entrega dels corresponents treballs i exercici 4 de l'últim trimestre:
Han sigut 8 mesos d'intesses pràctiques, però hem après molt en elles.
Fins un altre cisco, saluts!
jueves, 29 de abril de 2010
jueves, 22 de abril de 2010
Pràctica 7.4.2 WANs
Pas per pas:
Excluir las direcciones asignadas en forma estática.
R1(config)#ip dhcp excluded-address 172.16.10.1 172.16.10.3
R1(config)#ip dhcp excluded-address 172.16.11.1 172.16.11.3
Configurar el pool de DHCP.
R1(config)#ip dhcp pool R1_LAN10
R1(dhcp-config)#network 172.16.10.0 255.255.255.0
R1(dhcp-config)#dns-server 172.16.20.254
R1(dhcp-config)#default-router 172.16.20.254
R1(config)#ip dhcp pool R1_LAN11
R1(dhcp-config)#network 172.16.11.0 255.255.255.0
R1(dhcp-config)#dns-server 172.16.20.254
R1(dhcp-config)#default-router 172.16.20.254
Configurar el enrutamiento estático y predeterminado
ISP(config)#ip route 209.165.201.0 255.255.255.224 serial 0/0/1
R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.201.2
R2(config)#router rip
R2(config-router)#default-information originate
Asignar una dirección IP pública en forma estática a una dirección IP privada.
R2(config)#ip nat inside source static 172.16.20.254 209.165.201.30
Especificar las interfaces NAT internas y externas.
R2(config)#interface serial 0/0/1
R2(config-if)#ip nat outside
R2(config-if)#interface fa0/0
R2(config-if)#ip nat inside
Configurar NAT dinámica con un conjunto de direcciones
Definir un conjunto de direcciones globales.
R2(config)#ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248
Crear una lista de control de acceso estándar para identificar qué direcciones internas se traducen.
R2(config)#ip access-list extended NAT_ACL
R2(config-ext-nacl)#permit ip 172.16.10.0 0.0.0.255 any
R2(config-ext-nacl)#permit ip 172.16.11.0 0.0.0.255 any
Establecer la traducción dinámica de origen.
R1(config)#ip nat inside source list NAT_ACL pool NAT_POOL
Especificar las interfaces NAT internas y externas.
R2(config)#interface serial 0/0/0
R2(config-if)#ip nat inside
I al final, després de molta estona, hem dono per vençut:
Pràctica 7.4.3 WANs
R2(config)#router rip
R2(config-router)#default-information originate
R2(config)#ip nat inside source list NAT_ACL pool NAT_POOL overload
Pràctica 7.2.8 WANs
Creació d'una ACL que permeti NAT, configurar la NAT estàtica i dinàmica i configurar el router del ISP amb la ruta estàtica
Pràctica 7.1.8 WANs
Configuració de dos routers per tal de que donin servei DHCP i comprovar la connectivitat amb els noms dels dominis creats al servidor DNS
Pràctica 7.5.3 WLANs
Configuració d'una xarxa on els dispositius no estan correctament configurats i hem de resoldre aquests problemes de configuració:
Pràctica 7.5.2 WLANs
Configuració de tres Switchs amb les seves VLAN's, seguretat de port, 3 routers i 4 PC's per tal de permetre la connectivitat entre ells.
miércoles, 21 de abril de 2010
Pràctica 5.5.1 ACLs
Configuració dels diferents dispositius i definició d'unes ACL's:
- Una ACL estàndard que bloquegi el tràfic de la xarxa 192.168.11.0/24.
- Una ACL estesa a R1 que bloquegi l'accés del tràfic que s'origina a qualsevol dispositiu de la xarxa.
- Una ACL estesa a R2 per permetre que els hosts de 2 xarxes accedeixin a les linies vty.
- Una ACL estàndard que bloquegi el tràfic de la xarxa 192.168.11.0/24.
- Una ACL estesa a R1 que bloquegi l'accés del tràfic que s'origina a qualsevol dispositiu de la xarxa.
- Una ACL estesa a R2 per permetre que els hosts de 2 xarxes accedeixin a les linies vty.
Pràctica 5.3.4
Aquesta pràctica és sobre aprenentage d'ACL de Cisco, és molt important així que la faré pas a pas:
Configurar ACL extendidas y numeradas
Paso 1. Determinar las máscaras wildcard.
Para que la subred completa de 192.168.10.0/24 coincida, la máscara wildcard es 0.0.0.255.
Paso 2. Configurar la primera ACL extendida para R1.
Configure la primera ACL con el número 110:
En primer lugar, se debe bloquear Telnet a cualquier ubicación para todas las direcciones IP en la red 192.168.10.0/24.:
R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet
A continuación, bloquee todas las direcciones IP en la red 192.168.10.0/24 del acceso TFTP al host en 192.168.20.254:
R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp
Permita el resto del tráfico:
R1(config)#access-list 110 permit ip any any
Paso 3. Configurar la segunda ACL extendida para R1.
Configure la segunda ACL con el número 111. Permita WWW al host en 192.168.20.254 para cualquier dirección IP en la red 192.168.11.0/24:
R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www
A continuación, permita TFTP al host en 192.168.20.254 para cualquier dirección IP en la red 192.168.11.0/24:
R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp
Bloquee el resto del tráfico de la red 192.168.11.0/24 a la red 192.168.20.0/24:
R1(config)#access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255
Por último, permita cualquier otro tráfico. Esta sentencia garantiza que no se bloquee el tráfico proveniente de otras redes.
