[CCNA] Desafio 1 - Semana 1 - Agosto 2009
Postado por: Marco Filippetti em Desafios, Exame CCNA -
Imprima este post
Pelos comments, alguns acharam o último desafio muito fácil! Realmente, o nível de dificuldade dele não era alto. Vamos complicar um pouquinho, portanto 
! O desafio desta semana é mais “desafiador”… espero que tenhamos um grande volume de participações… não se acanhem pessoal 
!
Segue o desafio desta semana…! Bom trabalho pessoal!
Observe o diagrama abaixo:
O desafio desta semana consiste não em uma, mas em algumas tarefas:
1) Crie uma lista de acesso que, simultaneamente:
a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
c) Permita que todos os hosts tenham acesso à Internet
d) Negue todo e qualquer acesso restante
2) Identifique o router, a interface e a direção correta para aplicação desta lista, no cenário.
Fontes para consulta:
http://blog.ccna.com.br/?s=listas+de+acesso
http://blog.ccna.com.br/2008/05/08/testes-de-mesa-aplicados-a-redes/
Popularity: 13% [?]
Leia também:
- [CCNA] Desafio 1 da Semana 5 - Março de 2009
- [CCNA] Desafio 1 da Semana 5 - Agosto de 2009
- [CCXP] Desafio 1 da Semana 4 - Agosto de 2008
- [CCNA] Desafio da Semana 3 - Agosto de 2008
- [CCNA] Desafio 1 - Semana 5 - Julho 2009
- [CCNA] Desafio 1 da Semana 5 - Janeiro de 2009
- [CCNA] Desafio 1 - Semana 3 - Julho 2009
- [CCNA] Desafio 2 da Semana 3 - Janeiro de 2010
- [CCNA] Desafio 1 da Semana 4 - Maio de 2009
- [CCNA] Desafio 1 da Semana 4 - Janeiro de 2009
- [CCNA] Desafio 1 da semana 3 - Novembro 2008
- [CCNA] Desafio 1 da Semana 1 - Outubro de 2008
- [CCNA] Desafio 1 da semana 5 - Julho 2008
- [CCNA] Desafio 01 - Semana 01 - Novembro 2010
- [CCNA] Desafio 1 da Semana 1 - Dezembro de 2008
3 de August de 2009 às 9:42 am
Como diria nosso amigo Jack, vamos por partes…
Não sei ainda responder este desafio por completo.. Mas vamos tentar pelo menos um pouco pra ver se anima a galera a tentar também…
Primeiramente temos que permitir à todos os hosts com ip PAR da rede 192.168.10.0 o acesso www (80) ao servidor Srv1, que tem ip 192.168.30.254. Para
solucionar este problema pensei da seguinte maneira:
- O que define que um ip é par ou ímpar?! Poxa Ferrugem, mas eu sei o que é par e ímpar.. Porém neste caso, temos que lidar com os números na forma binária para conseguir resolver este problema… Eis que pergunto novamente: O que define se um número binário é par ou ímpar?!
A resposta está no último bit, o que chamamos de bit menos significativo. Se este bit estiver ativo, o endereço sempre vai ser ímpar, senão, o endereço será par… Ou seja, uma endereço do tipo 192.168.10. XXXX XXX1 será um endereço ímpar da rede 192.168.10.0 /24, e se for 192.168.10. XXXX XXX0 será um endereço par desta mesma rede.
Acredito que esta seja a forma de determinar se um endereço é par ou ímpar… Beleza, agora já sabemos quando um endereço é par ou quando um endereço é ímpar.. Temos agora que criar as ACLs para filtrarem estes endereços, ou como nossa amiga Márcia Guimarães bem diz (cadê você Márciaaa!
), classificar os pacotes.
Um dos grandes lances de ACL é a determinação da wildcard, que para este caso, acredito eu, é um pouco mais complexa do que nos casos mais “normais” (meu DEUS mais complexa ainda! rsrs)… Pois é eu achei…
O que faz a wildcard? Ela na verdade determina quais bits serão “comparados” com o “source address” que você inserir… Eu pensei da seguinte maneira:
Para permitir endereços pares: access-list 111 permit 192.168.10.0 0.0.0.254 ……. , porque, 254 em binário é 1 1 1 1 1 1 1 0, então a wildcard agirá da seguinte maneira:
Source Address: 192.168.10. 0 0 0 0 0 0 0 0
Wild card: 0 . 0 . 0. 1 1 1 1 1 1 1 0
Onde tem 1 a wildcard vai deixar passar qualquer valor, e onde é 0, ela irá fazer a comparação com o source address… Só vai passar se começar com 192.168.10…, por que os três primeiros octetos da wildcard são 0. O último octeto que é o que estamos querendo analisar possui somente um 0, no último bit, então só vão passar endereços cujo o último bit, do último octeto, for 0, que, como definimos mais acima, é um endereço IP PAR.
