Informe Laboratorio de Comunicaciones II

Prctica No 6: Listas de Acceso IP estndar

Diego Esteban Ramrez 0933640, Jhoan Sebastin Sierra 0931427
Escuela de Ingeniera Elctrica y Electrnica
Universidad del Valle

I. Objetivos
Conocer los diferentes tipos de listas de acceso y el rango de nmeros asignados a estas.
Entender el procesamiento top-down de las listas de acceso.
Conocer que es una negacin implcita.
Usar los comandos de las listas de acceso.
Usar la mscara comodn (wildcard mask) en las listas de acceso.
Crear una lista de acceso IP estndar numerada.

II. Desarrollo
Proponga una red en la que se controle el acceso de un equipo por medio de una lista de
acceso estndar, mencione las ventajas y desventajas que se tienen al utilizar una lista
de acceso estndar.

Figura 1. Red propuesta.

Se propone la red propuesta en la figura 1, en donde hay una red LAN 1: 192.168.1.0/24
donde se encuentran 3 equipos terminales, y una LAN 2:192.168.2.0/24 a la que se
encuentra conectado un router R2.
Se procede a limitar el acceso a la configuracin del router R1 solo por el equipo
terminal PC1, pero antes se debe verificar que se puede establecer una sesin con R1
desde cualquier equipo terminal, para ello se procede a hacer telnet desde cada uno de
los PC.

Figura 2. Telnet a R1 y R2 desde PC1.


Figura 3. Telnet a R1 y R2 desde PC2.


Figura 4. Telnet a R1 y R2 desde PC3.

Una vez hecho esto se procede a configurar la lista de control de acceso en R1 como se
muestra en la siguiente figura.

Figura 5. Configuracin lista de control de acceso para R1.

Ahora bien se procede a confirmar que la lista de control de acceso funcione, haciendo
telnet a R1 desde cada PC, para el PC1 el cual es el nico que puede hacer sesin, el
procedimiento es exactamente igual que en la figura 2, para los otros dos el
procedimiento da como el de las figuras 6 y 7.

Figura 6. Telnet a R1 y R2 desde PC2 con ACL.


Figura 7. Telnet a R1 y R2 desde PC3 con ACL.

Como se puede observar la lista de control de acceso programada en R1 no deja que se
realice una sesin con el programa cliente telnet, debido a que rechaza todo informacin
con IP diferente de la del PC1:192.168.1.2/24, aunque se cumple con el propsito de
evitar que los dems equipos conectados a la LAN 1 puedan establecer una sesin con
R1 y de esta manera evitar que se cambie su configuracin, no permite tampoco la
transmisin de otro tipo de informacin dejando incomunicados los equipos terminales
de la LAN 1 con el resto del mundo, o con comunicacin en un solo sentido, esto ms
que una desventaja o ventaja, refleja es el uso errneo de la IP estndar como tipo de
lista de acceso para restringir un posible acceso a un equipo como un router.

Encuentre los errores de la siguiente lista de acceso IP estndar y proponga la lista de IP
corregida.
1-Router(config)#access-list 1 permit 192.168.2.1
2-Router(config)#access-list 1 deny 192.168.2.2
3-Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255
4-Router(config)#access-list 1 deny any
5-Router(config)#interface serial 0/0
6-Router(config-if)#ip access-group 1 in

Un ejemplo para explicar la acces-list 1 implementada anteriormente y asignada al
puerto serial 0/0, puede ser:


Figura 8. Posible caso de aplicacin.
La idea central que se puede observar de los comandos propuestos, es bloquear todos
los paquetes que vengan de parte del host 192.168.2.2/24, y permitir el ingreso de
paquetes provenientes del host 192.168.2.1/24 y del resto de los posibles host en la red
LAN 192.168.2.0/24, hacia el router 1(R1) por el puerto serial S0/0.

Sin embargo, cuando se declaran listas de control de acceso hay que tener en cuenta que
deben haber la menor cantidad de sentencias con el fin de disminuir el costo
computacional que sugiere el estar realizando comparaciones, por tanto la lnea 1 de los
comandos ejecutados es completamente innecesaria ya que la direccin de host
192.168.2.1/24 est incluida en la sentencia de la lnea 3 donde incluye todos los hosts
posibles en la red 192.168.2.0/24.

De esta manera, y teniendo en cuenta que las sentencias se comparan de uno en uno y de
arriba hacia abajo (top-down), primero se verifica si el paquete viene de 192.168.2.2/24,
de ser as lo descarta, de lo contrario pasa a la siguiente sentencia en donde verifica si el
paquete proviene de 192.168.2.0/24, y como es claro que si se lleg hasta esta sentencia
es porque no es el paquete que queremos bloquear, pasar todo paquete que llegue hasta
esta sentencia incluyendo los provenientes de 192.168.2.1/24, por otro lado la sentencia
de la lnea 4 garantiza que no entre a R1 ningn paquete que no pertenezca a
192.168.2.0/24.

Los comandos a ejecutar debern ser entonces:

1-Router(config)#access-list 1 deny 192.168.2.2
2-Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255
3-Router(config)#access-list 1 deny any
4-Router(config)#interface serial 0/0
5-Router(config-if)#ip access-group 1 in

Encuentre los errores de la siguiente lista de acceso IP estndar y proponga la lista de IP
corregida.

