Las polticas de seguridad son: los usuarios de las dos sucursales pueden acceder a sitios web en Internet pero

o no se permite el paso de el trafico externo a la red interna. todo el trafico desde la sucursal 1 a la sucuarsal 2 es permitido, pero solo el trafico FTP, HTTP, DNS y HTTPS esta permitido de la sucursal 2 a la sucursal 1. todo el trafico ICMP entre sucursales esta permitido. Configuraciones basicas de red. Despus de hacer las conecciones fisicas segun la topologia, vamos a conectarnos al router R1 por consola y vamos a configurar las interfaces de la siguiente manera: Interface serial 0/0/1 R1>enable R1#configure terminal R1(config)#interface serial 0/0/1 R1(config-if)#ip address 192.168.0.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#exit Interface GigabitEthernet 0/0 R1(config)#interface gigabitEthernet 0/0 R1(config-if)#ip address 192.168.100.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit Interface GigabitEthernet 0/1 R1(config)#interface gigabitEthernet 0/1 R1(config-if)#ip address dhcp R1(config-if)#exit Ahora vamos a conectarnos al router R2 por consola y vamos a configurar las interfaces de la siguiente manera: Interface serial 0/0/1 R2>enable R2#configure terminal R2(config)#interface serial 0/0/1 R2(config-if)#ip address 192.168.0.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit Interface GigabitEthernet 0/0 R2(config)#interface gigabitEthernet 0/0 R2(config-if)#ip address 192.168.200.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#clock rate 64000 R2(config-if)#exit

Probamos conectividad entre R1 y R2 R1#ping 192.168.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/5 ms Ahora vamos a configurar DHCP en R1 para las redes 192.168.100.0/24 y 192.168.200.0/24 En R1: R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip dhcp pool sucursal1 R1(dhcp-config)#network 192.168.100.0 255.255.255.0 R1(dhcp-config)#default-route 192.168.100.1 R1(dhcp-config)#exit R1(config)#ip dhcp excluded-address 192.168.100.1 R1(config)#ip dhcp pool sucursal2 R1(dhcp-config)#network 192.168.200.0 255.255.255.0 R1(dhcp-config)#default-route 192.168.200.1 R1(dhcp-config)#exit R1(config)#ip dhcp excluded-address 192.168.200.1 R1(config)#exit En R2 para que permita la distribucin la peticin DHCP hacia R1: R2>enable R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface gigabitEthernet 0/1 R2(config-if)#ip helper-address 192.168.0.1 R2(config-if)#exit R2(config)#interface serial 0/0/1 R2(config-if)#ip helper-address 192.168.0.1 R2(config-if)#exit Ahora configuramos los PCs y miramos la informacion IPV4 PC0

PC1

Debemos configurar enrutamiento, en este caso lo haremos por EIGRP de la siguiente manera: En R1: R1(config)#router eigrp 110 R1(config-router)#network 192.168.0.0 0.0.0.3 R1(config-router)#network 192.168.100.0 R1(config-router)#exit En R2: R2(config)#router eigrp 110 R2(config-router)#network 192.168.200.0 R2(config-router)#network 192.168.0.0 0.0.0.3 R2(config-router)# %DUAL-5-NBRCHANGE: IP-EIGRP 110: Neighbor 192.168.0.1 (Serial0/0) is up: new adjacency R2(config-router)#exit Probamos conectividad entre las dos sucursales: Ping de PC0 a PC1

Ahora vamos a configurar la salida a Internet por R1, tenemos entonces la interface gigabitEthernet 0/1 conectada a un punto de red y la direccin la tiene por DHCP(192.168.10.45/24), vamos entonces a configurar PAT. En R1: R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip access-list standard Nat R1(config-std-nacl)#permit 192.168.0.0 0.0.255.255 R1(config-std-nacl)#exit R1(config)#ip nat inside source list Nat interface GigabitEthernet0/1 overload R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1 254 R1(config)#router eigrp 110 R1(config-router)#redistribute static R1(config-router)#exit R1(config)#interface serial 0/0/1 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#interface gigabitEthernet 0/0 R1(config-if)#ip nat inside R1(config-if)#exit

R1(config)#interface gigabitEthernet 0/1 R1(config-if)#ip nat outside R1(config-if)#exit Probemos la salida a internet.

Apliquemos entonces las polticas de seguridad, en R1: los usuarios de las dos sucursales pueden acceder a sitios web en internet pero no se permite el paso de el trafico externo a la red interna. Debemos asegurarnos primero que puedan salir los paquetes que vallan a puertos de destino www(80), dns(53), 443. Creemos la ACL extendida de salida llamada Internet R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip access-list extended Internet R1(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any eq 80 53 443 Luego en la misma ACL vamos a permitir el puerto 53 UDP de una manera reflectiva. R1(config-ext-nacl)#permit udp 192.168.0.0 0.0.255.255 any eq domain reflect UDP timeout 300 para permitir la salida de las conecciones FTP en la misma ACL vamos a permitir los puertos 20 y 21. R1(config-ext-nacl)#permit tcp any any eq ftp R1(config-ext-nacl)#permit tcp any any eq ftp-data

