9.4.2.7 Lab - Troubleshooting ACL Configuration and Placement

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL Topología

© 201 2014 4 Cis Cisco co y/o y/o sus sus fil filia iale les. s. Todos dos los los dere derech chos os rese reserv rvad ados os.. Est Este e doc docum umen ento to es info inform rmac ació ión n pú púli lica ca de Cisc Cisco. o.

!"#i !"#ina na 1 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL

Tabla Tabla de direccionamiento Dispositio

%$!nterfa"

Dirección !P

#áscara de subred

$ate%ay predeterminado

&0/1

1'2.1().1.1

2**.2**.2**.0

+/,

-0/0/1

10.1.1.2

2**.2**.2**.2*2

+/,

o0

1'2.1().4.1

2**.2**.2**.0

+/,

&0/1

1'2.1()..1

2**.2**.2**.0

+/,

-0/0/0 CE3

10.1.1.1

2**.2**.2**.2*2

+/,

-1

,+ 1

1'2.1().1.11

2**.2**.2**.0

1'2.1().1.1

-

,+ 1

1'2.1()..11

2**.2**.2**.0

1'2.1()..1

!C5,

+C

1'2.1().1.

2**.2**.2**.0

1'2.1().1.1

!C5C

+C

1'2.1()..

2**.2**.2**.0

1'2.1()..1

-!

&b'etios Parte 1: armar la red y configurar configurar los parámetros básicos de los dispositios Parte (: resoler problemas de acceso interno Parte 3: resoler problemas de acceso remoto

!nformación básica)situación 6na lista de control de acceso ,C3 es una serie de comandos de 7- 8ue proporcionan un filtrado de tr"fico "sico en un router Cisco. as ,C se usan para seleccionar los tipos de tr"fico 8ue se deen procesar. Cada instrucción de ,C individual se denomina 9entrada de control de acceso: ,CE3. as ,CE en la ,C se evalúan de arria aa;o< y al final de la lista hay una ,CE deny all impl=cita. as ,C tami>n tami>n controlan los tipos de tr"fico entrante y saliente de una red se#ún los hosts o las redes de ori#en y destino. !ara procesar el tr"fico deseado correctamente< la uicación de las ,C es fundamental. En esta pr"ctica de laoratorio< una pe8ue?a empresa acaa de a#re#ar un servidor @e a la red para permitir 8ue los clientes ten#an acceso a información confidencial. a red de la empresa se divide en dos AonasB Aona de red corporativa y Aona perimetral D3. a Aona de red corporativa alo;a los servidores privados y los clientes internos. a D alo;a el servidor @e al 8ue se puede acceder de forma eterna simulado por o0 en $%3. eido a 8ue la empresa solo puede administrar su propio router $%< todas las ,C deen deen aplicarse al router router $%. •

•

a ,C 101 se implementa para limitar el tr"fico saliente de la Aona de red corporativa. Esta Aona alo;a los servidores privados y los clientes internos 1'2.1().1.0/243. +in#una otra red dee poder acceder a ella. a ,C 102 se usa para limitar el tr"fico entrante a la red corporativa. , esa red solo p ueden acceder las respuestas a las solicitudes 8ue se ori#inaron dentro de la red corporativa. Esto incluye solicitudes asadas en TC! de los ho sts internos< como @e y FT!. -e -e permite el acceso de d e C! a la red para fines de resolución de prolemas< de forma 8ue los hosts internos pueden reciir mensa;es C! entrantes #enerados en respuesta a pin#s.


!"#i !"#ina na ( de 13


•

a ,C 121 controla el tr"fico eterno hacia la D y la red corporativa. -olo se permite el acceso de tr"fico $TT! al servidor @e D simulado por o0 en el G13. -e permite cual8uier otro tr"fico relacionado con la red< como E&G!< E&G!< desde redes eternas. ,dem"s< ,dem"s< se denie#a el acceso a la red corporativa a las direcciones privadas internas v"lidas< como 1'2.1().1.0< las direcciones de loopacH< como 12I.0.0.0< y las direcciones de multidifusión< con el fin de impedir ata8ues malintencionados de usuarios eternos a la red.