Para permitr os endereços pares, eu pensei em trocar somente o source address, onde ao invés de ser o endereço de rede 192.168.10.0, colocássemos o endereço da int fa do router, 192.168.10.1, somente pelo fato de este endereço ser ímpar, ou seja, seu último bit do último octeto ser 1. Faremos da seguinte maneira então…
access-list 111 permit 192.168.10.1 0.0.0.254 ……
Se este meu raciocínio estiver correto e considerando que temos que utilizar uma ACL estendida, que devem, sempre que possível, ser aplicadas o mais próximo possível da origem, vamos aplicá-la no Router R1:
R1#conf t
R1(config)#access-list 111 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www (80)
R1(config)#access-list 111 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp (21)
Falta ainda a configuração para permitir o acesso a internet de todos os hosts, mas não sei como inserir esta configuração nesta ACL.
A letra d da questão está implicitamente respondida, visto que toda ACL possui um “DENY ANY” no seu final..
Quanto a 2.ª pergunta, referente a localização da aplicação desta ACL, uma parte eu respondi mais acima, que seria no Router R1. Quanto a interface, eu imagino que seja na FA 0/0 no sentido IN, porém desta forma não funcionou no Packet Tracer.. Só funcionou aplicando a ACL no sentido OUT da interface Serial 0/0…
Enfim, estas seriam minhas respostas, inicialmente!
Bacana o desafio Marco! Como você mesmo disse, bem desafiador!!! rssr
Abraços e vamos participar pessoal!
Felipe Ferrugem!
“Juntos somos ainda melhores!!!”
3 de August de 2009 às 10:02 am
Haha, será que tem coisa pra fazer nesse desafio? Ferrugem, o que você colocou aqui sobre a wildcard,
eu também penso dessa maneira… Ou dependendo da sua rede, dá pra fixar ‘na mão’ na ACL. Em relação
á permitir o acesso a internet ferrugem, já não entraria esse comando aqui?
R1(config)#access-list 111 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www (80)
Como é extendida, agente aplica essa acl na origem -OUT, correto?
Ja montei a topologia no PT, agora só falta o Hands-on.
Vou tentar fazer um ‘teste de mesa’ assim como o Marco indicou aqui também, achei muito legal esse
esquema.
Vamos lá, mãos á obra!
abs! e tenho uma pergunta, como eu posto a resposta aqui? Poderia ter um esquema de postar o
.pkt aqui né?
3 de August de 2009 às 10:50 am
Acho que assim funcionaria o proposto.
R1================
conf t
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.244 eq 21
access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 100 permit ip 192.168.10. 0.0.0.255 any
int f0/0
ip access-group 100 in
end
www.brainwork.com.br/blog
3 de August de 2009 às 10:51 am
Deco, esse comando é para responder a primeira questão ( a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1; )… para responder a terceira questão ( c) Permita que todos os hosts tenham acesso à Internet ) acredito que tenha que ser inserida uma outra linha na ACL…
Posta os comandos que você inserir no PT referentes a ACL, tanto sua criação, quanto sua aplicação.
Abs.
3 de August de 2009 às 11:05 am
Isso que o André escreveu acho que complementa o que eu disse antes, e me ajuda a concluir minha resposta..
Na verdade, a continuação da lista de acesso bloqueia todos os hosts da rede Lan do R1 de ter acesso a rede LAN do R2 (exceto os casos que se encaixarem nas primeiras permissões da lista, lembrando que a lista é executada linha a linha e que se o pacote se “encaixar” em qualquer uma das linhas, a lista para de ser analisada), e depois permitiu o acesso à todos os hosts da Rede Lan do Router 1 a qualquer destino ( no caso quando eles quissessem sair para a internet ).
Quanto a aplicação na interface, acredito também que seja no sentindo “entrante” da FastEthernet 0/0 do Router 1:
R1#conf t
R1(config)#int fa 0/0
R1(config-if)#ip access-group 111 in
Porém, tentei fazer isto no PT e só funcionou aplicando sobre a serial Serial 0/0 no sentido outobound.
