Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • CCNA Guia Practica 8

    Cargado por

    Andy
    97 vistas5 páginas
    Este documento presenta una guía de laboratorio sobre listas de control de acceso extendidas. La guía incluye 10 pasos para configurar ACLs en 3 routers y 3 PCs conectadas en una red. Los estudiantes aprenderán a crear ACLs para filtrar el tráfico Telnet, restringir ping y permitir acceso a un servidor web solo desde ciertas direcciones IP.

    Descripción original:

    Pack de Guias Practicas para ejercitarte en el mundo de las Redes.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento presenta una guía de laboratorio sobre listas de control de acceso extendidas. La guía incluye 10 pasos para configurar ACLs en 3 routers y 3 PCs conectadas en una red. Los estudiantes aprenderán a crear ACLs para filtrar el tráfico Telnet, restringir ping y permitir acceso a un servidor web solo desde ciertas direcciones IP.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    97 vistas5 páginas

    CCNA Guia Practica 8

    Cargado por

    Andy
    Este documento presenta una guía de laboratorio sobre listas de control de acceso extendidas. La guía incluye 10 pasos para configurar ACLs en 3 routers y 3 PCs conectadas en una red. Los estudiantes aprenderán a crear ACLs para filtrar el tráfico Telnet, restringir ping y permitir acceso a un servidor web solo desde ciertas direcciones IP.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    UNIVERSIDAD DON BOSCO

    FACULTAD DE ESTUDIOS TECNOLGICOS


    COORDIANCIN DE COMPUTACIN
    GUIA DE LABORATORIO # 8

    Nombre de la Prctica: Listas de Control de Acceso Extendidas


    CICLO: 02-2012

    Lugar de Ejecucin: CITT, Edificio de Electrnica, Laboratorio de Redes


    Tiempo Estimado: 2 horas 30 minutos
    Materia: Redes de rea Amplia

    I. OBJETIVOS

    Crear listas de control de acceso extendidas

    Poder ubicar las listas de control de acceso en el router


    II. MATERIALES Y EQUIPO

    Estacin de trabajo PC.


    Simulador de Red
    Gua de laboratorio
    III. PROCEDIMIENTO

    1. Armar la siguiente topologa en el simulador (En este caso utilizaremos la misma topologa de la gua 7).

    NOTA: En esta configuracin las dos interfaces del Router2 usan cables DTE
    2. Configuracin de los routers
    FET, Redes de rea Amplia ciclo 2-2012

    a) Router1
    - Nombre de host: BORDE
    - Contrasea de privilegiado encriptada: class
    - Contrasea de terminales virtuales: ciscotel
    - Direccin y mscara de F0/0: 200.100.50.1 /24
    - Direccin y mscara de S0/0: 204.204.7.1/30
    b) Router2
    - Nombre de host: CENTRO
    - Contrasea de privilegiado encriptada: class
    - Contrasea de terminales virtuales: ciscotel
    - Direccin y mscara de F0/0: 206.93.105.1 /24
    - Direccin y mscara de S0/0: 204.204.7.2/30
    - Direccin y mscara de S0/1: 201.100.11.1/30
    c) Router3
    - Nombre de host: EXTREMO
    - Contrasea de privilegiado encriptada: cisco
    - Contrasea de terminales virtuales: ciscotel
    - Direccin y mscara de F0/0: 199.6.13.1 /24
    - Direccin y mscara de S0/0: 201.100.11.2/30
    3. Configuracin de las estaciones de trabajo
    a) PC-1: Direccin ip: 200.100.50.2, mscara de subred: 255.255.255.0, gateway: 200.100.50.1
    b) PC-2: Direccin ip: 206.93.105.2, mscara de subred: 255.255.255.0, gateway: 206.93.105.1
    c) PC-3: Direccin ip: 199.6.13.2, mscara de subred: 255.255.255.0, gateway: 199.6.13.1

