Practica 10 - Configuración de ACLs Con Packet Tracer PDF
Practica 10 - Configuración de ACLs Con Packet Tracer PDF
Practica 10 - Configuración de ACLs Con Packet Tracer PDF
Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y
conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red
de acuerdo con alguna condición. Sin embargo, también tienen usos adicionales, como, por
ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar
o mantener una conexión) en RDSI.
El motivo por el que suele gestionarse en una clase o sistema separado y no en cada una de las
partes que pretenden asociarse a permisos es por seguir las reglas SOLID, en este caso la S
(Principio de responsabilidad única), lo cual te permite incluso escalar mejor. Se asemejaría a un
sistema de control de accesos físico típico de un edificio, donde esa parte está centralizada en
un lugar. Este lugar solo necesita saber dos cosas: Quien eres (por ejemplo un ID de una tarjeta,
tu id de usuario) y que quieres hacer. Él te responde si tienes permiso de hacerlo o no. Con este
enfoque este mismo sistema no solo puede ser utilizado para acceder a lugares si no para
cualquier cosa que necesite separarse de personas que pueden y no pueden hacer cosas, por
ejemplo: acceder a una página o sección, publicar un comentario, hacer una amistad, enviar un
correo,... En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de
servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro
dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen
permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL
de redes. Las listas de control de acceso pueden configurarse generalmente para controlar
tráfico entrante y saliente y en este contexto son similares a un cortafuegos.
Existen dos tipos de listas de control de acceso: listas standard y listas extendidas.
1.- ESQUEMA DE RED
El esquema de la red que queremos emular, es el que se ve en la imagen siguiente. Tenemos 2
oficinas o aulas con N equipos conectados en cada una de ellas (en este caso hay 2 equipos en
cada oficina). En cada oficina hay un switch, y cada switch se conecta a un router central. Por
COMUNICACIONES & REDES
último, tenemos una zona llamada servidores donde hay 3 servidores diferentes (servidor web,
servidor ftp y una impresora):
El esquema de red es el siguiente:
Esquema de red
El direccionamiento de red de cada uno de los equipos es el siguiente (entiendo que es
tan sencillo configurar las direcciones IPs que no es necesario explicarlo):
Direccionamiento de red
2.- ACLs
COMUNICACIONES & REDES
Aunque existen millones de opciones en función de los equipos y servicios que queremos
gestionar dentro de una red, en este ejemplo lo que queremos hacer es aprender a usar las
ACLs y como es su funcionamiento. Para ello, se van a crear una serie de reglas de acceso
que permitirán el acceso entre una zona origen y una zona destino según la siguiente tabla:
Todo el tráfico que no coincida con las reglas creadas será denegado.
3.- SWITCHES
En este ejemplo, los switches no necesitan ninguna configuración especial, como por
ejemplo la creación de VLANs (aunque se podría hacer). Nuestro objetivo es explicar y
comprender el funcionamiento y configuración de las ACLs y por tanto, no complicar el
ejemplo. Los switches solamente se usarán para conectar los diferentes elementos y no
le aplicaremos ninguna configuración especial.
4.- ROUTER
En Cisco Packet Tracer, las listas de acceso se dividen en dos tipos: standard y extended.
Las listas de acceso standard, son muy sencillas y solo permiten filtrar tráfico desde una
ip concreta a un destino concreto. Las listas de acceso extendidas, permiten un control
mas potente de las reglas como tipo de protocolos, rango de puertos, etc etc ... En este
tutorial usaremos las listas extendidas. Las ACLs standard van desde el número 1 al 99
y las listas de acceso extendidas del 100 al 199.
Tipos de ACLs:
Router>en
Router#conf t
Router(config)# access-list 101 permit tcp any host 192.168.2.3 eq 20
Router(config)# access-list 101 permit tcp any host 192.168.2.3 eq 21
Router(config)# access-list 101 permit tcp any host 192.168.2.2 eq 80
Router(config)# access-list 101 deny ip any any
Router(config)# int GigabitEthernet0/0
Router(config-if)# ip access-group 101 in
Router>en
Router#conf t
Router(config)# access-list 102 permit tcp 192.168.1.2 0.0.0.255 host 192.168
.2.3 range 20 21
Router(config)# access-list 102 permit tcp 192.168.1.2 0.0.0.255 host 192.168
.2.4 eq 631
Router(config)# access-list 102 permit tcp 192.168.1.3 0.0.0.255 host 192.168
.2.3 range 20 21
Router(config)# access-list 102 deny ip any any
Router(config)# int GigabitEthernet0/1
Router(config-if)# ip access-group 102 in
Una vez que tenemos creadas las ACLs, podremos ver con el siguiente comando (show
access-list) el resumen de cada una de ellas:
Lista de ACLs:
Router#show access-lists
Extended IP access list 101
permit tcp any host 192.168.2.3 eq 20
permit tcp any host 192.168.2.3 eq ftp
permit tcp any host 192.168.2.2 eq www
deny ip any any
Extended IP access list 102
permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.3 range 20 ftp
permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.4 eq 631
deny ip any any
Si lo que queremos es borrar las listas de acceso, usaremos el siguiente comando para cada
una de ellas: no access-list <número>:
Borrar ACLs:
Router>
Router>en
Router#conf t
Router(config)#no access-list 101
Router(config)#no access-list 102
Diagrama de topología
Tabla de direccionamiento
COMUNICACIONES & REDES
Esta ACL se aplicará en dirección entrante en la interfaz serial de R3. Se debe recordar que
cada ACL tiene un comando “deny all” implícito que hace que se bloquee todo el tráfico que no
coincida con una sentencia de la ACL. Por esta razón, se debe agregar la sentencia permit
any al final de la ACL.
Antes de configurar y aplicar esta ACL, asegúrese de probar la conectividad desde PC1 (o la
interfaz Fa0/1 de R1) a PC3 (o la interfaz Fa0/1del R3). Las pruebas de conectividad deberían
realizarse correctamente antes de aplicar la ACL.
En el modo de configuración global, cree una ACL nombrada estándar denominada STND-1.
R3(config)#ip access-list ____________________
En el modo de configuración de ACL estándar, agregue una sentencia que deniegue cualquier
paquete con una dirección de origen de 192.168.11.0 /24.
R3(config-std-nacl)#deny _____________
Aplique la ACL STND-1 como filtro en los paquetes que ingresan a R3 a través de la interfaz
serial 0/0/1.
R3(config)#interface ___________
R3(config-if)#end
COMUNICACIONES & REDES
Paso 3: Probar la ACL.
Antes de probar la ACL, asegúrese de que la consola de R3 esté visible. De este modo, se
podrán ver los mensajes de registro de la lista de acceso cuando se deniegue el acceso al
paquete.
Pruebe la ACL haciendo ping de PC2 a PC3. Debido a que la ACL está diseñada para bloquear
el tráfico con direcciones de origen de la red 192.168.11.0 /24, PC2 (192.168.11.10) no debería
poder hacer ping a PC3. Copie el resultado abajo
En el modo EXEC privilegiado de R3, ejecute el comando show access-lists. Copie la salida
abajo
El objetivo de esta ACL era bloquear los hosts de la red 192.168.11.0/24. Cualquier otro host,
como por ejemplo, los de la red 192.168.10.0/24, debería tener acceso a las redes de R3.
Realice otra prueba de PC1 a PC3 para asegurarse de que este tráfico no se bloquee. Copie
el resultado abajo.
Una política adicional para esta red establece que los dispositivos de la LAN 192.168.10.0/24
sólo pueden alcanzar las redes internas. Los equipos de esta LAN no pueden acceder a Internet.
Por lo tanto, estos usuarios deben bloquearse para que no alcancen la dirección IP
209.165.200.225. Debido a que este requisito debe cumplirse tanto en el origen como en el
destino, se necesita una ACL ampliada.
