Prévia do material em texto
2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 1 5www.netacad.com Packet Tracer - Configurar ACLs estendidas - cenário 1 Tabela de Endereçamento Dispositivo Interface Endereço IP Máscara de Sub- Rede Gateway padrão R1 G0/0 172.22.34.65 255.255.255.224 N/D R1 G0/1 172.22.34.97 255.255.255.240 N/D R1 G0/2 172.22.34.1 255.255.255.192 N/D Servidor Placa de rede 172.22.34.62 255.255.255.192 172.22.34.1 PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65 PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97 Linha em branco - sem informações adicionais Objetivos Parte 1: Configurar, aplicar e verificar uma ACL estendida numerada Parte 2: Configurar, aplicar e verificar uma ACL estendida nomeada Histórico/Cenário Dois funcionários precisam acessar os serviços fornecidos pelo servidor. O PC1 precisa somente de acesso ao FTP, enquanto o PC2 precisa somente do acesso à Web. Ambos os computadores precisam poder executar ping no servidor, mas não um ao outro. Instruções Parte 1: Configurar, aplicar e verificar uma ACL estendida numerada Etapa 1: Configure uma ACL para permitir FTP e ICMP da LAN PC1. a. No modo de configuração global em R1, insira o comando a seguir para determinar o primeiro número válido para uma lista de acesso estendido. Abrir a janela de configuração R1(config)# access-list ? <1-99> IP standard access list <100-199> IP extended access list b. Adicione 100 ao comando, seguido por um ponto de interrogação. R1(config)# access-list 100 ? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment c. Para permitir o tráfego de FTP, insira permit, seguido por um ponto de interrogação. R1(config)# access-list 100 permit ? ahp Authentication Header Protocol Packet Tracer - Configurar ACLs estendidas - cenário 1 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 2 5www.netacad.com eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Cisco's GRE tunneling icmp Internet Control Message Protocol ip Any Internet Protocol ospf OSPF routing protocol tcp Transmission Control Protocol udp User Datagram Protocol d. Quando configurado e aplicado, essa ACL deve permitir FTP e ICMP. O ICMP está listado acima, mas o FTP não. Isso ocorre porque o FTP é um protocolo de camada de aplicativo que usa TCP na camada de transporte. Digite TCP para refinar ainda mais a ajuda da ACL. R1(config)# access-list 100 permit tcp ? A.B.C.D Source address any Any source host host A single source host e. O endereço de origem pode representar um único dispositivo, como PC1, usando a palavra-chave host e, em seguida, o endereço IP de PC1. Usando a palavra-chave qualquer permite qualquer host em qualquer rede. A filtragem também pode ser feita por um endereço de rede. Nesse caso, é qualquer host que possua um endereço pertencente à rede 172.22.34.64/27. Digite este endereço de rede, seguido de um ponto de interrogação. R1(config)# access-list 100 permit tcp 172.22.34.64 ? A.B.C.D Source wildcard bits f. Calcule a máscara curinga determinando o oposto binário da máscara de sub-rede / 27. 11111111.11111111.11111111.11100000 = 255.255.255.224 00000000.00000000.00000000.00011111 = 0.0.0.31 g. Digite a máscara curinga, seguida de um ponto de interrogação. R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ? A.B.C.D Destination address any Any destination host eq Match only packets on a given port number gt Match only packets with a greater port number host A single destination host lt Match only packets with a lower port number neq Match only packets not on a given port number range Match only packets in the range of port numbers h. Configure o endereço destino. Nesse cenário, estamos filtrando o tráfego para um único destino, que é o servidor. Digite a palavra-chave host seguida do endereço IP do servidor. R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ? dscp Match packets with given dscp value eq Match only packets on a given port number established established gt Match only packets with a greater port number lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value range Match only packets in the range of port numbers Packet Tracer - Configurar ACLs estendidas - cenário 1 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 3 5www.netacad.com <cr> i. Observe que uma das opções é <cr> (retorno de carro). Em outras palavras, você pode pressionar Enter e a instrução permitirá todo o tráfego TCP. No entanto, somente permitimos tráfego de FTP; portanto, insira a palavra-chave eq, seguida por um ponto de interrogação para exibir as opções disponíveis. Em seguida, insira ftp e pressione Enter. R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ? <0-65535> Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80) R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp j. Crie uma segunda instrução de lista de acesso para permitir tráfego ICMP (ping etc.) de PC1 para Servidor. Observe que o número da lista de acesso permanece o mesmo e um tipo específico de tráfego ICMP não precisa ser