentencia. pare el tráfico frl ordenador pincipal 3 Nro de lista permitir o denegar Dirección origen

15

denegar

permita el resto del tráfico Nro de lista permitir o denegar

15

permitir

192.168.3.2

Dirección origen

192.168.3.3

Máscara wildcard

0.0.0.255

Máscara wildcard

0.0.0.255

2 - 4 CCNA 2: Routers y principios básicos de enrutamiento v 3.1  –Práctica de l aboratorio 11.2.1b Copyright  2003, Cisco Systems, Inc.

d. ¿Cuál sería el resultado de no incluir una sentencia para permitir todas las demás direcciones origen? Quedaria implícito la denegación de trafico para todas las demás direcciones de origen. e. ¿Cuál sería el resultado de invertir el orden de las dos sentencias en la lista? f.

ninguno ¿Por qué ambas sentencias usan el mismo número de ACL? En realidad, bastara con tan solo una línea de lista de acceso access-list 15 permit host 192.168.3.2

g. El paso final en el proceso de planificación es determinar la mejor ubicación para la lista de acceso y la dirección en la que se debe aplicar la lista. Examine el diagrama de la red y seleccione la interfaz y dirección adecuadas. Anote esto en la tabla que se encuentra a continuación: Router

Interfaz

R2

Dirección

S0/0/0

OUT

Paso 5 Escribir y aplicar la ACL a.

Mediante la lógica e información de la lista de acceso desarrollado anteriormente, complete los comandos en el editor de texto. La sintaxis de la lista deberá ser similar a lo siguiente: ! permit all other traffic access-list 15 permit host 192.168.3.2

b. Agregue las sentencias de configuración para aplicar la lista a este archivo de texto. Las sentencias de configuración tendrán la siguiente forma: BHM(config)#interface serial 0/0/0 BHM(config-if)#ip access-group 15 out c. Ahora es necesario aplicar la configuración de archivo de texto al router. Entre al modo de configuración del router correspondiente y copie y pegue la configuración. Observe la visualización de la CLI para garantizar que no haya errores.

Paso 6 Verificar la ACL Ahora que se ha com pletado la ACL, es necesario confirmarla y probarla. a. El primer paso es verificar la lista para ver si se ha configurado correctamente en el router. Para verificar la lógica de la ACL use el comando show access-lists. Anote el resultado. Standard IP access list 15 permit host 192.168.3.3 b. A continuación, verifique que se haya aplicado la lista de acceso a la interfaz correcta y en la dirección correcta. Para hacer esto examine la interfaz con el comando show ip interface. Verifique el resultado desde cada interfaz y anote las listas aplicadas a la interfaz. Interfaz

Serial0/0/0 is up, line protocol is up (connected)

La lista de acceso de salida es

Outgoing access list is 15

3 - 4 CCNA 2: Routers y principios básicos de enrutamiento v 3.1  –Práctica de l aboratorio 11.2.1b Copyright  2003, Cisco Systems, Inc.

La lista de acceso de entrada es

Inbound access list is not set

c. Por último, pruebe la funcionalidad de la ACL intentando enviar paquetes desde el host origen y verifique que se permita o deniegue de acuerdo a lo planificado. En este caso, la prueba se realiza con un ping. [*] verify that host 3 CAN ping host 4 [*] verify that host 3 CANNOT ping host 1 [*] verify that host 3 CANNOT ping host 2 [*] verify that host 3 CANNOT ping GAD Fa0/0 [*] verify that host 3 CANNOT ping GAD LO0 [*] verify that host 4 CAN ping host 1 [*] verify that host 4 CAN ping host 2 [*] verify that host 4 CAN ping GAD Fa0/0 [*] verify that host 4 CAN ping GAD LO0

Paso 7 Documente la ACL a. Como parte de toda la gestión de red, es necesario elaborar documentación. Agregue comentarios adicionales al archivo de texto creado para la configuración. Este archivo también debe contener resultados de los comandos show access-lists y show ip interface. BHM#show access-lists Standard IP access list 15 permit host 192.168.3.3 (4 match(es)) BHM#show ip interface s0/0/0 Serial0/0/0 is up, line protocol is up (connected) Internet address is 192.168.2.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 15 Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is disabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is disabled IP multicast distributed fast switching is disabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled 4 - 4 CCNA 2: Routers y principios básicos de enrutamiento v 3.1  –Práctica de l aboratorio 11.2.1b Copyright  2003, Cisco Systems, Inc.

WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled

b. El archivo debe guardarse junto con la demás documentación de red. La convención de nombres de archivos debe reflejar la función del archivo y la fecha de implementación.

BHM#show running-config Building configuration... Current configuration : 915 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname BHM ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! no ip domain-lookup ! interface FastEthernet0/0 ip address 192.168.3.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/0/0 ip address 192.168.2.2 255.255.255.0 ip access-group 15 out ! interface Serial0/0/1 no ip address shutdown ! interface Vlan1 no ip address shutdown ! router rip version 2 network 192.168.2.0 network 192.168.3.0 no auto-summary ! ip classless ! ! 5 - 4 CCNA 2: Routers y principios básicos de enrutamiento v 3.1  –Práctica de l aboratorio 11.2.1b Copyright  2003, Cisco Systems, Inc.

access-list 15 permit host 192.168.3.3 ! banner motd ^CAcceso solo a personal Autorizado^C ! line con 0 password class logging synchronous login line vty 0 4 password class login ! end c. Con eso, se ha completado el proyecto de la ACL. d. Al terminar, borre la configuración inicial de los routers, quite y guarde los cables y el adaptador. Termine la sesión y apague el router.

6 - 4 CCNA 2: Routers y principios básicos de enrutamiento v 3.1  –Práctica de l aboratorio 11.2.1b Copyright  2003, Cisco Systems, Inc.