Escolar Documentos
Profissional Documentos
Cultura Documentos
CONMUTACIÓN Y RUTEO I
1. DATOS GENERALES:
NOMBRE: CODIGO:
2016/07/20 2016/07/24
2. OBJETIVOS
2.1. GENERAL
2.2 ESPECIFICOS
3. METODOLOGIA
Práctica
4. EQUIPOS Y MATERIALES
5. MARCO TEORICO
ACLs extendidas
A diferencia de lo que sucede con la ACL estándar, las extendidas permiten especificar hacia
dónde se dirige el tráfico y con ésta característica, se puede bloquear o permitir un tráfico mucho
más específico: sólo tráfico que proviene del host pero se dirige a una red en particular o a otro
host en particular o sólo el tráfico de una red que se dirige a otra red en particular. El truco se
logra con el hecho de permitir comparar las direcciones destino de los paquetes contra la acl,
no sólo las direcciones origen. Dentro de lo que hemos venido manejando, hablamos que una
acl está compuesta por un conjunto de reglas todas con el mismo identificador, que cada regla
era una línea compuesta por una acción y una condición que el paquete debe cumplir para
aplicarle la acción (permitir o denegar). Las condiciones en las acl estándar están compuestas
por una dirección de referencia y una wildcard que dice qué bits de la dirección origen de los
paquetes se deben comparar con la dirección de referencia, en las acls extendidas se especifica
dos pares de direcciones de referencia/wildcard, un par para la dirección origen de los paquetes
y otro par para la dirección destino de los mismos. Vamos a extender el ejemplo que venimos
usando y usar ésta idea de filtrado más granular.
El requisito dado es permitir un host de una red, el resto de la red la vamos a bloquear y cualquier
otra red la vamos a permitir. Para extender el ejemplo digamos que queremos permitir el tráfico
del host, excepto lo que vaya a un host particular, digamos el 172.16.1.1, y que de la red
completa queremos permitir lo que vaya a un servidor en especial de la empresa, digamos el
192.168.2.1. Las reglas de la acl estandar nos sirven de inicio, como de costumbre lo más
específico lo vamos a poner de primero en la regla para evitar que las reglas más generales
incluyan a las particulares.
En ésta lista observamos varias cosas nuevas: ip, las acl extendidas no sólo permiten especificar
las direcciones origen y destino sino discriminar por protocolos e incluso por parámetros
particulares de cada protocolo pero eso lo veremos luego, por lo pronto lo importante es que ip
indica que todos los protocolos que se encapsulan dentro de ip serán afectados por ésta lista de
acceso. En este caso, la palabra ip para los protocolos es similar a any en las direcciones, casi
todo se encapsula en ip por lo tanto especificar ip es como especificar cualquier protocolo (de
capa 4 en adelante). En vez de ip se puede poner un protocolo equivalente o de capa 4, por
ejemplo se puede filtrar icmp, tcp o udp, cambiando la palabra ip por éstas últimas.
Finalmente, la dirección de referencia 0.0.0.0 con máscara wildcard 255.255.255.255. Como esta
máscara es todo unos, eso significa que ningún bit del paquete se compara con la dirección de
referencia, es decir, no importa qué escriba en la dirección de referencia cualquier destino
coincide. Esta máscara es lo mismo que any, debido a que la máscara es equivalente a cualquier
dirección y puede usarse tanto para el origen como para el destino.
6. PROCEDIMIENTO
Información básica/Situación
Dos empleados necesitan acceder a los servicios proporcionados por el servidor.
La PC1 solo necesita acceso FTP, mientras que la PC2 solo necesita acceso web. Ambos
equipos pueden hacer ping al servidor, pero no entre sí.
d. Esta ACL permite FTP y ICMP. ICMP se mencionó anteriormente, pero FTP no porque
FTP utiliza TCP. Entonces, ingrese TCP. Escriba tcp para refinar aún más la ayuda de
la ACL.
e. Observe que se podría filtrar por PC1 por medio de la palabra clave host , o bien se
podría permitir cualquier (any ) host. En este caso, se permite cualquier dispositivo con
una dirección que pertenezca a la red 172.22.34.64/27. Ingrese la dirección de red,
seguida de un signo de interrogación.
i. Observe que una de las opciones es <cr> (retorno de carro). Es decir, puede presionar
la tecla Enter, y la instrucción permitiría todo el tráfico TCP. Sin embargo, solo se
permitirá el tráfico FTP. Por lo tanto, introduzca la palabra clave eq , seguida de un
signo de interrogación para mostrar las opciones disponibles. Luego, introduzca ftp y
presione Enter .
j. Cree una segunda instrucción de lista de acceso para permitir el tráfico ICMP (ping,
etcétera) de laPC1 al servidor . Tenga en cuenta que el número de la lista de acceso
es el mismo y no es necesario detallar un tipo específico de tráfico ICMP.
d. Haga ping de PC1 a PC2 . El host de destino debe ser inalcanzable, porque el tráfico
no tiene permiso explícito.
Parte 2: configurar, aplicar y verificar una ACL extendida con
nombre
Paso 1: configurar una ACL para que permita el acceso HTTP y el tráfico ICMP.
a. Las ACL con nombre comienzan con la palabra clave ip . En el modo de configuración
global del R1, introduzca el siguiente comando, seguido de un signo de interrogación.
b. Puede configurar ACL nombradas estándar y extendidas. Esta lista de acceso filtra
tanto las direcciones IP de origen como de destino; por lo tanto, debe ser extendida.
IntroduzcaHTTP_ONLY como nombre. (Para la calificación de Packet Tracer, el
nombre distingue mayúsculas de minúsculas.)
c. Abra el navegador web en la PC2 e introduzca la dirección IP del servidor como URL.
La conexión debería establecerse correctamente.
7. CONCLUCIONES Y RECOMENDACIONES
8. BIBLIOGRAFIA
9. ANEXOS