Академический Документы
Профессиональный Документы
Культура Документы
1:
Listas de control de acceso bsicas
Tabla de direccionamiento
Mscara de Gateway
Dispositivo Interfaz Direccin IP
subred predeterminada
Fa0/0 192.168.10.1 255.255.255.0 No aplicable
R1 Fa0/1 192.168.11.1 255.255.255.0 No aplicable
S0/0/0 10.1.1.1 255.255.255.252 No aplicable
Fa0/0 192.168.20.1 255.255.255.0 No aplicable
S0/0/0 10.1.1.2 255.255.255.252 No aplicable
R2
S0/0/1 10.2.2.1 255.255.255.252 No aplicable
Lo0 209.165.200.225 255.255.255.224 No aplicable
Fa0/0 192.168.30.1 255.255.255.0 No aplicable
R3
S0/0/1 10.2.2.2 255.255.255.252 No aplicable
S1 VLAN 1 192.168.10.2 255.255.255.0 192.168.10.1
S2 VLAN 1 192.168.11.2 255.255.255.0 192.168.11.1
S3 VLAN 1 192.168.30.2 255.255.255.0 192.168.30.1
PC1 NIC 192.168.10.10 255.255.255.0 192.168.10.1
PC2 NIC 192.168.11.10 255.255.255.0 192.168.11.1
PC3 NIC 192.168.30.10 255.255.255.0 192.168.30.1
Servidor
NIC 192.168.20.254 255.255.255.0 192.168.20.1
Web
Configure los nombres de host para que coincidan con el diagrama de topologa.
Desactive la bsqueda DNS.
Configure la contrasea secreta de modo EXEC enclass.
Configure un ttulo de mensaje del da
Configure la contrasea cisco para las conexiones de consola.
Configure la contrasea cisco para las conexiones de vty.
Configure mscaras y direcciones IP en todos los dispositivos. La frecuencia de reloj
es 64 000.
Habilite OSPF mediante el ID de proceso 1 en todos los routers para todas las
redes.(router ospf 1 i posar les tres interficies del router)
Configure direcciones IP para la interfaz VLAN 1 en cada switch.
Configure cada switch con la gateway predeterminada apropiada.
Verifique la conectividad IP completa mediante el comando ping.
Tarea 2: Configurar una ACL estndar
Las ACL estndar pueden filtrar el trfico segn la direccin IP de origen nicamente. En esta
tarea, se configura una ACL estndar que bloquea el trfico desde la red 192.168.11.0 /24.
Esta ACL se aplicar en direccin entrante en la interfaz serial del R3. Recuerde que cada ACL
tiene un deny all implcito, por lo cual todo el trfico que no tiene coincidencia con una
sentencia en la ACL queda bloqueado. Por esta razn, agregue la sentencia permit any al final
de la ACL.
En el modo de configuracin global, cree una ACL estndar nombrada, llamada std-1.
En el modo de configuracin de ACL estndar, agregue una sentencia que deniegue cualquier
paquete con una direccin de origen de 192.168.11.0 /24 e imprima un mensaje a la consola
por cada paquete coincidente.
R3(config-std-nacl)#permit any
Aplique la ACL std-1 como filtro en los paquetes que ingresan al R3 a travs de la interfaz
serial 0/0/1.
Pruebe la ACL haciendo ping desde la PC2 a la PC3. Debido a que la ACL est diseada para
bloquear el trfico con direcciones de origen de la red 192.168.11.0 /24, la PC2 (192.168.11.10)
no debe poder hacer ping a la PC3.
Una poltica adicional para esta red establece que los dispositivos de la LAN
192.168.10.0/24 slo tienen permitido alcanzar redes internas. Las computadoras en esta
LAN no pueden acceder a Internet. Por lo tanto, estos usuarios deben tener bloqueada la
posibilidad de alcanzar la direccin IP 209.165.200.225. Debido a que este requisito debe
imponer tanto el origen como el destino, se necesita una ACL extendida.
En esta tarea, se configura una ACL extendida en R1 que bloquea el acceso del trfico
que se origina en cualquier dispositivo de la red 192.168.10.0 /24 al host 209.165.200.255
Esta ACL se aplicar en direccin saliente en la interfaz Serial 0/0/0 del R1.
En el modo de configuracin global, cree una ACL estndar nombrada, llamada extend-1.
Observe que el indicador del router cambia para sealar que ahora se encuentra en el
modo de configuracin de ACL. Desde este indicador, agregue las sentencias necesarias
para bloquear el trfico desde la red 192.168.10.0 /24 al host. Use la palabra
clave host cuando defina el destino.
Recuerde que el deny all implcito bloquea el resto del trfico sin la sentencia
adicional permit. Agregue la sentencia permitpara asegurarse de que no se bloquee otro
trfico.
Con las ACL estndar, lo ms conveniente es ubicar a la ACL lo ms cerca posible del
destino. Las ACL extendidas normalmente se colocan cerca del origen. La ACL extend-
1 se coloca en la interfaz serial y filtra el trfico saliente.
Desde la PC1 o cualquier otro dispositivo en la red 192.168.10.0 /24, haga ping a la
interfaz loopback en R2. Estos pings deben fallar porque todo el trfico proveniente de la
red 192.168.10.0 /24 se filtra cuando el destino es 209.165.200.225. Si el destino es
cualquier otra direccin, los pings deben tener xito. Confirme esto haciendo ping al R3
desde el dispositivo de red 192.168.10.0 /24.
Deben aparecer coincidencias para ambas reglas de la ACL. Esto se debe a que el ping de
la PC1 a la interfaz loopback del R2 se deneg, mientras que el ping al R3 se acept.
Configure una ACL estndar nombrada en R2 que permita el trfico desde 10.2.2.0 /29 y
192.168.30.0 /24. Debe denegarse todo el trfico restante. Denomine a la ACL Task-4.
R2(config)#line vty 0 15
Utilice el comando access-class para aplicar la ACL a las lneas vty en direccin entrante.
Observe que esto difiere del comando que se utiliza para aplicar las ACL a otras interfaces.
R2(config-line)#access-class Task-4 in
Haga telnet a R2 desde R1. Observe que R1 no tiene direcciones IP en el rango de direccin
mencionado en las sentencias de permiso de la ACL Task-4. Los intentos de conexin deben
fallar.
Por qu los intentos de conexin desde otras redes fallan aunque no se enumeren
especficamente en la ACL? Por la Vlan
En una tarea anterior, se cre y aplic una ACL estndar nombrada en R3. Utilice el
comando show running-configpara visualizar la ACL y su ubicacin. Debe observar que una
ACL llamada std-1 se configur y aplic en direccin entrante en la interfaz Serial 0/0/1.
Recuerde que esta ACL se dise para bloquear el acceso del trfico de red con una direccin
de origen de la red 192.168.11.0 /24 a la LAN en R3.
Para eliminar la ACL, ingrese al modo de configuracin de interfaz para Serial 0/0/1 en R3.
Use el comando show running-config para confirmar que la ACL se haya eliminado de la
Serial 0/0/1.
Pruebe la ACL haciendo ping desde la PC2 a la PC3. Como alternativa, use un ping extendido
desde R1. Observe que esta vez los pings tienen xito y los contadores de la ACL no
aumentan. Es posible confirmarlo mediante el comando show ip access-list en R3.
Despus de que expiran los temporizadores muertos de OSPF, deben verse mensajes
impresos en las consolas de R1 y R2 similares a los siguientes
*Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1 on
Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired