Lab 7 Completo

Práctica de laboratorio: Configuración y verificación de ACL IPv4
estándar
Topología
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
Tabla de asignación de direcciones
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
R1 G0/1 192.168.10.1 255.255.255.0 N/D

Lo0 192.168.20.1 255.255.255.0 N/D
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/D
ISP S0/0/0 10.1.1.2 255.255.255.252 N/D
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/D
Lo0 209.165.200.225 255.255.255.224 N/D
R3 G0/1 192.168.30.1 255.255.255.0 N/D
Lo0 192.168.40.1 255.255.255.0 N/D
S0/0/1 10.2.2.1 255.255.255.252 N/D
S1 VLAN 1 192.168.10.11 255.255.255.0 192.168.10.1
S3 VLAN 1 192.168.30.11 255.255.255.0 192.168.30.1
PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1
PC-C NIC 192.168.30.3 255.255.255.0 192.168.30.1
Objetivos
Parte 1: Establecer la topología e inicializar los dispositivos
• Configurar los equipos para que coincidan con la topología de la red.
• Inicializar y volver a cargar los routers y los switches.
Parte 2: Configurar los dispositivos y verificar la conectividad
• Asignar una dirección IP estática a las computadoras.
• Configurar los parámetros básicos en los routers.
• Configurar los parámetros básicos en los switches.
• Configure el routing RIP en R1, ISP y R3.
• Verificar la conectividad entre los dispositivos.
Parte 3: Configurar y verificar ACL estándar numeradas y con nombre
• Configurar, aplicar y verificar una ACL estándar numerada.
• Configurar, aplicar y verificar una ACL con nombre.
Parte 4: Modificar una ACL estándar
• Modificar y verificar una ACL estándar con nombre.
• Probar la ACL.
Aspectos básicos/situación
La seguridad de red es una cuestión importante al diseñar y administrar redes IP. La capacidad para
configurar reglas apropiadas para filtrar los paquetes, sobre la base de las políticas de seguridad
establecidas, es una aptitud valiosa.
En esta práctica de laboratorio, establecerá reglas de filtrado para dos oficinas representadas por el R1 y el
R3. La administración estableció algunas políticas de acceso entre las redes LAN ubicadas en el R1 y el R3,
que usted debe implementar. El router ISP que se ubica entre el R1 y el R3 no tendrá ninguna ACL. Usted no
tiene permitido el acceso administrativo al router ISP, debido a que solo puede controlar y administrar sus
propios equipos.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco de la serie 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). Los switches que se
utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
laboratorio. Consulte la tabla Resumen de interfaces del router al final de la práctica de laboratorio para
obtener los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
Recursos necesarios
• 3 routers (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet y seriales, como se muestra en la topología
Parte 1: Establecer la topología e inicializar los dispositivos

En la parte 1, establecerá la topología de la red y borrará cualquier configuración, en caso de ser necesario.
Paso 1: Realizar el cableado de red tal como se muestra en la topología
Paso 2: Inicializar y volver a cargar los routers y los switches
Parte 2: Configurar los dispositivos y verificar la conectividad

En la parte 2, configurará los parámetros básicos en los routers, los switches y las computadoras. Consulte la
topología y la tabla de direccionamiento para conocer los nombres de los dispositivos y obtener información
de direcciones.
Paso 1: Configurar las direcciones IP en la PC-A y en la PC-C
Paso 2: Configurar los parámetros básicos de los routers

a. Acceda al router e ingrese al modo de configuración global.
b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el router.
no ip domain-lookup
hostname R1
service password-encryption
enable secret class
banner motd #
Unauthorized access is strictly prohibited. #
Line con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
c. Configure el nombre del dispositivo como se muestra en la topología.
d. Cree interfaces loopback en cada router como se muestra en la tabla de direccionamiento.
e. Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de
direccionamiento.
f. Asigne la frecuencia de reloj 128000 a las interfaces seriales DCE.
g. Habilite el acceso de Telnet.
h. Copie la configuración en ejecución en la configuración de inicio
Paso 3: (Optativo) Configurar los parámetros básicos en los switches

a. Acceda al switch mediante el puerto de consola e ingrese al modo de configuración global.
b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el switch.
no ip domain-lookup
enable secret class
banner motd #
Line con 0
password cisco
login
logging synchronous
line vty 0 15
password cisco
login
exit
c. Configure el nombre del dispositivo como se muestra en la topología.
d. Configure la dirección IP de la interfaz de administración, como se muestra en la topología y en la tabla
de direccionamiento.
e. Configurar un gateway predeterminado.
f. Habilite el acceso de Telnet.
g. Copie la configuración en ejecución en la configuración de inicio
Paso 4: Configurar routing RIP en R1, ISP y R3

a. Configure RIP versión 2 y anuncie todas las redes en R1, ISP y R3. La configuración de RIP del R1 y el
ISP se incluye como referencia.
R1(config)# router rip
R1(config-router)# version 2
R1(config-router)# network 192.168.10.0
ISP(config)# router rip

ISP(config-router)# version 2
ISP(config-router)# network 209.165.200.224
b. Después de configurar RIP en R1, ISP y R3, verifique que todos los routers tengan tablas de routing
completas con todas las redes. De lo contrario, resuelva el problema.
Paso 5: Verificar la conectividad entre los dispositivos

Nota: es muy importante probar si la conectividad funciona antes de configurar y aplicar listas de acceso.
Tiene que asegurarse de que la red funcione adecuadamente antes de empezar a filtrar el tráfico.
a. Desde la PC-A, haga ping a la PC-C y a la interfaz loopback en el R3. ¿Los pings se realizaron
correctamente? si
_______
b. Desde el R1, haga ping a la PC-C y a la interfaz loopback en el R3. ¿Los pings se realizaron
correctamente? si
_______
c. Desde la PC-C, haga ping a la PC-A y a la interfaz loopback en el R1. ¿Los pings se realizaron
correctamente? si
_______
d. Desde el R3, haga ping a la PC-A y a la interfaz loopback en el R1. ¿Los pings se realizaron
correctamente? si
_______
Parte 3: Configurar y verificar ACL estándar numeradas y con nombre
Paso 1: Configurar una ACL estándar numerada

