Cisco Certified » [CCNA] Desafio 2 da Semana 3

16 01 2010

[CCNA] Desafio 2 da Semana 3 - Janeiro de 2010

Postado por: Marco Filippetti em Exame CCNA -

Imprima este post

Pessoal, como o nosso 1^o desafio foi “moleza”, vamos avançar um pouco e trocar o assunto: ACL!

Observem bem a figura abaixo:

Suponha, agora, que eu deseje o seguinte:

a) Apenas as máquinas atrás do switch “Admin” devem ser capazes de acessar RA via Telnet;
b) Todas as máquinas do diagrama MENOS a máquina 10.1.2.3 devem ser capazes de acessar a Internet (ISP);
c) As máquinas embaixo do switch Student não devem acessar as máquinas embaixo do switch “Admin”, mas o inverso deve ser permitido;
d) Negue o restante que não foi especificado aqui.

Como vocês implementariam uma ACL destas, usando o menor número de linhas possível?

Desafio aberto!!! Vamos lá!

Um abs!

Marco.

Popularity: 3% [?]

Leia também:

Este post foi postado Saturday, 16 de January de 2010 às 8:29 pm e está em Exame CCNA. Você pode verificar qualquer resposta a este post através do feed RSS 2.0. Você pode deixar uma resposta, ou fazer um trackback de seu próprio site.

16 Respostas para “[CCNA] Desafio 2 da Semana 3 - Janeiro de 2010”

luisholtz diz:
17 de January de 2010 às 5:18 am
interfaces
_________________________________

vty 0 4 /*condição (A)*/
ip access-class 10 in

S 0/1 /*condição (B)*/
ip access-group 20 out

fa 0/1 /*condição (C)*/
ip access-group 100 in
_________________________________

standards ACLs
satisfaz condição (A)
1- access-list 10 permit 10.1.1.0 0.0.0.3 /* permite somente comp. abaixo de Admin acessarem RA via telnet*/
satisfaz condição (B)
2 - access-list 20 deny host 10.1.2.3 /* nega apenas o host 10.1.2.3 acessar a internet*/
3 - access-list 20 permit any /* permite toda a rede acessar a internet*/

extended ACLs
satisfaz condição (C)
4 - access-list 100 deny ip 10.1.2.0 0.0.0.3 10.1.1.0 0.0.0.3 /* nega os comps. abaixo de Student a acessarem os comps abaixo de Admin.*/
5 - access-list 100 permit any any /* permite todo o resto, principalmente acessar a internet.*/

OBS: Tentei elaborar somente uma ACL extendida e trabalhar com as entradas e saidas de interface, mas não consegui tal feito. Creio que esta seja a melhor solução e mais breve também com 5 linhas de acls, apesar de serem distintas. Abraços e obrigado mais uma vez Marco.
Fabio Ribeiro diz:
17 de January de 2010 às 8:42 am
** Permitindo acesso via Telnet somente das máquinas SW Admin **

(config)#access-list 20 permit 10.1.1.1 0.0.0.3
(config)#line vty 0 4
(config-line)#access-class 20 in

** Negar acesso ao ISP da máquina 10.1.2.3 **

(config)#access-list 30 deny 10.1.2.3
(config)#aceess-list 30 permit any
(config-if)#ip access-group 30 out (S0/1)

** Negar acesso das máquinas do SW Student para as máquinas do SW Admin **

(config)#access-list 10 deny 10.1.2.1 0.0.0.3
(config)#access-list 10 permit any
(config-if)#ip access-group 10 out (Fa1/1)

Abs!
Minu diz:
17 de January de 2010 às 11:05 am
– Condição A

(config)#access-list 10 permit 10.1.1.1 0.0.0.3
(config)#line vty 0 4
(config-line)#access-class 10 in

– Condição B

(config)#access-list 20 deny 10.1.2.3
(config)#access-list 20 permit any
(config-if)#ip access-group 20 out (S0/1)

– Condição C

(config)#access-list 100 permit ip 10.1.1.1 0.0.0.3 10.1.2.1 0.0.0.3
(config-if)#ip access-group 100 out (Fa0/1)

PS: Minha resposta esta bem proxima do Fábio Ribeiro, exceto pela acl extendida que coloquei liberando o tráfego do SW Admin para Student e satisfazendo a regra de negar todo o restante.