R1(config)#access-list 111 permit ip any any
Paso 4. Verificar las configuraciones de ACL:
Paso 5. Aplicar las sentencias a las interfaces.
Para aplicar una ACL a una interfaz, ingrese al modo de configuración de interfaz para esa interfaz.
Configure el comando ip access-group access-list-number {in | out} para aplicar la ACL a la interfaz.
Cada ACL filtra el tráfico entrante. Aplique la ACL 110 a Fast Ethernet 0/0 y la ACL 111 a Fast Ethernet 0/1:
R1(config)#interface fa0/0
R1(config-if)#ip access-group 110 in
R1(config-if)#interface fa0/1
R1(config-if)#ip access-group 111 in
Paso 6. Probar las ACL configuradas en R1.
Ahora que las ACL se configuraron y aplicaron, es muy importante comprobar que el tráfico esté bloqueado o permitido según lo previsto:
- Desde la PC1, intente obtener acceso Telnet a cualquier dispositivo. Esto debe estar bloqueado.
- Desde la PC1, intente acceder al servidor Web/TFTP corporativo a través de HTTP. Esto debe estar permitido.
- Desde la PC2, intente acceder al servidor Web/TFTP a través de HTTP. Esto debe estar permitido.
- Desde la PC2, intente acceder al servidor Web externo a través de HTTP. Esto debe estar permitido.
Configurar una ACL extendida y numerada para R3
Paso 1. Determinar la máscara wildcard:
La política de acceso para la mitad inferior de las direcciones IP en la red 192.168.30.0/24 requiere:
- Denegar el acceso a la red 192.168.20.0/24.
- Permitir el acceso al resto de los destinos.
La mitad superior de las direcciones IP en la red 192.168.30.0/24 tiene las siguientes restricciones:
- Permitir el acceso a 192.168.10.0 y 192.168.11.0.
- Denegar el acceso a 192.168.20.0.
- Permitir el acceso Web e ICMP al resto de las ubicaciones.
Para determinar la máscara wildcard, considere qué bits deben verificarse para que la ACL coincida con las direcciones IP 0–127 (mitad inferior) o 128–255 (mitad superior).
Recuerde que una manera de determinar la máscara wildcard es restar la máscara de red normal de 255.255.255.255. La máscara normal para las direcciones IP 0–127 y 128–255 para una dirección de
clase C es 255.255.255.128. Mediante el método de sustracción, a continuación se muestra la máscara wildcard correcta:
255.255.255.255
– 255.255.255.128
------------------
0. 0. 0.127
Paso 2. Configurar la ACL extendida en R3.
En R3, ingrese al modo de configuración global y configure la ACL con 130 como el número de lista de acceso.
La primera sentencia bloquea el acceso de la 192.168.30.0/24 a todas las direcciones en la red 192.168.20.0/24:
R3(config)#access-list 130 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
La segunda sentencia permite que la mitad inferior de la red 192.168.30.0/24 acceda a cualquier otro destino:
R3(config)#access-list 130 permit ip 192.168.30.0 0.0.0.127 any
Las sentencias restantes permiten explícitamente que la mitad superior de la red 192.168.30.0/24 acceda a las redes y los servicios que permite la política de red:
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.10.0 0.0.0.255
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255
R3(config)#access-list 130 permit tcp 192.168.30.128 0.0.0.127 any eq www
R3(config)#access-list 130 permit icmp 192.168.30.128 0.0.0.127 any
R3(config)#access-list 130 deny ip any any
Paso 3. Aplicar las sentencias a la interfaz.
R3(config)#interface fa0/0
R3(config-if)#ip access-group 130 in
Paso 4. Verificar y probar las ACL.
Configurar una ACL extendida y nombrada
Paso 1. Configurar una ACL extendida y nombrada en R2.
Configure una ACL nombrada con la denominación FIREWALL en R2 mediante el comando ip access-list extended name. Este comando coloca al router en modo de configuración de ACL extendida y
nombrada. Observe el indicador del router cambiado.
R2(config)#ip access-list extended FIREWALL
R2(config-ext-nacl)#
En el modo de configuración de ACL, agregue las sentencias para filtrar el tráfico tal como se describe
en la política:
- Los hosts externos pueden establecer una sesión de Web con el servidor Web interno únicamente en el puerto 80.
- Sólo se permiten las sesiones TCP establecidas.
- Las respuestas de ping se permiten a través de R2.
R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#permit icmp any any echo-reply
R2(config-ext-nacl)#deny ip any any
Paso 2. Aplicar las sentencias a la interfaz.
Utilice el comando ip access-group name {in | out} para aplicar la ACL entrante en la interfaz opuesta al ISP del R2.
R3(config)#interface s0/1/0
R3(config-if)#ip access-group FIREWALL in
Paso 3. Verificar y probar las ACL.
Pràctica 5.2.8
Configuració d'ACL estàndard.
192.168.10.0/24 accedeix a totes les destinacions menys la xarxa 192.168.11.0
192.168.11.0/24 accedeix a totes les destinacions menys les xarxes connectades al ISP
192.168.30.0 pot accedir a totes les destinacions
192.168.30.128 només te accés fora de la LA
Suscribirse a:
Comentarios (Atom)