1.3.4 Filtrado Del Trafico en La Capa de Distribucion

8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion

http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 1/8

CCNA Discovery

Diseño y soporte de redes de computadoras

Laboratorio práctico 1.3.4 Creación de una ACL

Dispositivo Nombre del host Dirección Máscara de subred

Servidor Discovery Servidor 172.17.1.1 255.255.0.0

Fa0/1 172.17.0.1R1

FC-CPE-1

Fa0/0 10.0.0.1

255.255.0.0

255.255.255.0

S1 FC-ASW-1 — —

Host1 PC1 10.0.0.10 255.255.255.0

Host2 PC2 10.0.0.201 255.255.255.0

Objetivo:• Crear Listas de control de acceso (ACL, Access Control Lists) para filtrar el tráfico con el fin de

administrar el tráfico y la seguridad.

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 8



CCNA DiscoveryDiseño y soporte de redes de computadoras

Objetivos del examen de certificación CCNA 640-802

Esta práctica de laboratorio contiene habilidades relacionadas con los siguientes objetivos del examen decertificación CCNA:

• Configurar y aplicar las ACL en base a los requisitos de filtrado de red (que incluyen CLI/SDM,

Interfaz de línea de comando y Administrador de dispositivos de seguridad).

• Configurar y aplicar las ACL para limitar el acceso a través de telnet y SSH al router (que incluyeSDM/CLI).

• Verificar y controlar las ACL en un entorno de red.

Resultados previstos y criterios de éxito

Antes de comenzar con esta práctica de laboratorio, lea las tareas que debe realizar. Cuál cree que será elresultado de realizar estas tareas?

______________________________________________________________________________________

______________________________________________________________________________________

______________________________________________________________________________________

Por qué resulta útil poseer conocimientos sobre las ACL en la administración de redes?

______________________________________________________________________________________

______________________________________________________________________________________

______________________________________________________________________________________

Cómo sabe un administrador de red si la ACL está funcionando correctamente?

______________________________________________________________________________________

______________________________________________________________________________________

______________________________________________________________________________________

Información básica / Preparación

En esta práctica de laboratorio evaluará la necesidad de control y filtrado del tráfico de datos en una redy diseñará las políticas adecuadas para lograrlo.

Luego, el diseño de seguridad del tráfico se aplicará a una red de ejemplo mediante el uso de las ACL.

Las ACL generalmente se aplican en la Capa de distribución. Esta práctica de laboratorio utilizará un routerconectado a un servidor que proporcionará aplicaciones de red de muestra para demostrar la ubicación y elfuncionamiento de la ACL.

Paso 1: Analizar los requisitos de filtrado del tráfico a. Determine los requisitos de acceso y filtrado.

Para esta práctica de laboratorio:

1) PC1 es una estación de trabajo del administrador de red. A este host se le debe permitir el acceso alservidor de red a través de FTP y HTTP y el acceso al router FC-CPE-1a través de telnet.

2) PC2 es una estación de trabajo general que debe tener acceso sólo a través de HTTP. No sepermite el acceso al router a través de servicios de FTP y Telnet.





b. Luego de determinar los requisitos específicos, decida si se debe permitir o denegar cualquier otrotipo de tráfico.

Enumere los beneficios y los posibles problemas de las siguientes situaciones de filtrado:

Beneficios de permitir cualquier otro tipo de tráfico:

_______________________________________________________________ Posibles problemas causados por permitir cualquier otro tipo de tráfico:

_______________________________________________________________

Beneficios de denegar cualquier otro tipo de tráfico:

_______________________________________________________________

Posibles problemas causados por denegar cualquier otro tipo de tráfico:

_______________________________________________________________

Paso 2: Diseñar y crear la ACL a. Consulte y luego aplique la práctica recomendada para las ACL.

• Siempre planifique cuidadosamente antes de realizar la implementación. • La secuencia de las sentencias es importante. Ubique las sentencias más específicas al

comienzo y las sentencias más generales al final. • Las sentencias se agregan al final de las ACL a medida que se escriben. • Cree y edite las ACL con un editor de texto y guarde el archivo.

• Utilice ACL nombradas siempre que sea posible. • Utilice los comentarios (opción remark) que aparecen dentro de la ACL para registrar el objetivo

de las sentencias. • Para hacerse efectivas, las ACL deben aplicarse a una interfaz. •

Una interfaz puede tener una ACL por protocolo de Capa de red, por dirección.

