Práctica de laboratorio 6.3.6 ACL estándar - Descripción general

Duración estimada: 60 min.

Objetivos:

Esta práctica de laboratorio sirve para practicar las siguientes tareas:

  • Repasar las características y capacidades de las Listas de control de acceso IP estándar (ACL) 
  • Desarrollar una ACL estándar para permitir o denegar tráfico específico 
  • Aplicar una ACL IP estándar a una interfaz de router 
  • Probar la ACL para determinar si se lograron los resultados deseados 
  • Eliminar una ACL de una interfaz de router 
  • Eliminar una ACL de un router

Información básica:

En esta práctica de laboratorio se trabaja con Listas de control de acceso estándar (ACL) para regular el tráfico que se permite pasar a través de un router según el origen, ya sea un host específico (normalmente una estación de trabajo o servidor) o una red completa (cualquier host o servidor en esa red). Una ACL estándar es una herramienta simple y efectiva para controlar qué paquetes pueden pasar a través de un router desde una red a otra. Las ACL estándar son una forma básica de control con capacidades limitadas. Pueden filtrar (permitir o denegar) paquetes que salen de o entran a una interfaz de router utilizando sólo la dirección IP de la red o host origen. Por lo tanto, se deben aplicar cerca de la dirección destino, ya que dicha dirección no se puede especificar.

Otros protocolos enrutados (o enrutables) como IPX o AppleTalk también pueden tener ACL o filtros pero esta práctica de laboratorio se concentra en las ACL IP. Cuando se aplica una ACL IP estándar, ésta filtra (permite o deniega) todo el conjunto de protocolo IP (IP, TCP, SMTP, HTTP, Telnet etc.). Cuando se crean las ACL IP estándar se numeran del 1 al 99. En la práctica de laboratorio siguiente se trabaja con las ACL extendidas, que se numeran del 100 al 199. Consulte la lección de texto o en línea para conocer la numeración de ACL para IPX y AppleTalk.

Estos son los pasos necesarios para usar las ACL de forma efectiva:

  • Determinar los requisitos de la ACL (según las necesidades de seguridad, etc.) 
  • Desarrollar la ACL  
  • Verificar las sentencias en la ACL 
  • Aplicar la ACL a una interfaz de router 
  • Verificar que la ACL se aplique correctamente a la interfaz que se desea 
  • Verificar que la ACL funcione correctamente

 

Herramientas / Preparación:

Antes de comenzar esta práctica de laboratorio, el profesor o el ayudante de laboratorio debe haber configurado el laboratorio estándar de 5 routers. Se trabaja individualmente o en equipos. Antes de comenzar con esta práctica de laboratorio, puede resultarle útil repasar el capítulo 6 (ACL) de la Guía del segundo año de la Academia de Networking de Cisco. También conviene repasar el capítulo 6 en línea del Semestre 3. Se requiere el siguiente equipo:

  • Configuración de laboratorio estándar de 5 routers de Cisco, con hubs y switches 
  • Estación de trabajo conectada al puerto de consola del router mediante un cable rollover

Recursos de sitio Web:

LAN Switching basics 
General information on all Cisco products - (Ir al capítulo 22 - Switches) 
1900 / 2820 series Ethernet switches 
2900 series Fast Ethernet switches 
Terms and acronyms 
IP routing protocol IOS command summary 
Access Control Lists - Overview and Guidelines

Notas:

En esta práctica de laboratorio se desarrolla, aplica y prueba una ACL IP estándar. El Ejercicio A es obligatorio, mientras que el B es opcional pero recomendado. En el Ejercicio A se deben bloquear paquetes desde un host o red específico/a, impidiendo que accedan a cualquier host u otra red. En el Ejercicio B se bloquea el tráfico desde todos los hosts en una red específica, impidiendo que accedan a cualquier host en una red completa. Se suministran las respuestas para ambos ejercicios. Consulte el diagrama de laboratorio estándar en la sección de descripción general.

