Configuracion NAT Dinamica

Packet Tracer: Configuración de NAT dinámica

Topología

Objetivos

Parte 1: Configurar NAT dinámica

Parte 2: Verificar la implementación de NAT

Parte 1. Configurar NAT dinámica

Paso 1.    Configurar el tráfico que desea permitir

En el R2, configure una instrucción para que la ACL 1 permita cualquier dirección que pertenezca a 172.16.0.0/16.

Paso 2.    Configurar un conjunto de direcciones para NAT

Configure el R2 con un conjunto de NAT que utilice las cuatro direcciones en el espacio de direcciones 209.165.76.196/30.

Observe que en la topología hay tres rangos de red que se traducirán según la ACL creada. ¿Qué sucedería si más de dos dispositivos intentaran acceder a Internet?

A Los dispositivos adicionales se les negara el acceso hasta que una de las sesiones anteriores caducara 

Paso 1.    Asociar la ACL 1 con el conjunto de NAT

Paso 2.    Configurar las interfaces NAT

Configure las interfaces del R2 con los comandos de NAT inside y outside apropiados.

Parte 1. Verificar la implementación de NAT

Paso 1.    Acceder a los servicios a través de Internet

Mediante el navegador web de la L1, la PC1 o la PC2, acceda a la página web del Servidor1.

Paso 2.    Ver las NAT

Vea las traducciones NAT en el R2.

R2# show ip nat translations

https://drive.google.com/open?id=1ejLpZkiHv8AJZcg1zjnDUYbMf3Hfsn2L

Configuracion NAT

Packet Tracer: Configuración de NAT estática

Topología

Objetivos

Parte 1: Probar el acceso sin NAT

Parte 2: Configurar NAT estática

Parte 3: Probar el acceso con NAT

Situación

En las redes IPv4 configuradas, los clientes y los servidores utilizan direcciones privadas. Para que los paquetes con direcciones privadas puedan transmitirse por Internet, deben traducirse en direcciones públicas. Los servidores a los que se puede acceder desde fuera de la organización generalmente tienen asignadas una dirección IP estática pública y una privada. En esta actividad, deberá configurar NAT estática de modo que los dispositivos externos puedan acceder al servidor interno en su dirección pública.

Parte 1. Probar el acceso sin NAT

Paso 1.    Intentar conectarse a Server1 desde Simulation Mode

a.     Desde la PC1 o la L1, intente conectarse a la página web del Servidor1 en 172.16.16.1. Utilice el navegador web para navegar el Servidor1 en 172.16.16.1. Los intentos deberían fallar.

b.    Desde la PC1, haga ping a la interfaz S0/0/0 del R1. El ping debe ser correcto.

Paso 2.    Ver la tabla de routing del R1 y la configuración en ejecución

c.     Vea la configuración en ejecución en el R1. Observe que no hay comandos que se refieran a NAT.

d.    Verifique que la tabla de routing no tenga entradas que se refieran a las direcciones IP utilizadas por la PC1 y la L1.

e.     Verifique que el R1 no utilice NAT.

R1# show ip nat translations

Parte 1. Configurar NAT estática

Paso 1.    Configurar las instrucciones de NAT estática

Consulte la topología. Cree una traducción de NAT estática para asignar la dirección interna del

Servidor1 a su dirección externa.

Paso 2.    Configurar las interfaces

Configure las interfaces internas y externas correctas.

Parte 2. Probar el acceso con NAT

Paso 1.    Verificar la conectividad a la página web de Server1

a.     Abra el símbolo del sistema en la PC1 o la L1 e intente hacer ping a la dirección pública del Servidor1. Los pings se deben realizar correctamente.

b.    Verifique que tanto la PC1 como la L1 ahora puedan acceder a la página web del Servidor1.

