Prctica de laboratorio 7.

2: Reto de listas de control de acceso

Diagrama de topologa

Tabla de direccionamiento
Gateway por
defecto

Dispositivo

Interfaz

Direccin IP

Mscara de subred

R1

S0/0/0

10.1.0.1

255.255.255.0

Fa0/1

10.1.1.254

255.255.255.0

S0/0/0

10.1.0.2

255.255.255.0

S0/0/1

10.3.0.1

255.255.255.0

Lo 0

10.13.205.1

255.255.0.0

S0/0/1

10.3.0.2

255.255.255.0

Fa0/1

10.3.1.254

255.255.255.0

PC 1

NIC

10.1.1.1

255.255.255.0

10.1.1.254

PC 3

NIC

10.3.1.1

255.255.255.0

10.3.1.254

R2

R3

S1
S2

Objetivos de aprendizaje
Para completar esta prctica de laboratorio:

Todo el contenido est bajo Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados.
Este documento es informacin pblica de Cisco.

Pgina 1 de 8

Exploration 4
Acceso a la WAN: Listas de control de acceso

Prctica de laboratorio 5.5.2: Reto de listas de control de acceso

Disear ACL nombradas estndar y nombradas ampliadas

Aplicar ACL nombradas estndar y nombradas ampliadas

Probar ACL nombradas estndar y nombradas ampliadas

Realizar la resolucin de problemas relacionados con ACL nombradas estndar y nombradas

ampliadas

Tarea 1: Preparar la red

Paso 1: Conectar una red que sea similar a la del diagrama de topologa.
Se puede utilizar cualquier router del laboratorio, siempre y cuando ste disponga de las interfaces
necesarias que se muestran en el diagrama de topologa.
Nota: Si utiliza routers 1700, 2500 2600, los resultados del router y las descripciones de la interfaz
pueden tener un aspecto diferente.
Paso 2: Borrar todas las configuraciones de los routers.

Tarea 2: Realizar las configuraciones bsicas del router

Configure los routers R1, R2 y R3 de acuerdo con las siguientes instrucciones:

Configure el nombre de host del router.

Deshabilite la bsqueda DNS.

Configure una contrasea de Modo EXEC.

Configure un mensaje del da.

Configure una contrasea para las conexiones de la consola.

Configure una contrasea para las conexiones de vty.

Configure direcciones IP en todos los dispositivos.

Cree una interfaz loopback en R2.

Habilite OSPF rea 0 en todos los routers para todas las redes.

Verifique que la conectividad IP sea total mediante el comando ping.

R1
hostname R1
no ip domain-lookup
enable secret class
!
interface FastEthernet0/1
ip address 10.1.1.254 255.255.255.0
no shutdown
!
interface serial 0/0/0
ip address 10.1.0.1 255.255.255.0
clock rate 125000
no shutdown
!
router ospf 1

Todo el contenido est bajo Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados.
Este documento es informacin pblica de Cisco.

Pgina 2 de 8

Exploration 4
Acceso a la WAN: Listas de control de acceso

Prctica de laboratorio 5.5.2: Reto de listas de control de acceso

network 10.1.0.0 0.0.0.255 area 0

network 10.1.1.0 0.0.0.255 area 0

!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
logging synchronous
password cisco
login
!
line vty 0 4
password cisco
login
!
R2
hostname R2
enable secret class
no ip domain lookup
!
interface Loopback0
ip address 10.13.205.1 255.255.0.0
!
interface Serial0/0/0
ip address 10.1.0.2 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.3.0.1 255.255.255.0
clockrate 125000
no shutdown
!
router ospf 1
network 10.1.0.0 0.0.0.255 area 0
network 10.3.0.0 0.0.0.255 area 0
network 10.13.0.0 0.0.255.255 area 0
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!

Todo el contenido est bajo Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados.
Este documento es informacin pblica de Cisco.

Pgina 3 de 8

Exploration 4
Acceso a la WAN: Listas de control de acceso

Prctica de laboratorio 5.5.2: Reto de listas de control de acceso

R3
hostname R3
!
enable secret class
no ip domain lookup
!
interface FastEthernet0/1
ip address 10.3.1.254 255.255.255.0
no shutdown
!
interface Serial0/0/1
ip address 10.3.0.2 255.255.255.0
no shutdown
!
router ospf 1
network 10.3.0.0 0.0.0.255 area 0
network 10.3.1.0 0.0.0.255 area 0
!
banner motd ^Unauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
S1
hostname s1
interface vlan1
ip address 10.1.1.2 255.255.255.0
no shut
!
ip default-gateway 10.1.1.254
int fa0/2
switchport access vlan 1

S2
hostname S2
interface vlan1
ip address 10.3.1.2 255.255.255.0
no shut
!
ip default-gateway 10.3.1.254
int fa0/2
switchport access vlan 1

Todo el contenido est bajo Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados.
Este documento es informacin pblica de Cisco.

