Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL

1. Topología

2. Tabla de direccionamiento

3. Objetivos

Parte 1: armar la red y configurar los parámetros básicos de los dispositivos

Parte 2: resolver problemas de acceso interno

Parte 3: resolver problemas de acceso remoto

4. Información básica/situación

Una lista de control de acceso (ACL) es una serie de comandos de IOS que proporcionan un filtrado de tráfico básico en un router Cisco. Las ACL se usan para seleccionar los tipos de tráfico que se deben procesar. Cada instrucción de ACL individual se denomina “entrada de control de acceso” (ACE). Las ACE en la ACL se evalúan de arriba abajo, y al final de la lista hay una ACE deny all implícita. Las ACL también controlan los tipos de tráfico entrante y saliente de una red según los hosts o las redes de origen y destino. Para procesar el tráfico deseado correctamente, la ubicación de las ACL es fundamental.

En esta práctica de laboratorio, una pequeña empresa acaba de agregar un servidor web a la red para permitir que los clientes tengan acceso a información confidencial. La red de la empresa se divide en dos zonas: zona de red corporativa y zona perimetral (DMZ). La zona de red corporativa aloja los servidores privados y los clientes internos. La DMZ aloja el servidor web al que se puede acceder de forma externa (simulado por Lo0 en HQ). Debido a que la empresa solo puede administrar su propio router HQ, todas las ACL deben aplicarse al router HQ.

• La ACL 101 se implementa para limitar el tráfico saliente de la zona de red corporativa. Esta zona aloja los servidores privados y los clientes internos (192.168.1.0/24). Ninguna otra red debe poder acceder a ella.
• La ACL 102 se usa para limitar el tráfico entrante a la red corporativa. A esa red solo pueden acceder las respuestas a las solicitudes que se originaron dentro de la red corporativa. Esto incluye solicitudes basadas en TCP de los hosts internos, como web y FTP. Se permite el acceso de ICMP a la red para fines de resolución de problemas, de forma que los hosts internos pueden recibir mensajes ICMP entrantes generados en respuesta a pings.
• La ACL 121 controla el tráfico externo hacia la DMZ y la red corporativa. Solo se permite el acceso de tráfico HTTP al servidor web DMZ (simulado por Lo0 en el R1). Se permite cualquier otro tráfico relacionado con la red, como EIGRP, desde redes externas. Además, se deniega el acceso a la red corporativa a las direcciones privadas internas válidas, como 192.168.1.0, las direcciones de loopback, como 127.0.0.0, y las direcciones de multidifusión, con el fin de impedir ataques malintencionados de usuarios externos a la red.

Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos.

Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.

5. Recursos necesarios

• 2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
• 2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
• 2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
• Cables Ethernet y seriales, como se muestra en la topología

1. armar la red y configurar los parámetros básicos de los dispositivos

En la parte 1, establecerá la topología de la red y configurará los routers y los switches con algunos parámetros básicos, como contraseñas y direcciones IP. También se proporcionan configuraciones predefinidas para la configuración inicial del router. Además, configurará los parámetros de IP de las computadoras en la topología.

1. realizar el cableado de red tal como se muestra en la topología.
2. configurar los equipos host.
3. inicializar y volver a cargar los routers y los switches según sea necesario.
4.  (optativo) configurar los parámetros básicos de cada switch.

1. Desactive la búsqueda del DNS.
2. Configure los nombres de host como se muestra en la topología.
3. Configure la dirección IP y el gateway predeterminado en la tabla de direccionamiento.
4. Asigne cisco como la contraseña de consola y la contraseña de vty.
5. Asigne class como la contraseña del modo EXEC privilegiado.
6. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.

5. configurar los parámetros básicos para cada router.

1. Desactive la búsqueda del DNS.
2. Configure los nombres de host como se muestra en la topología.
3. Asigne cisco como la contraseña de consola y la contraseña de vty.
4. Asigne class como la contraseña del modo EXEC privilegiado.
5. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.

6. Configure el acceso HTTP y las credenciales de usuario en el router HQ.

Las credenciales de usuario local se configuran para acceder al servidor web simulado (192.168.4.1).

HQ(config)# ip http server

HQ(config)# username admin privilege 15 secret adminpass

HQ(config)# ip http authentication local

7. cargar las configuraciones de los routers.