Paso 2.    Ver las NAT

Utilice los siguientes comandos para verificar la configuración de NAT estática:

show running-config

show ip nat translations

show ip nat statistics

https://drive.google.com/open?id=1kRT0zv7OHp8jvaWSfGZqaoiJkNn0zjqk

Asignacion de puertos Vlan con DHCP

Packet Tracer: Desafío de integración de habilidades

Topología

Tabla de direccionamiento

El administrador	Interfaces	Dirección IP	Máscara de subred	Gateway predeterminado
R1	G0/0,10	172.31.10.1	255.255.255.224	N/D
	G0/0,20	172.31.20.1	255.255.255.240	N/D
	G0/0,30	172.31.30.1	255.255.255.128	N/D
	G0/0,40	172.31.40.1	255.255.255.192	N/D
	G0/1	DHCP asignado	DHCP asignado	N/D
PC1	NIC	DHCP asignado	DHCP asignado	DHCP asignado
PC2	NIC	DHCP asignado	DHCP asignado	DHCP asignado
PC3	NIC	DHCP asignado	DHCP asignado	DHCP asignado
PC4	NIC	DHCP asignado	DHCP asignado	DHCP asignado

Asignaciones de puertos de VLAN e información de DHCP

Puertos	Número y nombre de VLAN	Nombre del pool de DHCP	Red
Fa0/5 – 0/9	VLAN 10: Ventas	VLAN_10	172.31.10.0/27
Fa0/10 – Fa0/14	VLAN 20: Producción	VLAN_20	172.31.20.0/28
Fa0/15 – Fa0/19	VLAN 30: Marketing	VLAN_30	172.31.30.0/25
Fa0/20-Fa0/24	VLAN 40: RR. HH.	VLAN_40	172.31.40.0/26

Situación

En esta actividad de culminación, configurará las VLAN, los enlaces troncales, el servidor DHCP, los agentes de retransmisión DHCP y un router como cliente DHCP.

Requisitos

A partir de la información de las tablas anteriores, implemente los siguientes requisitos:

·         Cree las VLAN en el S2 y asígnelas a los puertos correspondientes. Los nombres distinguen mayúsculas de minúsculas.

·         Configure los puertos del S2 para el uso de enlaces troncales.

·         Configure los puertos que se no usarán para enlaces troncales en el S2 como puertos de acceso.

·         Configure el R1 para el routing entre las VLAN. Los nombres de subinterfaz deben coincidir con el número de VLAN.

·         Configure el R1 para que actúe como servidor de DHCP para las VLAN conectadas al S2.

-       Cree un pool de DHCP para cada VLAN. Los nombres distinguen mayúsculas de minúsculas.

-       Asigne las direcciones apropiadas a cada pool.

-       Configure DHCP para proporcionar una dirección de gateway predeterminado.

-       Configure el servidor DNS 209.165.201.14 para cada pool.

-       Evite que se distribuyan las primeras 10 direcciones de cada pool a las terminales.

·         Verifique que cada computadora tenga una dirección asignada del pool de DHCP correcto.

Nota: La asignación de direcciones DHCP puede tomar tiempo. Haga clic en Fast Forward Time (Adelantar el tiempo) para acelerar el proceso.

·         Configure el R1 como cliente DHCP para que reciba una dirección IP de la red del ISP.

·         Verifique que ahora todos los dispositivos puedan hacer ping entre sí y a www.cisco.pka.

https://drive.google.com/open?id=1JmmiZFxV1vt6lGPWUpVzN0ipkKCJCCLf

Configuracion de DHCP

Packet Tracer: Configuración de DHCP mediante el IOS de Cisco

Topología

Tabla de asignación de direcciones

Dispositivo	Interfaz	Dirección IPv4	Máscara de subred	Gateway predeterminado
R1	G0/0	192.168.10.1	255.255.255.0	N/D
	S0/0/0	10.1.1.1	255.255.255.252	N/D
R2	G0/0	192.168.20.1	255.255.255.0	N/D
	G0/1	DHCP asignado	DHCP asignado	N/D
	S0/0/0	10.1.1.2	255.255.255.252	N/D
	S0/0/1	10.2.2.2	255.255.255.252	N/D
R3	G0/0	192.168.30.1	255.255.255.0	N/D
	S0/0/1	10.2.2.1	255.255.255.0	N/D
PC1	NIC	DHCP asignado	DHCP asignado	DHCP asignado
PC2	NIC	DHCP asignado	DHCP asignado	DHCP asignado
Servidor DNS	NIC	192.168.20.254	255.255.255.0	192.168.20.1

Objetivos

Parte 1: Configurar un router como servidor de DHCP

Parte 2: Configurar la retransmisión de DHCP

Parte 3: Configurar un router como cliente DHCP

Parte 4: Verificar DHCP y la conectividad

Situación

Un servidor de DHCP dedicado es escalable y relativamente fácil de administrar, pero puede ser costoso tener uno en cada ubicación en una red. Sin embargo, se puede configurar un router Cisco para proporcionar servicios DHCP sin necesidad de un servidor dedicado. Como técnico de red de la empresa, tiene la tarea de configurar un router Cisco como servidor de DHCP para proporcionar la asignación dinámica de direcciones a los clientes de la red. También se le pide que configure el router perimetral como cliente DHCP para que reciba una dirección IP de la red ISP.

