Tarea 7 Maurilio Quijada
Tarea 7 Maurilio Quijada
Tarea 7 Maurilio Quijada
Computacionales
CISCO II
Facilitador:
Objetivo
• Configurar y aplicar una ACL estándar para permitir o denegar tráfico específico.
• Probar la ACL para determinar si se lograron los resultados deseados.
Cree una red con un cableado similar al del diagrama. Se puede usar cualquier router que
cumpla con los requisitos de interfaz que se ven en el diagrama anterior como los routers
800, 1600, 1700, 2500, 2600 o una combinación de estos Consulte la tabla al final de esta
práctica de laboratorio para identificar correctamente los identificadores de interfaz que se
deben usar según el equipo disponible en el laboratorio. Los resultados de la configuración
utilizados en esta práctica se obtuvieron con los routers serie 1721. El uso de cualquier otro
router puede producir unos resultados ligeramente distintos.
Ejecute los siguientes pasos en cada router a menos que se especifique lo contrario:
En el router Gadsden, entre al modo de configuración global y configure el nombre de host tal
como aparece en el cuadro. Entonces, configure las contraseñas de consola, de la terminal
virtual y de enable. Configure la interfaz FastEthernet en el router de acuerdo al diagrama.
Host 1
Dirección IP 192.168.14.2
Máscara de subred 255.255.255.0
Gateway por defecto 192.168.14.1
Host 2
Dirección IP 192.168.14.3
Máscara de subred 255.255.255.0
Gateway por defecto 192.168.14.1
Paso 4 Confirmar la conectividad haciendo ping al gateway por defecto desde ambos
hosts
Si los pings no tienen éxito, corrija la configuración y repita este paso hasta que tengan éxito.
Cree una lista de acceso que impida el acceso a FastEthernet 0 desde la red 192.168.14.0.
En la petición de entrada de configuración del router escriba el siguiente comando:
GAD(config)#access-list 1 deny 192.168.14.0 0.0.0.255
GAD(config)#access-list 1 permit any
Ahora, cree una lista de acceso que impida que los hosts con números pares hagan ping pero
permita el host con número impar.
¿Cómo será esta lista de acceso? Termine este comando con una dirección IP de
comparación (aaa.aaa.aaa.aaa) y máscara wildcard (www.www.www.www) adecuadas:
access-list 2 permit aaa.aaa.aaa.aaa www.www.www.www
7.- ¿Por qué no fue necesario poner la sentencia permit any al final esta vez?
Respuesta
_____________porque ya le indicamos que lo permita arriba ____________________
Objetivo
Planificar, configurar y aplicar una ACL estándar para permitir o denegar tráfico específico.
Probar la ACL para determinar si se lograron los resultados deseados.
Situación
La sede de la empresa en Gadsden (GAD) ofrece servicios a las sucursales, como la oficina
de Birmingham (BHM). Estas oficinas tienen algunos problemas menores de seguridad y
desempeño.
Por lo tanto, es necesario implementar una ACL estándar como una herramienta simple y
efectiva para controlar el tráfico.
Infraestructura
El Host 3 representa la estación de quiosco cuyo acceso debe limitarse a la red local.
El Host 4 representa a otro host de la oficina de BHM y la interface Loopback 0 del router GAD
representa la Internet.
Es posible que el router tenga configuraciones de un uso anterior. Por este motivo, borre la
configuración inicial y vuelva a cargar el router para eliminar cualquier configuración residual.
Refiérase a las tablas en la primera página y configure el router y los host. Verifique la
conectividad haciendo ping a todos los sistemas y routers desde cada sistema.
Objetivo
Planificar, configurar y aplicar una ACL estándar para permitir o denegar tráfico específico.
Probar la ACL para determinar si se lograron los resultados deseados.
Situación
La sede de la empresa en Gadsden (GAD) ofrece servicios a las sucursales, como la oficina
de Birmingham (BHM). Estas oficinas tienen algunos problemas menores de seguridad y
desempeño.
Por lo tanto, es necesario implementar una ACL estándar como una herramienta simple y
efectiva para controlar el tráfico.
Infraestructura
El Host 3 representa la estación de quiosco cuyo acceso debe limitarse a la red local.
El Host 4 representa a otro host de la oficina de BHM y la interface Loopback 0 del router GAD
representa la Internet.
Es posible que el router tenga configuraciones de un uso anterior. Por este motivo, borre la
configuración inicial y vuelva a cargar el router para eliminar cualquier configuración residual.