determinado. R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 k. Todo o tráfego restante é negado, por padrão. l. Execute o comando show access-list e verifique se a lista de acesso 100 contém as instruções corretas. Observe que a instrução negar qualquer qualquer não aparece no final da lista de acesso. A execução padrão de uma lista de acesso é que, se um pacote não corresponder a uma instrução na lista de acesso, ele não é permitido através da interface. R1# show access-lists Extended IP access list 100 10 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp 20 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 Etapa 2: Aplicar a ACL à interface correta para filtrar o tráfego. Da perspectiva de R1, a ACL é aplicada ao tráfego que entra na interface Gigabit Ethernet 0/0. Entre no modo configuração de interface e aplique a ACL. Observação: Em uma rede operacional real, não é uma boa prática aplicar uma lista de acesso não testada a uma interface ativa. R1(config)# interface gigabitEthernet 0/0 R1(config-if)# ip access-group 100 in Etapa 3: Verifique a implementação da ACL. a. Faça ping de PC1 para o Servidor. Se os pings não tiverem êxito, verifique os endereços IP antes de continuar. b. Faça FTP de PC1 para o Servidor. O nome de usuário e a senha são cisco. PC> ftp 172.22.34.62 c. Saia do serviço FTP. ftp> quit fechar janela de configuração Packet Tracer - Configurar ACLs estendidas - cenário 1 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 4 5www.netacad.com d. Faça ping de PC1 para PC2. O host de destino deve estar inacessível, porque a ACL não permitiu explicitamente o tráfego. Parte 2: Configurar, aplicar e verificar uma ACL estendida nomeada Etapa 1: Configure uma ACL para permitir acesso HTTP e ICMP da LAN PC2. a. As ACLs nomeadas começam com a palavra-chave ip. No modo de configuraçãoglobal de R1, insira o seguinte comando, seguido por um ponto de interrogação. Abrir a janela de configuração R1(config)# ip access-list ? extended Extended Access List standard Standard Access List b. Você pode configurar as ACls padrão e estendidas nomeadas. Esta lista de acesso filtrará os endereços IP origem e destino; portanto, deve ser estendida. Insira HTTP_ONLYcomo o nome. (Para pontuação de rastreador de pacotes, o nome diferencia maiúsculas e minúsculas e as instruções de lista de acesso devem ser a ordem correta.) R1(config)# ip access-list extended HTTP_ONLY c. O prompt é alterado. Você está agora no modo de configuração de ACL estendida nomeada. Todos os dispositivos na LAN de PC2 precisam de acesso TCP. Digite o endereço de rede, seguido de um ponto de interrogação. R1(config-ext-nacl)# permit tcp 172.22.34.96 ? A.B.C.D Source wildcard bits d. Outra maneira de calcular uma máscara curinga é subtrair a máscara de sub-rede de 255.255.255.255. 255.255.255.255 - 255.255.255.240 ----------------- = 0. 0. 0. 15 R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 e. Termine a instrução especificando o endereço de servidor como você fez na Parte 1 e filtrando o tráfego www. R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www f. Crie uma segunda instrução de lista de acesso para permitir tráfego ICMP (ping etc.) de PC2 para Servidor. Observação: o prompt permanece o mesmo e um tipo específico de tráfego ICMP não precisa ser determinado. R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62 g. Todo o tráfego restante é negado, por padrão. Saia do modo de configuração chamado ACL estendido. h. Execute o comando show access-list e verifique se a lista de acesso HTTP_ONLY contém as instruções corretas. R1# show access-lists Extended IP access list 100 10 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp 20 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 Extended IP access list HTTP_ONLY 10 permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www 20 permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62 Packet Tracer - Configurar ACLs estendidas - cenário 1 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 5 5www.netacad.com Etapa 2: Aplicar a ACL à interface correta para filtrar o tráfego. Da perspectiva de R1, a lista de acesso HTTP_ONLY é aplicada ao tráfego que entra na interface Gigabit Ethernet 0/1. Entre no modo configuração de interface e aplique a ACL. Observação: Em uma rede operacional real, não é uma boa prática aplicar uma lista de acesso não testada a uma interface ativa. Deve ser evitado, se possível. R1(config)# interface gigabitEthernet 0/1 R1(config-if)# ip access-group HTTP_ONLY in Etapa 3: Verifique a implementação da ACL. a. Faça ping de PC2 para o Servidor. Se o ping não tiver êxito, verifique os endereços IP antes de continuar. b. No PC2, abra um navegador da Web e digite o endereço IP do servidor. A página da Web do Servidor deve ser exibida. c. Faça FTP de PC2 para o Servidor. A conexão deve falhar. Caso contrário, solucione problemas das instruções de lista de acesso e das configurações de grupo de acesso nas interfaces. Fechar janela de configuração Fim do documento