Baixe o app para aproveitar ainda mais
Prévia do material em texto
2013 - aa Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 1 4www.netacad.com Packet Tracer - Configurar ACLs estendidas - cenário 2 . Tabela de Endereçamento Dispositivo Interface Endereço IP Máscara de Sub- Rede Gateway padrão RT1 G0/0 172.31.1.126 255.255.255.224 N/D RT1 S0/0/0 209.165.1.2 255.255.255.252 N/D PC1 NIC 172.31.1.101 255.255.255.224 172.31.1.126 PC2 NIC 172.31.1.102 255.255.255.224 172.31.1.126 PC3 NIC 172.31.1.103 255.255.255.224 172.31.1.126 Servidor 1 Placa de rede 64.101.255.254 255.254.0.0 64.100.1.1 Servidor2 Placa de rede 64.103.255.254 255.254.0.0 64.102.1.1 Blank Line - no additional information Objetivos Parte 1: Configurar uma ACL estendida nomeada Parte 2: Aplicar e verificar a ACL estendida Histórico/Cenário Neste cenário, os dispositivos específicos na LAN são permitidos a vários serviços nos servidores localizados na Internet. Instruções Parte 1: Configurar uma ACL estendida nomeada Configure uma ACL nomeada para implementar a seguinte política: Bloqueie o acesso HTTP e HTTPS do PC1 a Servidor1 e a Servidor2. Os servidores estão dentro da nuvem e você sabe apenas os endereços IP deles. Bloqueie o acesso ao FTP de PC2 para Servidor1 e Servidor2. Bloqueie o acesso ao ICMP de PC3 para Servidor1 e Servidor2. Observação: para fins de pontuação, você deverá configurar as instruções na ordem especificada nas seguintes etapas. Etapa 1: Negue o acesso de PC1 aos serviços de HTTP e HTTPS em Servidor1 e Servidor2. a. Crie uma lista de acesso IP estendido nomeado no roteador RT1 que negará o acesso do PC1 aos serviços HTTP e HTTPS do Server1 e Server2. Quatro declarações de controle de acesso são necessárias. Use ACL como o nome da lista de acesso nomeada nesta atividade. Pergunta: Qual é o comando para iniciar a configuração de uma lista de acesso estendido com o nome ACL? Digite suas respostas aqui. Packet Tracer - Configurar ACLs estendidas - cenário 2 2013© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 2 4www.netacad.com Abrir a janela de configuração b. Comece a configuração da ACL com uma instrução que nega o acesso do PC1 ao Server1, apenas para HTTP (porta 80). Consulte a tabela de endereçamento para obter o endereço IP do PC1 e do Server1. RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.101.255.254 eq 80 c. Registre a instrução que nega o acesso de PC1 a Servidor1, somente para HTTPS (porta 443). RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 d. Registre a instrução que nega o acesso de PC1 a Servidor2, somente para HTTP. Consulte a tabela de endereçamento para obter o endereço IP do Server 2. RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.103.255.254 eq 80 e. Registre a instrução que nega o acesso de PC1 a Servidor2, somente para HTTPS. RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.103.255.254 eq 443 Etapa 2: Negue o acesso de PC2 aos serviços de FTP em Servidor1 e Servidor2. Consulte a tabela de endereçamento para obter o endereço IP do PC2. a. Registre a instrução que nega o acesso de PC2 a Servidor1, somente para FTP (porta 21 somente). RT1(config-ext-nacl)# deny tcp host 172.31.1.102 host 64.101.255.254 eq 21 b. Registre a instrução que nega o acesso de PC2 a Server2, somente para FTP (porta 21 somente). RT1(config-ext-nacl)# deny tcp host 172.31.1.102 host 64.103.255.254 eq 21 Etapa 3: Negue a PC3 a execução de ping de Servidor1 e Servidor2. Consulte a tabela de endereçamento para obter o endereço IP do PC3. a. Registre a instrução que nega o acesso de ICMP de PC3 a Server1. RT1(config-ext-nacl)# deny icmp host 172.31.1.103 host 64.101.255.254 b. Registre a instrução que nega o acesso de ICMP de PC3 a Server2. RT1(config-ext-nacl)# deny icmp host 172.31.1.103 host 64.103.255.254 Etapa 4: Permita todo o tráfego IP restante. Por padrão, uma lista de acesso nega todo tráfego que não corresponder a nenhuma regra na lista. Insira o comando que permite todo o tráfego que não corresponda a nenhuma das instruções de lista de acesso configuradas. Etapa 5: Verifique a configuração da lista de acesso antes de aplicá-la a uma interface. Antes de qualquer lista de acesso ser aplicada, a