Paulo Sousa.
André Santana diz:
17 de January de 2010 às 12:21 pm
A maneira que eu achei para satisfazer os critérios foi a seguinte:3

Standard IP access list WEB/* Bloqueia o acesso da máquina 10.1.2.3
deny host 10.1.2.3 (4 match(es))
permit any (12 match(es))

Standard IP access list TELNET/*Permit somente a rede Admin acessar o RA via telnet
permit 10.1.1.0 0.0.0.255 (4 match(es))

Extended IP access list ADMIN/* Permit somente resposta de accesso da rede da Student
permit icmp 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 echo-reply (7 match(es))

Interface FA0/1 ip access-group ADMIN in

Interface s0/1 ip access-group WEB out

line vty 0 4 access-class TELNET in
halisonac diz:
17 de January de 2010 às 12:28 pm
Permitindo acesso via Telnet das máquinas do SW Admin

(config)#access-list 10 permit 10.1.1.1 0.0.0.3
(config)#line vty 0 4
(config-line)#ip access-class 10 in

Negar acesso a Internet da máquina 10.1.2.3

(config)#access-list 20 deny 10.1.2.3
(config)#aceess-list 20 permit any
(config-if)#ip access-group 20 out (S0/1)

Negar acesso das máquinas do SW Student para as máquinas do SW Admin

(config)#access-list 30 deny 10.1.2.1 0.0.0.3
(config-if)#ip access-group 10 out (Fa1/1)
miovieira diz:
17 de January de 2010 às 2:36 pm
Eu gosto de gastar linhas com ACL…..

Apenas as máquinas atrás do switch “Admin” devem ser capazes de acessar RA via Telnet;
RA
enable
config t
access-list 10 permit host 10.1.1.1
access-list 10 permit host 10.1.1.2
access-list 10 permit host 10.1.1.3
line vty 0 4
access-class 10 in
*****************************************************************************
Todas as máquinas do diagrama MENOS a máquina 10.1.2.3 devem ser capazes de acessar a Internet (ISP);
access-list 101 deny ip host 10.1.2.3 any
access-list 101 permit ip 10.1.1.0 0.0.0.255 any
access-list 101 permit ip 10.1.2.0 0.0.0.255 any

ip nat inside source list 101 serial 0/1 overload

interface fas 0/1
ip nat inside

interface fas 1/1
ip nat inside

interface serial 0/1
ip nat outside

ip route 0.0.0.0 0.0.0.0 serial 0/1

********************************************************************
As máquinas embaixo do switch Student não devem acessar as máquinas embaixo do switch “Admin”, mas o inverso deve ser permitido;

interface fas 0/1
ip address 10.1.2.254 255.255.255.0
no shut
exit

interface fas 1/1
ip address 10.1.1.254 255.255.255.0
ip access-group 150 in
no shut

access-list 150 deny ip host 10.1.2.1 10.1.1.0 0.0.0.255
access-list 150 deny ip host 10.1.2.2 10.1.1.0 0.0.0.255
access-list 150 deny ip host 10.1.2.3 10.1.1.0 0.0.0.255
permit ip any any
Edson Siqueira diz:
18 de January de 2010 às 9:39 am
Pessoal, é o seguinte:

a) Apenas as máquinas atrás do switch “Admin” devem ser capazes de acessar RA via Telnet;

access-list 10 permit 10.1.1.0 0.0.0.255
line-vty 0 4
access-class 10 in

Lembrando que existe um “deny any” explícito no fim de cada ACL, portanto só devemos nos preocupar no que liberar.

b) Todas as máquinas do diagrama MENOS a máquina 10.1.2.3 devem ser capazes de acessar a Internet (ISP);

access-list 100 deny ip host 10.1.2.3 any
access-list 100 permit ip 10.1.0.0 0.0.3.255 any

interface serial 0/1
ip access-group 100 out

c) As máquinas embaixo do switch Student não devem acessar as máquinas embaixo do switch “Admin”, mas o inverso deve ser permitido;

access-list 110 deny any
interface fa1/1
ip access-group 110 out

access-list 120 permit ip 10.1.1.0 0.0.0.255 any
interface fa0/1
ip access-group 120 out

Todo o resto será automaticamente negado. Bom, esta foi a maneira que encontrei para realizar esta tarefa.
Abraços
marciomoura diz:
19 de January de 2010 às 1:18 pm
A configuração de acesso e as outras configurações.

(config)#line vty 0 4
(config-line)#ip access-class 10 in

(config)#access-list 20 deny 10.1.2.3
(config)#aceess-list 20 permit any
(config-if)#ip access-group 20 out (S0/1)

(config)#access-list 30 deny 10.1.2.1 0.0.0.3
(config-if)#ip access-group 10 out (Fa1/1)
(config-if)#exit
Bruno Sobreira diz:
19 de January de 2010 às 2:28 pm
access-list 1 permit 10.1.1.0 0.0.0.255

ip access-class 1 in

————————————————————–

access-list 100 deny host 10.1.2.3 any eq www
access-list 100 ip permit any any

ip access-group 100 out

—————————————————————-

access-list 100 deny ip 10.1.2.0 0.0.0.3 10.1.1.0 0.0.0.3
access-list 100 permit any any

ip access-group 100 in

—————————————————————-
willian_mattos diz:
19 de January de 2010 às 3:39 pm
access-list 10 permit 10.1.1.0 0.255.255.255
line vty 0 4
access-class 10 in

access-list 110 deny ip host 10.1.2.3 0.0.0.0 192.168.1.1
access-list 110 deny ip 10.1.2.0 0.255.255.255 10.1.1.0 0.255.255.255
access-list 110 permit ip any any

