8 5 13-packet-tracer---configure-extended-ipv4-acls---scenario-2_pt-BR

Prévia do material em texto

 2013 - aa Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 1 4www.netacad.com
Packet Tracer - Configurar ACLs estendidas - cenário 2 . 
Tabela de Endereçamento 
Dispositivo Interface Endereço IP 
Máscara de Sub-
Rede Gateway padrão 
RT1 G0/0 172.31.1.126 255.255.255.224 N/D 
RT1 S0/0/0 209.165.1.2 255.255.255.252 N/D 
PC1 NIC 172.31.1.101 255.255.255.224 172.31.1.126 
PC2 NIC 172.31.1.102 255.255.255.224 172.31.1.126 
PC3 NIC 172.31.1.103 255.255.255.224 172.31.1.126 
Servidor 1 Placa de rede 64.101.255.254 255.254.0.0 64.100.1.1 
Servidor2 Placa de rede 64.103.255.254 255.254.0.0 64.102.1.1 
Blank Line - no additional information 
Objetivos 
Parte 1: Configurar uma ACL estendida nomeada 
Parte 2: Aplicar e verificar a ACL estendida 
Histórico/Cenário 
Neste cenário, os dispositivos específicos na LAN são permitidos a vários serviços nos servidores 
localizados na Internet. 
Instruções 
Parte 1: Configurar uma ACL estendida nomeada 
Configure uma ACL nomeada para implementar a seguinte política: 
 Bloqueie o acesso HTTP e HTTPS do PC1 a Servidor1 e a Servidor2. Os servidores estão dentro 
da nuvem e você sabe apenas os endereços IP deles. 
 Bloqueie o acesso ao FTP de PC2 para Servidor1 e Servidor2. 
 Bloqueie o acesso ao ICMP de PC3 para Servidor1 e Servidor2. 
Observação: para fins de pontuação, você deverá configurar as instruções na ordem especificada nas 
seguintes etapas. 
Etapa 1: Negue o acesso de PC1 aos serviços de HTTP e HTTPS em Servidor1 e Servidor2. 
a. Crie uma lista de acesso IP estendido nomeado no roteador RT1 que negará o acesso do PC1 aos 
serviços HTTP e HTTPS do Server1 e Server2. Quatro declarações de controle de acesso são 
necessárias. Use ACL como o nome da lista de acesso nomeada nesta atividade. 
Pergunta: 
Qual é o comando para iniciar a configuração de uma lista de acesso estendido com o nome ACL? 
Digite suas respostas aqui. 
Packet Tracer - Configurar ACLs estendidas - cenário 2 
 2013© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 2 4www.netacad.com
 
Abrir a janela de configuração 
b. Comece a configuração da ACL com uma instrução que nega o acesso do PC1 ao Server1, apenas para 
HTTP (porta 80). Consulte a tabela de endereçamento para obter o endereço IP do PC1 e do Server1. 
RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.101.255.254 eq 80 
c. Registre a instrução que nega o acesso de PC1 a Servidor1, somente para HTTPS (porta 443). 
RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 
d. Registre a instrução que nega o acesso de PC1 a Servidor2, somente para HTTP. Consulte a tabela de 
endereçamento para obter o endereço IP do Server 2. 
RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.103.255.254 eq 80 
e. Registre a instrução que nega o acesso de PC1 a Servidor2, somente para HTTPS. 
RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.103.255.254 eq 443 
Etapa 2: Negue o acesso de PC2 aos serviços de FTP em Servidor1 e Servidor2. 
Consulte a tabela de endereçamento para obter o endereço IP do PC2. 
a. Registre a instrução que nega o acesso de PC2 a Servidor1, somente para FTP (porta 21 somente). 
RT1(config-ext-nacl)# deny tcp host 172.31.1.102 host 64.101.255.254 eq 21 
b. Registre a instrução que nega o acesso de PC2 a Server2, somente para FTP (porta 21 somente). 
RT1(config-ext-nacl)# deny tcp host 172.31.1.102 host 64.103.255.254 eq 21 
Etapa 3: Negue a PC3 a execução de ping de Servidor1 e Servidor2. 
Consulte a tabela de endereçamento para obter o endereço IP do PC3. 
a. Registre a instrução que nega o acesso de ICMP de PC3 a Server1. 
RT1(config-ext-nacl)# deny icmp host 172.31.1.103 host 64.101.255.254 
b. Registre a instrução que nega o acesso de ICMP de PC3 a Server2. 
RT1(config-ext-nacl)# deny icmp host 172.31.1.103 host 64.103.255.254 
Etapa 4: Permita todo o tráfego IP restante. 
Por padrão, uma lista de acesso nega todo tráfego que não corresponder a nenhuma regra na lista. Insira o 
comando que permite todo o tráfego que não corresponda a nenhuma das instruções de lista de acesso 
configuradas. 
 