Refiérase a las tablas en la primera página y configure el router y los host. Verifique la
conectividad haciendo ping a todos los sistemas y routers desde cada sistema.
Como ocurre con cualquier proyecto, la parte más importante del proceso es la planificación.
Primero, hay que definir la información necesaria para crear la ACL. Una lista de acceso
consta de una serie de sentencias ACL. Cada sentencia aumenta a la ACL de forma
secuencial. Dado que la lista se compone de más de una sentencia, el orden de las
sentencias debe planificarse cuidadosamente.
Se ha determinado que para esta ACL se requerirán dos pasos lógicos. Cada uno de estos
pasos se puede lograr con una sola sentencia. Como herramienta de planificación, se puede
utilizar un editor de texto como el Bloc de notas, para organizar la lógica y luego escribir la
lista.
A partir de esta lógica se puede elaborar la ACL. En las tablas siguientes, anote la información
para cada sentencia.
2.- ¿Cuál sería el resultado de no incluir una sentencia para permitir todas las demás
direcciones origen?
Respuesta
__que puedan tener acceso ______________________________________________
3.- ¿Cuál sería el resultado de invertir el orden de las dos sentencias en la lista?
Respuesta
_______aplicarian de la misma forma_________________________________________
Agregue las sentencias de configuración para aplicar la lista a este archivo de texto. Las
sentencias de configuración tendrán la siguiente forma:
5.- Respuesta
____________me daba error y no salio nada_______________________________
Por último, pruebe la funcionalidad de la ACL intentando enviar paquetes desde el host
origen y verifique que se permita o deniegue de acuerdo a lo planificado. En este caso, la
prueba se realiza con un ping.
[ ] verify that host 3 CAN ping host 4
[ ] verify that host 3 CANNOT ping host 1
[ ] verify that host 3 CANNOT ping host 2
[ ] verify that host 3 CANNOT ping GAD Fa0/0
[ ] verify that host 3 CANNOT ping GAD LO0
[ ] verify that host 4 CAN ping host 1
[ ] verify that host 4 CAN ping host 2
[ ] verify that host 4 CAN ping GAD Fa0/0
[ ] verify that host 4 CAN ping GAD LO0
Al terminar, borre la configuración inicial de los routers, quite y guarde los cables y el
adaptador.
Termine la sesión y apague el router.
Como ocurre con cualquier proyecto, la parte más importante del proceso es la planificación.
Primero, hay que definir la información necesaria para crear la ACL. Una lista de acceso
consta de una serie de sentencias ACL. Cada sentencia aumenta a la ACL de forma
secuencial. Dado que la lista se compone de más de una sentencia, el orden de las
sentencias debe planificarse cuidadosamente.
Se ha determinado que para esta ACL se requerirán dos pasos lógicos. Cada uno de estos
pasos se puede lograr con una sola sentencia. Como herramienta de planificación, se puede
utilizar un editor de texto como el Bloc de notas, para organizar la lógica y luego escribir la
lista.
A partir de esta lógica se puede elaborar la ACL. En las tablas siguientes, anote la información
para cada sentencia.
8.- ¿Cuál sería el resultado de invertir el orden de las dos sentencias en la lista?
Respuesta
__________________________________________________________________
Agregue las sentencias de configuración para aplicar la lista a este archivo de texto. Las
sentencias de configuración tendrán la siguiente forma:
10.- Respuesta
__________________________________________________________________
Interfaz
La lista de acceso de salida es:
La lista de acceso de entrada es:
Por último, pruebe la funcionalidad de la ACL intentando enviar paquetes desde el host
origen y verifique que se permita o deniegue de acuerdo a lo planificado. En este caso, la
prueba se realiza con un ping.
[ ] verify that host 3 CAN ping host 4
[ ] verify that host 3 CANNOT ping host 1
[ ] verify that host 3 CANNOT ping host 2
[ ] verify that host 3 CANNOT ping GAD Fa0/0
[ ] verify that host 3 CANNOT ping GAD LO0
[ ] verify that host 4 CAN ping host 1
[ ] verify that host 4 CAN ping host 2
[ ] verify that host 4 CAN ping GAD Fa0/0
[ ] verify that host 4 CAN ping GAD LO0
Al terminar, borre la configuración inicial de los routers, quite y guarde los cables y el
adaptador.
Termine la sesión y apague el router.
Objetivo
• Configurar y aplicar una ACL extendida para permitir o denegar tráfico específico.