Ahora aplicamos esta access-list en la interface gigabitEthernet 0/1 de salida. R1(config)#interface gigabitEthernet 0/1 R1(config-if)#ip access-group Internet out R1(config-if)#exit Despus de haber permitido los paquetes www, ftp, dns y https de salida, debemos permitirlos de entrada, para ello creamos otra access-list llamada Deye y permitimos todas las conecciones TCP establecidas, evaluamos la access-list reflexiva(evaluate UDP), ademas permitimos los puertos 20 y 21 de entrada. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip access-list extended Deye R1(config-ext-nacl)#permit tcp any any established R1(config-ext-nacl)#permit tcp any eq ftp-data any R1(config-ext-nacl)#permit tcp any any eq ftp R1(config-ext-nacl)#evaluate UDP Ahora aplicamos esta access-list en la interface gigabitEthernet 0/1 de entrada. R1(config)#interface gigabitEthernet 0/1 R1(config-if)#ip access-group Deye in R1(config-if)#exit Puedes ir probando que la salida a internet si funcione, de lo contrario hay que revisar cual es el problema. Vamos a aplicar la siguiente politica: todo el trafico desde la sucursal 1 a la sucuarsal 2 es permitido, pero solo el trafico FTP, HTTP, DNS y HTTPS esta permiti do de la sucursal 2 a la sucursal 1. todo el trafico ICMP entre sucursales esta permitido. Vamos a permitir el trafico ICMP, FTP, HTTP, DNS y HTTPS de la sucursal1 a la sucursal2, vamos a R2 R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ip access-list extended Sucursal2 R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any eq www ftp domain 443 R2(config-ext-nacl)#permit udp 192.168.0.0 0.0.255.255 any eq domain R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 R2(config-ext-nacl)#permit tcp any any eq ftp R2(config-ext-nacl)#permit tcp any any eq ftp-data R2(config-ext-nacl)#exit

Luego aplicamos la ACL a la interface serial 0/0/1 de salida R2>enable R2#configure terminal R2(config)#interface serial 0/0/1 R2(config-if)#ip access-group Sucursal2 out R2(config-if)#exit Y comprobamos que entre las sucursales se puedan dar ping:

Probamos el acceso a un servidor FTP:

A continuacin publico los archivos de configuracin de cada router. R1: Building configuration

Current configuration : 2371 bytes ! ! Last configuration change at 16:01:03 UTC Tue Jun 12 2012 ! NVRAM config last updated at 14:49:06 UTC Tue Jun 12 2012 ! NVRAM config last updated at 14:49:06 UTC Tue Jun 12 2012 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption

! hostname R1 ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! ! ip dhcp excluded-address 192.168.100.1 ip dhcp excluded-address 192.168.200.1 ! ip dhcp pool sucursal1 network 192.168.100.0 255.255.255.0 default-router 192.168.100.1 ! ip dhcp pool sucursal2 network 192.168.200.0 255.255.255.0 default-router 192.168.200.1 ! multilink bundle-name authenticated ! ! ! !

! crypto pki token default removal timeout 0 ! ! voice-card 0 ! ! ! ! ! ! ! license udi pid CISCO2901/K9 sn FTX155183D1 license boot module c2900 technology-package uck9 ! ! ! redundancy ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.100.1 255.255.255.0 ip nat inside

ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 ip address dhcp ip access-group Deye in ip access-group Internet out ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 ip address 192.168.0.1 255.255.255.252 ip access-group sucursal2in in ip nat inside ip virtual-reassembly in clock rate 2000000 ! ! router eigrp 110 network 192.168.0.0 0.0.0.3 network 192.168.100.0 redistribute static !

ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source list Nat interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 192.168.10.1 254 ip route 0.0.0.0 0.0.0.0 192.168.10.1 254 ! ip access-list standard Nat permit 192.168.0.0 0.0.255.255 ! ip access-list extended Deye permit tcp any eq ftp-data any permit tcp any any eq ftp permit tcp any any established evaluate UDP ! ip access-list extended Internet permit tcp 192.168.0.0 0.0.255.255 any eq www ftp 443 domain permit udp 192.168.0.0 0.0.255.255 any eq domain reflect UDP timeout 300 permit tcp any any eq ftp permit tcp any any eq ftp-data ! ! ! ! control-plane ! ! !

! mgcp profile default ! ! ! ! ! gatekeeper shutdown ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 end

R2:

Building configuration

Current configuration : 1884 bytes ! ! Last configuration change at 15:19:37 UTC Tue Jun 12 2012 ! NVRAM config last updated at 14:52:01 UTC Tue Jun 12 2012 ! NVRAM config last updated at 14:52:01 UTC Tue Jun 12 2012 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! enable secret 5 $1$40qW$rG8S0okTb.gzSgQBiaCXx. ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! ! ! ! !

multilink bundle-name authenticated ! ! ! ! ! crypto pki token default removal timeout 0 ! ! voice-card 0 ! ! ! ! ! ! ! license udi pid CISCO2901/K9 sn FTX155183DD license boot module c2900 technology-package uck9 ! ! ! redundancy ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address

shutdown ! interface GigabitEthernet0/0 ip address 192.168.200.1 255.255.255.0 ip helper-address 192.168.0.1 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 ip address 192.168.0.2 255.255.255.252 ip access-group Sucursal2 out ip helper-address 192.168.0.1 ! ! router eigrp 110 network 192.168.0.0 0.0.0.3 network 192.168.200.0 ! ip forward-protocol nd !

no ip http server no ip http secure-server ! ! ip access-list extended Sucursal2 permit tcp 192.168.0.0 0.0.255.255 any eq www ftp domain 443 permit udp 192.168.0.0 0.0.255.255 any eq domain permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 permit tcp any any eq ftp permit tcp any any eq ftp-data ! ! ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! gatekeeper shutdown ! ! ! line con 0

line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password sena login transport input all ! scheduler allocate 20000 1000 end