Documente Academic
Documente Profesional
Documente Cultură
--------------------------
2013 01 - 03
INFORME SIMULACIN
(20 listas de control de acceso)
1. TEMA: Aplicacin de listas de control de acceso en la simulacin de una red.
2. OBJETIVOS:
2.1. Objetivo General:
Aplicar los conocimientos sobre listas de control de acceso (ACLs) para la
configuracin de la red en base a la topologa establecida y a los requerimientos
impuestos por cada estudiante.
2.2. Objetivos Especficos:
3. DESARROLLO:
Equipo
R1
R2
R3
PC0
PC1
PC2
PC3
PC4
PC5
PC6
Central Voz
(con H323)
SMTP
WEB2
SNMP
POP3
WEB1 (https)
FTP
TFTP
SIP
DNS
Interface
S0/2/0
Fa0/0
Fa0/1
S0/2/0
S0/2/1
Fa0/0
S0/2/1
Fa0/0
NIC
NIC
NIC
NIC
NIC
NIC
NIC
Direccin IP
10.0.0.1
192.168.1.20
192.168.2.129
10.0.0.2
200.107.50.2
172.16.0.20
200.107.50.1
192.168.10.20
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.5
172.16.0.2
172.16.0.3
172.16.0.4
Mscara
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Gateway
192.168.1.20
192.168.1.20
192.168.1.20
192.168.1.20
172.16.0.20
172.16.0.20
172.16.0.20
NIC
192.168.2.128
255.255.255.0
192.168.2.129
NIC
NIC
NIC
NIC
NIC
NIC
NIC
NIC
NIC
172.16.0.5
172.16.0.10
192.168.10.5
192.168.10.6
192.168.10.7
192.168.10.8
192.168.10.9
192.168.10.10
192.168.10.11
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
172.16.0.20
172.16.0.20
192.168.10.20
192.168.10.20
192.168.10.20
192.168.10.20
192.168.10.20
192.168.10.20
192.168.10.20
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#enable password cisco
R1(config)#enable secret class
R1(config)#interface serial 0/2/0
R1(config-if)#ip address 10.0.0.1 255.255.255.252
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.1.20 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 0/1
R1(config-if)#ip address 192.168.2.129 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 10.0.0.0 0.0.0.3 area 0
R1(config-router)#exit
R1(config)#
R2:
Router>enable
Router#configure terminal
Router(config)#hostname R2
R2(config)#no ip domain-lookup
R2(config)#banner motd #Networking III, Dustin Onofre#
R2(config)#line console 0
R2(config-line)#password cisco
R2(config-line)#login
R2(config-line)#exit
R2(config)#line vty 0 4
R2(config-line)#password cisco
R2(config-line)#login
R2(config-line)#exit
R2(config)#enable password cisco
R2(config)#enable secret class
R2(config)#interface serial 0/2/0
R3(config)#router ospf 1
R3(config-router)#network 192.168.10.0 0.0.0.255 area 0
R3(config-router)#network 200.107.50.0 0.0.0.3 area 0
R3(config-router)#exit
R3(config)#
TAREA 2: Configuracin de PCs y Servidores
PC0:
PC1:
PC2:
PC3:
PC4:
PC5:
PC6:
SMTP:
WEB2:
SNMP:
POP3:
WEB1:
FTP:
TFTP:
SIP:
DNS:
Central de Voz:
R1(config-if)#exit
R1(config)#
R2(config)#ip access-list extended siete
R2(config-ext-nacl)#deny tcp 172.16.0.0 0.0.0.255 host 192.168.10.11 eq 53
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#exit
R2(config)#interface serial 0/2/1
R2(config-if)#ip access-group siete out
R2(config-if)#exit
R2(config)#
8. Permitir que los hosts 192.168.1.3 y 192.168.1.4 tengan acceso a todos los
servidores, excepto a: SMTP y TFTP; y que el resto de la red tenga libre
acceso a los mismos.
R1(config)#ip access-list extended ocho
R1(config-ext-nacl)#deny tcp host 192.168.1.3 host 172.16.0.5 eq 25
R1(config-ext-nacl)#deny tcp host 192.168.1.4 host 172.16.0.5 eq 25
R1(config-ext-nacl)#deny udp host 192.168.1.3 host 192.168.10.9 eq 61
R1(config-ext-nacl)#deny udp host 192.168.1.4 host 192.168.10.9 eq 61
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface serial 0/2/0
R1(config-if)#ip access-group ocho out
R1(config-if)#exit
R1(config)#
9. Denegar al host 172.16.0.2 el acceso a la central de voz y a todos los
servidores de la red 192.168.10.0/24 menos a DNS. El resto de la red tiene
todos los permisos de acceso.
