Upload
hugocc13
View
227
Download
0
Embed Size (px)
Citation preview
8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion
http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 1/8
CCNA Discovery
Diseño y soporte de redes de computadoras
Laboratorio práctico 1.3.4 Creación de una ACL
Dispositivo Nombre del host Dirección Máscara de subred
Servidor Discovery Servidor 172.17.1.1 255.255.0.0
Fa0/1 172.17.0.1R1
FC-CPE-1
Fa0/0 10.0.0.1
255.255.0.0
255.255.255.0
S1 FC-ASW-1 — —
Host1 PC1 10.0.0.10 255.255.255.0
Host2 PC2 10.0.0.201 255.255.255.0
Objetivo:• Crear Listas de control de acceso (ACL, Access Control Lists) para filtrar el tráfico con el fin de
administrar el tráfico y la seguridad.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 8
8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion
http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 2/8
CCNA DiscoveryDiseño y soporte de redes de computadoras
Objetivos del examen de certificación CCNA 640-802
Esta práctica de laboratorio contiene habilidades relacionadas con los siguientes objetivos del examen decertificación CCNA:
• Configurar y aplicar las ACL en base a los requisitos de filtrado de red (que incluyen CLI/SDM,
Interfaz de línea de comando y Administrador de dispositivos de seguridad).
• Configurar y aplicar las ACL para limitar el acceso a través de telnet y SSH al router (que incluyeSDM/CLI).
• Verificar y controlar las ACL en un entorno de red.
Resultados previstos y criterios de éxito
Antes de comenzar con esta práctica de laboratorio, lea las tareas que debe realizar. Cuál cree que será elresultado de realizar estas tareas?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Por qué resulta útil poseer conocimientos sobre las ACL en la administración de redes?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Cómo sabe un administrador de red si la ACL está funcionando correctamente?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Información básica / Preparación
En esta práctica de laboratorio evaluará la necesidad de control y filtrado del tráfico de datos en una redy diseñará las políticas adecuadas para lograrlo.
Luego, el diseño de seguridad del tráfico se aplicará a una red de ejemplo mediante el uso de las ACL.
Las ACL generalmente se aplican en la Capa de distribución. Esta práctica de laboratorio utilizará un routerconectado a un servidor que proporcionará aplicaciones de red de muestra para demostrar la ubicación y elfuncionamiento de la ACL.
Paso 1: Analizar los requisitos de filtrado del tráfico a. Determine los requisitos de acceso y filtrado.
Para esta práctica de laboratorio:
1) PC1 es una estación de trabajo del administrador de red. A este host se le debe permitir el acceso alservidor de red a través de FTP y HTTP y el acceso al router FC-CPE-1a través de telnet.
2) PC2 es una estación de trabajo general que debe tener acceso sólo a través de HTTP. No sepermite el acceso al router a través de servicios de FTP y Telnet.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 8
8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion
http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 3/8
CCNA DiscoveryDiseño y soporte de redes de computadoras
b. Luego de determinar los requisitos específicos, decida si se debe permitir o denegar cualquier otrotipo de tráfico.
Enumere los beneficios y los posibles problemas de las siguientes situaciones de filtrado:
Beneficios de permitir cualquier otro tipo de tráfico:
_______________________________________________________________ Posibles problemas causados por permitir cualquier otro tipo de tráfico:
_______________________________________________________________
Beneficios de denegar cualquier otro tipo de tráfico:
_______________________________________________________________
Posibles problemas causados por denegar cualquier otro tipo de tráfico:
_______________________________________________________________
Paso 2: Diseñar y crear la ACL a. Consulte y luego aplique la práctica recomendada para las ACL.
• Siempre planifique cuidadosamente antes de realizar la implementación. • La secuencia de las sentencias es importante. Ubique las sentencias más específicas al
comienzo y las sentencias más generales al final. • Las sentencias se agregan al final de las ACL a medida que se escriben. • Cree y edite las ACL con un editor de texto y guarde el archivo.
• Utilice ACL nombradas siempre que sea posible. • Utilice los comentarios (opción remark) que aparecen dentro de la ACL para registrar el objetivo
de las sentencias. • Para hacerse efectivas, las ACL deben aplicarse a una interfaz. •
Una interfaz puede tener una ACL por protocolo de Capa de red, por dirección.
• Aunque haya una sentencia implícita deny any” (denegar todo) al final de cada ACL, se considerauna buena práctica configurarla de forma explícita. De esta manera recordará que el efecto estávigente y podrá utilizar el registro de las coincidencias de esta sentencia.
• El procesamiento de las ACL que tienen muchas sentencias toma más tiempo. Esto puedeafectar el desempeño del router.
• Ubicación de las ACL: o Estándar: la más cercana al destino (si tiene autoridad administrativa en ese router) o Extendida: la más cercana al origen (si tiene autoridad administrativa en ese router)
b. Analice las dos metodologías que se utilizan para escribir ACL:
• Primero permita el tráfico específico y luego deniegue el tráfico general. • Primero deniegue el tráfico específico y luego permita el tráfico general.
