IMPLEMENTACION DE UN SISTEMA DE ACLS EN ROUTER CISCO

Presentado por:
DANIEL COLORADO PEREZ
ANDRES FELIPE ARBOLEDA
ANDRES FELIPE ECHAVARRIA
HONEY FELIPE AGUDELO BETANCUR

Instructor:
ALEXANDER AUGUSTO ALVAREZ HIGUITA

IMPLEMENTACION DE ACLS EN CISCO 2901

SERVICIO NACIONAL DE APRENDIZAJE SENA

REA: GESTIN DE REDES DE DATOS

FICHA: 600088
COLOMBIA

2014
Actividad: Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso
en el firewall que permitan el paso de trfico desde INTERNET hacia la LAN solo para 3 protocolos
y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar
denegados. Generalmente la comunicacin desde la LAN es transparente as que el enrutador
debe permitir la salida de paquetes desde la LAN.

Estrategias Actividad : En el caso del montaje del enrutador con funcionalidad de firewall,
verifique que su router tenga una IOS que permita hacer filtrado con ACLs, ademas de esto
recuerde que va a requerir por lo menos dos interfaces para trabajar, como recomendacin
puede usar un router que soporte dos interfaces de red Ethernet. Recuerde que puede usar un
simulador como Packet Tracer antes de intentar configurar el router de forma real, esto le evitar
muchos problemas.
Topologa a implementar

Configuracin de router
cisco serie 2901
Lo primero es conectar el
equipo a la corriente y
decidir por qu medio nos
conectamos par su
configuracin. En este caso
nos conectamos por el
puerto com3 que es micro
usb a usb descargamos el
driver desde la pag de
cisco para que sea
reconocido el dispositivo en
el equipo

El driver lo podemos descargar desde el siguiente enlace:

https://drive.google.com/file/d/0B6nA5QifGf6vZnZXbEh4NmJFaGM/edit

Luego procedemos a conectarnos mediante putty de la siguiente manera.

Ahora desde putty que es la siguiente consola procedemos a configuraciones previas.

Tenemos dos puertos ethernet gigabyte G0/0

G1/0

Vamos a asignar direccionamiento a los dos puertos respectivamente como esta en la topologa
G 0/0

G 1/0

Ip: 192.168.1.1

Ip: 172.168.1.1

Mask: 255.255.255.0

Mask: 255.255.0.0

Asignamos ip a la interfaz de la
siguiente manera

router(config-if)#exit

router#enable
router#configure terminal
router(config)#interface gigabitEthernet 0/0

router(config)#
Ahora la segunda interfaz
router#enable
router#configure terminal

router(config-if)#ip address 192.168.1.1

255.255.255.0

router(config)#interface gigabitEthernet 1/0

router(config-if)#do wr

router(config-if)#ip address 172.168.1.1

255.255.0.0

Building configuration...
[OK]

router(config-if)#do wr

Building configuration...

router(config-if)#exit

[OK]

router(config)#

podremos verificar lo aterior con el comando show running-config

router#show running-config
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet1/0
ip address 172.168.1.1 255.255.0.0
duplex auto
speed auto

Luego de esto, tendremos que aclarar nuestra topologa, tenemos un servidor (Windows
server2012 o el que prefieran) en el rea de wan, que simulara internet y en el rea de lan
tendremos un Windows 7 para hacer pruebas
Ahora entraremos un poco mas en lo que son las acls que implementaremos. Para este caso
vamos a permitir que desde el equipo de lan se pueda acceder a internet solo para consultar el
servidor ftp de la copaia que se encuentra en la nube y a la pagina web de la compaa que
esta en el exterior o internet, aparte de eso vamos a permitir que se puedan hacer pings hacia
donde sea para pruebas en la compaa.
En este caso vamos a implementar una lista de acls extendidas para dar permiso a lo
anteriormente nombrado y luego la aplicaremos al puerto correspondiente si tienen alguna duda
sobre acls estandar y extendidas les recomiendo visiten el siguiente blog de el autor Csar A.
Cabrera E.

Donde nos aclarara algunas dudas.

http://cesarcabrera.info/blog/%C2%BFcomo-funcionan-las-acls-iii-acls-extendidas/
ahora luego de un pequeo repaso sobre acls vamos a empezar a implementar nuestra lista de
acls
graduados(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
graduados(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 21
access-list 101 permit icmp 172.178.0.0 0.0.255.255 192.168.1.0 0.0.0.255
ahora vamos a explicar una de estas acls

Luego de implementar las acls tenemos que agregarlas a un puerto para que ese puerto sea el
encargado de filtrar paquetes con las reglas indicadas. Lo hacemos de la siguiente manera.

graduados>enable
graduados#configure terminal
graduados(config)#interface gigabitEthernet 0/0
graduados(config-if)#ip access-group 101 in
aca agregamos a la lista a el puerto gigaethernet y le indicamos que filtre todo el trafico
entrante hacia el puerto con el modificador in si deseamos que filtre el trafico saliente le
agregamos el modificador out

Hasta este punto son 3 reglas las cuales permiten ftp http y ping si vamos a la maquina cliente
ingresamos a los servicios para verificar que se pueda acceder a ellos

Con las siguientes configuraciones vamos a proceder a habilitar la interfaz web para acceder de
modo grafico por medio de un navegador. Lo primero que vamos a hacer por medio de la consola
es los siguientes comandos para habilitar la interfaz web
Habilite el router HTTP o el servidor HTTPS usando estos comandos del Cisco IOS Software:
Router(config)# ip http server
Router(config)# ip http secure-server
Router(config)# ip http authentication local
Cree a un usuario con el nivel de privilegio 15
Router(config)# username <username> privilege 15 password 0 <password>
Configure SSH y Telnet para la conexin local y el nivel de privilegio 15.
Router(config)# line vty 0 4
Router(config-line)# privilege level 15
Router(config-line)# login local
Router(config-line)# transport input telnet
Router(config-line)# transport input telnet ssh
Router(config-line)# exit
En la configuracin del java vamos a seguridad , y agregamos una excepcin de la ip del router

En avanzado deshabilitamos el tls

Y en las opciones del navegador agregamos la url como excepcin

Y ahora si accedemos al navegador he ingresamos la ip del router podemos acceder via web con
interfaz grafica