Ejercicio Listas de Control de Acceso

EJERCICIO LISTAS DE CONTROL DE ACCESO
Condiciones:
ltimos 100 PCs de LAN 1 tienen acceso a servidor WEB
Primeros 100 PCs de LAN 2 se comunican con LAN 3. Los otros no.
No se permite acceso por TELNET a ningn router.
No se permite PING al servidor WEB.

Solucin:
SUBNETEO DE LA RED
Se toma la direccin Ip 10.0.0.0/8 para realizar el subneteo. En total son 5 subredes en

la configuracin que se muestra en el segundo grafico, tomando las 3 LAN y los 2
enlaces serial entre los routers.
La LAN 1 necesita 300 PCs, la LAN 2 600 PCS, LAN 3 150 PCs, cada enlace 2+2 Ip
contando las subred y la broadcast.
Se uso VLSM para el subneteo:
Tomamos la LAN 2 que es la de mayor nmero de PCs (600 host). Para ese nmero de
host necesitamos 10 bits con no alcanza.
Luego tenemos: IP 10.0.0.0 macara 255.0.0.0
10 bit para host y la nueva mascara es:
255.255.252.0 11111111.11111111.11111100.00000000
Obtenemos la siguiente tabla:
Rango
IP de subred Primer host Ultimo host Broadcast Mascara

10.0.0.0 10.0.0.1 10.0.3.254 10.0.5.255 255.255.252.0 LAN 2
10.0.4.0 10.0.4.1 10.0.7.254 10.0.7.255 255.255.252.0
10.0.8.0 10.0.8.1 10.0.11.254 10.0.11.255 255.255.252.0
10.0.12.0 10.0.12.1 10.0.15.254 10.0.15.255 255.255.252.0

Tomamos la primera subred para la LAN 2. Ahora se toma la siguiente subred para los
300 host de la LAN 1.
Para 300 host necesitamos 9 bits con no alcanza.
255.255.254.0 11111111.11111111.11111110.00000000
Obtenemos la siguiente tabla: solo tenemos dos subredes
Rango
10.0.4.0 10.0.4.1 10.0.5.254 10.0.5.255 255.255.254.0 LAN 1

10.0.6.0 10.0.6.1 10.0.7.254 10.0.7.255 255.255.254.0
150 host de la LAN 3.
Para 150 host necesitamos 9 bits con no alcanza.
255.255.255.0 11111111.11111111.11111111.00000000
Rango

10.0.6.0 10.0.6.1 10.0.6.254 10.0.5.255 255.255.255.0 LAN 3
10.0.7.0 10.0.7.1 10.0.7.254 10.0.7.255 255.255.255.0
enlaces de los routers.
Para los enlaces (dos) necesitamos 2 bits las dos asignables para cada router + la subred
y la broadcast.
255.255.255.252 11111111.11111111.11111111.11111100
Rango
10.0.7.0 10.0.7.1 10.0.7.2 10.0.7.3 255.255.255.252 Enlace 1

10.0.7.4 10.0.7.5 10.0.7.5 10.0.7.7 255.255.255.252 Enlace 2
10.0.7.8 10.0.7.9 10.0.7.10 10.0.7.11 255.255.255.252
..
Tomamos las dos primeras subredes para los enlaces. A continuacin se observan los
enlaces de los routers.
Tabla final de la RED
Rango
10.0.0.0 10.0.0.1 10.0.3.254 10.0.5.255 255.255.252.0 LAN 2