Se le proporcionan las configuraciones de los routers ISP y HQ. Estas configuraciones contienen errores, y su trabajo es determinar las configuraciones incorrectas y corregirlas.

Router ISP

hostname ISP

interface GigabitEthernet0/1

 ip address 192.168.3.1 255.255.255.0

 no shutdown

interface Serial0/0/0

 ip address 10.1.1.1 255.255.255.252

 clock rate 128000

 no shutdown

router eigrp 1

 network 10.1.1.0 0.0.0.3

 network 192.168.3.0

 no auto-summary

end

Router HQ

hostname HQ

interface Loopback0

 ip address 192.168.4.1 255.255.255.0

interface GigabitEthernet0/1

 ip address 192.168.1.1 255.255.255.0

 ip access-group 101 out

 ip access-group 102 in

 no shutdown

interface Serial0/0/1

 ip address 10.1.1.2 255.255.255.252

 ip access-group 121 in

 no shutdown

router eigrp 1

 network 10.1.1.0 0.0.0.3

 network 192.168.1.0

 network 192.168.4.0

 no auto-summary

access-list 101 permit ip 192.168.11.0 0.0.0.255 any

access-list 101 deny ip any any

access-list 102 permit tcp any any established

access-list 102 permit icmp any any echo-reply

access-list 102 permit icmp any any unreachable

access-list 102 deny ip any any

access-list 121 permit tcp any host 192.168.4.1 eq 89

access-list 121 deny icmp any host 192.168.4.11

access-list 121 deny ip 192.168.1.0 0.0.0.255 any

access-list 121 deny ip 127.0.0.0 0.255.255.255 any

access-list 121 deny ip 224.0.0.0 31.255.255.255 any

access-list 121 permit ip any any

access-list 121 deny ip any any

end

2. resolver problemas de acceso interno

En la parte 2, se examinan las ACL en el router HQ para determinar si se configuraron correctamente.

8. resolver problemas en la ACL 101.

La ACL 101 se implementa para limitar el tráfico saliente de la zona de red corporativa. Esta zona solo aloja clientes internos y servidores privados. Solo la red 192.168.1.0/24 puede salir de esta zona de red corporativa.

6. ¿Se puede hacer ping de la PC-A a su gateway predeterminado? ______________ no
7. Después de verificar que la PC-A esté configurada correctamente, examine el router HQ y vea el resumen de la ACL 101 para encontrar posibles errores de configuración. Introduzca el comando show access-lists 101.

HQ# show access-lists 101

Extended IP access list 101

    10 permit ip 192.168.11.0 0.0.0.255 any

    20 deny ip any any

8. ¿Existe algún problema en la ACL 101?

Sí. La ACL 101 permite la red 192.168.11.0 /24 en lugar de la red 192.168.1.0 /24.

____________________________________________________________________________________

9. Examine la interfaz del gateway predeterminado para la red 192.168.1.0 /24. Verifique que la ACL 101 esté aplicada en el sentido correcto en la interfaz G0/1. Introduzca el comando show ip interface g0/1.

HQ# show ip interface g0/1

GigabitEthernet0/1 is up, line protocol is up

  Internet address is 192.168.1.1/24

  Broadcast address is 255.255.255.255

  Address determined by setup command

  MTU is 1500 bytes

  Helper address is not set

  Directed broadcast forwarding is disabled

  Multicast reserved groups joined: 224.0.0.10

  Outgoing access list is 101

  Inbound  access list is 102

¿El sentido de la ACL 101 en la interfaz G0/1 está configurado correctamente?

No. El sentido de la ACL 101 debe ser de entrada al router.

____________________________________________________________________________________

10. Corrija los errores encontrados con respecto a la ACL 101 y verifique que el tráfico de la red 192.168.1.0 /24 puede salir de la red corporativa. Registre los comandos usados para corregir los errores.

HQ(config)# no access-list 101

HQ(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any

HQ(config)# access-list 101 deny ip any any

HQ(config)# interface g0/1

HQ(config-if)# ip access-group 101 in

____________________________________________________________________________________

11. Verifique que se pueda hacer ping de la PC-A a su interfaz de gateway predeterminado.

9. resolver problemas en la ACL 102.