1-Router(config)#access-list 2 deny 192.168.2.0
2-Router(config)#access-list 2 deny 172.20.0.0
3-Router(config)#access-list 2 permit 192.168.2.1
4-Router(config)#access-list 2 permit 0.0.0.0 255.255.255.255
5-Router(config)#interface FastEthernet 0/0
6-Router(config-if)#ip access-group 1 out


Figura 9. Posible caso de aplicacin.

Un posible caso de aplicacin vendra de agregar al caso de la figura 1 una red LAN2
172.20.0.0/16 que se comunica a travs de R1, lo que se interpreta a partir de los
comandos ejecutados es que se desea bloquear la salida de paquetes a travs del puerto
FastEthernet 0/0, provenientes de la red 192.168.2.0/24 y 172.20.0.0/16, adems de
permitir la salida de paquetes provenientes del host 192.168.2.1/24 y los paquetes
provenientes de cualquier otra red.

Sin embargo, tanto en la lnea 1 y 2 los comandos ejecutados sugieren que la direccin
IP a comparar es de un host pues no se especifica una wildcard, el router la toma por
defecto como 0.0.0.0 con lo que compara cada uno de los octetos, por tanto es una
direccin nica, en la lnea 3 ocurre lo mismo, aun as en la lnea 1 y 2 las direcciones
IP terminan en .0 lo que no es usual en direcciones de host, por tanto los comandos se
tomaran como si el objetivo fuera el de filtrar paquetes de una red y no de un host.

Si la lnea 1 filtra los paquetes de 192.168.2.0/24 y nos los deja pasar, entonces nunca
dejara pasar los provenientes de 192.168.2.1/24, por tanto la lnea 3 debera ser la lnea
1 o inicial, con lo que se propone el siguiente cdigo:

1-Router(config)#access-list 2 permit 192.168.2.1
2-Router(config)#access-list 2 deny 192.168.2.0 0.0.0.255
3-Router(config)#access-list 2 deny 172.20.0.0 0.0.255.255
4-Router(config)#access-list 2 permit 0.0.0.0 255.255.255.255
5-Router(config)#interface FastEthernet 0/0
6-Router(config-if)#ip access-group 2 out

De esta manera se deja pasar solo los paquetes provenientes del host 192.168.2.1/24 y
de otras redes diferentes a 192.168.2.0/24 y 172.20.0.0/16 por el puerto FastEthernet
0/0 de R1.

Configurar una lista de acceso en el encaminador R1(Router1) de la red de la figura 3
que permita que el telnet a dicho encaminador lo pueda realizar nicamente cualquier
equipo de la LAN1: 192.168.1.0/24, aplicar la misma restriccin a los encaminadores
R2 y R3 respectivamente.


Figura 10. Red con listas de acceso.

Antes de aplicar las listas de acceso a cada uno de los caminadores se proceder a
comprobar que desde cada una de las redes LAN se pueda hacer telnet a cualquier
encaminador, esto se muestra en la figura 4, en donde se puede ver que desde el PC2
ubicado en la LAN1:192.168.1.0/24 se puede hacer telnet a cada uno de los
encaminadores.


Figura 11. Comprobacin de telnet desde el PC2 hacia los encaminadores de la red.

En la figura 5 se puede ver que desde el PC2 el ping responde si se hace hasta el PC4
(LAN4:192.168.4.0/24) y hasta el PC5 (LAN3:192.168.3.0/24), lo que significa que el
efecto de hacer telnet desde la LAN1 hasta R2 y R3, es anlogo para las dems LAN.


Figura 12. Ping desde PC2 hasta PC4 y PC5.

Ahora bien, se realiza la configuracin de la lista de acceso en R1 como se muestra en la
figura 6, en donde se verifica la creacin de la misma con el comando show acces-list.


Figura 13. Configuracin de la lista de acceso en R1.

Con el comando show ip interface se verifica que la lista de acceso 1 que se cre
anteriormente este asociada a las interfaces deseadas, lo que se puede observar en las
figuras 7 y 8, para las interfaces FastEthernet 0/0 y FastEthernet 0/1 respectivamente.


Figura 14. Asociacin de la lista de acceso con Fae0/0 en R1.


Figura 15. Asociacin de la lista de acceso con Fae0/1 en R1.

La configuracin para los encaminadores R2 y R3 es anloga a la de R1, una vez hecho
esto se puede probar que efectivamente no se le puede realizar telnet a los
encaminadores desde un equipo perteneciente a una LAN diferente, esto se puede
observar en la figura 9 donde se realiza telnet a R1, R2 y R3 teniendo xito solo para
R1, esto producto de la lista de acceso.

El procedimiento para comprobar la sesin con cada uno de los encaminadores con
telnet desde cada uno de los equipos se realiza de la misma manera que en la figura 9,
dando los mismos resultados.


Figura 16. Telnet desde PC2 a R1, R2 y R3 con la lista de acceso configurada en cada
encaminador.

Por ltimo se comprueba tambin la realizacin de telnet desde cualquier encaminador
hacia los otros dos, esto se muestra en la figura 10, en donde se observa que no es
posible establecer la sesin con los otros encaminadores, esto se debe a que el telnet
sigue siendo de un origen diferente al de la direccin de red que se permite en cada uno
de los encaminadores, diferente sera si la comprobacin y/o comparacin de la lista de
acceso se realiza de tipo outbound o la salida de la interfaz y los datos se generen en el
interior del encaminador.


Figura 17. Telnet desde R1 hacia R2 y R3 con la lista de acceso configurada en cada
encaminador.