IMPLEMENTACION DE UN SISTEMA DE ACLS EN ROUTER CISCO

Presentado por:DANIEL COLORADO PEREZANDRES FELIPE ARBOLEDAANDRES FELIPE ECHAVARRIA HONEY FELIPE AGUDELO BETANCUR

Instructor:ALEXANDER AUGUSTO ALVAREZ HIGUITA

IMPLEMENTACION DE ACLS EN CISCO 2901

SERVICIO NACIONAL DE APRENDIZAJE SENA

REA: GESTIN DE REDES DE DATOS

FICHA: 600088COLOMBIA

2014Actividad: Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso en el firewall que permitan el paso de trfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente la comunicacin desde la LAN es transparente as que el enrutador debe permitir la salida de paquetes desde la LAN.

Estrategias Actividad : En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su router tenga una IOS que permita hacer filtrado con ACLs, ademas de esto recuerde que va a requerir por lo menos dos interfaces para trabajar, como recomendacin puede usar un router que soporte dos interfaces de red Ethernet. Recuerde que puede usar un simulador como Packet Tracer antes de intentar configurar el router de forma real, esto le evitar muchos problemas.Topologa a implementar

Configuracin de router cisco serie 2901Lo primero es conectar el equipo a la corriente y decidir por qu medio nos conectamos par su configuracin. En este caso nos conectamos por el puerto com3 que es micro usb a usb descargamos el driver desde la pag de cisco para que sea reconocido el dispositivo en el equipo

El driver lo podemos descargar desde el siguiente enlace: https://drive.google.com/file/d/0B6nA5QifGf6vZnZXbEh4NmJFaGM/edit

Luego procedemos a conectarnos mediante putty de la siguiente manera.

Ahora desde putty que es la siguiente consola procedemos a configuraciones previas. Tenemos dos puertos ethernet gigabyte G0/0 y G1/0Vamos a asignar direccionamiento a los dos puertos respectivamente como esta en la topologaG 0/0 Ip: 192.168.1.1Mask: 255.255.255.0

G 1/0 Ip: 172.168.1.1Mask: 255.255.0.0

Asignamos ip a la interfaz de la siguiente manerarouter#enablerouter#configure terminalrouter(config)#interface gigabitEthernet 0/0router(config-if)#ip address 192.168.1.1 255.255.255.0router(config-if)#do wrBuilding configuration...[OK]router(config-if)#exitrouter(config)#Ahora la segunda interfazrouter#enablerouter#configure terminalrouter(config)#interface gigabitEthernet 1/0router(config-if)#ip address 172.168.1.1 255.255.0.0router(config-if)#do wr Building configuration...[OK]router(config-if)#exitrouter(config)#

podremos verificar lo aterior con el comando show running-configrouter#show running-configinterface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto!interface GigabitEthernet1/0 ip address 172.168.1.1 255.255.0.0 duplex auto speed auto

Luego de esto, tendremos que aclarar nuestra topologa, tenemos un servidor (Windows server2012 o el que prefieran) en el rea de wan, que simulara internet y en el rea de lan tendremos un Windows 7 para hacer pruebasAhora entraremos un poco mas en lo que son las acls que implementaremos. Para este caso vamos a permitir que desde el equipo de lan se pueda acceder a internet solo para consultar el servidor ftp de la copaia que se encuentra en la nube y a la pagina web de la compaa que esta en el exterior o internet, aparte de eso vamos a permitir que se puedan hacer pings hacia donde sea para pruebas en la compaa. En este caso vamos a implementar una lista de acls extendidas para dar permiso a lo anteriormente nombrado y luego la aplicaremos al puerto correspondiente si tienen alguna duda sobre acls estandar y extendidas les recomiendo visiten el siguiente blog de el autor Csar A. Cabrera E.Donde nos aclarara algunas dudas. http://cesarcabrera.info/blog/%C2%BFcomo-funcionan-las-acls-iii-acls-extendidas/ahora luego de un pequeo repaso sobre acls vamos a empezar a implementar nuestra lista de acls

graduados(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80graduados(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 21access-list 101 permit icmp 172.178.0.0 0.0.255.255 192.168.1.0 0.0.0.255

ahora vamos a explicar una de estas acls

Luego de implementar las acls tenemos que agregarlas a un puerto para que ese puerto sea el encargado de filtrar paquetes con las reglas indicadas. Lo hacemos de la siguiente manera.

graduados>enablegraduados#configure terminalgraduados(config)#interface gigabitEthernet 0/0graduados(config-if)#ip access-group 101 in

aca agregamos a la lista a el puerto gigaethernet y le indicamos que filtre todo el trafico entrante hacia el puerto con el modificador in si deseamos que filtre el trafico saliente le agregamos el modificador out

Hasta este punto son 3 reglas las cuales permiten ftp http y ping si vamos a la maquina cliente ingresamos a los servicios para verificar que se pueda acceder a ellos t

Con las siguientes configuraciones vamos a proceder a habilitar la interfaz web para acceder de modo grafico por medio de un navegador. Lo primero que vamos a hacer por medio de la consola es los siguientes comandos para habilitar la interfaz web Habilite el router HTTP o el servidor HTTPS usando estos comandos del Cisco IOS Software: Router(config)# ip http serverRouter(config)# ip http secure-serverRouter(config)# ip http authentication local

Cree a un usuario con el nivel de privilegio 15

Router(config)# username privilege 15 password 0

Configure SSH y Telnet para la conexin local y el nivel de privilegio 15. Router(config)# line vty 0 4Router(config-line)# privilege level 15 Router(config-line)# login localRouter(config-line)# transport input telnet Router(config-line)# transport input telnet sshRouter(config-line)# exit

En la configuracin del java vamos a seguridad , y agregamos una excepcin de la ip del router

En avanzado deshabilitamos el tls

Y en las opciones del navegador agregamos la url como excepcin

Y ahora si accedemos al navegador he ingresamos la ip del router podemos acceder via web con interfaz grafica