Só completando então minha resposta, ficaria assim:
1) Crie uma lista de acesso que, simultaneamente:
a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
c) Permita que todos os hosts tenham acesso à Internet
d) Negue todo e qualquer acesso restante
R1#conf t
R1(config)#access-list 111 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www (ou 80)
R1(config)#access-list 111 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp (ou 21)
R1(config)#access-list 111 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
R1(config)#access-list 111 permit ip 192.168.10. 0.0.0.255 any
R1(config)#int fa 0/0
R1(config-if)#ip access-group 111 in
2) Identifique o router, a interface e a direção correta para aplicação desta lista, no cenário.
R1, interface FastEthernet 0/0 no sentido IN (inbound, “entrante”)
Não deixem de comentar suas opiniões pessoal!
Abs,
Felipe Ferrugem!
3 de August de 2009 às 11:07 am
Ferrugem, não será necessário inserir outra linha na ACL do André, pois note a última linha, ela permite que a rede 192.168.10 pode acessar qualquer outro destino que não seja 192.168.0.0 e o trafico da internet só utiliza ip’s válidos. Se eu estiver errado, alguém me corrija.
3 de August de 2009 às 11:15 am
Após iniciar meus estudos para o CCNA acho que é meu 1º comentário. Espero não decepcionar, vamos lá:
Com relação as faixas de IPs PAR e IMPAR concordo com o comentário do ferrugem no 1º post. O bit mais significativo que permitirá esses ranges de IP.
A minha ACL ficaria assim:
R1#config t
R1(config)#access-list 150 deny ip 192.168.10.0 0.0.0.254 192.168.30.254 0.0.0.255 eq 80
R1(config)#access-list 150 deny ip 192.168.10.1 0.0.0.254 192.168.30.254 0.0.0.255 range 20 21
R1(config)#access-list 150 permit ip any any
R1(config)#int f0/0
R1(config-fi)#ip access-group 150 in
Usei o range 20 21 para o FTP, pois esse protocolo a utiliza. Não sei dizer se realmente seria necessário mas é melhor colocar tudo né…
Abs !!!
Flavio Anello.
3 de August de 2009 às 11:30 am
Vamos la pessoal
O Resultado na minha opiniao e o seguinte.
!
!
ip access-list extended ODD_EVEN
deny tcp 192.168.10.0 0.0.0.254 host 192.168.30.2 eq www
deny tcp 192.168.10.1 0.0.0.254 host 192.168.30.2 eq ftp
permit ip any any
!
!
interface F0/0
ip access-group ODD_EVEN in
!
!
###############
1) Crie uma lista de acesso que, simultaneamente:
UMA LISTA SO!
a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
deny tcp 192.168.10.0 0.0.0.254 host 192.168.30.2 eq www - ISSO NEGARA os enderecos impares ACCESSO A porta 80
b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
deny tcp 192.168.10.1 0.0.0.254 host 192.168.30.2 eq ftp - ISSO NEGARA os enderecos pares ACCESSO a portas 20 21
c) Permita que todos os hosts tenham acesso à Internet
permit ip any any
d) Negue todo e qualquer acesso restante
implicidamente ja e usado.
2) Identifique o router, a interface e a direção correta para aplicação desta lista, no cenário.
Listas de accesso que contem o endereco de origem devem ser postas o mais perto da origem possivel.
Um Abraco
Panaiotis
3 de August de 2009 às 12:35 pm
Muito bom o desafio !
Parabéns Ferrugem, mandou bem nas explicações !
Pessoal, se quiserem deixar o desafio ainda mais desafiador, experimentem habilitar DHCP no R1 para distribuição de IP’s aos hosts da rede 192.168.10.0.
Abraço !
3 de August de 2009 às 12:47 pm
Bom, após muito tempo acessando esse ótimo site, resolvi tomar coragem e postar pela primeira vez…Tomara que eu não erre justamente meu primeiro desafio….heheheh
No caso da criação da ACL em questão, a minha não difere do que já foi comentado acima. Só o lugar de aplicação da mesma eu optei pela interface F0/1 do R2, apesar de ser uma ACL extendida, e a recomendação da Cisco seria aplicá-la o mais próximo possível da origem. Mas neste caso eu preferi “economizar” uma linha, já que o que vai bloquear mesmo seria o acesso para a rede do Srv1(192.168.30.0), e o acesso para a internet de qualquer parte ficaria permitido. Então vamos lá:
R2(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
–Permite que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1
R2(config)#access-list 101 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
–Permite que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1
Bom, a questão do porque da wildcard mask e endereços usados serem desta maneira acho que já foi bem explicada acima pelos companheiros.
Assim, o deny any implicito no final bloquearia todo e qualquer acesso restante para a rede do Srv1. E como a access-list será aplicada na interface F0/1
do R2…
R2(config)#interface f0/1
R2(config-if)#ip access-group 101 out
….todo e qualquer pacote destinado a internet não precisaria ser verificado por esta ACL.
