|
Práctica de laboratorio 6.8.1.1 ACL extendidas - Descripción general
Duración estimada: 60 min.
Objetivos:
Esta práctica de laboratorio sirve para practicar las siguientes tareas:
- Repasar las características y capacidades de las listas de control de acceso IP extendidas (ACL)
- Desarrollar una ACL IP extendida para permitir o denegar tráfico específico
- Aplicar una ACL IP extendida a una interfaz de router
- Probar la ACL para determinar si se lograron los resultados deseados
Información básica:
Las ACL extendidas son una forma más avanzada de control con mayor flexibilidad en la forma en que se controlan los paquetes. Las ACL extendidas pueden filtrar (permitir o denegar) paquetes según su dirección origen o destino y el tipo de tráfico (por ej., FTP, Telnet, http, etc.). Como las ACL extendidas pueden bloquear el tráfico según la dirección destino, se pueden ubicar cerca del origen, lo que ayuda a reducir el tráfico de red.
En esta práctica de laboratorio se trabaja con las ACL extendidas para regular el tráfico que se permite que pase a través del router, según el origen y el tipo de tráfico. Las ACL son una herramienta importante para controlar qué paquetes, y qué tipo de paquetes pueden pasar a través de un router desde una red a otra.
Existen diferentes tipos de ACL para diferentes protocolos enrutados como IP, Novell IPX y AppleTalk. En esta práctica de laboratorio, se trabaja sólo con ACL IP extendidas, creadas con un número del 100 al 199.
Estos son los pasos necesarios para usar las ACL de forma efectiva:
- Determinar los requisitos de la ACL (según las necesidades de seguridad de la empresa, etc.)
- Desarrollar la ACL.
- Verificar las sentencias en la ACL
- Aplicar la ACL a una interfaz de router.
- Verificar que la ACL se aplique correctamente a la interfaz que se desea.
- Verificar que la ACL funcione correctamente
Herramientas / Preparación:
Antes de comenzar esta práctica de laboratorio, el profesor o el ayudante de laboratorio debe haber configurado el laboratorio estándar de 5 routers. Se trabaja individualmente o en equipos. Antes de comenzar con esta práctica de laboratorio, puede resultarle útil repasar el capítulo 6 (ACL) de la Guía del segundo año de la Academia de Networking de Cisco. También conviene repasar el capítulo 6 en línea del Semestre 3. Se requiere el siguiente equipo:
- Configuración de laboratorio estándar de 5 routers de Cisco, con hubs y switches
- Estación de trabajo conectada al puerto de consola del router mediante un cable rollover
Recursos de sitio Web:
LAN Switching basics
General information on all Cisco products - (Ir al capítulo 22 - Switches)
1900 / 2820 series Ethernet switches
2900 series Fast Ethernet switches
Terms and acronyms
IP routing protocol IOS command summary
Access Control Lists - Overview and Guidelines
Notas:





En esta práctica de laboratorio se desarrollará, aplicará y probará una ACL IP extendida utilizando la siguiente configuración de laboratorio. Puede hacer el Ejercicio A o el Ejercicio B que se describen en el Paso 1 que aparece a continuación.
Paso 1 - Determinar los requisitos de ACL.
¿Cuál es tráfico (paquetes) que se bloquea (deniega) o se permite? Como usará una ACL IP extendida, se puede controlar no sólo la dirección origen, sino también la dirección destino. También se pueden seleccionar los protocolos específicos en el conjunto de protocolos IP que se desea permitir o evitar que accedan a la red destino (por ej., TCP. UDP, ICMP, HTTP, Telnet etc.).
Ejercicio A: Evitar que el tráfico Telnet desde un host específico 192.5.5.2 (una estación de trabajo conectada al router LAB-A) alcance una red completa 210.93.105.0 (la red ubicada entre los Routers LAB-D y LAB-E) Ejercicio B: Evitar que el tráfico de Telnet desde un host específico 210.93.105.2 (una estación de trabajo conectada al router LAB-E) alcance la red completa 192.5.5.0 (desde el router LAB-A).
Paso 2 - Desarrollar la ACL.
Definir las sentencias ACL en el modo Router(config)#. Las sentencias ACL son aditivas. Cada sentencia se agrega a la ACL. Si hay más de una sentencia en la ACL (lo que es típico) y se desea cambiar una sentencia anterior, se debe borrar la ACL y comenzar de nuevo. En estos ejemplos se bloquean paquetes sólo desde una dirección IP de host o una red según la red destino y el protocolo IP de nivel superior (por ej., telnet) que se utiliza. El formato o sintaxis de las sentencias de la ACL IP extendida aparece a continuación:
access-list list# {permit/deny} [protocol] source IP wildcard mask [port] dest. IP wildcard mask [port] [established] [log] [other options]
(Nota: Se puede usar cualquier número entre 100 y 199 para una ACL IP extendida)
Complete el comando ACL con las direcciones origen y destino correctas para lograr los requisitos del Ejercicio A o B (o ambos). Para las listas de acceso extendidas, también se debe especificar el protocolo (IP, TCP, UDP, ICMP). Como se está filtrando telnet, que usa TCP, recuerde incluir TCP en el comando.
Ejercicio A (ACL 101) access-list 101 deny ____ _________ __________ __________ ________ __________
Ejercicio B (ACL 102) access-list 102 deny ____ _________ __________ __________ ________ __________
1. ¿Por qué la máscara wildcard origen se determina como 0.0.0.0?

