Práctica de laboratorio: Configuración y

Verificación de las ACL estándar

Tipo de Contraseña
interfaz Direcciones de Contraseña de enable,
Nombre Dirección IP de Dirección IP serial interfaz secreta de de vty y de
Dispositivo del Host FastEthernet 0/0 Serial 0/0/0 0/0/0 loopback enable consola
Router 1 R1 192.168.200.1/24 192.168.100.1/30 DCE n/c class cisco
Lo0
192.168.1.1/32
Router 2 R2 n/c 192.168.100.2/30 DTE class cisco
Lo1
192.168.2.1/32
Switch 1 S1 n/c n/c n/c n/c class cisco

Objetivos
 Configurar las ACL estándar para limitar el tráfico.
 Verificar el funcionamiento de las ACL.

Página 1 de 6
Información básica / Preparación
En esta práctica de laboratorio trabajará con las ACL estándar para controlar el tráfico de red basado en
direcciones IP del host. Se puede usar cualquier router que cumpla con los requisitos de interfaz que se
muestran en el diagrama anterior. Por ejemplo, se pueden usar los routers serie 800, 1600, 1700, 1800, 2500,
2600, 2800 o cualquier combinación.
La información en esta práctica de laboratorio se basa en el router serie 1841. Se pueden utilizar otros
routers; sin embargo, la sintaxis del comando puede variar. Las interfaces pueden variar según el modelo de
router. Por ejemplo, en algunos routers Serial 0 puede ser Serial 0/0 o Serial 0/0/0 y Ethernet 0 puede ser
FastEthernet 0/0. El switch Cisco Catalyst 2960 viene preconfigurado y sólo se le debe asignar información
básica de seguridad antes de conectarlo a una red.

Se necesitan los siguientes recursos:

 Un switch Cisco 2960 u otro switch similar
 Dos routers Cisco serie 1841 o similares, cada uno con una interfaz Ethernet y una serial
 Una PC con Windows, con un programa de emulación de terminal y configurada como host
 Al menos un cable de consola RJ-45 a DB-9 para configurar los routers y el switch
 Dos cables Ethernet de conexión directa
 Un cable serial de conexión cruzada DTE/DCE de dos partes
NOTA: asegúrese de que los routers y los switches se hayan eliminado y no tengan configuraciones de inicio.
Las instrucciones para eliminar tanto el switch como el router se proporcionan en el Manual de Prácticas de
Laboratorio, que se encuentra en la sección Tools (Herramientas) del sitio Web Academy Connection.

Paso 1: Conecte el equipo.

a. Conecte la interfaz Serial 0/0/0 del Router 1 a la interfaz Serial 0/0/0 del Router 2 mediante un cable
serial.
b. Conecte la interfaz Fa0/0 del router 1 al puerto Fa0/1 del switch 1 mediante un cable de conexión
directa.
c. Conecte un cable de consola a la PC para realizar las configuraciones en los routers y el switch.
d. Conecte el H1 al puerto Fa0/2 del Switch 1 mediante un cable de conexión directa.

Paso 2: Realice la configuración básica del Router 1.

a. Conecte una PC al puerto de consola del router para realizar configuraciones utilizando un programa
de emulación de terminal.
b. En el Router 1, configure el nombre del host, las interfaces, las contraseñas y el mensaje del día, y
deshabilite las búsquedas de DNS según la tabla de direccionamiento y el diagrama de topología.
Guarde la configuración.

Página 2 de 6
Paso 3: Realice la configuración básica del Router 2.
Realice la configuración básica en el Router 2 y guarde la configuración.

Paso 4: Realice la configuración básica del Switch 1.

Configure el Switch 1 con un nombre de host y contraseñas según la tabla de direccionamiento y el diagrama
de topología.

Paso 5: Configure el host con la dirección IP, la máscara de subred y el gateway

predeterminado.
a. Configure el host con la correspondiente dirección IP, la máscara de subred y el gateway
predeterminado. Al host se le debe asignar la dirección 192.168.200.10/24 y el gateway
predeterminado 192.168.200.1.
b. La estación de trabajo debe tener la capacidad de hacer ping al router conectado. Si el ping no fue
satisfactorio, resuelva el problema según sea necesario. Verifique que se hayan asignado una
dirección IP y un gateway predeterminado específicos a la estación de trabajo.

Paso 6: Configure el enrutamiento EIGRP y verifique la conectividad de extremo a extremo en

la red.
a. Habilite el protocolo de enrutamiento EIGRP en el Router 1 y configúrelo para que publique ambas
redes conectadas.
b. Habilite el protocolo de enrutamiento EIGRP en el Router 2 y configúrelo para que publique las tres
redes conectadas.
c. Haga ping desde el Host 1 a las dos interfaces loopback en el Router 2.
¿Tuvieron éxito los ping desde el Host 1? __________ sí
Si la respuesta es negativa, resuelva el problema de las configuraciones del router y el host para
detectar el error. Haga ping de nuevo hasta que ambos sean satisfactorios.

Paso 7: Configure y pruebe una ACL estándar.

En esta topología de laboratorio, las interfaces loopback en R2 simulan dos redes clase C conectadas al
router. Las ACL se utilizarán para controlar el acceso a estas subredes. La interfaz loopback 0 representa
una red de estaciones de trabajo de administración y la interfaz loopback 1 representa una red de ingeniería
de acceso limitado.
En esta red, es necesario tener al menos una estación de trabajo de administración en la subred
192.168.200.0/24 junto con otras estaciones de trabajo del usuario. A la estación de trabajo de
administración se le asigna una dirección IP estática 192.168.200.10. Las estaciones de trabajo del usuario
consumen el resto de las direcciones IP de la red.
La ACL debería permitir el acceso de la estación de trabajo de administración a las redes conectadas a R2,
pero no permitir el acceso a estas redes desde los otros hosts de la red 192.168.200.0.
Se utiliza una ACL estándar que se coloca en R2, ya que R2 está más cerca del destino.
a. Cree una ACL estándar en R2 que se usará para acceder a las redes conectadas. Esta ACL permite
el acceso al host 192.168.200.10 y lo niega al resto.
R2(config)#access-list 1 permit 192.168.200.10
R2(config)#access-list 1 deny any

Página 3 de 6
 NOTA: la sentencia deny implícita al final de una lista de control de acceso cumple esta misma
función. No obstante, el agregado de la línea a la ACL facilita su documentación y se considera una
buena práctica. Al agregar explícitamente esta sentencia, se lleva la cuenta de la cantidad de
paquetes que coinciden con la sentencia y el administrador puede ver cuántos paquetes se
rechazaron.
b. Luego de crear la ACL, se debe aplicar a una interfaz en el router. Utilice la interfaz serial 0/0/0 para
permitir el control en las redes 192.168.1.0 y 192.168.2.0. El tráfico potencial pasaría a la interfaz;
por lo tanto, aplique la ACL en la dirección entrante.
R2(config)#interface serial 0/0/0
R2(config-if)#ip access-group 1 in
c. Ahora que se ha creado y aplicado la ACL, utilice el comando show access-lists en R2 para
visualizar la ACL.
¿Existe alguna coincidencia para cualquier sentencia ACL? __________
Probablemente no haya ninguna en este momento. Si ha pasado suficiente tiempo habrá algunas
coincidencias para la sentencia deny que se generen a partir de las actualizaciones EIGRP
bloqueadas desde R1.
R2#show access-lists
Standard IP access list 1
10 permit 192.168.200.10
20 deny any
¿El resultado del comando show access-lists muestra la ACL creada?
__________ sí
¿El resultado del comando show access-lists muestra de qué manera se aplicó la ACL?
__________ no
d. Utilice el comando show ip interface s0/0/0 para mostrar la aplicación de la ACL.
R2#show ip interface s0/0/0
Serial0/0/0 is up, line protocol is up
Internet address is 192.168.100.2/30
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.9
Outgoing access list is not set
Inbound access list is 1
Proxy ARP is enabled
Local Proxy ARP is disabled
<se omite el resultado>
¿Qué le indica el resultado del comando show ip interface acerca de la ACL?
________________________________________________________________________________
Que está aplicada y su dirección.