R2(config)#ip access-list extended nueve
R2(config-ext-nacl)#deny ip host 172.16.0.2 host 192.168.2.128
R2(config-ext-nacl)#permit tcp host 172.16.0.2 host 192.168.10.11 eq 53
R2(config-ext-nacl)#deny ip host 172.16.0.2 192.168.10.0 0.0.0.255
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#exit
R2(config)#interface serial 0/2/0
R2(config-if)#ip access-group nueve out
R2(config-if)#exit
R2(config)#interface serial 0/2/1
R2(config-if)#ip access-group nueve out
R2(config-if)#exit
16. No permitir que los host con ip 192.168.1.5 192.168.1.2 hagan ping hacia los
host 172.16.0.2 y 172.16.0.3, y permitir al resto de la red 192.168.1.0 hacer
ping hacia la red 172.16.0.0, adems permitir que el host con ip 192.168.1.4
acceda al servidor TFTP, y que el resto de la red no pueda acceder a dicho
servidor.
R1(config)#ip access-list extended decimosexta
R1(config-ext-nacl)#deny ip host 192.168.1.5 host 172.16.0.2
R1(config-ext-nacl)#deny ip host 192.168.1.5 host 172.16.0.3
R1(config-ext-nacl)#deny ip host 192.168.1.2 host 172.16.0.2
R1(config-ext-nacl)#deny ip host 192.168.1.2 host 172.16.0.3
R1(config-ext-nacl)#permit udp host 192.168.1.4 host 192.168.10.9 eq 61
R1(config-ext-nacl)#deny udp 192.168.1.0 0.0.0.255 host 192.168.10.9 eq 61
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface serial 0/2/0
R1(config-if)#ip access-group decimosexta out
R1(config-if)#exit
R1(config)#
17. Permitir el acceso sola a los host 172.16.0.2 y el host 172.16.0.3 de la red
172.16.0.0 /24 a la central de VoIP.
R2(config)#ip access-list extended decimoseptima
R2(config-ext-nacl)#permit ip host 172.16.0.2 host 192.168.2.128
R2(config-ext-nacl)#permit ip host 172.16.0.3 host 192.168.2.128
R2(config-ext-nacl)#deny ip 172.16.0.0 0.0.0.255 host 192.168.2.128
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#exit
R2(config)#interface serial 0/2/0
R2(config-if)#ip access-group decimoseptima out
R2(config-if)#exit
R2(config)#
18. Negar el acceso al servidor FTP a los host 172.16.0.3 y el host 172.16.0.4 de
la red 172.16.0.0/24.
R2(config)#ip access-list extended decimooctava
R2(config-ext-nacl)#deny tcp host 172.16.0.3 host 192.168.10.8 eq 21
R2(config-ext-nacl)#deny tcp host 172.16.0.4 host 192.168.10.8 eq 21
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#exit
R2(config)#interface serial 0/2/1
R2(config-if)#ip access-group decimooctava out
R2(config-if)#exit
R2(config)#
19. Configure las ACL estndar en las lneas vty de R3 de modo que los hosts
directamente conectados a sus subredes Fast Ethernet tengan acceso a
Telnet. Deniegue todos los dems intentos de conexin.
R3(config)#ip access-list standard VTY-decimonovena
R3(config-std-nacl)#permit 192.168.10.0 0.0.0.255
R3(config-std-nacl)#deny any
R3(config-std-nacl)#exit
R3(config)#line vty 0 4
R3(config-line)#access-class VTY-decimonovena in
R3(config-line)#exit
R3(config)#
20. Bloquee todas las direcciones IP en la red 192.168.1.0/24 del acceso TFTP al
host en 192.168.10.9
R1(config)#ip access-list extended veinte
R1(config-ext-nacl)#deny udp 192.168.1.0 0.0.0.255 host 192.168.10.9 eq 61
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface serial 0/2/0
R1(config-if)#ip access-group veinte out
R1(config-if)#exit
R1(config)#
4. RESULTADOS:
Resumen de la configuracin de los routers:
R1
Current configuration : 4204 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
enable secret 5 $1$mERr$9cTjUIEqNGurQiFU.ZeCi1
enable password cisco
!
no ip domain-lookup
!
!
spanning-tree mode pvst
!
interface FastEthernet0/0
ip address 192.168.1.20 255.255.255.0
ip access-group catorce in
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.129 255.255.255.0
duplex auto
speed auto
!
interface Serial0/2/0
ip address 10.0.0.1 255.255.255.252
ip access-group veinte out
clock rate 64000
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.0.3 area 0
network 192.168.1.128 0.0.0.127 area 0
!
ip classless
!
!
ip access-list extended dos
deny tcp host 192.168.1.2 host 172.16.0.5 eq smtp
deny tcp host 192.168.1.4 host 172.16.0.5 eq smtp
deny udp host 192.168.1.2 host 192.168.10.5 eq snmp
deny udp host 192.168.1.4 host 192.168.10.5 eq snmp
permit ip any any
ip access-list extended tres
permit tcp host 192.168.1.4 host 192.168.10.7 eq www
permit tcp host 192.168.1.5 host 192.168.10.7 eq www
permit tcp host 192.168.1.4 host 192.168.10.11 eq domain
permit tcp host 192.168.1.5 host 192.168.10.11 eq domain
deny tcp 192.168.1.0 0.0.0.255 host 192.168.10.7 eq www
deny tcp 192.168.1.0 0.0.0.255 host 192.168.10.11 eq domain
permit ip any any
ip access-list extended cuatro
deny ip host 172.16.0.2 host 192.168.1.2
deny ip host 172.16.0.2 host 192.168.1.5
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.0.0.0 0.0.0.3 area 0
network 200.107.50.0 0.0.0.3 area 0
!
ip classless
!
ip access-list extended uno
permit tcp host 172.16.0.2 host 192.168.10.8 eq ftp
permit tcp host 172.16.0.3 host 192.168.10.8 eq ftp
permit tcp host 172.16.0.2 host 192.168.10.11 eq domain
permit tcp host 172.16.0.3 host 192.168.10.11 eq domain
deny tcp 172.16.0.0 0.0.0.255 host 192.168.10.8 eq ftp
deny tcp 172.16.0.0 0.0.0.255 host 192.168.10.11 eq domain
permit ip any any
ip access-list extended seis
deny udp host 172.16.0.3 host 192.168.10.10 eq 5060
permit ip any any
ip access-list extended siete
deny tcp 172.16.0.0 0.0.0.255 host 192.168.10.11 eq domain
permit ip any any
ip access-list extended nueve
deny ip host 172.16.0.2 host 192.168.2.128
permit tcp host 172.16.0.2 host 192.168.10.11 eq domain
deny ip host 172.16.0.2 192.168.10.0 0.0.0.255
permit ip any any
ip access-list extended diez
deny tcp host 172.16.0.2 host 192.168.10.7 eq www
deny udp host 172.16.0.2 host 192.168.10.9 eq 61
permit ip any any
ip access-list extended trece
permit udp host 172.16.0.3 host 192.168.10.9 eq 61
permit udp host 172.16.0.4 host 192.168.10.9 eq 61
deny ip host 172.16.0.3 any
deny ip host 172.16.0.4 any
permit ip any any
ip access-list extended quince
deny tcp host 172.16.0.3 host 192.168.10.11 eq domain
permit tcp host 172.16.0.2 host 192.168.10.6 eq pop3
deny ip host 172.16.0.2 any
permit ip any any
ip access-list extended decimoseptima
permit ip host 172.16.0.2 host 192.168.2.128
permit ip host 172.16.0.3 host 192.168.2.128
deny ip 172.16.0.0 0.0.0.255 host 192.168.2.128
!
ip classless
!
ip access-list standard VTY-decimonovena
permit 192.168.10.0 0.0.0.255
deny any
!
banner motd ^CNetworking III, Dustin Onofre^C
!
line con 0
password cisco
login
line vty 0 4
access-class VTY-decimonovena in
password cisco
login
!
end
6. CONCLUSIONES:
La verificacin mediante ping o telnet se la debi realizar despus de la
configuracin de cada ACL, puesto que los enunciados no tienen concordancia y
por ende, la red presenta varias inconsistencias.
Se debe considerar que hay un "deny any" implcito, al final de cada ACL.
Usar ACL nombradas en vez de usar un rango de nmeros tiene ventajas. El
darles un nombre facilita entender la configuracin y eso implica un ahorro de
tiempo en el proceso.
7. RECOMENDACIONES:
Leer detenidamente los enunciados para entender
requerimientos y evitar configuraciones errneas en la red.
correctamente
los
Cualquier lnea agregada a una ACL se agrega al final. Para cualquier otro tipo
de modificacin, se tiene que borrar toda la lista y escribirla de nuevo. Se
recomienda copiar en un bloc de notas y editar all.
8. BIBLIOGRAFA y HERRAMIENTAS:
http://www.forosdelweb.com/f20/puede-conectar-servidor-router-408889/
http://www.slideshare.net/josegregoriob/servidor-web-8451426
http://es.wikipedia.org/wiki/Protocolos_de_VoIP