Lab 7 Completo
Lab 7 Completo
Lab 7 Completo
estándar
Topología
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
Objetivos
Parte 1: Establecer la topología e inicializar los dispositivos
• Configurar los equipos para que coincidan con la topología de la red.
• Inicializar y volver a cargar los routers y los switches.
Parte 2: Configurar los dispositivos y verificar la conectividad
• Asignar una dirección IP estática a las computadoras.
• Configurar los parámetros básicos en los routers.
• Configurar los parámetros básicos en los switches.
• Configure el routing RIP en R1, ISP y R3.
• Verificar la conectividad entre los dispositivos.
Parte 3: Configurar y verificar ACL estándar numeradas y con nombre
• Configurar, aplicar y verificar una ACL estándar numerada.
• Configurar, aplicar y verificar una ACL con nombre.
Parte 4: Modificar una ACL estándar
• Modificar y verificar una ACL estándar con nombre.
• Probar la ACL.
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
Aspectos básicos/situación
La seguridad de red es una cuestión importante al diseñar y administrar redes IP. La capacidad para
configurar reglas apropiadas para filtrar los paquetes, sobre la base de las políticas de seguridad
establecidas, es una aptitud valiosa.
En esta práctica de laboratorio, establecerá reglas de filtrado para dos oficinas representadas por el R1 y el
R3. La administración estableció algunas políticas de acceso entre las redes LAN ubicadas en el R1 y el R3,
que usted debe implementar. El router ISP que se ubica entre el R1 y el R3 no tendrá ninguna ACL. Usted no
tiene permitido el acceso administrativo al router ISP, debido a que solo puede controlar y administrar sus
propios equipos.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco de la serie 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). Los switches que se
utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
laboratorio. Consulte la tabla Resumen de interfaces del router al final de la práctica de laboratorio para
obtener los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
Recursos necesarios
• 3 routers (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet y seriales, como se muestra en la topología
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
service password-encryption
enable secret class
banner motd #
Unauthorized access is strictly prohibited. #
Line con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
c. Configure el nombre del dispositivo como se muestra en la topología.
d. Cree interfaces loopback en cada router como se muestra en la tabla de direccionamiento.
e. Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de
direccionamiento.
f. Asigne la frecuencia de reloj 128000 a las interfaces seriales DCE.
g. Habilite el acceso de Telnet.
h. Copie la configuración en ejecución en la configuración de inicio
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
b. Después de configurar RIP en R1, ISP y R3, verifique que todos los routers tengan tablas de routing
completas con todas las redes. De lo contrario, resuelva el problema.
Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? en R3
___________
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría?
En la interfaz g0/1. en el sentido de salidas
_____________________________________________________________________________________
a. Configure la ACL en el R3. Use 1 como el número de lista de acceso.
R3(config)# access-list 1 remark Allow R1 LANs Access
R3(config)# access-list 1 permit 192.168.10.0 0.0.0.255
R3(config)# access-list 1 permit 192.168.20.0 0.0.0.255
R3(config)# access-list 1 deny any
b. Aplique la ACL a la interfaz apropiada en el sentido correcto.
R3(config)# interface g0/1
R3(config-if)# ip access-group 1 out
c. Verifique una ACL numerada.
El uso de diversos comandos show puede ayudarle a verificar la sintaxis y la colocación de las ACL en
el router.
¿Qué comando usaría para ver la lista de acceso 1 en su totalidad, con todas las ACE?
show acces-list
____________________________________________________________________________________
¿Qué comando usaría para ver dónde se aplicó la lista de acceso y en qué sentido?
show ip int f0/1 show running-config
____________________________________________________________________________________
1) En el R3, emita el comando show access-lists 1.
R3# show access-list 1
Lista de acceso IP estándar 1
10 permit 192.168.10.0, wildcard bits 0.0.0.255
20 permit 192.168.20.0, wildcard bits 0.0.0.255
30 deny any
2) En el R3, emita el comando show ip interface g0/1.
R3# show ip interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.30.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is 1
Inbound access list is not set
Resultado omitido
3) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.10.0/24 acceda a la red
192.168.30.0/24. Desde el símbolo del sistema en la PC-A, haga ping a la dirección IP de la PC-C.
¿Fueron correctos los pings? si
_______
4) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.20.0/24 acceda a la red
192.168.30.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R1 como origen.
Haga ping a la dirección IP de la PC-C. ¿Fueron correctos los pings? si
_______
R1# ping
Protocol [ip]:
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
coherentes. Se debe colocar una ACE deny any al final de todas las ACL. Debe modificar la ACL BRANCH-
OFFICE-POLICY.
Agregará dos líneas adicionales a esta ACL. Hay dos formas de hacer esto:
OPCIÓN 1: Emita un comando no ip access-list standard BRANCH-OFFICE-POLICY en el modo de
configuración global. Esto quitaría la ACL completa del router. Según el IOS del router, ocurriría una de las
siguientes situaciones: se cancelaría todo el filtrado de paquetes y se permitiría el acceso de todos los
paquetes al router o bien, debido a que no quitó el comando ip access-group de la interfaz G0/1, el filtrado
se sigue implementando. Independientemente de lo que suceda, una vez que la ACL ya no esté, puede
volver a escribir toda la ACL o cortarla y pegarla con un editor de texto.
OPCIÓN 2: Puede modificar las ACL implementadas y agregar o eliminar líneas específicas dentro de las
ACL. Esto puede ser práctico, especialmente con las ACL que tienen muchas líneas de código. Al volver a
escribir toda la ACL, o al cortarla y pegarla, se pueden producir errores con facilidad. La modificación de las
líneas específicas dentro de la ACL se logra fácilmente.
Nota: Para esta práctica de laboratorio, utilice la opción 2.
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 9 de 10
Práctica de laboratorio: Configuración y verificación de ACL IPv4 estándar
Reflexión
1. Como puede observar, las ACL estándar son muy eficaces y funcionan muy bien. ¿Por qué tendría la
necesidad de usar ACL extendidas?
_______________________________________________________________________________________
PARA PRESISAR MAS EL TRAFIC,DIRECCION DE DESTINO Y NUMERO DE PUERTOS.
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Generalmente, se requiere escribir más al usar una ACL con nombre que una ACL numerada. ¿Por qué
elegiría ACL con nombre en vez de ACL numeradas?
_______________________________________________________________________________________
PERMITE DEFINIR MEJOR EL PROPOSITO DE LA ACL
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de hacer una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 10 de 10
Práctica de laboratorio: configuración y verificación de
restricciones de VTY
Topología
Tabla de direccionamiento
El Máscara de Gateway
administrador Interfaces Dirección IP subred predeterminado
Objetivos
Parte 1: Configurar los parámetros básicos de los dispositivos
Parte 2: configurar y aplicar la lista de control de acceso en el R1
Parte 3: verificar la lista de control de acceso mediante Telnet
Parte 4: configurar y aplicar la lista de control de acceso en el S1 (desafío)
Aspectos básicos/situación
Es aconsejable restringir el acceso a las interfaces de administración del router, como las líneas de consola y
las líneas vty. Se puede utilizar una lista de control de acceso (ACL) para permitir el acceso de direcciones IP
específicas, lo que asegura que solo la computadora del administrador tenga permiso para acceder al router
mediante telnet o SSH.
Nota: En los resultados de los dispositivos Cisco, ACL se abrevia como access-list (lista de acceso).
En esta práctica de laboratorio, creará y aplicará una ACL estándar con nombre para restringir el acceso
remoto a las líneas vty del router.
Después de crear y aplicar la ACL, probará y verificará la ACL intentando acceder al router desde diferentes
direcciones IP mediante Telnet.