*otaB *otaB los routers 8ue se utiliAan en las pr"cticas de laoratorio de CC+, son routers de servicios inte#rados -G3 Cisco 1'41 con 7- de Cisco versión 1*.243 ima#en universalH'3. os s@itches 8ue se utiliAan son Cisco Catalyst 2'(0s con 7- de Cisco versión 1*.023 ima#en de lanaseH'3. -e pueden utiliAar otros routers< s@itches y otras versiones del 7- de Cisco. -e#ún el modelo y la versión de 7- de Cisco< los comandos disponiles y los resultados 8ue se otienen pueden diferir de los 8ue se muestran en las pr"cticas de laoratorio. Consulte la tala Gesumen de interfaces del router 8ue se encuentra al final de la pr"ctica de laoratorio para otener los identificadores de interfaA correctos. *otaB *otaB ase#úrese de 8ue los routers y los s@itches se hayan orrado y no ten#an confi#uraciones de inicio. -i no est" se#uro< consulte con el instructor.

+ecursos necesarios •

2 routers Cisco 1'41 con 7- de Cisco versión 1*.243< ima#en un iversal o similar3

•

2 s@itches Cisco 2'(0 con 7- de Cisco versión 1*.023< ima#en lanaseH' o similar3

•

2 computadoras Jindo@s I< ista o K! con un pro#rama de emulación de terminal< como Te Tera ra Term3 Term3

•

Cales de consola para confi#urar los dispositivos con 7- de Cisco mediante los puertos de consola

•

Cales Ethernet y seriales< como se muestra en la topolo#=a

Parte 1: armar la red y configurar los parámetros básicos de los los dispositios En la parte 1< estalecer" la topolo#=a de la red y confi#urar" los routers y los s @itches con al#unos par"metros "sicos< como contrase?as y direcciones !. Tami>n ami>n se proporcionan confi#uraciones predefinidas para la confi#uración inicial del router. ,dem"s< ,dem"s< confi#urar" los par"metros de ! de las computadoras en la topolo#=a.

Paso 1: 1: reali"ar el cableado cableado de red tal como se se muestra muestra en la topología, topología, Paso (: configur configurar ar los los e-uip e-uipos os .ost, .ost, Paso 3: iniciali"ar iniciali"ar y oler oler a cargar cargar los routers routers y los s%itc.es seg/n sea sea necesario, necesario, Paso 0: 0:

optatio2 configurar los parámetros parámetros básicos de cada s%itc.,

a. esact esactive ive la ús8ue ús8ueda da del +-. +-. . Confi#ure Confi#ure los los nomres nomres de host host como como se muestra muestra en en la topolo#= topolo#=a. a. c.

Confi#ure Confi#ure la direcci dirección ón ! y el #ate@ay #ate@ay predeter predeterminad minado o en la tala de direccio direccionamie namiento. nto.

d. ,si#ne cisco como cisco como la contrase?a de consola y la contrase?a de vty. e.

,si#ne class como class como la contrase?a del modo EKEC privile#iado.

f.

Confi#ure logging sync.ronous para evitar 8ue los mensa;es de consola interrumpan la entrada de comandos.


!"#i !"#ina na 3 de 13


Paso : : configurar los parámetros parámetros básicos para cada cada router, router, a. esact esactive ive la ús8ue ús8ueda da del +-. +-. . Confi#ure Confi#ure los los nomres nomres de host host como como se muestra muestra en en la topolo#= topolo#=a. a. c.

,si#ne cisco como cisco como la contrase?a de consola y la contrase?a de vty.

d. ,si#ne class como class como la contrase?a del modo EKEC privile#iado. e. Confi#ure logging sync.ronous para evitar 8ue los mensa;es de consola interrumpan la entrada de comandos.

