Última actualización: septiembre 14, 2022
4.4.2.9 Packet Tracer: Solución de problemas de ACL de IPv4 (Versión para el instructor)
Nota para el instructor: El color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.
Topología
Tabla de direccionamiento
Dispositivo | Interfaz | Dirección IP | Máscara de subred | Gateway predeterminado |
---|---|---|---|---|
R1 | G0/0 | 10.0.0.1 | 255.0.0.0 | N/D |
G0/1 | 172.16.0.1 | 255.255.0.0 | N/D | |
G0/2 | 192.168.0.1 | 255.255.255.0 | N/D | |
Servidor1 | NIC | 172.16.255.254 | 255.255.0.0 | 172.16.0.1 |
Servidor2 | NIC | 192.168.0.254 | 255.255.255.0 | 192.168.0.1 |
Server3 | NIC | 10.255.255.254 | 255.0.0.0 | 10.0.0.1 |
L1 | NIC | 172.16.0.2 | 255.255.0.0 | 172.16.0.1 |
L2 | NIC | 192.168.0.2 | 255.255.255.0 | 192.168.0.1 |
L3 | NIC | 10.0.0.2 | 255.0.0.0 | 10.0.0.1 |
Objetivos
Parte 1: resolver el problema 1 de la ACL
Parte 2: resolver el problema 2 de la ACL
Parte 3: resolver el problema 3 de la ACL
Situación
En esta red, deberían estar implementadas las tres políticas siguientes:
- Los hosts de la red 192.168.0.0/24 no pueden acceder a ningún servicio TCP de Server3.
- Los hosts de la red 10.0.0.0/8 no pueden acceder al servicio HTTP del Servidor1.
- Los hosts de la red 172.16.0.0/16 no pueden acceder al servicio FTP del Servidor2.
Nota: todos los nombres de usuario y las contraseñas del FTP son “cisco”.
No debe haber otras restricciones. Lamentablemente, las reglas implementadas no funcionan de manera correcta. Su tarea es buscar y corregir los errores relacionados con las listas de acceso en el R1.
Parte 1: resolver el problema 1 de la ACL
Los hosts de la red 192.168.0.0/24 no pueden acceder (intencionalmente) a ningún servicio TCP del Servidor3, pero no deberían tener otro tipo de restricción.
Paso 1: determinar el problema de la ACL.
A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la ACL.
a. Con la L2, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2, y Servidor3.
b. Desde la L2, haga ping a Servidor1, Servidor2 y Servidor3.
c. Desde la L2, haga ping a G0/2 del R1.
d. Vea la configuración en ejecución en el R1. Examine la lista de acceso 192_to_10 y su ubicación en las interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto? ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están en el orden correcto?
e. Realice otras pruebas, según sea necesario.
Paso 2: implementar una solución.
Realice un ajuste a la lista de acceso 192_to_10 para solucionar el problema.
Paso 3: verificar que el problema se haya resuelto y registrar la solución.
Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.
No llega tráfico debido a la instrucción deny any implícita. Se agregó una instrucción permit ip any any a la ACL.
Parte 2: resolver el problema 2 de la ACL
Los hosts de la red 10.0.0.0/8 no pueden acceder (intencionalmente) al servicio HTTP del Servidor1, pero no deberían tener otro tipo de restricción.
Paso 1: determinar el problema de la ACL.
A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la ACL.
a. Con la L3, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2, y Servidor3.
b. Desde la L3, haga ping a Servidor1, Servidor2 y Servidor3.
c. Vea la configuración en ejecución en el R1. Examine la lista de acceso 10_to_172 y su ubicación en las interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto? ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están en el orden correcto?
d. Realice otras pruebas, según sea necesario.
Paso 2: implementar una solución.
Realice un ajuste a la lista de acceso 10_to_172 para solucionar el problema.
Paso 3: verificar que el problema se haya resuelto y registrar la solución.
Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.
Había una ACL aplicada en sentido de salida en G0/0. Se eliminó en sentido de salida y se aplicó en sentido de entrada en G0/0.
Parte 3: resolver el problema 3 de la ACL
Los hosts de la red 172.16.0.0/16 no pueden acceder (intencionalmente) al servicio FTP del Servidor2, pero no deberían tener otro tipo de restricción.
Paso 1: determinar el problema de la ACL.
A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la ACL.
a. Con la L1, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2, y Servidor3.
b. Desde la L1, haga ping a Servidor1, Servidor2 y Servidor3.
c. Vea la configuración en ejecución en el R1. Examine la lista de acceso 172_to_192 y su ubicación en las interfaces. ¿La lista de acceso se colocó en el puerto apropiado y en el sentido correcto? ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están en el orden correcto?
d. Realice otras pruebas, según sea necesario.
Paso 2: implementar una solución.
Realice un ajuste a la lista de acceso 172_to_192 para solucionar el problema.
Paso 3: verificar que el problema se haya resuelto y registrar la solución.
Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.
Se permite todo el tráfico porque el orden de las instrucciones es incorrecto. Se deben reordenar las instrucciones de modo que permit ip any any sea la segunda instrucción.
Tabla de calificación sugerida
Ubicación de la consulta | Puntos posibles | Puntos obtenidos |
---|---|---|
Puntuación del registro | 10 | |
Puntuación de Packet Tracer | 90 | |
Puntuación total | 100 |