• Aunque haya una sentencia implícita deny any” (denegar todo) al final de cada ACL, se considerauna buena práctica configurarla de forma explícita. De esta manera recordará que el efecto estávigente y podrá utilizar el registro de las coincidencias de esta sentencia.

• El procesamiento de las ACL que tienen muchas sentencias toma más tiempo. Esto puedeafectar el desempeño del router.

• Ubicación de las ACL: o Estándar: la más cercana al destino (si tiene autoridad administrativa en ese router) o Extendida: la más cercana al origen (si tiene autoridad administrativa en ese router)

b. Analice las dos metodologías que se utilizan para escribir ACL:

• Primero permita el tráfico específico y luego deniegue el tráfico general. • Primero deniegue el tráfico específico y luego permita el tráfico general.

Cuándo sería más conveniente permitir el tráfico específico primero y luego denegar el tráfico general?

_______________________________________________________________________________

_______________________________________________________________________________





Cuándo sería más conveniente denegar el tráfico específico primero y luego permitir el tráfico general?

_______________________________________________________________________________

_______________________________________________________________________________

c. Seleccione una metodología y escriba las sentencias de la ACL que cumplan con los requisitos de

esta práctica de laboratorio. _______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

Una vez que una ACL se escribe y se aplica a una interfaz, es útil saber si las sentencias ACL surtenel efecto deseado. La cantidad de paquetes que reúnen las condiciones de cada sentencia ACL sepuede registrar al agregar la opción log (registrar) al final de cada sentencia.

Por qué es importante saber cuántas veces se deniegan los paquetes que coinciden con unasentencia ACL?

_______________________________________________________________________________

_______________________________________________________________________________

Paso 3: Realizar el cableado y la configuración de la red determinada NOTA: Si las PC utilizadas en esta práctica de laboratorio también están conectadas a la LAN de suAcademia o a Internet, recuerde registrar las conexiones de cables y los parámetros de TCP/IP para poderrestaurarlos al final de la práctica de laboratorio.

a. En lo que respecta a la tabla de topología, conecte el cable de la consola al puerto de la consola enel router y el otro extremo del cable al equipo host con un adaptador DB-9 o DB-25 al puerto COM 1.Asegúrese de que se haya suministrado energía al equipo host y al router.

b. Conecte y configure los dispositivos de acuerdo con la topología y la configuración específicas.Su instructor puede reemplazar el Servidor Discovery por un servidor similar para esta práctica delaboratorio.

c. Establezca un HyperTerminal u otro programa de emulación de terminal, de PC1 al Router R1.

d. En el modo de configuración global, ejecute los siguientes comandos:

Router(config)#hostname FC-CPE-1

FC-CPE-1(config)#interface FastEthernet0/0FC-CPE-1(config-if)#ip address 10.0.0.1 255.255.255.0FC-CPE-1(config-if)#no shutdown

FC-CPE-1(config-if)#exit

FC-CPE-1(config)#interface FastEthernet0/1FC-CPE-1(config-if)#ip address 172.17.0.1 255.255.0.0FC-CPE-1(config-if)#no shutdownFC-CPE-1(config-if)#exit

FC-CPE-1(config)#line vty 0 4FC-CPE-1(config-line)# password telnetFC-CPE-1(config-line)#loginFC-CPE-1(config-line)#end





e. Haga ping entre PC1 y el Servidor Discovery para confirmar la conectividad de la red. En caso deque fallen los pings, lleve a cabo la resolución de problemas y establezca la conectividad.

Paso 4: Comprobar los servicios de red sin las ACL Realice las siguientes pruebas en PC1:

a. Abra un explorador Web en PC1 e ingrese el URL http://172.17.1.1 en la barra de direcciones.

Qué página Web apareció?

______________________________________________

b. Abra un explorador Web en PC1 e ingrese el URL ftp://172.17.1.1 en la barra de direcciones.


______________________________________________

c. En el Directorio de inicio del FTP de Discovery, abra la carpeta Discovery 1. Haga clic y arrastre unarchivo de capítulo al escritorio local.

Se copió con éxito el archivo? _________

d. En la petición de entrada de línea de comandos de PC1, ejecute el comando telnet 10.0.0.1

o utilice un cliente Telnet (por ejemplo, HyperTerminal o TeraTerm) para establecer una sesiónTelnet al router.

Qué respuesta mostró el router?

______________________________________________

e. Salga de la sesión Telnet.