Parte 1:        Configurar un router como servidor de DHCP

Paso 1:        Configurar las direcciones IPv4 excluidas

Configure el R2 para excluir las primeras 10 direcciones de las LAN del R1 y del R3. El resto de las direcciones deben estar disponibles en el conjunto de direcciones DHCP.

Paso 2:        Crear un pool de DHCP en el R2 para la LAN del R1

a.  Cree un pool de DHCP llamado R1-LAN (con distinción entre mayúsculas y minúsculas).

b.  Configure el pool de DHCP para que incluya la dirección de red, el gateway predeterminado y la dirección IP del servidor DNS.

Paso 3:        Crear un pool de DHCP en el R2 para la LAN del R3

a.  Cree un pool de DHCP llamado R3-LAN (con distinción entre mayúsculas y minúsculas).

b.    Configure el pool de DHCP para que incluya la dirección de red, el gateway predeterminado y la dirección IP del servidor DNS.

Parte 2:        Configurar la retransmisión de DHCP

Paso 1:    Configurar el R1 y el R3 como agentes de retransmisión DHCP

Paso 2:        Establecer la PC1 y la PC2 para que reciban información de direccionamiento IP de DHCP

Parte 3:        Configurar el R2 como cliente DHCP

a.  Configure la interfaz Gigabit Ethernet 0/1 en el R2 para que reciba el direccionamiento IP de DHCP y active la interfaz.

Nota: Utilice la función Fast Forward Time (Adelantar el tiempo) de Packet Tracer para acelerar el proceso o espere hasta que el R2 forme una adyacencia de EIGRP con el router del ISP.

b.    Utilice el comando show ip interface brief para verificar que el R2 haya recibido una dirección IP de DHCP.

Parte 4:        Verificar la conectividad y DHCP

Paso 1:        Verificar las asignaciones de DHCP

R2# show ip dhcp binding

IP address       Client-ID/              Lease expiration        Type

                 Dirección de Hardware

192.168.10.11    0002.4AA5.1470           --                     Automatic

192.168.30.11    0004.9A97.2535           --                     Automatic

Paso 2:        Verificar las configuraciones

Verifique que la PC1 y la PC2 puedan hacer ping entre sí y a todos los demás dispositivos.

https://drive.google.com/open?id=1_zUYx8JySevyK5J5tCDjh79OWyZ1FbZJ

Preguntas

https://drive.google.com/open?id=12GmRbQ7_3uR4SPwKj9jyfcE-yRJHMnkO

Configuracion de una ACL IPV4

https://drive.google.com/open?id=136wyX5VtNLFs5yP-FAKZh772t414fJTO

Resumen Proceso de desarrollo de las ACL

Instrumento

Reporte

Alumno: Jesus Yair Gregório Rodriguez Lira		Fecha: 09 / 12 / 2018
Carrera: Tecnologias De La Información Área Desarrollo de Software Multiplataforma.		Grupo: TIDSM 21
Asignatura: Interconexión de Redes	Unidad temática: VIII
Profesor: MCE. Héctor Hugo Domínguez Jaime

Título: Proceso de desarrollo de ACL

I.- Introducción

En este reporte veremos y comprenderemos como desarrollar los procesos para el desarrollo de las ACL, el dominio las ACL para un administrador de redes es sumamente importante ya que es el dominio de las listas de control ya que tener conocimiento de este es sumamente importante si te quieres dedicar a ser un administrador de redes.

II. Objetivos:

El alumno deberá entender el proceso de desarrollo de las ACL  y comprender el procedimiento de las listas de acceso estándares.

III.- Desarrollo:

En un router Cisco, puede configurar un firewall simple que proporcione capacidades básicas de filtrado de tráfico mediante ACL. Los administradores utilizan las ACL para detener el tráfico o para permitir solamente tráfico específico en sus redes.

Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. Las ACL son una de las características del software IOS de Cisco más utilizadas.