2. ¿Por qué la máscara wildcard destino se determina como 0.0.0.255?

3. ¿Qué se verifica con "eq telnet"?

4. ¿Qué significa si se omite eq telnet?

5. Como las ACL siempre terminan con un "deny any" implícito, si se utilizan una de las sentencias anteriores esto haría que esta lista denegara una sola dirección origen, pero también denegaría implícitamente cualquier otra dirección origen. Nuestro objetivo es sólo denegar el acceso a un solo host, de manera que es necesario agregar una segunda sentencia para permitir todo el tráfico restante. Introduzca la segunda sentencia de ACL que permite todo el tráfico restante (la misma sentencia se debe utilizar para el Ejercicio A o B):

Paso 3 - Verificar las sentencias en la ACL.
Utilice el siguiente comando para comprobar sus sentencias y verificar que todo se haya escrito correctamente. Si desea corregir un error o hacer un cambio en una sentencia existente se debe eliminar la ACL y comenzar de nuevo. Para eliminar la ACL, repita la parte access-list # del comando, con la palabra NO adelante.
Router#show access-list 101
1. ¿Cuántas sentencias hay en la ACL?

Paso 4 - Aplicar la ACL a una interfaz de router.
Como ahora se utilizan ACL extendidas y se pueden filtrar la dirección origen y destino, se puede aplicar el filtro lo más cerca posible del origen, lo que ahorra ancho de banda. También se debe recordar que se puede decidir aplicar la ACL a los paquetes entrantes o salientes. A menos que se especifique IN (entrante), la ACL se aplica sólo a los paquetes OUT (salientes) (IN y OUT siempre se consideran desde fuera del router). ¿A qué router y a qué interfaz se puede aplicar la ACL para cada uno de los ejercicios de ejemplo, A o B? Consulte el diagrama de laboratorio extendido y responda las siguientes preguntas.
Ejercicio A. 1. ¿En qué router, LAB-B o LAB-D, aplicaría el filtro que evitaría que los paquetes de telnet de LAB-A se transmitan a la LAN D/E (red 210.93.105.0)?

2. ¿En qué interfaz se puede aplicar esta lista?

3. Complete los comandos que aplicarían esta lista a esa interfaz:
Router(config)# ___________________________ Router(config-if)# __________________________
Ejercicio B. 1. ¿En qué router, lab-b o lab-d, aplicaría el filtro que evitaría que los paquetes del router LAB-E se transmitan a la LAN A (red 201.100.11.0)?

2. ¿En qué interfaz se puede aplicar esta lista?

3. Complete los comandos que aplicarían esta lista a esa interfaz:
Router(config)#____________________________ Router(config-if)#__________________________
Paso 5 - Verificar si la ACL se aplica a la interfaz correcta:
Use el siguiente comando para verificar si la ACL se aplica a la interfaz correcta en el router correcto:
Router#show running-config
1. ¿Cuáles fueron los resultados que demuestran que la ACL se ha aplicado correctamente?

NOTA: Para eliminar una ACL de una interfaz, se debe configurar en primer lugar la interfaz como en el Paso 4 y luego repetir el segundo comando con la palabra NO adelante (no ip access-group 101 in).
Paso 6 - Verificar que la ACL funcione correctamente
Pruebe la ACL intentando enviar paquetes desde la red origen que se debe permitir o denegar. Emita varios comandos ping para probar estas ACL. Se indican varias pruebas para cada ejercicio.
Ejercicio |
Prueba nº |
Telnet desde |
A |
¿Debe tener éxito? |
¿Lo tuvo? |
A |
1 |
Estación de trabajo (192.5.5.2) conectada al router Lab-A |
Estación de trabajo (210.93.105.2) conectada al router Lan-E |
|
|
|
2 |
Estación de trabajo (192.5.5.2) conectada al router Lab-A |
Estación de trabajo (223.8.151.2) conectada al router Lab-C |
|
|
Ejercicio |
Prueba nº |
Telnet desde |
A |
¿Debe tener éxito? |
¿Lo tuvo? |
B |
1 |
Estación de trabajo (210.93.105.2) conectada al router Lab-E |
Estación de trabajo (192.5.5.2) conectada al router Lab-A
|
|
|
|
2 |
Estación de trabajo (210.93.105.2) conectada al router Lab-E |
Estación de trabajo (219.17.100.2) conectada al router Lab-B |
|
|
Use el siguiente comando con uno de los routers en el que se aplicó la ACL para verificar que los paquetes se bloqueen:
Router#show access-list 101
1. ¿Cuál fue el resultado del comando? ¿Cómo puede comprobar si la ACL funciona?