Pgina 4 de 8

Exploration 4
Acceso a la WAN: Listas de control de acceso

Prctica de laboratorio 5.5.2: Reto de listas de control de acceso

Tarea 3: Configurar las ACL estndar

Configure las ACL nombradas y estndar en las lneas VTY de R1 y R3 para permitir que los hosts
conectados directamente a sus subredes FastEthernet tengan acceso Telnet. Deniegue el acceso a
cualquier otro intento de conexin. Documente los procedimientos de prueba.
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
__________________________________________________________________________________
R1
ip access-list standard VTY_LOCAL
permit 10.1.1.0 0.0.0.255
deny any
!
line vty 0 4
access-class VTY_LOCAL in
!

Todo el contenido est bajo Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados.
Este documento es informacin pblica de Cisco.

Pgina 5 de 8

Exploration 4
Acceso a la WAN: Listas de control de acceso

Prctica de laboratorio 5.5.2: Reto de listas de control de acceso

R3
ip access-list standard VTY_LOCAL
permit 10.3.1.0 0.0.0.255
deny any
!
line vty 0 4
access-class VTY_LOCAL in
Intente establecer una conexin Telnet a R3 desde PC1, R1 y R2. Estas pruebas deberan fallar.
Intente establecer una conexin Telnet a R1 desde PC3, R2 y R3. Estas pruebas deberan fallar.
Intente establecer una conexin Telnet a R1 desde PC1. Esta prueba debera realizarse correctamente.
Intente establecer una conexin Telnet a R3 desde PC. Esta prueba debera realizarse correctamente.

Todo el contenido est bajo Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados.
Este documento es informacin pblica de Cisco.

Pgina 6 de 8

Exploration 4
Acceso a la WAN: Listas de control de acceso

Prctica de laboratorio 5.5.2: Reto de listas de control de acceso

Tarea 4: Configurar las ACL ampliadas

Mediante ACL ampliadas en R2, complete los siguientes requisitos:

Las LAN conectadas a R1 y R3 se utilizan para prcticas de laboratorio informticas para

estudiantes. El administrador de red observ que los estudiantes de estas prcticas de
laboratorio juegan a travs de la WAN con estudiantes remotos. Asegrese de que la ACL impida
que la LAN conectada a R1 alcance a la LAN de R3 y que la LAN de R3 no pueda alcanzar la
LAN de R1. Debe ser especfico en las sentencias, de modo que cualquier LAN nueva que se
haya agregado a R1 o R3 no se ver afectada.

Permita el ingreso del trfico OSPF.

Permita el ingreso del trfico ICMP a las interfaces locales de R2.

Se debe permitir el ingreso del trfico de red destinado al puerto TCP 80. Debe negarse el
acceso de todo trfico restante y ste se debe registrar.

Debe negarse el acceso a todo el trfico que no se haya especificado anteriormente.

Nota: Es posible que esto requiera varias listas de acceso. Verifique la configuracin y documente el
procedimiento de prueba.
Por qu es tan importante el orden de las sentencias de las listas de acceso?
__________________________________________________________________________________
__________________________________________________________________________________
R2
ip access-list extended BLOCK_R1
deny ip 10.1.1.0 0.0.0.255 10.3.1.0 0.0.0.255
permit ospf any any
permit icmp any host 10.1.0.2
permit icmp any host 10.3.0.2
permit icmp any host 10.13.205.1
permit tcp any any eq 80 log
ip access-list extended BLOCK_R3
deny ip 10.3.1.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ospf any any
permit icmp any host 10.1.0.2
permit icmp any host 10.3.0.2
permit icmp any host 10.13.205.1
permit tcp any any eq 80 log
interface serial
ip access-group
!
interface serial
ip access-group

0/0/0
BLOCK_R1 in
0/0/1
BLOCK_R3 in

Tarea 5: Verificar una ACL

Pruebe cada protocolo que se intenta bloquear y asegrese de permitir el acceso del trfico admitido.
Esto requiere probar los pings, HTTP, Telnet y OSPF.

Todo el contenido est bajo Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados.
Este documento es informacin pblica de Cisco.

Pgina 7 de 8

Exploration 4
Acceso a la WAN: Listas de control de acceso

Prctica de laboratorio 5.5.2: Reto de listas de control de acceso

Paso 1: Probar R1 para trfico de R3 y R3 para trfico de R1.

Haga ping desde PC1 a PC3.
Haga ping desde PC3 a PC1.
Ambos pings deberan fallar.
Paso 2: Probar el acceso del puerto 80.
Para probar la funcionalidad del puerto 80, habilite el servidor HTTP en R2:
R2(config)#ip http server
En PC1, abra un explorador Web a la interfaz Serial 0/0/0 de R2. Esto debe realizarse correctamente.
Paso 3: Verificar las rutas OSPF.
Ninguna ruta debera perderse. Confirme esto mediante el comando show ip route.
Paso 4: Probar el ping a R2.
Haga ping a R2 desde R1 y PC1.
Haga ping a R2 desde R3 y PC3.
Ambos pings deberan realizarse correctamente.

Tarea 6: Documentar las configuraciones del router

Tarea 7: Limpiar
Borre las configuraciones y recargue los routers. Desconecte y guarde los cables. Para los equipos PC
host que normalmente se conectan a otras redes (tal como la LAN de la escuela o Internet), reconecte
los cables correspondientes y restablezca las configuraciones TCP/IP.

Todo el contenido est bajo Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados.
Este documento es informacin pblica de Cisco.

Pgina 8 de 8