CONFIGURACION DE ACL

1. Disea la siguiente topologa.

2. Habilita RIPv2 en los tres routers y comprueba que las rutas son correctas en cada router.3.
Guarda la configuracin de cada router en su NVRAM4. Crear y aplicar una ACL estndar que
bloquee el trfico proveniente de PC-1 y con destino PC-3
a) Seleccionar el enrutador idneo para crear la ACL. Cualquier otro trfico ser permitido.
b) Escribir la ACL en el router seleccionado
EXTREMO#configure terminal
EXTREMO(config)#access-list 1 deny 200.100.50.2 0.0.0.0
EXTREMO(config)#access-list 1 permit any
EXTREMO(config)#interface fastethernet0/0
EXTREMO(config-if)#ip access-group 1 out
EXTREMO(config-if)#CTRL+Z
c) Comprobar el funcionamiento de la ACL. Realizar un ping desde PC-1 hasta PC-3. Se debe dar
una respuesta no exitosa.
d) Desactivar la ACL (no es lo mismo de eliminarla).
EXTREMO#configure terminal
EXTREMO(config)#interface fastethernet0/0
EXTREMO(config-if)#no ip access-group 1 out
EXTREMO(config-if)#CTRL+Z
e) Realizar nuevamente pruebas de conectividad entre las PC-1 y PC-3.5. Crear y aplicar una ACL
estndar que bloquee el trfico con origen PC-1 y destino PC-2, y que adems permita el trfico
con origen PC-3 y destino PC-2. (Cualquier otro trfico ser negado).
a) Seleccin del enrutador: Ms cerca del destino CENTRO
b) Escribir la ACL estndar
CENTRO#configure terminal
CENTRO(config)#access-list 2 deny host 200.100.50.2
CENTRO(congig)#access-list 2 permit host 199.6.13.2
CENTRO(config)#access-list 2 deny any
CENTRO(config)#interface fastethernet0/0
CENTRO(config-if)#ip access-group 2 out
CENTRO(config-if)#CTRL+Z
c) Realizar pruebas de ping desde PC-1 y PC3. Se obtendrn pruebas exitosas solo desde PC-3.
d) Desactivar la ACL en la interfaz Fastethernet0/0
CENTRO#configure terminal
CENTRO(config)#interface fastethernet0/0
CENTRO(config-if)#no ip access-group 2 out
CENTRO(config-if)#CTRL+Z6.
Rescribir la ACL anterior para que permita o bloquee el trfico de toda la red y no solo de un
host en particular.
a) Escribir la ACL
CENTRO#configure terminal
CENTRO(config)#access-list 3 deny 200.100.50.0 0.0.0.255
CENTRO(config)#access-list 3 permit 199.13.6.0 0.0.0.255
CENTRO(config)#access-list 3 deny any
CENTRO(config)#interface fastethernet0/0
CENTRO(config-if)#ip access-group 3 out
CENTRO(config-if)#CTRL+Z
b) Agregar un nuevo PC en el router BORDE (hacer uso de un Switch) y asignarle una IP
diferente(que corresponda al rango de red)c) Hacer pruebas de ping desde el nuevo PC
d) Desactivar la ACL7.
Configurar ACL's extendidas que denieguen las sesiones telnet desde cualquiera de las
estaciones de trabajo (excepto de la PC-1) hacia BORDE. Cualquier otro tipo de trfico ser
permitido.
a) Opcin 1: Una sola ACL ubicada en BORDE (el trfico atravesar toda la red y ser detenido en
la interfaz serial0/0 de BORDE).
b) Configuracin y ubicacin de la ACL
BORDE#configure terminal
BORDE(config)#access-list 101 deny tcp any host 204.204.7.1 eq 23
BORDE(config)#access-list 101 deny tcp any host 200.100.50.1 eq 23
BORDE(config)#access-list 101 permit ip any any
BORDE(config)#interface serial0/0BORDE(config-if)#ip access-group 101 in
BORDE(config-if)#CTRL+Z
c) Intentar establecer sesiones telnet desde las estaciones PC-2 y PC-3. Los intentos deben fallar.
Solamente desde PC-1 podr establecer una conexin va telnet exitosamente.
d) Desactivar la ACL de la interfaz serial0/0 de BORDE
e) Opcin 2: ACL's independientes en CENTRO y EXTREMO (el trfico ser detenido lo ms cerca
posible del origen para no tener utilizacin innecesaria del ancho de banda en conexiones que
sern denegadas).
