Packet Tracer - Configure ACL IPv4 estándar numeradas

Addressing Table

Linea en blanco - sin información adicional

Objetivos

Parte 1: Planifique una implementación de ACL

Parte 2: Configure, Aplique y Verifique una ACL estándar

Trasfondo/Situación

Las listas de control de acceso (ACL) estándar son scripts de configuración del router que controlan si un router permite o deniega paquetes según la dirección de origen. Esta actividad se concentra en definir criterios de filtrado, configurar ACL estándar, aplicar ACL a interfaces de router y verificar y evaluar la implementación de la ACL. Los routers ya están configurados, incluidas las direcciones IP y el enrutamiento del Protocolo de Enrutamiento de la puerta de enlace Interior Mejorado (EIGRP).

Instrucciones

Parte 1: Planificar una implementación de ACL

Paso 1: Investigar la configuraciónde red actual.

Antes de aplicar cualquier ACL a una red, es importante confirmar que tenga conectividad completa. Elija una computadora y haga ping a otros dispositivos en la red para verificar que la red tenga plena conectividad. Debería poder hacer ping correctamente a todos los dispositivos.

Paso 2: Evalúe dos políticas de red y planifique implementaciones de ACL.

a.      Las siguientes políticas de red están implementadas en R2:

=   La red 192.168.11.0/24 no tiene acceso a WebServer en la red 192.168.20.0/24.

=   Todo otro acceso está permitido.

Para restringir el acceso desde la red 192.168.11.0/24 a WebServer en 192 .168.20.254 sin interferir con otro tráfico, se debe crear un ACL en R2. La lista de acceso debe colocarse en la interfaz de salida a WebServer. Se debe crear una segunda regla en R2 para permitir el resto del tráfico.

b.      Las siguientes políticas de red están implementadas en R3:

=   La red 192.168.10.0/24 no puede comunicarse con la red 192.168.30.0/24.

=   Todo otro acceso está permitido.

Para restringir el acceso desde la red 192.168.10.0/24 a la red 192 168.30/24 sin interferir con otro tráfico, se debe crear una lista de acceso en R3. La lista de acceso debe colocarse en la interfaz de salida a PC3. Se debe crear una segunda regla en R3 para permitir el resto del tráfico.

Parte 2: Configure, aplique y verifique una ACL Estándar

Paso 1: Configure y aplique una ACL estándar numerada en R2.

a.      Cree una ACL utilizando el número 1 en R2 con una declaración que niegue el acceso a la red 192.168.20.0/24 desde la red 192.168.11.0/24.

Abra la ventana de configuración

R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255

b.      Por defecto, una lista de acceso niega todo el tráfico que no coincide con ninguna regla. Para permitir el resto del tráfico, configure la siguiente instrucción:

R2(config)# access-list 1 permit any

c.      Antes de aplicar una lista de acceso a una interfaz para filtrar el tráfico, es una buena prácticas revisar el contenido de la lista de acceso para verificar que filtrará el tráfico como se espera.

R2# show access-lists

Standard IP access list 1

10 deny 192.168.11.0 0.0.0.255

20 permit any

d.      Para que la ACL realmente filtre el tráfico, debe aplicarse a alguna operación del router. Aplique la ACL colocándola para el tráfico saliente en la interfaz GigabitEthernet 0/0.  Nota:  En una red operativa real no es una buena práctica aplicar una lista de acceso no probada a una interfaz activa.

R2(config)# interface GigabitEthernet0/0

R2(config-if)# ip access-group 1 out

Paso 2: Configure y aplique una ACL estándar numerada en R3.

a.      Cree una ACL utilizando el número 1 en R3 con una declaración que niegue el acceso a la red 192.168.30.0/24 desde la red de PC1 (192.168.11.0/24).

R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255

b.      Por defecto, una ACL niega todo el tráfico que no coincide con ninguna regla. Para permitir el resto del tráfico, cree una segunda regla para la ACL 1.

R3(config)# access-list 1 permit any

c.      Verifique que la lista de acceso esté configurada correctamente.

R3# show access-lists

Standard IP access list 1

10 deny 192.168.10.0 0.0.0.255

20 permit any

d.     Aplique la ACL colocándola para el tráfico saliente en la interfaz GigabitEthernet 0/0.

R3(config)# interface GigabitEthernet0/0

R3(config-if)# ip access-group 1 out

Paso 3: Verifique la configuración y funcionalidad de la ACL.

a.      Ingrese el comando show run o show ip interface gigabitethernet 0/0 para verificar las ubicaciones de la ACL.

b.      Con las dos ACL en su lugar, el tráfico de red está restringido de acuerdo con las políticas detalladas en la Parte 1. Utilice las siguientes pruebas para verificar las implementaciones de ACL:

=   Un ping de 192.168.10.10 a 192.168.11.10 tiene éxito.

=   Un ping de 192.168.10.10 a 192.168.20.254 tiene éxito.

=   Un ping de 192.168.11.10 a 192.168.20.254 falla.

=   Un ping de 192.168.10.10 a 192.168.30.10 falla.

=   Un ping de 192.168.11.10 a 192.168.30.10 tiene éxito.

=   Un ping de 192.168.30.10 a 192.168.20.254 tiene éxito.

c.      Ejecute de nuevo el comando show access-lists en los routers R2 y R3. Debería ver un resultado que indica el número de paquetes que han coincidido con cada línea de la lista de acceso. Nota: El número de coincidencias mostradas para sus routers puede ser diferente debido al número de pings que se envían y reciben.

R2# show access-lists

Standard IP access list 1

10 deny 192.168.11.0 0.0.0.255 (4 match(es))

20 permit any (8 match(es))

 

R3# show access-lists

Standard IP access list 1

10 deny 192.168.10.0 0.0.0.255 (4 match(es))

20 permit any (8 match(es))

Cierre la ventana de configuración

-----------

Router R2

-----------

enable

configure terminal

interface GigabitEthernet0/0

 ip access-group 1 out

access-list 1 deny 192.168.11.0 0.0.0.255

access-list 1 permit any

end

-----------

Router R3

-----------

enable

configure terminal

interface GigabitEthernet0/0

 ip access-group 1 out

access-list 1 deny 192.168.10.0 0.0.0.255

access-list 1 permit any

end

Fin del documento