sábado, 23 de abril de 2011

Actividad 7.1.8: Configuración de DHCP mediante Easy IP

Tabla de direccionamiento

DispositivoInterfazDirección IPMáscara de subred
R1Fa0/1192.168.10.1255.255.255.0
S0/0/010.1.1.1255.255.255.252
R2Fa0/0192.168.20.1255.255.255.0
S0/0/010.1.1.2255.255.255.252
S0/0/110.2.2.1255.255.255.252
S0/1/0209.165.200.225255.255.255.224
R3Fa0/1192.168.30.1255.255.255.0
S0/0/010.2.2.2255.255.255.252

Objetivos de aprendizaje

  • Configurar routers con Easy IP
  • Verificar que las PC se configuren automáticamente con detalles de direccionamiento
  • Configurar un servidor DNS con entradas DNS
  • Probar la conectividad de la PC con los nombres de dominio

Introducción

DHCP asigna direcciones IP y otra información importante para la configuración de la red en forma dinámica. Los routers Cisco pueden utilizar el conjunto de funciones Cisco IOS; es decir, Easy IP, como servidor de DHCP opcional con todas las funciones. Easy IP alquila las configuraciones por 24 horas de manera predeterminada. En esta actividad se configurarán los servicios DHCP en dos routers y se probará su configuración.

Tarea 1: Configurar los routers con Easy IP

Paso 1. Configurar las direcciones excluidas para R1 y R3.

Defina un conjunto de direcciones que se reserven para hosts y requieran direcciones estáticas, tales como servidores, routers e impresoras. Estas direcciones no se incluyen en el conjunto de direcciones disponibles para asignar a clientes de DHCP. Para R1 y R3, excluya las primeras nueve direcciones del pool de DHCP.
R1(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.9 R1(config)#
 
R1(config)#ip dhcp excluded-address 192.168.10.1 192.168.1.9
R1(config)#
R3(config)#ip dhcp excluded-address 192.168.30.1 192.168.30.9 R3(config)# 
 
R3(config)#ip dhcp excluded-address 192.168.30.1 192.168.30.9
R3(config)#

Paso 2. Configurar el conjunto de direcciones para R1.

Defina el conjunto de direcciones desde las que DHCP asigna direcciones a los clientes DHCP en la LAN de R1. Las direcciones disponibles son todas las direcciones en la red 192.168.10.0, excepto las que se excluyen en el Paso 1.
En R1, asigne al conjunto de direcciones el nombre R1LAN. Especifique el conjunto de direcciones, la gateway predeterminada y el servidor DNS que se asignan a cada dispositivo cliente que solicita el servicio DHCP.
R1(config)#ip dhcp pool R1LAN 
R1(dhcp-config)#network 192.168.10.0 255.255.255.0 
R1(dhcp-config)#default-router 192.168.10.1 
R1(dhcp-config)#dns-server 192.168.20.254

Paso 3. Configurar el conjunto de direcciones para R3.

En R3, asigne al conjunto de direcciones el nombre R3LAN. Especifique el conjunto de direcciones, la gateway predeterminada y el servidor DNS que se asignan a cada dispositivo cliente que solicita el servicio DHCP.
R3(config)#ip dhcp pool R3LAN 
R3(dhcp-config)#network 192.168.30.0 255.255.255.0 
R3(dhcp-config)#default-router 192.168.30.1 
R3(dhcp-config)#dns-server 192.168.20.254

Paso 4. Verificar los resultados.

Su porcentaje de finalización debe ser del 43%. De no ser así, haga clic en Verificar resultados para ver qué componentes necesarios aún no se han completado.

Tarea 2: Verificar que las PC se configuren automáticamente

Paso 1. Configurar la PC1 y PC3 para la configuración DHCP.

En la ficha Escritorio de cada PC, haga clic enConfiguración IP y luego seleccione DHCP. La información de configuración IP debe actualizarse de inmediato.

Paso 2. Verificar la operación DHCP en los routers.

Para verificar la operación DHCP en los routers, ejecute el comando show ip dhcp binding. Los resultados deben mostrar una dirección IP conectada a cada uno de los routers.



Paso 3. Verificar los resultados.

Su porcentaje de finalización debe ser del 86%. De no ser así, haga clic en Verificar resultados para ver qué componentes requeridos aún no se han completado.

Tarea 3: Configurar un servidor DNS con entradas DNS

Paso 1. Configurar el servidor DNS.

Para configurar DNS en el servidor DNS, haga clic en el botónDNS en la ficha Configuración.
Asegúrese de que el DNS esté encendido e ingrese las siguientes entradas DNS:
  • www.cisco.com 209.165.201.30
  • www.publicsite.com 209.165.202.158

Paso 2. Verificar los resultados.

Su porcentaje de finalización debe ser del 100%. De no ser así, haga clic en Verificar resultados para ver qué componentes necesarios aún no se han completado.

Tarea 4: Probar la conectividad de la PC a los nombres de dominio

Paso 1. Verificar que la PC1 pueda conectarse a los servidores mediante el nombre de dominio.

En la PC1, abra el explorador Web e ingrese www.cisco.comen la barra de direcciones. Deberá aparecer la página Web.

Paso 2. Verificar que la PC3 pueda conectarse a los servidores mediante el nombre de dominio.

En la PC3, abra el explorador Web e ingresewww.publicsite.com en la barra de direcciones. Deberá aparecer la página Web.






Todo el contenido es Copyright © 1992-2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Publicado por en 2 comentarios:
Etiquetas:

miércoles, 13 de abril de 2011

Actividad 5.5.1: Listas de control de acceso básicas

NOTA PARA EL USUARIO: Esta actividad es una variación de la práctica de laboratorio 5.5.1. Es posible que Packet Tracer no admita todas las tareas especificadas en la práctica de laboratorio. Esta actividad no debe considerarse equivalente a completar la práctica de laboratorio. Packet Tracer no reemplaza la experiencia de la práctica de laboratorio con equipos reales.

