Tema: Lugar de Ejecucin: Tiempo Estimado: Materia:
Crear listas de control de acceso extendidas Poder ubicar las listas de control de acceso en el router
Estacin de trabajo PC. Simulador de Red Cisco Packet Tracer Gua de laboratorio 10
1. Armar la siguiente topologa en un archivo de NOTA: En esta configuracin, las dos interfaces del Router2 usan cables TE 3 UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLGICOS COORDINACIN DE COMPUTACIN GUIA DE LABORATORIO # 10 !istas de "ontrol de Acceso E#tendidas Lugar de Ejecucin: "$TT, Edificio de Electrnica, !aboratorio de Redes Tiempo Estimado: 2 %oras 30 minutos Redes de &rea Amplia I. OBJETIVOS Crear listas de control de acceso extendidas Poder ubicar las listas de control de acceso en el router II. MATERIALES Y EQUIPO Cisco Packet Tracer III. PROCEDIMIENTO un archivo de Cisco Packet Tracer llamado Practica10ejemplo1 las dos interfaces del Router2 usan cables TE 1 FACULTAD DE ESTUDIOS TECNOLGICOS CIN DE COMPUTACIN de Redes Practica10ejemplo1.
FET, Redes de rea Amplia ciclo 2-2013 2
2. Configuracin de los routers
a) Router1 - Nombre de host: BORDE - Contrasea de privilegiado encriptada: class - Contrasea de terminales virtuales: ciscotel - Direccin y mscara de F0/0: 200.100.50.1 /24 - Direccin y mscara de S0/0: 204.204.7.1/30
b) Router2 - Nombre de host: CENTRO - Contrasea de privilegiado encriptada: class - Contrasea de terminales virtuales: ciscotel - Direccin y mscara de F0/0: 206.93.105.1 /24 - Direccin y mscara de S0/0: 204.204.7.2/30 - Direccin y mscara de S0/1: 201.100.11.1/30
c) Router3 - Nombre de host: EXTREMO - Contrasea de privilegiado encriptada: cisco - Contrasea de terminales virtuales: ciscotel - Direccin y mscara de F0/0: 199.6.13.1 /24 - Direccin y mscara de S0/0: 201.100.11.2/30
3. Configuracin de las estaciones de trabajo
a) PC-1: Direccin ip: 200.100.50.2, mscara de subred: 255.255.255.0, gateway: 200.100.50.1 b) PC-2: Direccin ip: 206.93.105.2, mscara de subred: 255.255.255.0, gateway: 206.93.105.1 c) PC-3: Direccin ip: 199.6.13.2, mscara de subred: 255.255.255.0, gateway: 199.6.13.1
4. Configure OSPF en los tres enrutadores, con el nmero de proceso 41.
a) Configurar interfaces pasivas donde sean necesarias a) Use el comando show ip route para verificar que en cada router aparezcan las rutas en la tabla de enrutamiento b' Reali(ar pruebas de conecti)idad desde *"1 con ping + traceroute %acia el resto de %ost
5. Almacenar los cambios hechos en la configuracin en la NVRAM
6. En cualquier momento que quiera verificar el funcionamiento de una linea especfica de una ACL, utilice el comando show access-lists, el cual muestra las listas de control de accesso y las coincidencias (matches) en cada lnea.
7. Configurar ACL's extendidas que denieguen las sesiones telnet desde cualquiera de las estaciones de trabajo (excepto de la PC-1) hacia BORDE. Cualquier otro tipo de trafico ser permitido.
a) Opcin 1: Una sola ACL ubicada en BORDE (el trfico atravesar toda la red y ser detenido en la interfaz serial0/0 de BORDE).
b) Configuracin y ubicacin de la ACL
BORDE#configure terminal BORDE(config)#access-list 101 deny tcp any host 204.204.7.1 eq 23 BORDE(config)#access-list 101 deny tcp any host 200.100.50.1 eq 23 BORDE(config)#access-list 101 permit ip any any FET, Redes de rea Amplia ciclo 2-2013 3 BORDE(config)#access-list 101 deny ip any any BORDE(config)#interface serial0/0 BORDE(config-if)#ip access-group 101 in BORDE(config-if)#CTRL+Z
c) Intentar establecer sesiones telnet desde las estaciones PC-2 y PC-3 con el router BORDE. Los intentos deben fallar, Verifique coincidencias. Solamente desde PC-1 podr establecer una conexin va telnet exitosamente.
d) Desactivar la ACL de la interfaz serial0/0 de BORDE con comando: BORDE(config-if)#no ip access-group 101 in
e) Opcin 2: ACL's independientes en CENTRO y EXTREMO (el trfico ser detenido lo ms cerca posible del origen para no tener utilizacin innecesaria del ancho de banda en conexiones que sern denegadas).