• Probar la ACL para determinar si se lograron los resultados deseados.
Cree una red con un cableado similar al del diagrama. Se puede usar cualquier router que
cumpla con los requisitos de interfaz que se ven en el diagrama anterior, como los routers
800, 1600, 1700, 2500, 2600, o una combinación de estos Consulte la tabla al final de esta
práctica de laboratorio para identificar correctamente los identificadores de interfaz que se
deben usar según el equipo disponible en el laboratorio. Los resultados de la configuración
utilizados en esta práctica se obtuvieron con los routers serie 1721. El uso de cualquier otro
router puede producir unos resultados ligeramente distintos.
Ejecute los siguientes pasos en cada router a menos que se especifique lo contrario:
En el router GAD, entre al modo de configuración global y configure el nombre de host tal
como aparece en el cuadro. Entonces, configure las contraseñas de consola, de la terminal
virtual y de enable.
Configure la interfaz FastEthernet en el router de acuerdo al diagrama.
Permita el acceso HTTP ejecutando el comando ip http server en el modo de configuración
global.
Host 1
Dirección IP 192.168.14.2
Máscara de subred 255.255.255.0
Gateway por defecto 192.168.14.1
Host 2
Dirección IP 192.168.14.3
Máscara de subred 255.255.255.0
Gateway por defecto 192.168.14.1
Si los pings no tienen éxito, corrija la configuración y repita este paso hasta que tengan éxito
Desde el host, conéctese al router mediante un navegador de Web para asegurarse de que la
función de servidor de Web esté activa.
Paso 6. Impedir el acceso HTTP (Puerto 80) desde los hosts de la interfaz Ethernet.
Cree una lista de acceso que impida el acceso mediante navegador de Web a FastEthernet 0
desde la red 192.168.14.0.
Objetivo
En esta práctica de laboratorio, se configuran listas de acceso extendidas para filtrar tráfico de
red a red, de host a red y de red a host.
Situación
Interconecte los routers y los hosts de acuerdo con el diagrama. Configure todos los aspectos
básicos del router, como el nombre de host, contraseña enable, acceso de telnet, interfaces
del router. Consulte el diagrama y las tablas que aparecen más arriba.
BHM#show running-config
<Resultado omitido>
hostname BHM
!
enable secret class
!
interface FastEthernet0
ip address 192.168.1.17 255.255.255.240
!
interface Serial0
ip address 172.16.1.2 255.255.255.0
clock rate 56000
!
interface FastEthernet 1
ip address 192.168.1.33 255.255.255.240
!
router rip
network 172.16.0.0
network 192.168.1.0
!
line vty 0 4
password cisco
login
!
end
BHM#
GAD#show running-config
<Resultado omitido>
!
hostname GAD
!
enable password class
!
interface FastEthernet0
ip address 172.16.2.1 255.255.255.0
!
interface Serial0
ip address 172.16.1.1 255.255.255.0
!
router rip
network 172.16.0.0
!
line vty 0 4
password cisco
login
!
no scheduler allocate
end
GAD#
Verifique la conectividad haciendo ping a todos los sistemas y routers desde cada sistema.
Todos los hosts deben poder hacer ping los unos a los otros y a las interfaces del router. Si los
pings a algunas interfaces no tienen éxito, es necesario encontrar y corregir el problema.
Siempre se deben verificar las conexiones de la capa física, ya que con frecuencia son la
fuente de los problemas de conectividad. A continuación, verifique las interfaces del router.
Asegúrese de que no estén apagadas, configuradas de forma incorrecta, y de que RIP esté
configurado correctamente. Finalmente, recuerde que junto con las direcciones IP válidas, los
hosts también deben tener gateways por defecto especificados.
La política de la empresa especifica que sólo el grupo Administrativo debe poder acceder a la
oficina de GAD. El acceso a la red por parte del grupo de Producción queda prohibido.
Configure una lista de acceso extendida para permitir que el grupo Administrativo tenga
acceso a la oficina de GAD. El grupo de producción no debe tener acceso a la oficina de GAD.
Después de un análisis cuidadoso, se decide que la mejor opción será utilizar una lista de
acceso extendida y aplicarla a la interfaz S0 de salida en el router BHM.
Introduzca lo siguiente:
BHM#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
BHM(config)#access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
Esta sentencia define una lista de acceso extendida denominada “100”. Denegará el acceso ip
por parte de cualquier usuario de la red 192.168.1.32 – 192.168.1.47 si intentan acceder a la
red 172.16.2.0. Aunque se puede definir un acceso menos específico, esta lista de acceso
podría permitir a los usuarios de producción acceder a otros sitios (de estar disponibles) a
través de lainterfaz S0.
