CCNA Discovery

Diseño y soporte de redes de computadoras

Laboratorio práctico 5.5.3: Desarrollo de las ACL para implementar

conjuntos de reglas de firewall

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 8
CCNA Discovery
Diseño y soporte de redes de computadoras

Dispositivo Interfaz Dirección IP

SFC-ASW VLAN 1 10.1.1.253/24

Fa0/1 10.1.1.254/24
SR1
S0/1/0 10.1.0.1/30
S0/1/0 10.1.0.2/30
Edge2
S0/1/1 10.3.0.1/30
S0/1/1 10.3.0.2/30
BR4 Fa0/0 172.17.0.1/16
Fa0/1 10.3.1.254/24
FC-ASW-2 VLAN 1 172.17.1.25/16
FC-ASW-1 VLAN 1 10.3.1.253/24
PC1 — 10.1.1.1/24
PC2 — 10.3.1.1/24
Servidor de producción — 172.17.1.1/16

Objetivos
• Interpretar una política de seguridad para definir las reglas del firewall.
• Crear sentencias ACL para implementar las reglas del firewall.
• Configurar y probar las ACL.

Objetivos del examen de certificación CCNA 640-802

Esta práctica de laboratorio contiene habilidades relacionadas con los siguientes objetivos del examen de
certificación CCNA:
• Describir el propósito y los tipos de ACL.
• Configurar y aplicar ACL en base a los requisitos de filtrado de red, incluido CLI/SDM.
• Configurar y aplicar ACL para limitar el acceso a través de Telnet y de SSH (shell seguro) al router
utilizando SDM/CLI.
• Verificar y controlar las ACL en un entorno de red.
• Resolver los problemas de las ACL.

Resultados esperados y criterios de éxito

Antes de comenzar con esta práctica de laboratorio, lea las tareas que debe realizar. Cuál cree que será el
resultado después de realizar estas tareas?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Cuáles son los riesgos inherentes de no utilizar una ACL para asegurar el tráfico de red?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 8
CCNA Discovery
Diseño y soporte de redes de computadoras

Cuáles son los diversos métodos para limitar el flujo de tráfico desde y hacia las redes LAN o WAN?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________

Información básica / Preparación

FilmCompany proporciona servicios a las sucursales como la que está situada en el estadio. Esta oficina
tiene algunos problemas menores de seguridad y desempeño. Estos problemas exigen que el diseñador de
la red incorpore varias ACL para asegurarla. Por lo tanto, es necesario implementar las ACL como
herramienta simple y eficaz para controlar el tráfico.
Dada una política de seguridad de FilmCompany, cree un conjunto de reglas del firewall e implemente las
ACL extendidas e identificadas, para hacer cumplir las reglas.
La política de seguridad de FilmCompany posee una sección que se refiere al acceso desde sitios remotos.
Aquí está el texto perteneciente a la política de seguridad:
Política de seguridad
Los usuarios que accedan a la red desde sitios remotos, incluidas las sucursales
remotas, requieren el siguiente acceso a los recursos de red del sitio:
1. Los usuarios remotos deben poder acceder al Servidor de producción para ver sus
programas en la Web y para ingresar nuevas órdenes.
2. Los usuarios remotos deben poder utilizar el FTP para descargar y subir archivos
procedentes del Servidor de producción y destinados a éste.
3. Los usuarios remotos pueden utilizar el Servidor de producción para enviar y recibir
correo electrónico usando los protocolos IMAP y SMTP.
4. Los usuarios remotos no deben poder acceder a ningún otro servicio disponible en el
Servidor de producción.
5. No se permite el tráfico procedente de las estaciones de trabajo individuales de la
oficina principal hacia las estaciones de trabajo de los trabajadores remotos.
Cualquier archivo que deba transferirse entre los dos sitios debe ser almacenado en
el Servidor de producción y recuperado a través del FTP.
6. No se permite el tráfico desde las estaciones de trabajo del sitio remoto hacia las
estaciones de trabajo del sitio principal.
7. No se permite el tráfico de Telnet desde las estaciones de trabajo del sitio remoto
hacia ningún dispositivo, excepto su switch local.

