Práctica de laboratorio 8.3.5: Configuración y verificación de ACL nombradas y extendidas Dispositivo Nombre del Host Dirección IP de FastEthernet 0/0 Dirección IP Serial 0/0/0 Tipo de interfaz serial 0/0/0 Gateway Predeterminado Contraseña secreta de enable Router 1 R1 192.168.15.1/24 209.165.201.1/30 DTE class cisco Router 2 R2 209.165.201.2/30 DCE class cisco Switch 1 S1 class cisco Host 1 H1 192.168.15.2/24 192.168.15.1 Host 2 H2 192.168.15.3/24 192.168.15.1 Contraseña de enable, de vty y de consola Objetivos Crear ACL nombradas extendidas y estándar. Probar las ACL para determinar si alcanzan los resultados deseados. Editar una ACL nombrada. All contents are Copyright 1992 2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 1 de 5
Información básica / Preparación En esta práctica de laboratorio, trabajará con ACL nombradas, estándar y extendidas para controlar el tráfico de la red basado en direcciones IP del host. Se puede usar cualquier router que cumpla con los requisitos de interfaz que se muestran en el diagrama de topología. Por ejemplo, se pueden usar los routers serie 800, 1600, 1700, 1800, 2500, 2600, 2800 o cualquier combinación. La información en esta práctica de laboratorio se aplica a routers 1841. Se pueden utilizar otros routers; sin embargo, la sintaxis de comandos puede variar. Las interfaces pueden variar según el modelo de router. Por ejemplo, en algunos routers Serial 0 puede ser Serial 0/0 o Serial 0/0/0 y Ethernet 0 puede ser FastEthernet 0/0. El switch Cisco Catalyst 2960 viene preconfigurado y sólo se le debe asignar información básica de seguridad antes de conectarlo a una red. Se necesitan los siguientes recursos: Un switch Cisco 2960 u otro switch similar Dos routers Cisco 1841 o routers similares, cada uno con una conexión serial y una interfaz Ethernet Dos PC con Windows, ambas con un programa de emulación de terminal y configuradas como hosts Al menos un cable conector de consola RJ-45 a DB-9 para configurar los routers y el switch Tres cables de conexión directa Ethernet Un cable serial de conexión cruzada (DTE/DCE) de dos partes NOTA: asegúrese de que los routers y los switches se hayan eliminado y no tengan configuraciones de inicio. Las instrucciones para eliminar tanto el switch como el router se proporcionan en el Manual de Prácticas de Laboratorio, que se encuentra en la sección Tools (Herramientas) del sitio Web Academy Connection. NOTA: routers habilitados para SDM: si se elimina startup-config en un router habilitado para SDM, éste ya no aparecerá de manera predeterminada cuando se reinicie el router. Será necesario establecer una configuración básica de router usando los comandos IOS. Los pasos de esta práctica de laboratorio utilizan comandos IOS y no requieren el uso de SDM. Si desea utilizar SDM, consulte las instrucciones del Manual de Prácticas de Laboratorio, que se encuentra en la sección Tools (Herramientas) del sitio Web Academy Connection, o comuníquese con su instructor si fuera necesario. Paso 1: Conecte el equipo. a. Conecte la interfaz Serial 0/0/0 del Router 1 a la interfaz Serial 0/0/0 del Router 2 mediante un cable serial tal como se muestra en el diagrama y la tabla de direccionamiento. b. Conecte la interfaz Fa0/0 del router 1 al puerto Fa0/1 del switch 1 mediante un cable de conexión directa. c. Conecte el Host 1 al puerto Fa0/2 del switch 1 mediante un cable de conexión directa. d. Conecte el Host 2 al puerto Fa0/3 del switch 1 mediante un cable de conexión directa. Paso 2: Realice la configuración básica del Router 1. a. Conecte una PC al puerto de consola del router para realizar configuraciones utilizando un programa de emulación de terminal. b. En el Router 1, configure el nombre del host, las interfaces, las contraseñas y el mensaje del día, asimismo, deshabilite las búsquedas de DNS según la tabla de direccionamiento y el diagrama de topología. Guarde la configuración. All contents are Copyright 1992 2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 2 de 5
Paso 3: Realice la configuración básica del Router 2. a. Realice una configuración básica en el Router 2 según la tabla de direccionamiento y la tabla de topología. Guarde la configuración. Paso 4: Realice la configuración básica del Switch 1. a. Configure el Switch 1 con un nombre de host, consola, Telnet y contraseñas privilegiadas según la tabla de direccionamiento y la tabla de topología. Paso 5: Configure los hosts con la dirección IP, la máscara de subred y el gateway predeterminado. a. Configure la dirección IP de los hosts, la máscara de subred y el gateway predeterminado según la tabla de direccionamiento y el diagrama de topología. b. Cada estación de trabajo debería tener capacidad para hacer ping a R1 y entre