“UNIVERSIDAD TECNICA DEL NORTE”

FACULTAD DE INGENIERIAS Y CIENCIAS APLICADAS

INGENIERÍA ELECTRÓNICA Y REDES DE COMUNICACIÓN

“NETWORKING III”
Tema: Configuracion de topología de red con ACL´s en
packet tracer

AUTOR:
MEJIA CALDERON MISHEL ESTEFANIA

30-04-2017
IBARRA
 1. Objetivos
1.1.General
 Configurar una topología con la finalidad de crear listas de acceso standard
y extendida en packet tracer
1.2.Específicos
 Realizar la configuración PPP con autenticación CHAP entre los nodos de
la topología establecida
 Configurar enrutamiento dinámico OSPF en cada router, para que exista
comunicación entre redes
 Realizar las configuraciones necesarias de ACL estándar o extendida
dependiendo el caso.
 Verificar las políticas de seguridad establecidas en las ACL.
2. Marco Teórico
2.1.Protocolo punto a punto (PPP)

Es un protocolo del nivel de enlace de datos, utilizado para establecer una conexión
directa entre dos nodos de una red. Conecta dos enrutadores directamente sin ningún
equipo u otro dispositivo de red entre medias de ambos.

Además del simple transporte de datos, PPP facilita dos funciones importantes:

1. Autenticación: generalmente mediante una clave de acceso.

2. Asignación dinámica de IP: los proveedores de acceso cuentan con un número
limitado de direcciones IP y cuentan con más clientes que direcciones.
Naturalmente, no todos los clientes se conectan al mismo tiempo. Así, es posible
asignar una dirección IP a cada cliente en el momento en que se conectan al
proveedor. La dirección IP se conserva hasta que termina la conexión por PPP.
Posteriormente, puede ser asignada a otro cliente.

2.1.1. Opciones de Configuración de PPP

 Autentificación: los routers de puerto intercambian mensajes de autentificación. Dos

opciones de autentificación son:
 Protocolo de Autentificación por Clave (PAP) y
 Protocolo de Autentificación de Desafío Mutuo (CHAP).
ACL

Una lista de control de acceso no es más que una forma de determinar, y controlar que
flujo de tráfico podrá acceder a una red, lo cual dependerá de ciertas configuraciones que
seguirán condiciones establecidas. Las ACLs se pueden configurar tanto en router y en
switch, permitirán o denegaran el tráfico que pase por estos dispositivos siguiendo las
condiciones que se configuren. El principal uso de estas listas de control de acceso, es
para evitar que ciertas redes, puedan acceder a una red importante en específico por
ejemplo una red de servidores, que si es configurada por personas sin experiencia, puede
ocasionar cambios que afecten seriamente a una red.

Existen dos tipos de ACL:

 ACL estándar: falta según la dirección ip de origen de un paquete, permitiendo

su paso o denegándolo. Para las listas de acceso que permiten o deniegan el tráfico
IP, el número de identificación puede variar entre 1 y 99 y entre 1300 y 1999.
 ACL extendida: esta es un poco más compleja, filtra no sólo según la dirección
IP de origen, sino también según la dirección IP de destino, el protocolo y los
números de puertos l rango de números de las ACL extendidas va de 100 a 199 y
de 2000 a 2699.

Para esta práctica, con fines de aprender el funcionamiento de las ACL se utilizara la
version más sencilla que es la estándar.

WILDCAR

La mascar wildcar, permite determinar las partes de dirección ip que son más relevantes.
Una máscara wild card es una regla de correspondencia. La regla para la máscara es:

 El 0 significa que se debe comprobar si el bit de la dirección ip es igual al de la

wildcard.
 El 1 significa que el bit equivalente no importa.

Esta mascara es muy útil para agrupar hosts que se encuentran en redes diferentes,
situación que con la máscara de subred no se podría lograr
 3. Desarrollo

La topología de la red será a siguiente

CONFIGURACION PPP CON AUTENTICACION CHAP

En el router HQ creamos los usuarios B1 y B2 a los cuales les asignamos una contraseña
que será cisco123. Accedemos a las interfaces del router que interconectan con B1 Y B2
y colocamos la encapsulación ppp con el comando que se ve en la imagen, configuramos
la autenticación chap. Estas interfaces son la s0/0/0 y s/0/0/1
Ingresamos al router B1 y creamos un usuario HQ con contraseña cisco 123. Accedemos
a la interfaz que interconecta con HQ y habilitamos la encapsulación PPP con
autenticación CHAP esta interfaz es la s0/0/0.

Se realiza lo mismo en B2 nada más que la interfaz que interconecta con HQ es la s0/0/1

Configuramos el enrutamiento estático, en el router HQ para especificar que cualquier

red con cualquier mascara salga hacia el ISP por la interfaz s0/1/0
Configuramos enrutamiento OSPF en el router HQ con el fin de enrutar las redes conectadas a
él. Creamos el área 0 en las cuales incluiremos las redes que se comunicaran entre sí.
Para que OSPF genere una ruta predeterminada se usa el comando default-información
origínate. Configuramos las interfaces pasivas para que no se transmita actualizaciones
innecesarias y no haya desperdicio de recursos de red.

Realizamos las mismas configuraciones en el router B1 y B2 de enrutamiento para que puedan

comunicarse con las redes que tiene conectado a sus interfaces.
Comprobamos que se pueda realizar ping entre todos los dispositivos de la red.

