Diagrama de topologa Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin 1 de ! Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco. CC)* #+plortion *cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr Ta!la de direccionamiento Dispositivo "nterfa# Direccin "P $scara de su!red %& '()()( 10.1.1.1 2//.2//.2//.2/2 *a()( 192.1!0.10.1 2//.2//.2//.0 *a()& 192.1!0.11.1 2//.2//.2//.0 %2 '()()( 10.1.1.2 2//.2//.2//.2/2 '()()& 10.2.2.1 2//.2//.2//.2/2 '()&)( 209.1!/.200.22/ 2//.2//.2//.221 *a()( 192.1!0.20.1 2//.2//.2//.0 %+ '()()& 10.2.2.2 2//.2//.2//.2/2 *a()( 192.1!0.20.1 2//.2//.2//.0 "'P '()()& 209.1!/.200.22! 2//.2//.2//.221 *a()( 209.1!/.201.1 2//.2//.2//.221 *a()& 209.1!/.202.129 2//.2//.2//.221 PC& ,"C 192.1!0.10.10 2//.2//.2//.0 PC2 ,"C 192.1!0.11.10 2//.2//.2//.0 PC+ ,"C 192.1!0.20.10 2//.2//.2//.0 PC- ,"C 192.1!0.20.120 2//.2//.2//.0 'ervidor T*TP)./0 ,"C 192.1!0.20.2/1 2//.2//.2//.0 'ervidor ./0 ,"C 209.1!/.201.20 2//.2//.2//.221 1ost e2terno ,"C 209.1!/.202.1/0 2//.2//.2//.221 3!4etivos de aprendi#a4e In"estigr l con%ig$rci&n ct$l de l red. #"l$r $n pol3tic de red y plni%icr $n implementci&n de *C.. Con%ig$rr *C. estndr y n$merds. Con%ig$rr *C. estndr y nom(rds. "ntroduccin .s *C. estndr son g$iones de con%ig$rci&n del ro$ter 4$e controln si $n ro$ter cept o rech5 p4$etes seg'n l direcci&n de origen. #st cti"idd se concentr en de%inir criterios de %iltrdo, con%ig$rr *C. estndr, plicr *C. inter%ces de ro$ter y "eri%icr y e"l$r l implementci&n de l *C.. .os ro$ters y estn con%ig$rdos, lo 4$e incl$ye direcciones IP y enr$tmiento #I67P. . contrse8 #9#C del $s$rio es cisco y l contrse8 #9#C pri"ilegid es class. Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin 2 de ! Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco. CC)* #+plortion *cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr Tarea &: "nvestigar la configuracin actual de la red Paso &. 5isuali#ar la configuracin en e4ecucin en los routers. :is$lice l con%ig$rci&n en e;ec$ci&n en los tres ro$ters medinte el comndo s6o7 running8config mientrs est< en el modo #9#C pri"ilegido. =(ser"e 4$e ls inter%ces y el enr$tmiento estn totlmente con%ig$rdos. Compre ls con%ig$rciones de l direcci&n IP con l t(l de direccionmiento 4$e se m$estr ms rri(. #n este momento, no de(e h(er ning$n *C. con%ig$rd en los ro$ters. #l ro$ter ISP no re4$iere ning$n con%ig$rci&n d$rnte este e;ercicio. S$pongmos 4$e el ro$ter ISP no est (;o s$ dministrci&n y el dministrdor del ISP se oc$p de s$ con%ig$rci&n y mntenimiento. Paso 2. Confirmar 9ue todos los dispositivos puedan acceder a todas las dems u!icaciones. *ntes de plicr c$l4$ier *C. $n red, es importnte con%irmr 4$e teng conecti"idd complet. Si no pr$e( l conecti"idd en s$ red ntes de plicr $n *C., pro((lemente l resol$ci&n de pro(lems se ms di%3cil. >n pso 'til en l pr$e( de conecti"idd es "is$li5r ls t(ls de enr$tmiento en cd dispositi"o pr seg$rrse de 4$e cd red %ig$re en <sts. #n 71, 72 y 72 e;ec$te el comndo s6o7 ip route. ?e(e "er 4$e cd dispositi"o tiene r$ts conectds pr redes conectds y r$ts dinmics tods ls dems redes remots. Todos los dispositi"os p$eden cceder tods ls dems $(icciones. *$n4$e l t(l de enr$tmiento p$ede ser 'til pr e"l$r el estdo de l red, l conecti"idd 'n de(e pro(rse l hcer ping. 7elice ls sig$ientes pr$e(s- ?esde l PC1, hg ping l PC2. ?esde l PC2, hg ping l host e+terno. ?esde l PC1, hg ping l ser"idor ,e(@TATP. Cd $n de ests pr$e(s de conecti"idd de(e tener <+ito. Tarea 2: /valuar una poltica de red : planificar una implementacin de ACL Paso &. /valuar la poltica para las LA, del %&. . red 192.1!0.10.0@21 p$ede cceder tods ls $(icciones, e+cepto l red 192.1!0.11.0@21. . red 192.1!0.11.0@21 p$ede cceder todos los dems destinos, e+cepto c$l4$ier red conectd l ISP. Paso 2. Planificar la implementacin de ACL para las LA, del %&. ?os *C. implementn completmente l pol3tic de seg$ridd pr ls .