Bom, acho que é isso. Realmente um ótimo desafio. Se eu estiver enganado me corrijam pessoal.
Um abraço a todos e parabéns pelo site Marco.
3 de August de 2009 às 1:45 pm
Eu acho que seria melhor adicionar no R2 porque não temos como definir qual o endereço seá solicitado, também não podemos somente liberar a porta 80 pois a internet pode utilizar outras portas como FTP, Telnet, SSH …. só estou com dúvida de devemos liberar o Servidor para acessar a internet.
R2(config)#access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
R2(config)#access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
R2(config)#access-list 110 permit ip 192.168.10.0 0.0.0.255 any
R2(config)#interface fastethernet0/1
R2(config)#ip access-group 100 out
R2(config)#interface serial0/1
R2(config)#ip access-group 110 out
3 de August de 2009 às 3:09 pm
Boa tarde pessoal, segue a minha opinião sobre este desafio
1) Crie uma lista de acesso que, simultaneamente:
a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
c) Permita que todos os hosts tenham acesso à Internet
d) Negue todo e qualquer acesso restante
R1#conf t
R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
R1(config)#access-list 101 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
R1(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
R1(config)#access-list 101 permit ip 192.168.10. 0.0.0.255 any
2) Identifique o router, a interface e a direção correta para aplicação desta lista, no cenário.
R1(config)#int fa 0/0
R1(config-if)#ip access-group 101 in
3 de August de 2009 às 5:21 pm
ip access-list extended lista
permit tcp 0.0.0.0 255.255.255.254 192.168.30.254 eq 80
permit tcp 0.0.0.1 255.255.255.254 192.168.30.254 eq 21
deny ip 0.0.0.0 255.255.255.255 192.168.30.254
permit any any
R1
int f0/0
ip access-group lista in
3 de August de 2009 às 7:30 pm
Tirei o chapeu para o ferrugem agora e para os demais . Sinceramente, passei nem perto de resolver a questao dos ips “pares” e “impares”.
Show de bola,. : )
Abs!!
3 de August de 2009 às 8:06 pm
Meus 2 cents:
R1#conf t
R1(confIg)#ip access-list extended acl_desafio
##Usando ACL Nomeada pra facilicar o processo
R1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.254 192.168.30.254 eq www
## Permite o acesso ao server 192.168.30.254 na porta 80
R1(config-ext-nacl)#permit ip 192.168.10.1 0.0.0.254 192.168.30.254 eq ftp
## permite acesso FTP ao server 192.168.30.254
R1(config-ext-nacl)#deny ip 192.168.10.1 0.0.0.254 192.168.30.254 eq www
##Essa regra tem que vir antes da regra permitindo acesso a internet, pois caso contrário, os Hosts Impares teriam acesso www ao Server 192.168.30.254
R1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any eq 80
##permite Acesso web (80) a internet.
R1(config-ext-nacl)#deny ip any any log
##bloqueia todo o resto do acesso, e loga os hits dessa regra (best practice :P)
R1(config-ext-nacl)#exit
R1(config)#interface fastethernet 0/0
R1(config-if)#ip access-group acl_desafio in
R1(config-if)#end
##configurando a ACL extendida o mais próximo possível da origem, conforme recomendação da própria Cisco.
R1#write mem
## Duh
Quanto aos comentários do Pessoal, acho que os “permit ip 192.168.10.0 any” não está correto, pois estaria indo contra a letra “D” “bloquear todo e qualquer acesso restante”
Fora isso, foi bom tirar a poeira… nem lembrava mais como configurar essa jogadinha de par e impar.
Valeu pessoal!
4 de August de 2009 às 4:42 am
### ACESS-LIST ###
ip access-list 100 remark PERMITE IP PAR ACESSAR WWW
ip access-list 100 pemrit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
ip access-list 100 remark PERMITE IP IMPAR ACESSAR FTP
ip access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
ip access-list 100 remark NEGA TODOS ACESSAREM O RESTO DA REDE 192.168.0.0
ip access-list 100 deny ip any 192.168.0.0 0.0.255.255
ip access-list 100 remark PERMITE ACESSO A INTERNET
ip access-list 100 permit ip any any
### CONFIGURAÇÃO DA INTERFACE F0/0 DO ROUTER R1 ###
ip access-group 100 in
4 de August de 2009 às 8:32 am
Vamos lá tentar resolver mais esse desafio hehehe. Esse foi muito bom, realmente ótimo para treinar ACL’s.