    4. Configure RIPv2 en los tres enrutadores


    a) Use el comando show ip route para verificar que en cada router aparezcan las rutas en la tabla de
    enrutamiento
    b) Realizar pruebas de conectividad con ping y traceroute
    5. Almacenar los cambios hechos en la configuracin en la NVRAM
    6. En cualquier momento que quiera verificar el funcionamiento de una linea especfica de una ACL, utilice el
    comando show access-lists, el cual muestra las listas de control de accesso y las coincidencias (matches) en
    cada lnea.
    7. Configurar ACL's extendidas que denieguen las sesiones telnet desde cualquiera de las estaciones de trabajo
    (excepto de la PC-1) hacia BORDE. Cualquier otro tipo de trafico ser permitido.
    a) Opcin 1: Una sola ACL ubicada en BORDE (el trfico atravesar toda la red y ser detenido en la interfaz
    serial0/0 de BORDE).
    b) Configuracin y ubicacin de la ACL
    BORDE#configure terminal
    BORDE(config)#access-list 101 deny tcp any host 204.204.7.1 eq 23
    BORDE(config)#access-list 101 deny tcp any host 200.100.50.1 eq 23
    BORDE(config)#access-list 101 permit ip any any
    BORDE(config)#access-list 101 deny ip any any
    BORDE(config)#interface serial0/0
    BORDE(config-if)#ip access-group 101 in
    FET, Redes de rea Amplia ciclo 2-2012

    BORDE(config-if)#CTRL+Z
    c) Intentar establecer sesiones telnet desde las estaciones PC-2 y PC-3 con el router BORDE. Los intentos
    deben fallar, Verifique coincidencias. Solamente desde PC-1 podr establecer una conexin va telnet
    exitosamente.
    d) Desactivar la ACL de la interfaz serial0/0 de BORDE: BORDE(config-if)#no ip access-group 101 in
    e) Opcin 2: ACL's independientes en CENTRO y EXTREMO (el trfico ser detenido lo ms cerca posible
    del origen para no tener utilizacin innecesaria del ancho de banda en conexiones que sern denegadas).
    f) Configuracin y ubicacin de ACL en CENTRO
    CENTRO#configure terminal
    CENTRO(config)#access-list 102 deny tcp any host 204.204.7.1 eq 23
    CENTRO(config)#access-list 102 deny tcp any host 200.100.50.1 eq 23
    CENTRO(config)#access-list 102 permit ip any any
    CENTRO(config)#interface fastethernet0/0
    CENTRO(config-if)#ip access-group 102 in
    CENTRO(config-if)#CTRL+Z
    g) Configuracin y ubicacin de ACL en EXTREMO
    EXTREMO#configure terminal
    EXTREMO(config)#access-list 103 deny tcp any host 204.204.7.1 eq 23
    EXTREMO(config)#access-list 103 deny tcp any host 200.100.50.1 eq 23
    EXTREMO(config)#access-list 103 permit ip any any
    EXTREMO(config)#interface fastethernet0/0
    EXTREMO(config-if)#ip access-group 103 in
    EXTREMO(config-if)#CTRL+Z
    h) Nuevamente realizar pruebas intentando conectarse va telnet con BORDE. Las conexiones desde PC-2 y
    PC-3 deben fallar (Verificar coincidencias pero ahora en cada router cercano).
    i) Desactivar las ACL's de las interfaces fastethernet en los router CENTRO y EXTREMO
    8. Configurar ACL's extendidas que permitan filtrar trfico por tipo de servicios y por direccin IP de origen y
    destino.
    a) Restringir el ping a los host con ip par dentro de la red LAN de EXTREMO
    EXTREMO#configure terminal
    EXTREMO(config)#access-list 104 deny icmp any 199.6.13.0 0.0.0.254
    EXTREMO(config)#access-list 104 permit ip any any
    EXTREMO(config)#access-list 104 deny ip any any
    EXTREMO(config)#interface fastethernet0/0
    EXTREMO(config-if)#ip access-group 104 out
    EXTREMO(config-if)#CTRL+Z
    b) Realizar pruebas de ping con diferentes IP dentro de la red LAN de EXTREMO, las pruebas debern ser
    exitosas si el ping es dirigido a una ip par (Verificar coincidencias).
    c) Desactivar la ACL.
    d) Colocar un servidor WEB en la red de CENTRO y permitirle solo a las ltimas 3 IP de BORDE y
    EXTREMO que puedan acceder al servidor.
    FET, Redes de rea Amplia ciclo 2-2012

