ANDRES FELIPE NUÑEZ CASTRO

INFORME DE LABORATORIOS CISCO PACKET TRACER ACL

ESPECIALIZACION SEGURIDAD DE REDES

SENA – NEIVA
2019
 LABORATORIO 1

DEMOSTRACIÓN DE LISTAS DE CONTROL DE ACCESO

Objetivos

Parte 1: Verificar la conectividad local y probar la lista de control de acceso

Parte 2: Eliminar la lista de control de acceso y repetir la prueba

Aspectos básicos

En esta actividad, observará cómo se puede utilizar una lista de control de acceso (ACL) para evitar que
un ping llegue a hosts en redes remotas. Después de eliminar la ACL de la configuración, los pings se
realizarán correctamente.

Paso 1. Hacer ping a los dispositivos de la red local para verificar la conectividad

a. Desde el símbolo del sistema de la PC1, haga ping a la PC2.

Ping PC1 A PC2

 b. Desde el símbolo del sistema de la PC1, haga ping a la PC3.

PING PC1 A PC3

¿Por qué se realizaron de forma correcta los pings?

Los pings se realizaron de forma correcta porque estas redes estas conectadas al mismo router R1 y tienen
permisos para comunicarse entre ellas.

Paso 2. Hacer ping a los dispositivos en las redes remotas para probar la funcionalidad de la ACL
 a. Desde el símbolo del sistema de la PC1, haga ping a la PC4.

Ping PC1 a PC4

b. Desde el símbolo del sistema de la PC1, haga ping al servidor DNS.

PING PC1 al servidor DNS

¿Por qué fallaron los pings? (Sugerencia: utilice el modo de simulación o vea las configuraciones del Router
para investigar).

Los pings fallaron porque hay un ACL configurado en el R1 que no permite el envió de paquetes por la
interface S0/0/0 hacia la red remota, por lo tanto, los paquetes no llegan a R2
Paso 2: Eliminar la lista de acceso 11 de la configuración.
Es posible eliminar las ACL de la configuración por medio de la emisión del comando no access
list [número de ACL]. El comando no access-list elimina todas las ACL configuradas en el router. El
comando no access-list [número de ACL] solo elimina una ACL específica.
a. En la interfaz Serial0/0/0, elimine la lista de acceso 11 aplicada antes a la interfaz como filtro
de salida:
R1(config)# int se0/0/0
R1(config-if)#no ip access-group 11 out
ELIMINAR LA LISTA DE ACCESO 11 EN LA INTERFAZ

c. En el modo de configuración global, elimine la ACL por medio del siguiente comando:

R1(config)# no access-list 11
ELIMINAR LA ACL

c. Verifique que la PC1 ahora pueda hacer ping al servidor DNS y a PC4.

Ping PC1 al Servidor DNS

Ping PC1 al PC4
 LABORATORIO 2
Configuración de ACL IPv4 estándar numeradas

TOPOLOGIA

Tabla de direccionamiento
El IP Address Gateway
administrador Interfaces (Dirección IP) Máscara de subred predeterminado

G0/0 192.168.10.1 255.255.255.0 N/D

G0/1 192.168.11.1 255.255.255.0 N/D
R1
S0/0/0 10.1.1.1 255.255.255.252 N/D
S0/0/1 10.3.3.1 255.255.255.252 N/D
G0/0 192.168.20.1 255.255.255.0 N/D
R2 S0/0/0 10.1.1.2 255.255.255.252 N/D
S0/0/1 10.2.2.1 255.255.255.252 N/D
G0/0 192.168.30.1 255.255.255.0 N/D
R3 S0/0/0 10.3.3.2 255.255.255.252 N/D
S0/0/1 10.2.2.2 255.255.255.252 N/D
 PC1 NIC 192.168.10.10 255.255.255.0 192.168.10.1
PC2 NIC 192.168.11.10 255.255.255.0 192.168.11.1
PC3 NIC 192.168.30.10 255.255.255.0 192.168.30.1
Servidor Web NIC 192.168.20.254 255.255.255.0 192.168.20.1

