7.3.2.

4 Solución de problemas de las ACL IPv4 estándar

Topología

Tabla de direccionamiento
El Administrador Interfaces Dirección IP Máscara de subred Gateway predeterminado
G0/0 10.0.0.1 255.0.0.0 N/D
R1 G0/1 172.16.0.1 255.255.0.0 N/D
G0/2 192.168.0.1 255.255.255.0 N/D
Servidor1 NIC 172.16.255.254 255.255.0.0 172.16.0.1
Servidor2 NIC 192.168.0.254 255.255.255.0 192.168.0.1
Server3 NIC 10.255.255.254 255.0.0.0 10.0.0.1
L1 NIC 172.16.0.2 255.255.0.0 172.16.0.1
L2 NIC 192.168.0.2 255.255.255.0 192.168.0.1
L3 NIC 10.0.0.2 255.0.0.0 10.0.0.1

Objetivos
Parte 1: Resolver el problema 1 de la ACL Parte 2: Resolver el problema 2 de la ACL

Parte 3: Resolver el problema 3 de la ACL

Packet Tracer: Resolución de problemas de ACL

Situación
En esta red, deberían estar implementadas las tres políticas siguientes:

 Los hosts de la red 192.168.0.0/24 no pueden acceder a la red 10.0.0.0 /8.

 L3 no puede acceder a ningún dispositivo en la red 192.168.0.0/24.
 L3 no puede acceder a Servidor1 ni a Servidor2. L3 solo debe acceder a Servidor3.
 Los hosts de la red 172.16.0.0/16 tienen acceso total a Servidor1, Servidor2 y Servidor3.  

Nota: Todos los nombres de usuario y las contraseñas del FTP son “cisco”.

No debe haber otras restricciones. Lamentablemente, las reglas implementadas no

funcionan de manera correcta. Su tarea es buscar y corregir los errores relacionados con las
listas de acceso en el R1.

Parte 1: Resolver el problema 1 de la ACL

Los hosts de la red 192.168.0.0/24 no deben poder acceder a ningún dispositivo en la red
10.0.0.0/8. En este momento, este no es el caso.

Paso 1 Determinar el problema de la ACL.

A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus
expectativas sobre la ACL.

1. Con la L2, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2, y Servidor3.

FTP SERVIDOR 1:

HTTP SERVIDOR 1:
FTP SERVIDOR 2:

HTTP SERVIDOR 2:
FTP SERVIDOR 3:

HTTP SERVIDOR 3:
 2. Desde la L2, haga ping a Servidor1, Servidor2 y Servidor3.

PING DE L2 AL SERVIDOR 1:

PING DE L2 AL SERVIDOR 2:
PING DE L2 AL SERVIDOR 3:

3. Vea la configuración en ejecución en el R1. Examine la lista de acceso FROM_192 y su

ubicación en las interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el
sentido correcto? R//No, está asignada a una interfaz. 

¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes?

R//Sí, está la 192.168.0.0 0.0.0.255.

¿Las instrucciones están en el orden correcto?

R//Sí, están ordenadas en el orden correcto.

Para ver la configuración en R1 utilizamos el comando show running-config:
 4. Realice otras pruebas, según sea necesario.

Paso 2 Implementar una solución.

Realice los ajustes necesarios a FROM_192, o a su ubicación, para solucionar el problema.

Para solucionar el problema utilizamos los siguientes comandos:

Paso 3 Verificar que el problema se haya resuelto y registrar la solución.

Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.

Parte 2: Resolver el problema 2 de la ACL
L3 no debería poder comunicarse con Servidor1 ni con Servidor2. En este momento, este
no es el caso.

Paso 1 Determinar el problema de la ACL.

A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus
expectativas sobre la ACL.