Las ACL estándar filtran el tráfico únicamente sobre la base de la dirección IP de origen. Una práctica
recomendada típica para las ACL estándar es configurarlas y aplicarlas lo más cerca posible del destino.
Para la primera lista de acceso, cree una ACL estándar numerada que permita que el tráfico proveniente de
todos los hosts en la red 192.168.10.0/24 y de todos los hosts en la red 192.168.20.0/24 acceda a todos los
hosts en la red 192.168.30.0/24. La política de seguridad también indica que debe haber una entrada de
control de acceso (ACE) deny any, también conocida como “instrucción de ACL”, al final de todas las ACL.
¿Qué máscara wildcard usaría para permitir que todos los hosts en la red 192.168.10.0/24 accedan a la red
192.168.30.0/24?
0.0.0.255
______________________________________________________________________________
Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? en R3
___________
¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría?
En la interfaz g0/1. en el sentido de salidas
_____________________________________________________________________________________
a. Configure la ACL en el R3. Use 1 como el número de lista de acceso.
R3(config)# access-list 1 remark Allow R1 LANs Access
R3(config)# access-list 1 permit 192.168.10.0 0.0.0.255
R3(config)# access-list 1 permit 192.168.20.0 0.0.0.255
R3(config)# access-list 1 deny any
b. Aplique la ACL a la interfaz apropiada en el sentido correcto.
R3(config)# interface g0/1
R3(config-if)# ip access-group 1 out
c. Verifique una ACL numerada.
El uso de diversos comandos show puede ayudarle a verificar la sintaxis y la colocación de las ACL en
el router.
¿Qué comando usaría para ver la lista de acceso 1 en su totalidad, con todas las ACE?
show acces-list
____________________________________________________________________________________
¿Qué comando usaría para ver dónde se aplicó la lista de acceso y en qué sentido?
show ip int f0/1 show running-config
____________________________________________________________________________________
1) En el R3, emita el comando show access-lists 1.
R3# show access-list 1
Lista de acceso IP estándar 1
10 permit 192.168.10.0, wildcard bits 0.0.0.255
30 deny any
2) En el R3, emita el comando show ip interface g0/1.
R3# show ip interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.30.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is 1
Inbound access list is not set
Resultado omitido
3) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.10.0/24 acceda a la red
192.168.30.0/24. Desde el símbolo del sistema en la PC-A, haga ping a la dirección IP de la PC-C.
¿Fueron correctos los pings? si
_______
192.168.30.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R1 como origen.
Haga ping a la dirección IP de la PC-C. ¿Fueron correctos los pings? si
_______
R1# ping
Protocol [ip]:
Target IP address: 192.168.30.3

Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.20.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.3, timeout is 2 seconds:
Packet sent with a source address of 192.168.20.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
d. Desde la petición de entrada del R1, vuelva a hacer ping a la dirección IP de la PC-C.
R1# ping 192.168.30.3
¿El ping se realizó correctamente? ¿Por qué o por qué no?
____________________________________________________________________________________
no, porque el origen de la prueba fue otra direcion , y no estaba permitida.
____________________________________________________________________________________
____________________________________________________________________________________
Paso 2: Configurar una ACL estándar con nombre

Cree una ACL estándar con nombre que se ajuste a la siguiente política: permitir que el tráfico de todos los
hosts en la red 192.168.40.0/24 tenga acceso a todos los hosts en la red 192.168.10.0/24. Además, solo
debe permitir el acceso del host PC-C a la red 192.168.10.0/24. El nombre de esta lista de acceso debe ser
BRANCH-OFFICE-POLICY.
Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? R1
___________
¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría?
EN LA F0/1 SENTIDO DE SALIDA
_____________________________________________________________________________________
a. Cree la ACL estándar con nombre BRANCH-OFFICE-POLICY en el R1.
R1(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# permit host 192.168.30.3
R1(config-std-nacl)# permit 192.168.40.0 0.0.0.255
R1(config-std-nacl)# end
R1#
*Feb 15 15:56:55.707: %SYS-5-CONFIG_I: Configured from console by console
Observe la primera ACE permit en la lista de acceso. ¿Cuál sería otra forma de escribir esto?
PERMIT 192.168.30.3 0.0.0.0.0
____________________________________________________________________________________
b. Aplique la ACL a la interfaz apropiada en el sentido correcto.

R1# config t
R1(config)# interface g0/1
R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out
c. Verifique una ACL con nombre.
1) En el R1, emita el comando show access-lists.
R1# show access-lists
Standard IP access list BRANCH-OFFICE-POLICY
10 permit 192.168.30.3
¿Hay alguna diferencia entre esta ACL en el R1 y la ACL en el R3? Si es así, ¿cuál es?
______________________________________________________________________________
EN LA ACL DE R1 SE PERMITE UN HOST Y UNA RED MIENTRAS R3 SE PERMITEN 3
REDES.
______________________________________________________________________________
EN R1 NO TRAE LA INSTRUCCION DENY ENY DE FORMA EXPLICITA, EN R3 SI
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
2) En el R1, emita el comando show ip interface g0/1.
R1# show ip interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.10.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is BRANCH-OFFICE-POLICY
Inbound access list is not set
<Resultado omitido>
3) Probar la ACL. Desde el símbolo del sistema en la PC-C, haga ping a la dirección IP de la PC-A.
¿Fueron correctos los pings? SI
_______
4) Pruebe la ACL para asegurarse de que solo el host PC-C tenga acceso a la red 192.168.10.0/24.
Debe hacer un ping extendido y usar la dirección G0/1 en el R3 como origen. Haga ping a la
dirección IP de la PC-A. ¿Fueron correctos los pings? NO
_______
192.168.10.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R3 como origen.
Haga ping a la dirección IP de la PC-A. ¿Fueron correctos los pings? SI
_______
Parte 4: Modificar una ACL estándar

En el ámbito empresarial, es común que las políticas de seguridad cambien. Por este motivo, quizá sea
necesario modificar las ACL. En la parte 4, cambiará una de las ACL que configuró antes para que coincida
con una nueva política de administración que se debe implementar.
La administración decidió que los usuarios de la red 209.165.200.224/27 no deben tener acceso total a la red
192.168.10.0/24. La administración también desea que las ACL en todos sus routers se ajusten a reglas
coherentes. Se debe colocar una ACE deny any al final de todas las ACL. Debe modificar la ACL BRANCH-
OFFICE-POLICY.
Agregará dos líneas adicionales a esta ACL. Hay dos formas de hacer esto:
OPCIÓN 1: Emita un comando no ip access-list standard BRANCH-OFFICE-POLICY en el modo de
configuración global. Esto quitaría la ACL completa del router. Según el IOS del router, ocurriría una de las
siguientes situaciones: se cancelaría todo el filtrado de paquetes y se permitiría el acceso de todos los
paquetes al router o bien, debido a que no quitó el comando ip access-group de la interfaz G0/1, el filtrado
se sigue implementando. Independientemente de lo que suceda, una vez que la ACL ya no esté, puede
volver a escribir toda la ACL o cortarla y pegarla con un editor de texto.
OPCIÓN 2: Puede modificar las ACL implementadas y agregar o eliminar líneas específicas dentro de las
ACL. Esto puede ser práctico, especialmente con las ACL que tienen muchas líneas de código. Al volver a
escribir toda la ACL, o al cortarla y pegarla, se pueden producir errores con facilidad. La modificación de las
líneas específicas dentro de la ACL se logra fácilmente.
Nota: Para esta práctica de laboratorio, utilice la opción 2.
Paso 1: Modificar una ACL estándar con nombre