Access List
ip access-list 100 deny 192.168.10.1 0.0.0.254 host 192.168.30.254 eq www (nega acesso aos IP impares acessar WWW no srv1)
ip access-list 100 deny 192.168.10.0 0.0.0.254 host 192.168.30.254 eq ftp (nega acesso IP pares acessar FTP no svr1)
ip access-list 100 permit 192.168.10.0 0.0.0.255 eq 80(permite acesso a internet)
ip access-list 100 deny any any
E a aplicação deverá ser na interface F0/0 do R1 no sentido Inbound
ip access-group 100 in
Eu realmente não sabia como resolver o problema dos endereços Pares e impares, mas tudo ficou mais claro quando eu vi o comentário do Ferrugem, porém ao invés de permitr os endereços pares eu NEGUEI os endereços impares. Fiz isso pra economizar uma linha na ACL hehe.
O Deny Any está implicito no final da ACL, mas eu coloquei ele mesmo assim só para reforçar a idéia de que todo o trafego será negado.
4 de August de 2009 às 9:28 am
Vamos lá…
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www
access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq 443
interface f0/0
ip access-group in
end
Desta forma nós:
Liberamos acesso web ao srv1 para endereços pares.
Liberamos acesso ftp ao srv1 para endereços impares.
Liberamos acesso a internet utilizando as portas 80 e 443.
Negamos todo e qualquer acesso que não tenha sido detalhado anteriormente, pois ao final de toda ACL temos um “deny ip any any” implícito.
–
Acredito que esta lista tenha conseguido atuar na necessidade do ambiente!
[]’s para todos!
4 de August de 2009 às 11:38 am
Para alcançar o objetivo deste lab será necessário discriminar as linhas na seguinte ordem:
1)Resposta———————————————————————————————————————————————————————————
access-list 120 deny tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq www
## Negar tráfego http de hosts impares destinado ao Server1
access-list 120 deny tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq ftp
## Negar tráfego ftp de hosts pares destinado ao Server1
access-list 120 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
## Permitir tráfego ftp de hosts ímpares destinado ao Server1
access-list 120 permit tcp 192.168.0.0 0.0.255.255 any eq www
## Permitir tráfego à internet para todos os host (os host pares entram nesta descrição podendo acessar o tráfego na porta 80 tanto da rede pública quanto do Server1, os host impares terão permissão a rede pública mediante esta linha, mas terão seu tráfego http bloqueado para o Server1 conforme a sequência lógica aplicada na linha 1 da ACL 120, que será atendida na ordem)
2)Resposta———————————————————————————————————————————————————————————
ACL aplicada próximo da origem seguindo a lógica de ACL extendida:
R1(config)#int f0/0
R1(config-if)#ip access-group 120 in
No “R1″
Na interface “f0/0″
Na direção “in”
Aguardando com expectativa a resposta deste Lab.
4 de August de 2009 às 3:45 pm
Olá…
Ótima analise do ferrugem , meus parabens…
Bem olhei cada resposta e acho que filtrando ficaria assim:
R1#conf t
R1(config)#access-list 111 DENY tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq www
R1(config)#access-list 111 DENY tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq ftp
R1(config)#access-list 111 DENY tcp 192.168.10.0 0.0.0.255 host 192.168.30.254 eq telnet
R1(config)#access-list 111 permit ip 192.168.10. 0.0.0.255 any
R1(config)#int fa 0/0
R1(config-if)#ip access-group 111 in
GOstei do desafio , abraços.
5 de August de 2009 às 10:09 am
Galera queimei uns miolos, fiz algumas contas e montei um cenário no Packet Tracer, funcionou a conteto. Segue configuração efetuada nos Routers.
! COnfiguração do Router 1
ena
conf t
int fa 0/0
ip address 192.168.10.1 255.255.255.0
int s0/0
ip address 192.168.20.1 255.255.255.252
clock rate 128000
no shut
EXIT
ROUTER RIP
VERSION 2
NETWORK 192.168.10.0
NETWORK 192.168.20.0
end
wr
! COnfiguração do Router 2
ena
conf t
int fa 1/0
ip address 192.168.30.1 255.255.255.0
int s0/0
ip address 192.168.20.2 255.255.255.252
no shut
ROUTER RIP
VERSION 2
NETWORK 192.168.30.0
NETWORK 192.168.20.0
exit
ip access-list extended ccna
permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
exit
int fa1/0
ip access-group ccna out
end
wr
5 de August de 2009 às 10:42 am
@raffa_09, bacana você ter aplicado o desafio no PT.. Porém, acredito que a sua access-list não atende a questão 1 letra d do desafio, que é bloquear todo e qualquer tráfego restante..
