Configuración de listas de acceso entre redes utilizando ACL Extended

^[1] 

 ACL

Primero A. Johan Esteban Salinas Acosta: 000614420

1. INTRODUCTION

En este documento se encuentra específicamente detallado el cómo se realizó la configuración de listas de acceso entre redes utilizando ACL Extended.

1. Montaje de la red

Se realizó el montaje de la red, utilizando una red tipo A para los enlaces y Tipo C para las redes internas.

[pic 1]

1. enrutamiento

Se realizó la configuración de enrutamiento utilizando el protocolo RIP, en los cinco Router.

[pic 2]

1. CONFIGURACION ACL

Se realizó la configuración según instrucciones enviadas por el tutor de clase.

1. Permita el acceso a DMZ desde internet.

Se realizó la configuración en el Router 2 permitiendo la regla de conexión por el puerto 80 al servidor web y por el puerto 23 de FTP al servidor de FTP utilizando los comandos.

Router(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 192.168.4.3 eq www

Router(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 192.168.4.3 eq ftp

Después de realizar esta configuración debemos asignar esta regla a los puertos que estan conectado la regla con la secuencia de comandos.

Router(config)#interface serial 0/0/0

Router(config-if)#ip access-group bogota out

[pic 3]

Se realizó la configuración con la opción OUT ya que desde este Router esta saliendo a la otra red, si a la red estuviera ingresando la solicitud se le agregaría IN.

Validamos las reglas configuradas obteniendo los siguientes resultados.

[pic 4]

[pic 5]

1. Deniegue el acceso a la DMZ desde la red LAN.

Se realizó la configuración en el Router 2 denegando la regla de conexión por ICMP al host 192.168.4.3 y 192.168.4.2 de la red 192.168.5.0, utilizando el comando.

Router(config-ext-nacl)#deny icmp 192.168.5.0 0.0.0.255 host 192.168.4.3.

Router(config-ext-nacl)#deny icmp 192.168.5.0 0.0.0.255 host 192.168.4.2.

En esta opción ya no debemos asignar la regla a la interfaz ya que ya la habíamos agregado en el punto anterior.

Si validamos con el comando Router#sh ip access-lists, veremos la regla configurada y las coincidencias realizadas a esta regla.

[pic 6]

Si validamos el ping a la ip 192.168.4.3 nos saldrá lo siguiente.

[pic 7]

1. Permita el acceso al servidor Web por su dominio.

Se realiza la configuración del rol DNS en el servidor web, y se procede configurar la IP de este servidor en los demás equipos de toda la red.

[pic 8]

[pic 9]

Luego procedemos a crear la regla para que permita la conexión por su dominio a todos los equipos de internet y de la red LAN utilizando el comando.

Router(config-ext-nacl)# deny icmp 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255

[pic 10]

Se valida la configuración, que se pueda ingresar desde el dominio y no desde la IP.

[pic 11]

1. Deniegue en ping a los servidores en la DMZ.

Se realiza la configuración de la regla para que los equipos no logren alcanzar los servidores que se encuentran en la DMZ, utilizando el siguiente comando.

Router(config-ext-nacl)#permit udp 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 eq domain

...