Tasca 1: Configurar PPP amb autenticació CHAP
Pas 1: Configurar l’enllaç entre HQ i B1 per utilitzar l’encapsulació PPP amb autenticació CHAPA HQ i B1:
A HQ i B2:
Pas 3: Verificar que s’ha restablert la connectivitat entre els routers
Fem ping de HQ a B1, HQ a B2:
[falla]
Pas 4: Verificar els resultats
Tasca 2: Configurar rutes predeterminades
Pas 1: Configurar l’enrutament predeterminat d’HQ a ISP
Definim la interfície de sortida cap a ISP:
HQ(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0
Pas 2: Provar la connectivitat al servidor Web
Ping de HQ al servidor Web funciona:
Pas 3: Verificar els resultats
Tasca 3: Configurar l’enrutament OSPF
Pas 1: Configurar OSPF a HQ
Configure OSPF mediante el ID de proceso 1.
HQ(config)#router ospf 1
Publique todas las subredes, excepto la red 209.165.201.0.
HQ(config-router)#network 10.1.1.1 255.255.255.252 area 1
HQ(config-router)#network 10.1.1.5 255.255.255.252 area 1
Propague la ruta predeterminada a vecinos OSPF.
HQ(config-router)#default-information originate
Deshabilite las actualizaciones de OSPF al ISP y a las LAN de HQ.
HQ(config-router)#passive-interface s0/1/0
HQ(config-router)#network 10.1.50.1 255.255.255.0 area 1
HQ(config-router)#network 10.1.40.1 255.255.255.0 area 1
Propague la ruta predeterminada a vecinos OSPF.
HQ(config-router)#default-information originate
Deshabilite las actualizaciones de OSPF al ISP y a las LAN de HQ.
HQ(config-router)#passive-interface s0/1/0
HQ(config-router)#passive-interface fa0/0
HQ(config-router)#passive-interface fa0/1
Pas 2: Configurar OSPF a B1 i B2
• Configure OSPF mediante el ID de proceso 1.
• En cada router, configure las subredes apropiadas.
• Deshabilite las actualizaciones de OSPF a las LAN.
B1(config)#router ospf 1
Pas 3: Provar la connectivitat en tota la xarxa
Pas 4: Verificar els resultats
Pas 2: Configurar OSPF a B1 i B2
• Configure OSPF mediante el ID de proceso 1.
• En cada router, configure las subredes apropiadas.
• Deshabilite las actualizaciones de OSPF a las LAN.
B1(config)#router ospf 1
B1(config-router)#network 10.1.1.2 255.255.255.252 area 0
B1(config-router)#network 10.1.10.1 255.255.255.0 area 0
B1(config-router)#network 10.1.20.1 255.255.255.0 area 0
B1(config-router)#passive-interface fa0/1
B1(config-router)#passive-interface fa0/0
B2(config)#router ospf 1
B2(config)#router ospf 1
B2(config-router)#network 10.1.1.6 255.255.255.252 area 0
B2(config-router)#network 10.1.80.1 255.255.255.0 area 0
B2(config-router)#network 10.1.70.1 255.255.255.0 area 0
B2(config-router)#passive-interface fa0/0
B2(config-router)#passive-interface fa0/1
Pas 3: Provar la connectivitat en tota la xarxa
Pas 4: Verificar els resultats
Tasca 4: Implementar diverses polítiques de seguretat d’ACL
Pas 1: Implementar la política de seguretat número 1
Creem l’ACL nº 10 a HQ que no permeti que la xarxa 10.1.10.0 accedeixi a la xarxa 10.1.40.0, es permet la resa a 10.1.40.0:
• ¿Usará una ACL estándar o extendida?
Estandard
• ¿A qué interfaz aplicará la ACL?
A fa0/1 de HQ
• ¿En qué dirección aplicará la ACL?
sortida
HQ(config)#access-list 10 deny 10.1.10.0 0.0.0.255
HQ(config)#access-list 10 permit any
HQ(config)#interface fa0/1
HQ(config-if)#ip access-group 10 out
Pas 2: Verificar la implementació de la política de seguretat número 1
Ping de PC5 a PC1 ha de fallar:
Pas 3: Verificar els resultats
Pas 4: Implementar la política de seguretat número 2
Configurem l’ACL número 115 a B1 fent que el host 10.1.10.5 no tingui permès l’accés al host 10.1.50.7, la resta de hosts sí poden accedir-hi:
• ¿Usará una ACL estándar o extendida?
Extesa (les estandards són de la 1-99)
• ¿A qué interfaz aplicará la ACL?
A fa0/0
• ¿En qué dirección aplicará la ACL?