 

TAREAS DE LAS ACL:

1-.Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo, si la política corporativa no permite el tráfico de video en la red, se pueden configurar y aplicar ACL que bloqueen el tráfico de video.

2-.Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega de actualizaciones de routing para asegurar que las actualizaciones provienen de un origen conocido.

3-.Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.

4-.Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de archivos, como FTP o HTTP.

FILTRADO DE PAQUETES

Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de control de acceso” (ACE). Las ACE también se denominan comúnmente “instrucciones de ACL”. Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del paquete con cada ACE, en orden secuencial, para determinar si el paquete coincide con una de las ACE. Este proceso se denomina filtrado de paquetes.

Las ACL estándar filtran sólo en la Capa 3. Las ACL extendidas filtran en las capas 3 y 4.

El criterio de filtrado establecido en cada ACE de una ACL de IPv4 estándar es la dirección IPv4 de origen. Un router configurado con una ACL de IPv4 estándar recupera la dirección IPv4 de origen del encabezado del paquete. El router comienza en la parte superior de la ACL y compara la dirección con cada ACE de manera secuencial. Cuando encuentra una coincidencia, el router realiza la instrucción, que puede ser permitir o denegar el paquete. Una vez que se halla una coincidencia, las ACE restantes de la ACL, si las hubiera, no se analizan. Si la dirección IPv4 de origen no coincide con ninguna ACE en la ACL, se descarta el paquete.

La última instrucción de una ACL es siempre una denegación implícita. Esta sentencia se inserta automáticamente al final de cada ACL, aunque no esté presente físicamente. La denegación implícita bloquea todo el tráfico. Debido a esta denegación implícita, una ACL que no tiene, por lo menos, una instrucción permit bloqueará todo el tráfico.

FUNCIONAMIENTO DE LAS ACL

Las Listas de Control de Acceso definen el conjunto de reglas que proporcionan un control adicional para los paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router. Las ACL no operan sobre paquetes que se originan en el router mismo.

§  ACL de entrada: los paquetes entrantes se procesan antes de enrutarse a la interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar.

§  ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y después se procesan mediante la ACL de salida. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que provienen de varias interfaces de entrada antes de salir por la misma interfaz de salida.

MÁSCARAS WILDCARD EN ACL

Las ACE de IPv4 incluyen el uso de máscaras wildcard. Una máscara wildcard es una cadena de 32 dígitos binarios que el router utiliza para determinar qué bits de la dirección debe examinar para obtener una coincidencia.

Como ocurre con las máscaras de subred, los números 1 y 0 en la máscara wildcard identifican lo que hay que hacer con los bits de dirección IPv4 correspondientes

 REGLAS PARA APLICAR LAS ACL

Se puede configurar una ACL por protocolo, por sentido y por interfaz: Una ACL por protocolo: para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. (p. ej., IPv4 o IPv6)

Una ACL por sentido: Las ACL controlan el tráfico en una interfaz de a un sentido por vez. Se deben crear dos ACL diferentes para controlar el tráfico entrante y saliente. (es decir, de entrada o de salida)

Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, GigabitEthernet 0/0.

DÓNDE UBICAR LAS ACL

Cada ACL se debe colocar donde tenga más impacto en la eficiencia. Como se muestra en la Imagen 12, las reglas básicas son las siguientes:

§  ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.

§  ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible. Si coloca una ACL estándar en el origen del tráfico, evitará de forma eficaz que ese tráfico llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.

Nota: Aunque las ACL extendidas están fuera del ámbito del examen de ICND1/CCENT, debe conocer las pautas generales para colocar tanto la ACL estándar como la extendida.

 

 

 

 

Ubicación de las ACL

De acuerdo con las pautas básicas de colocación de ACL estándar cerca del destino, en la ilustración se muestran dos interfaces posibles del R3 a las que aplicar la ACL estándar:

§  Interfaz S0/0/1 del R3: la aplicación de una ACL estándar para impedir que el tráfico de 192.168.10.0/24 ingrese a la interfaz S0/0/1 evita que dicho tráfico llegue a 192.168.30.0/24 y al resto de las redes a las que puede llegar el R3. Esto incluye la red 192.168.31.0/24. Dado que el objetivo de la ACL es filtrar el tráfico destinado solo a 192.168.30.0/24, no se debe aplicar una ACL estándar a esta interfaz.

