Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL
Dispositivo | Interfaz | Dirección IP | Máscara de subred | Gateway predeterminado |
HQ | G0/1 | 192.168.1.1 | 255.255.255.0 | N/A |
S0/0/1 | 10.1.1.2 | 255.255.255.252 | N/A | |
Lo0 | 192.168.4.1 | 255.255.255.0 | N/A | |
ISP | G0/1 | 192.168.3.1 | 255.255.255.0 | N/A |
S0/0/0 (DCE) | 10.1.1.1 | 255.255.255.252 | N/A | |
S1 | VLAN 1 | 192.168.1.11 | 255.255.255.0 | 192.168.1.1 |
S3 | VLAN 1 | 192.168.3.11 | 255.255.255.0 | 192.168.3.1 |
PC-A | NIC | 192.168.1.3 | 255.255.255.0 | 192.168.1.1 |
PC-C | NIC | 192.168.3.3 | 255.255.255.0 | 192.168.3.1 |
Parte 1: armar la red y configurar los parámetros básicos de los dispositivos
Parte 2: resolver problemas de acceso interno
Parte 3: resolver problemas de acceso remoto
Una lista de control de acceso (ACL) es una serie de comandos de IOS que proporcionan un filtrado de tráfico básico en un router Cisco. Las ACL se usan para seleccionar los tipos de tráfico que se deben procesar. Cada instrucción de ACL individual se denomina “entrada de control de acceso” (ACE). Las ACE en la ACL se evalúan de arriba abajo, y al final de la lista hay una ACE deny all implícita. Las ACL también controlan los tipos de tráfico entrante y saliente de una red según los hosts o las redes de origen y destino. Para procesar el tráfico deseado correctamente, la ubicación de las ACL es fundamental.
En esta práctica de laboratorio, una pequeña empresa acaba de agregar un servidor web a la red para permitir que los clientes tengan acceso a información confidencial. La red de la empresa se divide en dos zonas: zona de red corporativa y zona perimetral (DMZ). La zona de red corporativa aloja los servidores privados y los clientes internos. La DMZ aloja el servidor web al que se puede acceder de forma externa (simulado por Lo0 en HQ). Debido a que la empresa solo puede administrar su propio router HQ, todas las ACL deben aplicarse al router HQ.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos.
Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
En la parte 1, establecerá la topología de la red y configurará los routers y los switches con algunos parámetros básicos, como contraseñas y direcciones IP. También se proporcionan configuraciones predefinidas para la configuración inicial del router. Además, configurará los parámetros de IP de las computadoras en la topología.
Las credenciales de usuario local se configuran para acceder al servidor web simulado (192.168.4.1).
HQ(config)# ip http server
HQ(config)# username admin privilege 15 secret adminpass
HQ(config)# ip http authentication local
Se le proporcionan las configuraciones de los routers ISP y HQ. Estas configuraciones contienen errores, y su trabajo es determinar las configuraciones incorrectas y corregirlas.
Router ISP
hostname ISP
interface GigabitEthernet0/1
ip address 192.168.3.1 255.255.255.0
no shutdown
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 128000
no shutdown
router eigrp 1
network 10.1.1.0 0.0.0.3
network 192.168.3.0
no auto-summary
end
Router HQ
hostname HQ
interface Loopback0
ip address 192.168.4.1 255.255.255.0
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip access-group 101 out
ip access-group 102 in
no shutdown
interface Serial0/0/1
ip address 10.1.1.2 255.255.255.252
ip access-group 121 in
no shutdown
router eigrp 1
network 10.1.1.0 0.0.0.3
network 192.168.1.0
network 192.168.4.0
no auto-summary
access-list 101 permit ip 192.168.11.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 102 permit tcp any any established
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any unreachable
access-list 102 deny ip any any
access-list 121 permit tcp any host 192.168.4.1 eq 89
access-list 121 deny icmp any host 192.168.4.11
access-list 121 deny ip 192.168.1.0 0.0.0.255 any
access-list 121 deny ip 127.0.0.0 0.255.255.255 any
access-list 121 deny ip 224.0.0.0 31.255.255.255 any
access-list 121 permit ip any any
access-list 121 deny ip any any
end
En la parte 2, se examinan las ACL en el router HQ para determinar si se configuraron correctamente.
La ACL 101 se implementa para limitar el tráfico saliente de la zona de red corporativa. Esta zona solo aloja clientes internos y servidores privados. Solo la red 192.168.1.0/24 puede salir de esta zona de red corporativa.
HQ# show access-lists 101
Extended IP access list 101
10 permit ip 192.168.11.0 0.0.0.255 any
20 deny ip any any
Sí. La ACL 101 permite la red 192.168.11.0 /24 en lugar de la red 192.168.1.0 /24.
____________________________________________________________________________________
HQ# show ip interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.1.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is 101
Inbound access list is 102
¿El sentido de la ACL 101 en la interfaz G0/1 está configurado correctamente?
No. El sentido de la ACL 101 debe ser de entrada al router.
____________________________________________________________________________________
HQ(config)# no access-list 101
HQ(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any
HQ(config)# access-list 101 deny ip any any
HQ(config)# interface g0/1
HQ(config-if)# ip access-group 101 in
____________________________________________________________________________________
La ACL 102 se implementa para limitar el tráfico entrante a la red corporativa. No se permite el acceso de tráfico que se origina en redes externas a la red corporativa. Se permite el acceso de tráfico remoto a la red corporativa si el tráfico establecido se originó en la red interna. Se permiten mensajes de respuesta ICMP para fines de resolución de problemas.