10.0.4.0 10.0.4.1 10.0.5.254 10.0.5.255 255.255.254.0 LAN 1
10.0.6.0 10.0.6.1 10.0.6.254 10.0.5.255 255.255.255.0 LAN 3
10.0.7.0 10.0.7.1 10.0.7.2 10.0.7.3 255.255.255.252 Enlace 1
10.0.7.4 10.0.7.5 10.0.7.5 10.0.7.7 255.255.255.252 Enlace 2
CONFIGURACIN DE LOS ROUTERS
Configuracin Bsica: Asignamos nombre de router, interfaces seriales etc.
Router R2:
Router#conf t
Router (config)#hostname R2
R2(config)#int fa0/0
R2 (config-if)#ip address 10.0.3.254 255.255.252.0
R2 (config-if)#no shutdown
R2(config-if)#exit
R2(config)#int se1/0
R2(config-if)#ip address 10.0.7.1 255.255.255.252
R2(config-if)#clock rate 56000
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config-if)#clock rate 56000
R2(config-if)#exit
R2(config)#ip route 10.0.4.0 255.255.254.0 se1/0
R2(config)#exit
Router R1:
Router#conf t
R1(config-if)#exit
R1(config-if)#exit
R1(config)#exit
Router R3:
Router#conf t
R3(config-if)#exit
R3(config-if)#exit
R3(config)#exit
Configuracin de ACLs:
Asignamos las listas a cada router dependiendo de las condiciones establecidas por el
tutor.
Condicin 1: ltimos 100 PCs de LAN 1 tienen acceso a servidor WEB
Se aplica una lista de control de acceso extendida cerca del origen, en este caso R1
(router 1).
Recordemos la LAN 1:
Rango
10.0.4.0 10.0.4.1 10.0.5.254 10.0.5.255 255.255.254.0 LAN 1
En este caso se nos pide permitir el acceso a WEB a los ltimos 100 host de los 300 pro
en realidad tenemos 511 host disponibles, entonces si tomamos los primeros 300 de
estos los ltimos 100 serian del host 10.0.4.200 al 10.0.5.44.
Para lograr esto se hace uso de la mascara wildcard de la siguiente manera:
25 12 6 3 1 Wildcard Wildcard a
8 4 2 1
6 8 4 2 6 Mximo Utilizar
IP(10.0.4.200
0 1 1 0 0 1 0 0 0 0.0.0.7 0.0.0.7
)
IP(10.0.4.208
0 1 1 0 1 0 0 0 0 0.0.0.15 0.0.0.15
)
IP(10.0.4.224
0 1 1 1 0 0 0 0 0 0.0.0.31 0.0.0.31
)
IP(10.0.5.0) 1 0 0 0 0 0 0 0 0 0.0.0.255 0.0.0.31
IP(10.0.5.32) 1 0 0 1 0 0 0 0 0 0.0.0.31 0.0.0.7
IP(10.0.5.40) 1 0 0 1 0 1 0 0 0 0.0.0.7 0.0.0.3
IP(10.0.5.44) 1 0 0 1 0 1 1 0 0 0.0.0.3 0.0.0.0
PASO 1:
Transformar a binario la IP de inicio (en este caso la 200)
PASO 2:
Sumar todos los 0 que se ubiquen al final del binario y que estn de forma continua (en
la primera lnea son los ltimos 3 dgitos, en la segunda lnea los ltimos 4 dgitos, en la
cuarta lnea los ltimos 5 dgitos, etc, etc, etc).
Esta suma te dar como resultado la wildcard ms grande que puedes utilizar. NADA
ms grande que eso, podras utilizar una wildcard menor, pero jams una mayor.
PASO 3:
Suma la IP + la wildcard (en el caso de la primera lnea 200 + 7 = 207), esto dar como
resultado hasta que IP avanzo la wildcard (en este caso la 207, por lo tanto la prxima
lnea de la ACL comenzara en la IP 208).
PASO 4:
Vuelve al paso 1 y repite hasta llegar al final del rango solicitado
Ahora vamos a observar la lnea correspondiente a la Ip 10.0.5.0. Esto porque la

wildcard mas grande que podemos utilizar es la 255, pero con esto quedamos sobre el
rango solicitado. Entonces utilizaremos una wildcard mas pequea, pero que se nos
acerque lo ms posible a nuestro destino (en este caso 10.0.5.44) por lo tanto
utilizaremos la 31. Finalmente quiero explicar la ultima lnea la Ip 10.0.5.44. Aqu
hemos utilizado la wildcard 0 tambin conocida como de host ya que esta simplemente
abarca una ip (en este caso la 10.0.5.44, para ser ms claros 10.0.5.44 + 0 = 10.0.5.44).
La lista de acceso queda:
R1(config)#access-list 113 permit tcp 10.0.4.200 0.0.0.7 host 10.0.3.253 eq 80
R1(config)#access-list 113 deny tcp any host 10.0.3.253 eq 80
R1(config)#int f0/0
R1(config-if)#ip access-group 113 in

