Tabla de contenido
Información
ACL estándar y extendida
NAT con sobrecarga
Referencias
Configurar el acceso seguro a la red LAN y WAN a través de las listas de acceso y la traducción dinámica de direcciones para la comunicación con el ISP y la red local.
Los usuarios y contraseñas de los dispositivos son: admin / 1234
Los usuarios y contraseñas para acceder por FTP son: cisco / cisco
Descargar documentos
ACL estándar y extendida
Configurar las listas de acceso extendidas y estándar nombradas (Escoja el nombre de cada una a su elección)
Los dispositivos intermediarios (routers y switch ) solo pueden ser administrados por la estación de trabajo de la red Sur 2 a través de SSH .
SUR Sur # configure terminal
Sur ( config )# ip access - list standard ADMIN - SSH
Sur ( config - std - nacl )# remark PERMITIR TODOS LOS HOST DE LA RED SUR 2 POR SSH
Sur ( config - std - nacl )# permit 192.168 . 1.128 0.0 . 0.63
Sur ( config - std - nacl )# remark DENEGAR ACCESS A TODOS LOS HOST
Sur ( config - std - nacl )# deny any
Sur ( config - std - nacl )# exit
Sur ( config )# line vty 0 4
Sur ( config - line )# transport input ssh
Sur ( config - line )# access - class ADMIN - SSH in
SWS1 SWS1 # configure terminal
SWS1 ( config )# ip access - list standard ADMIN - SSH
SWS1 ( config - std - nacl )# remark PERMITIR TODOS LOS HOST DE LA RED SUR 2 POR SSH
SWS1 ( config - std - nacl )# permit 192.168 . 1.128 0.0 . 0.63
SWS1 ( config - std - nacl )# remark DENEGAR ACCESS A TODOS LOS HOST
SWS1 ( config - std - nacl )# deny any
SWS1 ( config - std - nacl )# exit
SWS1 ( config )# line vty 0 15
SWS1 ( config - line )# transport input ssh
SWS1 ( config - line )# access - class ADMIN - SSH in
SWS2 SWS2 # configure terminal
SWS2 ( config )# ip access - list standard ADMIN - SSH
SWS2 ( config - std - nacl )# remark PERMITIR TODOS LOS HOST DE LA RED SUR 2 POR SSH
SWS2 ( config - std - nacl )# permit 192.168 . 1.128 0.0 . 0.63
SWS2 ( config - std - nacl )# remark DENEGAR ACCESS A TODOS LOS HOST
SWS2 ( config - std - nacl )# deny any
SWS2 ( config - std - nacl )# exit
SWS2 ( config )# line vty 0 15
SWS2 ( config - line )# transport input ssh
SWS2 ( config - line )# access - class ADMIN - SSH in
NORTE Norte # configure terminal
Norte ( config )# ip access - list standard ADMIN - SSH
Norte ( config - std - nacl )# remark PERMITIR TODOS LOS HOST DE LA RED SUR 2 POR SSH
Norte ( config - std - nacl )# permit 192.168 . 1.128 0.0 . 0.63
Norte ( config - std - nacl )# remark DENEGAR ACCESS A TODOS LOS HOST
Norte ( config - std - nacl )# deny any
Norte ( config - std - nacl )# exit
Norte ( config )# line vty 0 4
Norte ( config - line )# transport input ssh
Norte ( config - line )# access - class ADMIN - SSH in
SWN1 SWN1 # configure terminal
SWN1 ( config )# ip access - list standard ADMIN - SSH
SWN1 ( config - std - nacl )# remark PERMITIR TODOS LOS HOST DE LA RED SUR 2 POR SSH
SWN1 ( config - std - nacl )# permit 192.168 . 1.128 0.0 . 0.63
SWN1 ( config - std - nacl )# remark DENEGAR ACCESS A TODOS LOS HOST
SWN1 ( config - std - nacl )# deny any
SWN1 ( config - std - nacl )# exit
SWN1 ( config )# line vty 0 15
SWN1 ( config - line )# transport input ssh
SWN1 ( config - line )# access - class ADMIN - SSH in
SWN2 SWN2 # configure terminal
SWN2 ( config )# ip access - list standard ADMIN - SSH
SWN2 ( config - std - nacl )# remark PERMITIR TODOS LOS HOST DE LA RED SUR 2 POR SSH
SWN2 ( config - std - nacl )# permit 192.168 . 1.128 0.0 . 0.63
SWN2 ( config - std - nacl )# remark DENEGAR ACCESS A TODOS LOS HOST
SWN2 ( config - std - nacl )# deny any
SWN2 ( config - std - nacl )# exit
SWN2 ( config )# line vty 0 15
SWN2 ( config - line )# transport input ssh
SWN2 ( config - line )# access - class ADMIN - SSH in
En la red Norte 1 y Norte 2 los dispositivos poseen las siguientes restricciones :
Respuesta de ping a la red Sur 2 (Administrativa).