*) del 71. . primer *C. en el 71 denieg el tr%ico desde l red 192.1!0.10.0@21 l red 192.1!0.11.0@21 pero cept el resto del tr%ico. #st primer *C., plicd en direcci&n de slid en l inter%5 A0@1, monitore el tr%ico 4$e se en"3 l red 192.1!0.11.0. . seg$nd *C. en el 72 denieg el cceso de l red 192.1!0.11.0@21 l ISP pero cept el resto del tr%ico. #l tr%ico sliente desde l inter%5 S0@1@0 est controldo. Colo4$e ls sentencis *C. en orden, desde l ms espec3%ic l menos espec3%ic. Se denieg el cceso del tr%ico de l red otr red ntes de permitir el cceso del resto del tr%ico. Paso +. /valuar la poltica para la LA, del %+. . red 192.1!0.20.0@10 p$ede cceder todos los destinos. Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin 2 de ! Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco. CC)* #+plortion *cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr #l host 192.1!0.20.120 no tiene permitido el cceso %$er de l .*). Paso -. Planificar la implementacin de ACL para la LA, del %+. >n *C. implement completmente l pol3tic de seg$ridd pr l .*) del 72. . *C. se coloc en el 72 y denieg el cceso del host 192.1!0.20.120 %$er de l .*) pero permite el tr%ico desde el resto de los hosts en l .*). *l plicr $n *C. entrnte en l inter%5 A0@0, est *C. monitorer todo el tr%ico 4$e intente slir de l red 192.1!0.20.0@10. Colo4$e ls sentencis *C. en orden, desde l ms espec3%ic l menos espec3%ic. Se denieg el cceso l host 192.1!0.20.120 ntes de permitir el cceso l resto del tr%ico. Tarea +: Configurar ACL estndar : numeradas Paso &. Determinar la mscara 7ildcard. . mscr Bildcrd en $n sentenci *C. determin c$nto se de(e "eri%icr en $n direcci&n IP de origen o destino. >n (it 0 implic hcer coincidir ese "lor en l direcci&n, mientrs 4$e $n (it 1 ignor ese "lor en l direcci&n. 7ec$erde 4$e ls *C. estndr s&lo p$eden "eri%icr direcciones de origen. ?e(ido 4$e l *C. en el 71 denieg todo el tr%ico de l red 192.1!0.10.0@21, se rech5r tod direcci&n IP de origen 4$e comience con 192.1!0.10. ?do 4$e el 'ltimo octeto de l direcci&n IP p$ede ignorrse, l mscr Bildcrd correct es 0.0.0.2//. Cd octeto en est mscr p$ede interpretrse como C"eri%icr, "eri%icr, "eri%icr, ignorrD. . *C. en el 72 tm(i<n denieg el tr%ico de l red 192.1!0.11.0@21. P$ede plicrse l mism mscr Bildcrd, 0.0.0.2//. Paso 2. Determinar las sentencias. .s *C. se con%ig$rn en el modo de con%ig$rci&n glo(l. Pr ls *C. estndr, $se $n n'mero entre 1 y 99. #l n'mero &( se $s pr est list en el 71 pr y$dr recordr 4$e est *C. monitore l red 192.1!0.&(.0. #n el 72, l list de cceso && denegar el tr%ico de l red 192.1!0.&&.0 c$l4$ier red del ISPE por lo tnto, l opci&n den: est con%ig$rd con l red &;2.&<8.&&.( y l mscr Bildcrd (.(.(.255. ?e(e permitirse el resto del tr%ico con l opci&n permit= de(ido l sentenci impl3cit Cdeny nyD l %inl de ls *C.. . opci&n an: especi%ic todo host de origen. Con%ig$re lo sig$iente en 71- R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255 R1(config)#access-list 10 permit any )ot- PcFet Trcer no cli%icr $n con%ig$rci&n de *C. hst tnto se ingresen tods ls sentencis en el orden correcto. *hor cree $n *C. en el 72 pr denegr l red 192.1!0.11.0 y permitir ls dems redes. Pr est *C., $se el n'mero &&. Con%ig$re lo sig$iente en 72- R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255 R2(config)#access-list 11 permit any Paso +. Aplicar las sentencias a las interfaces. #n 71, ingrese l modo de con%ig$rci&n pr l inter%5 A0@1. Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin 1 de ! Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco. CC)* #+plortion *cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr #;ec$te el comndo ip access8group &( out pr plicr l *C. estndr sliente en l inter%5. R1(config)#interface fa0/1 R1(config-if)#ip access-group 10 out #n 72, ingrese l modo de con%ig$rci&n pr l inter%5 S0@1@0. #;ec$te el comndo ip access8group && out pr plicr l *C. estndr sliente en l inter%5. R2(config)#interface s0/1/0 R2(config-if)#ip access-group 11 out Paso -. 5erificar : pro!ar las ACL. Con ls *C. con%ig$rds y plicds, l PC1 G192.1!0.10.10H no de(e poder hcer ping l PC2 G192.1!0.11.10H, y 4$e l *C. 10 se plic con direcci&n de slid en l A0@1 en 71. . PC2 G192.1!0.11.10H no de(e poder hcer ping l ser"idor ,e( G209.1!/.201.20H ni l host e+terno G209.1!/.202.1/0H, pero s3 de(e poder hcer ping c$l4$ier otr $(icci&n, y 4$e l *C. 11 se plic en direcci&n de slid en l S0@1@0 en 72. Sin em(rgo, l PC2 no p$ede hcer ping l PC1 por4$e l *C. 10 en 71 impide l resp$est de eco de l PC1 l PC2. Paso 5. 5erificar los resultados. S$ porcent;e de %inli5ci&n de(e ser del !7I. ?e lo contrrio, hg clic en 5erificar resultados pr "er 4$< componentes re4$eridos 'n no se hn completdo. Tarea -: Configurar ACL estndar : nom!radas Paso &. Determinar la mscara 7ildcard. . pol3tic de cceso pr 72 indic 4$e el host en 192.1!0.20.120 no de(e tener permitido ning'n cceso %$er de l .*) locl. #l resto de los hosts de l red 192.1!0.20.0 de(e tener permitido el cceso ls dems $(icciones. Pr "eri%icr $n 'nico host, de(e "eri%icrse l direcci&n IP complet medinte l pl(r cl"e 6ost. Se permiten todos los p4$etes 4$e no coinciden con l sentenci host. Paso 2. Determinar las sentencias. #n 72, entre l modo de con%ig$rci&n glo(l. Cree $n *C. nom(rd con l denominci&n )=J*CC#SS medinte el comndo ip access8 list standard ,3>ACC/''. Ingresr l modo de con%ig$rci&n de *C.. Tods ls sentencis permit y deny se con%ig$rn desde este modo de con%ig$rci&n. ?enieg$e el tr%ico desde el host 192.1!0.20.120 con l opci&n 6ost. Permit todo el tr%ico restnte con permit an:. Con%ig$re l sig$iente *C. nom(rd en 72- R3(config)#ip access-list standard NO_A!"" R3(config-std-nacl)#deny #ost 192.168.$0.128 R3(config-std-nacl)#permit any Paso +. Aplicar las sentencias a la interfa# correcta. #n 72, ingrese l modo de con%ig$rci&n pr l inter%5 A0@0. #;ec$te el comndo ip access8group ,3>ACC/'' in pr plicr l *C. nom(rd entrnte en l inter%5. #ste comndo hce 4$e todo el tr%ico 4$e ingres l inter%5 A0@0 desde l .*) 192.1!0.20.0@21 se compre con l *C.. Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin / de ! Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco. CC)* #+plortion *cceso l ,*)- .s *C. *cti"idd del PT /.2.0- Con%ig$rci&n de ls *C. estndr R3(config)#interface fa0/0 R3(config-if)#ip access-group NO_A!"" in Paso -. 5erificar : pro!ar las ACL. Kg clic en 5erificar resultados y l$ego en Prue!as de conectividad. .s sig$ientes pr$e(s de(en %llr- PC1 PC2 PC2 l host e+terno PC2 l ser"idor ,e( Todos los pings desde PC1 y hci <st, e+cepto entre PC2 y PC1 Paso 5. 5erificar los resultados. S$ porcent;e de %inli5ci&n de(e ser del 100I. ?e lo contrrio, hg clic en 5erificar resultados pr o(ser"r 4$< componentes re4$eridos 'n no se hn completdo. Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Pgin ! de ! Todos los derechos reser"dos. #ste doc$mento es in%ormci&n p'(lic de Cisco.