R1(config-if)#exit
Condicin 2: Primeros 100 PCs de LAN 2 se comunican con LAN 3. Los otros no.
En este caso utilizamos el procedimiento anterior ya que se piden los primeros 100 host
de esta LAN. Se aplica en el R2 (router 2). Recordemos la LAN 2.
Rango
10.0.0.0 10.0.0.1 10.0.3.254 10.0.5.255 255.255.252.0 LAN 2
El rango de host es 10.0.0.1 al 10.0.0.100.
Se obtiene la tabla:
128 64 32 16 8 4 2 1 Wildcard Mximo Wildcard a Utilizar

IP(10.0.0.1) 0 0 0 0 0 0 0 1 0.0.0.0 0.0.0.0
IP(.2) 0 0 0 0 0 0 1 0 0.0.0.1 0.0.0.1
IP(.4) 0 0 0 0 0 1 0 0 0.0.0.3 0.0.0.3
IP(.8) 0 0 0 0 1 0 0 0 0.0.0.7 0.0.0.7
IP(.16) 0 0 0 1 0 0 0 0 0.0.0.15 0.0.0.15
IP(.32) 0 0 1 0 0 0 0 0 0.0.0.31 0.0.0.31
IP(.64) 0 1 0 0 0 0 0 0 0.0.0.63 0.0.0.31
IP(.96) 0 1 1 0 0 0 0 0 0.0.0.31 0.0.0.3
IP(.100) 0 1 1 0 0 1 0 0 0.0.0.3 0.0.0.0
La lista de acceso queda:
R2(config)#access-list 114 permit ip 10.0.0.1 0.0.0.0 10.0.6.0 0.0.0.255

R2(config)#int s2/0
R2(config-if)#ip access-group 114 out
Condicin 3: No se permite acceso por TELNET a ningn router.
R1(config)#access-list 113 deny tcp any any eq 23
R1(config)#access-list 113 permit ip any any
R2(config)#access-list 115 deny tcp any any eq telnet
R2(config)# interface FastEthernet0/0
R2(config-if)# ip access-group 115 in
R3(config)#access-list 116 deny tcp any any eq telnet
R3(config)# interface FastEthernet0/0
R3(config-if)# ip access-group 116 in
Condicin 4: No se permite PING al servidor WEB.
Para esta lista se configura en los routers R1 y R3 lo siguiente:
R1(config)#access-list 112 deny icmp any 10.0.3.253 0.0.0.0
R1(config)#access-list 112 permit icmp any any
R1(config)#int s1/0
R1(config-if)#exit
R3(config)#access-list 112 deny icmp any 10.0.3.253 0.0.0.0
R3(config)#access-list 112 permit icmp any any
R3(config)#int s2/0
R1(config-if)#exit
De esta forma todos los host no podrn hacer PING al servidor WEB.

Ejercicio Listas de Control de Acceso

Cargado por

Copyright:

Formatos disponibles

Ejercicio Listas de Control de Acceso

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ejercicio Listas de Control de Acceso

Cargado por

Copyright:

Formatos disponibles

EJERCICIO LISTAS DE CONTROL DE ACCESO

ltimos 100 PCs de LAN 1 tienen acceso a servidor WEB

No se permite acceso por TELNET a ningn router.

No se permite PING al servidor WEB.

Se toma la direccin Ip 10.0.0.0/8 para realizar el subneteo. En total son 5 subredes en

Se uso VLSM para el subneteo:

Luego tenemos: IP 10.0.0.0 macara 255.0.0.0

10 bit para host y la nueva mascara es:

Obtenemos la siguiente tabla:

IP de subred Primer host Ultimo host Broadcast Mascara

Para 300 host necesitamos 9 bits con no alcanza.

