Upload
fernandezsapena7518
View
30
Download
0
Embed Size (px)
Citation preview
EJERCICIO LISTAS DE ACCESO EXTENDIDAS CON SERVIDORES
CONFIGURACION SWITCH0 SEVILLAIntroducimos las vlanes en las Interfaces correspondientes y truncamos el puerto 24 que es el puerto que va al router
interface FastEthernet0/1switchport mode access switchport access vlan 10!interface FastEthernet0/2switchport mode access switchport access vlan 20!interface FastEthernet0/3switchport mode access switchport access vlan 30|interface FastEthernet0/24 switchport mode trunk switchport trunk allowed vlan 10,20,30
CONFIGURACION ROUTER SEVILLA(1) Ponemos nombre al routerRouter#CONFIGURE TERMINALRouter(config)#HOSTNAME SEVILLA
(2) Entramos en la Interface fa0/0 y levantamos el puertoSEVILLA(config)#interface fa0/0SEVILLA(config-if)#no shutdown
(3) Empezamos a encapsular cada interface con su vlanSEVILLA(config-if)#interface fa0/0.1SEVILLA(config-subif)#encapsulation dot1q 10SEVILLA(config-subif)#ip address 192.168.1.1 255.255.255.0SEVILLA(config-subif)#exit
SEVILLA(config)#interface fa0/0.2SEVILLA(config-subif)#encapsulation dot1q 20SEVILLA(config-subif)#ip address 192.168.2.1 255.255.255.0SEVILLA(config-subif)#exit
SEVILLA(config)#interface fa0/0.3SEVILLA(config-subif)#encapsulation dot1q 30SEVILLA(config-subif)#ip address 192.168.3.1 255.255.255.0SEVILLA(config-subif)#exit
(4) Configuramos el cable Serial que une a MadridSEVILLA(config)#interface s0/0/0SEVILLA(config-if)#no shutdownSEVILLA(config-if)#clock rate 4000000SEVILLA(config-if)# ip address 10.0.0.1 255.0.0.0
(5) Configuramos Listas de Acceso en Sevilla, tiene que haber una lista de acceso por vlan y a cada lista de acceso la introducimos en la subinterface correspondiente.Permitimos al dpto1 conectarse con el ordenador (host) 100.100 al puerto 80 (servidor web) SEVILLA(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.100.100 eq 80
Permitimos al dpto1 conectarse con el ordenador (host) 100.101 al puerto 53 udp (servidor DNS)
SEVILLA(config)#access-list 101 permit udp 192.168.1.0 0.0.0.255 host 192.168.100.101 eq 53
Denegamos todo lo dems
SEVILLA(config)#access-list 101 deny ip any any
(6) Introducimos la lista de acceso en su subinterface SEVILLA(config)#interface fa0/0.1SEVILLA(config-subif)#ip access-group 101 inSEVILLA(config-subif)#exit
Permitimos al departamento 2 conectarse con el servidor de correo de salida (SMTP pto 25) y de entrada (POP 110) y denegamos todo lo dems
SEVILLA(config)#access-list 102 permit tcp 192.168.2.0 0.0.0.255 host 192.168.100.102 eq 25SEVILLA(config)#access-list 102 permit tcp 192.168.2.0 0.0.0.255 host 192.168.100.102 eq 110SEVILLA(config)#access-list 102 deny ip any any
(7) Introducimos la lista de acceso en su subinterface SEVILLA(config)#interface fa0/0.2SEVILLA(config-subif)#ip access-group 102 inSEVILLA(config-subif)#exit
Permitimos al dpto3 slo conectarse a DNS (puerto 53 udp)
SEVILLA(config)#access-list 103 permit udp 192.168.3.0 0.0.0.255 host 192.168.100.101 eq 53SEVILLA(config)#access-list 103 deny ip any any
(8) Introducimos la lista de acceso en su subinterface SEVILLA(config)#interface fa0/0.3SEVILLA(config-subif)#ip access-group 103 inSEVILLA(config-subif)#exit
(9) Por ltimo enrutamos con RIP (publicamos con el comando network, las redes que tenemos directamente conectadas)
SEVILLA(config)#router ripSEVILLA(config-router)#network 192.168.1.0SEVILLA(config-router)#network 192.168.2.0SEVILLA(config-router)#network 192.168.3.0SEVILLA(config-router)#network 10.0.0.0SEVILLA(config-router)#exitCONFIGURACION ROUTER MADRIDEl router de Madrid, no tiene VLAN por que solo hay servidores, todos estn en la red 192.168.100.0/24 y todos entran por la misma interfaces. Solo hay una lista de acceso que permite el paquete de respuesta a las peticiones que hacen desde Sevilla. La vuelta el permiso es IP, no tcp, por que en el paquete de vuelta no se sabe el puerto de destino (ya que el puerto de destino se la da el equipo que hace la solicitud al servidor y es un puerto aleatorio a partir del 1024.slo el de origen es el conocido).(1) Ponemos nombre al router y levantamos el puerto fa0/0 y el s0/0/1 con IP, aqu no hay vlanes, no se encapsula.Router#CONFIGURE TERMINALRouter(config)#HOSTNAME MADRID
MADRID(config)#interface fa0/0MADRID(config-if)#no shutdownMADRID(config-if)#ip address 192.168.100.1 255.255.255.0MADRID(config-if)#exit
MADRID(config)#interface s0/0/1MADRID(config-if)#no shutdownMADRID(config-if)#ip address 10.0.0.2 255.0.0.0MADRID(config-if)#exit(2) Ponemos la vlan que permite el paquete de respuesta desde los servidores a los departamentos correspondientes.Primero permitimos al servidor 192.168.100.100 (Servidor http) comunicarse con el dpto1 192.168.1.0Madrid(config)#access-list 101 permit ip host 192.168.100.100 192.168.1.0 0.0.0.255Primero permitimos al servidor 192.168.100.101 (DNS) comunicarse con el dpto1 192.168.1.0 y el dpto. 3 192.168.3.0Madrid(config)#access-list 101 permit ip host 192.168.100.101 192.168.1.0 0.0.0.255Madrid(config)#access-list 101 permit ip host 192.168.100.101 192.168.3.0 0.0.0.255Primero permitimos al servidor 192.168.100.102 (MAIL) comunicarse con el dpto2 192.168.2.0.Madrid(config)#access-list 101 permit ip host 192.168.100.102 192.168.2.0 0.0.0.255El resto lo denegamosMadrid(config)#access-list 101 deny ip any anyMadrid(config)#exit
Introducimos la lista de acceso en la puerta de acceso de los servidoresMadrid(config)#interface fa0/0Madrid(config-if)#ip access-group 101 inMadrid(config-if)#exit
(3) Por ultimo enrutamos con el comando network las redes que tenemos publicadasMadrid(config)#router ripMadrid(config-router)#network 10.0.0.0Madrid(config-router)#network 192.168.100.0Madrid(config-router)#exit