HQ# show access-lists 102
Extended IP access list 102
10 permit tcp any any established
20 permit icmp any any echo-reply
30 permit icmp any any unreachable
40 deny ip any any (57 matches)
no
____________________________________________________________________________________
HQ# show ip interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.1.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is 101
Inbound access list is 101
Sí. La ACL 101 está configurada como ACL saliente, y debería ser la ACL 102.
____________________________________________________________________________________
HQ(config)# interface g0/1
HQ(config-if)# ip access-group 102 out
_____________________________________________________________________________
En la parte 3, se configuró la ACL 121 para prevenir los ataques de suplantación de identidad provenientes de redes externas y para permitir solo el acceso HTTP remoto al servidor web (192.168.4.1) en la DMZ.
HQ# show ip access-lists 121
Extended IP access list 121
10 permit tcp any host 192.168.4.1 eq 89
20 deny icmp any host 192.168.4.11
30 deny ip 192.168.1.0 0.0.0.255 any
40 deny ip 127.0.0.0 0.255.255.255 any
50 deny ip 224.0.0.0 31.255.255.255 any
60 permit ip any any (354 matches)
70 deny ip any any
¿Existe algún problema en esta ACL?
Sí. El número de puerto en la línea 10 debe ser 80. La dirección host en la línea 20 debe ser 192.168.4.1 para el servidor web.
____________________________________________________________________________________
HQ# show ip interface s0/0/1
Serial0/0/1 is up, line protocol is up
Internet address is 10.1.1.2/30
Broadcast address is 255.255.255.255
<Output Omitted>
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is not set
Inbound access list is 121
¿Existe algún problema con la aplicación de esta ACL?
No. Está aplicada como de entrada en S0/0/1.
____________________________________________________________________________________
HQ(config)# no access-list 121
HQ(config)# access-list 121 permit tcp any host 192.168.4.1 eq 80
HQ(config)# access-list 121 deny icmp any host 192.168.4.1
HQ(config)# access-list 121 deny ip 192.168.1.0 0.0.0.255 any
HQ(config)# access-list 121 deny ip 127.0.0.0 0.255.255.255 any
HQ(config)# access-list 121 deny ip 224.0.0.0 31.255.255.255 any
HQ(config)# access-list 121 permit ip any any
HQ(config)# access-list 121 deny ip any any
____________________________________________________________________________________
El orden debería ser de lo específico a lo general, dado que la ACL se ejecuta de arriba abajo, en orden secuencial. Cuando una condición es verdadera, el procesamiento en la lista se detiene y no se realiza ninguna otra comparación.
_______________________________________________________________________________________
Se aplicaría una instrucción deny any predeterminada. Se debe tener cuidado al eliminar una ACL aplicada a una interfaz activa.
_______________________________________________________________________________________
Resumen de interfaces del router | ||||
Modelo de router | Interfaz Ethernet #1 | Interfaz Ethernet n.º 2 | Interfaz serial #1 | Interfaz serial n.º 2 |
1800 | Fast Ethernet 0/0 (F0/0) | Fast Ethernet 0/1 (F0/1) | Serial 0/0/0 (S0/0/0) | Serial 0/0/1 (S0/0/1) |
1900 | Gigabit Ethernet 0/0 (G0/0) | Gigabit Ethernet 0/1 (G0/1) | Serial 0/0/0 (S0/0/0) | Serial 0/0/1 (S0/0/1) |
2801 | Fast Ethernet 0/0 (F0/0) | Fast Ethernet 0/1 (F0/1) | Serial 0/1/0 (S0/1/0) | Serial 0/1/1 (S0/1/1) |
2811 | Fast Ethernet 0/0 (F0/0) | Fast Ethernet 0/1 (F0/1) | Serial 0/0/0 (S0/0/0) | Serial 0/0/1 (S0/0/1) |
2900 | Gigabit Ethernet 0/0 (G0/0) | Gigabit Ethernet 0/1 (G0/1) | Serial 0/0/0 (S0/0/0) | Serial 0/0/1 (S0/0/1) |
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de Cisco para representar la interfaz. |
Configuraciones de dispositivos
Router ISP
ISP#show run
Building configuration...
Current configuration : 1423 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ISP
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
no aaa new-model
memory-size iomem 10
!
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
!
!
router eigrp 1
network 10.1.1.0 0.0.0.3
network 192.168.3.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
control-plane
!
!
!
line con 0
password cisco
logging synchronous
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
scheduler allocate 20000 1000
!
end
Router HQ (corregido)
HQ# show run
Building configuration...
Current configuration : 2292 bytes
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HQ
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
no aaa new-model
memory-size iomem 15
!
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 4 QHjxdsVkjtoP7VxKIcPsLdTiMIvyLkyjT1HbmYxZigc
!
!
interface Loopback0
ip address 192.168.4.1 255.255.255.0
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
ip access-group 102 out
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
!shutdown
!
interface Serial0/0/1
ip address 10.1.1.2 255.255.255.252
ip access-group 121 in
!
interface Serial0/0/1
no ip address
!shutdown
!
router eigrp 1
network 10.1.1.0 0.0.0.3
network 192.168.1.0
network 192.168.4.0
!
ip forward-protocol nd
!
ip http server
ip http authentication local
no ip http secure-server
!
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 102 permit tcp any any established
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any unreachable
access-list 102 deny ip any any
access-list 121 permit tcp any host 192.168.4.1 eq www
access-list 121 deny icmp any host 192.168.4.1
access-list 121 deny ip 192.168.1.0 0.0.0.255
access-list 121 deny ip 127.0.0.0 0.255.255.255
access-list 121 deny ip 224.0.0.0 31.255.255.255
access-list 121 permit ip any any
access-list 121 deny ip any any
!
!
!
control-plane
!
!
!
line con 0
password cisco
logging synchronous
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
scheduler allocate 20000 1000
!
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página de