Recuerde que existe un comando deny all implícito al final de cada lista de acceso. Debemos
asegurarnos de que el grupo administrativo tenga permiso de acceder a la red de GAD.
Aunque es posible imponer más restricciones, en este caso, simplemente dejaremos pasar
cualquier otro tráfico.
Ahora es necesario aplicar la lista de acceso a una interface. Es posible aplicar la lista a
cualquier tráfico entrante que vaya dirigido a la interfaz de red de producción Fa0/1. Sin
embargo, si hubiera mucho tráfico entre la red administrativa y la de producción, el router
tendría que verificar cada paquete. Existe la posibilidad de que esto implique una carga
innecesaria a los recursos del router. Por lo tanto, la lista de acceso se aplica a cualquier
tráfico de salida que pase por la interfaz S0 del router BHM.
Introduzca lo siguiente:
BHM(config)#interface s0
BHM(config-if)#ip access-group 100 out
Verifique que la sintaxis de la lista de acceso sea correcta mediante el comando show
running-config. A continuación se indican las sentencias válidas que deberían estar en la
configuración.
interface Serial0
ip access-group 100 out
<Resultado omitido>
access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
access-list 100 permit ip any any
BHM#show access-lists
Extended IP access list 100
deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
permit ip any any
Ahora pruebe la lista de acceso verificando la conectividad a la red GAD por parte de los hosts
administrativo y de producción.
1.- ¿Puede hacer ping el host de producción (B) al host de GAD (D)?
Respuesta
__________________________________________________________________
2.- ¿Puede hacer ping el host de producción (C) al host de GAD (D)?
Respuesta
__________________________________________________________________
3.- ¿Puede hacer ping el host administrativo (A) al host de GAD (D)?
Respuesta
__________________________________________________________________
4.- ¿Puede hacer ping el host de producción (B) al host de administración (A)?
Respuesta
__________________________________________________________________
5.- ¿Puede hacer ping el host de producción (B) a la interfaz serial del router de GAD?
Respuesta
__________________________________________________________________
Los hosts de producción (B) y (C) deben poder hacer ping al host administrativo (A) y la
interfaz serial del router de GAD. Sin embargo, no deben poder hacer ping al host de GAD (D).
El router debe devolver un mensaje de respuesta al host que indique “Destination net
unreachable” (Red destino inalcanzable).
Se recibe una llamada de un usuario del grupo de producción (B). Esa persona es el
responsable de intercambiar ciertos archivos entre la red de producción y la red de GAD. Es
necesario modificar la lista de acceso extendida para permitirle que acceda a la red de GAD,
denegando por otro lado el acceso de todos los demás de la red de producción.
Configure una lista de acceso extendida para permitir el acceso de ese usuario a GAD.
Por lo tanto, es necesario eliminar la lista de acceso extendida inicial y crear una nueva. Para
eliminar la lista de acceso 101o, introduzca lo siguiente:
BHM#conf t
Enter configuration commands, one per line. End with CNTL/Z.
BHM(config)#no access-list 100
Ahora, cree una nueva lista de acceso extendida. Siempre se debe filtrar desde lo más
específico hasta lo más general. Por lo tanto la primera línea de la lista de acceso debe
permitir que el host de producción (B) acceda a la red de GAD. El resto de la lista de acceso
debe ser igual a la que se introdujo anteriormente.
Para filtrar el host de producción (B), la primera línea de la lista de acceso debe ser la
siguiente:
Por lo tanto, la lista de acceso permite que el host de producción (B) acceda a la red de GAD.
Ahora deniegue acceso a los demás hosts de producción a la red de GAD y permita el acceso
a cualquier otro. Consulte el paso anterior para saber las siguientes dos líneas de la
configuración.
BHM#show access-lists
Extended IP access list 100
permit ip host 192.168.1.34 172.16.2.0 0.0.0.255
deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
permit ip any any
BHM#
Ahora pruebe la lista de acceso verificando la conectividad a la red GAD por parte de los hosts
administrativo y de producción.
7.- ¿Puede hacer ping el host de producción (B) al host de GAD (D)?
Respuesta
__________________________________________________________________
8.- ¿Puede hacer ping el host de producción (C) al host de GAD (D)?