Ejercicio A (obligatorio).
La ACL 1 impide que el tráfico IP desde un host específico (estación de trabajo con dirección IP 192.5.5.2) conectada al hub Ethernet de la interfaz E0 del Router LAB-A, alcance una red completa (210.93.105.0, la red entre los Routers LAB-D y LAB-E)

Ejercicio B (opcional)
La ACL 2 impide que el tráfico IP desde todos los hosts en una red específica 219.17.100.0 (una red Ethernet conectada al router LAB-B) alcance una red completa 223.8.151.0 (una red Ethernet conectada al router LAB-C)

Paso 1 - Determinar los requisitos de la ACL.

¿Cuál es tráfico (paquetes) que se bloquea (deniega) o se permite, y de qué hosts o redes proviene? Como se usa una ACL IP estándar, sólo se puede filtrar según la dirección origen. Con el ejercicio A, se desea bloquear el tráfico desde la dirección de host 192.5.5.2 desde una Ethernet en el Router LAB-A. Con el Ejercicio B, se desea bloquear el tráfico desde la dirección de red 219.17.100.0 en el Router LAB-B.

Paso 2 - Desarrollar la ACL.

Definir las sentencias ACL en modo Router(config)#. Las sentencias ACL son aditivas. Cada sentencia se agrega a la ACL. Si hay más de una sentencia en la ACL (lo que es típico) y se desea cambiar una sentencia anterior, se debe borrar la ACL y comenzar de nuevo. En estos ejemplos se bloquean paquetes desde sólo una dirección de host IP o una red. El formato o sintaxis de la sentencia de ACL IP estándar aparece a continuación:

access-list list# {permit / deny} source IP address [wildcard mask] [log]

(NOTA: Se puede usar cualquier número entre 1 y 99 para una ACL IP estándar Para eliminar la ACL, repita la parte access-list # del comando, con la palabra NO adelante).

Complete el comando ACL con la dirección origen y máscara wildcard correctas para lograr los requisitos del Ejercicio A o B (o ambos). La primera sentencia se usaría para ACL 1. La segunda sentencia se usaría para ACL 2.

Ejercicio A. access-list 1 deny ______________ _______________

Ejercicio B. access-list 2 deny ______________ _______________

1. ¿Cuál es el propósito de un cero (0) en una máscara wildcard?

2. ¿Cuántos bits representa cada cero decimal en la máscara wildcard anterior?

3. ¿Cuál es el propósito de un 255 en una máscara wildcard?

4. ¿Cuántos bits representa el 255?

5. Como las ACL siempre terminan con un "deny any" implícito, si se utilizan una de las sentencias anteriores esto haría que esta lista denegara una sola dirección origen, pero también denegaría implícitamente cualquier otra dirección origen. Nuestro objetivo es sólo denegar el acceso desde un solo host, de manera que es necesario agregar una segunda sentencia para permitir todo el tráfico restante. Introduzca la segunda sentencia de ACL que permite todo el tráfico restante (la misma sentencia se debe utilizar para el Ejercicio A o B:

6. ¿Por qué ambas sentencias usan el mismo número de ACL (1) ?

7. ¿Qué sucedería si la primera sentencia fuera "Access-list 1" y la segunda "Access-list 2"?

Paso 3 - Verificar las sentencias en la ACL.

Utilice el siguiente comando para controlar sus sentencias y verificar que todo se haya escrito correctamente. Si desea corregir un error o hacer un cambio en una sentencia existente se debe eliminar la ACL y comenzar de nuevo. Para eliminar la ACL, repita la parte access-list # del comando, con la palabra NO adelante.

Router#show access-list 1

1. ¿Cuántas sentencias hay en la ACL?

Paso 4 - Aplicar la ACL a una interfaz de router.