Paso 1: Realizar el cableado y conectar la red como se muestra en el diagrama de la topología

NOTA: Si las PC utilizadas en esta práctica de laboratorio también están conectadas a su red LAN de la
Academia o a Internet, asegúrese de documentar las conexiones del cable y configuraciones TCP/IP para
que éstas puedan ser reestablecidas al finalizar la práctica.
a. Conecte y configure los dispositivos de acuerdo con la topología y configuración dadas.
Debe configurarse el enrutamiento a través de los enlaces seriales para establecer la comunicación
de datos.
NOTA: El instructor puede sustituir el Servidor de producción por un servidor equivalente en esta
práctica de laboratorio.
b. Configure el acceso a Telnet en cada router.
c. Haga ping entre Host1, Host2 y el Servidor de producción, para confirmar la conectividad de la red.
En caso de que fallen los pings o Telnet, resuelva los problemas y establezca la conectividad.

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 8
CCNA Discovery
Diseño y soporte de redes de computadoras

Paso 2: Realizar configuraciones básicas del router

a. Configure los dispositivos de red teniendo en cuenta las siguientes pautas:
• Configure los nombres de host de cada dispositivo.
• Configure una contraseña para el modo EXEC de class.
• Configure una contraseña de cisco para las conexiones de la consola.
• Configure una contraseña de cisco para las conexiones de la vty (Terminal virtual).
• Configure direcciones IP en todos los dispositivos.
• Habilite EIGRP en todos los routers y configure a cada uno para que notifique todas las
redes conectadas.
• Verifique la conectividad total de IP usando el comando ping.

b. Confirme la conectividad de la Capa de aplicación con la utilización de Telnet en todos los routers.

Paso 3: Crear el conjunto de reglas del firewall y las sentencias de la lista de acceso
Utilizando la información de la política de seguridad de FilmCompany para el acceso remoto, cree las reglas
del firewall que deban implementarse para hacer cumplir la política. Después de documentar la regla del
firewall, cree la sentencia de la lista de acceso que va a implementar la regla del firewall. Quizás se necesite
más de una sentencia para implementar una regla.
Se muestra un ejemplo de una de las reglas del firewall:
Política de seguridad 1: Los usuarios remotos deben poder acceder al Servidor de producción para ver
sus programas en la Web y para ingresar nuevas órdenes.
Regla del firewall: Permitirles a los usuarios del 10.1.1.0/24 el acceso al Servidor de producción
(172.17.1.1) en el puerto TCP 80.
Sentencia(s) de la lista de acceso: permit tcp 10.1.1.0 0.0.0.255
host 172.17.1.1 eq 80
Ubicación de la lista de acceso: En la entrada del router SR1 Fa0/1 (recuerde que las ACL
extendidas deben colocarse lo más cerca posible del origen del tráfico)

Para cada una de las siguientes políticas de seguridad:

a. Cree una regla del firewall.
b. Cree una sentencia de la lista de acceso.
c. Determine la ubicación de la lista de acceso para implementar la regla del firewall.

Política de seguridad 2: Los usuarios remotos deben poder utilizar el FTP para descargar y subir
archivos procedentes del Servidor de producción y destinados a éste.
Regla del firewall:
_______________________________________________________________________________
_______________________________________________________________________________
Sentencia(s) de la lista de acceso:

_______________________________________________________________________________
_______________________________________________________________________________

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 8
CCNA Discovery
Diseño y soporte de redes de computadoras

Ubicación de la lista de acceso:

_______________________________________________________________________________
_______________________________________________________________________________
Política de seguridad 3: Los usuarios remotos pueden utilizar el Servidor de producción para enviar y
recibir correo electrónico usando los protocolos IMAP y SMTP.
Regla del firewall:
_______________________________________________________________________________
_______________________________________________________________________________
Sentencia(s) de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
Ubicación de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
Política de seguridad 4: Los usuarios remotos no deben poder acceder a ningún otro servicio disponible
en el Servidor de producción.
Regla del firewall:
_______________________________________________________________________________
_______________________________________________________________________________
Sentencia(s) de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
Ubicación de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
Política de seguridad 5: No se permite el tráfico procedente de las estaciones de trabajo individuales de
la oficina principal hacia las estaciones de trabajo de los trabajadores remotos. Cualquier archivo que
deba transferirse entre los dos sitios debe ser almacenado en el Servidor de producción y recuperado a
través del FTP.
Regla del firewall:
_______________________________________________________________________________
_______________________________________________________________________________
Sentencia(s) de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
Ubicación de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 8
CCNA Discovery
Diseño y soporte de redes de computadoras

Política de seguridad 6: No se permite el tráfico desde las estaciones de trabajo del sitio remoto hacia
las estaciones de trabajo del sitio principal.
Regla del firewall:
_______________________________________________________________________________
_______________________________________________________________________________
Sentencia(s) de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
Ubicación de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
Política de seguridad 7: No se permite el tráfico de Telnet desde las estaciones de trabajo del sitio
remoto hacia ningún dispositivo, excepto su switch local.
Regla del firewall:
_______________________________________________________________________________
_______________________________________________________________________________
Sentencia(s) de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
Ubicación de la lista de acceso:
_______________________________________________________________________________
_______________________________________________________________________________

Paso 4: Crear las ACL extendidas

a. Vuelva a ver la información sobre la ubicación de la lista de acceso que creó para implementar cada
una de las políticas de seguridad de FilmCompany. Enumere todas las distintas ubicaciones de la
lista de acceso que anotó más arriba.
_____________________________________________________
_____________________________________________________
_____________________________________________________

Según la información de la ubicación cuántas listas de acceso tiene que crear?

En el Router SR1 _______________
En el Router Edge2 ______________
En el Router BR4 ________________

b. Según las sentencias de la lista de acceso que desarrolló en la Tarea 3, cree cada lista de acceso
que se necesite para implementar las políticas de seguridad. Cuando cree las listas de acceso,
recuerde los siguientes principios:
• Sólo se puede aplicar una lista de acceso por protocolo, por dirección en cada interfaz.
• Las sentencias de la lista de acceso se procesan en orden.

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 8
CCNA Discovery
Diseño y soporte de redes de computadoras

• Una vez que se creó una lista de acceso y se aplicó a la interfaz, se descarta todo el tráfico que no
coincida con ninguna sentencia de la lista de acceso.
c. Use un archivo de texto para crear las listas de acceso o escríbalas aquí. Evalúe cada sentencia de
la lista de acceso para asegurarse de que va a filtrar el tráfico como se pretende.
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Por qué es tan importante el orden de las sentencias de la lista de acceso?
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________

Paso 5: Configurar y probar las listas de acceso

a. Configure las listas de acceso en los routers adecuados y aplíquelas a las interfaces correctas.
Asigne a las listas de acceso nombres representativos como “Oficina remota” o “Filtro remoto”.
Nombres de listas de acceso:
_______________________________________________________________________________
_______________________________________________________________________________
b. Pruebe las listas de acceso y su ubicación llevando a cabo las siguientes pruebas:
1) Usando el Host1, abra el explorador e intente ver una página Web situada en el Servidor de
producción con la dirección http://172.17.1.1.
Tuvo éxito? __________
2) Usando el Host1, abra el explorador e intente conectarse al Servidor de producción con
ftp://172.17.1.1.
Tuvo éxito? __________
3) Usando el Host1, intente ejecutar Telnet hacia cualquier dirección de cualquier router o switch.
Tuvo éxito? __________
4) Usando el Host1, intente hacer ping en el Host2.
Tuvo éxito? __________
5) Usando el Host2, intente hacer ping en el Host1.

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 8
CCNA Discovery
Diseño y soporte de redes de computadoras

Tuvo éxito? __________

Las ACL tuvieron el rendimiento que esperaba? __________

Si no fue así, corrija y vuelva a probar las ACL y su ubicación dentro de la red.

Paso 6: Documentar las configuraciones del router

Copie y guarde los resultados de la configuración en ejecución de todos los routers en un documento de
procesador de texto para ver sus configuraciones.

Paso 7: Reflexión
Las estrategias de diseño para la LAN de FilmCompany plantean muchos desafíos para el diseñador. Cuáles
fueron algunos de los mayores desafíos de crear una ACL con los que se encontró?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Evalúe y analice las estrategias identificadas. Todas las estrategias diseñadas o el hardware identificado
cumplen con la tarea de la misma forma?
______________________________________________________________________________________
______________________________________________________________________________________
Alguna ACL podría funcionar mejor que otra?
______________________________________________________________________________________
______________________________________________________________________________________
El diseño elegido de ACL permitirá un crecimiento futuro y la adición de más hosts en el segmento de la LAN?
______________________________________________________________________________________
______________________________________________________________________________________

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 8