Objetivos
Parte 1: planificar una implementación de ACL
Parte 2: configurar, aplicar y verificar una ACL estándar

Aspectos básicos/situación
Las listas de control de acceso (ACL) estándar son scripts de configuración del router que controlan si un
router permite o deniega paquetes según la dirección de origen. Esta actividad se concentra en definir criterios
de filtrado, configurar ACL estándar, aplicar ACL a interfaces de router y verificar y evaluar la
implementación de la ACL. Los routers ya están configurados, incluidas las direcciones IP y el routing del
protocolo de routing de gateway interior mejorado (EIGRP).

Parte 1: Planificar una implementación de ACL

Paso 1: Investigar la configuración actual de red.
Antes de aplicar cualquier ACL a una red, es importante confirmar que tenga conectividad completa.
Elija una computadora y haga ping a otros dispositivos en la red para verificar que la red tenga plena
conectividad. Debería poder hacer ping correctamente a todos los dispositivos.

PING PC1 a servidor Web

PING PC1 a PC3

 PING PC1 A PC2

Paso 2: Evaluar dos políticas de red y planificar las implementaciones de ACL.

a. En el R2 están implementadas las siguientes políticas de red:
 La red 192.168.11.0/24 no tiene permiso para acceder al servidor web en la red
192.168.20.0/24.
 Se permite el resto de los tipos de acceso.
Para restringir el acceso de la red 192.168.11.0/24 al servidor web en 192.168.20.254 sin interferir
con otro tráfico, se debe crear una ACL en elR2. La lista de acceso se debe colocar en la interfaz de
salida hacia el servidor web. Se debe crear una segunda regla en el R2 para permitir el resto del
tráfico.
b. En el R3 están implementadas las siguientes políticas de red:
 La red 192.168.10.0/24 no tiene permiso para comunicarse con la red 192.168.30.0/24.
 Se permite el resto de los tipos de acceso.
Para restringir el acceso de la red 192.168.10.0/24 a la red 192.168.30/24 sin interferir con otro
tráfico, se debe crear una lista de acceso en el R3. La ACL se debe colocar en la interfaz de salida
hacia la PC3. Se debe crear una segunda regla en el R3 para permitir el resto del tráfico.
Parte 2: Configurar, aplicar y verificar una ACL estándar
Paso 1: Configurar y aplicar una ACL estándar numerada en R2.
a. Cree una ACL con el número 1 en R2 con una instrucción que niegue el acceso a la red
192.168.20.0/24 desde la red 192.168.11.0/24.
R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255

ACL 1 Y RESTRICCION DE RED EN R2

b. De manera predeterminada, las listas de acceso deniegan todo el tráfico que no coincide con ninguna
regla. Para permitir el resto del tráfico, configure la siguiente instrucción:
R2(config)# access-list 1 permit any

Permitir el resto del trafico

c. Para que la ACL realmente filtre el tráfico, se debe aplicar a alguna operación del router. Para aplicar
la ACL, colóquela en la interfaz Gigabit Ethernet 0/0 para el tráfico saliente.
R2(config)# interface GigabitEthernet0/0
R2(config-if)# ip access-group 1 out

Aplicando la ACL a la interface g0/0 accediendo a un grupo

Paso 2: Configurar y aplicar una ACL estándar numerada en R3.

a. Cree una ACL con el número 1 en R3 con una instrucción que niegue el acceso a la red
192.168.30.0/24 desde la red de PC1 (192.168.10.0/24).
R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255

Creando ACL 1 en R3, para denegar el acceso a la 192.168.30.0 desde la red de PC1
(192.168.10.0/24)

b. De manera predeterminada, las ACL deniegan todo el tráfico que no coincide con ninguna regla. Para
permitir el resto del tráfico, cree una segunda regla para la ACL 1.
R3(config)# access-list 1 permit any

