Packet Tracer: Práctica OSPF y ACL (STND y EXT)

Topología:

Objetivos

Parte 1: configurar, aplicar y verificar la configuración de seguridad de acceso a los equipos

Router´s.

Parte 2: configurar, aplicar y verificar la configuración DHCP para las redes LAN 1, 2 y 3.

Parte 3: configurar, aplicar y verificar ruteo dinámico OSPF para tener conectividad en la red.

Parte 4: configurar, aplicar y verificar ACL Standard y Extendidas acorde a lo solicitado.

Parte 1: configurar, aplicar y verificar la configuración de seguridad de

acceso a los equipos Router´s.

Realizar la siguiente configuración:

 Configurar el hostname respectivo

 Configurar: username __________ password _______ (Favor usar un usuario y password
personal)

Ing. Ronald J. Vera Paz

Cisco ID: CSCO12911909
  Habilitar el password para ingresar al modo privilegiado (cisco)

 Encriptar las contraseñas

 Escribir el banner respectivo

** banner motd: ESTE COMANDO ES PARA COLOCAR EL MENSAJE DE BIENVENIDA EN

EL ROUTER
 Habilitar console 0
 Habilitar el acceso remoto line vty

*** login local: ESTE COMANDO PERMITE QUE CUANDO NOS CONECTEMOS SOLICITE
USUARIO Y PASS

Parte 2: configurar, aplicar y verificar la configuración DHCP para las redes

LAN 1, 2 y 3.

Parte 3: configurar, aplicar y verificar ruteo dinámico OSPF para tener

conectividad en la red.

Parte 4: configurar, aplicar y verificar ACL Standard y Extendidas acorde a

lo solicitado.

Ing. Ronald J. Vera Paz

Cisco ID: CSCO12911909
a) Configuración de una ACL estándar:

Las ACL estándar pueden filtrar el tráfico basado únicamente en la dirección IP de origen. Una práctica
recomendada típica es configurar una ACL estándar lo más cerca posible del destino. En esta tarea, se
configura una ACL estándar. La ACL está diseñada para bloquear el tráfico de la red 192.168.11.0/24
para que no acceda a ninguna red local en R3. Esta ACL se aplicará entrante en la interfaz serial R3.
Recuerde que cada ACL tiene un "denegar todo" implícito que hace que se bloquee todo el tráfico que no
coincide con una declaración en la ACL. Por esta razón, agregue el permiso cualquier declaración al final
de la ACL.

Cree la ACL en el enrutador R3:

En el modo de configuración global, cree un estándar llamado ACL llamado STND-1.

En el modo de configuración de ACL estándar, agregue una declaración que niegue cualquier paquete
con una dirección de origen de 192.168.11.0/24.
Permitir todo el resto del tráfico.

Aplicar la ACL:

Aplique el ACL STND-1 como filtro en los paquetes que ingresan a R3 a través de la interfaz serial 0/0/0.

Probar el ACL estándar:

Pruebe la ACL haciendo ping de PC3 a PC5. Dado que la ACL está diseñada para bloquear el tráfico con
direcciones de origen de la red 192.168.11.0/24, PC3 (192.168.11.10) no debería poder hacer ping a la
PC5 (192.168.30.10).

b) Configuración de una ACL extendida:

Las ACL extendidas pueden filtrar el tráfico en función de algo más que la dirección de origen. Las ACL
extendidas pueden filtrar las direcciones IP de protocolo, origen y destino, y los números de puerto de
origen y destino.

Una política adicional para esta red establece que los dispositivos de la LAN 192.168.10.0/24 solo
pueden acceder a redes internas. Las computadoras en esta LAN no pueden acceder a Internet. Por lo
tanto, estos usuarios deben tener bloqueado el acceso a la dirección IP 200.200.200.1. Debido a que
este requisito debe imponer tanto el origen como el destino, se necesita una ACL extendida.

En esta tarea, está configurando una ACL extendida que bloquea el tráfico que se origina en cualquier
dispositivo en la red 192.168.10.0/24 para acceder al host 200.200.200.1 (el ISP simulado). Esta ACL se
aplicará saliente en la interfaz Serial R2 0/0/0 de R2. Una práctica recomendada típica para aplicar ACL
extendidas es colocarlas lo más cerca posible de la fuente.

Cree la ACL extendida:

En el modo de configuración global, cree una ACL extendida con nombre llamada EXTEND-1.
en el modo de configuración de ACL extendida, cree las declaraciones necesarias para bloquear el
tráfico de la red 192.168.10.0/24 al host.
Permitir todo el resto del tráfico.

Ing. Ronald J. Vera Paz

Cisco ID: CSCO12911909
 Aplicar la ACL:

Aplique el ACL EXTEND-1 como filtro de paquetes salientes que salen de R2 a través de la interfaz
serial 0/0/0.

Probar la ACL extendida:

Desde PC-1, haga ping 200.200.200.1 en R1. Estos pings deberían fallar, porque todo el tráfico de la red
192.168.10.0/24 se filtra cuando el destino es 200.200.200.1. Si el destino es cualquier otra dirección, los
pings deberían tener éxito. Confirme esto haciendo ping a la PC-5 (192.169.30.10) desde la PC-1.

c) Controle el acceso a las líneas VTY con una ACL estándar:

Es una buena práctica restringir el acceso a las líneas VTY del enrutador para la administración remota.
Se puede aplicar una ACL a las líneas VTY, lo que le permite restringir el acceso a hosts o redes
específicos. En esta tarea, configurará una ACL estándar para permitir que los hosts de dos redes
accedan a las líneas VTY. Todos los demás hosts son denegados.

Configure la ACL:

Configure una ACL estándar en R1 que permita el tráfico desde 10.2.2.0/30 y 192.168.30.0/24. Negar
todo el resto del tráfico. Llame al ACL STND-2.

Aplicar la ACL:

Ingrese al modo de configuración de línea para las líneas VTY 0–4.

Use el comando de clase de acceso para aplicar la ACL a las líneas vty en la dirección de entrada.
Tenga en cuenta que esto difiere del comando utilizado para aplicar ACL a otras interfaces.

Probar el ACL:

Telnet a R1 desde R2. Tenga en cuenta que R2 no tiene direcciones IP en el rango de direcciones
enumerado en las declaraciones de permiso ACL STND-2. Los intentos de conexión deberían fallar.
De R3, telnet a R1. Se le presentará un mensaje para la contraseña de la línea VTY.

d) Configuración de ACL STND/EXT para las siguientes reglas:

1. Configure la red para denegar todo acceso desde el ISP al servidor de archivos (192.168.20.210).
Permitir acceso desde cualquier otro dispositivo.
2. Configurar solo el acceso de correo al servidor de correo (192.168.20.200)
3. Configurar solo el acceso web al servidor web (192.168.20.201)

Ing. Ronald J. Vera Paz

Cisco ID: CSCO12911909