1. Con la L3, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2, y Servidor3.

FTP SERVIDOR 1:

HTTP SERVIDOR 1:

FTP SERVIDOR 2:

HTTP SERVIDOR 2:
FTP SERVIDOR 3:

HTTP SERVIDOR 3:

2. Desde la L3, haga ping a Servidor1, Servidor2 y Servidor3.

PING DE L3 AL SERVIDOR 1:
PING DE L3 AL SERVIDOR 2:

PING DE L3 AL SERVIDOR 3:

3. Vea la configuración en ejecución en el R1. Examine la lista de acceso FROM_10 y su

ubicación en las interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el
sentido correcto?

R//Sí, está asignada correctamente a la interfaz G0/0 en modo in (de entrada).

¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes?
R//Sí, se deniega el tráfico para el host 10.0.0.22. Debería denegarse el tráfico para el host
10.0.0.2.

¿Las instrucciones están en el orden correcto?

R//Sí, las instrucciones están en el orden correcto.

Para ver la configuración en ejecución en el R1 utilizamos el comando show running-

config:

4. Realice otras pruebas, según sea necesario.

Packet Tracer: Resolución de problemas de ACL

Paso 2 Implementar una solución.

Realice los ajustes necesarios a la lista de acceso FROM_10, o a su ubicación, para

solucionar el problema.

Asignación de host 10.0.0.2 correctamente a la Access-list FROM_10:

Paso 3 Verificar que el problema se haya resuelto y registrar la solución.

Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.

Parte 3: Resolver el problema 3 de la ACL

Los hosts de la red 172.16.0.0/16 deberían tener acceso total a Servidor1, Servidor2 y
Servidor3, pero este no es el caso en este momento, ya que L1 no se puede comunicar con
Servidor2 ni con Servidor3. 

Paso 1 Determinar el problema de la ACL.

A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus
expectativas sobre la ACL.
 1. Con la L1, intente acceder a los servicios FTP y HTTP de Servidor1, Servidor2, y Servidor3.

FTP SERVIDOR 1:

HTTP SERVIDOR 1:

FTP SERVIDOR 2:

HTTP SERVIDOR 2:
FTP SERVIDOR 3:

HTTP SERVIDOR 3:

2. Desde la L1, haga ping a Servidor1, Servidor2 y Servidor3.

PING DE L1 AL SERVIDOR 1:
PING DE L1 AL SERVIDOR 2:

PING DE L1 AL SERVIDOR 3:

3. Vea la configuración en ejecución en el R1. Examine la lista de acceso FROM_172 y su

ubicación en las interfaces.

Para ver la configuración en ejecución en el R1 utilizamos el comando show running-

config:

Está ubicado en la interface G0/1:

 ¿La lista de acceso se colocó en el puerto apropiado y en el sentido correcto?

R//Si, está asignado correctamente a la interfaz G0/1 y en sentido correcto in.

 ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes?

R//Sí, esta denegada la dirección host 172.16.0.2.

 ¿Las instrucciones están en el orden correcto?

R//Sí, las instrucciones están en el orden correcto.

4. Realice otras pruebas, según sea necesario.

Paso 2 Implementar una solución.

Realice los ajustes necesarios a la lista de acceso FROM_172, o a su ubicación, para

solucionar el problema.  

R//La solución para este problema es remover la ACL FROM_172 que fue agregada
innecesariamente y borrar la lista de acceso que está configurada para la interfaz G0/1.

Paso 3 Verificar que el problema se haya resuelto y registrar la solución.

Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.

FTP SERVIDOR 3:

FTP SERVIDOR 2:
FTP SERVIDOR 1:

PING DE L1 A SERVIDOR 3:

PING DE L1 AL SERVIDOR 2:

HTTP SERVIDOR 2:

HTTP SERVIDOR 3:
Parte 4: Reflexión (opcional)
Las listas de acceso representan un problema lógico que, generalmente, tiene más de una
solución. ¿Puede pensar en un conjunto de reglas o ubicaciones diferente que produciría el
mismo filtro de acceso requerido?

R//Podríamos configurar la interfaz G0/0 y G0/1 como lista de acceso en modo out (salida),
otro recurso es utilizar el comando permit.