a. En el modo EXEC con privilegios en R1, emita el comando show access-lists.
10 permit 192.168.30.3 (8 matches)
20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches)
b. Agregue dos líneas adicionales al final de la ACL. En el modo de configuración global, modifique la ACL
BRANCH-OFFICE-POLICY.
R1#(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# 30 permit 209.165.200.224 0.0.0.31
R1(config-std-nacl)# 40 deny any
R1(config-std-nacl)# end
c. Verifique la ACL.
1) En el R1, emita el comando show access-lists.
10 permit 192.168.30.3 (8 matches)
40 deny any
¿Debe aplicar la ACL BRANCH-OFFICE-POLICY a la interfaz G0/1 en el R1?
______________________________________________________________________________
NO, YA ESTA APLICADA LA ACL INTERFAZ
______________________________________________________________________________
2) Desde la entrada de comandos del ISP, emita un ping extendido. Pruebe la ACL para ver si permite
que el tráfico de la red 209.165.200.224/27 acceda a la red 192.168.10.0/24. Debe hacer un ping
extendido y usar la dirección loopback 0 en el ISP como origen. Haga ping a la dirección IP de la PC-
A. ¿Fueron correctos los pings? SI_______
Reflexión
1. Como puede observar, las ACL estándar son muy eficaces y funcionan muy bien. ¿Por qué tendría la
necesidad de usar ACL extendidas?
_______________________________________________________________________________________
PARA PRESISAR MAS EL TRAFIC,DIRECCION DE DESTINO Y NUMERO DE PUERTOS.
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Generalmente, se requiere escribir más al usar una ACL con nombre que una ACL numerada. ¿Por qué
elegiría ACL con nombre en vez de ACL numeradas?
_______________________________________________________________________________________
PERMITE DEFINIR MEJOR EL PROPOSITO DE LA ACL
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Tabla de resumen de interfaces de router
Resumen de interfaces de router
Modelo de Interfaz Ethernet 1 Interfaz Ethernet 2 Interfaz serial 1 Interfaz serial 2

router
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de hacer una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
Práctica de laboratorio: configuración y verificación de
restricciones de VTY
Topología
Tabla de direccionamiento
El Máscara de Gateway
administrador Interfaces Dirección IP subred predeterminado
R1 G0/0 192.168.0.1 255.255.255.0 N/D

G0/1 192.168.1.1 255.255.255.0 N/D
S1 VLAN 1 192.168.1.2 255.255.255.0 192.168.1.1
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.0.3 255.255.255.0 192.168.0.1
Objetivos
Parte 1: Configurar los parámetros básicos de los dispositivos
Parte 2: configurar y aplicar la lista de control de acceso en el R1
Parte 3: verificar la lista de control de acceso mediante Telnet
Parte 4: configurar y aplicar la lista de control de acceso en el S1 (desafío)
Es aconsejable restringir el acceso a las interfaces de administración del router, como las líneas de consola y
las líneas vty. Se puede utilizar una lista de control de acceso (ACL) para permitir el acceso de direcciones IP
específicas, lo que asegura que solo la computadora del administrador tenga permiso para acceder al router
mediante telnet o SSH.
Nota: En los resultados de los dispositivos Cisco, ACL se abrevia como access-list (lista de acceso).
En esta práctica de laboratorio, creará y aplicará una ACL estándar con nombre para restringir el acceso
remoto a las líneas vty del router.
Después de crear y aplicar la ACL, probará y verificará la ACL intentando acceder al router desde diferentes
direcciones IP mediante Telnet.
En esta práctica de laboratorio se le proporcionarán los comandos necesarios para crear y aplicar la ACL.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son
Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros routers,
switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
Práctica de laboratorio: Configuración y verificación de restricciones de VTY
laboratorio. Consulte la tabla Resumen de interfaces del router al final de la práctica de laboratorio para
obtener los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
Recursos necesarios
• 1 router (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)
• 1 switch (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet, como se muestra en la topología
Nota: las interfaces Gigabit Ethernet en los routers Cisco de la serie 1941 tienen detección automática, y se
puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco,
puede ser necesario usar un cable Ethernet cruzado.
Parte 1. Configurar los parámetros básicos de dispositivos

En la parte 1, establecerá la topología de la red y configurará las direcciones IP de las interfaces, el acceso a
los dispositivos y las contraseñas del router.
Paso 1. Realice el cableado de red tal como se muestra en el diagrama de topología.
Paso 2. configurar los parámetros de red de la PC-A y la PC-A, según la tabla de

direccionamiento.
Paso 3. Inicializar y volver a cargar el router y el switch.

a. Acceda al router e ingrese al modo de configuración global.
b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el router.
no ip domain-lookup
hostname R1
enable secret class
banner motd #
Line con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
c. Configure las direcciones IP en las interfaces que se indican en la tabla de direccionamiento.
d. Guarde la configuración en ejecución en el archivo de configuración de inicio.
e. Acceda al switch mediante el puerto de consola e ingrese al modo de configuración global.
f. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el switch.

no ip domain-lookup
hostname S1
enable secret class
banner motd #
Line con 0
password cisco
login
logging synchronous
line vty 0 15
password cisco
login
exit
g. Configure las direcciones IP en la interfaz de VLAN1 que se indican en la tabla de direcciones.
h. Configure el gateway predeterminado para el switch.
i. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Parte 2. configurar y aplicar la lista de control de acceso en el R1

En la parte 2, configurará una ACL estándar con nombre y la aplicará a las líneas de terminal virtual del
router para restringir el acceso remoto al router.
Paso 1. configurar y aplicar una ACL estándar con nombre.

a. Acceda al router R1 mediante el puerto de consola y habilite el modo EXEC privilegiado.
b. En el modo de configuración global, use un espacio y un signo de interrogación para ver las opciones de
comandos de ip access-list.
R1(config)# ip access-list ?
extended Extended Access List
helper Access List acts on helper-address
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
c. Use un espacio y un signo de interrogación para ver las opciones de comandos de ip access-list
standard.
R1(config)# ip access-list standard ?
<1-99> Standard IP access-list number
<1300-1999> Standard IP access-list number (expanded range)
WORD Access-list name
d. Agregue ADMIN-MGT al final del comando ip access-list standard y presione Enter. Ahora se
encuentra en el modo de configuración de listas de acceso estándar con nombre (config-std-nacl).
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)#
e. Introduzca la entrada de control de acceso (ACE) permit o deny de su ACL, también conocida como “instrucción
de ACL”, de a una línea por vez. Recuerde que al final de la ACL hay una instrucción implícita deny any, que
deniega todo el tráfico. Introduzca un signo de interrogación para ver las opciones de comandos.
R1(config-std-nacl)# ?
Standard Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
f. Cree una ACE permit para la PC-A de Administrador en 192.168.1.3 y una ACE permit adicional para
admitir otras direcciones IP administrativas reservadas desde 192.168.1.4 hasta 192.168.1.7. Observe
que la primera ACE permit indica un único host pues usa la palabra clave host. Se podría haber usado la
ACE permit 192.168.1.3 0.0.0.0 en lugar de esta. La segunda ACE permit admite los hosts 192.168.1.4
a 192.168.1.7 debido a que se usa el carácter comodín 0.0.0.3, que es lo inverso de la máscara de
subred 255.255.255.252.
R1(config-std-nacl)# permit 192.168.1.4 0.0.0.3
R1(config-std-nacl)# exit
No es necesario introducir una ACE deny, porque hay una ACE deny any implícita al final de la ACL.
g. Ahora que creó una ACL con nombre, aplíquela a las líneas vty.
R1(config)# line vty 0 15
R1(config-line)# access-class ADMIN-MGT in
R1(config-line)# exit
Parte 3. verificar la lista de control de acceso mediante Telnet

