LISTAS DE ACCESO Las listas de acceso son conjuntos de reglas que indican al router como seleccionar paquetes.

Una vez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos ms extendidos de las listas de acceso es el de controlar el flujo de trfico entrante y saliente de un router. Las reglas que componen las listas de acceso tienen tres partes: un nmero que identifica la lista, una instruccin deny o permit y una condicin access-list nmero_identificador [permit|deny] condicin El nmero utilizado para identificar una lista concreta debe ser seleccionado de un rango numrico acorde con el uso concreto de la lista. PROTOCOLO IP IP Ethernet DECnet Appletalk Ethernet IPX IPX IPX TIPO Estndar Extendidas Cdigo (Type) Protocol Suite Protocol Suite Direcciones Estndar Extendida SAP RANGO 1-99 y 1300-1999 100-199 y 20002699 200-299 300-399 600-699 799-799 800-899 900-999 1000-1099 FILTRA POR el origen el origen, destino, protocolo, puerto... el tipo de cdigo Ethernet el origen el origen la direccin MAC el origen el origen, destino, protocolo, puerto... tipo de aplicacin (SAP, Service Access Point)

Referencia: http://antonio_gallego.tripod.com/apuntes/listas.htm

Se realizar una simulacin de red en el programa Packet Tracer. El protocolo de enrutamiento empleado ser RIP Versin 2, se debe probar la conectividad de la red y despus configurar listas de acceso en los routers para evitar que el host de direccin ip 172.30.0.2/16 acceda a la subred 3. Ningn computador de la subred 2 debe tener acceso a la subred 1.

Elemento Router 1

Router 2

Router 1

Interfaz Fa1/0 S0/0 S0/1 S0/0 Fa0/0 Fa1/0 S0/0 Fa0/0 Fa1/0

Direccin IP 172.16.0.1 192.168.0.1 192.168.1.1 192.168.0.2 192.168.2.1 172.30.0.1 192.168.1.2 192.168.2.2 172.31.0.1

Mscara 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.0.0 255.255.255.0 255.255.255.0 255.255.0.0

CONFIGURACIONES A continuacin se muestra la configuracin en cada uno de los routers. Router 1 Configuracin de interfaces: interface Serial0/0 ip address 192.168.0.1 255.255.255.0 ip access-group 1 in clock rate 64000 ! interface Serial0/1 ip address 192.168.1.1 255.255.255.0 clock rate 64000 ! interface FastEthernet1/0 ip address 172.16.0.1 255.255.0.0 duplex auto speed auto ! Configuracin de RIP ! router rip version 2 network 172.16.0.0 network 192.168.0.0 !

Configuracin de listas de Acceso access-list 1 deny host 172.30.0.2 access-list 1 permit any Router 2 Configuracin de Interfaces interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 192.168.0.2 255.255.255.0 ! interface Serial0/1 no ip address shutdown ! interface FastEthernet1/0 ip address 172.30.0.1 255.255.0.0 ip access-group 2 out duplex auto speed auto !

Configuracin RIP router rip version 2 network 172.30.0.0 network 192.168.0.0 network 192.168.2.0 ! Configuracin de listas de acceso access-list 2 deny 172.31.0.0 0.0.255.255 access-list 2 permit all Router 3 Configuracin de Interfaces interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 duplex auto speed auto

! interface Serial0/0 ip address 192.168.1.2 255.255.255.0 ! interface Serial0/1 no ip address shutdown ! interface FastEthernet1/0 ip address 172.31.0.1 255.255.255.0 duplex auto speed auto Configuracin RIP router rip version 2 network 172.31.0.0 network 192.168.1.0 network 192.168.2.0

RESULTADOS 1.1 El host 172.30.0.2 no puede comunicarse a la subred 3 Se realiza una prueba de ping desde el host en cuestin. Se observa que el mismo no obtiene respuesta desde la subred 3.

Se realiza la misma prueba con otro computador de la subred 1 y se comprueba que ste si obtiene respuesta de la subred 2.

1.2 La subred 2 no tiene acceso a la Subred 1 Se realiza un ping a un host de la subred 1, el ping falla.

Se realiza otro ping hacia la subred 3, el ping es exitoso.

1.3 Prueba de Protocolo de Enrutamiento El protocolo de enrutamiento permite el clculo dinmico de las rutas en caso que falle un enlace, esto provoca que si la lista de acceso se configur sobre una sola interfaz del router y debido a cambios de topologas, el trfico deja de atravesar sta interfaz; la lista de acceso no cumple ms su objetivo. Se realiz sta prueba en el simulador. Se desconecta el enlace entre el Router 1 y el Router 2, unidos mediante las interfaces en las que se configuraron las listas de acceso. La tabla de rutas se actualiza dinmicamente en los routers. Ya que la lista de acceso se aplic sobre la intefaz conectada al switch un cambio en la topologa no la afectara sin antes afectar toda la conectividad de la subred 1.