Acceso al servidor FTP.
Acceso Web al servidor interno.
Todos los demás servicios están disponibles.
NORTE Norte ( config )# ip access - list extended NORTE - IN
Norte ( config - ext - nacl )# remark DENEGAR ACCESO AL SERVIDOR FTP
Norte ( config - ext - nacl )# deny tcp 172.16 . 10.0 0.0 . 0.255 host 192.168 . 1.130 eq 21
Norte ( config - ext - nacl )# deny tcp 172.16 . 11.0 0.0 . 0.255 host 192.168 . 1.130 eq 21
Norte ( config - ext - nacl )# remark DENEGAR ACCESO WEB DEL SERVIDOR INTERNO
Norte ( config - ext - nacl )# deny tcp 172.16 . 10.0 0.0 . 0.255 host 192.168 . 1.130 eq 80
Norte ( config - ext - nacl )# deny tcp 172.16 . 11.0 0.0 . 0.255 host 192.168 . 1.130 eq 80
Norte ( config - ext - nacl )# remark DENEGAR RESPUESTA DE PING A LA RED SUR 2
Norte ( config - ext - nacl )# deny icmp 172.16 . 10.0 0.0 . 0.255 192.168 . 1.128 0.0 . 0.63 echo
Norte ( config - ext - nacl )# deny icmp 172.16 . 11.0 0.0 . 0.255 192.168 . 1.128 0.0 . 0.63 echo
Norte ( config - ext - nacl )# permit ip any any
Norte ( config - ext - nacl )# exit
Norte ( config )# int range gigabitEthernet 0 / 0 - 1
Norte ( config - if - range )# ip access - group NORTE - IN in
Norte ( config - if - range )# exit
En la red Sur 1 los dispositivos poseen las siguientes restricciones :
Envío de correos electrónicos.
Acceso al servidor FTP.
Todos los demás servicios están disponibles.
SUR Sur ( config )# ip access - list extended SUR1
Sur ( config - ext - nacl )# remark DENEGAR ACCESO AL SERVIDOR FTP
Sur ( config - ext - nacl )# deny tcp 192.168 . 1.0 0.0 . 0.127 host 192.168 . 1.130 eq 21
Sur ( config - ext - nacl )# remark DENEGAR ENVIOS DE CORREOS ELECTRONICOS
Sur ( config - ext - nacl )# deny tcp 192.168 . 1.0 0.0 . 0.127 host 192.168 . 1.130 eq 25
Norte ( config - ext - nacl )# permit ip any any
Sur ( config - ext - nacl )# exit
Sur ( config )# int gigabitEthernet 0 / 0
Sur ( config - if - range )# ip access - group SUR1 in
Sur ( config - if - range )# exit
NAT con sobrecarga
Las redes Norte1 y Norte2 deben realizar comunicación hacía internet empleando el pool de direcciones 203.0.200.232/30 .
NORTE Norte ( config )# access - list 1 permit 172.16 . 0.0 0.0 . 255.255
Norte ( config )# ip nat pool NAT - POOL - NORTE 203.0 . 200.233 203.0 . 200.234 netmask 255.255 . 255.252
Norte ( config )# ip nat inside source list 1 pool NAT - POOL - NORTE overload
Norte ( config )# int serial 0 / 0 / 1
Norte ( config - if )# ip nat outside
Norte ( config - if )# exit
Norte ( config )# int range gigabitEthernet 0 / 0 - 1
Norte ( config - if - range )# ip nat inside
Referencias