Realice las siguientes pruebas en PC2:


Qué página Web apareció? ______________________________________________



______________________________________________

c. En el directorio de inicio del FTP de Discovery, abra la carpeta Discovery 1. Haga clic y arrastre unarchivo de capítulo al escritorio local.

Se copió con éxito el archivo? __________

d. En la petición de entrada de línea de comandos de PC2, ejecute el comando telnet 10.0.0.1

o utilice un cliente Telnet (por ejemplo, HyperTerminal o TeraTerm) para establecer una sesión

Telnet al router.


______________________________________________


Por qué cada una de las conexiones anteriores fue exitosa?

___________________________________________________________________

___________________________________________________________________





Si alguna de las conexiones anteriores no fue exitosa, realice la resolución de problemas de red y deconfiguraciones y establezca cada tipo de conexión desde cada host.

Paso 5: Configurar los servicios de red con ACL En el modo de configuración global, ejecute los siguientes comandos:

a. Permita el acceso de PC1 al router a través del servidor Web y telnet.

FC-CPE-1(config)#ip access-list extended Server-AccessFC-CPE-1(config-ext-nacl)#remark Allow PC1 access to serverFC-CPE-1(config-ext-nacl)# permit tcp host 10.0.0.10 host 172.17.1.1 eqftp www log

b. Permita el acceso de PC2 al servidor Web.

FC-CPE-1(config-ext-nacl)#remark Allow PC2 to access web serverFC-CPE-1(config-ext-nacl)# permit tcp host 10.0.0.201 host 172.17.1.1 eqwww log

c. Permita el acceso telnet de PC1 al router

FC-CPE-1(config-ext-nacl)#remark Allow PC1 to telnet routerFC-CPE-1(config-ext-nacl)# permit tcp host 10.0.0.10 host 10.0.0.1 eqtelnet log

d. Deniegue cualquier otro tipo de tráfico.

FC-CPE-1(config-ext-nacl)#remark Deny all other trafficFC-CPE-1(config-ext-nacl)#deny ip any any logFC-CPE-1(config-ext-nacl)#exit

Paso 6: Aplicar las ACL a. Aplique las ACL extendidas a la interfaz del router más cercana al origen.

FC-CPE-1(config)#interface FastEthernet0/0FC-CPE-1(config-if)#ip access-group Server-Access in

FC-CPE-1(config-if)#endb. En el modo EXEC privilegiado, ejecute el comando show running-configuration y confirme

que las ACL se hayan configurado y aplicado correctamente.

Si encuentra errores, vuelva a configurarlas.

Paso 7: Comprobar los servicios de red con ACL Realice las siguientes pruebas en PC1:



______________________________________________

b. Abra un explorador Web en PC1 e ingrese el URL ftp://172.17.1.1 en la barra de direcciones.Qué página Web apareció?

______________________________________________

c. En el directorio de inicio del FTP de Discovery, abra la carpeta Discovery 1. Haga clic y arrastre unarchivo de capítulo al escritorio local.

Se copió con éxito el archivo? _________

Por qué es éste el resultado?

______________________________________________





d. En la petición de entrada de línea de comandos de PC1, ejecute el comando telnet 10.0.0.1 o utilice un cliente Telnet (por ejemplo, HyperTerminal o TeraTerm) para establecer una sesiónTelnet al router.


______________________________________________


______________________________________________


Realice las siguientes pruebas en PC2:



______________________________________________


______________________________________________



______________________________________________


______________________________________________

c. En la petición de entrada de línea de comandos de PC2, ejecute el comando telnet 10.0.0.1 o

utilice un cliente Telnet (por ejemplo, HyperTerminal o TeraTerm) para establecer una sesión Telnetal router.


______________________________________________


______________________________________________

Si alguna de estas transacciones no dio el resultado esperado, realice la resolución de problemas de redy de configuraciones y vuelva a comprobar las ACL de cada host.

Paso 8: Observar la cantidad de coincidencias de las sentencias a. En el modo EXEC privilegiado, ejecute el comando:

FC-CPE-1#show access-list Server-Access

Enumere la cantidad de coincidencias registradas para cada sentencia ACL.

______________________________________________

______________________________________________

Paso 9: Limpieza Borre las configuraciones y vuelva a cargar los routers y los switches. Desconecte y guarde los cables.En el caso de los hosts de PC que habitualmente están conectados a otras redes (como la LAN de la escuelao Internet), vuelva a conectar los cables apropiados y restaure los parámetros de TCP/IP.




Documents

1.3.4 Filtrado Del Trafico en La Capa de Distribucion