En esta práctica de laboratorio se le proporcionarán los comandos necesarios para crear y aplicar la ACL.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son
Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros routers,
switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 8
Práctica de laboratorio: Configuración y verificación de restricciones de VTY
laboratorio. Consulte la tabla Resumen de interfaces del router al final de la práctica de laboratorio para
obtener los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
Recursos necesarios
• 1 router (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)
• 1 switch (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet, como se muestra en la topología
Nota: las interfaces Gigabit Ethernet en los routers Cisco de la serie 1941 tienen detección automática, y se
puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco,
puede ser necesario usar un cable Ethernet cruzado.
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 8
Práctica de laboratorio: Configuración y verificación de restricciones de VTY
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 8
Práctica de laboratorio: Configuración y verificación de restricciones de VTY
e. Introduzca la entrada de control de acceso (ACE) permit o deny de su ACL, también conocida como “instrucción
de ACL”, de a una línea por vez. Recuerde que al final de la ACL hay una instrucción implícita deny any, que
deniega todo el tráfico. Introduzca un signo de interrogación para ver las opciones de comandos.
R1(config-std-nacl)# ?
Standard Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
f. Cree una ACE permit para la PC-A de Administrador en 192.168.1.3 y una ACE permit adicional para
admitir otras direcciones IP administrativas reservadas desde 192.168.1.4 hasta 192.168.1.7. Observe
que la primera ACE permit indica un único host pues usa la palabra clave host. Se podría haber usado la
ACE permit 192.168.1.3 0.0.0.0 en lugar de esta. La segunda ACE permit admite los hosts 192.168.1.4
a 192.168.1.7 debido a que se usa el carácter comodín 0.0.0.3, que es lo inverso de la máscara de
subred 255.255.255.252.
R1(config-std-nacl)# permit host 192.168.1.3
R1(config-std-nacl)# permit 192.168.1.4 0.0.0.3
R1(config-std-nacl)# exit
No es necesario introducir una ACE deny, porque hay una ACE deny any implícita al final de la ACL.
g. Ahora que creó una ACL con nombre, aplíquela a las líneas vty.
R1(config)# line vty 0 15
R1(config-line)# access-class ADMIN-MGT in
R1(config-line)# exit
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 8
Práctica de laboratorio: Configuración y verificación de restricciones de VTY
b. Use el símbolo del sistema de la PC-A para iniciar el programa cliente de Telnet y acceda al router
mediante telnet. Introduzca los datos de inicio de sesión y luego las contraseñas de enable. Debería
haber iniciado sesión correctamente, visto el mensaje de aviso y recibido una petición de entrada de
comandos del R1.
C:\Users\user1> telnet 192.168.1.1
Password:
R1>enable
Contraseña:
R1#
¿La conexión Telnet se realizó correctamente?
SI
____________________________________________________
c. Escriba exit en el símbolo del sistema y presione Enter para salir de la sesión de Telnet.
d. Cambie la dirección IP para comprobar si la ACL con nombre bloquea direcciones IP no permitidas.
Cambie la dirección IPv4 a 192.168.1.100 en la PC-A.
e. Intente acceder al R1 mediante telnet en 192.168.1.1 otra vez. ¿La sesión de Telnet se estableció
correctamente?
NO
____________________________________________________________________________________
CONNECTION RESUSED BY HOST
¿Qué mensaje recibió? _________________________________________________________________
f. Cambie la dirección IP de la PC-A para comprobar si la ACL con nombre permite que un host con una
dirección IP en el rango de 192.168.1.4 a 192.168.1.7 acceda al router mediante telnet. Después de
cambiar la dirección IP de la PC-A, abra el símbolo del sistema de Windows e intente acceder al router
R1 mediante telnet.
¿La sesión de Telnet se estableció correctamente?
SI
____________________________________________________________________________________
____________________________________________________________________________________
g. En el modo EXEC privilegiado en el R1, escriba el comando show ip access-lists y presione Enter. En
el resultado del comando, observe la forma en que el IOS de Cisco asigna automáticamente los números
de línea a las ACE de la ACL en incrementos de 10 y muestra la cantidad de veces que se encontraron
coincidencias para cada ACE permit (entre paréntesis).
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.1.3 (2 matches)
20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches)
Debido a que se establecieron correctamente dos conexiones Telnet al router y cada sesión de Telnet se
inició desde una dirección IP que coincide con una de las ACE permit, hay coincidencias para cada ACE
permit.
