LABORATORIO DE REDES III CONFIGURACIÓN Y VERIFICACIÓN DE LAS ACL PARA FILTRAR EL TRAFICO

ENTRE VLAN

POR:

ESTEBAN GÓMEZ VILLA – 1128477457 stb102@gmail.com

SANTIAGO BEDOYA - 1036337197 santiagobedoyase@gmail.com NATALIA LOPEZ - 1017155189

nata2j@gmail.com VICTOR AGUILAR – 1040730695

victor-0926@hotmail.com ANDRES MARULANDA – 1128428453

greenedwar@hotmail.com

Informe de laboratorio

Profesor: Bayron Ospina - bospinac@misena.edu.co

UNIVERSIDAD DE ANTIOQUIA FACULTAD DE INGENIERIA

REDES DE COMPUTADORES III - 2535011 MEDELLIN

2013

CONTENIDO CONTENIDO ........................................................................................................... 2

OBJETIVOS ............................................................................................................. 3

DESCRIPCIÓN DE LA ACTIVIDAD ......................................................................... 4

UNIDADES Y CAPÍTULOS QUE SE TRABAJAN. ............................................... 4

CONOCIMIENTOS PREVIOS REQUERIDOS. .................................................... 4

RESULTADOS ESPERADOS DE LA PRÁCTICA. ............................................... 4

RECURSOS Y AYUDAS PEDAGÓGICAS UTILIZADAS. ..................................... 4

Paso 3: Configurar R1 para admitir el tráfico entre VLAN . .................................. 5

Paso 5: Crear, nombrar y asignar puerto a tres VLAN en S1 . ............................. 5

Paso 6: Crear el enlace troncal en S1 . ................................................................ 5

Paso 7: Configurar los hosts . ............................................................................... 5

Paso 8: Verificar que la red esté funcionando . .................................................... 5

Paso 9: Configurar, aplicar y probar una ACL extendida para filtrar el tráfico

entre VLAN . ......................................................................................................... 6

Paso 10: Reflexión ............................................................................................... 6

RESUMEN ............................................................................................................... 7

LOGROS Y DIFICULTADES .................................................................................... 7

CONCLUSIONES .................................................................................................... 8

ANEXOS .................................................................................................................. 9

OBJETIVOS

Es claro que hasta este punto se han adquirido varios conocimientos entre ellos están la configuración de VLAN´s en un switch, verificación en los enlaces troncales y la configuración en un route para el enrutamiento entre VLAN. El principal objetivo se basa en las ACL en donde se pretende configurarla, aplicarla y probarla para filtrar tráfico entre VLAN.

DESCRIPCIÓN DE LA ACTIVIDAD

UNIDADES Y CAPÍTULOS QUE SE TRABAJAN.

En esta unidad se desarrollan todos los conceptos aprendidos como:

Configuración de las tareas básica de un router incluyendo subinterfaces,

configuración de VLAN en el switch e incluso las ACL.

CONOCIMIENTOS PREVIOS REQUERIDOS.

Para el desarrollo de este laboratorio se debe tener conocimientos básicos en el

manejo de un router y de un switch, uso de una interfaz de línea de comandos IOS

configuraciones de red y ACL.

RESULTADOS ESPERADOS DE LA PRÁCTICA.

Se espera comprender todas las variables que ofrece las ACL en VLAN filtrando el

tráfico entre ellas y los diferentes cambios que se pueden implementar en la

topología asignada permitiendo o denegando tráfico saliente o entrante.

RECURSOS Y AYUDAS PEDAGÓGICAS UTILIZADAS.

El laboratorio se desarrollará en el aula de telemática, se contará con cables de

red directos, tres PC con sistema operativo Linux, un router cisco 1841 y un

switches marca cisco.

Paso 3: Configurar R1 para admitir el tráfico entre VLAN

¿Por qué el comando no shutdown se ejecuta sólo en la interfaz FastEthernet 0/0? Dado que la interfaz se subdivide en varias subinterfaces y esta las abarca. Además es la interfaz principal. ¿Por qué es necesario especificar el tipo de encapsulación en cada subinterfaz? Ya que son como interfaces físicas y por lo tanto comparten las características, entre ellas la necesidad de encapsulamiento. Paso 5: Crear, nombrar y asignar puerto a tres VLAN en S1

¿Por qué conviene ubicar la granja de servidores en una VLAN separada? Se hace con el fin de separar diferentes dependencias de trabajo, por seguridad y no saturar los servidores con mucha información. Paso 6: Crear el enlace troncal en S1

¿Por qué no es necesario especificar qué protocolo de enlace troncal (dot1q, ISL) se utilizará? Porque en la VLAN ya se especificó de modo trunk, además en el router cada una de las subinterfaces tiene especificado el tipo de encapsulamiento. Paso 7: Configurar los hosts

Predecir: Si las configuraciones son correctas, ¿a qué dispositivos debería poder hacer ping con éxito un usuario en PC1? El PC1 puede hacer ping a los otros Pcś, a las subinterfaces del router, a la IP administrativa del switch. Paso 8: Verificar que la red esté funcionando

a. ¿Ha logrado hacer ping? Sí

b. Desde el switch S1, haga ping al gateway predeterminado 192.168.1.1 del

router. ¿Ha logrado hacer ping? Sí

c. ¿Cuál es el estado de las interfaces? R1:

FastEthernet 0/0: up FastEthernet 0/0.1: up FastEthernet 0/0.2: up FastEthernet 0/0.3: up FastEthernet 0/0.4: up

S1:

Interfaz VLAN1: up Paso 9: Configurar, aplicar y probar una ACL extendida para filtrar el tráfico

entre VLAN

a. R1 tiene una interfaz FastEthernet 0/0 y cuatro subinterfaces. ¿Dónde debería colocarse esta ACL y en qué dirección? ¿Por qué? En la subinterfaz fa0/0.3 y entrando al route. Es recomendado cuando se tiene un access list extendida ubicarla lo más cerca posible del origen.