Permitiendo el resto del tráfico en la ACL1 creada en R3

 c. Para aplicar la ACL, colóquela en la interfaz Gigabit Ethernet 0/0 para el tráfico saliente.
R3(config)# interface GigabitEthernet0/0
R3(config-if)# ip access-group 1 out

Aplicando la ACL en la interfaz G0/0 para el tráfico saliente

Paso 3: Verificar la configuración y la funcionalidad de la ACL.

a. En el R2 y el R3, introduzca el comando show access-list para verificar las configuraciones de la
ACL. Introduzca el comando show run o show ip interface gigabitethernet 0/0 para verificar la
colocación de las ACL.
Show acces-list en R2 donde se muestra la ACL

Show acces-list en R3 donde se muestra la ACL

Show run en R2 – interface g0/0 donde se muestra la ACL en la interface

Show run en R3 – interface g0/0 donde se muestra la ACL en la interface

b. Una vez aplicadas las dos ACL, el tráfico de la red se restringe según las políticas detalladas en la
Parte 1. Utilice las siguientes pruebas para verificar las implementaciones de ACL:
 Un ping de 192.168.10.10 a 192.168.11.10 se realiza correctamente.
PING PC1 A PC2

 Un ping de 192.168.10.10 a 192.168.20.254 se realiza correctamente.

PING PC1 A SERVIDOR WEB

 Un ping de 192.168.11.10 a 192.168.20.254 falla.

PING PC2 A SERVIDOR WEB – Falla debido al ACL, la restricción
 Un ping de 192.168.10.10 a 192.168.30.10 falla.

PING DE PC2 A PC3 – Falla debido al ACL

 Un ping de 192.168.11.10 a 192.168.30.10 se realiza correctamente.

PING DE PC2 A PC3 – Están conectados al mismo router

 Un ping de 192.168.30.10 a 192.168.20.254 se realiza correctamente.

PING PC3 A SERVIDOR WEB – SE REALIZA CORRECTAMENTE

 LABORATORIO 3

TOPOLOGIA

Configuración de ACL estándar con nombre

Tabla de direccionamiento
Gateway
Dispositivo Interfaz Dirección IP Máscara de subred predeterminado

F0/0 192.168.10.1 255.255.255.0 N/D

F0/1 192.168.20.1 255.255.255.0 N/D
R1
E0/0/0 192.168.100.1 255.255.255.0 N/D
E0/1/0 192.168.200.1 255.255.255.0 N/D
Servidor de
NIC 192.168.200.100 255.255.255.0 192.168.200.1
archivos
Servidor web NIC 192.168.100.100 255.255.255.0 192.168.100.1
PC0 NIC 192.168.20.3 255.255.255.0 192.168.20.1
PC1 NIC 192.168.20.4 255.255.255.0 192.168.20.1
PC2 NIC 192.168.10.3 255.255.255.0 192.168.10.1

Objetivos
Parte 1: configurar y aplicar una ACL estándar con nombre
Parte 2: verificar la implementación de la ACL
Aspectos básicos/situación
El administrador de red ejecutivo le ha solicitado que cree una ACL con nombre estándar para impedir el
acceso a un servidor de archivos. Se debe denegar el acceso de todos los clientes de una red y de una
estación de trabajo específica de una red diferente.

Parte 1: Configurar y aplicar una ACL estándar con nombre

Paso 1: Verificar la conectividad antes de configurar y aplicar la ACL.
Las tres estaciones de trabajo deben poder hacer ping tanto al Servidor web como al Servidor de
archivos

PING PC 1 A SERVIDOR DE ARCHIVOS

PING PC 1 A SERVIDOR WEB

PING PC 2 A SERVIDOR DE ARCHIVOS

PING PC 2 A SERVIDOR WEB

PING PC 0 A SERVIDOR DE ARCHIVOS

PING PC 0 A SERVIDOR WEB

Paso 2: Configurar una ACL estándar con nombre.
Configure la siguiente ACL con nombre en el R1.
R1(config)# ip access-list standard File_Server_Restrictions
R1(config-std-nacl)# permit host 192.168.20.4
R1(config-std-nacl)# deny any
SE CREA LA ACL EN R1, DONDE SE PERMITE EL HOST 192.168.20.4 Y SE DENIEGAN
LOS DEMAS

Nota: a los fines de la puntuación, el nombre de la ACL distingue mayúsculas de minúsculas.