En la parte 3, usará Telnet para acceder al router y verificar que la ACL con nombre funcione correctamente.
Nota: SSH es más seguro que Telnet; sin embargo, SSH requiere que el dispositivo de red esté configurado
para aceptar conexiones SSH. En esta práctica de laboratorio, se usa Telnet por cuestiones de facilidad.
a. Abra un símbolo del sistema en la PC-A y verifique que pueda comunicarse con el router mediante el
comando ping.
C:\Users\user1> ping 192.168.1.1
Pinging 192.168.1.1 with 32 bytes of data:

Reply from 192.168.1.1: bytes=32 time=5ms TTL=64
Ping statistics for 192.168.1.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 5ms, Average = 2ms
C:\Users\user1>
b. Use el símbolo del sistema de la PC-A para iniciar el programa cliente de Telnet y acceda al router
mediante telnet. Introduzca los datos de inicio de sesión y luego las contraseñas de enable. Debería
haber iniciado sesión correctamente, visto el mensaje de aviso y recibido una petición de entrada de
comandos del R1.
C:\Users\user1> telnet 192.168.1.1
Unauthorized access is prohibited!
User Access Verification
Password:
R1>enable
Contraseña:
R1#
¿La conexión Telnet se realizó correctamente?
SI
____________________________________________________
c. Escriba exit en el símbolo del sistema y presione Enter para salir de la sesión de Telnet.
d. Cambie la dirección IP para comprobar si la ACL con nombre bloquea direcciones IP no permitidas.
Cambie la dirección IPv4 a 192.168.1.100 en la PC-A.
e. Intente acceder al R1 mediante telnet en 192.168.1.1 otra vez. ¿La sesión de Telnet se estableció
correctamente?
NO
____________________________________________________________________________________
CONNECTION RESUSED BY HOST
¿Qué mensaje recibió? _________________________________________________________________
f. Cambie la dirección IP de la PC-A para comprobar si la ACL con nombre permite que un host con una
dirección IP en el rango de 192.168.1.4 a 192.168.1.7 acceda al router mediante telnet. Después de
cambiar la dirección IP de la PC-A, abra el símbolo del sistema de Windows e intente acceder al router
R1 mediante telnet.
¿La sesión de Telnet se estableció correctamente?
SI
____________________________________________________________________________________
____________________________________________________________________________________
g. En el modo EXEC privilegiado en el R1, escriba el comando show ip access-lists y presione Enter. En
el resultado del comando, observe la forma en que el IOS de Cisco asigna automáticamente los números
de línea a las ACE de la ACL en incrementos de 10 y muestra la cantidad de veces que se encontraron
coincidencias para cada ACE permit (entre paréntesis).
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.1.3 (2 matches)
Debido a que se establecieron correctamente dos conexiones Telnet al router y cada sesión de Telnet se
inició desde una dirección IP que coincide con una de las ACE permit, hay coincidencias para cada ACE
permit.
¿Por qué piensa que hay dos coincidencias para cada ACE permit cuando se inició solo una conexión
desde cada dirección IP?
`PORQUE CADA PERMITE EL ACESSO PARA UNA SOLA CONCEXION
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
¿De qué forma determinaría el momento en el que el protocolo Telnet ocasiona las dos coincidencias
durante la conexión Telnet?
POR UN ANALIZAR COMO WIRESHARK
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
h. En el R1, ingrese al modo de configuración global.
i. Ingrese al modo de configuración de lista de acceso para la lista de acceso con nombre ADMIN-MGT y
agregue una ACE deny any al final de la lista de acceso.
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit
Nota: Dado que hay una ACE deny any implícita al final de todas las ACL, agregar una ACE deny any
explícita es innecesario. Sin embargo, el deny any explícito al final de la ACL puede ser útil para que el
administrador de red registre o, simplemente, conozca la cantidad de veces que coincidió la ACE de lista
de acceso deny any.
j. Intente acceder al R1 mediante telnet desde la PC-B. Esto crea una coincidencia con la ACE deny any
en la lista de acceso con nombre ADMIN-MGT.
k. En el modo EXEC privilegiado, escriba el comando show ip access-lists y presione Enter. Ahora
debería ver varias coincidencias con la ACE deny any.
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.1.3 (2 matches)
30 deny any (3 matches)
La conexión Telnet fallida produce más coincidencias con la ACE deny explícita que una conexión
correcta. ¿Por qué cree que sucede esto?
PORQUE LOS PROTOCOLOS DE TELNET INICIAR 3 VECES PARA INICIAR
____________________________________________________________________________________
SECCION
____________________________________________________________________________________
Parte 4. configurar y aplicar la lista de control de acceso en el S1 (desafío)

Paso 1. configurar y aplicar una ACL estándar con nombre para las líneas vty en el S1.
a. Sin consultar los comandos de configuración del R1, intente configurar la ACL en el S1 y permita solo la
dirección IP de la PC-A.
b. Aplique la ACL a las líneas vty del S1. Recuerde que hay más líneas vty en un switch que en un router.
Paso 2. probar la ACL de vty en el S1.

Acceda mediante Telnet desde cada una de las computadoras para verificar que la ACL de vty funcione
correctamente. Debería poder acceder al S1 mediante telnet desde la PC-A, pero no desde la PC-B.
Reflexión
1. Como lo demuestra el acceso remoto a vty, las ACL son filtros de contenido eficaces que tienen una
aplicación más allá de las interfaces de red de entrada y de salida. ¿De qué otras formas se pueden aplicar
las ACL?
POR LAS APLICACIONES DE REDES, O SERVIDORES
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿La aplicación de una ACL a una interfaz de administración remota de vty mejora la seguridad de una
conexión Telnet? ¿Esto convierte a Telnet en una herramienta de administración de acceso remoto más
viable?
PORQUE ACL AYUDA A RESTRINGIR EL ACESSO REMOTO A LOS DISPOSITVOS
_______________________________________________________________________________________
DE REDES. Y SI YA QUE LA INFORMACON VIAJA ENCRIPTADA
_______________________________________________________________________________________
_______________________________________________________________________________________
3. ¿Por qué tiene sentido aplicar una ACL a las líneas vty, en vez de a interfaces específicas?
PORQUE TIENE MAS INTERFACES
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Tabla de resumen de interfaces de router
Resumen de interfaces de router
Modelo de router Interfaz Ethernet 1 Interfaz Ethernet 2 Interfaz serial 1 Interfaz serial 2
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
Denegación de FTP
Objetivo
Implementar el filtrado de paquetes con ACL de IPv4 extendidas, según los requisitos de la red (incluir ACL con
nombre y numeradas).
Situación
Hace poco se informó que hay cada vez más virus en la red de su pequeña o mediana empresa. El administrador
de red realizó un seguimiento del rendimiento de la red y determinó que cierto host descarga archivos de un
servidor FTP remoto constantemente. Este host puede ser el origen de los virus que se expanden por la red.
Utilice Packet Tracer para completar esta actividad. Debe crear una ACL con nombre para denegar el acceso del
host al servidor FTP. Aplique la ACL a la interfaz más eficaz en el router.
Para completar la topología física, debe utilizar lo siguiente:

