4.4.2.11 Lab - Troubleshooting ACL Configuration and Placement - Editado
4.4.2.11 Lab - Troubleshooting ACL Configuration and Placement - Editado
y colocación de ACL
Topología
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
Máscara de
Dirección IP subred
Gateway
Dispositivo Interfaz
Dirección/prefijo IPv6 predeterminado
192.168.1.1 255.255.255.0
G0/1 2001:DB8:ACAD:1::1/64 N/D
FE80::1
10.1.1.2 255.255.255.252
HQ S0/0/1 2001:DB8:ACAD:A::2/64 N/D
FE80::2
192.168.4.1 255.255.255.0
Lo0 2001:DB8:ACAD:4::1/64 N/D
FE80::1
192.168.3.1 255.255.255.0
G0/1 2001:DB8:ACAD:3::1/64 N/D
FE80::1
ISP
10.1.1.1 255.255.255.252
S0/0/0 (DCE) 2001:DB8:ACAD:A::1/64 N/D
FE80::1
S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
S3 VLAN 1 192.168.3.11 255.255.255.0 192.168.3.1
192.168.1.3 255.255.255.0 192.168.1.1
PC-A NIC 2001:DB8:ACAD:1::3/64
FE80::1
FE80::3
192.168.3.3 255.255.255.0 192.168.3.1
PC-C NIC 2001:DB8:ACAD:3::3/64
FE80::1
FE80::3
Objetivos
Parte 1: armar la red y configurar los parámetros básicos de los dispositivos
Parte 2: resolver problemas de acceso interno
Parte 3: resolver problemas de acceso remoto
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
Aspectos básicos/situación
Una lista de control de acceso (ACL) es una serie de comandos IOS que proporcionan filtrado de tráfico
básico en un router Cisco. Las ACL se usan para seleccionar los tipos de tráfico que se deben procesar.
Una instrucción de ACL individual se conoce como entrada de control de acceso (ACE). Las ACE en la ACL
se evalúan de arriba abajo, y al final de la lista hay una ACE deny all implícita. Las ACL también controlan los
tipos de tráfico entrante y saliente de una red según los hosts o las redes de origen y destino. Para procesar
el tráfico deseado correctamente, la ubicación de las ACL es fundamental.
En esta práctica de laboratorio, una pequeña empresa acaba de agregar un servidor web a la red para
permitir que los clientes tengan acceso a información confidencial. La red IPv4 e IPv6 de la empresa se
divide en dos zonas: zona de red corporativa y zona perimetral (DMZ). La zona de red corporativa aloja los
servidores privados y los clientes internos. La DMZ aloja el servidor web al que se puede acceder de forma
externa (simulado por Lo0 en HQ).
Al acceso seguro a corporativo y a las redes de DMZ, varias ACL se configuró en el router HQ. Sin embargo,
existen problemas con las ACL configuradas. En esta práctica de laboratorio, examinará lo que están
haciendo y toman las ACL acciones correctivas para implementarlas correctamente.
Al resolver las ACL, es importante que su propósito y resultado deseado se entienda bien. Por este motivo, a
continuación se describen las ACL configuradas en HQ:
• ACL 101 se implementa para limitar el tráfico que abandona la zona de la red corporativa. Esta zona se
conoce generalmente como el privados o la red interna porque contiene los servidores privados y
clientes internos. En esta topología, esta zona es la dirección de red asignada 192.168.1.0/24. Por lo
tanto, sólo el tráfico de esa red se debe permitir para salir de la red interna.
• ACL 102 se utiliza para limitar el tráfico que ingresa a la red corporativa. A esa red solo pueden acceder
las respuestas a las solicitudes que se originaron dentro de la red corporativa. Esto incluye solicitudes
basadas en TCP de los hosts internos, como web y FTP. Se permite el acceso de ICMP a la red para
fines de resolución de problemas, de forma que los hosts internos pueden recibir mensajes ICMP
entrantes generados en respuesta a pings. Ninguna otra red debería poder acceder a la zona corporativa.
• ACL 121 controla el tráfico saliente a la DMZ y a la red corporativa. Solo se permite tráfico HTTP al
servidor web DMZ (simulado por Lo0 en HQ). Se permite cualquier otro tráfico relacionado con la red,
como EIGRP, desde redes externas. Además, se deniega el acceso a la red corporativa a las direcciones
privadas internas válidas, como 192.168.1.0, las direcciones de loopback, como 127.0.0.1, y las
direcciones de multidifusión, con el fin de impedir ataques malintencionados de usuarios externos a la
red.
• IPv6 ACL nombrada NO-ICMP deniega el tráfico ICMP a la DMZ y a la red corporativa originados desde
el exterior. La respuesta de ICMP puede en la red que responde a las solicitudes de los hosts de Internet.
Se permite cualquier otro tráfico relacionado con la red, como EIGRP, desde redes externas. Además, la
red externa tiene permitido el acceso al servidor web DMZ (simulado por Lo0 en HQ).
Nota: Los routers que se usan en las actividades prácticas de laboratorio de CCNA son routers de servicios
integrados (ISR) Cisco 1941 con Cisco IOS versión 15.4(3) (imagen universalk9). Los switches que se
utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
laboratorio. Consulte la tabla Resumen de interfaces del router al final de la práctica de laboratorio para
obtener los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
Recursos necesarios
• 2 routers (Cisco 1941 con Cisco IOS versión 15.4(3), imagen universal o equivalente)
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet y seriales, como se muestra en la topología
Paso 3: inicializar y volver a cargar los routers y los switches según sea necesario.
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 9 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
Reflexión
1. ¿Cómo se debería ordenar la instrucción de ACL, de lo general a lo específico o viceversa?
____________________________________________________________________________________
las reglas se deben configurar de lo general a lo especifico ya que cuando el trafico hace match deja de
validar las siguientes reglas.
____________________________________________________________________________________
2. Si elimina una ACL con el comando no access-list y la ACL sigue aplicada a la interfaz, ¿qué sucede?
____________________________________________________________________________________
se aplica la regla de deny any to any por defecto.
____________________________________________________________________________________
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 10 de 11
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de hacer una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 11 de 11