Como las ACL estándar sólo pueden especificar o verificar direcciones origen, se debe aplicar el filtro lo más cerca posible del destino. ¿A qué router y a qué interfaz se puede aplicar la ACL para cada uno de los ejercicios de ejemplo, A o B? Consulte el diagrama de laboratorio estándar y llene la tabla siguiente con la dirección (o direcciones) IP que se deben bloquear, la red a la cual no deben acceder, el router donde se debe aplicar la ACL, la interfaz a la que se aplicará y si se bloquea la entrada o la salida (IN o OUT)

Ejercicio Host IP o red que se debe denegar (bloquear) Red a la que no deben acceder los paquetes Router donde se debe aplicar la ACL Interfaz donde se debe aplicar la ACL (S0, S1, E0, etc) ¿Bloque entrante o saliente?

(IN o OUT)

A
(ACL 1)
         
B
(ACL 2)
         

Nota: Recuerde que debe colocar las ACL estándar cerca del destino

Introduzca los siguientes comandos para aplicar la ACL 1 a la interfaz S1 para bloquear los paquetes entrantes en la interfaz S1 para el router LAB-D. El verdadero nombre del router (por ej., LAB-D), debe aparecer en lugar de "Router" en el indicador. Para la ACL 2, la ACL se aplicaría a la interfaz E0 en LAB-C para paquetes salientes.

Router(config)#interface Serial 1
Router(config-if)#ip access-group 1 in

Paso 5 - Verificar si la ACL se aplica a la interfaz correcta:

Use el siguiente comando para verificar si la ACL se aplica a la interfaz correcta en el router correcto:

Router#show running-config

1. ¿Cuáles fueron los resultados que demuestran que la ACL se ha aplicado correctamente?

NOTA: Para eliminar una ACL de una interfaz, se debe configurar en primer lugar la interfaz como en el Paso 4 y luego repetir el segundo comando con la palabra NO adelante (no ip access-group 1).

Paso 6 - Verificar que la ACL funcione correctamente

Pruebe la ACL intentando enviar paquetes desde la red origen que se debe permitir o denegar. Emita varios comandos ping para probar estas ACL. Se indican varias pruebas para cada ejercicio.

Ejercicio Prueba nº Ping desde  ¿Debe tener éxito? ¿Lo tuvo?
A 1 Estación de trabajo (192.5.5.2) conectada al router LAB-A   Estación de trabajo
(210.93.105.2) conectada al router LAB-E  
   
  2 Estación de trabajo (192.5.5.2) conectada al router LAB-A   Router LAB-C Interfaz S0
(204.204.7.1)  
   
B 1 Estación de trabajo (219.17.100.X) conectada al Router LAB-B   Router LAB-E
Interfaz E0
(210.93.105.2) o estación de trabajo
(210.93.105.X)  
   
  2

Estación de trabajo (219.17.100.X) conectada al Router LAB-B

 

Router LAB-C
Interfaz E0 (223.8.151.1)

 

   
  3 Estación de trabajo (219.17.100.X) conectada al Router LAB-B  

Estación de trabajo
(223.8.151.2) conectada al router LAB-C

 

   

 Práctica de laboratorio 6.3.6 ACL estándar - Respuestas

En esta práctica de laboratorio se desarrolla, aplica y prueba una ACL IP estándar. El Ejercicio A es obligatorio, mientras que el B es opcional pero recomendado. En el Ejercicio A se deben bloquear paquetes desde un host o red específico/a, impidiendo que accedan a cualquier host u otra red. En el Ejercicio B se bloquea el tráfico desde todos los hosts en una red específica, impidiendo que accedan a cualquier host en una red completa. Se suministran las respuestas para ambos ejercicios. Consulte el diagrama de laboratorio estándar en la sección de descripción general.