f) Configuracin y ubicacin de ACL en CENTRO
CENTRO#configure terminal
CENTRO(config)#access-list 102 deny tcp any host 204.204.7.1 eq 23
CENTRO(config)#access-list 102 deny tcp any host 200.100.50.1 eq 23
CENTRO(config)#access-list 102 permit ip any any
CENTRO(config)#interface fastethernet0/0
CENTRO(config-if)#ip access-group 102 in
CENTRO(config-if)#CTRL+Z
g) Configuracin y ubicacin de ACL en EXTREMO
EXTREMO#configure terminal
EXTREMO(config)#access-list 103 deny tcp any host 204.204.7.1 eq 23
EXTREMO(config)#access-list 103 deny tcp any host 200.100.50.1 eq 23
EXTREMO(config)#access-list 103 permit ip any any
EXTREMO(config)#interface fastethernet0/0
EXTREMO(config-if)#ip access-group 103 in
EXTREMO(config-if)#CTRL+Z
h) Nuevamente realizar pruebas intentando conectarse va telnet con BORDE. Las conexiones
desde PC-2y PC-3 deben fallar
i) Desactivar las ACL's de las interfaces fastethernet en los router CENTRO y EXTREMO
8. Configurar ACL's extendidas que permitan filtrar trfico por tipo de servicios y por direccin
de origen y destino.
a) Restringir el ping a los host con ip par dentro de la red LAN de EXTREMO
EXTREMO#configure terminal
EXTREMO(config)#access-list 104 deny icmp any 199.13.6.1 0.0.0.254
EXTREMO(config)#access-list 104 permit ip any any
EXTREMO(config)#interface serial 2/0
EXTREMO(config-if)#ip access-group 104 out
EXTREMO(config-if)#CTRL+Z
b) Realizar pruebas de ping con diferentes IP dentro de la red LAN de EXTREMO, las pruebas
debern ser exitosas si el ping es dirigido a una ip par.
c) Desactivar la ACL.
d) Colocar un servidor WEB en la red de CENTRO y permitirle solo a las ltimas 3 IP de BORDE y
EXTREMO que puedan acceder al servidor.
BORDE#configure terminal
BORDE(config)#access-list 105 permit tcp 200.100.50.252 0.0.0.3 host 206.93.105.2 eq www
BORDE(config)#access-list 105 deny ip any any
BORDE(config)#interface fastethernet 0/0
BORDE(config-if)#ip access-group 105 in
BORDE(config-if)#CTRL+Z
EXTREMO#configure terminal
EXTREMO(config)#access-list 106 permit tcp 199.13.6.252 0.0.0.3 any eq www
EXTREMO(config)#access-list 106 deny ip any any
EXTREMO(config)#interface fastethernet0/0
EXTREMO(config-if)#ip access-group 106 in
EXTREMO(config-if)#CTRL+Z
e) Realizar pruebas de navegacin con diferentes ip desde cada red hacia el servidor web.
f) Desactivar las ACL's
9. Ejemplo de control de las lneas vty de CENTRO en una forma tradicional. Solo se permitirn
las sesiones telnet iniciadas en la red correspondiente a la PC-2. Las redes a las que pertenecen
las estaciones PC-1 yPC-3 sern denegadas. Todo el dems trfico (que no sea telnet) ser
permitido.
a) Configuracin de la ACL en CENTRO
CENTRO#configure terminal
CENTRO(config)#access-list 104 deny tcp 200.100.50.0 0.0.0.255 host 204.204.7.2 eq 23
CENTRO(config)#access-list 104 deny tcp 200.100.50.0 0.0.0.255 host 201.100.11.1 eq 23
CENTRO(config)#access-list 104 deny tcp 200.100.50.0 0.0.0.255 host 206.93.105.1 eq 23
CENTRO(config)#access-list 104 deny tcp 199.13.6.0 0.0.0.255 host 204.204.7.2 eq 23
CENTRO(config)#access-list 104 deny tcp 199.13.6.0 0.0.0.255 host 201.100.11.1 eq 23
CENTRO(config)#access-list 104 deny tcp 199.13.6.0 0.0.0.255 host 206.93.105.1 eq 23
CENTRO(config)#access-list 104 permit ip any any
b) Ubicacin de la ACL
CENTRO(config)#interface serial0/0
CENTRO(config-if)#ip access-group 104 in
CENTRO(config-if)#exit CENTRO(config)#interface serial0/1
CENTRO(config-if)#ip access-group 104 in
CENTRO(config-if)#CTRL+Z
c) Realizar las pruebas necesarias para verificar el funcionamiento deseado de la ACL. Solo la PC-
2 podr exitosamente administrar CENTRO va telnet.
d) Desactivar las ACL's10. Alternativa usando control de las vty's
a) Configuracin de la ACL (siempre en CENTRO)
CENTRO#configure terminal
CENTRO(config)#access-list 4 permit 206.93.105.0 0.0.0.255
CENTRO(config)#access-list 4 deny any
CENTRO(config)#line vty 0 4
CENTRO(config-line)#access-class 4 in
CENTRO(config-line)#CTRL+Z
b) Verificar nuevamente el funcionamiento de la ACL y comprobar que solamente PC-2 puede
administrar CENTRO va telnet.