Práctica de laboratorio 6.8.1.1 ACL extendidas - Respuestas
En esta práctica de laboratorio se desarrollará, aplicará y probará una ACL IP extendida utilizando la siguiente configuración de laboratorio. Puede hacer el Ejercicio A o el Ejercicio B que se describen en el Paso 1 que aparece a continuación.
Paso 1 - Determinar los requisitos de ACL.
¿Cuál es tráfico (paquetes) que se bloquea (deniega) o se permite? Como usará una ACL IP extendida, se puede controlar no sólo la dirección origen, sino también la dirección destino. También se pueden seleccionar los protocolos específicos en el conjunto de protocolos IP que se desea permitir o evitar que accedan a la red destino (por ej., TCP. UDP, ICMP, Telnet etc.).
Ejercicio A: Evitar que el tráfico de Telnet desde un host específico 192.5.5.2 (una estación de trabajo conectada al router LAB-A) alcance la red completa 210.93.105.0 (la red entre los Routers LAB-D y LAB-E)
Ejercicio B: Evitar que el tráfico de Telnet desde un host específico 210.93.105.2 (una estación de trabajo conectada al router LAB-E) alcance la red completa 192.5.5.0 (desde el Router LAB-A).
Paso 2 - Desarrollar la ACL.
Definir las sentencias ACL en el modo Router(config)#. Las sentencias ACL son aditivas. Cada sentencia se agrega a la ACL. Si hay más de una sentencia en la ACL (lo que es típico) y se desea cambiar una sentencia anterior, se debe borrar la ACL y comenzar de nuevo. En estos ejemplos se bloquean paquetes sólo desde una dirección IP de host o una red según la red destino y el protocolo IP de nivel superior (por ej., telnet) que se utiliza. El formato o sintaxis de las sentencias de la ACL IP extendida que se utiliza aparece a continuación:
access-list list# {permit/deny} [protocol] source IP wildcard mask [port] dest. IP wildcard mask [port] [established] [log] [other options] (Nota: Se puede usar cualquier número entre 100 y 199 para una ACL IP extendida)
Complete el comando ACL con las direcciones origen y destino correctas para lograr los requisitos del Ejercicio A o B (o ambos). Para las listas de acceso extendidas, también se debe especificar el protocolo (IP, TCP, UDP, ICMP). Como se está filtrando telnet, que usa TCP, recuerde incluir TCP en el comando.
Ejercicio A (ACL 101)
access-list 101 deny |
tcp |
192.5.5.2 |
0.0.0.0 |
210.93.105.0 |
0.0.0.255 |
eq telnet |
Ejercicio B (ACL 102)
access-list 102 deny |
tcp |
210.93.105.2 |
0.0.0.0 |
192.5.5.0 |
0.0.0.255 |
eq telnet |
1. ¿Por qué la máscara wildcard origen se determina como 0.0.0.0?
Los cuatro octetos (32 bits) en la dirección IP del host origen deben coincidir con la dirección IP en la ACL
2. ¿Por qué la máscara wildcard destino se determina como 0.0.0.255?
Los primeros tres octetos (24 bits) en la red destino deben coincidir con la dirección IP en la ACL pero el último octeto puede ser cualquier host de esa red.
3. ¿Qué se verifica con "eq telnet"?
Verifica el paquete entrante para comprobar si el protocolo de Capa 4 es telnet (puerto TCP 23)
4. ¿Qué significa si se omite eq telnet?
Todo el tráfico TCP restante se debe bloquear, incluyendo FTP y el correo electrónico, ya que ambos usan el protocolo de transporte TCP.
6. Como las ACL siempre terminan con un "deny any" implícito, si se utilizan una de las sentencias anteriores esto haría que esta lista denegara una sola dirección origen, pero también denegaría implícitamente cualquier otra dirección origen. Nuestro objetivo es sólo denegar el acceso a un solo host, de manera que es necesario agregar una segunda sentencia para permitir todo el tráfico restante. Introduzca la segunda sentencia de ACL que permite todo el tráfico restante (la misma sentencia se debe utilizar para el Ejercicio A (ACL 101) o B (ACL 102)):
access-list 101 permit ip any any
Paso 3 - Verificar las sentencias en la ACL