Ejercicio A (obligatorio):

La ACL 1 impide que el tráfico IP desde un host específico (estación de trabajo con dirección IP 192.5.5.2) conectada al hub Ethernet conectada a su vez a la interfaz E0 del Router LAB-A, alcance una red completa (210.93.105.0, la red entre los Routers LAB-D y LAB-E)

Ejercicio B (opcional)

La ACL 2 impide que el tráfico IP desde todos los hosts en una red específica 219.17.100.0 (una red Ethernet conectada al router LAB-B) alcance una red completa 223.8.151.0 (una red Ethernet del router LAB-C)

Paso 1 - Determinar los requisitos de la ACL.

¿Cuál es tráfico (paquetes) que se bloquea (deniega) o se permite, y de qué hosts o redes proviene? Como se usa una ACL IP estándar, sólo se puede filtrar según la dirección origen. Con el ejercicio A, se desea bloquear el tráfico desde la dirección de host 192.5.5.2 desde una Ethernet en el Router LAB-A. Con el Ejercicio B, se desea bloquear el tráfico desde la dirección de red 219.17.100.0 en el Router LAB-B.

Paso 2 - Desarrollar la ACL.

Definir las sentencias ACL en modo Router(config)#. Las sentencias ACL son aditivas. Cada sentencia se agrega a la ACL. Si hay más de una sentencia en la ACL (lo que es típico) y se desea cambiar una sentencia existente, se debe borrar la ACL y comenzar de nuevo. En estos ejemplos se bloquean paquetes desde sólo una dirección de host IP o una red. El formato o sintaxis de la sentencia de ACL IP estándar es:

access-list list# {permit / deny} source IP address [wildcard mask] [log]

(NOTA: Se puede usar cualquier número entre 1 y 99 para una ACL IP estándar Para eliminar la ACL, repita la parte access-list # del comando, con la palabra NO adelante).

Complete el comando ACL con la dirección origen y máscara wildcard correctas para lograr los requisitos del Ejercicio A o B (o ambos). La primera sentencia se usaría para ACL 1. La segunda sentencia se usaría para ACL 2

Ejercicio A. access-list 1 deny 192.5.5.2      0.0.0.0

Ejercicio B. access-list 2 deny 219.17.100.0      0.0.0.255

1. ¿Cuál es el propósito de un cero (0) en una máscara wildcard? Los bits de dirección origen deben coincidir
2. ¿Cuántos bits representa cada cero decimal en la máscara wildcard anterior? 8
3. ¿Cuál es el propósito de un 255 en una máscara wildcard? Los bits de dirección origen pueden ser cualquier cosa
4. ¿Cuántos bits representa el 255? 8
5. Como las ACL siempre terminan con un "deny any" implícito, si se utilizan una de las sentencias anteriores esto haría que esta lista denegara una sola dirección origen, pero también denegaría implícitamente cualquier otra dirección origen. Nuestro objetivo es sólo denegar el acceso desde un solo host, de manera que es necesario agregar una segunda sentencia para permitir todo el tráfico restante. Introduzca la segunda sentencia de ACL que permite todo el tráfico restante (la misma sentencia se debe utilizar para el Ejercicio A o B):

access-list 1 permit any

6. ¿Por qué ambas sentencias usan el mismo número ACL (1) ?

Para que formen parte de la misma ACL

7. ¿Qué sucedería si la primera sentencia fuera "Access-list 1" y la segunda "Access-list 2"? Cada sentencia sería parte de una ACL diferente y ACL 1 seguiría bloqueando todo el tráfico debido al "deny any" implícito. Sólo una de las ACL se podría aplicar a una sola interfaz.

Paso 3 - Verificar las sentencias en la ACL.

Utilice el siguiente comando para comprobar sus sentencias y verificar que todo se haya escrito correctamente. Si desea corregir un error o hacer un cambio en una sentencia existente se debe eliminar la ACL y comenzar de nuevo. Para eliminar la ACL, repita la parte access-list # del comando, con la palabra NO adelante.

Router#show access-list 1

1. ¿Cuántas sentencias hay en la ACL? Dos

Paso 4 - Aplicar la ACL a una interfaz de router.