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 8
Práctica de laboratorio: Configuración y verificación de restricciones de VTY
¿Por qué piensa que hay dos coincidencias para cada ACE permit cuando se inició solo una conexión
desde cada dirección IP?
`PORQUE CADA PERMITE EL ACESSO PARA UNA SOLA CONCEXION
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
¿De qué forma determinaría el momento en el que el protocolo Telnet ocasiona las dos coincidencias
durante la conexión Telnet?
POR UN ANALIZAR COMO WIRESHARK
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
h. En el R1, ingrese al modo de configuración global.
i. Ingrese al modo de configuración de lista de acceso para la lista de acceso con nombre ADMIN-MGT y
agregue una ACE deny any al final de la lista de acceso.
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit
Nota: Dado que hay una ACE deny any implícita al final de todas las ACL, agregar una ACE deny any
explícita es innecesario. Sin embargo, el deny any explícito al final de la ACL puede ser útil para que el
administrador de red registre o, simplemente, conozca la cantidad de veces que coincidió la ACE de lista
de acceso deny any.
j. Intente acceder al R1 mediante telnet desde la PC-B. Esto crea una coincidencia con la ACE deny any
en la lista de acceso con nombre ADMIN-MGT.
k. En el modo EXEC privilegiado, escriba el comando show ip access-lists y presione Enter. Ahora
debería ver varias coincidencias con la ACE deny any.
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.1.3 (2 matches)
20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches)
30 deny any (3 matches)
La conexión Telnet fallida produce más coincidencias con la ACE deny explícita que una conexión
correcta. ¿Por qué cree que sucede esto?
PORQUE LOS PROTOCOLOS DE TELNET INICIAR 3 VECES PARA INICIAR
____________________________________________________________________________________
SECCION
____________________________________________________________________________________
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 8
Práctica de laboratorio: Configuración y verificación de restricciones de VTY
Reflexión
1. Como lo demuestra el acceso remoto a vty, las ACL son filtros de contenido eficaces que tienen una
aplicación más allá de las interfaces de red de entrada y de salida. ¿De qué otras formas se pueden aplicar
las ACL?
POR LAS APLICACIONES DE REDES, O SERVIDORES
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿La aplicación de una ACL a una interfaz de administración remota de vty mejora la seguridad de una
conexión Telnet? ¿Esto convierte a Telnet en una herramienta de administración de acceso remoto más
viable?
PORQUE ACL AYUDA A RESTRINGIR EL ACESSO REMOTO A LOS DISPOSITVOS
_______________________________________________________________________________________
DE REDES. Y SI YA QUE LA INFORMACON VIAJA ENCRIPTADA
_______________________________________________________________________________________
_______________________________________________________________________________________
3. ¿Por qué tiene sentido aplicar una ACL a las líneas vty, en vez de a interfaces específicas?
PORQUE TIENE MAS INTERFACES
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 8
Práctica de laboratorio: Configuración y verificación de restricciones de VTY
Modelo de router Interfaz Ethernet 1 Interfaz Ethernet 2 Interfaz serial 1 Interfaz serial 2
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 8
Denegación de FTP
Objetivo
Implementar el filtrado de paquetes con ACL de IPv4 extendidas, según los requisitos de la red (incluir ACL con
nombre y numeradas).
Situación
Hace poco se informó que hay cada vez más virus en la red de su pequeña o mediana empresa. El administrador
de red realizó un seguimiento del rendimiento de la red y determinó que cierto host descarga archivos de un
servidor FTP remoto constantemente. Este host puede ser el origen de los virus que se expanden por la red.
Utilice Packet Tracer para completar esta actividad. Debe crear una ACL con nombre para denegar el acceso del
host al servidor FTP. Aplique la ACL a la interfaz más eficaz en el router.
Mediante la herramienta de texto de Packet Tracer, registre la ACL que preparó. Para confirmar que la ACL
deniega el acceso al servidor FTP, intente acceder a la dirección del servidor FTP. Observe qué sucede en el
modo de simulación.