La ACL 102 se implementa para limitar el tráfico entrante a la red corporativa. No se permite el acceso de tráfico que se origina en redes externas a la red corporativa. Se permite el acceso de tráfico remoto a la red corporativa si el tráfico establecido se originó en la red interna. Se permiten mensajes de respuesta ICMP para fines de resolución de problemas.

12. ¿Se puede hacer ping de la PC-A a la PC-C? ____________ no
13. Examine el router HQ y vea el resumen de la ACL 102 para encontrar posibles errores de configuración. Introduzca el comando show access-lists 102.

HQ# show access-lists 102

Extended IP access list 102

    10 permit tcp any any established

    20 permit icmp any any echo-reply

    30 permit icmp any any unreachable

    40 deny ip any any (57 matches)

14. ¿Existe algún problema en la ACL 102?

no

____________________________________________________________________________________

15. Verifique que la ACL 102 esté aplicada en el sentido correcto en la interfaz G0/1. Introduzca el comando show ip interface g0/1.

HQ# show ip interface g0/1

GigabitEthernet0/1 is up, line protocol is up

  Internet address is 192.168.1.1/24

  Broadcast address is 255.255.255.255

  Address determined by setup command

  MTU is 1500 bytes

  Helper address is not set

  Directed broadcast forwarding is disabled

  Multicast reserved groups joined: 224.0.0.10

  Outgoing access list is 101

  Inbound  access list is 101

16. ¿Existe algún problema con la aplicación de la ACL 102 a la interfaz G0/1?

Sí. La ACL 101 está configurada como ACL saliente, y debería ser la ACL 102.

____________________________________________________________________________________

17. Corrija los errores encontrados con respecto a la ACL 102. Registre los comandos usados para corregir los errores.

HQ(config)# interface g0/1

HQ(config-if)# ip access-group 102 out

 _____________________________________________________________________________

18. ¿Se puede hacer ping de la PC-A a la PC-C ahora? __________si

3. resolver problemas de acceso remoto

En la parte 3, se configuró la ACL 121 para prevenir los ataques de suplantación de identidad provenientes de redes externas y para permitir solo el acceso HTTP remoto al servidor web (192.168.4.1) en la DMZ.

19. Verifique que la ACL 121 esté configurada correctamente. Introduzca el comando show ip access-list 121.

HQ# show ip access-lists 121

Extended IP access list 121

    10 permit tcp any host 192.168.4.1 eq 89

    20 deny icmp any host 192.168.4.11

    30 deny ip 192.168.1.0 0.0.0.255 any

    40 deny ip 127.0.0.0 0.255.255.255 any

    50 deny ip 224.0.0.0 31.255.255.255 any

    60 permit ip any any (354 matches)

    70 deny ip any any

¿Existe algún problema en esta ACL?

Sí. El número de puerto en la línea 10 debe ser 80. La dirección host en la línea 20 debe ser 192.168.4.1 para el servidor web.

____________________________________________________________________________________

20. Verifique que la ACL 121 esté aplicada en el sentido correcto en la interfaz S0/0/1 del R1. Introduzca el comando show ip interface s0/0/1.

HQ# show ip interface s0/0/1

Serial0/0/1 is up, line protocol is up

  Internet address is 10.1.1.2/30

  Broadcast address is 255.255.255.255

<Output Omitted>

  Multicast reserved groups joined: 224.0.0.10

  Outgoing access list is not set

  Inbound  access list is 121

¿Existe algún problema con la aplicación de esta ACL?

No. Está aplicada como de entrada en S0/0/1.

____________________________________________________________________________________

21. Si se encontraron errores, haga los cambios necesarios a la configuración de la ACL 121 y regístrelos.

HQ(config)# no access-list 121

HQ(config)# access-list 121 permit tcp any host 192.168.4.1 eq 80

HQ(config)# access-list 121 deny icmp any host 192.168.4.1

HQ(config)# access-list 121 deny ip 192.168.1.0 0.0.0.255 any

HQ(config)# access-list 121 deny ip 127.0.0.0 0.255.255.255 any

HQ(config)# access-list 121 deny ip 224.0.0.0 31.255.255.255 any

HQ(config)# access-list 121 permit ip any any

HQ(config)# access-list 121 deny ip any any

____________________________________________________________________________________

22. Verifique que la PC-C solo pueda acceder al servidor web simulado en el HQ mediante el navegador web. Para acceder al servidor web (192.168.4.1), proporcione el nombre de usuario admin y la contraseña adminpass.