Paso 4: Configure el el acceso 5TTP y las credenciales credenciales de usuario usuario en el router router 56, as credenciales de usuario local se confi#uran para acceder al servidor @e simulado 1'2.1().4.13. HQ(config)# ip http server HQ(config)# username admin privilege 15 secret adminpass HQ(config)# ip http authentication local

Paso 7: 7: cargar cargar las config configurac uraciones iones de de los routers routers,, -e le proporcionan las confi#uraciones de los routers -! y $%. Estas confi#uraciones contienen errores< y su traa;o es determinar las confi#uraciones incorrectas y corre#irlas. +outer !8P hostname ISP interface GigabitEthernet0/1 ip address 19!1"!$!1 %%!%%!%%!0 no sh&tdo'n interface Seria0/0/0 ip address 10!1!1!1 %%!%%!%%!% coc rate 1000 no sh&tdo'n ro&ter eigrp 1 net'or 10!1!1!0 0!0!0!$ net'or 19!1"!$!0 no a&to*s&mmar+ end

+outer 56 hostname HQ interface ,oopbac0 ip address 19!1"!-!1 %%!%%!%%!0 interface GigabitEthernet0/1 ip address 19!1"!1!1 %%!%%!%%!0 ip access*gro&p 101 o&t ip access*gro&p 10 in no sh&tdo'n interface Seria0/0/1 ip address 10!1!1! %%!%%!%%!% ip access*gro&p 11 in no sh&tdo'n ro&ter eigrp 1


!"#i !"#ina na 0 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL net'or 10!1!1!0 0!0!0!$ net'or 19!1"!1!0 net'or 19!1"!-!0 no a&to*s&mmar+ access*ist 101 permit ip 19!1"!11!0 0!0!0!%% an+ access*ist 101 den+ ip an+ an+ access*ist 10 permit tcp an+ an+ estabished access*ist 10 permit icmp an+ an+ echo*rep+ access*ist 10 permit icmp an+ an+ &nreachabe access*ist 10 den+ ip an+ an+ access*ist 11 permit tcp an+ host 19!1"!-!1 e. 9 access*ist 11 den+ icmp an+ host 19!1"!-!11 access*ist 11 den+ ip 19!1"!1!0 0!0!0!%% an+ access*ist 11 den+ ip 1!0!0!0 0!%%!%%!%% an+ access*ist 11 den+ ip -!0!0!0 $1!%%!%%!%% an+ access*ist 11 permit ip an+ an+ access*ist 11 den+ ip an+ an+ end

Parte (: resoler resoler problemas de acceso interno interno En la parte 2< se eaminan las ,C en el router $% para determinar si se confi#uraron correctamente.

Paso 1: resoler resoler problema problemas s en la la ACL ACL 191, 191, a ,C 101 se implementa para limitar el tr"fico saliente de la Aona de red corporativa. Esta Aona solo alo;a clientes internos y servidores privados. -olo la red 1'2.1().1.0/24 puede salir de esta Aona de red corporativa. a. L-e puede puede hacer pin# pin# de la la !C5, a su #ate@ay #ate@ay predeterm predeterminad inadoM oM NNNNNNNNNNN NNNNNNNNNNNNNN NNN no . espu>s espu>s de verificar verificar 8ue la !C5, est> confi#ur confi#urada ada correctame correctamente< nte< eamine eamine el router router $% y vea el resumen de la ,C 101 para encontrar posiles errores de confi#uración. ntroduAca el comando s.o% accesslists 191. 191. HQ# show access-lists 101 Etended IP access ist 101 10 permit ip 19!1"!11!0 0!0!0!%% an+ 0 den+ ip an+ an+

c.