§  Interfaz G0/0 del R3: al aplicar una ACL estándar al tráfico que sale por la interfaz G0/0, se filtran los paquetes que van de 192.168.10.0/24 a 192.168.30.0/24. Esto no afecta a las otras redes a las que puede llegar el R3. Los paquetes de 192.168.10.0/24 aún pueden llegar a 192.168.31.0/24.

El proceso de creación de una ACL se lleva a cabo creando la lista y posteriormente asociándola a una interfaz entrante o saliente.
Configuración de ACL estándar

Router(config)#access-list[1-99][permit|deny][dirección de origen][mascara comodín]

§  Donde:

§  1-99 Identifica el rango y la lista.

§  Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada.

§  Dirección de origen  identifica la dirección IP de origen.

§  Mascara comodín o wildcard identifica los bits del campo de la dirección que serán comprobados.

§  La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociación de la lista a una interfaz

§  Router(config-if)#ip access-group[nº de lista de acceso][in|out]

§  Donde:

§  Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

§  In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.
Ejemplo de una ACL estándar denegando una red:

§  Router#configure terminal
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in

§  Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,
Posteriormente se asocio la ACL a la interfaz Serial 0.
Configuración de ACL extendida

§  El proceso de configuración de una ACL IP extendida es el siguiente:

§  Router(config)#access-list[100-199][permit|deny][protocol][dirección de origen][mascara comodín][dirección de destino][mascara de destino][puerto][establisehed][log]
100-199 identifica el rango y número de lista
Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada.
Protocolo: como por ejemplo IP, TCP, UDP, ICMP

§  Dirección origen y destino: identifican direcciones IP de origen y destino.

§  Mascara wildcard origen y mascara destino: Son las mascaras comodín. Las 0 indican las posiciones que deben coincidir, y los 1 las “que no importan”.

§  Puerto:(opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un número de puerto de protocolo correspondiente.

§  Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que él rafico TCP pase si el paquete utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK)

§  Log: (opcional) Envía un mensaje de registro a la consola a un servidor syslog determinado.

§  Algunos de los números de puertos más conocidos:

§  20 Datos del protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS

§   

§  Asociación de la lista a una interfaz

§  Router(config-if)#ip access-group[nº de lista de acceso][in|out]

§  Donde:

§  Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

§  In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

§   

§  Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red:

§  Router(config)#access-list 120 deny tcp host 204.204.10.1  any eq 80
Router(config)#access-list 120 permit ip any any
Router(config)#interface serial 1
Router(config-if)#ip access-group 120 in

§  Se ha denegado al host 204.204.10.1, (identificándolo con la abreviatura “host”) hacia el puerto  80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta ACL se asocio a la interfaz Serial 1 como entrante.
Aplicación de una ACL a la linea de telnet

§  Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una
lista de acceso estándar y asociarla a la Line VTY. El proceso de creación se lleva a cabo como una ACL estándar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la Línea de telnet es el siguiente:

§  router(config)#line vty 0 4
router(config-line)#access-class[Nº de lista de acceso][in|out]

§   

§  Como eliminar las listas de acceso

§  Desde el modo interfaz donde se aplico la lista:

§  Router(config-if)#no ip access-group[Nº de lista de acceso]

§  Desde el modo global elimine la ACL

§  router(config)#no access-list[Nº de lista de acceso]

Conclusión:

En este resumen se ve que es una ACL cuáles son sus funciones donde se localiza como es que se utiliza y lo más impórtate es como implementarla para que funcione correctamente yo no tenía idea de que era una ACL pero ya al investigar y al saber lo que es en realidad y como es que se compone entiendo que es de gran importancia para que un administrador de red pueda desempeñar su trabajo de una manera más eficaz también se mira cual es el comando o los comandos para activar un ACL y también el comando para poder desactivarla en un cierto momento que se necesite.

Bibliografía

Ariganello, E. (06 de noviembre de 2006). Aprende Redes ccna. Recuperado el 30 de 03 de 2019, de Aprende Redes ccna: http://aprenderedes.com/2006/11/proceso-de-configuracion-de-acl/

Network, C. A. (52 de febrero de 2010). Netacad. Recuperado el 30 de 03 de 2019, de Netacad: https://static-course-assets.s3.amazonaws.com/RSE6/es/index.html#7.1.1.1