Guarde el archivo y esté preparado para compartirlo con otro estudiante o con toda la clase.
Reflexión
1. ¿Cuál fue la parte más difícil de esta actividad de creación de modelos?
NINGUNAS
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿Con qué frecuencia considera que los administradores de red deben cambiar las ACL en las redes?
CADA MES
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
3. ¿Por qué consideraría usar una ACL extendida con nombre en lugar de una ACL extendida regular?
La ACL extendida permite o deniega el acceso según la dirección IP de origen, la
_______________________________________________________________________________________
dirección
Números IPde de destino, el tipo de protocolo y los números de puertos
puertos
_______________________________________________________________________________________
_______________________________________________________________________________________
© 2017 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 1
Permítame que lo ayude
Objetivo
Explicar el propósito y el funcionamiento de las ACL.
Situación
• Cada persona de la clase registrará cinco preguntas que le haría a un candidato que solicita una
acreditación de seguridad para un puesto de asistente de red en una pequeña o mediana empresa. La
lista de preguntas se debe armar en orden de importancia para seleccionar un buen candidato para el
puesto. También deben registrarse las respuestas preferidas.
• Después de tres minutos de intercambiar ideas para la lista de preguntas, el instructor les solicitará a dos
estudiantes que actúen como entrevistadores. Estos dos estudiantes usarán solo su lista de preguntas y
respuestas en la siguiente parte de esta actividad. El instructor le explicará solo a los dos entrevistadores
que tienen la discreción, en cualquier momento, para detener el proceso y afirmar que “todos tienen
permiso para acceder al siguiente nivel de entrevistas” o “Lo siento, pero no tienen las calificaciones
necesarias para continuar con el siguiente nivel de entrevistas”. El entrevistador no tiene que completar
todas las preguntas de la lista.
• El resto de la clase se dividirá en dos mitades y cada mitad se asignará a uno de los entrevistadores.
• Una vez que se hayan formado los grupos para cada entrevistador, comenzarán las entrevistas a los
candidatos.
• Los dos entrevistadores seleccionados formularán la primera pregunta de la lista que crearon. Un
ejemplo podría ser “¿Tiene más de 18 años?” Si el solicitante no cumple con el requisito de edad, según
lo especificado por las preguntas y respuestas originales del entrevistador, el solicitante será eliminado
del grupo de solicitantes y debe pasar a otra área dentro de la sala desde donde observarán el resto del
proceso de solicitud.
Luego, el entrevistador hará la siguiente pregunta. Si los candidatos contestan correctamente, pueden
permanecer en el grupo de candidatos. A continuación, toda la clase se reunirá y expondrá sus
observaciones con respecto al proceso para permitirles o denegarles a los candidatos la oportunidad de
pasar el siguiente nivel de entrevistas.
Reflexión
1. ¿Qué factores tuvo en cuenta al armar su lista de criterios para la acreditación de seguridad del asistente de
red?
una lista de preguntas para filtrar a los candidatos
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿Qué tan difícil fue pensar cinco preguntas de seguridad para hacer durante las entrevistas? ¿Por qué se le
pidió que ordenara las preguntas según la importancia para la selección de un buen candidato?
pues no tantos solo se debió tomar en cuenta los criterios o perfile
_______________________________________________________________________________________
necesarios y el orden fue para ver que es lo que le daban mas importancia y así ver sus
_______________________________________________________________________________________
prioridades
3. ¿Por qué podría detenerse el proceso de eliminación, aun si quedaran algunos candidatos disponibles?
debido a que los cuanditos verán lo que es necesario que conozcan y
_______________________________________________________________________________________
verán si son competentes para lo que se les pide
_______________________________________________________________________________________
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 2
Permítame que lo ayude
4. ¿En qué forma podrían aplicarse esta situación y estos resultados al tráfico de la red?
debido a que los cuanditos verán lo que es necesario que conozcan y
_______________________________________________________________________________________
verán si son competentes para lo que se les pide
_______________________________________________________________________________________
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 2
Packet Tracer: Demostración de listas de control de
acceso
Topología
Objetivos
Parte 1: Verificar la conectividad local y probar la lista de control de acceso
Parte 2: Eliminar la lista de control de acceso y repetir la prueba
Aspectos básicos
En esta actividad, observará cómo se puede utilizar una lista de control de acceso (ACL)
para evitar que un ping llegue a hosts en redes remotas. Después de eliminar la ACL de la
configuración, los pings se realizarán correctamente.