• Una estación de equipo host
• Dos switches
• Un router de servicios integrados Cisco de la serie 1941
• Un servidor
Mediante la herramienta de texto de Packet Tracer, registre la ACL que preparó. Para confirmar que la ACL
deniega el acceso al servidor FTP, intente acceder a la dirección del servidor FTP. Observe qué sucede en el
modo de simulación.
Guarde el archivo y esté preparado para compartirlo con otro estudiante o con toda la clase.
Reflexión
1. ¿Cuál fue la parte más difícil de esta actividad de creación de modelos?
NINGUNAS
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿Con qué frecuencia considera que los administradores de red deben cambiar las ACL en las redes?
CADA MES
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
3. ¿Por qué consideraría usar una ACL extendida con nombre en lugar de una ACL extendida regular?
La ACL extendida permite o deniega el acceso según la dirección IP de origen, la
_______________________________________________________________________________________
dirección
Números IPde de destino, el tipo de protocolo y los números de puertos
puertos
_______________________________________________________________________________________
_______________________________________________________________________________________
Permítame que lo ayude
Objetivo
Explicar el propósito y el funcionamiento de las ACL.
Situación
• Cada persona de la clase registrará cinco preguntas que le haría a un candidato que solicita una
acreditación de seguridad para un puesto de asistente de red en una pequeña o mediana empresa. La
lista de preguntas se debe armar en orden de importancia para seleccionar un buen candidato para el
puesto. También deben registrarse las respuestas preferidas.
• Después de tres minutos de intercambiar ideas para la lista de preguntas, el instructor les solicitará a dos
estudiantes que actúen como entrevistadores. Estos dos estudiantes usarán solo su lista de preguntas y
respuestas en la siguiente parte de esta actividad. El instructor le explicará solo a los dos entrevistadores
que tienen la discreción, en cualquier momento, para detener el proceso y afirmar que “todos tienen
permiso para acceder al siguiente nivel de entrevistas” o “Lo siento, pero no tienen las calificaciones
necesarias para continuar con el siguiente nivel de entrevistas”. El entrevistador no tiene que completar
todas las preguntas de la lista.
• El resto de la clase se dividirá en dos mitades y cada mitad se asignará a uno de los entrevistadores.
• Una vez que se hayan formado los grupos para cada entrevistador, comenzarán las entrevistas a los
candidatos.
• Los dos entrevistadores seleccionados formularán la primera pregunta de la lista que crearon. Un
ejemplo podría ser “¿Tiene más de 18 años?” Si el solicitante no cumple con el requisito de edad, según
lo especificado por las preguntas y respuestas originales del entrevistador, el solicitante será eliminado
del grupo de solicitantes y debe pasar a otra área dentro de la sala desde donde observarán el resto del
proceso de solicitud.
Luego, el entrevistador hará la siguiente pregunta. Si los candidatos contestan correctamente, pueden
permanecer en el grupo de candidatos. A continuación, toda la clase se reunirá y expondrá sus
observaciones con respecto al proceso para permitirles o denegarles a los candidatos la oportunidad de
pasar el siguiente nivel de entrevistas.
Reflexión
1. ¿Qué factores tuvo en cuenta al armar su lista de criterios para la acreditación de seguridad del asistente de
red?
una lista de preguntas para filtrar a los candidatos
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿Qué tan difícil fue pensar cinco preguntas de seguridad para hacer durante las entrevistas? ¿Por qué se le
pidió que ordenara las preguntas según la importancia para la selección de un buen candidato?
pues no tantos solo se debió tomar en cuenta los criterios o perfile
_______________________________________________________________________________________
necesarios y el orden fue para ver que es lo que le daban mas importancia y así ver sus
_______________________________________________________________________________________
prioridades
3. ¿Por qué podría detenerse el proceso de eliminación, aun si quedaran algunos candidatos disponibles?
debido a que los cuanditos verán lo que es necesario que conozcan y
_______________________________________________________________________________________
verán si son competentes para lo que se les pide
_______________________________________________________________________________________
Permítame que lo ayude
4. ¿En qué forma podrían aplicarse esta situación y estos resultados al tráfico de la red?
debido a que los cuanditos verán lo que es necesario que conozcan y
_______________________________________________________________________________________
verán si son competentes para lo que se les pide
_______________________________________________________________________________________
Packet Tracer: Demostración de listas de control de
acceso
Topología
Objetivos
Parte 1: Verificar la conectividad local y probar la lista de control de acceso
Parte 2: Eliminar la lista de control de acceso y repetir la prueba
Aspectos básicos
En esta actividad, observará cómo se puede utilizar una lista de control de acceso (ACL)
para evitar que un ping llegue a hosts en redes remotas. Después de eliminar la ACL de la
configuración, los pings se realizarán correctamente.
Parte 1. Verificar la conectividad local y probar la lista de control

de acceso
Paso 1. Hacer ping a los dispositivos de la red local para verificar la

conectividad
a. Desde el símbolo del sistema de la PC1, haga ping a la PC2.
b. Desde el símbolo del sistema de la PC1, haga ping a la PC3.
¿Por qué se realizaron de forma correcta los pings?
Porque todo esta configurado de forma correcta.
Paso 2. Hacer ping a los dispositivos en las redes remotas para probar la
funcionalidad de la ACL
a. Desde el símbolo del sistema de la PC1, haga ping a la PC4.
b. Desde el símbolo del sistema de la PC1, haga ping al servidor DNS.
¿Por qué fallaron los pings? (Sugerencia: utilice el modo de simulación o vea las
configuraciones del router para investigar).
Porque no hay ruta disponible por donde viajar los paquetes.
Parte 2. Eliminar la ACL y repetir la prueba
Paso 1. Utilizar el comando show para investigar la configuración de la ACL

a. Utilice los comandos show run y show access-lists para ver las ACL configuradas
actualmente. Para obtener una vista rápida de las ACL vigentes, utilice show access-
lists. Introduzca el comando show access-lists seguido de un espacio y un signo de
interrogación (?) para ver las opciones disponibles:
R1#show access-lists ?
<1-199> ACL number
WORD ACL name
<cr>
Si conoce el número o el nombre de la ACL, puede filtrar aún más el resultado del
comando show. Sin embargo, el R1 tiene solo una ACL, por lo que basta con el
comando show access-lists.
R1#show access-lists
Standard IP access list 11
10 deny 192.168.10.0 0.0.0.255
20 permit any
La primera línea de la ACL impide cualquier paquete que se origine en la red
192.168.10.0/24, lo que incluye los ecos del ⁪protocolo de mensajería de control de
Internet (ICMP) (solicitudes de ping). La segunda línea de la ACL permite que todo el
resto del tráfico ip de cualquier origen atraviese el router.
b. Para que una ACL tenga efecto en el funcionamiento del router, debe aplicarse a una
interfaz en una dirección específica. En esta situación, la ACL se utiliza para filtrar el
tráfico que sale de una interfaz. Por lo tanto, todo el tráfico que sale de la interfaz
especificada de R1 se examinará contra la ACL 11.
Aunque pueda ver la información de IP con el comando show ip interface, en algunos
casos puede ser más eficaz utilizar solo el comando show run.
Usando uno o los dos comandos, ¿a qué interfaz y dirección se aplica la ACL?
Paso 2. Eliminar la lista de acceso 11 de la configuración