Fa0/1=ip access-group 110 in
ecarli diz:
21 de January de 2010 às 10:09 pm
Marcos,

Minha configuração ficaria da seguinte maneira:

RA
==

!
line vty 0 15
access-class 10 in
!
access-list 10 permit 10.1.1.0 0.0.0.3
!
access-list 100 permit tcp host 10.1.2.1 any eq www
access-list 100 permit tcp host 10.1.2.2 any eq www
!
interface Fa0/1
ip access-group 100 in

Explicação: a ACL standard permite somente os IPs 10.1.1.1, 10.1.1.2 e 10.1.1.3 de darem telnet ao roteador RA. Veja que eu apliquei a ACL em todas as sessões vtys possíveis ao router.

A segunda ACL atende os 2 últimos requisitos. Somente os IPs 10.1.2.1 e 10.1.2.2 da switch “student” acessam a internet (estou admitindo www). Pelo uso implícito do “deny all”, nenhum outro tipo de tráfego proveniente da rede 10.1.2.0/29 será permitido de trafegar por RA. O tráfego inverso é possível, já que a ACL está instalada no sentido “in” da interface Fa 0/1, e não na “out”.

Não há necessidade de nenhuma ACL de ser aplicada na interface Fa 1/1 de RA.

Abraços,
Emerson
Adriano Furtado diz:
24 de January de 2010 às 7:19 pm
a) Apenas as máquinas atrás do switch “Admin” devem ser capazes de acessar RA via Telnet;

RAS(config)#access-list 10 permit 10.1.1.0 0.0.0.255
RAS(config)#line vty 0 4
RAS(config-line)#access-class 10 in

b) Todas as máquinas do diagrama MENOS a máquina 10.1.2.3 devem ser capazes de acessar a Internet (ISP);

RAS(config)#access-list 20 deny host 10.1.2.3
RAS(config)#access-list 20 permit any

RAS(config)#interface Serial0/0/0
RAS(config-if)#ip access-group 20 out

c) As máquinas embaixo do switch Student não devem acessar as máquinas embaixo do switch “Admin”, mas o inverso deve ser permitido;

RAS(config)#access-list 100 deny ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
RAS(config)#access-list 100 permit ip any any

RAS(config)#interface FastEthernet0/1
RAS(config)#ip access-group 100 in
Bruno Freixo diz:
25 de January de 2010 às 8:59 am
Ola,

A condição C foi a mais complicada, pois todas as formas que eu fiz bloqueou o trafego nos dois sentidos. Nao sei o que tipo de acesso deve ser liberado da Rede Admin para rede Student, entao liberao apenas ICMP.

Condição A:
access-list 10 permit 10.1.1.0 0.0.0.3
RA(config)# line vty 0 4
RA(config-line)# access-class 10 in

Condição B:
access-list 100 deny tcp host 10.1.2.3 host 192.168.1.2 eq www
access-list 100 permit ip any any
RA(config)# interface Fa0/1
RA(config-if)# ip access-group 100 in

Condição C:
access-list 101 permit icmp 10.1.2.0 0.0.0.3 10.1.1.0 0.0.0.3 echo-reply
RA(config)# interface Fa1/1
RA(config-if)# ip access-group 100 in
willian_mattos diz:
25 de January de 2010 às 5:10 pm
access-list 10 permit 10.1.1.0 0.255.255.255
line vty 0 4
access-class 10 in

access-list 110 deny ip host 10.1.2.3 host 192.168.1.1
access-list 110 deny ip 10.1.2.0 0.255.255.255 10.1.1.0 0.255.255.255
access-list 110 permit ip any any

Fa0/1=ip access-group 110 in
Suzi diz:
1 de February de 2010 às 2:09 pm
a) access-list 50 permit 10.1.1.0 0.0.0.3

applicada = line vty 0 4
access-class 50 in

b) access-list 10 deny host 10.1.2.3
access-list 10 permit any

aplicada
int s0/1 = ip access-group 10 out

c) access-list 11 deny 10.1.2.0 0.0.0.3
access-list 11 permit any

aplicada
int f1/1 = ip access-group out
voitexem diz:
19 de May de 2010 às 9:10 pm
access-list 10 permit 10.1.1.0 0.255.255.255
line vty 0 4
access-class 10 in

access-list 110 deny ip host 10.1.2.3 host 192.168.1.1
access-list 110 deny ip 10.1.2.0 0.255.255.255 10.1.1.0 0.255.255.255
access-list 110 permit ip any any

Fa0/1=ip access-group 110 in

Deixe um Comentário

Você deve estar logado para postar um comentário. Login »

[CCNA] Desafio 2 da Semana 3 - Janeiro de 2010

Entre em contato