Tabla de direccionamiento

DispositivoInterfazDirección IPMáscara de subredGateway predeterminada
R1Fa0/0192.168.10.1255.255.255.0No aplicable
Fa0/1192.168.11.1255.255.255.0No aplicable
S0/0/010.1.1.1255.255.255.252No aplicable
R2Fa0/0192.168.20.1255.255.255.0No aplicable
S0/0/010.1.1.2255.255.255.252No aplicable
S0/0/110.2.2.1255.255.255.252No aplicable
Lo0209.165.200.225255.255.255.224No aplicable
R3Fa0/0192.168.30.1255.255.255.0No aplicable
S0/0/110.2.2.2255.255.255.252No aplicable
S1VLAN 1192.168.10.2255.255.255.0192.168.10.1
S2VLAN 1192.168.11.2255.255.255.0192.168.11.1
S3VLAN 1192.168.30.2255.255.255.0192.168.30.1
PC1NIC192.168.10.10255.255.255.0192.168.10.1
PC2NIC192.168.11.10255.255.255.0192.168.11.1
PC3NIC192.168.30.10255.255.255.0192.168.30.1
Servidor WebNIC192.168.20.254255.255.255.0192.168.20.1

Objetivos de aprendizaje

  • Realizar las configuraciones básicas del router y el switch
  • Configurar una ACL estándar
  • Configurar una ACL extendida
  • Controlar el acceso a las líneas vty con una ACL estándar
  • Resolver problemas en las ACL

Introducción

En esta actividad se diseñarán, aplicarán y probarán las configuraciones de la lista de acceso y se resolverán sus problemas.

Tarea 1: Realizar configuraciones básicas del router y el switch

Configure los routers R1, R2, R3 y los switches S1, S2 y S3 de acuerdo con las siguientes instrucciones:
  • Configure los nombres de host para que coincidan con el diagrama de topología.
  • Desactive la búsqueda DNS.
  • Configure la contraseña secreta de modo EXEC enclass.

  • Configure un título de mensaje del día
 
  • Configure la contraseña cisco para las conexiones de consola.


  • Configure la contraseña cisco para las conexiones de vty.

  • Configure máscaras y direcciones IP en todos los dispositivos. La frecuencia de reloj es 64 000.




R-1
interficie fa0/0
 interficie fa0/1


Router(config)#interface serial 0/0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config)#interface serial 0/0/0
Router(config-if)#clock rate 64000

R-3

interface fa0/0
Router(config-if)#ip address
Router(config-if)#ip address 192.168.30.1 255.255.255.0
no shoutdown

Router(config)#interface serial 0/0/0
Router(config-if)#ip address 10.2.2.2 255.255.255.252
Router(config-if)#no shutdown 

R-2

Router(config)#interface serial 0/0/0
Router(config-if)#ip address 10.1.1.2 255.255.255.252
Router(config-if)#no shutdown

Router(config)#interface serial 0/0/1
Router(config-if)#ip address 10.2.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config)#interface serial 0/0/0
Router(config-if)#clock rate 64000
Router(config)#interface serial 0/0/1
Router(config-if)#clock rate 64000

  • Habilite OSPF mediante el ID de proceso 1 en todos los routers para todas las redes.
R1
route ospf 1
network 192.168.10.0 255.255.255.0 area 1
network 192.168.11.0 255.255.255.0 area 1
network 10.1.1.0 255.255.255.252 area 1

R2
Router(config)#router ospf 1
Router(config-router)#network 10.1.1.0 255.255.255.252 area 1
Router(config-router)#network 10.2.2.0 255.255.255.252 area 1
Router(config-router)#network 192.168.20.0 255.255.255.0 area 1

R3

Router(config)#router ospf 1
Router(config-router)#network 10.2.2.2 255.255.255.252 area 1
Router(config-router)#network 10.2.2.0 255.255.255.252 area 1
Router(config-router)#network 192.168.30.0 255.255.255.0 area 1
Router(config-router)#exit


  • Configure direcciones IP para la interfaz VLAN 1 en cada switch
sw1:

Switch(config)#interface fa 0/1
Switch(config-if)#switchport access vlan 1
Switch(config-if)#exit
Switch(config)#interface fa 0/2
Switch(config-if)#switchport access vlan 1
sw2:

Switch(config)#interface fa0/2
Switch(config-if)#switchport access vlan 1
Switch(config-if)#exit
Switch(config)#interface fa0/1
Switch(config-if)#switchport access vlan 1
Switch(config-if)#exit


  • Configure cada switch con la gateway predeterminada apropiada.
sw1:
Switch(config)#ip default-gateway 192.168.10.1
sw2:
Switch(config)#ip default-gateway 192.168.11.1
  • Verifique la conectividad IP completa mediante el comando ping.

Publicado por en 1 comentario:
Etiquetas:

miércoles, 6 de abril de 2011

Actividad 5.3.4: Configuración de las ACL extendidas

Actividad 5.3.4: 
Configuración de las ACL extendidas

NOTA PARA EL USUARIO: Si bien puede completar esta actividad sin instrucciones impresas, se ofrece una versión en PDF en la sección de texto de la misma página desde la que inició esta actividad.

Tabla de direccionamiento

DispositivoInterfazDirección IPMáscara de subred
R10/0/010.1.1.1255.255.255.252
Fa0/0192.168.10.1255.255.255.0
Fa0/1192.168.11.1255.255.255.0
R2S0/0/010.1.1.2255.255.255.252
S0/0/110.2.2.2255.255.255.252
S0/1/0209.165.200.225255.255.255.224
Fa0/0192.168.20.1255.255.255.0
R3S0/0/110.2.2.1255.255.255.252
Fa0/0192.168.30.1255.255.255.0
ISPS0/0/1209.165.200.226255.255.255.224
Fa0/0209.165.201.1255.255.255.224
Fa0/1209.165.202.129255.255.255.224
PC1NIC192.168.10.10255.255.255.0
PC2NIC192.168.11.10255.255.255.0
PC3NIC192.168.30.10255.255.255.0
PC4NIC192.168.30.128255.255.255.0
Servidor
WEB/TFTP		NIC192.168.20.254255.255.255.0
Servidor WEBNIC209.165.201.30255.255.255.224
Host
externo		NIC209.165.202.158255.255.255.224

Objetivos de aprendizaje

  • Investigar la configuración actual de la red
  • Evaluar una política de red y planificar una implementación de ACL
  • Configurar las ACL extendidas numeradas
  • Configurar las ACL extendidas nombradas

Introducción

Las ACL extendidas son guiones de configuración del router que controlan si un router acepta o rechaza paquetes según la dirección de origen o destino y protocolos o puertos. Las ACL extendidas proporcionan mayor flexibilidad y especificidad que las ACL estándar. Esta actividad se concentra en definir criterios de filtrado, configurar ACL extendidas, aplicar ACL a interfaces de router y verificar y evaluar la implementación de la ACL. Los routers ya están configurados, lo que incluye direcciones IP y enrutamiento EIGRP. La contraseña EXEC del usuario es cisco y la contraseña EXEC privilegiada es class.