sí. Si los pings no son satisfactorios, resuelva el problema según sea necesario. Verifique que se hayan asignado una dirección IP y un gateway predeterminado específicos a la estación de trabajo. Paso 6: Verifique que la red esté funcionando. a. Desde los hosts conectados, haga ping a la interfaz FastEthernet del router del gateway predeterminado. Tuvo éxito el ping desde el Host 1? Tuvo éxito el ping desde el Host 2? Si la respuesta a cualquiera de las dos preguntas es negativa, resuelva el problema en las configuraciones del router y el host para detectar el error. Haga ping de nuevo hasta que ambos sean satisfactorios. b. Utilice el comando show ip interface brief y verifique el estado de cada interfaz. Cuál es el estado de las interfaces de cada router? R1: FastEthernet 0/0: Serial 0/0/0: Serial 0/0/1: R2: FastEthernet 0/0: Serial 0/0/0: Serial 0/0/1: c. Haga ping desde la interfaz Serial 0/0/0 del Router 1 a la interfaz Serial 0/0/0 del Router 2. Tuvo éxito el ping? Si la respuesta es negativa, resuelva el problema de las configuraciones del router para detectar el error. Haga ping nuevamente hasta que sea satisfactorio. All contents are Copyright 1992 2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 3 de 5
Paso 7: Configure el enrutamiento estático y predeterminado en los routers. a. Configure una ruta predeterminada en R1. Utilice la interfaz del siguiente salto en R2 como ruta. R1(config)#ip route 0.0.0.0 0.0.0.0 209.165.201.2 b. Desde una de las PC host en R1, haga ping a R2. Por qué no es satisfactorio el ping? c. Configure una ruta estática en R2 a la red 192.168.15.0 de R1. Utilice la interfaz del siguiente salto en R1 como ruta. R2(config)#ip route 192.168.15.0 255.255.255.0 209.165.201.1 d. Desde una de las PC host en R1, haga ping a R2. Fue exitoso el ping? Si el ping no tuvo éxito, resuelva el problema de las rutas estática y predeterminada. Paso 8: Configure y pruebe una ACL nombrada estándar simple. a. Cree una ACL nombrada que le permita al H2 llegar a los otros hosts en la red local, pero que no pueda acceder a redes remotas. En el indicador de comandos de la configuración, utilice esta secuencia de comandos: R1(config)#ip access-list standard H2_no_access R1(config-std-nacl)#deny host 192.168.15.3 R1(config-std-nacl)#permit any Por qué necesita la tercera sentencia? b. Aplique la ACL a la interfaz. R1(config)#interface fastethernet0/0 R1(config-if)#ip access-group H2_no_access in Describa cómo probaría esta ACL: c. Realice las pruebas para verificar que esta ACL alcance sus objetivos. Si no es así, resuelva el problema mediante la observación del resultado de un comando show running-config para verificar que la ACL está presente y se haya aplicado a la interfaz correcta. Paso 9: Cree y pruebe una ACL nombrada extendida. a. Cree una ACL nombrada que no le permita a H1 hacer ping a R2, pero que le permita llegar a la red local y a R1. R1(config)#ip access-list extended H1_limit_access R1(config-ext-nacl)#deny ip host 198.168.15.2 host 209.165.201.2 R1(config-ext-nacl)#permit ip any any b. Aplique la ACL a la interfaz. R1(config)#interface s0/0/0 R1(config-if)#ip access-group H1_limit_access out Describa cómo haría una prueba de esta ACL: All contents are Copyright 1992 2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 4 de 5
c. Realice las pruebas para verificar que esta ACL alcance sus objetivos. Si no es así, resuelva el problema mediante la observación del resultado de un comando show running-config para verificar que la ACL esté presente y se haya aplicado a la interfaz correcta. Paso 10: Edite una ACL nombrada estándar. a. Decidió editar la ACL nombrada estándar. En el modo EXEC privilegiado, observe las sentencias de la lista de acceso. R1#show access-lists Standard IP access list H2_no_access 10 deny host 192.168.15.3 20 permit any b. Agregue una línea a esta ACL nombrada estándar para evitar que H1 llegue a R1, pero que permita que H1 y H2 lleguen entre sí. Ingrese los comandos de configuración; uno por línea. Termine con CNTL/Z. R1(config)#ip access-list standard H2_no_access R1(config-std-nacl)#15 deny host 192.168.15.2 c. Observe la ACL editada para verificar que todas las sentencias estén presentes. R1#show access-lists Standard IP access list H2_no_access 10 deny host 192.168.15.3 15 deny host 192.168.15.2 20 permit any Si usted agregó una nueva PC a la topología, la conectó a S1 y le asignó la dirección IP 192.168.15.4/24, podría llegar a R1? Paso 11: Reflexione. a. Por qué conviene realizar configuraciones básicas y verificar la conectividad antes de agregar las ACL a los routers? b. Qué ventajas ofrecen las ACL nombradas? All contents are Copyright 1992 2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 5 de 5