Como las ACL estándar sólo pueden especificar o verificar direcciones origen, se debe aplicar el filtro lo más cerca posible del destino. ¿A qué router y a qué interfaz se puede aplicar la ACL para cada uno de los ejercicios de muestra, A o B? Consulte el diagrama de laboratorio estándar y llene la tabla siguiente con la dirección (o direcciones) IP que se deben bloquear, la red a la cual no deben acceder, el router donde se debe aplicar la ACL y la interfaz a la que se aplicará.

Ejercicio Host IP o red que se debe denegar (bloquear) Red a la que no deben acceder los paquetes Router donde se debe aplicar la ACL Interfaz donde se debe aplicar la ACL
(S0, S1, E0 etc.)
¿Bloque entrante o saliente?
(IN o OUT)
A
(ACL 1)
192.5.5.2
(host)
210.93.105.0 LAB-D S1 IN
B
(ACL 2)
219.17.100.0
(red)
223.8.151.0 LAB-C E0 OUT

Nota: Recuerde que debe colocar las ACL estándar cerca del destino

Introduzca los siguientes comandos para aplicar la ACL 1 a la interfaz S1 para bloquear los paquetes entrantes en la interfaz S1 para el router LAB-D. El verdadero nombre del router (por ej., LAB-D), debe aparecer en lugar de "Router" en el indicador. Para la ACL 2, la lista de acceso se debe aplicar a la interfaz E0 en LAB-C para paquetes salientes.
Router(config)#interface Serial 1
Router(config-if)#ip access-group 1 in

(NOTA: La ACL se puede aplicar a paquetes ENTRANTES o SALIENTES. Si no se especifica la palabra IN, entonces la ACL se aplica sólo a los paquetes SALIENTES. Esta es la opción por defecto).

Paso 5 - Verificar si la ACL se aplica a la interfaz correcta:

Use el siguiente comando para verificar si la ACL se aplica a la interfaz correcta en el router correcto:
Router#show running-config

2. ¿Cuáles fueron los resultados que demuestran que la ACL se ha aplicado correctamente?
Aparece la ACL 1 IP estándar y aparecen las sentencias que están en ella.

NOTA: Para eliminar una ACL de una interfaz, se debe configurar en primer lugar la interfaz como en el Paso 4 y luego repetir el segundo comando con la palabra NO adelante (no ip access-group 1 out). Si la ACL se aplica a los paquetes entrantes entonces el comando es: no ip access-group 1 in.

Paso 6 - Verificar que la ACL funcione correctamente

Pruebe la ACL intentando enviar paquetes desde la red origen que se debe permitir o denegar. Emita varios comandos ping para probar estas ACL. Se indican varias pruebas para cada ejercicio.

Ejercicio Prueba nº Ping desde A ¿Debe tener éxito? ¿Lo tuvo?
A 1 Estación de trabajo (192.5.5.2) conectada al router LAB-A Estación de trabajo
(210.93.105.2) conectada al
router LAB-E
NO NO
  2 Estación de trabajo (192.5.5.2) conectada al router LAB-A Router LAB-C
Interfaz S0(204.204.7.1)
B 1 Estación de trabajo (192.5.5.2) conectada al router LAB-A Router LAB-E
Interfaz E0
(210.93.105.2) o
estación de trabajo
(210.93.105.X)
  2 Estación de trabajo (192.5.5.2) conectada al router LAB-A Router LAB-C
Interfaz E0 (223.8.151.1)
  3 Estación de trabajo (192.5.5.2) conectada al router LAB-A Estación de trabajo
(223.8.151.2) conectada al router LAB-C
NO NO

* Nota: Con la prueba nº 2, el paquete no ha salido aún de la interfaz E0, de manera que no se bloquea hasta que el destino de ping sea para una estación de trabajo en la red 223.8.151.2 (prueba nº 3).