Tarea 1: Investigar la configuración actual de la red

Paso 1. Visualizar la configuración en ejecución en los routers.

Visualice las configuraciones en ejecución en los tres routers por medio del comando show running-config mientras está en el modo EXEC privilegiado. Observe que las interfaces y el enrutamiento están totalmente configurados. Compare las configuraciones de la dirección IP con la tabla de direccionamiento que se muestra más arriba. En este momento, no debe haber ninguna ACL configurada en los routers.
El router ISP no requiere ninguna configuración durante este ejercicio. Se supone que el router ISP no está bajo su administración y el administrador del ISP se ocupa de su configuración y mantenimiento.

Paso 2. Confirmar que todos los dispositivos puedan acceder a todas las demás ubicaciones.

Antes de aplicar cualquier ACL a una red, es importante confirmar que exista conectividad completa. Si no prueba la conectividad en su red antes de aplicar una ACL, la resolución de problemas será muy difícil.
A fin de asegurar la conectividad a lo largo de toda la red, utilice los comandos ping y tracert entre diferentes dispositivos de red para verificar las conexiones.

Tarea 2: Evaluar una política de red y planificar una implementación de ACL

Paso 1. Evaluar la política para las LAN del R1.

  • Para la red 192.168.10.0/24, bloquee el acceso Telnet a todas las ubicaciones y el acceso TFTP al servidor Web/TFTP corporativo en 192.168.20.254. Se permite todo el acceso restante.
  • Para la red 192.168.11.0/24, permita el acceso TFTP y el acceso Web al servidor Web/TFTP corporativo en 192.168.20.254. Bloquee el resto del tráfico de la red 192.168.11.0/24 a la red 192.168.20.0/24. Se permite todo el acceso restante.

Paso 2. Planificar la implementación de ACL para las LAN del R1.

  • Dos ACL implementan completamente la política de seguridad para las LAN del R1.
  • La primera ACL mantiene la primera parte de la política, se configura en R1 y se aplica con dirección de entrada a la interfaz Fast Ethernet 0/0.
  • La segunda ACL mantiene la segunda parte de la política, se configura en R1 y se aplica con dirección de entrada a la interfaz Fast Ethernet 0/1.

Paso 3. Evaluar la política para la LAN del R3.

  • Todas las direcciones IP de la red 192.168.30.0/24 tienen bloqueado el acceso a todas las direcciones IP de la red 192.168.20.0/24.
  • La primera mitad de 192.168.30.0/24 puede acceder a todos los demás destinos.
  • La segunda mitad de 192.168.30.0/24 puede acceder a las redes 192.168.10.0/24 y 192.168.11.0/24.
  • La segunda mitad de 192.168.30.0/24 tiene permitido el acceso Web e ICMP a todos los demás destinos.
  • El resto del acceso está implícitamente denegado.

Paso 4. Planificar la implementación de ACL para la LAN del R3.

Este paso requiere una ACL configurada en R3 y aplicada con dirección de entrada a la interfaz Fast Ethernet 0/0.

Paso 5. Evaluar la política para el tráfico proveniente de Internet a través del ISP.

  • Los hosts externos pueden establecer una sesión de Web con el servidor Web interno únicamente en el puerto 80.
  • Se permiten únicamente las sesiones TCP establecidas.
  • A través del R2 solamente se permiten respuestas de ping.

Paso 6. Planificar las implementaciones de ACL para el tráfico proveniente de Internet a través del ISP.

Este paso requiere una ACL configurada en R2 y aplicada con dirección de entrada a la interfaz Serial 0/1/0.

Tarea 3: Configurar ACL extendidas numeradas

Paso 1. Determinar las máscaras wildcard.

Se necesitan dos ACL para implementar la política de control de acceso en R1. Ambas ACL se diseñarán para denegar una red de clase C completa. Se configurará una máscara wildcard que coincide con todos los hosts en cada una de estas redes de clase C.
Por ejemplo: para que la subred completa de 192.168.10.0/24 coincida, la máscara wildcard es 0.0.0.255. Esto puede interpretarse como “verificar, verificar, verificar, ignorar” y, básicamente, coincide con la red 192.168.10.0/24 completa.

Paso 2. Configurar la primera ACL extendida para R1.

Desde el modo de configuración global, configure la primera ACL con el número 110. En primer lugar, se debe bloquear Telnet a cualquier ubicación para todas las direcciones IP en la red 192.168.10.0/24.
Al escribir la sentencia, asegúrese de estar actualmente en el modo de configuración global.
R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet
A continuación, bloquee todas las direcciones IP en la red 192.168.10.0/24 del acceso TFTP al host en 192.168.20.254.




R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp
Por último, permita el resto del tráfico.



R1(config)#access-list 110 permit ip any any 
 
 

Paso 3. Configurar la segunda ACL extendida para R1.

Configure la segunda ACL con el número 111. Permita WWW al host en 192.168.20.254 para cualquier dirección IP en la red 192.168.11.0/24.
R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www


 A continuación, permita TFTP al host en 192.168.20.254 para cualquier dirección IP en la red 192.168.11.0/24.
R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp



Bloquee el resto del tráfico de la red 192.168.11.0/24 a la red 192.168.20.0/24.
R1(config)#access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 
 
 
 
Por último, permita cualquier otro tráfico. Esta sentencia garantiza que no se bloquee el tráfico proveniente de otras redes.
R1(config)#access-list 111 permit ip any any 
 
 

Paso 4. Verificar las configuraciones de ACL.

Confirme sus configuraciones en R1 mediante el comando show access-lists. Los resultados serán similares a los siguientes:
R1#show access-lists Extended IP
access list 110 deny tcp 192.168.10.0 0.0.0.255 
any eq telnet deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp
permit ip any any 
Extended IP
access list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www permit
udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp 
deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any 
 
 
 
 

Paso 5. Aplicar las sentencias a las interfaces.

Para aplicar una ACL a una interfaz, ingrese al modo de configuración de interfaz para esa interfaz. Configure el comando ip access-group access-list-number {in | out} para aplicar la ACL a la interfaz.
Cada ACL filtra el tráfico entrante. Aplique la ACL 110 a Fast Ethernet 0/0 y la ACL 111 a Fast Ethernet 0/1.
R1(config)#interface fa0/0 R1(config-if)#ip access-group 110 in R1(config-if)#interface fa0/1 R1(config-if)#ip access-group 111 in
Confirme que las ACL aparezcan en la configuración en ejecución del R1 y que se hayan aplicado a las interfaces correctas.


Paso 6. Probar las ACL configuradas en R1.

Ahora que las ACL se han configurado y aplicado, es muy importante comprobar que el tráfico esté bloqueado o permitido según lo previsto.
  • Desde la PC1, intente obtener acceso Telnet a cualquier dispositivo. Esto debe estar bloqueado.

  • Desde la PC1, intente acceder al servidor Web/TFTP corporativo a través de HTTP. Esto debe estar permitido.

  • Desde la PC2, intente acceder al servidor Web/TFTP a través de HTTP. Esto debe estar permitido.


  • Desde la PC2, intente acceder al servidor Web externo a través de HTTP. Esto debe estar permitido.




Según su conocimiento sobre ACL, intente algunas otras pruebas de conectividad desde la PC1 y la PC2.

Paso 7. Verificar los resultados.

Packet Tracer no admite la prueba del acceso TFTP; por lo tanto, no podrá verificar esa política. Sin embargo, su porcentaje de finalización debe ser del 50%. De lo contrario, haga clic en Verificar resultados para ver qué componentes requeridos aún no se han completado.

Tarea 4: Configurar una ACL extendida numerada para R3

Paso 1. Determinar la máscara wildcard.

La política de acceso para la mitad inferior de las direcciones IP en la red 192.168.30.0/24 requiere:
  • Denegar el acceso a la red 192.168.20.0/24
  • Permitir el acceso a todos los demás destinos.
La mitad superior de las direcciones IP en la red 192.168.30.0/24 tiene las siguientes restricciones:
  • Permitir el acceso a 192.168.10.0 y 192.168.11.0
  • Denegar el acceso a 192.168.20.0
  • Permitir el acceso Web e ICMP a todas las demás ubicaciones.
Para determinar la máscara wildcard, considere qué bits deben verificarse para que la ACL coincida con las direcciones IP 0–127 (mitad inferior) o 128–255 (mitad superior).
Recuerde que una manera de determinar la máscara wildcard es restar la máscara de red normal de 255.255.255.255. La máscara normal para las direcciones IP 0–127 y 128–255 para una dirección de clase C es 255.255.255.128. Mediante el método de sustracción, a continuación se muestra la máscara wildcard correcta:
255.255.255.255 – 255.255.255.128 ------------------ 0.  0.  0.127

Paso 2. Configurar la ACL extendida en R3.

En R3, ingrese al modo de configuración global y configure la ACL con 130 como número de lista de acceso.
La primera sentencia bloquea el acceso de la 192.168.30.0/24 a todas las direcciones en la red 192.168.30.0/24.
R3(config)#access-list 130 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 
 
 
 
La segunda sentencia permite que la mitad inferior de la red 192.168.30.0/24 acceda a cualquier otro destino.
R3(config)#access-list 130 permit ip 192.168.30.0 0.0.0.127 any 
 
 
Las sentencias restantes permiten explícitamente que la mitad superior de la red 192.168.30.0/24 acceda a las redes y los servicios que permite la política de red.
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.10.0 0.0.0.255 
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255 R3(config)
#access-list 130 permit tcp 192.168.30.128 0.0.0.127 any eq www R3(config)
#access-list 130 permit icmp 192.168.30.128 0.0.0.127
 any R3(config)#access-list 130 deny ip any any 
 
 
 

Paso 3. Aplicar las sentencias a la interfaz.

Para aplicar una ACL a una interfaz, ingrese al modo de configuración de interfaz para esa interfaz. Configure el comando ip access-group access-list-number {in | out} para aplicar la ACL a la interfaz.
R3(config)#interface fa0/0 R3(config-if)#ip access-group 130 in

Paso 4. Verificar y probar las ACL.

Ahora que la ACL se ha configurado y aplicado, es muy importante comprobar que el tráfico esté bloqueado o permitido según lo previsto.
  • Desde la PC3, haga ping al servidor Web/TFTP. Esto debe estar bloqueado.
  • Desde la PC3, haga ping a cualquier otro dispositivo. Esto debe estar permitido.
  • Desde la PC4, haga ping al servidor Web/TFTP. Esto debe estar bloqueado.
  • Desde la PC4, haga telnet a R1 en 192.168.10.1 ó 192.168.11.1. Esto debe estar permitido.
  • Desde la PC4, haga ping a la PC1 y la PC2. Esto debe estar permitido.
  • Desde la PC4, haga telnet a R2 en 10.2.2.2. Esto debe estar bloqueado.
Después de haber realizado estas pruebas y haber obtenido los resultados correctos, utilice el comando EXEC privilegiado show access-lists en R3 para verificar que las sentencias ACL coincidan.
Según su conocimiento sobre ACL, realice otras pruebas para verificar que cada sentencia coincida con el tráfico correcto.

Paso 5. Verificar los resultados.

Su porcentaje de finalización debe ser del 75%. De lo contrario, haga clic en Verificar resultados para ver qué componentes requeridos aún no se han completado.

Tarea 5: Configurar una ACL extendida nombrada

Paso 1. Configurar una ACL extendida y nombrada en R2.

Recuerde que la política en R2 se diseñará para filtrar el tráfico de Internet. Debido a que R2 tiene la conexión al ISP, ésta es la mejor ubicación para la ACL.
Configure una ACL nombrada con la denominación FIREWALL en R2 mediante el comando ip access-list extended name. Este comando coloca al router en modo de configuración de ACL extendida y nombrada. Observe el indicador del router cambiado.
R2(config)#ip access-list extended FIREWALL R2(config-ext-nacl)#
En el modo de configuración de ACL, agregue las sentencias para filtrar el tráfico tal como se describe en la política:
  • Los hosts externos pueden establecer una sesión de Web con el servidor Web interno únicamente en el puerto 80.
  • Se permiten únicamente las sesiones TCP establecidas.
  • Las respuestas de ping se permiten a través de R2
    • .
R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www R2(config-ext-nacl)#permit tcp any any established R2(config-ext-nacl)#permit icmp any any echo-reply R2(config-ext-nacl)#deny ip any any
Después de configurar la ACL en R2, utilice el comando show access-lists para confirmar que la ACL tenga las sentencias correctas.

Paso 2. Aplicar la ACL a la interfaz.

Utilice el comando ip access-group name {in | out} para aplicar la ACL entrante en la interfaz opuesta al ISP del R2.
R3(config)#interface s0/1/0 R3(config-if)#ip access-group FIREWALL in

Paso 3. Verificar y probar las ACL.

Realice las siguientes pruebas para asegurarse de que la ACL esté funcionando según lo previsto.
  • Desde el host externo, abra una página Web en el servidor Web/TFTP interno. Esto debe estar permitido.
  • Desde el host externo, haga ping al servidor Web/TFTP interno. Esto debe estar bloqueado.
  • Desde el host externo, haga ping a la PC1. Esto debe estar bloqueado.
  • Desde la PC1, haga ping al servidor Web externo en 209.165.201.30. Esto debe estar permitido.
  • Desde la PC1, abra una página Web en el servidor Web externo. Esto debe estar permitido.
Después de haber realizado estas pruebas y haber obtenido los resultados correctos, utilice el comando EXEC privilegiadoshow access-lists en R2 para verificar que las sentencias ACL coincidan.
Según su conocimiento sobre ACL, realice otras pruebas para verificar que cada sentencia coincida con el tráfico correcto.

Paso 4. Verificar los resultados.

Su porcentaje de finalización debe ser del 100%. De lo contrario, haga clic en Verificar resultados para ver qué componentes requeridos aún no se han completado.



Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Publicado por en No hay comentarios:
Etiquetas:

lunes, 28 de marzo de 2011

Actividad 5.2.8: Configuración de las ACL estándar


Objetivos de aprendizaje

  • Investigar la configuración actual de la red
  • Evaluar una política de red y planificar una implementación de ACL
  • Configurar ACL estándar numeradas
  • Configurar ACL estándar nombradas

Introducción

Las ACL estándar son guiones de configuración del router que controlan si un router acepta o rechaza paquetes según la dirección de origen. Esta actividad se concentra en definir criterios de filtrado, configurar ACL estándar, aplicar ACL a interfaces de router y verificar y evaluar la implementación de la ACL. Los routers ya están configurados, lo que incluye direcciones IP y enrutamiento EIGRP. La contraseña EXEC del usuario es cisco y la contraseña EXEC privilegiada es class.

Tarea 1: Investigar la configuración actual de la red

Paso 1. Visualizar la configuración en ejecución en los routers.

Visualice las configuraciones en ejecución en los tres routers por medio del comando show running-config mientras está en el modo EXEC privilegiado. Observe que las interfaces y el enrutamiento están totalmente configurados. Compare las configuraciones de la dirección IP con la tabla de direccionamiento que se muestra más arriba. En este momento, no debe haber ninguna ACL configurada en los routers.
El router ISP no requiere ninguna configuración durante este ejercicio. Supongamos que el router ISP no está bajo su administración y el administrador del ISP se ocupa de su configuración y mantenimiento.

CONFIGURACION R1:


CONFIGURACION R2:


CONFIGURACION R3:





Paso 2. Confirmar que todos los dispositivos puedan acceder a todas las demás ubicaciones.

Antes de aplicar cualquier ACL a una red, es importante confirmar que exista conectividad completa. Si no prueba la conectividad en su red antes de aplicar una ACL, probablemente la resolución de problemas sea más difícil.
Un paso útil en la prueba de conectividad es visualizar las tablas de enrutamiento en cada dispositivo para asegurarse de que cada red figure en éstas. En R1, R2 y R3 ejecute el comando show ip route. Debe ver que cada dispositivo tiene rutas conectadas para redes conectadas y rutas dinámicas a todas las demás redes remotas.

R1:


R2:


 R3:



Todos los dispositivos pueden acceder a todas las demás ubicaciones.
Aunque la tabla de enrutamiento puede ser útil para evaluar el estado de la red, la conectividad aún debe probarse al hacerping. Realice las siguientes pruebas:

  • Desde la PC1, haga ping a la PC2.





  • Desde la PC2, haga ping al host externo.






  • Desde la PC4, haga ping al servidor Web/TFTP.






    • Cada una de estas pruebas de conectividad debe tener éxito.

    Tarea 2: Evaluar una política de red y planificar una implementación de ACL

    Paso 1. Evaluar la política para las LAN del R1.

    • La red 192.168.10.0/24 puede acceder a todas las ubicaciones, excepto a la red 192.168.11.0/24.
    • La red 192.168.11.0/24 puede acceder a todos los demás destinos, excepto a cualquier red conectada al ISP.

    Paso 2. Planificar la implementación de ACL para las LAN del R1.

    • Dos ACL implementan completamente la política de seguridad para las LAN del R1.
    • La primera ACL en el R1 deniega el tráfico desde la red 192.168.10.0/24 a la red 192.168.11.0/24, pero permite el resto del tráfico.
    • Esta primera ACL, aplicada en dirección de salida en la interfaz Fa0/1, monitorea el tráfico  que se envía a la red 192.168.11.0.
    • La segunda ACL, ubicada en el R2, deniega a la red 192.168.11.0/24 el acceso al ISP, pero permite el resto del tráfico.
    • El trafico saliente desde la interfaz S0/1/0 en R2 está controlado.
    • Coloque las sentencias ACL en orden, desde la más específica a la menos específica. Primero se deniega el acceso del tráfico de la red a otra red antes de permitir el acceso del resto del tráfico.

    Paso 3. Evaluar la política para la LAN del R3.

    • La red 192.168.30.0/10 puede acceder a todos los destinos.
    • El host 192.168.30.128 no tiene permitido el acceso fuera de la LAN.

    Paso 4. Planificar la implementación de ACL para la LAN del R3.

    • Una ACL implementa completamente la política de seguridad para la LAN del R3.
    • La ACL se coloca en el R3 y deniega al host 192.168.30.128 el acceso fuera de la LAN, pero permite el tráfico desde todos los demás hosts de la LAN.
    • Al aplicar una ACL entrante en la interfaz Fa0/0, esta ACL monitoreará todo el tráfico que intente salir de la red 192.168.30.0/10.
    • Coloque las sentencias ACL en orden, desde la más específica a la menos específica. Primero se deniega el acceso al host 192.168.30.128 antes que permitir el acceso al resto del tráfico.

    Tarea 3: Configurar ACL estándar numeradas

    Paso 1. Determinar la máscara wildcard.

    La máscara wildcard en una sentencia ACL determina cuánto se debe verificar en una dirección IP de origen o destino. Un bit 0 implica hacer coincidir ese valor en la dirección, mientras que un bit 1 ignora ese valor en la dirección. Recuerde que las ACL estándar sólo pueden verificar direcciones de origen.
    • Debido a que la ACL en el R1 deniega todo el tráfico de la red 192.168.10.0/24, se rechazará toda dirección IP de origen que comience con 192.168.10. Dado que el último octeto de la dirección IP puede ignorarse, la máscara wildcard correcta es 0.0.0.255. Cada octeto en esta máscara puede interpretarse como “verificar, verificar, verificar, ignorar”.
    • La ACL en el R2 también deniega el tráfico de la red 192.168.11.0/24. Puede aplicarse la misma máscara wildcard, 0.0.0.255.

    Paso 2. Determinar las sentencias.

    • Las ACL se configuran en el modo de configuración global.
    • Para las ACL estándar, use un número entre 1 y 99. El número 10 se usa para esta lista en el R1 para ayudar a recordar que esta ACL monitorea la red 192.168.10.0.
    • En el R2, la lista de acceso 11 deniega el tráfico de la red 192.168.11.0 a cualquier red ISP; por lo tanto, la opción deny está configurada con la red 192.168.11.0 y la máscara wildcard 0.0.0.255.
    • Debe permitirse el resto del tráfico con la opción permitdebido a la sentencia implícita “deny any” al final de las ACL. La opción any especifica a todo host de origen.
    Configure lo siguiente en R1:
    R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255 R1(config)#access-list 10 permit any
    Nota: Packet Tracer no calificará una configuración de ACL hasta que todas las sentencias se ingresen en el orden correcto.
    Ahora cree una ACL en el R2 para denegar la red 192.168.11.0 y permitir las demás redes. Para esta ACL, use el número 11. Configure lo siguiente en R2:
    R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255 R2(config)#access-list 11 permit any

    Paso 3. Aplicar las sentencias a las interfaces.

    En R1, ingrese al modo de configuración para la interfaz Fa0/1.
    Ejecute el comando ip access-group 10 out para aplicar la ACL estándar saliente en la interfaz.
    R1(config)#interface fa0/1 R1(config-if)#ip access-group 10 out
    En R2, ingrese al modo de configuración para la interfaz S0/1/0.


    R1:



    R2:




    Ejecute el comando ip access-group 11 out para aplicar la ACL estándar saliente en la interfaz
    R2(config)#interface s0/1/0 R2(config-if)#ip access-group 11 out

    Paso 4. Verificar y probar las ACL.

    Con las ACL configuradas y aplicadas, la PC1 (192.168.10.10) no debe poder hacer ping a la PC2 (192.168.11.10), ya que la ACL 10 se aplica con dirección de salida en la Fa0/1 en R1.
    La PC2 (192.168.11.10) no debe poder hacer ping al servidor Web (209.165.201.30) ni al host externo (209.165.202.158), pero sí debe poder hacer ping a cualquier otra ubicación, ya que la ACL 11 se aplica en dirección de salida en la S0/1/0 en R2. Sin embargo, la PC2 no puede hacer ping a la PC1 porque la ACL 10 en R1 impide la respuesta de eco desde la PC1 a la PC2.

    Paso 5. Verificar los resultados.

    Su porcentaje de finalización debe ser del 67%. De lo contrario, haga clic en Verificar resultados para ver qué componentes requeridos aún no se han completado.


    Tarea 4: Configurar una ACL estándar nombrada

    Paso 1. Determinar la máscara wildcard.

    • La política de acceso para R3 indica que el host en 192.168.30.128 no debe tener permitido ningún acceso fuera de la LAN local. El resto de los hosts de la red 192.168.30.0 deben tener permitido el acceso a las demás ubicaciones.
    • Para verificar un único host, debe verificarse la dirección IP completa mediante la palabra clave host.
    • Se permiten todos los paquetes que no coinciden con la sentencia host.

    Paso 2. Determinar las sentencias.

    • En R3, entre al modo de configuración global.
    • Cree una ACL nombrada con la denominación NO_ACCESS mediante el comando ip access-list standard NO_ACCESS. Ingresará al modo de configuración de ACL. Todas las sentencias permit y deny se configuran desde este modo de configuración.
    • Deniegue el tráfico desde el host 192.168.30.128 con la opción host.
    • Permita todo el tráfico restante con permit any.
    Configure la siguiente ACL nombrada en R3:
    R3(config)#ip access-list standard NO_ACCESS R3(config-std-nacl)#deny host 192.168.30.128 R3(config-std-nacl)#permit any

    Paso 3. Aplicar las sentencias a la interfaz correcta.

    Ejecute el comando ip access-group NO_ACCESS in para aplicar la ACL nombrada entrante en la interfaz. Este comando hace que todo el tráfico que ingresa a la interfaz Fa0/0 desde la LAN 192.168.30.0/24 se compare con la ACL.
    R3(config)#interface fa0/0 R3(config-if)#ip access-group NO_ACCESS in

    Paso 4. Verificar y probar las ACL.

    Haga clic en Verificar resultados y luego en Pruebas de conectividad. Las siguientes pruebas deben fallar:
    • PC1 a PC2
    • PC2 a host externo
    • PC2 a Servidor Web
    • Todos los pings desde la PC4 y hacia ésta, excepto entre la PC3 y la PC4

    Paso 5. Verificar los resultados.

    Su porcentaje de finalización debe ser del 100%. De lo contrario, haga clic en Verificar resultados para ver qué componentes requeridos aún no se han completado.


    Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
    Publicado por en 1 comentario:
    Etiquetas:

    miércoles, 23 de febrero de 2011

    Actividad 2.4.7: Configuración de la seguridad del switch


    NOTA PARA EL USUARIO: Aunque puede completar esta actividad sin instrucciones impresas, hay una versión de las instrucciones en PDF disponible en el lado del texto de la misma página desde la que inició esta actividad.

    Tabla de direccionamiento:

    DispositivoInterfazDirección IPMáscara de subred
    S1VLAN99172.17.99.11255.255.255.0
    PC1NIC172.17.99.21255.255.255.0
    PC2NIC172.17.99.32255.255.255.0

    Objetivos de aprendizaje

    • Configurar la administración básica del switch.
    • Configurar la seguridad del puerto dinámico.
    • Probar la seguridad del puerto dinámico.
    • Asegurar los puertos sin uso.

    Tarea 1: Configurar la administración básica del switch

    Paso 1. Desde PC1, acceda a la conexión de la consola para S1.

    • Haga clic en PC1 y después en la pestaña Desktop. Seleccione Terminal en la pestaña Desktop.
    • Mantenga estas configuraciones predeterminadas paraTerminal Configuration y luego haga clic en OK:
      • Bits por segundo = 9600
      • Bits de datos = 8
      • Paridad = Ninguna
      • Bits de parada = 1
      • Control de flujo= Ninguno
    • El usuario está conectado a la consola en S1. PresioneEnter para ver el indicador del switch.

    Paso 2. Cambie al modo EXEC privilegiado.

    Para acceder al modo EXEC privilegiado, escriba el comandoenable. El indicador cambia de > a #.
    S1>enable
S1#
    Observe cómo pudo ingresar al modo EXEC privilegiado sin proporcionar una contraseña. ¿Por qué la falta de una contraseña para el modo EXEC privilegiado es una amenaza de seguridad?

    Paso 3. Cambie al modo de configuración global y configure la contraseña de EXEC privilegiado.

    • Mientras está en el Modo EXEC privilegiado, puede acceder al modo de configuración global mediante el comando configure terminal.
    • Utilice el comando enable secret para establecer la contraseña. Para esta actividad, establezca la contraseña como class.


    S1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#enable secret class
S1(config)#
    Nota: PT no califica el comando enable secret.


    Paso 4. Configure las contraseñas de la terminal virtual y de la consola, y pida a los usuarios que inicien sesión.

    Se requerirá una contraseña para acceder a la línea de consola. Incluso en el modo EXEC de usuario básico puede proporcionar información significativa a un usuario malicioso. Además, las líneas vty deben tener una contraseña antes de que los usuarios puedan acceder al switch de manera remota.
    • Acceda al indicador de la consola con el comando line console 0.
    • Use el comando password para configurar las líneas de consola y vty con cisco como contraseña. Nota: PT no califica el comando password cisco en este caso.
    • A continuación introduzca el comando login, que requiere que los usuarios escriban una contraseña antes de poder acceder al modo EXEC del usuario.
    • Repita el proceso con las líneas vty. Utilice el comandoline vty 0 15 para acceder al indicador correcto.
    • Escriba el comando exit para volver al indicador de configuración global.



    S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#

    Paso 5. Configure la encriptación de la contraseña.

    La contraseña de EXEC privilegiado ya está encriptada. Para encriptar las contraseñas de línea recién configurada, escriba el comando service password-encryption en el modo de configuración global.
    S1(config)#service password-encryption
S1(config)#
    Paso 6. Configure y pruebe el mensaje MOTD.
    Configure el mensaje del día (MOTD) con Authorized Access Only como texto. El texto del mensaje distingue mayúsculas de minúsculas. Asegúrese de no agregar espacios antes o después del texto del mensaje. Utilice un caracter delimitante antes y después del texto del mensaje para indicar dónde comienza y dónde finaliza. El caracter delimitador que se utiliza en el ejemplo a continuación es &, pero se puede usar cualquier caracter que no se use en el texto del mensaje. Después de configurar el MOTD, finalice la sesión del switch para verificar que el mensaje se despliegue cuando vuelva a iniciar sesión.
    

    S1(config)#banner motd &Authorized Access Only&
S1(config)#end [or exit]
S1#exit

S1 con0 is now available

Press RETURN to get started.

[Intro]

Authorized Access Only

User Access Verification

Contraseña:
    • El indicador de la contraseña ahora requiere una contraseña para ingresar al modo EXEC del usuario. Ingrese la contraseña cisco.
      • 

    • Entre al modo EXEC privilegiado con la contraseña classy vuelva al modo de configuración global con el comandoconfigure terminal.
      • 


    


    

    Contraseña: [cisco] !Nota: La contraseña no se muestra cuando la escribe.

S1>enable
Contraseña: [class] !Nota: La contraseña no se muestra cuando la escribe.
S1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#
    Paso 7. Verifique los resultados.
    Su porcentaje de finalización debe ser del 40%. De lo contrario, haga clic en Check Results cuáles son los componentes requeridos que aún no se completan.
    

    Tarea 2: Configurar la seguridad dinámica del puerto
    Paso 1. Habilite VLAN99.
    Packet Tracer se abre con la interfaz VLAN 99 en el estado inactivo, que no es como funciona un switch real. Debe activar la VLAN 99 con el comando no shutdown antes de que las interfaces se vuelvan activas en Packet Tracer.
    

    S1(config)#interface vlan 99
S1(config-if)#no shutdown
 
     
     
    Paso 2. Ingrese al modo de configuración de interfaz para FastEthernet 0/18 y habilite la seguridad del puerto.
    Antes de que cualquier otro comando de seguridad de puertos se pueda configurar en la interfaz, se debe activar la seguridad del puerto.
    

    S1(config-if)#interface fa0/18
S1(config-if)#switchport port-security
    Tome en cuenta que no tiene que volver al modo de configuración global antes de ingresar al modo de configuración de interfaz para fa0/18.
    

    


    

    Paso 3. Configure el número máximo de direcciones MAC.
    Para configurar el puerto y conocer sólo una dirección MAC, configure maximum en 1:
    

    S1(config-if)#switchport port-security maximum 1
    Nota: PT no califica el comando switchport port-security maximum 1, sin embargo este comando es vital para configurar la seguridad del puerto.
    

    Paso 4. Configure el puerto para agregar la dirección MAC a la configuración en ejecución.
    La dirección MAC conocida en el puerto puede agregarse ("ajustarse") a la configuración en ejecución para ese puerto..
    
S1(config-if)#switchport port-security mac-address stickyNota: PT no califica el comando switchport port-security mac-address sticky, sin embargo este comando es vital para configurar la seguridad del puerto.
    

    Paso 5. Configure el puerto para que se desconecte de forma automática en caso de que se viole la seguridad.
    Si no se configura el siguiente comando, S1 sólo registrará la infracción en las estadísticas de seguridad del puerto, pero no lo desactiva.
    

    S1(config-if)#switchport port-security violation shutdown
    Nota: PT no califica el comando switchport port-security violation shutdown, sin embargo este comando es vital para configurar la seguridad del puerto.
    

    


    

    

    Paso 6. Confirme que S1 haya adquirido la dirección MAC para PC1.
    Haga ping de PC1 a S1.
    
Confirme que S1 posea ahora una entrada de dirección MAC estática para PC1 en la tabla de MAC:
    

    S1#show mac-address-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

  99    0060.5c5b.cd23    STATIC      Fa0/18
    La dirección MAC ahora "se ajusta" a la configuración en ejecución.
    

    S1#show running-config
<se omite el resultado>
interface FastEthernet0/18
 switchport access vlan 99
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky 
 switchport port-security mac-address sticky 0060.5C5B.CD23
<se omite el resultado>
S1#
    Paso 7. Verifique los resultados.
    Su porcentaje de finalización debe ser del 70%. De lo contrario, haga clic en Check Results para saber cuáles son los componentes requeridos que aún no se completan.
    

    Tarea 3: Probar la seguridad dinámica del puerto
    Paso 1. Quite la conexión entre PC1 y S1 y conecte PC2 a S1.
    • Para probar la seguridad del puerto, borre la conexión Ethernet entre PC1 y S1. Si borra accidentalmente la conexión del cable de la consola, sólo vuelva a conectarla.
      • 

    • Conecte PC2 a Fa0/18 en S1. Espere a que la luz de enlace color ámbar se torne verde y después haga ping de PC2 a S1. Entonces, el puerto se debe desconectar automáticamente.
      • 


    

    

    Paso 2. Verifique que la seguridad del puerto sea la razón por la cual el puerto está desconectado.
    Para verificar que la seguridad del puerto haya desactivado el mismo, introduzca el comando show interface fa0/18.
    

    S1#show interface fa0/18
FastEthernet0/18 is down, line protocol is down (err-disabled)
  Hardware is Lance, address is 0090.213e.5712 (bia 0090.213e.5712)
<se omite el resultado>
     
     
    El protocolo de línea está desconectado debido a un error (err) al aceptar una trama con una dirección MAC diferente a la conocida, por lo tanto el software del IOS de Cisco desconecta (disabled) el puerto.
    
También puede verificar una violación en la seguridad con el comando show port-security interface fa0/18.
    

    S1#show port-security interface fa0/18
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 00E0.F7B0.086E:99
Security Violation Count   : 1
    Tome en cuenta que el estado del puerto es secure-shutdown, y el conteo de las violaciones de seguridad es 1.
    

    Paso 3. Restablezca la conexión entre PC1 y S1 y reconfigure la seguridad del puerto.
    Quite la conexión entre PC2 y S1. Vuelva a conectar PC1 al puerto Fa0/18 en S1.
    
Observe que el puerto aún está apagado, aunque usted haya vuelto a conectar la PC habilitada en el mismo. Un puerto que está en estado apagado debido a una violación de seguridad se debe reactivar manualmente. Desactive el puerto y luego actívelo con no shutdown.
    

    S1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#interface fa0/18
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down
S1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
S1(config-if)#exit
S1(config)#
    Paso 4. Pruebe la conectividad haciendo ping en S1 desde PC1.
    El ping de PC1 a S1 debe tener éxito.
    
Su porcentaje de finalización aún debe ser del 70% al terminar esta tarea.
    

    


    

    Tarea 4: Asegurar los puertos sin utilizarUn método simple que muchos administradores utilizan para asegurar su red de acceso no autorizado es deshabilitar todos los puertos sin utilizar en un switch de red.
    Paso 1. Deshabilite la interfaz Fa0/17 en S1.
    Entre al modo de configuración de interfaz para FastEthernet 0/17 y desconecte el puerto.
    

    S1(config)#interface fa0/17
S1(config-if)#shutdown
 
     
    Paso 2. Pruebe el puerto conectando PC2 a Fa0/17 en S1.
    Conecte PC2 a la interfaz Fa0/17 en S1. Observe que las luces de enlace son rojas. PC2 no tiene acceso a la red.
    


    

    Paso 3. Verifique los resultados.
    Su porcentaje de finalización debe ser del 100%. De lo contrario, haga clic en Check Results cuáles son los componentes requeridos que aún no se completan.
    

    


    

    

    

    
All contents are Copyright © 1992–2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
    

    

    

    

    

Publicado por



en





1 comentario:
  









    


    

    

    

Etiquetas:



    

    



    

    

    

    

        
    
      

    


    

    

    
Suscribirse a:
Entradas (Atom)