configuração precisa ser verificada para garantir que não há erros tipográficos e que as instruções estão na ordem correta. Para exibir a configuração atual da lista de acesso, use o comando show access-lists ou show running-config . RT1# show access-lists Extended IP access list ACL 10 deny tcp host 172.31.1.101 host 64.101.255.254 eq www 20 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 30 deny tcp host 172.31.1.101 host 64.103.255.254 eq www 40 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443 50 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp Packet Tracer - Configurar ACLs estendidas - cenário 2 2013© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 3 4www.netacad.com 60 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp 70 deny icmp host 172.31.1.103 host 64.101.255.254 80 deny icmp host 172.31.1.103 host 64.103.255.254 90 permit ip any any RT1# show running-config | begin access-list ip access-list extended ACL deny tcp host 172.31.1.101 host 64.101.255.254 eq www deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 deny tcp host 172.31.1.101 host 64.103.255.254 eq www deny tcp host 172.31.1.101 host 64.103.255.254 eq 443 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp deny icmp host 172.31.1.103 host 64.101.255.254 deny icmp host 172.31.1.103 host 64.103.255.254 permit ip any any Fechar janela de configuração Observação: A diferença entre a saída do comando show access-lists e a saída do comando show running-config é que o comando show access-lists inclui os números de seqüência atribuídos aocomando instruções de configuração. Esses números de sequência permitem a edição, exclusão e inserção de linhas únicas na configuração da lista de acesso. Os números de sequência também definem a ordem de processamento das instruções de controle de acesso individuais, começando com o número de seqüência mais baixo. Parte 2: Aplicar e verificar a ACL estendida O tráfego a ser filtrado virá da rede 172.31.1.96/27 e é destinado para redes remotas. A colocação correta da ACL também depende da relação do tráfego em relação a RT1. Em geral, as listas de acesso estendido devem ser colocadas na interface mais próxima da origem do tráfego. Etapa 1: Aplique a ACL à interface e à direção corretas. Observação: Em uma rede operacional real, uma ACL não testada nunca deve ser aplicada a uma interface ativa. Esta não é uma boa prática e pode interromper a operação da rede. Pergunta: Em qual interface a ACL nomeada deve ser aplicada e em que direção? Digite suas respostas aqui. Interface Gigabit Ethernet 0/0, em. Abrir a janela de configuração Digite os comandos de configuração para aplicar a ACL à interface. Etapa 2: Teste o acesso para cada PC. a. Acesse os sites do Server1 e Server2 usando o navegador da Web do PC1. Use os protocolos HTTP e HTTPS. Use o comando show access-lists para exibir qual instrução de lista de acesso permitiu ou negou o tráfego. A saída do comando show access-lists exibe o número de pacotes que correspondem a cada instrução desde a última vez que os contadores foram limpos ou o roteador foi reinicializado. Observação: Para limpar os contadores em uma lista de acesso, use o comando clear access-list counters. RT1#show ip access-lists Extended IP access list ACL 10 deny tcp host 172.31.1.101 host 64.101.255.254 eq www (12 match(es)) Packet Tracer - Configurar ACLs estendidas - cenário 2 2013© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 4 4www.netacad.com20 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 (12 match(es)) 30 deny tcp host 172.31.1.101 host 64.103.255.254 eq www 40 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443 50 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp 60 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp 70 deny icmp host 172.31.1.103 host 64.101.255.254 80 deny icmp host 172.31.1.103 host 64.103.255.254 90 permit ip any any Fechar janela de configuração b. Acesse o FTP de Servidor1 e Servidor2 usando PC1. O nome de usuário e a senha são cisco. c. Execute o ping de Servidor1 e Servidor2 de PC1. d. Repita o Passo 2a e o Passo 2c usando o PC2 e PC3, para verificar a operação da lista de acesso. Fim do documento
Compartilhar