Cuándo sería más conveniente permitir el tráfico específico primero y luego denegar el tráfico general?
_______________________________________________________________________________
_______________________________________________________________________________
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 8
8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion
http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 4/8
CCNA DiscoveryDiseño y soporte de redes de computadoras
Cuándo sería más conveniente denegar el tráfico específico primero y luego permitir el tráfico general?
_______________________________________________________________________________
_______________________________________________________________________________
c. Seleccione una metodología y escriba las sentencias de la ACL que cumplan con los requisitos de
esta práctica de laboratorio. _______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Una vez que una ACL se escribe y se aplica a una interfaz, es útil saber si las sentencias ACL surtenel efecto deseado. La cantidad de paquetes que reúnen las condiciones de cada sentencia ACL sepuede registrar al agregar la opción log (registrar) al final de cada sentencia.
Por qué es importante saber cuántas veces se deniegan los paquetes que coinciden con unasentencia ACL?
_______________________________________________________________________________
_______________________________________________________________________________
Paso 3: Realizar el cableado y la configuración de la red determinada NOTA: Si las PC utilizadas en esta práctica de laboratorio también están conectadas a la LAN de suAcademia o a Internet, recuerde registrar las conexiones de cables y los parámetros de TCP/IP para poderrestaurarlos al final de la práctica de laboratorio.
a. En lo que respecta a la tabla de topología, conecte el cable de la consola al puerto de la consola enel router y el otro extremo del cable al equipo host con un adaptador DB-9 o DB-25 al puerto COM 1.Asegúrese de que se haya suministrado energía al equipo host y al router.
b. Conecte y configure los dispositivos de acuerdo con la topología y la configuración específicas.Su instructor puede reemplazar el Servidor Discovery por un servidor similar para esta práctica delaboratorio.
c. Establezca un HyperTerminal u otro programa de emulación de terminal, de PC1 al Router R1.
d. En el modo de configuración global, ejecute los siguientes comandos:
Router(config)#hostname FC-CPE-1
FC-CPE-1(config)#interface FastEthernet0/0FC-CPE-1(config-if)#ip address 10.0.0.1 255.255.255.0FC-CPE-1(config-if)#no shutdown
FC-CPE-1(config-if)#exit
FC-CPE-1(config)#interface FastEthernet0/1FC-CPE-1(config-if)#ip address 172.17.0.1 255.255.0.0FC-CPE-1(config-if)#no shutdownFC-CPE-1(config-if)#exit
FC-CPE-1(config)#line vty 0 4FC-CPE-1(config-line)# password telnetFC-CPE-1(config-line)#loginFC-CPE-1(config-line)#end
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 8
8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion
http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 5/8
CCNA DiscoveryDiseño y soporte de redes de computadoras
e. Haga ping entre PC1 y el Servidor Discovery para confirmar la conectividad de la red. En caso deque fallen los pings, lleve a cabo la resolución de problemas y establezca la conectividad.
Paso 4: Comprobar los servicios de red sin las ACL Realice las siguientes pruebas en PC1:
a. Abra un explorador Web en PC1 e ingrese el URL http://172.17.1.1 en la barra de direcciones.
Qué página Web apareció?
______________________________________________
b. Abra un explorador Web en PC1 e ingrese el URL ftp://172.17.1.1 en la barra de direcciones.
Qué página Web apareció?
______________________________________________
c. En el Directorio de inicio del FTP de Discovery, abra la carpeta Discovery 1. Haga clic y arrastre unarchivo de capítulo al escritorio local.
Se copió con éxito el archivo? _________
d. En la petición de entrada de línea de comandos de PC1, ejecute el comando telnet 10.0.0.1
o utilice un cliente Telnet (por ejemplo, HyperTerminal o TeraTerm) para establecer una sesiónTelnet al router.
Qué respuesta mostró el router?
______________________________________________
e. Salga de la sesión Telnet.
Realice las siguientes pruebas en PC2:
a. Abra un explorador Web en PC2 e ingrese el URL http://172.17.1.1 en la barra de direcciones.
Qué página Web apareció? ______________________________________________
b. Abra un explorador Web en PC2 e ingrese el URL ftp://172.17.1.1 en la barra de direcciones.
Qué página Web apareció?
______________________________________________
c. En el directorio de inicio del FTP de Discovery, abra la carpeta Discovery 1. Haga clic y arrastre unarchivo de capítulo al escritorio local.
Se copió con éxito el archivo? __________
d. En la petición de entrada de línea de comandos de PC2, ejecute el comando telnet 10.0.0.1
o utilice un cliente Telnet (por ejemplo, HyperTerminal o TeraTerm) para establecer una sesión
Telnet al router.
Qué respuesta mostró el router?
______________________________________________
e. Salga de la sesión Telnet.
Por qué cada una de las conexiones anteriores fue exitosa?