En esta tarea, se configurará una ACL ampliada en R1 que impide que el tráfico que se origina
en cualquier dispositivo de la red 192.168.10.0/24 acceda al host 209.165.200.255 (el ISP
simulado). Esta ACL se aplicará en dirección saliente en la interfaz Serial 0/0/0 de R1. Una
práctica recomendada típica para la aplicación de ACL ampliada es ubicarlas tan cerca del origen
como sea posible.
Antes de comenzar, verifique que se pueda hacer ping a 209.165.200.225 desde PC1.
Observe que el indicador del router cambia para señalar que ahora se encuentra en el modo de
configuración de ACL ampliada. Desde este indicador, agregue las sentencias necesarias para
bloquear el tráfico desde la red 192.168.10.0 /24 al host. Utilice la palabra clave host cuando defina
el destino.
R1(config-ext-nacl)#deny ip _________________________
Recuerde que el comando “deny all” implícito bloquea cualquier otro tráfico sin la sentencia adicional
permit. Agregue la sentencia permit para asegurarse de que no se bloquee el tráfico restante.
R1(config-ext-nacl)#permit ___________
Con las ACL estándar, lo más conveniente es ubicar a la ACL lo más cerca posible del destino.
Las ACL ampliadas generalmente se ubican cerca del origen. La ACL EXTEND-1 se ubicará en
la interfaz serial y filtrará el tráfico saliente.
R1(config)#interface ___________
R1(config-if)#end
Desde PC1, haga ping a la interfaz loopback de R2. Estos ping deberían fallar porque todo el
tráfico proveniente de la red 192.168.10.0/24 se filtra cuando el destino es 209.165.200.225. Si
el destino es cualquier otra dirección, los pings deberían realizarse correctamente. Confirme esto
haciendo ping al R3 desde el dispositivo de red 192.168.10.0/24.
Tarea 5: Controlar el acceso a las líneas VTY con una ACL estándar
Es conveniente restringir el acceso a las líneas VTY del router para la administración remota.
Puede aplicarse una ACL a las líneas VTY, lo que permite restringir el acceso a hosts o redes
específicos. En esta tarea, se configurará una ACL estándar para permitir que los hosts de dos
redes accedan a las líneas VTY. Se le negará el acceso a todos los demás hosts.
Configure una ACL estándar nombrada en R2 que permita el tráfico desde 10.2.2.0/30 y
192.168.30.0/24. Debe denegarse todo el tráfico restante. Denomine la ACL TASK-5.
R2(config)#ip access-list ____________
R2(config-std-nacl)#permit _______________
R2(config-std-nacl)#permit _________________
Utilice el comando access-class para aplicar la ACL a las líneas vty en dirección entrante.
Observe que esto difiere del comando que se utiliza para aplicar las ACL a otras interfaces.
R2(config-line)#_______________
R2(config-line)#end
Establezca una conexión telnet a R2 desde R1. Observe que R1 no tiene direcciones IP en su
rango de direcciones que aparece en las sentencias de permiso de la ACL TASK-5. Los intentos
de conexión deberían fallar.
Desde R3, establezca una conexión telnet a R2. Aparece una petición de entrada para la
contraseña de la línea VTY.
¿Por qué los intentos de conexión desde otras redes fallan aunque no se enumeren
específicamente en la ACL?
__________________________________________________________________________
Para eliminar la ACL, entre al modo de configuración de la interfaz para Serial 0/0/1 de R3. Utilice
el comando no ip access-group STND-1 para eliminar la ACL de la interfaz.
R3(config)#interface _________
Use el comando show running-config para confirmar que la ACL se haya eliminado de la
Serial 0/0/1.
R3(config)#interface ___________
Pruebe la ACL haciendo ping de PC2 a PC3. Como alternativa, utilice un ping ampliado desde R1.
Observe que esta vez los pings se realizan correctamente y que los contadores de la ACL no
aumentan. Confirme esto mediante el comando show ip access-list en R3.
R2(config)#exit