    BORDE#configure terminal
    BORDE(config)#access-list 105 permit tcp 200.100.50.252 0.0.0.3 any eq www
    BORDE(config)#access-list 105 deny ip any any
    BORDE(config)#interface fastethernet0/0
    BORDE(config-if)#ip access-group 105 in
    BORDE(config-if)#CTRL+Z
    EXTREMO#configure terminal
    EXTREMO(config)#access-list 106 permit tcp 199.6.13.252 0.0.0.3 any eq www
    EXTREMO(config)#access-list 106 deny ip any any
    EXTREMO(config)#interface fastethernet0/0
    EXTREMO(config-if)#ip access-group 106 in
    EXTREMO(config-if)#CTRL+Z
    e) Realizar pruebas de navegacin con diferentes ip desde cada red hacia el servidor web (Verificar
    coincidencias).
    f) Desactivar las ACL's
    9. Ejemplo de control de las lneas vty de CENTRO en una forma tradicional (no practica). Solo se permitirn las
    sesiones telnet iniciadas en la red correspondiente a la PC-2. Las redes a las que pertenecen las estaciones PC1 y PC-3 sern denegadas. Todo el dems trfico (que no sea telnet) ser permitido.
    a) Configuracin de la ACL en CENTRO
    CENTRO#configure terminal
    CENTRO(config)#access-list 104 deny tcp 200.100.50.0 0.0.0.255 host 204.204.7.2 eq 23
    CENTRO(config)#access-list 104 deny tcp 200.100.50.0 0.0.0.255 host 201.100.11.1 eq 23
    CENTRO(config)#access-list 104 deny tcp 200.100.50.0 0.0.0.255 host 206.93.105.1 eq 23
    CENTRO(config)#access-list 104 deny tcp 199.6.13.0 0.0.0.255 host 204.204.7.2 eq 23
    CENTRO(config)#access-list 104 deny tcp 199.6.13.0 0.0.0.255 host 201.100.11.1 eq 23
    CENTRO(config)#access-list 104 deny tcp 199.6.13.0 0.0.0.255 host 206.93.105.1 eq 23
    CENTRO(config)#access-list 104 permit ip any any
    CENTRO(config)#access-list 104 deny ip any any
    b) Ubicacin de la ACL
    CENTRO(config)#interface serial0/0
    CENTRO(config-if)#ip access-group 104 in
    CENTRO(config-if)#exit
    CENTRO(config)#interface serial0/1
    CENTRO(config-if)#ip access-group 104 in
    CENTRO(config-if)#CTRL+Z
    c) Realizar la pruebas necesarias para verificar el funcionamiento deseado de la ACL. Solo la PC-2 podr
    exitosamente administrar CENTRO va telnet (Verificar coincidencias).
    d) Desactivar las ACL's

    10. Crear una ACL que deniegue el trfico de correo electrnico, ping y TFTP desde la red 200.100.50.0 hacia la
    red 199.6.13.2, pero que permita el resto de trfico.
    a) Colocar la lista la ms cerca del destino, router BORDE.
    BORDE(config)#access-list 111 deny tcp 200.100.50.0 0.0.0.255 199.6.13.0 0.0.0.255 eq 25
    BORDE(config)#access-list 111 deny icmp 200.100.50.0 0.0.0.255 199.6.13.0 0.0.0.255
    FET, Redes de rea Amplia ciclo 2-2012

    BORDE(config)#access-list 111 deny udp 200.100.50.0 0.0.0.255 199.6.13.0 0.0.0.255 eq 69


    BORDE(config)#access-list 111 permit any any
    BORDE(config)#access-list 111 deny any any
    BORDE(config)#interface fastethernet0/0
    BORDE(config-if)#ip access-group 111 in
    b) Probar la lista, para ellos puede colocar un servidor TFTP en la red LAN 199.6.13.0 y hacer pruebas de
    copiar el archivo de configuracin de los router, tambin puede hacer pruebas de ping, y colocar un
    servidor WEB para comprobar que este trfico si es permitido.
    c) Desactivar las ACL's

    FET, Redes de rea Amplia ciclo 2-2012

    También podría gustarte