f) Configuracin y ubicacin de ACL en CENTRO
CENTRO#configure terminal CENTRO(config)#access-list 102 deny tcp any host 204.204.7.1 eq 23 CENTRO(config)#access-list 102 deny tcp any host 200.100.50.1 eq 23 CENTRO(config)#access-list 102 permit ip any any CENTRO(config)#interface fastethernet0/0 CENTRO(config-if)#ip access-group 102 in CENTRO(config-if)#CTRL+Z
g) Configuracin y ubicacin de ACL en EXTREMO
EXTREMO#configure terminal EXTREMO(config)#access-list 103 deny tcp any host 204.204.7.1 eq 23 EXTREMO(config)#access-list 103 deny tcp any host 200.100.50.1 eq 23 EXTREMO(config)#access-list 103 permit ip any any EXTREMO(config)#interface fastethernet0/0 EXTREMO(config-if)#ip access-group 103 in EXTREMO(config-if)#CTRL+Z
h) Nuevamente realizar pruebas intentando conectarse va telnet con BORDE. Las conexiones desde PC-2 y PC-3 deben fallar (Verificar coincidencias pero ahora en cada router cercano).
i) Desactivar las ACL's de las interfaces fastethernet en los router CENTRO y EXTREMO
8. Configurar ACL's extendidas que permitan filtrar trfico por tipo de servicios y por direccin IP de origen y destino.
a) Restringir el ping a los host con ip par dentro de la red LAN de EXTREMO
EXTREMO#configure terminal EXTREMO(config)#access-list 104 deny icmp any 199.6.13.0 0.0.0.254 EXTREMO(config)#access-list 104 permit ip any any EXTREMO(config)#access-list 104 deny ip any any EXTREMO(config)#interface fastethernet0/0 EXTREMO(config-if)#ip access-group 104 out EXTREMO(config-if)#CTRL+Z
b) Realizar pruebas de ping con diferentes IP dentro de la red LAN de EXTREMO, las pruebas debern ser exitosas si el ping es dirigido a una ip par (Verificar coincidencias).
c) Desactivar la ACL.
FET, Redes de rea Amplia ciclo 2-2013 4 d) Agregar un servidor WEB en la red lan de CENTRO y permitirle solo a las ltimas 3 IP de BORDE y EXTREMO que puedan acceder al servidor.
BORDE#configure terminal BORDE(config)#access-list 105 permit tcp 200.100.50.252 0.0.0.3 any eq www BORDE(config)#access-list 105 deny ip any any BORDE(config)#interface fastethernet0/0 BORDE(config-if)#ip access-group 105 in BORDE(config-if)#CTRL+Z
EXTREMO#configure terminal EXTREMO(config)#access-list 106 permit tcp 199.6.13.252 0.0.0.3 any eq www EXTREMO(config)#access-list 106 deny ip any any EXTREMO(config)#interface fastethernet0/0 EXTREMO(config-if)#ip access-group 106 in EXTREMO(config-if)#CTRL+Z
e) Realizar pruebas de navegacin con diferentes ip desde cada red hacia el servidor web (Verificar coincidencias).
f) Desactivar las ACL's
9. Ejemplo de control de las lneas vty de CENTRO en una forma tradicional (no practica). Solo se permitirn las sesiones telnet iniciadas en la red correspondiente a la PC-2. Las redes a las que pertenecen las estaciones PC-1 y PC-3 sern denegadas. Todo el dems trfico (que no sea telnet) ser permitido.
CENTRO(config)#interface serial0/0 CENTRO(config-if)#ip access-group 104 in CENTRO(config-if)#exit CENTRO(config)#interface serial0/1 CENTRO(config-if)#ip access-group 104 in CENTRO(config-if)#CTRL+Z
c) Realizar la pruebas necesarias para verificar el funcionamiento deseado de la ACL. Solo la PC-2 podr exitosamente administrar CENTRO va telnet (Verificar coincidencias).
d) Desactivar las ACL's
10. Crear una ACL que deniegue el trfico de correo electrnico, ping y TFTP desde la red 200.100.50.0 hacia la red 199.6.13.2, pero que permita el resto de trfico. Debe colocar la nueva lista la ms cerca del destino, es decir, en router BORDE. BORDE(config)#access-list 111 deny tcp 200.100.50.0 0.0.0.255 199.6.13.0 0.0.0.255 eq 25 FET, Redes de rea Amplia ciclo 2-2013 5 BORDE(config)#access-list 111 deny icmp 200.100.50.0 0.0.0.255 199.6.13.0 0.0.0.255 BORDE(config)#access-list 111 deny udp 200.100.50.0 0.0.0.255 199.6.13.0 0.0.0.255 eq 69 BORDE(config)#access-list 111 permit any any BORDE(config)#access-list 111 deny any any BORDE(config)#interface fastethernet0/0 BORDE(config-if)#ip access-group 111 in
11. Probar la ACL anterior, expandiendo red LAN 199.6.13.0 al agregar un servidor TFTP. Configurar a este Server con un direccionamiento ip de host apropiado y desactivarle todos los servicios disponibles, excepto TFTP.
Intentar copiar el archivo de configuracin de los router. Tambin puede hacer pruebas de ping Levante el servicio WEB de este Server para comprobar que este trfico si es permitido.