Um exemplo que eu acredito que esta implícito neste “bloquear todo e qualquer tráfego restante..” seria um telnet no R2 através de H1, fato este que não seria barrado pela access-list que foi aplicada somente no sentido de saída da interface Fa 0/1 do R2..
Mas enfim, o bacana mesmo é essa discussão, que só nos leva a aprender cada vez mais!
Abs,
Felipe Ferrugem!
“Juntos somos ainda melhores!!!”
5 de August de 2009 às 12:36 pm
Ops.. havia esquecido de bloquear o acesso ao resto da rede…
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www
access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq 443
interface f0/0
ip access-group in
end
Agora sim… corrigida!
5 de August de 2009 às 6:12 pm
Bom eu nunca me lembro como fazer para fazer as acl certinho, mas copiando o pessoal de cima, vamos la
Uma ACL so e vai ser no R2 F0/1 out
a) ip access-list 100 deny 192.168.0.0 0.0.0.254 host 192.168.30.254 eq www
b) ip access-list 100 deny 192.168.0.0 0.0.0.3 host 192.168.30.254 eq ftp (acho q ta errado mas vam bora…)
c) aqui como são todos ips privados para voce sair para a Internet voce precisa dum nat… como to sem meu livro e to com preguiça de relembrar, vai o comando a lá iptables
iptables -t nat -A srcnat -net 192.168.0.0 MASQUERADE - é mais ou menos isso —- resumindo, tudo que que começar com 192.168, ele vai fazer nat pro ip valido
D) num precisa fazer nada
5 de August de 2009 às 8:19 pm
Ainda em inicio de meus estudos para o CCNA acho que deve ser assim. Bom esses de par e inpar nem imaginava como seria, vou com os amigos aii…
To com o mesmo raciocinio do caio , mas acho tem que permitir os acessos a internet primeiro pra dpois negar todo ou qualquer acesso… Espero não decepcionar, To muito fraco ainda…
access-list 100 permit tcp 102.168.10.0 0.0.0.254 host 192.168.30.254 eq www
access-list 100 permit tcp 102.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
access-list 100 permit tcp 102.168.10.0 0.0.0.255 any eq www
access-list 100 deny tcp 102.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
R1
int Fa0/0
ip access-group 100 in
end
Bom acho que seja assim… Muito bom o desafio !!!
6 de August de 2009 às 9:22 am
access-list 120 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
access-list 120 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
access-list 120 permit tcp 192.168.10.0 0.0.0.255 any eq www
c) Permita que todos os hosts tenham acesso à Internet
access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
d) Negue todo e qualquer acesso restante
Unico problema e que aplico na interface fa0/0 e não funciona
???????
7 de August de 2009 às 9:13 am
Bom dia a todos!
Seguindo a dica do nosso amigo ferrugem e olhando alguns coments ai vai!
ip access-list extended filter
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.20.2 eq www
a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.20.2 eq ftp
b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
d) Negue todo e qualquer acesso restante
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
c) Permita que todos os hosts tenham acesso à Internet
interface FastEthernet0/0
ip access-group filter in
Aplicando a regra para trafego de entrada.
Fiz no packet tracer e funcionou na boa.
Abraços
7 de August de 2009 às 3:24 pm
O José esta certo….
O problema sera resolvido assim:
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.20.2 eq www
a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.20.2 eq ftp
b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
d) Negue todo e qualquer acesso restante
Lembrando que vai negar qualquer acesso as redes que comecem com 192.168… se for configurada uma rede classe B 172.16 o acesso não e negado
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
c) Permita que todos os hosts tenham acesso à Internet
10 de August de 2009 às 2:31 pm
Por favor me corrijam se estiver errado. Na minha opinião ficaria da seguinte maneira:
access-list 101 deny tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq www
access-list 101 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq www
access-list 101 deny ip any any
!