LEist LEiste e al#ún al#ún prole prolema ma en en la ,C ,C 101M 101M -=. a ,C 101 permite la red 1'2.1().11.0 /24 en lu#ar de la red 1'2.1().1.0 /24. NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNN

d. Eamine la interfaA del #ate@ay predeterminado predeterminado para para la red red 1'2.1().1.0 /24. erifi8ue erifi8ue 8ue la ,C 101 est> aplicada en el sentido correcto en la interfaA &0/1. ntroduAca el comando s.o% ip interface g9)1. g9)1 . HQ# show ip interface g0/1 GigabitEthernet0/1 is &p ine protoco is &p Internet address is 19!1"!1!1/2roadcast address is %%!%%!%%!%% 3ddress determined b+ set&p command 456 is 1%00 b+tes Heper address is not set


!"#i !"#ina na  de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL 7irected broadcast for'arding is disabed 4&ticast reser8ed gro&ps oined: -!0!0!10 ;&tgoing access ist is 101 Inbo&nd

access ist is 10

LEl sentido de la ,C 101 en la interfaA &0/1 est" confi#urado correctamenteM +o. El sentido de la ,C 101 dee ser de entrada al router. NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNN e. Corri;a Corri;a los errores errores encontra encontrados dos con respecto respecto a la ,C ,C 101 y verifi8ue verifi8ue 8ue el tr"fico tr"fico de la la red 1'2.1().1.0 /24 puede salir de la red corporativa. Ge#istre los comandos usados para corre#ir los errores. HQ(config)# HQ(config)# HQ(config)# HQ(config)#

no access-list 101 access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 deny ip any any interface g0/1

$%confi#5if3O ip accessgroup 191 in NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNN f.

erifi erifi8ue 8ue 8ue se se pueda hacer hacer pin# de la la !C5, a su interfaA interfaA de #ate@ #ate@ay ay predetermi predeterminado. nado.

Paso (: resoler resoler problema problemas s en la la ACL ACL 19(, 19(, a ,C 102 se implementa para limitar el tr"fico entrante a la red corporativa. +o se permite el acceso de tr"fico 8ue se ori#ina en redes eternas a la red corporativa. -e permite el acceso de tr"fico remoto a la red corporativa si el tr"fico estalecido se ori#inó en la red interna. -e permiten mensa;es de respuesta C! para fines de resolución de prolemas. a. L-e puede puede hacer hacer pin# pin# de la !C5, !C5, a la !C5CM !C5CM NNNNNNNN NNNNNNNNNNNN NNNN no . Eamine Eamine el router router $% y vea el resumen resumen de la ,C ,C 102 para encontrar encontrar posil posiles es errores errores de confi#urac confi#uración. ión. ntroduAca el comando s.o% accesslists 19(. 19(. HQ# show access-lists 102 Etended IP access ist 10 10 permit tcp an+ an+ estabished 0 permit icmp an+ an+ echo*rep+ $0 permit icmp an+ an+ &nreachabe -0 den+ ip an+ an+ (% matches)

c.

LEist LEiste e al#ún al#ún prole prolema ma en en la ,C ,C 102M 102M no NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNN

d. erifi8ue erifi8ue 8ue la ,C 102 est> aplicada en el sentido sentido correcto en la interfaA &0/1. ntroduAca ntroduAca el comando s.o% ip interface g9)1. g9)1 . HQ# show ip interface g0/1 GigabitEthernet0/1 is &p ine protoco is &p Internet address is 19!1"!1!1/2roadcast address is %%!%%!%%!%% 3ddress determined b+ set&p command 456 is 1%00 b+tes Heper address is not set 7irected broadcast for'arding is disabed


!"#i !"#ina na 4 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL 4&ticast reser8ed gro&ps oined: -!0!0!10 ;&tgoing access ist is 101 Inbo&nd

access ist is 101

e. LEiste LEiste al#ún al#ún prolema prolema con la la aplicación aplicación de la la ,C ,C 102 a la interfaA interfaA &0/1M &0/1M -=. a ,C 101 est" confi#urada como ,C saliente< y deer=a ser la ,C 102. NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNN f! Corri;a los errores encontrados con respecto a la ,C 102. Ge#istre los comandos usados para corre#ir

los errores. HQ(config)# interface g0/1

$%confi#5if3O ip accessgroup 19( out NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNN #. L-e puede puede hacer hacer pin# pin# de la !C5, !C5, a la !C5C !C5C ahoraM ahoraM NNNNNNNN NNNNNNNNNNsi NNsi