D’entrada
B1(config)#ip access-list extended 115
B1(config-ext-nacl)#deny ip host 10.1.10.5 host 10.1.50.7
B1(config-ext-nacl)#permit ip any any
B1(config-ext-nacl)#int fa0/0
B1(config-if)#ip access-group 115 in
Pas 5: Verificar la implementació de la política de seguretat número 2
Ping de PC5 a PC3 ha de fallar:
*
B1(config-ext-nacl)#deny ip host 10.1.10.5 host 10.1.50.7
B1(config-ext-nacl)#permit ip any any
B1(config-ext-nacl)#int fa0/0
B1(config-if)#ip access-group 115 in
Pas 5: Verificar la implementació de la política de seguretat número 2
Ping de PC5 a PC3 ha de fallar:
*
Pas 6: Verificar els resultats
Pas 7: Implementar la política de seguretat número 3
Configurem l’ACL nº 101 que no permeti l’accès Web al servidor d’Intranet 10.1.80.16. Permèt l’accés restant:
• ¿Usará una ACL estándar o extendida?
extesa
• ¿En qué router configurará la ACL?
HQ
• ¿A qué interfaz aplicará la ACL?
S0/0/1
• ¿En qué dirección aplicará la ACL?
Sortida
HQ(config)#ip access-list extended 101
HQ(config)#access-list 101 deny tcp 10.1.50.1 0.0.0.63 host 10.1.80.16
HQ(config)#access-list 101 permit ip any any
HQ(config-ext-nacl)#int fa0/0
HQ(config-if)#ip access-group 101 in
Pas 8: Verificar la implementació de la política de seguretat número 3
PC3 > Escritorio > Explorador Web:
*
Pas 9: Verificar els resultats
Pas 10: Implementar la política de seguretat número 4
Configurem l’ACL NO_FTP que bloquegi a la xarxa 10.1.70.0/24 l’accés als serveis FTP (21) al servidor d’arxius de 10.1.10.2. Es permet qualsevol altre accés:
• ¿Usará una ACL estándar o extendida?
Extesa
• ¿En qué router configurará la ACL?
B2
• ¿A qué interfaz aplicará la ACL?
S0/0/0
• ¿En qué dirección aplicará la ACL?
Entrada
B2(config)#ip access-list extended NO_FTP
B2(config-ext-nacl)#deny tcp 10.1.70.0 0.0.0.255 host 10.1.10.2 eq ftp
B2(config-ext-nacl)#permit ip any any
B2(config-ext-nacl)#deny tcp 10.1.70.0 0.0.0.255 host 10.1.10.2 eq ftp
B2(config-ext-nacl)#permit ip any any
B2(config-ext-nacl)#int fa0/1
B2(config-if)#ip access-group NO_FTP in
Pas 11: Verificar els resultats
Pas 12: Implementar la política de seguretat número 5
Configurem una ACL FIREWALL :
- permet només respostes ping entrants d’ISP i altres orígens
- Permet només sessions TCP des d’ISP i altres orígens
- Bloquejar qualsevol altre accés entrant des d’ISP i altres orígens més enllà de l’ISP
• ¿Usará una ACL estándar o extendida?
Extesa
• ¿En qué router configurará la ACL?
HQ
• ¿A qué interfaz aplicará la ACL?
S0/1/0
• ¿En qué dirección aplicará la ACL?
Entrada
Pas 11: Verificar els resultats
Pas 12: Implementar la política de seguretat número 5
Configurem una ACL FIREWALL :
- permet només respostes ping entrants d’ISP i altres orígens
- Permet només sessions TCP des d’ISP i altres orígens
- Bloquejar qualsevol altre accés entrant des d’ISP i altres orígens més enllà de l’ISP
• ¿Usará una ACL estándar o extendida?
Extesa
• ¿En qué router configurará la ACL?
HQ
• ¿A qué interfaz aplicará la ACL?
S0/1/0
• ¿En qué dirección aplicará la ACL?
Entrada
HQ(config)#ip access-list extended FIREWALL
HQ(config-ext-nacl)#permit icmp any any echo-reply
HQ(config-ext-nacl)#permit tcp any any established
HQ(config-ext-nacl)#deny ip any any
HQ(config-ext-nacl)#permit icmp any any echo-reply
HQ(config-ext-nacl)#permit tcp any any established
HQ(config-ext-nacl)#deny ip any any
HQ(config-ext-nacl)#int s0/1/0
HQ(config-if)#ip access-group FIREWALL in
Pas 13: Verificar la implementació de la política de seguretat número 5
Des de qualsevol PC fem ping a ISP i el servidor Web i ni ISP ni el servidor Web poden fer ping a HQ ni altres dispositius darrere l’ACL FIREWALL:
Entrades
Cap comentari:
Publica un comentari a l'entrada