int fa 0/0
ip access-group 101 in
11 de August de 2009 às 12:06 am
Pessoal, achei excelentes as participações. Ferrugem, sem comentários. Seu primeiro comment foi a base para que os outros seguissem o caminho, parabéns! Como vcs devem ter imaginado, este exercício pode ser resolvido de algumas maneiras distintas. Lembrem-se que, algumas vezes, regras existem para serem quebradas…
. A Cisco RECOMENDA que ACLs estendidas sejam aplicadas o mais próximo da origem, porém, é apenas uma recomendação, e não uma regra per se. Neste caso, o modo mais limpo de resolver o exercício seria o seguinte (pegando uma carona no comment #7, que não está de todo correto)
R2#config t
R2(config)#access-list 150 deny ip 192.168.10.1 0.0.0.254 192.168.30.254 0.0.0.255 eq 80
R2(config)#access-list 150 deny ip 192.168.10.0 0.0.0.254 192.168.30.254 0.0.0.255 range 20 21
R2(config)#access-list 150 permit ip any any
R2(config)#int f0/1
R2(config-fi)#ip access-group 150 out
Ou seja, ao inves de permitir, negamos e, assim, economizamos uma linha. E ao invés de aplicarmos o mais próximo da origem, aplicamos o mais próximo do destino. Neste caso, a razão disso é exatamente não afetar o tráfego com destino à Internet (e a outras redes). Obviamente teremos o incoveniente do tráfego “proibido” atravessar a rede até R2, ao invés de ser inibido já em R1, mas quando desenhamos ACLs, estes são fatores que devem ser pesados.
Uma vez mais, não estou dizendo que este é o modo mais correto, muito menos que é o único modo. Apenas que é uma das opções, e que é mais simples por usar uma linha a menos de configuração
!
Espero que tenham gostado pessoal! Depois tem mais!!!
Abs e obrigado!
Marco.
11 de August de 2009 às 1:54 am
Marco, me corrija se eu estiver errado.
Muito boa sua explicação, porém de acordo com o item (D) todo e qualquer acesso deve ser negado, e segundo o que diz a sua regra, uma tentativa de acesso Telnet (23) ao servidor (Srv1) vai ser permitido, furando o item (D) e outros possíveis serviços que eventualmente possam estar habilitados no servidor.
Como não existe apenas uma solução, minha sugestão que atende os requisitos seria:
### ACESS-LIST ###
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
access-list 100 deny any 192.168.0.0 0.0.255.255
access-list 100 permit any any
### CONFIGURAÇÃO DA INTERFACE F0/0 DO ROUTER R1 ###
access-group 100 in
Abraço
Lucas
11 de August de 2009 às 8:04 am
Marco tenho duas dúvidas sobre a resolução deste exercício: A primeira é com relação ao post 22 do ferrugem, se ele estiver correto quando vc diz para bloquear todo o tráfego restante teremos que bloquear o acesso telent aos routers e a sua acess-list não o faz. Na minha interpretação quando vc diz para negar todo tráfego restante está se referindo somente ao servidor, mesmo assim sua access-list não irá bloquear o acesso telent ao servidor ou um ping ao servidor. Qual deve ser a interpretação correta para esta parte da pergunta, e como responde-lá?
A segunda questão é referente a access-list que montei, como vc mesmo disse tem diversas maneiras de montar a acces-list e comcordo que não existe um modo mais correto de fazê-lo também concordo que o modo que deve ser considerado melhor é o que utiliza menos linhas, sendo assim creio que a access-list que criei está de acordo e testada no PT funcionou a contento e ainda utilizei uma linha a menos que vc, além de bloquear o telnet o ping e qualquer outro tráfego ao servidor Srv1 como interpretei na pergunta, qual seria a falha ou o ponto negativo nela desta access-list?
ip access-list extended ccna
permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
exit
int fa1/0
ip access-group ccna out
end
11 de August de 2009 às 9:45 am
eu achei que tinha que usar NAT
11 de August de 2009 às 10:23 am
Lucas, está corretíssimo! Você tem razão. Sua solução proposta está OK, mas eu acrescentaria:
### ACESS-LIST ###
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
access-list 100 deny any 192.168.0.0 0.0.255.255 host 192.168.30.254
access-list 100 permit any any
E seguiria implementando a ACL no router R2:
### CONFIGURAÇÃO DA INTERFACE F0/0 DO ROUTER R2 ###
int f0/1
access-group 100 out
11 de August de 2009 às 8:32 pm
Marco,
Ainda tem algo que naum me sai da cabeça em relação a este desafio.
Quando olho sua resolução, vejo o seguinte:
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80 - permite acesso WEB (a)
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21 - Permite acesso FTP (b)
access-list 100 deny any 192.168.0.0 0.0.255.255 host 192.168.30.254 - bloqueia qualquer acesso vindo de 192.168.X.X (d ???)
access-list 100 permit any any - e libera todo o resto.
Mas na descrição do problema é dito o seguinte:
d) Negue todo e qualquer acesso restante
Porem o ultimo item da sua acces-list, permitiria que qualquer host de outra rede, desde que nateado ou roteado, tenha acesso ao server.
Soh que este item D naum da brecha pra que isso aconteça.