Es posible eliminar las ACL de la configuración por medio de la emisión del comando no
access list [número de ACL]. El comando no access-list elimina todas las ACL
configuradas en el router. El comando no access-list [número de ACL] solo elimina una
ACL específica.
a. En la interfaz Serial0/0/0, elimine la lista de acceso 11 aplicada antes a la interfaz como
filtro de salida:
R1(config)# int se0/0/0
R1(config-if)#no ip access-group 11 out
b. En el modo de configuración global, elimine la ACL por medio del siguiente comando:
R1(config)# no access-list 11
c. Verifique que la PC1 ahora pueda hacer ping al servidor DNS y a PC4.
Tabla de calificación sugerida
Ubicación de la Puntos Puntos

consulta posibles obtenidos
Parte 1, paso 1 b. 50 50
Puntuación total 100 100
Packet Tracer: configuración de ACL IPv4 estándar numeradas
Topología
Packet Tracer: configuración de ACL estándar
G0/0 192.168.10.1 255.255.255.0 N/D

G0/1 192.168.11.1 255.255.255.0 N/D
R1
S0/0/0 10.1.1.1 255.255.255.252 N/D
S0/0/1 10.3.3.1 255.255.255.252 N/D
G0/0 192.168.20.1 255.255.255.0 N/D
R2 S0/0/0 10.1.1.2 255.255.255.252 N/D
S0/0/1 10.2.2.1 255.255.255.252 N/D
G0/0 192.168.30.1 255.255.255.0 N/D
R3 S0/0/0 10.3.3.2 255.255.255.252 N/D
S0/0/1 10.2.2.2 255.255.255.252 N/D
PC1 NIC 192.168.10.10 255.255.255.0 192.168.10.1
PC2 NIC 192.168.11.10 255.255.255.0 192.168.11.1
PC3 NIC 192.168.30.10 255.255.255.0 192.168.30.1
Servidor Web NIC 192.168.20.254 255.255.255.0 192.168.20.1
Objetivos
Parte 1: planificar una implementación de ACL
Parte 2: configurar, aplicar y verificar una ACL estándar
Las listas de control de acceso (ACL) estándar son scripts de configuración del router que controlan si un router
permite o deniega paquetes según la dirección de origen. Esta actividad se concentra en definir criterios de
filtrado, configurar ACL estándar, aplicar ACL a interfaces de router y verificar y evaluar la implementación de la
ACL. Los routers ya están configurados, incluidas las direcciones IP y el routing del protocolo de routing de
gateway interior mejorado (EIGRP).
Parte 1: planificar una implementación de ACL
Paso 1: investigar la configuración actual de red.

Antes de aplicar cualquier ACL a una red, es importante confirmar que tenga conectividad completa. Elija una
computadora y haga ping a otros dispositivos en la red para verificar que la red tenga plena conectividad.
Debería poder hacer ping correctamente a todos los dispositivos.
Paso 2: evaluar dos políticas de red y planificar las implementaciones de ACL.

a. En el R2 están implementadas las siguientes políticas de red:
 La red 192.168.11.0/24 no tiene permiso para acceder al servidor web en la red
192.168.20.0/24.
 Se permite el resto de los tipos de acceso.
Para restringir el acceso de la red 192.168.11.0/24 al servidor web en 192.168.20.254 sin interferir con
otro tráfico, se debe crear una ACL en el R2. La lista de acceso se debe colocar en la interfaz de salida
hacia el servidor web. Se debe crear una segunda regla en el R2 para permitir el resto del tráfico.
b. En el R3 están implementadas las siguientes políticas de red:
 La red 192.168.10.0/24 no tiene permiso para comunicarse con la red 192.168.30.0/24.
 Se permite el resto de los tipos de acceso.
Para restringir el acceso de la red 192.168.10.0/24 a la red 192.168.30/24 sin interferir con otro tráfico, se
debe crear una lista de acceso en el R3. La ACL se debe colocar en la interfaz de salida hacia la PC3.
Se debe crear una segunda regla en el R3 para permitir el resto del tráfico.
Parte 2: configurar, aplicar y verificar una ACL estándar
Paso 1: configurar y aplicar una ACL estándar numerada en el R2.

a. Cree una ACL con el número 1 en el R2 con una instrucción que deniegue el acceso a la red
192.168.20.0/24 desde la red 192.168.11.0/24.
R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255
b. De manera predeterminada, las listas de acceso deniegan todo el tráfico que no coincide con ninguna
regla. Para permitir el resto del tráfico, configure la siguiente instrucción:
R2(config)# access-list 1 permit any
c. Para que la ACL realmente filtre el tráfico, se debe aplicar a alguna operación del router. Para aplicar la
ACL, colóquela en la interfaz Gigabit Ethernet 0/0 para el tráfico saliente.
R2(config)# interface GigabitEthernet0/0
Paso 2: configurar y aplicar una ACL estándar numerada en el R3.

a. Cree una ACL con el número 1 en el R3 con una instrucción que deniegue el acceso a la red
192.168.30.0/24 desde la red de la PC1 (192.168.10.0/24).
R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255
b. De manera predeterminada, las ACL deniegan todo el tráfico que no coincide con ninguna regla. Para
permitir el resto del tráfico, cree una segunda regla para la ACL 1.
R3(config)# access-list 1 permit any
c. Para aplicar la ACL, colóquela en la interfaz Gigabit Ethernet 0/0 para el tráfico saliente.
R3(config)# interface GigabitEthernet0/0
Paso 3: verificar la configuración y la funcionalidad de la ACL.

a. En el R2 y el R3, introduzca el comando show access-list para verificar las configuraciones de la ACL.
Introduzca el comando show run o show ip interface gigabitethernet 0/0 para verificar la colocación de
las ACL.
b. Una vez colocadas las dos ACL, el tráfico de la red se restringe según las políticas detalladas en la
parte 1. Utilice las siguientes pruebas para verificar las implementaciones de ACL:
 Un ping de 192.168.10.10 a 192.168.11.10 se realiza correctamente.
 Un ping de 192.168.11.10 a 192.168.20.254 falla.

 Un ping de 192.168.10.10 a 192.168.30.10 falla.
Packet Tracer: Configuración de ACL estándar IPv4 con nombre
Topología
Tabla de asignación de direcciones
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
F0/0 192.168.10.1 255.255.255.0 N/D

F0/1 192.168.20.1 255.255.255.0 N/D
R1
E0/0/0 192.168.100.1 255.255.255.0 N/D
E0/1/0 192.168.200.1 255.255.255.0 N/D
Servidor de
NIC 192.168.200.100 255.255.255.0 192.168.200.1
archivos
Servidor web NIC 192.168.100.100 255.255.255.0 192.168.100.1
PC0 NIC 192.168.20.3 255.255.255.0 192.168.20.1
PC1 NIC 192.168.20.4 255.255.255.0 192.168.20.1
PC2 NIC 192.168.10.3 255.255.255.0 192.168.10.1
Objetivos
Parte 1: Configurar y aplicar una ACL estándar con nombre
Parte 2: Verificar la implementación de la ACL
El administrador de red ejecutivo le ha solicitado que cree una ACL con nombre estándar para impedir el
acceso a un servidor de archivos. Se debe denegar el acceso de todos los clientes de una red y de una
estación de trabajo específica de una red diferente.
Packet Tracer: Configuración de ACL estándar con nombre
Parte 1: Configurar y aplicar una ACL estándar con nombre
Paso 1: Verificar la conectividad antes de configurar y aplicar la ACL

Las tres estaciones de trabajo deben poder hacer ping tanto al Servidor web como al Servidor de archivos.
Paso 2: Configurar una ACL estándar con nombre

Configure la siguiente ACL con nombre en el R1.
R1(config)# ip access-list standard File_Server_Restrictions
R1(config-std-nacl)# deny any
Nota: A los fines de la puntuación, el nombre de la ACL distingue mayúsculas de minúsculas.
Paso 3: Aplicar la ACL con nombre

a. Aplique la ACL de salida a la interfaz Fast Ethernet 0/1.
R1(config-if)# ip access-group File_Server_Restrictions out
b. Guarde la configuración.
Paso 1: Verificar la configuración de la ACL y su aplicación a la interfaz

Utilice el comando show access-lists para verificar la configuración de la ACL. Utilice el comando show run
o show ip interface fastethernet 0/1 para verificar que la ACL se haya aplicado de forma correcta a la
interfaz.
Paso 2: Verificar que la ACL funcione correctamente

Aunque las tres estaciones de trabajo deberían poder hacer ping al servidor web, pero sólo PC1 debería
poder hacer ping al servidor web.
Packet Tracer: Configuración de una ACL IPv4 en líneas VTY
Topología
Router F0/0 10.0.0.254 255.0.0.0 N/D

PC NIC 10.0.0.1 255.0.0.0 10.0.0.254
Computadora
NIC 10.0.0.2 255.0.0.0 10.0.0.254
portátil
Objetivos
Parte 1: Configurar y aplicar una ACL a las líneas VTY
Aspectos básicos
Como administrador de red, debe tener acceso remoto al router. Este acceso no debe estar disponible para
otros usuarios de la red. Por lo tanto, configurará y aplicará una lista de control de acceso (ACL) que permita
el acceso de una computadora (PC) a las líneas Telnet, pero que deniegue el resto de las direcciones IP de
origen.
Parte 1. Configurar y aplicar una ACL a las líneas VTY

Paso 1. Verificar el acceso por Telnet antes de configurar la ACL
Ambas computadoras deben poder acceder al Router mediante Telnet. La contraseña es cisco.
Packet Tracer: Configuración de una ACL en líneas VTY
Paso 2. Configurar una ACL estándar numerada

Configure la siguiente ACL numerada en el Router.
Router(config)# access-list 99 permit host 10.0.0.1
Ya que no deseamos permitir el acceso desde ninguna otra computadora, la propiedad de denegación
implícita de la lista de acceso cumple nuestros requisitos.
Paso 3. Colocar una ACL estándar con nombre en el router

Se debe permitir el acceso a las interfaces del Router y se debe restringir el acceso por Telnet. Por lo tanto,
debemos colocar la ACL en las líneas Telnet que van de 0 a 4. Desde la petición de entrada de configuración
del Router, acceda al modo de configuración de línea de las líneas 0 a 4 y utilice el comando access-class
para aplicar la ACL a todas las líneas VTY:
Router(config)# line vty 0 15
Router(config-line)# access-class 99 in
Parte 2. Verificar la implementación de la ACL
Paso 1: Verificar la configuración de la ACL y su aplicación a las líneas VTY

Utilice el comando show access-lists para verificar la configuración de la ACL. Utilice el comando show run
para verificar que la ACL esté aplicada a las líneas VTY.
Paso 2: Verificar que la ACL funcione correctamente

Ambas computadoras deben poder hacer ping al Router, pero solo PC debería poder acceder al Router
mediante Telnet.
Packet Tracer: Solución de problemas de las ACL IPv4 estándar
Topología
Gateway
El administrador Interfaces Dirección IP Máscara de subred predeterminado
G0/0 10.0.0.1 255.0.0.0 N/D

R1 G0/1 172.16.0.1 255.255.0.0 N/D
G0/2 192.168.0.1 255.255.255.0 N/D
Servidor1 NIC 172.16.255.254 255.255.0.0 172.16.0.1
Servidor2 NIC 192.168.0.254 255.255.255.0 192.168.0.1
Server3 NIC 10.255.255.254 255.0.0.0 10.0.0.1
L1 NIC 172.16.0.2 255.255.0.0 172.16.0.1
L2 NIC 192.168.0.2 255.255.255.0 192.168.0.1
L3 NIC 10.0.0.2 255.0.0.0 10.0.0.1
Objetivos
Parte 1: Resolver el problema 1 de la ACL
Packet Tracer: Resolución de problemas de ACL
Situación
En esta red, deberían estar implementadas las tres políticas siguientes:
 Los hosts de la red 192.168.0.0/24 no pueden acceder a la red 10.0.0.0 /8.
 L3 no puede acceder a ningún dispositivo en la red 192.168.0.0/24.
 L3 no puede acceder a Servidor1 ni a Servidor2. L3 solo debe acceder a Servidor3.
 Los hosts de la red 172.16.0.0/16 tienen acceso total a Servidor1, Servidor2 y Servidor3.
Nota: Todos los nombres de usuario y las contraseñas del FTP son “cisco”.
No debe haber otras restricciones. Lamentablemente, las reglas implementadas no funcionan de manera
correcta. Su tarea es buscar y corregir los errores relacionados con las listas de acceso en el R1.

Los hosts de la red 192.168.0.0/24 no deben poder acceder a ningún dispositivo en la red 10.0.0.0/8. En este
momento, este no es el caso.
Paso 1 Determinar el problema de la ACL.

A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la ACL.
a. Con la L2, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2, y Servidor3.
b. Desde la L2, haga ping a Servidor1, Servidor2 y Servidor3.
c. Vea la configuración en ejecución en el R1. Examine la lista de acceso FROM_192 y su ubicación en las
interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto?
No, está asignada a una interfaz
d. ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes?
Sí, está la 192.168.0.0 0.0.0.255.
e. ¿Las instrucciones están en el orden correcto?
Sí, están ordenadas en el orden correcto.
f. Realice otras pruebas, según sea necesario.
Paso 2 Implementar una solución.

Realice los ajustes necesarios a FROM_192, o a su ubicación, para solucionar el problema.
Paso 3 Verificar que el problema se haya resuelto y registrar la solución.

Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.

L3 no debería poder comunicarse con Servidor1 ni con Servidor2. En este momento, este no es el caso.

interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto? ¿Existe
alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están
en el orden correcto?
d. Realice otras pruebas, según sea necesario.

Realice los ajustes necesarios a la lista de acceso FROM_10, o a su ubicación, para solucionar el problema.


Los hosts de la red 172.16.0.0/16 deberían tener acceso total a Servidor1, Servidor2 y Servidor3, pero este
no es el caso en este momento, ya que L1 no se puede comunicar con Servidor2 ni con Servidor3.

interfaces. ¿La lista de acceso se colocó en el puerto apropiado y en el sentido correcto?
Sí, está asignada correctamente a la interfaz G0/0 en modo in (de entrada)
d. ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes?
Sí, se deniega el tráfico para el host 10.0.0.22. Debería denegarse el tráfico para el host 10.0.0.2
e. ¿Las instrucciones están en el orden correcto?
Sí, las instrucciones están en el orden correcto.
Para ver la configuración en ejecución en el R1 utilizamos el comando show running-config
f. Realice otras pruebas, según sea necesario.

