Aquesta pràctica és sobre aprenentage d'ACL de Cisco, és molt important així que la faré pas a pas:
Configurar ACL extendidas y numeradas
Paso 1. Determinar las máscaras wildcard.
Para que la subred completa de 192.168.10.0/24 coincida, la máscara wildcard es 0.0.0.255.
Paso 2. Configurar la primera ACL extendida para R1.
Configure la primera ACL con el número 110:
En primer lugar, se debe bloquear Telnet a cualquier ubicación para todas las direcciones IP en la red 192.168.10.0/24.:
R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet
A continuación, bloquee todas las direcciones IP en la red 192.168.10.0/24 del acceso TFTP al host en 192.168.20.254:
R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp
Permita el resto del tráfico:
R1(config)#access-list 110 permit ip any any
Paso 3. Configurar la segunda ACL extendida para R1.
Configure la segunda ACL con el número 111. Permita WWW al host en 192.168.20.254 para cualquier dirección IP en la red 192.168.11.0/24:
R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www
A continuación, permita TFTP al host en 192.168.20.254 para cualquier dirección IP en la red 192.168.11.0/24:
R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp
Bloquee el resto del tráfico de la red 192.168.11.0/24 a la red 192.168.20.0/24:
R1(config)#access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255
Por último, permita cualquier otro tráfico. Esta sentencia garantiza que no se bloquee el tráfico proveniente de otras redes.
R1(config)#access-list 111 permit ip any any
Paso 4. Verificar las configuraciones de ACL:
Paso 5. Aplicar las sentencias a las interfaces.
Para aplicar una ACL a una interfaz, ingrese al modo de configuración de interfaz para esa interfaz.
Configure el comando ip access-group access-list-number {in | out} para aplicar la ACL a la interfaz.
Cada ACL filtra el tráfico entrante. Aplique la ACL 110 a Fast Ethernet 0/0 y la ACL 111 a Fast Ethernet 0/1:
R1(config)#interface fa0/0
R1(config-if)#ip access-group 110 in
R1(config-if)#interface fa0/1
R1(config-if)#ip access-group 111 in
Paso 6. Probar las ACL configuradas en R1.
Ahora que las ACL se configuraron y aplicaron, es muy importante comprobar que el tráfico esté bloqueado o permitido según lo previsto:
- Desde la PC1, intente obtener acceso Telnet a cualquier dispositivo. Esto debe estar bloqueado.
- Desde la PC1, intente acceder al servidor Web/TFTP corporativo a través de HTTP. Esto debe estar permitido.
- Desde la PC2, intente acceder al servidor Web/TFTP a través de HTTP. Esto debe estar permitido.
- Desde la PC2, intente acceder al servidor Web externo a través de HTTP. Esto debe estar permitido.
Configurar una ACL extendida y numerada para R3
Paso 1. Determinar la máscara wildcard:
La política de acceso para la mitad inferior de las direcciones IP en la red 192.168.30.0/24 requiere:
- Denegar el acceso a la red 192.168.20.0/24.
- Permitir el acceso al resto de los destinos.
La mitad superior de las direcciones IP en la red 192.168.30.0/24 tiene las siguientes restricciones:
- Permitir el acceso a 192.168.10.0 y 192.168.11.0.
- Denegar el acceso a 192.168.20.0.
- Permitir el acceso Web e ICMP al resto de las ubicaciones.
Para determinar la máscara wildcard, considere qué bits deben verificarse para que la ACL coincida con las direcciones IP 0–127 (mitad inferior) o 128–255 (mitad superior).
Recuerde que una manera de determinar la máscara wildcard es restar la máscara de red normal de 255.255.255.255. La máscara normal para las direcciones IP 0–127 y 128–255 para una dirección de
clase C es 255.255.255.128. Mediante el método de sustracción, a continuación se muestra la máscara wildcard correcta:
255.255.255.255
– 255.255.255.128
------------------
0. 0. 0.127
Paso 2. Configurar la ACL extendida en R3.
En R3, ingrese al modo de configuración global y configure la ACL con 130 como el número de lista de acceso.
La primera sentencia bloquea el acceso de la 192.168.30.0/24 a todas las direcciones en la red 192.168.20.0/24:
R3(config)#access-list 130 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
La segunda sentencia permite que la mitad inferior de la red 192.168.30.0/24 acceda a cualquier otro destino:
R3(config)#access-list 130 permit ip 192.168.30.0 0.0.0.127 any
Las sentencias restantes permiten explícitamente que la mitad superior de la red 192.168.30.0/24 acceda a las redes y los servicios que permite la política de red:
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.10.0 0.0.0.255
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255
R3(config)#access-list 130 permit tcp 192.168.30.128 0.0.0.127 any eq www
R3(config)#access-list 130 permit icmp 192.168.30.128 0.0.0.127 any
R3(config)#access-list 130 deny ip any any
Paso 3. Aplicar las sentencias a la interfaz.
R3(config)#interface fa0/0
R3(config-if)#ip access-group 130 in
Paso 4. Verificar y probar las ACL.
Configurar una ACL extendida y nombrada
Paso 1. Configurar una ACL extendida y nombrada en R2.
Configure una ACL nombrada con la denominación FIREWALL en R2 mediante el comando ip access-list extended name. Este comando coloca al router en modo de configuración de ACL extendida y
nombrada. Observe el indicador del router cambiado.
R2(config)#ip access-list extended FIREWALL
R2(config-ext-nacl)#
En el modo de configuración de ACL, agregue las sentencias para filtrar el tráfico tal como se describe
en la política:
- Los hosts externos pueden establecer una sesión de Web con el servidor Web interno únicamente en el puerto 80.
- Sólo se permiten las sesiones TCP establecidas.
- Las respuestas de ping se permiten a través de R2.
R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#permit icmp any any echo-reply
R2(config-ext-nacl)#deny ip any any
Paso 2. Aplicar las sentencias a la interfaz.
Utilice el comando ip access-group name {in | out} para aplicar la ACL entrante en la interfaz opuesta al ISP del R2.
R3(config)#interface s0/1/0
R3(config-if)#ip access-group FIREWALL in
Paso 3. Verificar y probar las ACL.
No hay comentarios:
Publicar un comentario