Respuesta
__________________________________________________________________
El host de producción (B) ahora debe poder hacer ping al host de GAD (D). Sin embargo,
todos losdemás hosts de producción (C) no deben poder hacer ping al host de GAD (D).
Nuevamente, el router debe devolver un mensaje de respuesta al host que indique
“Destination net unreachable” (Red destino inalcanzable).
Configure una lista de acceso extendida para permitir que los usuarios de la oficina de
GADtengan acceso FTP, HTTP al servidor de nómina solamente. Se decide también
permitir el acceso ICMP para que ellos hagan ping al servidor. Los usuarios de GAD
no deben poder hacer ping a ningún otro host en la red de Administración.
No conviene que haya tráfico innecesario entre los sitios, por lo tanto se decide
configurar una lista de acceso extendida en el router de GAD.
Tome en cuenta que de vez en cuando haría falta acceso EXEC privilegiado a GAD.
Por este motivo, se ha configurado el acceso Telnet a GAD. De lo contrario, sería
necesario viajar a la oficina de GAD para configurarlo.
Haga Telnet al router de GAD desde el router de BHM y entre al modo enable. Haga
diagnóstico de fallas según sea necesario.
Nota: Una trampa en la que se puede caer al configurar las listas de acceso en
los routers remotos es “dejarse afuera” de forma inadvertida. Esto no es un
problema grave cuando el router se encuentra en una ubicación física local. Sin
embargo, podría ser un problema enorme si el router se encuentra físicamente
ubicado en otro punto geográfico.
Esta línea permitirá que cualquier host de la red de GAD tenga acceso FTP al servidor
de nómina, en la dirección 192.168.1.18.
9.- ¿Qué se podría haber definido en lugar de usar la palabra clave “any”?
Respuesta
__________________________________________________________________
10.- ¿Qué se podría haber definido en lugar de usar la palabra clave “host”?
Respuesta
__________________________________________________________________
11.- ¿Qué se podría haber definido en lugar de usar la palabra clave “ftp”?
Respuesta
__________________________________________________________________
Ahora, configure la línea siguiente de la lista de acceso para permitir el acceso HTTP
al servidor de nómina. La sentencia de la lista de acceso debe ser similar al siguiente:
Esta línea permitirá que cualquier host de la red de GAD tenga acceso FTP al servidor
de nómina, en la dirección 192.168.1.18.
12.- ¿Qué otra cosa se podría haber definido en lugar de usar la palabra clave “www”?
Respuesta
__________________________________________________________________
Ahora, configure la línea siguiente de la lista de acceso para permitir el acceso HTTP
al servidor de nómina. La sentencia de la lista de acceso debe ser similar al siguiente:
Esta línea permitirá que cualquier host de la red de GAD haga ping al servidor de
nómina, en la dirección 192.168.1.18.
Por último, ningún usuario de GAD debe poder acceder a ningún otro host en la red de
Administración. Aunque no es obligatorio, siempre es buena idea incluir una sentencia
deny. La sentencia sirve como recordatorio y hace que sea más fácil comprender la
lista de acceso. La sentencia de la lista de acceso debe ser similar al siguiente:
GAD(config)#access-list 110 deny ip any 192.168.1.16 0.0.0.15
Ahora es necesario aplicar la lista de acceso a una interface. Para reducir el tráfico
WAN no deseado, se decide aplicar la lista de acceso a cualquier tráfico de salida a
través de la interfaz S0 del router de GAD. Introduzca lo siguiente:
GAD(config)#interface s0
GAD(config-if)#ip access-group 110 out
El host de GAD debe poder hacer ping al servidor de nómina solamente. El router
debe devolver el mensaje “Destination net unreachable” (Red destino no alcanzable)
al intentar hacer ping al host administrativo (D).
Ingrese en el modo EXEC privilegiado escribiendo enable (habilitar). Si pide una contraseña,
introduzca class. Si “class” no funciona, solicite ayuda a su instructor. Router>enable
Para saber exactamente cómo está configurado el router, consulte las interfaces. Esto le
permitirá identificar el tipo de router así como cuántas interfaces posee el router. No hay una
forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para
cada clase de router. Lo que se ha presentado son los identificadores de las posibles
combinaciones de interfaces en el dispositivo. Esta tabla de interfaces no incluye ningún otro
tipo de interfaz aunque otro tipo pueda existir en un router dado. La interfaz BRI RDSI es un
ejemplo de esto. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en
los comandos IOS para representar la interfaz.