Logo imagino que soh:
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80 - permite acesso WEB (a)
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21 - Permite acesso FTP (b)
resolveria o caso um vez que temos um DENY ANY (implicito) no final de toda acces-list.
estou correto ou disse besteira?
Ateh mais
12 de August de 2009 às 9:39 am
Luiz, correto! Eu preciso ler meus desafios com mais atenção rssss Ficaríamos assim, então:
### ACESS-LIST ###
access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
E seguiria implementando a ACL no router R2:
### CONFIGURAÇÃO DA INTERFACE F0/0 DO ROUTER R2 ###
int f0/1
access-group 100 out
13 de August de 2009 às 7:51 am
Acho que este último post seu responde todas as minhas dúvidas Marco, ou seja a access-list que criei e comentei no post 22 utiliza o menor número de linhas possível e atende a todos os requisitos da questão.
Luiz seus comentários foram muito bons, pois suas dúvidas eram as minhas também.
Abs. Raffa.
14 de August de 2009 às 11:24 am
Para solucionar este desafio é necessário aprende um pouco sobre access-list, especificamente sobre a máscara coringa.
A máscara coringa é composta de 32 bits divididos em 4 octetos e parece muito com a mascara de sub-rede mas a maneira de tratá-la é diferente.
Os números 0 e 1 da máscara curinga são usados para identificar o modo como a Access-list vai lidar com o endereço IP.
O binário 0 (zero) na máscara coringa indica de o valor deve ser comparado, o binário 1 (um) indica que que o valor não deve ser comparado.
Vamos a um exemplo:
Access-list 1 permit 10.61.0.0 0.0.255.255
Na Access-list acima indica uma permissão para a rede 10.61.0.0/16
Como isso funciona:
IP: 00001010.00111110.0000000.00000000
Mask: 00000000.00000000.11111111.11111111
Neste exemplo onde na mascara coringa encontra-se o 0 (zero) o campo é comparado. Se o valor for igual ao endereço iniciado com 10.61 vai ter acesso permitido.
Onde estiver o 1(um) não vai ser comparado.
Transformando números (decimais) pares em binário vai ser verificado que todo número (binário) termina em 0 (zero) e fazendo o mesmo com impares (decimais) o número (binário) termina em 1.
A solução para uma Access-list para permitir acesso dos endereços pares ao servidor WEB e permitir acesso dos endereços impares ao servidor FTP é:
Exemplo1:
#Access-list 101 permit tcp 0.0.0.0 255.255.255.254 host 192.168.30.254 eq www
#int fa0/1
#ip access-group 101 out
#Access-list 101 permit tcp 0.0.0.1 255.255.255.254 host 192.168.30.254 eq ftp
#int fa0/1
#ip access-group 101 out
Exemplo 2:
# Access-list 101 permit tcp 0.0.0.0 255.255.255.254 host 192.168.30.254 eq WWW
#int fa0/1
#ip access-group 101 out
# Access-list 101 deny tcp 0.0.0.0 255.255.255.254 host 192.168.30.254 eq FTP
#int fa0/1
#ip access-group 101 out
Exemplo 3:
# Access-list 101 deny tcp 0.0.0.1 255.255.255.254 host 192.168.30.254 eq www
#int fa0/1
#ip access-group 101 out
# Access-list 101 deny tcp 0.0.0.1 255.255.255.254 host 192.168.30.254 eq ftp
#int fa0/1
#ip access-group 101 out
Explicando o Exemplo 1:
A Access-list permite acesso a todos endereço 0.0.0.0 com a mascara coringa 255.255.255.254.
Pela mascara podemos ver que nenhum digito binário vai ser comparado salvo o último digito que neste caso vai ser igual a 0 (zero).
Como todo endereço par em binário termina em zero a access-list vai compara se o endereço, se tiver final 0 (zero) o acesso vai ser permitido.
No caso do acesso ao servidor FTP a lógica é a mesmo, sendo que o ultimo e único digito a ser comparado e o binário 1, como todos os número pares terminam em 1 (na sua forma binária), conclui-se que o todo número que tiver seu final igual a 1 o acesso será permitido.
17 de August de 2009 às 11:29 pm
Marco nao poderia ser assim
# access-list 110 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
# access-list 110 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
# access-list 110 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
# access-list 110 permit ip any any
interface do router 1 f0/0
access-group 110 in
29 de October de 2009 às 3:29 pm
# access-list 120 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
# access-list 120 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
#interface fa 0/0 do R2
ip access-group 120 out.
Foi assim que fia a minha conf e funcionou numa boa?