5.5.1 Packet Tracer – Desafío de implementación de ACL IPv4 Respuestas

Última actualización: junio 2, 2022

5.5.1 Packet Tracer – Desafío de implementación de ACL IPv4 Respuestas (versión para el instructor)

5.5.1 Packet Tracer – IPv4 ACL Implementation Challenge Español

Nota para el instructor: Los elementos con color de fuente rojo o resaltados en gris indican texto que aparece solo en la copia del instructor.

5.5.1 Packet Tracer - Desafío de implementación de ACL IPv4 Respuestas
5.5.1 Packet Tracer – Desafío de implementación de ACL IPv4 Respuestas

Tabla de asignación de direcciones

Dispositivo Interfaz Dirección IP
Sucursal G0/0/0 192.168.1.1/26
G0/0/1 192.168.1.65/29
S0/1/0 192.0.2.1/30
/1/1 192.168.3.1/30
HQ G0/0/0 192.168.2.1/27
G0/0/1 192.168.2.33/28
/1/1 192.168.3.2/30
PC-1 NIC 192.168.1.10/26
PC-2 NIC 192.168.1.20/26
PC-3 NIC 192.168.1.30/26
Administrador NIC 192.168.1.67/29
Servidor Web empresarial NIC 192.168.1.70/29
Rama PC NIC 192.168.2.17/27
Servidor de sucursal NIC 192.168.2.45/28
Usuarios de Internet NIC 198.51.100.218/24
Servidor web externo NIC 203.0.113.73/24

Objetivos

  • Configure un router con ACL estándar con nombre.
  • Configure un router con ACL nombradas extendidas.
  • Configure un router con ACL extendidas para cumplir requisitos de comunicación específicos.
  • Configure una ACL para controlar el acceso a las líneas de terminal de dispositivos de red.
  • Configure las interfaces de router adecuadas con ACL en la dirección apropiada.
  • Verifique el funcionamiento de las ACL configuradas.

Antecedentes/Escenario

En esta actividad, configurará ACL extendidas, con nombre estándar y con nombre extendido para cumplir los requisitos de comunicación especificados.

Instrucciones

Paso 1: Verificación de la conectividad en la red de la nueva empresa

Primero, pruebe la conectividad en la red tal como está antes de configurar las ACL. Todos los hosts deberían poder hacer ping a todos los demás hosts.

Paso 2: Configure ACL estándar y extendida según los requisitos.

Configure las ACL para que cumplan los siguientes requisitos:

Directrices importantes:

  • No use la denegación explícita de ninguna declaración al final de sus ACL.
  • Utilice taquigrafía (host y any ) siempre que sea posible.
  • Escriba sus sentencias ACL para abordar los requisitos en el orden en que se especifican aquí.
  • Coloque sus ACL en la ubicación y dirección más eficientes.

Requisitos de ACL 1

  • Crear ACL 101.
  • Bloquear explícitamente el acceso FTP a Enterprise Web Server desde Internet.
  • No se debe permitir tráfico ICMP desde Internet a ningún host en HQ LAN 1
  • Permitir el resto del tráfico.

Requisitos de ACL 2

  • Usar el número ACL 111
  • Ningún host de HQ LAN 1 debería poder acceder al servidor de sucursal.
  • Todo otro tráfico debe ser permitido.

ACL 3: Requisitos

  • Cree una ACL estándar con nombre. Utilice el nombre vty_block. El nombre de su ACL debe coincidir exactamente con este nombre.
  • Solo las direcciones de la red LAN 2 de HQ deben poder acceder a las líneas VTY del router HQ.

ACL 4: Requisitos

  • Cree una ACL extendida con nombre llamada branch_to_hq. El nombre de su ACL debe coincidir exactamente con este nombre.
  • No se debe permitir que ningún host de ninguna de las LAN de sucursal acceda a la LAN 1 de HQ. Utilice una instrucción de lista de acceso para cada una de las LAN de sucursales.
  • Todo otro tráfico debe ser permitido.

Paso 3: Verifique la operación ACL.

a. Realice las siguientes pruebas de conectividad entre dispositivos de la topología. Tenga en cuenta si tienen éxito o no.

Nota: Use el comando show ip access-lists para verificar la operación de ACL. Utilice el comando clear access list counters para restablecer los contadores de cruce.

Envíe una solicitud de ping desde Branch PC al Enterprise Web Server. ¿Tuvo éxito? Explique.
El ping se realizó correctamente porque la ACL lo permitió.

¿Qué declaración ACL permitió o denegó el ping entre estos dos dispositivos? Enumere el nombre o número de la lista de acceso, el router en el que se aplicó y la línea específica con la que coincidió el tráfico.
La última línea en la ACL branch_to_hq en el Router Branch es permit ip any.

Intente hacer ping desde PC-1 en la LAN 1 de HQ al servidor de sucursal. ¿Tuvo éxito? Explique.
El ping no se realizó correctamente porque una lista de acceso bloqueó el tráfico.

¿Qué declaración ACL permitió o denegó el ping entre estos dos dispositivos?
La instrucción 10 de la lista de acceso 111 del router HQ deniega todo el tráfico al servidor de sucursales.

Abra un explorador Web en el servidor externo e intente abrir una página Web almacenada en Enterprise Web Server. ¿Tuvo éxito? Explique.
Sí, el servidor externo puede tener acceso a una página Web en Enterprise Web Server. El tráfico HTTP no está bloqueado en Enterprise Web Server.

¿Qué declaración ACL permitió o denegó el ping entre estos dos dispositivos?
La línea 20 de la lista de acceso 101 del router HQ permitió este tráfico.

b. Probar conexiones a un servidor interno desde Internet.

Desde la línea de comandos del PC de usuario de Internet, intente realizar una conexión FTP con el servidor de sucursales. ¿Se ha realizado correctamente la conexión FTP?
Sí, la conexión FTP desde el PC de usuario de Internet al servidor de sucursal es correcta.

¿Qué lista de acceso se debe modificar para evitar que los usuarios de Internet realicen conexiones FTP al servidor de sucursales?
Es necesario modificar la lista de acceso 101 en el router HQ para denegar este tráfico.

¿Qué instrucciones se deben agregar a la lista de acceso para denegar este tráfico?
La declaración «deny tcp any host 192.168.2.45 eq 21» o «deny tcp any host 192.168.2.45 range 20 21» debe agregarse a la lista de acceso 101.

Scripts de respuestas

Router HQ

enable
conf t
access-list 101 deny tcp any host 192.168.1.70 eq ftp
access-list 101 deny icmp any 192.168.1.0 0.0.0.63
access-list 101 permit ip any any
ip access-list standard vty_block
 permit 192.168.1.64 0.0.0.7
access-list 111 deny ip any host 192.168.2.45
access-list 111 permit ip any any
interface GigabitEthernet0/0/0
 ip access-group 111 in
interface Serial0/1/0
 ip access-group 101 in
line vty 0 4
 access-class vty_block en
end

Router Branch

enable
conf t
ip access-list extended branch_to_hq
 deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63
 deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.63
 permit ip any any
interface Serial0/1/1
 ip access-group branch_to_hq out
end
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax