LABORATORIO DE REDES III CONFIGURACIN Y VERIFICACIN DE LAS ACL PARA FILTRAR EL TRAFICO ENTRE VLAN

POR: ESTEBAN GMEZ VILLA 1128477457 stb102@gmail.com SANTIAGO BEDOYA - 1036337197 santiagobedoyase@gmail.com NATALIA LOPEZ - 1017155189 nata2j@gmail.com VICTOR AGUILAR 1040730695 victor-0926@hotmail.com ANDRES MARULANDA 1128428453 greenedwar@hotmail.com

Informe de laboratorio

Profesor: Bayron Ospina - bospinac@misena.edu.co

UNIVERSIDAD DE ANTIOQUIA FACULTAD DE INGENIERIA REDES DE COMPUTADORES III - 2535011 MEDELLIN 2013

CONTENIDO

CONTENIDO ........................................................................................................... 2 OBJETIVOS ............................................................................................................. 3 DESCRIPCIN DE LA ACTIVIDAD ......................................................................... 4 UNIDADES Y CAPTULOS QUE SE TRABAJAN. ............................................... 4 CONOCIMIENTOS PREVIOS REQUERIDOS. .................................................... 4 RESULTADOS ESPERADOS DE LA PRCTICA. ............................................... 4 RECURSOS Y AYUDAS PEDAGGICAS UTILIZADAS. ..................................... 4 Paso 3: Configurar R1 para admitir el trfico entre VLAN . .................................. 5 Paso 5: Crear, nombrar y asignar puerto a tres VLAN en S1 . ............................. 5 Paso 6: Crear el enlace troncal en S1 . ................................................................ 5 Paso 7: Configurar los hosts . ............................................................................... 5 Paso 8: Verificar que la red est funcionando . .................................................... 5 Paso 9: Configurar, aplicar y probar una ACL extendida para filtrar el trfico entre VLAN . ......................................................................................................... 6 Paso 10: Reflexin ............................................................................................... 6 RESUMEN ............................................................................................................... 7 LOGROS Y DIFICULTADES .................................................................................... 7 CONCLUSIONES .................................................................................................... 8 ANEXOS .................................................................................................................. 9

OBJETIVOS Es claro que hasta este punto se han adquirido varios conocimientos entre ellos estn la configuracin de VLANs en un switch, verificacin en los enlaces troncales y la configuracin en un route para el enrutamiento entre VLAN. El principal objetivo se basa en las ACL en donde se pretende configurarla, aplicarla y probarla para filtrar trfico entre VLAN.

DESCRIPCIN DE LA ACTIVIDAD

UNIDADES Y CAPTULOS QUE SE TRABAJAN. En esta unidad se desarrollan todos los conceptos aprendidos como: Configuracin de las tareas bsica de un router incluyendo subinterfaces, configuracin de VLAN en el switch e incluso las ACL.

CONOCIMIENTOS PREVIOS REQUERIDOS. Para el desarrollo de este laboratorio se debe tener conocimientos bsicos en el manejo de un router y de un switch, uso de una interfaz de lnea de comandos IOS configuraciones de red y ACL.

RESULTADOS ESPERADOS DE LA PRCTICA. Se espera comprender todas las variables que ofrece las ACL en VLAN filtrando el trfico entre ellas y los diferentes cambios que se pueden implementar en la topologa asignada permitiendo o denegando trfico saliente o entrante.

RECURSOS Y AYUDAS PEDAGGICAS UTILIZADAS. El laboratorio se desarrollar en el aula de telemtica, se contar con cables de red directos, tres PC con sistema operativo Linux, un router cisco 1841 y un switches marca cisco.

Paso 3: Configurar R1 para admitir el trfico entre VLAN Por qu el comando no shutdown se ejecuta slo en la interfaz FastEthernet 0/0? Dado que la interfaz se subdivide en varias subinterfaces y esta las abarca. Adems es la interfaz principal. Por qu es necesario especificar el tipo de encapsulacin en cada subinterfaz? Ya que son como interfaces fsicas y por lo tanto comparten las caractersticas, entre ellas la necesidad de encapsulamiento. Paso 5: Crear, nombrar y asignar puerto a tres VLAN en S1 Por qu conviene ubicar la granja de servidores en una VLAN separada? Se hace con el fin de separar diferentes dependencias de trabajo, por seguridad y no saturar los servidores con mucha informacin. Paso 6: Crear el enlace troncal en S1 Por qu no es necesario especificar qu protocolo de enlace troncal (dot1q, ISL) se utilizar? Porque en la VLAN ya se especific de modo trunk, adems en el router cada una de las subinterfaces tiene especificado el tipo de encapsulamiento. Paso 7: Configurar los hosts Predecir: Si las configuraciones son correctas, a qu dispositivos debera poder hacer ping con xito un usuario en PC1? El PC1 puede hacer ping a los otros Pc, a las subinterfaces del router, a la IP administrativa del switch. Paso 8: Verificar que la red est funcionando a. Ha logrado hacer ping? S b. Desde el switch S1, haga ping al gateway predeterminado 192.168.1.1 del router. Ha logrado hacer ping? S c. Cul es el estado de las interfaces? R1: FastEthernet 0/0: up FastEthernet 0/0.1: up FastEthernet 0/0.2: up FastEthernet 0/0.3: up FastEthernet 0/0.4: up

S1: Interfaz VLAN1: up

Paso 9: Configurar, aplicar y probar una ACL extendida para filtrar el trfico entre VLAN a. R1 tiene una interfaz FastEthernet 0/0 y cuatro subinterfaces. Dnde debera colocarse esta ACL y en qu direccin? Por qu? En la subinterfaz fa0/0.3 y entrando al route. Es recomendado cuando se tiene un access list extendida ubicarla lo ms cerca posible del origen. Paso 10: Reflexin a. Por qu conviene realizar y verificar configuraciones bsicas y relativas a VLAN antes de crear y aplicar una ACL? Se previenen confusiones desprendidos de las configuraciones bsicas realizadas en la VLAN. b. Qu resultados se hubiesen producido si la ACL se hubiese colocado en la subinterfaz FastEthernet 0/0.3 saliente y la PC2 hubiese hecho ping a PC3? No sucede nada ya que el acces list no relaciona el PC2 con PC3.

RESUMEN Inicialmente se interconect la topologa solicitada que estaba compuesta por un router, un swich y tres computadores. Primero que todo se realiza la configuracin del route segn la interfaz conectada y en esta cada una de las subinterfaces que contiene. Luego se efecta la configuracin bsica del switch creando, nombrando y asignando las tres VLAN. A cada una de estas se les determina un puerto segn la tabla de direccionamiento. Adems se crea el nico enlace troncal en S1. Finalmente cuando todo est funcionando se configura, se aplica y se prueba ACL extendida para filtrar el trfico entre VLAN.

LOGROS Y DIFICULTADES Qu importancia tiene el desarrollo de este evento prctico dentro de su formacin? En el desarrollo de esta prctica se aplica las ACL extendidas dentro de varias VLAN y de alguna manera se ha ido complementando nuestra formacin como ingenieros de infraestructura a la hora de filtrar trfico entre estas. Por qu le gust la prctica? Para este caso en donde se realizaron varios montajes relacionados con las ACL, fue muy interesante analizar cada uno de estos y al final cumplir con el objetivo de cada una de ellas. Cmo apoya la prctica realizada al logro de sus objetivos y metas en el curso? Con esta se va solidificando nuestras bases profesionales, adems de aprender a trabajar en grupo que es un factor clave a la hora de un entorno laboral. Adems se van fortaleciendo muchas de nuestras competencias. Por qu podra usted no estar satisfecho con la prctica? La prctica fue satisfactoria, no se present ningn problema en la configuracin o en los equipos. Enumere las dificultades o inquietudes que se le han presentado durante el desarrollo del laboratorio/prctica. Fue una prctica que no present problemas, se pudo realizar satisfactoriamente y cumplir a cabalidad cada uno de los objetivos propuestos en esta.

CONCLUSIONES 1. La ACL se debe vincular a una interfaz ya sea de entrada o de salida, si no se aplicase adecuadamente se cambia por completo el filtro del trfico entre VLAN. 2. Para este caso se aplic ACL extendida, por lo tanto se garantiz una mayor seguridad de la red, en donde como administradores podemos controlar los servicios denegndolos o permitindolos.

ANEXOS R1
R1#show ip access-lists Extended IP access list 100 10 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 (33 matches) 20 permit ip any any (19 matches) R1#show running-config Building configuration... Current configuration : 1296 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! enable secret 5 $1$VYXF$aXgkZNSq0L..YN4Pcz142. enable password class ! no aaa new-model ip cef ! ! ! ! no ip domain lookup ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address ip access-group 100 in duplex auto speed auto ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.2

encapsulation dot1Q 10 ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/0.3 encapsulation dot1Q 20 ip address 192.168.3.1 255.255.255.0 ip access-group 100 in ! interface FastEthernet0/0.4 encapsulation dot1Q 30 ip address 192.168.4.1 255.255.255.0 ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! ! ! no ip http server no ip http secure-server ! access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 100 permit ip any any ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 password cisco login ! scheduler allocate 20000 1000 end

S1
S1#show running-config Building configuration... Current configuration : 1535 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname S1 ! enable secret 5 $1$cEnD$7QKXRHlwvZDUHT/agGkyK1 ! no aaa new-model system mtu routing 1500 ip subnet-zero ! ! ! ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 switchport access vlan 20 switchport mode access ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 switchport access vlan 30 switchport mode access !

interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.1.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.1.1 ip http server ! control-plane ! ! line con 0 line vty 0 4 password cisco logging synchronous login line vty 5 15 login

! end ------------------------------------------------------S1#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/3, Fa0/4, Fa0/6, Fa0/7 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2 10 Servers active Fa0/2 20 Users1 active Fa0/5 30 Users2 active Fa0/8 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN ---1 10 20 30 VLAN ---1002 1003 1004 1005 Type ----enet enet enet enet Type ----fddi tr fdnet trnet SAID ---------100001 100010 100020 100030 SAID ---------101002 101003 101004 101005 MTU ----1500 1500 1500 1500 MTU ----1500 1500 1500 1500 Parent -----Parent -----RingNo -----RingNo -----BridgeNo -------BridgeNo -------Stp ---Stp ---ieee ibm BrdgMode -------BrdgMode -------Trans1 -----0 0 0 0 Trans1 -----0 0 0 0 Trans2 -----0 0 0 0 Trans2 -----0 0 0 0

Remote SPAN VLANs ------------------------------------------------------------------------------

Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------