Luego tenemos: IP 10.0.4.0 macara 255.255.252.0

9 bit para host y la nueva mascara es:

Obtenemos la siguiente tabla: solo tenemos dos subredes

IP de subred Primer host Ultimo host Broadcast Mascara

10.0.4.0 10.0.4.1 10.0.5.254 10.0.5.255 255.255.254.0 LAN 1

Para 150 host necesitamos 9 bits con no alcanza.

Luego tenemos: IP 10.0.6.0 macara 255.255.254.0

9 bit para host y la nueva mascara es:

Obtenemos la siguiente tabla: solo tenemos dos subredes

IP de subred Primer host Ultimo host Broadcast Mascara

Luego tenemos: IP 10.0.7.0 macara 255.255.255.0

2 bit para host y la nueva mascara es:

Obtenemos la siguiente tabla: solo tenemos dos subredes

IP de subred Primer host Ultimo host Broadcast Mascara

10.0.7.0 10.0.7.1 10.0.7.2 10.0.7.3 255.255.255.252 Enlace 1

IP de subred Primer host Ultimo host Broadcast Mascara

10.0.0.0 10.0.0.1 10.0.3.254 10.0.5.255 255.255.252.0 LAN 2

Configuracin Bsica: Asignamos nombre de router, interfaces seriales etc.

R2 (config-if)#ip address 10.0.3.254 255.255.252.0

R2(config-if)#ip address 10.0.7.1 255.255.255.252

R2(config-if)#clock rate 56000

R2(config-if)#ip address 10.0.7.5 255.255.255.252

R2(config-if)#clock rate 56000

R2(config)#ip route 10.0.4.0 255.255.254.0 se1/0

R2(config)#ip route 10.0.6.0 255.255.255.0 se2/0

R1 (config-if)#ip address 10.0.5.254 255.255.254.0

R1(config-if)#ip address 10.0.7.2 255.255.255.252

R1(config)#ip route 10.0.0.0 255.255.252.0 se1/0

R1(config)#ip route 10.0.6.0 255.255.255.0 se1/0

R3 (config-if)#ip address 10.0.6.254 255.255.255.0

R3(config-if)#ip address 10.0.7.6 255.255.255.252

R3(config)#ip route 10.0.0.0 255.255.252.0 se2/0

R3(config)#ip route 10.0.4.0 255.255.254.0 se2/0

Condicin 1: ltimos 100 PCs de LAN 1 tienen acceso a servidor WEB

IP de subred Primer host Ultimo host Broadcast Mascara

10.0.4.0 10.0.4.1 10.0.5.254 10.0.5.255 255.255.254.0 LAN 1

Para lograr esto se hace uso de la mascara wildcard de la siguiente manera:

Transformar a binario la IP de inicio (en este caso la 200)

Vuelve al paso 1 y repite hasta llegar al final del rango solicitado

Ahora vamos a observar la lnea correspondiente a la Ip 10.0.5.0. Esto porque la

La lista de acceso queda:

R1(config)#access-list 113 permit tcp 10.0.4.200 0.0.0.7 host 10.0.3.253 eq 80

R1(config)#access-list 113 permit tcp 10.0.4.208 0.0.0.15 host 10.0.3.253 eq 80

R1(config)#access-list 113 permit tcp 10.0.4.224 0.0.0.31 host 10.0.3.253 eq 80

R1(config)#access-list 113 permit tcp 10.0.5.0 0.0.0.31 host 10.0.3.253 eq 80

R1(config)#access-list 113 permit tcp 10.0.5.32 0.0.0.7 host 10.0.3.253 eq 80

R1(config)#access-list 113 permit tcp 10.0.5.40 0.0.0.3 host 10.0.3.253 eq 80

R1(config)#access-list 113 permit tcp 10.0.5.44 0.0.0.0 host 10.0.3.253 eq 80