Etapa 5: Verifique a configuração da lista de acesso antes de aplicá-la a uma interface. 
Antes de qualquer lista de acesso ser aplicada, a configuração precisa ser verificada para garantir que não 
há erros tipográficos e que as instruções estão na ordem correta. Para exibir a configuração atual da lista de 
acesso, use o comando show access-lists ou show running-config . 
RT1# show access-lists 
Extended IP access list ACL 
10 deny tcp host 172.31.1.101 host 64.101.255.254 eq www 
20 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 
30 deny tcp host 172.31.1.101 host 64.103.255.254 eq www 
40 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443 
50 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp 
Packet Tracer - Configurar ACLs estendidas - cenário 2 
 2013© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 3 4www.netacad.com
60 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp 
70 deny icmp host 172.31.1.103 host 64.101.255.254 
80 deny icmp host 172.31.1.103 host 64.103.255.254 
90 permit ip any any 
 
RT1# show running-config | begin access-list 
ip access-list extended ACL 
deny tcp host 172.31.1.101 host 64.101.255.254 eq www 
deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 
deny tcp host 172.31.1.101 host 64.103.255.254 eq www 
deny tcp host 172.31.1.101 host 64.103.255.254 eq 443 
deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp 
deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp 
deny icmp host 172.31.1.103 host 64.101.255.254 
deny icmp host 172.31.1.103 host 64.103.255.254 
permit ip any any 
Fechar janela de configuração 
Observação: A diferença entre a saída do comando show access-lists e a saída do comando show 
running-config é que o comando show access-lists inclui os números de seqüência atribuídos 
aocomando instruções de configuração. Esses números de sequência permitem a edição, exclusão e 
inserção de linhas únicas na configuração da lista de acesso. Os números de sequência também definem a 
ordem de processamento das instruções de controle de acesso individuais, começando com o número de 
seqüência mais baixo. 
Parte 2: Aplicar e verificar a ACL estendida 
O tráfego a ser filtrado virá da rede 172.31.1.96/27 e é destinado para redes remotas. A colocação correta da 
ACL também depende da relação do tráfego em relação a RT1. Em geral, as listas de acesso estendido 
devem ser colocadas na interface mais próxima da origem do tráfego. 
Etapa 1: Aplique a ACL à interface e à direção corretas. 
Observação: Em uma rede operacional real, uma ACL não testada nunca deve ser aplicada a uma interface 
ativa. Esta não é uma boa prática e pode interromper a operação da rede. 
Pergunta: 
Em qual interface a ACL nomeada deve ser aplicada e em que direção? 
Digite suas respostas aqui. 
Interface Gigabit Ethernet 0/0, em. 
Abrir a janela de configuração 
Digite os comandos de configuração para aplicar a ACL à interface. 
 
Etapa 2: Teste o acesso para cada PC. 
a. Acesse os sites do Server1 e Server2 usando o navegador da Web do PC1. Use os protocolos HTTP e 
HTTPS. Use o comando show access-lists para exibir qual instrução de lista de acesso permitiu ou 
negou o tráfego. A saída do comando show access-lists exibe o número de pacotes que correspondem 
a cada instrução desde a última vez que os contadores foram limpos ou o roteador foi reinicializado. 
Observação: Para limpar os contadores em uma lista de acesso, use o comando clear access-list 
counters. 
RT1#show ip access-lists 
Extended IP access list ACL 
10 deny tcp host 172.31.1.101 host 64.101.255.254 eq www (12 match(es)) 
Packet Tracer - Configurar ACLs estendidas - cenário 2 
 2013© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 4 4www.netacad.com20 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 (12 match(es)) 
30 deny tcp host 172.31.1.101 host 64.103.255.254 eq www 
40 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443 
50 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp 
60 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp 
70 deny icmp host 172.31.1.103 host 64.101.255.254 
80 deny icmp host 172.31.1.103 host 64.103.255.254 
90 permit ip any any 
Fechar janela de configuração 
b. Acesse o FTP de Servidor1 e Servidor2 usando PC1. O nome de usuário e a senha são cisco. 
c. Execute o ping de Servidor1 e Servidor2 de PC1. 
d. Repita o Passo 2a e o Passo 2c usando o PC2 e PC3, para verificar a operação da lista de acesso. 
Fim do documento