Paso 10: Reflexión

a. ¿Por qué conviene realizar y verificar configuraciones básicas y relativas a VLAN antes de crear y aplicar una ACL? Se previenen confusiones desprendidos de las configuraciones básicas realizadas en la VLAN.

b. ¿Qué resultados se hubiesen producido si la ACL se hubiese colocado en la subinterfaz FastEthernet 0/0.3 saliente y la PC2 hubiese hecho ping a PC3? No sucede nada ya que el acces list no relaciona el PC2 con PC3.

RESUMEN

Inicialmente se interconectó la topología solicitada que estaba compuesta por un router, un swich y tres computadores. Primero que todo se realiza la configuración del route según la interfaz conectada y en esta cada una de las subinterfaces que contiene. Luego se efectúa la configuración básica del switch creando, nombrando y asignando las tres VLAN. A cada una de estas se les determina un puerto según la tabla de direccionamiento. Además se crea el único enlace troncal en S1. Finalmente cuando todo esté funcionando se configura, se aplica y se prueba ACL extendida para filtrar el tráfico entre VLAN.

LOGROS Y DIFICULTADES

¿Qué importancia tiene el desarrollo de este evento práctico dentro de su formación? En el desarrollo de esta práctica se aplica las ACL extendidas dentro de varias VLAN y de alguna manera se ha ido complementando nuestra formación como ingenieros de infraestructura a la hora de filtrar tráfico entre estas. ¿Por qué le gustó la práctica? Para este caso en donde se realizaron varios montajes relacionados con las ACL, fue muy interesante analizar cada uno de estos y al final cumplir con el objetivo de cada una de ellas. ¿Cómo apoya la práctica realizada al logro de sus objetivos y metas en el curso? Con esta se va solidificando nuestras bases profesionales, además de aprender a trabajar en grupo que es un factor clave a la hora de un entorno laboral. Además se van fortaleciendo muchas de nuestras competencias. ¿Por qué podría usted no estar satisfecho con la práctica? La práctica fue satisfactoria, no se presentó ningún problema en la configuración o en los equipos. Enumere las dificultades o inquietudes que se le han presentado durante el desarrollo del laboratorio/práctica. Fue una práctica que no presentó problemas, se pudo realizar satisfactoriamente y cumplir a cabalidad cada uno de los objetivos propuestos en esta.

CONCLUSIONES

1. La ACL se debe vincular a una interfaz ya sea de entrada o de salida, si no se aplicase adecuadamente se cambia por completo el filtro del tráfico entre VLAN.

2. Para este caso se aplicó ACL extendida, por lo tanto se garantizó una mayor seguridad de la red, en donde como administradores podemos controlar los servicios denegándolos o permitiéndolos.

ANEXOS

R1

R1#show ip access-lists Extended IP access list 100 10 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 (33 matches) 20 permit ip any any (19 matches) R1#show running-config Building configuration... Current configuration : 1296 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! enable secret 5 $1$VYXF$aXgkZNSq0L..YN4Pcz142. enable password class ! no aaa new-model ip cef ! ! ! ! no ip domain lookup ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address ip access-group 100 in duplex auto speed auto ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.2

encapsulation dot1Q 10 ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/0.3 encapsulation dot1Q 20 ip address 192.168.3.1 255.255.255.0 ip access-group 100 in ! interface FastEthernet0/0.4 encapsulation dot1Q 30 ip address 192.168.4.1 255.255.255.0 ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! ! ! no ip http server no ip http secure-server ! access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 100 permit ip any any ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 password cisco login ! scheduler allocate 20000 1000 end

S1 S1#show running-config Building configuration... Current configuration : 1535 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname S1 ! enable secret 5 $1$cEnD$7QKXRHlwvZDUHT/agGkyK1 ! no aaa new-model system mtu routing 1500 ip subnet-zero ! ! ! ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 switchport access vlan 20 switchport mode access ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 switchport access vlan 30 switchport mode access !

interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.1.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.1.1 ip http server ! control-plane ! ! line con 0 line vty 0 4 password cisco logging synchronous login line vty 5 15 login

! end ------------------------------------------------------- S1#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/3, Fa0/4, Fa0/6, Fa0/7 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2 10 Servers active Fa0/2 20 Users1 active Fa0/5 30 Users2 active Fa0/8 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 10 enet 100010 1500 - - - - - 0 0 20 enet 100020 1500 - - - - - 0 0 30 enet 100030 1500 - - - - - 0 0 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 Remote SPAN VLANs ------------------------------------------------------------------------------ Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------

.