ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

FACULTAD DE INFORMÁTICA Y ELECTRÓNICA

ESCUELA DE INGENIERÍA EN ELECTRÓNICA, TELECOMUNICACIONES Y REDES

CONMUTACIÓN Y RUTEO I

INFORME DE LA PRACTICA N°9

Configuración de ACLs Extendidas

1. DATOS GENERALES:

NOMBRE: CODIGO:

Fabricio Vilcacundo 656

FECHA DE REALIZACIÓN: FECHA DE ENTREGA:

2016/07/20 2016/07/24
 2. OBJETIVOS
2.1. GENERAL

 Realizar la configuración de una ACL extendida.

2.2 ESPECIFICOS

 Configurar, aplicar y verificar una ACL numerada extendida.

 Configurar, aplicar y verificar una ACL extendida con nombre

3. METODOLOGIA

Práctica

4. EQUIPOS Y MATERIALES

 Sotware (Packet Tracer)

 Computador
 Guia de laboratorio
 Material proporcionado en clase

5. MARCO TEORICO

ACLs extendidas

A diferencia de lo que sucede con la ACL estándar, las extendidas permiten especificar hacia
dónde se dirige el tráfico y con ésta característica, se puede bloquear o permitir un tráfico mucho
más específico: sólo tráfico que proviene del host pero se dirige a una red en particular o a otro
host en particular o sólo el tráfico de una red que se dirige a otra red en particular. El truco se
logra con el hecho de permitir comparar las direcciones destino de los paquetes contra la acl,
no sólo las direcciones origen. Dentro de lo que hemos venido manejando, hablamos que una
acl está compuesta por un conjunto de reglas todas con el mismo identificador, que cada regla
era una línea compuesta por una acción y una condición que el paquete debe cumplir para
aplicarle la acción (permitir o denegar). Las condiciones en las acl estándar están compuestas
por una dirección de referencia y una wildcard que dice qué bits de la dirección origen de los
paquetes se deben comparar con la dirección de referencia, en las acls extendidas se especifica
dos pares de direcciones de referencia/wildcard, un par para la dirección origen de los paquetes
y otro par para la dirección destino de los mismos. Vamos a extender el ejemplo que venimos
usando y usar ésta idea de filtrado más granular.

El requisito dado es permitir un host de una red, el resto de la red la vamos a bloquear y cualquier
otra red la vamos a permitir. Para extender el ejemplo digamos que queremos permitir el tráfico
del host, excepto lo que vaya a un host particular, digamos el 172.16.1.1, y que de la red
completa queremos permitir lo que vaya a un servidor en especial de la empresa, digamos el
192.168.2.1. Las reglas de la acl estandar nos sirven de inicio, como de costumbre lo más
específico lo vamos a poner de primero en la regla para evitar que las reglas más generales
incluyan a las particulares.

access-list 100 deny ip 192.168.1.1 0.0.0.0 172.16.1.1 0.0.0.0

access-list 100 permit ip 192.168.1.1 0.0.0.0 0.0.0.0 255.255.255.255

access-list 100 permit ip 192.168.1.0 0.0.0.63 192.168.2.1 0.0.0.0

access-list 100 deny ip 192.168.1.0 0.0.0.63 0.0.0.0 255.255.255.255

access-list 100 permit ip any any

En ésta lista observamos varias cosas nuevas: ip, las acl extendidas no sólo permiten especificar
las direcciones origen y destino sino discriminar por protocolos e incluso por parámetros
particulares de cada protocolo pero eso lo veremos luego, por lo pronto lo importante es que ip
indica que todos los protocolos que se encapsulan dentro de ip serán afectados por ésta lista de
acceso. En este caso, la palabra ip para los protocolos es similar a any en las direcciones, casi
todo se encapsula en ip por lo tanto especificar ip es como especificar cualquier protocolo (de
capa 4 en adelante). En vez de ip se puede poner un protocolo equivalente o de capa 4, por
ejemplo se puede filtrar icmp, tcp o udp, cambiando la palabra ip por éstas últimas.

Otra cosa importante y nueva es un segundo par de dirección de referencia/máscara wildcard,

éste segundo par compara la dirección destino de los paquetes con la dirección de la regla. Para
las acls extendidas, el paquete debe coincidir tanto en la dirección origen como en la destino.

Finalmente, la dirección de referencia 0.0.0.0 con máscara wildcard 255.255.255.255. Como esta
máscara es todo unos, eso significa que ningún bit del paquete se compara con la dirección de
referencia, es decir, no importa qué escriba en la dirección de referencia cualquier destino
coincide. Esta máscara es lo mismo que any, debido a que la máscara es equivalente a cualquier
dirección y puede usarse tanto para el origen como para el destino.

6. PROCEDIMIENTO

Información básica/Situación
Dos empleados necesitan acceder a los servicios proporcionados por el servidor.
La PC1 solo necesita acceso FTP, mientras que la PC2 solo necesita acceso web. Ambos
equipos pueden hacer ping al servidor, pero no entre sí.