Paso 3: Aplicar la ACL con nombre.

a. Aplique la ACL de salida a la interfaz Fast Ethernet 0/1.
R1(config-if)# ip access-group File_Server_Restrictions out

Se aplica la ACL creada de File_Server_Restrictions out, en el Fast Ethernet 0/1 de R1

b. Guarde la configuración.

SE GUARDA LA CONFIGURACION DE LA ACL CREADA EN R1

Parte 2: Verificar la implementación de la ACL
Paso 1: Verificar la configuración de la ACL y su aplicación a la interfaz.
Utilice el comando show access-lists para verificar la configuración de la ACL. Utilice el comando show
run o show ip interface fastethernet 0/1 para verificar que la ACL se haya aplicado de forma correcta a
la interfaz.

Show Access-list en R1, se observa la ACL creada File_Server_Restrictions y sus permisos y

denegaciones

Paso 2: Verifique que la ACL esté funcionando correctamente.

Aunque las tres estaciones de trabajo deberían poder hacer ping al servidor web, pero sólo PC1 debería
poder hacer ping al servidor web.

PING DE LA PC1 AL SERVIDOR WEB

PING DE LA PC2 AL SERVIDOR WEB

PING DE LA PC0 AL SERVIDOR WEB

 LABORATORIO 4

TOPOLOGIA

configuración de una ACL en líneas VTY

Tabla de asignación de direcciones
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado

Router F0/0 10.0.0.254 255.0.0.0 N/D

PC NIC 10.0.0.1 255.0.0.0 10.0.0.254
Computadora
NIC 10.0.0.2 255.0.0.0 10.0.0.254
portátil

Objetivos
Parte 1: configurar y aplicar una ACL a las líneas VTY
Parte 2: verificar la implementación de la ACL

Aspectos básicos
Como administrador de red, debe tener acceso remoto al router. Este acceso no debe estar disponible para
otros usuarios de la red. Por lo tanto, configurará y aplicará una lista de control de acceso (ACL) que
permita el acceso de una computadora (PC) a las líneas Telnet, pero que deniegue el resto de las
direcciones IP de origen.
Parte 1: Configurar y aplicar una ACL a las líneas VTY
Paso 1: Verificar el acceso por Telnet antes de configurar la ACL.
Ambas computadoras deben poder acceder al Router mediante Telnet. La contraseña es cisco.
ACCESO A ROUTER MEDIANTE TELNET EN PC

ACCESO A ROUTER MEDIANTE TELNET EN PORTATIL

Paso 2: Configurar una ACL estándar numerada.
Configure la siguiente ACL numerada en el Router.
Router(config)# access-list 99 permit host 10.0.0.1
Ya que no deseamos permitir el acceso desde ninguna otra computadora, la propiedad de denegación
implícita de la lista de acceso cumple nuestros requisitos.

Paso 3: Colocar una ACL estándar con nombre en el router.

Se debe permitir el acceso a las interfaces del Router y se debe restringir el acceso por Telnet. Por lo
tanto, debemos colocar la ACL en las líneas Telnet que van de 0 a 15. Desde la petición de entrada de
configuración del Router, acceda al modo de configuración de línea de las líneas 0 a 15 y utilice el
comando access-class para aplicar la ACL a todas las líneas VTY:
Router(config)# line vty 0 15
Router(config-line)# access-class 99 in
Restringiengo el acceso por Telnet en las líneas VTY de 0 a 15

Parte 2: Verificar la implementación de la ACL

Paso 1: Verificar la configuración de la ACL y su aplicación a las líneas VTY.
Utilice el comando show access-lists para verificar la configuración de la ACL. Utilice el comando show
run para verificar que la ACL esté aplicada a las líneas VTY.
Show acces-lists, se observa la acl 99
 Show run se observa la acl 99 en la línea vty para restringir el acceso vía telenet

Paso 2: Verifique que la ACL esté funcionando correctamente.

