Access-List (ACL) EXTENDIDA | GNS3 | NETWORKING

TOPOLOGÍA REFERENCIA [https://i.imgur.com/fpDBBdj.png]

Términos a conocer antes de comenzar: 

• Wildcard

Para especificar las direcciones con la que deberá trabajar la ACL se hace uso de
la Wildcard, la que en palabras simples se puede definir cómo; la máscara VLSM pero invertida
ya que esta es requerida para especificar el número de hosts existentes dentro de una red.

Cada ACL se debe colocar donde tenga más impacto en la eficiencia

• ACL extendidas: colocar las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.
• ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible. Si coloca una ACL estándar en el origen del tráfico, evitará de forma eficaz que ese tráfico llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.

SE DEBE SIEMPRE DEJAR AL MENOS UNA REGLA DE PERMITIR DENTRO DE LAS ACL, DE LO CONTRARIO TODO EL TRAFICO SE BLOQUEARÁ.

La edición de una ACL requiere especial atención. Por ejemplo, si se intenta eliminar una línea específica de una ACL numerada (no ip access-list 1-199), se eliminará la ACL entera.

---------------------configuraciones---------------------

Descargar programa y recursos utilizados: AQUÍ

En este laboratorio veremos la creación y configuración de una ACL (Access Control List/Lista de Control de Acceso) extendida, la cual utilizaremos para bloquear la entrada (in) de un virtual pc para que este no tenga comunicación con otro host especifico, ademas de impedir el acceso mediante telnet por parte de un host unicamente a modo de dejar que el otro tenga autorización de hacer lo que el otro no.

Partiremos por el Router R1:

R1(config)#int f0/0 

R1(config-if)#ip add 10.0.0.1 255.255.255.0

R1(config-if)#no shut

R1(config)#int s2/0  

R1(config-if)#ip add 192.168.0.1 255.255.255.0 

R1(config-if)#no shut

R1(config)#ip route 20.0.0.0 255.255.255.0 192.168.0.2

R1(config)#line vty 0 15                 *pasos para habilitar telnet 

R1(config-line)#no login           [para que no pida contraseña de ingreso]

R1(config-line)#exit 

Asignaremos inmediatamente una dirección IP al Router-PC R5:

R5(config)#no ip routing

R5(config)#int f0/0 

R5(config-if)#ip add 10.0.0.2 255.255.255.0

R5(config-if)#no shut

Continuaremos con el Router R2 el cual contendra la ACL extendida:

R2(config)#int s2/0
R2(config-if)#ip add 192.168.0.2 255.255.255.0
R2(config-if)#no shut

R2(config)#ip route 10.0.0.0 255.255.255.0 192.168.0.1

R2(config)#ip access-list extended 101
R2(config-ext-nacl)#deny tcp 20.0.0.2 0.0.0.0 192.168.0.1 eq 23        *bloquear telnet (puerto 23=telnet) *Wildcard=TODO CERO YA QUE ES UN HOST ESPECIFICO, de lo contrario (wildcard=0.0.0.255) bloquearía toda la red perteneciente a 20.0.0.0  
R2(config-ext-nacl)#deny icmp 20.0.0.3 0.0.0.0 10.0.0.2 0.0.0.0        *bloquear PING (icmp=ping)
R2(config-ext-nacl)#permit ip any any

R2(config)#int f0/0
R2(config-if)#ip add 20.0.0.1 255.255.255.0
R2(config-if)#ip access-group 101 in          [habilitar la ACL extendida creada en la interfaz más cercana al origen] 
R2(config-if)#no shut

Estructura:
-deny (protocolo) (ip-a-bloquear) (wildcard) (ip-destino) (wildcard)                       
ejemplo: deny icmp 20.0.0.2 0.0.0.255 192.168.0.1 0.0.0.255  [wildcard de /24]

*Las listas de acceso pueden variar su forma de configuración de las siguiente formas igualmente=  
-deny imcp host (ip-a-bloquear) host (ip-destino)            
deny (protocolo) host (ip-a-bloquear) (ip-destino) (wildcard) 

***CON AÑADIR "HOST" ANTES DE LA IP, SE ESPECIFICA QUE ES UN SOLO HOST, por ello no iria la wildcard, pero también se puede de combinar de forma que una direccion si utilice wildcard y el otro solo "host"***

-ip access-group (número de lista creada) (in/out)                        
para asignar la ACL a una interfaz y si debiese de aplicarse a las peticiones de entrada (in) de la ip bloqueada o las de salida (out).
*Número de lista para las estándar es desde 1-99 y para las extendidas es 100-199
De ser el origen el propio Router en ves de IN seria OUT (de salida).

Asignamos dirección IP en el Router-PC R3:

R3(config)#no ip routing

R3(config)#int f0/0 

R3(config-if)#ip add 20.0.0.2 255.255.255.0

R3(config-if)#no shut

Asignamos dirección IP en el Router-PC R4:

R4(config)#no ip routing

R4(config)#int f0/0 

R4(config-if)#ip add 20.0.0.3 255.255.255.0

R4(config-if)#no shut

---------------------comprobaciones--------------------

Comprobar BLOQUEO TELNET desde Router-PC R3 con el comando:

R3#telnet 192.168.0.1         

*Debería de mostrar algo así:

Podemos ver que la lista funciona, debido a que solo bloquea R3 y no R4.

Comprobar BLOQUEO PING desde Router-PC R4 con el comando:

R4#ping 10.0.0.2          

*Debería de mostrar algo así:

En la imagen se muestra primero un ping a la interfaz que sale de R1 donde ambos Routers-PC poseen conexión, pero luego en el segundo ping la ACL hace efecto bloqueando a R4 solamente.

Comprobar configuraciones desde Router R2 con el comando:

R2#show ip access-list          

*Debería de mostrar algo así:

Comando adicionales vistos en esta configuración:
-IP ADD
-HOSTNAME
-IP ROUTE
-NO IP ROUTING
-VTY (TELNET)

MÁS COMANDOS AQUÍ