Utilice el siguiente comando para comprobar sus sentencias y verificar que todo se haya escrito correctamente. Si desea corregir un error o hacer un cambio en una sentencia existente se debe eliminar la ACL y comenzar de nuevo. Para eliminar la ACL, repita la parte access-list # del comando, con la palabra NO adelante.
Router#show access-list 101
1. ¿Cuántas sentencias hay en la ACL? 2
Paso 4 - Aplicar la ACL a una interfaz de router.
Como ahora se utilizan ACL extendidas y se pueden filtrar la dirección origen y destino, se puede aplicar el filtro lo más cerca posible del origen, lo que ahorra ancho de banda. También se debe recordar que se puede decidir aplicar la ACL a los paquetes entrantes o salientes. A menos que se especifique IN (entrante), la ACL se aplica sólo a los paquetes OUT (salientes) (IN y OUT siempre se consideran desde fuera del router). ¿A qué router y a qué interfaz se puede aplicar la ACL para cada uno de los ejercicios de ejemplo, A o B? Consulte el diagrama de laboratorio extendido y responda las siguientes preguntas.
Ejercicio A. 1. ¿En qué router, LAB-B o LAB-D, aplicaría el filtro que evitaría que los paquetes de telnet desde la estación de trabajo 192.5.5.2 conectada al router LAB-A se transmitieran a la LAN D/E (red 210.93.105.0)? LAB-A
2. ¿En qué interfaz se puede aplicar esta lista? Serial S0
3. Complete los comandos que aplicarían esta lista a esa interfaz:
Router(config)#interface Serial 0 Router(config-if)#ip access-group 101 out
Ejercicio B. 1. ¿En qué router, LAB-B o LAB-D, aplicaría el filtro que evitaría que los paquetes de telnet de LAB-E se transmitan a la LAN A (red 192.5.5.0)? LAB-D
2. ¿En qué interfaz se puede aplicar esta lista? Ethernet 0
3. Complete los comandos que aplicarían esta lista a esa interfaz:
Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 102 in
Paso 5 - Verificar si la ACL se aplica a la interfaz correcta:
Use el siguiente comando para verificar si la ACL se aplica a la interfaz correcta en el router correcto:
Router#show running-config
2. ¿Cuáles fueron los resultados que demuestran que la ACL se ha aplicado correctamente?
Se deben ver las ACL con la interfaz donde se aplicó (entrante o saliente (in o out))
NOTA: Para eliminar una ACL de una interfaz, se debe configurar en primer lugar la interfaz como en el Paso 4 y luego repetir el segundo comando con la palabra NO adelante (no ip access-group 101 in).
Paso 6 - Verificar que la ACL funcione correctamente
Pruebe la ACL intentando enviar paquetes desde la red origen que se debe permitir o denegar. Emita varios comandos ping para probar estas ACL. Se indican varias pruebas para cada ejercicio.
Ejercicio |
Prueba nº |
Telnet desde |
A |
¿Debe tener éxito? |
¿Lo tuvo? |
A |
1 |
Estación de trabajo (192.5.5.2) conectada al router Lab-A |
Estación de trabajo (210.93.105.2) conectada al router Lan-E |
NO |
NO |
|
2 |
Estación de trabajo (192.5.5.2) conectada al router Lab-A |
Estación de trabajo (223.8.151.2) conectada al router Lab-C |
SÍ |
SÍ |
Ejercicio |
Prueba nº |
Telnet desde |
A |
¿Debe tener éxito? |
¿Lo tuvo? |
B |
1 |
Estación de trabajo (210.93.105.2) conectada al router Lab-E |
Estación de trabajo (192.5.5.2) conectada al router Lab-A
|
NO |
NO |
|
2 |
Estación de trabajo (210.93.105.2) conectada al router Lab-E |
Estación de trabajo (219.17.100.2) conectada al router Lab-B |
SÍ |
SÍ |
Use el siguiente comando con uno de los routers en el que se aplicó la ACL para verificar que los paquetes se bloqueen:
Router#show access-list 101
2. ¿Cuál fue el resultado del comando? ¿Cómo puede comprobar si la ACL funciona?
Las listas de acceso y las sentencias se deben enumerar con contadores que indiquen cuántos paquetes fueron filtrados por cada sentencia ACL similar a lo siguiente:
Router#show access-list 101 Lista de acceso extendido IP 101 deny ip host 192.5.5.2 210.93.105.0 0.0.0.255 (5 coincidencias) permit ip any any (5 coincidencias)
|