Ambas computadoras deben poder hacer ping al Router, pero solo PC debería poder acceder al Router
mediante Telnet.

PING PC A ROUTER

PING PORTATIL A ROUTER

INGRESANDO A ROUTER DESDE TELNET EN PC

INGRESANDO A ROUTER DESDE TELNET EN PORTATIL
 LABORATORIO 5
Solución de problemas de las ACL IPv4 estándar
Tabla de direccionamiento
IP Address (Dirección Gateway
El administrador Interfaces IP) Máscara de subred predeterminado

G0/0 10.0.0.1 255.0.0.0 N/D

R1 G0/1 172.16.0.1 255.255.0.0 N/D
G0/2 192.168.0.1 255.255.255.0 N/D
Servidor1 NIC 172.16.255.254 255.255.0.0 172.16.0.1
Servidor2 NIC 192.168.0.254 255.255.255.0 192.168.0.1
Server3 NIC 10.255.255.254 255.0.0.0 10.0.0.1
L1 NIC 172.16.0.2 255.255.0.0 172.16.0.1
L2 NIC 192.168.0.2 255.255.255.0 192.168.0.1
L3 NIC 10.0.0.2 255.0.0.0 10.0.0.1

Objetivos
Parte 1: resolver el problema 1 de la ACL
Parte 2: resolver el problema 2 de la ACL
Parte 3: resolver el problema 3 de la ACL

Situación
En esta red, deberían estar implementadas las tres políticas siguientes:
· Los hosts de la red 192.168.0.0/24 no pueden acceder a la red 10.0.0.0 /8.
· L3 no puede acceder a ningún dispositivo en la red 192.168.0.0/24.
· L3 no puede acceder a Servidor1 ni a Servidor2. L3 solo debe acceder a Servidor3.
· Los hosts de la red 172.16.0.0/16 tienen acceso total a Servidor1, Servidor2 y Servidor3.
Nota: todos los nombres de usuario y las contraseñas del FTP son “cisco”.
No debe haber otras restricciones. Lamentablemente, las reglas implementadas no funcionan de manera
correcta. Su tarea es buscar y corregir los errores relacionados con las listas de acceso en el R1.

Parte 1: Solucionar el problema de ACL 1

Los hosts de la red 192.168.0.0/24 no deben poder acceder a ningún dispositivo en la red 10.0.0.0/8. En
este momento, este no es el caso.

Paso 1: Determinar el problema a nivel ACL.

A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la
ACL.
a. Desde L2, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2 y Servidor3.
HTTP SERVIDOR1

HTTP SERVIDOR2

HTTP SERVIDOR3
 FTP SERVIDOR 1

FTP SERVIDOR 2

FTP SERVIDOR 3

b. Desde L2, haga ping a Servidor1, Servidor2 y Servidor3.

PING L2 A SERVIDOR 1

PING L2 A SERVIDOR 2
 PING L2 A SERVIDOR 3

c. Vea la configuración en ejecución en R1. Examine la lista de accesoFROM_192 y su ubicación en

las interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto? ¿Existe
alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están
en el orden correcto?
Por medio del comando show acces-list y show running-config podemos ver la configuración del router
la lista de las ACL creadas

La ACL FROM_192 no esta asignada a ninguna interfaz pero según la ACL se quiere denegar
la red 192.168.0.0
d. Realice otras pruebas, según sea necesario.

Paso 2: Implementar una solución.