Parte 3: resoler resoler problemas problemas de acceso remoto En la parte < se confi#uró la ,C 121 para prevenir los ata8ues de suplantación de identidad provenientes de redes eternas y para permitir solo el acceso $TT! remoto al servidor @e 1'2.1().4.13 en la D. a. erifi erifi8ue 8ue 8ue la ,C ,C 121 est> confi#ur confi#urada ada correctam correctamente. ente. ntrod ntroduAca uAca el comando comando s.o% ip accesslist 1(1. 1(1. HQ# show ip access-lists 121 Etended IP access ist 11 10 permit tcp an+ host 19!1"!-!1 e. 9 0 den+ icmp an+ host 19!1"!-!11 $0 den+ ip 19!1"!1!0 0!0!0!%% an+ -0 den+ ip 1!0!0!0 0!%%!%%!%% an+ %0 den+ ip -!0!0!0 $1!%%!%%!%% an+ "0 permit ip an+ an+ ($%- matches) 0 den+ ip an+ an+

LEiste al#ún prolema en esta ,CM -=. El número de puerto en la l=nea 10 dee ser ) 0. a dirección host en la l=nea 20 dee ser 1'2.1().4.1 para el servidor @e. NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNN . erifi8ue erifi8ue 8ue la ,C 121 est> aplicada en el sentido sentido correcto en la interfaA -0/0/1 del G1. ntroduAca ntroduAca el comando s.o% ip interface s9)9)1. s9)9)1 . HQ# show ip interface s0/0/1 Seria0/0/1 is &p ine protoco is &p Internet address is 10!1!1!/$0 2roadcast address is %%!%%!%%!%% <;&tp&t ;mitted= 4&ticast reser8ed gro&ps oined: -!0!0!10 ;&tgoing access ist is not set Inbo&nd

access ist is 11

LEiste al#ún prolema con la aplicación de esta ,CM +o. Est" aplicada como de entrada en -0/0/1.


!"#i !"#ina na 7 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNN c.

-i se encontrar encontraron on errores< errores< ha#a los los camios camios necesarios necesarios a la confi#ur confi#uración ación de la ,C ,C 121 y re#=strelos. re#=strelos.

HQ(config)# HQ(config)# HQ(config)# HQ(config)# HQ(config)# HQ(config)# HQ(config)#

no access-list 121 access-list 121 permit tcp any host 192.168..1 e! 80 access-list 121 deny icmp any host 192.168..1 access-list 121 deny ip 192.168.1.0 0.0.0.255 any access-list 121 deny ip 12".0.0.0 0.255.255.255 any access-list 121 deny ip 22.0.0.0 #1.255.255.255 any access-list 121 permit ip any any

$%confi#3O accesslist 1(1 deny ip any any NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNN d. erifi8ue erifi8ue 8ue la !C5C !C5C solo pueda acceder al servidor servidor @e simulado en el $% mediante el nave#ador @e. !ara acceder al servidor @e 1'2.1().4.13< proporcione el nomre de usuario admin y admin y la contrase?a adminpass. adminpass .

+efle;ión 1. LCómo LCómo se deer=a deer=a ordenar la la instrucció instrucción n de ,C< ,C< de lo #eneral #eneral a lo espec=fico espec=fico o viceversa viceversaM M El orden deer=a ser de lo espec=fico a lo #eneral< dado 8ue la ,C se e;ecuta de arria aa;o< en orden secuencial. Cuando una condición es verdadera< el procesamiento en la lista se detiene y no se realiAa nin#una otra comparación. NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN 2. -i eli elimin mina a una una ,C ,C con el coma comando ndo no accesslist y accesslist y la ,C si#ue aplicada a la interfaA< L8u> sucedeM -e aplicar=a una instrucción deny any predeterminada. -e dee tener cuidado al e liminar una ,C ,C aplicada a una interfaA activa. NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNN


!"#i !"#ina na < de 13


Tabla Tabla de resumen de interfaces del router +esumen de interfaces del router #odelo de router

!nterfa" =t =t.ernet >1

!nterf erfa" =t =t.ernet n,? (

!nter terfa" fa" ser seria iall >1 >1

!nt !nterf erfa" seri erial n,? (

1)00

Fast Ethernet 0/0 F0/03


-eri -erial al 0/0 0/0/0 /0 -0/ -0/0/ 0/03 03

-eri -erial al 0/0/ 0/0/1 1 -0/ -0/0/ 0/13 13

1'00

&i#ait Ethernet 0/0 &0/03


-eri -erial al 0/0 0/0/0 /0 -0/ -0/0/ 0/03 03

-eri -erial al 0/0/ 0/0/1 1 -0/ -0/0/ 0/13 13

2)01



-eri -erial al 0/1 0/1/0 /0 -0/ -0/1/ 1/03 03

-eri -erial al 0/1/ 0/1/1 1 -0/ -0/1/ 1/13 13

2)11



-eri -erial al 0/0 0/0/0 /0 -0/ -0/0/ 0/03 03

-eri -erial al 0/0/ 0/0/1 1 -0/ -0/0/ 0/13 13

2'00



-eri -erial al 0/0 0/0/0 /0 -0/ -0/0/ 0/03 03

-eri -erial al 0/0/ 0/0/1 1 -0/ -0/0/ 0/13 13

*otaB *otaB para conocer la confi#uración del router< oserve las interfaces a fin de identificar el tipo de router y cu"ntas interfaces tiene. +o eiste una forma eficaA de confeccionar una lista de todas las cominaciones de confi#uraciones para cada clase de router. En esta tala< se incluyen los identificadores para las posiles cominaciones de interfaces Ethernet y seriales en e l dispositivo. En esta tala< no se incluye nin#ún otro tipo de interfaA< si ien puede haer interfaces de otro tipo en un router determinado. a interfaA PG -+ es un e;emplo. a cadena entre par>ntesis es la areviatura le#al 8ue se puede utiliAar en los comandos de 7- de Cisco para representar la interfaA.

Configuraciones de dispositios +outer !8P ISP#sho' r&n 2&iding config&ration!!! >&rrent config&ration : 1-$ b+tes ? 8ersion 1%! ser8ice timestamps deb&g datetime msec ser8ice timestamps og datetime msec no ser8ice pass'ord*encr+ption ? hostname ISP ? boot*start*marer boot*end*marer ? ? enabe secret - 0"@A76HH"1'3E/,7.92Gho1Q4%EnBto+rcH36g!


!"#i !"#ina na @ de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL ? no aaa ne'*mode memor+*siCe iomem 10 ? ? ? ? no ip domain oo&p ip cef no ip8" cef m&tiin b&nde*name a&thenticated ? ? ? ? ? interface Embedded*Ser8ice*Engine0/0 no ip address sh&tdo'n ? interface GigabitEthernet0/0 no ip address sh&tdo'n d&pe a&to speed a&to ? interface GigabitEthernet0/1 ip address 19!1"!$!1 %%!%%!%%!0 d&pe a&to speed a&to ? interface Seria0/0/0 ip address 10!1!1!1 %%!%%!%%!% coc rate 000000 ? interface Seria0/0/1 no ip address sh&tdo'n ? ? ro&ter eigrp 1 net'or 10!1!1!0 0!0!0!$ net'or 19!1"!$!0 ? ip for'ard*protoco nd ? no ip http ser8er no ip http sec&re*ser8er

© 201 2014 4 Cis Cisco co y/o y/o sus sus fili filial ales es.. Todos dos los los dere derech chos os rese reserv rvad ados os.. Est Este e doc docum umen ento to es info inform rmac ació ión n pú púli lica ca de Cisc Cisco. o.

