ExamenRedes – Examen, preguntas y respuestas Redes De Computadores Examenes de Redes
Última actualización: septiembre 14, 2022
4.4.2.10 Packet Tracer: Solución de problemas de ACL de IPv6 (Versión para el instructor)
Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.
Topología
Tabla de asignación de direcciones
| Dispositivo | Interfaz | Dirección/prefijo IPv6 | Gateway predeterminado |
|---|---|---|---|
| R1 | G0/0 | 2001:DB8:CAFE::1/64 | N/D |
| G0/1 | 2001:DB8:CAFE:1::1/64 | N/D | |
| G0/2 | 2001:DB8:CAFE:2::1/64 | N/D | |
| PC0 | NIC | 2001:DB8:CAFE::2/64 | FE80::1 |
| Servidor1 | NIC | 2001:DB8:CAFE:1::2/64 | FE80::1 |
| Servidor2 | NIC | 2001:DB8:CAFE:2::2/64 | FE80::1 |
| L0 | NIC | 2001:DB8:CAFE::3/64 | FE80::1 |
| L1 | NIC | 2001:DB8:CAFE:1::3/64 | FE80::1 |
| L2 | NIC | 2001:DB8:CAFE:2::3/64 | FE80::1 |
Objetivos
Parte 1: Solucionar problemas de acceso HTTP
Parte 2: Solucionar problemas de acceso FTP
Parte 3: Solucionar problemas de acceso SSH
Situación
Las siguientes tres políticas se han implementado en la red:
- Los host de la red 2001:DB8:CAFÉ::/64 no tienen acceso HTTP a las otras redes.
- Los host de la red 2001:DB8:CAFÉ:1::/64 no pueden acceder al servicio FTP de Server2.
- Los hosts de las redes 2001:DB8:CAFE:1::/64 y 2001:DB8:CAFE:2::/64 no tienen permitido el acceso a R1 mediante SSH.
No debe haber otras restricciones. Lamentablemente, las reglas implementadas no funcionan de manera correcta. Su tarea es buscar y corregir los errores relacionados con las listas de acceso en el R1.
Nota: Para acceder a R1 y a los servidores FTP, use el nombre de usuario user01 y la contraseña user01pass.
Parte 1: Solucionar problemas del acceso HTTP
Los hosts de la red 2001:DB8:CAFE::/64 tienen intencionalmente impedido el acceso al servicio HTTP, pero no deberían tener ninguna otra restricción.
Paso 1: determinar el problema de la ACL.
A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la ACL.
a. Usando L0, L1 y L2, intente acceder a los servicios HTTP de Server1 y Server2.
b. Usando L0, emita un comando ping a Server1 y Server2.
c. Usando PC0, acceda a los servicios HTTPS de Server1 y Server2.
d. Vea la configuración en ejecución en el R1. Examine la lista de acceso G0-ACCESS y su ubicación en las interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto? ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están en el orden correcto?
e. Realice otras pruebas, según sea necesario.
Paso 2: Implementar una solución.
Realice los ajustes necesarios a las listas de acceso para solucionar el problema.
R1(config)# ipv6 access-list G0-ACCESS
R1(config-ipv6-acl)# permit ipv6 any any
Paso 3: verificar que el problema se haya resuelto y registrar la solución.
Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.
No llega tráfico debido a la instrucción deny any implícita. Se agregó una instrucción permit ipv6 any any a la G0-ACCESS.
Parte 2: Solucionar problemas de acceso HTTP
Los hosts de la red 2001:DB8:CAFE:1::/64 no tienen permitido el acceso al servicio FTP de Server2, pero no deberían tener ninguna otra restricción.
Paso 1: determinar el problema de la ACL.
A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la ACL.
a. Usando L0, L1 y L2, intente acceder al servicio FTP de Server2.
PC> ftp 2001:db8:cafe:2::2
b. Vea la configuración en ejecución en el R1. Examine la lista de acceso G1-ACCESS y su ubicación en las interfaces. ¿La lista de acceso se colocó en el puerto apropiado y en el sentido correcto? ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están en el orden correcto?
c. Realice otras pruebas, según sea necesario.
Paso 2: Implementar una solución.
Realice los ajustes necesarios a las listas de acceso para solucionar el problema.
R1(config)# interface GigabitEthernet0/1
R1(config-if)# no ipv6 traffic-filter G1-ACCESS out
R1(config-if)# ipv6 traffic-filter G1-ACCESS in
Paso 3: verificar que el problema se haya resuelto y registrar la solución.
Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.
G1-ACCESS se aplicó en sentido de salida en G0/1. Se eliminó en sentido de salida y se aplicó en sentido de entrada en G0/1.
Parte 3: Solucionar problemas de acceso SSH
Solo los hosts de la red 2001:DB8:CAFE::/64 tienen permitido el acceso remoto a R1 mediante SSH.
Paso 1: determinar el problema de la ACL.
A medida que realiza las siguientes tareas, compare los resultados obtenidos con sus expectativas sobre la ACL.
a. Desde L0 o PC0, verifique el acceso SSH a R1.
b. Usando L1 y L2, intente acceder a R1 mediante SSH.
c. Vea la configuración en ejecución en el R1. Examine las listas de acceso y sus ubicaciones en las interfaces. ¿La lista de acceso se colocó en la interfaz apropiada y en el sentido correcto? ¿Existe alguna instrucción en la lista que permita o deniegue el tráfico a otras redes? ¿Las instrucciones están en el orden correcto?
d. Realice otras pruebas, según sea necesario.
Paso 2: Implementar una solución.
Realice los ajustes necesarios a las listas de acceso para solucionar el problema.
R1(config)# no ipv6 access-list G2-ACCESS
R1(config)# ipv6 access-list G2-ACCESS
R1(config-ipv6-acl)# deny tcp 2001:DB8:CAFE:2::/64 any eq 22
R1(config-ipv6-acl)# permit ipv6 any any
Paso 3: verificar que el problema se haya resuelto y registrar la solución.
Si el problema se resuelve, registre la solución. De lo contrario, vuelva al paso 1.
La lista de acceso G2-ACCESS permite todo el tráfico porque el orden de las instrucciones es incorrecto. Reordene las instrucciones de modo que b sea la segunda.
Tabla de calificación sugerida
| Ubicación de la consulta | Puntos posibles | Puntos obtenidos |
|---|---|---|
| Puntuación del registro | 10 | |
| Puntuación de Packet Tracer | 90 | |
| Puntuación total | 100 |
Guion
Configuración de R1
ipv6 access-list G0-ACCESS permit ipv6 any any no ipv6 access-list G2-ACCESS ipv6 access-list G2-ACCESS deny tcp 2001: DB8: CAFE: 2:: /64 any eq 22 permit ipv6 any any interface GigabitEthernet0/1 no ipv6 traffic-filter G1-ACCESS out ipv6 traffic-filter G1-ACCESS in