Parte 1: configurar, aplicar y verificar una ACL numerada

extendida
Paso 1: configurar una ACL para que permita tráfico FTP e ICMP.
a. En el modo de configuración global en el R1 , introduzca el siguiente comando para
determinar el primer número válido para una lista de acceso extendida.

b. Agregue el número 100 al comando, seguido de un signo de interrogación.

c. Para permitir el tráfico FTP, introduzca la palabra permit , seguida de un signo de
interrogación.

d. Esta ACL permite FTP y ICMP. ICMP se mencionó anteriormente, pero FTP no porque
FTP utiliza TCP. Entonces, ingrese TCP. Escriba tcp para refinar aún más la ayuda de
la ACL.

e. Observe que se podría filtrar por PC1 por medio de la palabra clave host , o bien se
podría permitir cualquier (any ) host. En este caso, se permite cualquier dispositivo con
una dirección que pertenezca a la red 172.22.34.64/27. Ingrese la dirección de red,
seguida de un signo de interrogación.

f. Para calcular la máscara wildcard determine el opuesto binario de una máscara de

subred.
11111111.11111111.11111111.11100000 = 255.255.255.224
00000000.00000000.00000000.00011111 = 0.0.0.31

g. Ingrese la máscara wildcard, seguida de un signo de interrogación.

h. Configure la dirección de destino. En esta situación, se filtra el tráfico para un solo
destino, el servidor. Ingrese la palabra clave host seguida de la dirección IP del
servidor.

i. Observe que una de las opciones es <cr> (retorno de carro). Es decir, puede presionar
la tecla Enter, y la instrucción permitiría todo el tráfico TCP. Sin embargo, solo se
permitirá el tráfico FTP. Por lo tanto, introduzca la palabra clave eq , seguida de un
signo de interrogación para mostrar las opciones disponibles. Luego, introduzca ftp y
presione Enter .

j. Cree una segunda instrucción de lista de acceso para permitir el tráfico ICMP (ping,
etcétera) de laPC1 al servidor . Tenga en cuenta que el número de la lista de acceso
es el mismo y no es necesario detallar un tipo específico de tráfico ICMP.

k. Se niega el resto del tráfico, de forma predeterminada.

Paso 2: aplicar la ACL a la interfaz correcta para filtrar el tráfico.
Desde la perspectiva del R1 , el tráfico al cual se aplica la ACL 100 ingresa desde la red
conectada a la interfaz Gigabit Ethernet 0/0. Ingrese al modo de configuración de interfaz y
aplique la ACL.

Paso 3: verificar la implementación de la ACL.

a. Haga ping de la PC1 al servidor . Si los pings fallan, verifique las direcciones IP antes
de continuar.

b. Desde la PC1 , acceda mediante FTP al servidor . El nombre de usuario y la

contraseña es cisco.

c. Salga del servicio FTP del servidor

d. Haga ping de PC1 a PC2 . El host de destino debe ser inalcanzable, porque el tráfico
no tiene permiso explícito.
Parte 2: configurar, aplicar y verificar una ACL extendida con
nombre
Paso 1: configurar una ACL para que permita el acceso HTTP y el tráfico ICMP.
a. Las ACL con nombre comienzan con la palabra clave ip . En el modo de configuración
global del R1, introduzca el siguiente comando, seguido de un signo de interrogación.

b. Puede configurar ACL nombradas estándar y extendidas. Esta lista de acceso filtra
tanto las direcciones IP de origen como de destino; por lo tanto, debe ser extendida.
IntroduzcaHTTP_ONLY como nombre. (Para la calificación de Packet Tracer, el
nombre distingue mayúsculas de minúsculas.)

c. El indicador de comandos cambia. Ahora está en el modo de configuración de una ACL

nombrada extendida. Todos los dispositivos en la LAN de la PC2 necesitan acceso
TCP. Ingrese la dirección de red, seguida de un signo de interrogación.

d. Otra manera de calcular el valor de wildcard es restando la máscara de subred a

255.255.255.255.
255.255.255.255
- 255.255.255.240
-----------------
= 0. 0. 0. 15

e. Para finalizar la instrucción, especifique la dirección del servidor como hizo en la

parte 1 y filtre el tráfico www .
 f. Cree una segunda instrucción de lista de acceso para permitir el tráfico ICMP (ping,
etcétera) de laPC2 al servidor . Nota: el indicador es el mismo y no es necesario
detallar un tipo específico de tráfico ICMP.

g. Se niega el resto del tráfico, de forma predeterminada. Salga del modo de

configuración de ACL nombrada extendida.

Paso 2: aplicar la ACL a la interfaz correcta para filtrar el tráfico.

Desde la perspectiva del R1 , el tráfico al cual se aplica la lista de
acceso HTTP_ONLY ingresa desde la red conectada a la interfaz Gigabit Ethernet 0/1.
Ingrese al modo de configuración de interfaz y aplique la ACL

Paso 3: verificar la implementación de la ACL.

a. Haga ping de la PC2 al servidor . Si los pings fallan, verifique las direcciones IP antes
de continuar.

b. Desde la PC2 , acceda mediante FTP al servidor . La conexión debería fallar.

c. Abra el navegador web en la PC2 e introduzca la dirección IP del servidor como URL.
La conexión debería establecerse correctamente.
 7. CONCLUCIONES Y RECOMENDACIONES

 Se configuró, aplicó y verificó una ACL numerada extendida.

 Se configuró, aplicó y verificó una ACL extendida con nombre.
 Las acls extendidas son mucho más eficientes en el filtrado que las acls estándar,
pero como ya he mencionado en otras entradas, las acls son mecanismos de
clasificación de tráfico y direcciones y hay algunas aplicaciones que se
corresponden mejor con las acl estándar que con las extendidas, por lo tanto se
siguen usando tanto como las extendidas.

8. BIBLIOGRAFIA

(2016). “ACLs Extendidas”.Recuperado de: http://cesarcabrera.info/blog/%C2%BFcomo-

funcionan-las-acls-iii-acls-extendidas/

9. ANEXOS