Paso 2. Hacer ping a los dispositivos en las redes remotas para probar la
funcionalidad de la ACL
a. Desde el símbolo del sistema de la PC1, haga ping a la PC4.
b. Desde el símbolo del sistema de la PC1, haga ping al servidor DNS.
¿Por qué fallaron los pings? (Sugerencia: utilice el modo de simulación o vea las
configuraciones del router para investigar).
Porque no hay ruta disponible por donde viajar los paquetes.
Parte 1, paso 1 b. 50 50
Parte 1, paso 2 b. 40 40
Parte 2, paso 2 b. 10 10
Puntuación total 100 100
Packet Tracer: configuración de ACL IPv4 estándar numeradas
Topología
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 4
Packet Tracer: configuración de ACL estándar
Tabla de direccionamiento
El Máscara de Gateway
administrador Interfaces Dirección IP subred predeterminado
Objetivos
Parte 1: planificar una implementación de ACL
Parte 2: configurar, aplicar y verificar una ACL estándar
Aspectos básicos/situación
Las listas de control de acceso (ACL) estándar son scripts de configuración del router que controlan si un router
permite o deniega paquetes según la dirección de origen. Esta actividad se concentra en definir criterios de
filtrado, configurar ACL estándar, aplicar ACL a interfaces de router y verificar y evaluar la implementación de la
ACL. Los routers ya están configurados, incluidas las direcciones IP y el routing del protocolo de routing de
gateway interior mejorado (EIGRP).
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 4
Packet Tracer: configuración de ACL estándar
Para restringir el acceso de la red 192.168.11.0/24 al servidor web en 192.168.20.254 sin interferir con
otro tráfico, se debe crear una ACL en el R2. La lista de acceso se debe colocar en la interfaz de salida
hacia el servidor web. Se debe crear una segunda regla en el R2 para permitir el resto del tráfico.
b. En el R3 están implementadas las siguientes políticas de red:
La red 192.168.10.0/24 no tiene permiso para comunicarse con la red 192.168.30.0/24.
Se permite el resto de los tipos de acceso.
Para restringir el acceso de la red 192.168.10.0/24 a la red 192.168.30/24 sin interferir con otro tráfico, se
debe crear una lista de acceso en el R3. La ACL se debe colocar en la interfaz de salida hacia la PC3.
Se debe crear una segunda regla en el R3 para permitir el resto del tráfico.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 4
Packet Tracer: configuración de ACL estándar
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 4
Packet Tracer: Configuración de ACL estándar IPv4 con nombre
Topología
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
Objetivos
Parte 1: Configurar y aplicar una ACL estándar con nombre
Parte 2: Verificar la implementación de la ACL
Aspectos básicos/situación
El administrador de red ejecutivo le ha solicitado que cree una ACL con nombre estándar para impedir el
acceso a un servidor de archivos. Se debe denegar el acceso de todos los clientes de una red y de una
estación de trabajo específica de una red diferente.