!"#i !"#ina na 19 de 19 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL ? ? contro*pane ? ? ? ine con 0 pass'ord cisco ogging s+nchrono&s ogin ine a& 0 ine  no acti8ation*character no eec transport preferred none transport inp&t a transport o&tp&t pad tenet rogin apb*ta mop &dptn 810 ssh stopbits 1 ine 8t+ 0 pass'ord cisco ogin transport inp&t a ? sched&er aocate 0000 1000 ? end

+outer 56 corregido2 HQ# sho' r&n 2&iding config&ration!!! >&rrent config&ration : 9 b+tes ? 8ersion 1%! ser8ice timestamps deb&g datetime msec ser8ice timestamps og datetime msec no ser8ice pass'ord*encr+ption ? hostname HQ ? boot*start*marer boot*end*marer ? ? enabe secret - 0"@A76HH"1'3E/,7.92Gho1Q4%EnBto+rcH36g! ? no aaa ne'*mode memor+*siCe iomem 1% ?

© 2014 2014 Cisc Cisco o y/o y/o sus sus fili filial ales es.. Todos dos los los dere derech chos os rese reserv rvad ados os.. Este Este docu docume ment nto o es es info inform rmac ació ión n púl púlic ica a de Cisc Cisco. o.

!"#i !"#ina na 11 de 11 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL ? ? ? no ip domain oo&p ip cef no ip8" cef m&tiin b&nde*name a&thenticated ? ? &sername admin pri8iege 1% secret - QHdsDtoPDIcPs,d5i4I8+,+51Hbm@Figc ? ? interface ,oopbac0 ip address 19!1"!-!1 %%!%%!%%!0 ? interface Embedded*Ser8ice*Engine0/0 no ip address sh&tdo'n ? interface GigabitEthernet0/0 no ip address sh&tdo'n d&pe a&to speed a&to ? interface GigabitEthernet0/1 ip address 19!1"!1!1 %%!%%!%%!0 ip access*gro&p 101 in ip access*gro&p 10 o&t d&pe a&to speed a&to ? interface Seria0/0/0 no ip address ?sh&tdo'n ? interface Seria0/0/1 ip address 10!1!1! %%!%%!%%!% ip access*gro&p 11 in ? interface Seria0/0/1 no ip address ?sh&tdo'n ? ro&ter eigrp 1 net'or 10!1!1!0 0!0!0!$ net'or 19!1"!1!0 net'or 19!1"!-!0 ? ip for'ard*protoco nd ? ip http ser8er ip http a&thentication oca no ip http sec&re*ser8er ? ? access*ist 101 permit ip 19!1"!1!0 0!0!0!%% an+


!"#i !"#ina na 1( de 1( de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL access*ist 101 den+ ip an+ an+ access*ist 10 permit tcp an+ an+ estabished access*ist 10 permit icmp an+ an+ echo*rep+ access*ist 10 permit icmp an+ an+ &nreachabe access*ist 10 den+ ip an+ an+ access*ist 11 permit tcp an+ host 19!1"!-!1 e. ''' access*ist 11 den+ icmp an+ host 19!1"!-!1 access*ist 11 den+ ip 19!1"!1!0 0!0!0!%% access*ist 11 den+ ip 1!0!0!0 0!%%!%%!%% access*ist 11 den+ ip -!0!0!0 $1!%%!%%!%% access*ist 11 permit ip an+ an+ access*ist 11 den+ ip an+ an+ ? ? ? contro*pane ? ? ? ine con 0 pass'ord cisco ogging s+nchrono&s ogin ine a& 0 ine  no acti8ation*character no eec transport preferred none transport inp&t a transport o&tp&t pad tenet rogin apb*ta mop &dptn 810 ssh stopbits 1 ine 8t+ 0 pass'ord cisco ogin transport inp&t a ? sched&er aocate 0000 1000 ? end


!"#i !"#ina na 13 de 13 de 13

9.4.2.7 Lab - Troubleshooting ACL Configuration and Placement

Recommend Documents