Configuramos una ACL de modo que la red 10.1.10.0 no acceda a la red 10.1.40.0. Se permite
todo el acceso restante a 10.1.40.0. Se configura la ACL en HQ mediante la ACL número 10.
Para ello usamos una ACL estándar ya que solo se especifican direcciones ip. Creamos el grupo
de acceso en la interfaz más cercana al destino.
Se realiza un ping desde la PC5 a la PC1 y este debe fallar.

Configuramos una ACL en el router B1 de tal manera que el host 10.1.10.5 no tiene permitido
el acceso al host 10.1.50.7. Todos los hosts restantes pueden acceder a 10.1.50.7. Configure la
ACL en B1 mediante la ACL número 115. Configuramos una ACL extendida y creamos el access
group en la interfaz más cercana al origen ósea la fa0/0
Realizamos un ping desde la PC a la PC5 y debe dar fallo

Creamos una ACL en HQ de modo que los hosts 10.1.50.1 a través de 10.1.50.63 no tengan
permitido el acceso Web al servidor de Intranet en 10.1.80.16. Se permite todo el acceso
restante. Configure la ACL en el router apropiado y utilice la ACL número 101, la cual es una
ACL extendida que se ubicara lo más cercano al origen.
Para probar esta política, haga clic en PC3, luego en la ficha Escritorio y luego en Explorador
Web. Para el URL, escriba la dirección IP para el servidor de Intranet, 10.1.80.16 y presione
Antro. Después de algunos segundos, debe recibir un mensaje de solicitud de tiempo de
espera.
La PC2 y cualquier otra PC de la red deben poder acceder al servidor de Intranet

Configuramos una ACL con nombre NO_FTP en el router B2 de tal manera

que bloquee a la red 10.1.70.0/24 el acceso a servicios FTP (puerto 21) en el
servidor de archivos de 10.1.10.2. Se debe permitir cualquier otro acceso.
Usaremos una ACL extendida ya que manejaremos puertos para un servicio.
Se aplica la acl en la interfaz más cercana al origen es decir en la fa0/1

Dado que el ISP representa la conectividad a Internet, configure una ACL nombrada con la
denominación FIREWALL en el siguiente orden:

 Permita únicamente respuestas de ping entrantes desde el ISP y cualquier otro origen.
 Sólo permitir sesiones TCP establecidas desde el ISP y cualquier otro origen.
 Bloquee explícitamente cualquier otro acceso entrante desde el ISP y cualquier otro
origen más allá del ISP.

Para ello usamos ACL extendida ya que especificaremos reglas de permisos para servicio icmp
y tcp.
Para probar esta política, cualquier PC debe poder hacer ping al ISP o el servidor Web. Sin
embargo, ni el ISP ni el servidor Web deben poder hacer ping a HQ ni a cualquier otro
dispositivo detrás de la ACL FIREWALL .

4. Conclusiones
 Las listas de control de acceso, son aliadas del administrador de una red, ya que existen
redes, que por A o B razones no deberían ser accedidas jamás por usuarios normales sin
experiencia ya que podrían ocasionar daños en toda la red. Un ejemplo de esto sería
que el administrador tenga una red específica de servidores, a los cuales solo tendrán
 permiso de acceder, personas autorizadas. Esto lo puede lograr creando una lista de
acceso que deniegue la red donde los usuarios normales conectaran sus host.
 De la misma manera las ACL, brindan seguridad a una red, contra usuarios
malintencionados, quieran tener acceso a recursos importantes de la red, para dañarla.
 El objetivo principal de las ACL es la separación de privilegios de acceso a una red, por
lo cual es importante que para nosotros como futuros administradores, tener
conocimiento en este tema.
 Con la ayuda de esta práctica comprobamos que listas de control de acceso poseen un
gran papel como medida de seguridad lógica, ya que su cometido siempre es controlar
el acceso a los recursos o activos del sistema.
5. Recomendaciones
 Se recomienda que las ACL estándar sean configuradas lo más cercano al destino posible
y las extendidas lo mas cercano al origen.
 Se recomienda fijarse bien en las redes que se quiere denegar o permitir, ya que si se
pasa por alto cualquier host, este puede acceder inmediatamente a la red.
 Se recomienda siempre copiar la running-config a startup-config en caso de que suceda
cualquier eventualidad tener respaldo de las configuraciones.
 Fijarse bien en la colocación de los comandos ya que, colocar un comando mal implicaría
que la práctica no se efectué como debe.
 Verificar que las configuraciones de las ip en las interfaces del router y en la maquina
sean las idóneas y hacer un ping para verificar la conexión antes de cualquier otra
configuración.
6. Bibliografía

Ariganello, E. (2012). REDES CISCO. Guía de estudio para la certificación CCNA Routing y
Switching. Madrid: RA-MA.

CISCO. (2010). IP de uso general ACL de la configuración. Obtenido de

https://www.cisco.com/c/es_mx/support/docs/ip/access-lists/26448-
ACLsamples.pdf

Pacciello, G. (2016). Enrutamiento: Conceptos Fundamentales. Obtenido de

https://supportforums.cisco.com/t5/routing-y-switching-
documentos/enrutamiento-conceptos-fundamentales/ta-p/3166553