Página 4 de 6
Paso 8: Pruebe la ACL.
a. Haga ping en la dirección de loopback 192.168.1.1 desde el Host 1.
¿El ping tuvo éxito? __________ No
b. Haga ping en la dirección de loopback 192.168.2.1 desde el Host 1.
¿El ping tuvo exito? __________ No
c. Ejecute el comando show access-list nuevamente.
¿Cuántas coincidencias hay para la primera sentencia ACL (permit)? __________
Las respuestas pueden variar, pero debería haber por lo menos de 8 a 16 coincidencias si se
hicieron los pings a los loopbacks.
R2#show access-lists
Standard IP access list 1
permit 192.168.200.10 (16 matches)
deny any
¿Cuántas coincidencias hay para la segunda sentencia ACL (deny)? __________
Las respuestas pueden variar, pero probablemente ninguna. Si ha pasado suficiente tiempo, pueden
existir algunas coincidencias para la sentencia deny que se generen a partir de las actualizaciones
EIGRP bloqueadas desde R1.
d. Consulte la tabla de enrutamiento en R2 mediante el comando show ip route.
R2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.1.0/24 is directly connected, Loopback0

C 192.168.2.0/24 is directly connected, Loopback1
192.168.100.0/30 is subnetted, 1 subnets
C 192.168.100.0 is directly connected, Serial0/0/0
R2#
¿Qué ruta no aparece en la tabla de enrutamiento? ___________________________________
Una ruta hacia la red 192.168.200.0.
La ruta no aparece en la tabla de enrutamiento porque la ACL sólo permite los paquetes desde
192.168.200.10. Los paquetes de actualización EIGRP desde R1 se obtienen de la interfaz serial
0/0/0 del router 192.168.100.1 y la ACL los rechaza. Debido a que la ACL bloquea las
actualizaciones EIGRP de R1 que publican la red 192.168.200.0, R2 no tiene información sobre la
red 192.168.200.0. La ACL no bloqueó los pings que se hicieron antes. Fallaron porque R2 no pudo
devolver la respuesta de eco. R2 no tenía información sobre cómo llegar a la red 192.168.200.0.
Este ejemplo muestra por qué las ACL se deben programar cuidadosamente y su
funcionalidad se debe comprobar exhaustivamente.

Página 5 de 6
 e. Vuelva a crear la ACL en R2 para permitir que se reciban las actualizaciones de enrutamiento
desde R1.
R2(config)#no access-list 1
R2(config)#access-list 1 permit 192.168.200.10
R2(config)#access-list 1 permit 192.168.100.1
R2(config)#access-list 1 deny any
f. Haga ping en 192.168.1.1 y 192.168.2.1 desde el Host 1.
¿Son satisfactorios los pings ahora? ___________ sí
g. Cambie la dirección IP del Host 1 a 192.168.200.11.
h. Haga ping nuevamente en 192.168.1.1 y 192.168.2.1 desde el Host 1.
¿Los pings son satisfactorios? __________ no
i. Muestre la ACL nuevamente mediante el comando show access-lists.
¿Hay coincidencias para la sentencia ACL 192.168.100.1? __________
Sí. Ahora se permiten las actualizaciones EIGRP desde la interfaz serial 0/0/0 de R1 192.168.100.1.
R2#show access-lists
Standard IP access list 1
20 permit 192.168.100.1 (30 matches)
10 permit 192.168.200.10 (24 matches)
30 deny any (24 matches)
R2#
NOTA: puede borrar los contadores ACL mediante el comando clear ip access-list
counters desde el indicador de comandos del EXEC privilegiado.

Paso 9: Reflexione.
a. ¿Por qué se requieren una planificación y una prueba más detalladas de las listas de control de
acceso?
_______________________________________________________________________________
Para verificar que SÓLO se permita el tráfico que se pretendía.
b. ¿Cuál es la limitación principal de las ACL estándar?
_______________________________________________________________________________
Sólo pueden filtrar sobre la base de la dirección de origen.

Página 6 de 6