Realice los ajustes necesarios a FROM_192, o a su ubicación, para solucionar el problema.
 Le asignamos la ACL a la interface g0/0

Paso 3: Verificar que el problema se haya resuelto y registrar la solución.

Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.

Parte 2: Solucionar el problema de ACL 2

L3 no debería poder comunicarse con Servidor1 ni con Servidor2. En este momento, este no es el caso.

Paso 1: Determinar el problema a nivel ACL.

A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la
ACL.
a. Desde L3, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2 y Servidor3.
L3 INGRESANDO A FTP SERVIDOR 1

L3 INGRESANDO A HTTP SERVIDOR 1

L3 INGRESANDO A FTP SERVIDOR 2

L3 INGRESANDO A HTTP SERVIDOR 2

L3 INGRESANDO A FTP SERVIDOR 3

 L3 INGRESANDO A HTTP SERVIDOR 3

b. Desde L3, haga ping a Servidor1, Servidor2 y Servidor3.

PING L3 A SERVIDOR 1

PING L3 A SERVIDOR 2
 PING L3 A SERVIDOR 3

c. Vea la configuración en ejecución en R1. Examine la lista de accesoFROM_10 y su ubicación en las

interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto? ¿Existe
alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están
en el orden correcto?
La ACL FROM_10 se encuentra asignada la interface g0/0 en modo in

Se deniega el trafico para el host 10.0.0.22

d. Realice otras pruebas, según sea necesario.

Paso 2: Implementar una solución.

Realice los ajustes necesarios a la lista de acceso FROM_10, o a su ubicación, para solucionar el
problema.
Se elimina el host que se esta denegando y se cambio por el 10.0.02 que es el correcto en este caso
Paso 3: Comprobar que se haya resuelto el problema y documentar la solución.
Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.

Parte 3: Solucionar el problema de ACL 3

Los hosts de la red 172.16.0.0/16 deberían tener acceso total a Servidor1, Servidor2 y Servidor3, pero
este no es el caso en este momento, ya que L1no se puede comunicar con Servidor2 ni con Servidor3.

Paso 1: Determinar el problema a nivel ACL.

A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la
ACL.
a. Desde L1, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2 y Servidor3.
ACCEDIENDO A SERVIDOR FTP 1 DESDES L1

ACCEDIENDO A SERVIDOR HTTP 1 DESDE L1

ACCEDIENDO A SERVIDOR FTP 1 DESDES L2

ACCEDIENDO A SERVIDOR HTTP 1 DESDE L2

ACCEDIENDO A SERVIDOR FTP 1 DESDES L3

 ACCEDIENDO A SERVIDOR HTTP 1 DESDE L3

b. Desde L1, haga ping a Servidor1, Servidor2 y Servidor3.

PING DE L1 A SERVIDOR1

PING DE L1 A SERVIDOR2

PING DE L1 A SERVIDOR3
 c. Vea la configuración en ejecución en R1. Examine la lista de accesoFROM_172 y su ubicación en
las interfaces. ¿La lista de acceso se colocó en el puerto apropiado y en el sentido correcto? ¿Existe
alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están
en el orden correcto?

Las de control de acceso FROM_172 se encuentra en la G0/1 en modo de entrada y se deniega la

direccion host 172.16.0.2

d. Realice otras pruebas, según sea necesario.

Paso 2: Implementar una solución.

Realice los ajustes necesarios a la lista de acceso FROM_172, o a su ubicación, para solucionar el
problema.
Se elimina la ACL en la interface g0/1 ya que no es necesario implementar la ACL

Paso 3: Comprobar que se haya resuelto el problema y documentar la solución.

Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.

FTP SERVIDOR1
HTTP SERVIDOR1

FTP SERVIDOR2

HTTP SERVIDOR2

FTP SERVIDOR3

HTTP SERVIDOR3
PING DE L1 A SERVIDOR 1

PING DE L1 A SERVIDOR 2

PING DE L1 A SERVIDOR 3