6. Reflexión

1. ¿Cómo se debería ordenar la instrucción de ACL, de lo general a lo específico o viceversa?

El orden debería ser de lo específico a lo general, dado que la ACL se ejecuta de arriba abajo, en orden secuencial. Cuando una condición es verdadera, el procesamiento en la lista se detiene y no se realiza ninguna otra comparación.

_______________________________________________________________________________________

2. Si elimina una ACL con el comando no access-list y la ACL sigue aplicada a la interfaz, ¿qué sucede?

       Se aplicaría una instrucción deny any predeterminada. Se debe tener cuidado al eliminar una ACL aplicada a una interfaz activa.

_______________________________________________________________________________________

7. Tabla de resumen de interfaces del router

Configuraciones de dispositivos

Router ISP

ISP#show run

Building configuration...

Current configuration : 1423 bytes

!

version 15.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname ISP

!

boot-start-marker

boot-end-marker

!

!

enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2

!

no aaa new-model

memory-size iomem 10

!

!

!

!

no ip domain lookup

ip cef

no ipv6 cef

multilink bundle-name authenticated

!

!

!

!

!

interface Embedded-Service-Engine0/0

no ip address

shutdown

!

interface GigabitEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface GigabitEthernet0/1

ip address 192.168.3.1 255.255.255.0

duplex auto

speed auto

!

interface Serial0/0/0

ip address 10.1.1.1 255.255.255.252

clock rate 2000000

!

interface Serial0/0/1

no ip address

shutdown

!

!

router eigrp 1

network 10.1.1.0 0.0.0.3

network 192.168.3.0

!

ip forward-protocol nd

!

no ip http server

no ip http secure-server

!

!

control-plane

!

!

!

line con 0

password cisco

logging synchronous

login

line aux 0

line 2

no activation-character

no exec

transport preferred none

transport input all

transport output pad telnet rlogin lapb-ta mop udptn v120 ssh

stopbits 1

line vty 0 4

password cisco

login

transport input all

!

scheduler allocate 20000 1000

!

end

Router HQ (corregido)

HQ# show run

Building configuration...

Current configuration : 2292 bytes

!

version 15.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname HQ

!

boot-start-marker

boot-end-marker

!

!

enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2

!

no aaa new-model

memory-size iomem 15

!

!

!

!

no ip domain lookup

ip cef

no ipv6 cef

multilink bundle-name authenticated

!

!

username admin privilege 15 secret 4 QHjxdsVkjtoP7VxKIcPsLdTiMIvyLkyjT1HbmYxZigc

!

!

interface Loopback0

ip address 192.168.4.1 255.255.255.0

!

interface Embedded-Service-Engine0/0

no ip address

shutdown

!

interface GigabitEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface GigabitEthernet0/1

ip address 192.168.1.1 255.255.255.0

ip access-group 101 in

ip access-group 102 out

duplex auto

speed auto

!

interface Serial0/0/0

no ip address

!shutdown

!

interface Serial0/0/1

ip address 10.1.1.2 255.255.255.252

ip access-group 121 in

!

interface Serial0/0/1

no ip address

!shutdown

!

router eigrp 1

network 10.1.1.0 0.0.0.3

network 192.168.1.0

network 192.168.4.0

!

ip forward-protocol nd

!

ip http server

ip http authentication local

no ip http secure-server

!

!

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

access-list 101 deny ip any any

access-list 102 permit tcp any any established

access-list 102 permit icmp any any echo-reply

access-list 102 permit icmp any any unreachable

access-list 102 deny ip any any

access-list 121 permit tcp any host 192.168.4.1 eq www

access-list 121 deny icmp any host 192.168.4.1

access-list 121 deny ip 192.168.1.0 0.0.0.255

access-list 121 deny ip 127.0.0.0 0.255.255.255

access-list 121 deny ip 224.0.0.0 31.255.255.255

access-list 121 permit ip any any

access-list 121 deny ip any any

!

!

!

control-plane

!

!

!

line con 0

password cisco

logging synchronous

login

line aux 0

line 2

no activation-character

no exec

transport preferred none

transport input all

transport output pad telnet rlogin lapb-ta mop udptn v120 ssh

stopbits 1

line vty 0 4

password cisco

login

transport input all

!

scheduler allocate 20000 1000

!

8. end