Realice los ajustes necesarios a la lista de acceso FROM_172, o a su ubicación, para solucionar el
problema.
La solución para este problema es remover la ACL FROM_172 que fue agregada innecesariamente y borrar
la lista de acceso que está configurada para la interfaz G0/1

Parte 4: Reflexión (opcional)

Las listas de acceso representan un problema lógico que, generalmente, tiene más de una solución. ¿Puede
pensar en un conjunto de reglas o ubicaciones diferente que produciría el mismo filtro de acceso requerido?
Podríamos configurar la interfaz G0/0 y G0/1 como lista de acceso en modo out (salida), otro recurso es
utilizar el comando permit.
Tabla de calificación sugerida
Ubicación de la Puntos Puntos

consulta posibles obtenidos
Puntuación del registro 10

Puntuación de Packet
90
Tracer
Puntuación total 100
Packet Tracer: Desafío de integración de habilidades
Topología
Gateway
El administrador Interfaces Dirección IP Máscara de subred predeterminado
G0/0 172.16.127.254 255.255.192.0 N/D

G0/1 172.16.63.254 255.255.192.0 N/D
HQ
S0/0/0 192.168.0.1 255.255.255.252 N/D
S0/0/1 64.104.34.2 255.255.255.252 64.104.34.1
G0/0 N/D
Sucursal G0/1 N/D
S0/0/0 192.168.0.2 255.255.255.252 N/D
Oficina central 1 NIC 172.16.64.1 255.255.192.0 172.16.127.254
Oficina central 2 NIC 172.16.0.2 255.255.192.0 172.16.63.254
HQServer.pka NIC 172.16.0.1 255.255.192.0 172.16.63.254
B1 NIC
B2 NIC 172.16.128.2 255.255.240.0 172.16.143.254
BranchServer.pka NIC 172.16.128.1 255.255.240.0 172.16.143.254
Situación
En esta actividad del desafío, terminará el esquema de direccionamiento, configurará el routing
e implementará listas de control de acceso con nombre.
Requisitos
a. Divida la red 172.16.128.0/19 en dos subredes iguales para utilizarse en Sucursal.
1) Asigne la última dirección utilizable de la segunda subred a la interfaz Gigabit
Ethernet 0/0.
2) Asigne la última dirección utilizable de la primera subred a la interfaz Gigabit
Ethernet 0/1.
3) Registre el direccionamiento en la tabla de direccionamiento.
4) Configure Sucursal con el direccionamiento adecuado.
b. Para configurar B1 con el direccionamiento adecuado, utilice la primera dirección
disponible de la red a la cual está conectada. Registre el direccionamiento en la tabla
de direccionamiento.
c. Configure HQ y Sucursal con routing RIPv2 según los siguientes criterios:
 Anuncie las tres redes conectadas. No anuncie el enlace a Internet.
 Configure las interfaces correspondientes como pasivas.
d. Establezca una ruta predeterminada en HQ que dirija el tráfico a la interfaz S0/0/1.
Redistribuya la ruta a Sucursal.
e. Diseñe la lista de acceso con nombre HQServer para evitar que cualquier computadora
conectada a la interfaz Gigabit Ethernet 0/0 del router Sucursal acceda a
HQServer.pka. Se permite todo el tráfico restante. Configure la lista de acceso en el
router adecuado y aplíquela a la interfaz apropiada en el sentido correcto.
f. Diseñe una lista de acceso con nombre BranchServer para evitar que las
computadoras conectadas a la interfaz Gigabit Ethernet 0/0 del router HQ acceda al
servidor Sucursal. Se permite todo el tráfico restante. Configure la lista de acceso en el
router adecuado y aplíquela a la interfaz apropiada en el sentido correcto.

Lab 7 Completo

Cargado por

Copyright:

Formatos disponibles

Lab 7 Completo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Lab 7 Completo

Cargado por

Copyright:

Formatos disponibles

Práctica de laboratorio: Configuración y verificación de ACL IPv4

Tabla de asignación de direcciones

R1 G0/1 192.168.10.1 255.255.255.0 N/D

Parte 1: Establecer la topología e inicializar los dispositivos

Paso 1: Realizar el cableado de red tal como se muestra en la topología

Paso 2: Inicializar y volver a cargar los routers y los switches

Parte 2: Configurar los dispositivos y verificar la conectividad

Paso 1: Configurar las direcciones IP en la PC-A y en la PC-C

Paso 2: Configurar los parámetros básicos de los routers

Paso 3: (Optativo) Configurar los parámetros básicos en los switches

Paso 4: Configurar routing RIP en R1, ISP y R3

ISP(config)# router rip

Paso 5: Verificar la conectividad entre los dispositivos

Parte 3: Configurar y verificar ACL estándar numeradas y con nombre

Paso 1: Configurar una ACL estándar numerada

Target IP address: 192.168.30.3

Paso 2: Configurar una ACL estándar con nombre

b. Aplique la ACL a la interfaz apropiada en el sentido correcto.

Parte 4: Modificar una ACL estándar

Paso 1: Modificar una ACL estándar con nombre

Tabla de resumen de interfaces de router

Resumen de interfaces de router

Modelo de Interfaz Ethernet 1 Interfaz Ethernet 2 Interfaz serial 1 Interfaz serial 2

R1 G0/0 192.168.0.1 255.255.255.0 N/D

Parte 1. Configurar los parámetros básicos de dispositivos

Paso 1. Realice el cableado de red tal como se muestra en el diagrama de topología.

Paso 2. configurar los parámetros de red de la PC-A y la PC-A, según la tabla de

Paso 3. Inicializar y volver a cargar el router y el switch.

f. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el switch.

Parte 2. configurar y aplicar la lista de control de acceso en el R1

Paso 1. configurar y aplicar una ACL estándar con nombre.

Parte 3. verificar la lista de control de acceso mediante Telnet

Pinging 192.168.1.1 with 32 bytes of data:

Ping statistics for 192.168.1.1:

Unauthorized access is prohibited!

User Access Verification

Parte 4. configurar y aplicar la lista de control de acceso en el S1 (desafío)

Paso 2. probar la ACL de vty en el S1.

Tabla de resumen de interfaces de router

Resumen de interfaces de router

Para completar la topología física, debe utilizar lo siguiente:

Parte 1. Verificar la conectividad local y probar la lista de control

Paso 1. Hacer ping a los dispositivos de la red local para verificar la

Parte 2. Eliminar la ACL y repetir la prueba

Paso 1. Utilizar el comando show para investigar la configuración de la ACL

Paso 2. Eliminar la lista de acceso 11 de la configuración

Ubicación de la Puntos Puntos

G0/0 192.168.10.1 255.255.255.0 N/D

Parte 1: planificar una implementación de ACL

Paso 1: investigar la configuración actual de red.

Paso 2: evaluar dos políticas de red y planificar las implementaciones de ACL.

Parte 2: configurar, aplicar y verificar una ACL estándar

Paso 1: configurar y aplicar una ACL estándar numerada en el R2.

Paso 2: configurar y aplicar una ACL estándar numerada en el R3.

Paso 3: verificar la configuración y la funcionalidad de la ACL.

 Un ping de 192.168.11.10 a 192.168.20.254 falla.

Tabla de asignación de direcciones

F0/0 192.168.10.1 255.255.255.0 N/D

Parte 1: Configurar y aplicar una ACL estándar con nombre