___________________________________________________________________
___________________________________________________________________
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 8
8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion
http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 6/8
CCNA DiscoveryDiseño y soporte de redes de computadoras
Si alguna de las conexiones anteriores no fue exitosa, realice la resolución de problemas de red y deconfiguraciones y establezca cada tipo de conexión desde cada host.
Paso 5: Configurar los servicios de red con ACL En el modo de configuración global, ejecute los siguientes comandos:
a. Permita el acceso de PC1 al router a través del servidor Web y telnet.
FC-CPE-1(config)#ip access-list extended Server-AccessFC-CPE-1(config-ext-nacl)#remark Allow PC1 access to serverFC-CPE-1(config-ext-nacl)# permit tcp host 10.0.0.10 host 172.17.1.1 eqftp www log
b. Permita el acceso de PC2 al servidor Web.
FC-CPE-1(config-ext-nacl)#remark Allow PC2 to access web serverFC-CPE-1(config-ext-nacl)# permit tcp host 10.0.0.201 host 172.17.1.1 eqwww log
c. Permita el acceso telnet de PC1 al router
FC-CPE-1(config-ext-nacl)#remark Allow PC1 to telnet routerFC-CPE-1(config-ext-nacl)# permit tcp host 10.0.0.10 host 10.0.0.1 eqtelnet log
d. Deniegue cualquier otro tipo de tráfico.
FC-CPE-1(config-ext-nacl)#remark Deny all other trafficFC-CPE-1(config-ext-nacl)#deny ip any any logFC-CPE-1(config-ext-nacl)#exit
Paso 6: Aplicar las ACL a. Aplique las ACL extendidas a la interfaz del router más cercana al origen.
FC-CPE-1(config)#interface FastEthernet0/0FC-CPE-1(config-if)#ip access-group Server-Access in
FC-CPE-1(config-if)#endb. En el modo EXEC privilegiado, ejecute el comando show running-configuration y confirme
que las ACL se hayan configurado y aplicado correctamente.
Si encuentra errores, vuelva a configurarlas.
Paso 7: Comprobar los servicios de red con ACL Realice las siguientes pruebas en PC1:
a. Abra un explorador Web en PC1 e ingrese el URL http://172.17.1.1 en la barra de direcciones.
Qué página Web apareció?
______________________________________________
b. Abra un explorador Web en PC1 e ingrese el URL ftp://172.17.1.1 en la barra de direcciones.Qué página Web apareció?
______________________________________________
c. En el directorio de inicio del FTP de Discovery, abra la carpeta Discovery 1. Haga clic y arrastre unarchivo de capítulo al escritorio local.
Se copió con éxito el archivo? _________
Por qué es éste el resultado?
______________________________________________
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 8
8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion
http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 7/8
CCNA DiscoveryDiseño y soporte de redes de computadoras
d. En la petición de entrada de línea de comandos de PC1, ejecute el comando telnet 10.0.0.1 o utilice un cliente Telnet (por ejemplo, HyperTerminal o TeraTerm) para establecer una sesiónTelnet al router.
Qué respuesta mostró el router?
______________________________________________
Por qué es éste el resultado?
______________________________________________
e. Salga de la sesión Telnet.
Realice las siguientes pruebas en PC2:
a. Abra un explorador Web en PC2 e ingrese el URL http://172.17.1.1 en la barra de direcciones.
Qué página Web apareció?
______________________________________________
Por qué es éste el resultado?
______________________________________________
b. Abra un explorador Web en PC2 e ingrese el URL ftp://172.17.1.1 en la barra de direcciones.
Qué página Web apareció?
______________________________________________
Por qué es éste el resultado?
______________________________________________
c. En la petición de entrada de línea de comandos de PC2, ejecute el comando telnet 10.0.0.1 o
utilice un cliente Telnet (por ejemplo, HyperTerminal o TeraTerm) para establecer una sesión Telnetal router.
Qué respuesta mostró el router?
______________________________________________
Por qué es éste el resultado?
______________________________________________
Si alguna de estas transacciones no dio el resultado esperado, realice la resolución de problemas de redy de configuraciones y vuelva a comprobar las ACL de cada host.
Paso 8: Observar la cantidad de coincidencias de las sentencias a. En el modo EXEC privilegiado, ejecute el comando:
FC-CPE-1#show access-list Server-Access
Enumere la cantidad de coincidencias registradas para cada sentencia ACL.
______________________________________________
______________________________________________
Paso 9: Limpieza Borre las configuraciones y vuelva a cargar los routers y los switches. Desconecte y guarde los cables.En el caso de los hosts de PC que habitualmente están conectados a otras redes (como la LAN de la escuelao Internet), vuelva a conectar los cables apropiados y restaure los parámetros de TCP/IP.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 8
8/2/2019 1.3.4 Filtrado Del Trafico en La Capa de Distribucion
http://slidepdf.com/reader/full/134-filtrado-del-trafico-en-la-capa-de-distribucion 8/8