© 2013 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 2
Packet Tracer: Configuración de ACL estándar con nombre
© 2013 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 2
Packet Tracer: Configuración de una ACL IPv4 en líneas VTY
Topología
Tabla de direccionamiento
El Máscara de Gateway
administrador Interfaces Dirección IP subred predeterminado
Objetivos
Parte 1: Configurar y aplicar una ACL a las líneas VTY
Parte 2: Verificar la implementación de la ACL
Aspectos básicos
Como administrador de red, debe tener acceso remoto al router. Este acceso no debe estar disponible para
otros usuarios de la red. Por lo tanto, configurará y aplicará una lista de control de acceso (ACL) que permita
el acceso de una computadora (PC) a las líneas Telnet, pero que deniegue el resto de las direcciones IP de
origen.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 2
Packet Tracer: Configuración de una ACL en líneas VTY
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 2
Packet Tracer: Solución de problemas de las ACL IPv4 estándar
Topología
Tabla de direccionamiento
Gateway
El administrador Interfaces Dirección IP Máscara de subred predeterminado
Objetivos
Parte 1: Resolver el problema 1 de la ACL
Parte 2: Resolver el problema 2 de la ACL
Parte 3: Resolver el problema 3 de la ACL
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 4
Packet Tracer: Resolución de problemas de ACL
Situación
En esta red, deberían estar implementadas las tres políticas siguientes:
Los hosts de la red 192.168.0.0/24 no pueden acceder a la red 10.0.0.0 /8.
L3 no puede acceder a ningún dispositivo en la red 192.168.0.0/24.
L3 no puede acceder a Servidor1 ni a Servidor2. L3 solo debe acceder a Servidor3.
Los hosts de la red 172.16.0.0/16 tienen acceso total a Servidor1, Servidor2 y Servidor3.
Nota: Todos los nombres de usuario y las contraseñas del FTP son “cisco”.
No debe haber otras restricciones. Lamentablemente, las reglas implementadas no funcionan de manera
correcta. Su tarea es buscar y corregir los errores relacionados con las listas de acceso en el R1.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 4
Packet Tracer: Resolución de problemas de ACL
c. Vea la configuración en ejecución en el R1. Examine la lista de acceso FROM_10 y su ubicación en las
interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto? ¿Existe
alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están
en el orden correcto?
d. Realice otras pruebas, según sea necesario.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 4
Packet Tracer: Resolución de problemas de ACL
Podríamos configurar la interfaz G0/0 y G0/1 como lista de acceso en modo out (salida), otro recurso es
utilizar el comando permit.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 4
Packet Tracer: Desafío de integración de habilidades
Topología
Tabla de direccionamiento
Gateway
El administrador Interfaces Dirección IP Máscara de subred predeterminado
Situación
En esta actividad del desafío, terminará el esquema de direccionamiento, configurará el routing
e implementará listas de control de acceso con nombre.
Requisitos
a. Divida la red 172.16.128.0/19 en dos subredes iguales para utilizarse en Sucursal.
1) Asigne la última dirección utilizable de la segunda subred a la interfaz Gigabit
Ethernet 0/0.
2) Asigne la última dirección utilizable de la primera subred a la interfaz Gigabit
Ethernet 0/1.
3) Registre el direccionamiento en la tabla de direccionamiento.
4) Configure Sucursal con el direccionamiento adecuado.
b. Para configurar B1 con el direccionamiento adecuado, utilice la primera dirección
disponible de la red a la cual está conectada. Registre el direccionamiento en la tabla
de direccionamiento.
c. Configure HQ y Sucursal con routing RIPv2 según los siguientes criterios:
Anuncie las tres redes conectadas. No anuncie el enlace a Internet.
Configure las interfaces correspondientes como pasivas.
d. Establezca una ruta predeterminada en HQ que dirija el tráfico a la interfaz S0/0/1.
Redistribuya la ruta a Sucursal.
e. Diseñe la lista de acceso con nombre HQServer para evitar que cualquier computadora
conectada a la interfaz Gigabit Ethernet 0/0 del router Sucursal acceda a
HQServer.pka. Se permite todo el tráfico restante. Configure la lista de acceso en el
router adecuado y aplíquela a la interfaz apropiada en el sentido correcto.
f. Diseñe una lista de acceso con nombre BranchServer para evitar que las
computadoras conectadas a la interfaz Gigabit Ethernet 0/0 del router HQ acceda al
servidor Sucursal. Se permite todo el tráfico restante. Configure la lista de acceso en el
router adecuado y aplíquela a la interfaz apropiada en el sentido correcto.