«

»

jan 16 2010

[CCNA] Desafio 2 da Semana 3 – Janeiro de 2010

Pessoal, como o nosso 1o desafio foi “moleza”, vamos avançar um pouco e trocar o assunto: ACL!

Observem bem a figura abaixo:

acl2010.JPG

Suponha, agora, que eu deseje o seguinte:

a) Apenas as máquinas atrás do switch “Admin” devem ser capazes de acessar RA via Telnet;
b) Todas as máquinas do diagrama MENOS a máquina 10.1.2.3 devem ser capazes de acessar a Internet (ISP);
c) As máquinas embaixo do switch Student não devem acessar as máquinas embaixo do switch “Admin”, mas o inverso deve ser permitido;
d) Negue o restante que não foi especificado aqui.

Como vocês implementariam uma ACL destas, usando o menor número de linhas possível?

Desafio aberto!!! Vamos lá!

Um abs!

Marco.



Comente usando o Facebook!
0
0

16 comentários

Pular para o formulário de comentário

  1. luisholtz

    interfaces
    _________________________________

    vty 0 4 /*condição (A)*/
    ip access-class 10 in

    S 0/1 /*condição (B)*/
    ip access-group 20 out

    fa 0/1 /*condição (C)*/
    ip access-group 100 in
    _________________________________

    standards ACLs
    satisfaz condição (A)
    1- access-list 10 permit 10.1.1.0 0.0.0.3 /* permite somente comp. abaixo de Admin acessarem RA via telnet*/
    satisfaz condição (B)
    2 – access-list 20 deny host 10.1.2.3 /* nega apenas o host 10.1.2.3 acessar a internet*/
    3 – access-list 20 permit any /* permite toda a rede acessar a internet*/

    extended ACLs
    satisfaz condição (C)
    4 – access-list 100 deny ip 10.1.2.0 0.0.0.3 10.1.1.0 0.0.0.3 /* nega os comps. abaixo de Student a acessarem os comps abaixo de Admin.*/
    5 – access-list 100 permit any any /* permite todo o resto, principalmente acessar a internet.*/

    OBS: Tentei elaborar somente uma ACL extendida e trabalhar com as entradas e saidas de interface, mas não consegui tal feito. Creio que esta seja a melhor solução e mais breve também com 5 linhas de acls, apesar de serem distintas. Abraços e obrigado mais uma vez Marco.

    0

    0
  2. Fabio Ribeiro

    ** Permitindo acesso via Telnet somente das máquinas SW Admin **

    (config)#access-list 20 permit 10.1.1.1 0.0.0.3
    (config)#line vty 0 4
    (config-line)#access-class 20 in

    ** Negar acesso ao ISP da máquina 10.1.2.3 **

    (config)#access-list 30 deny 10.1.2.3
    (config)#aceess-list 30 permit any
    (config-if)#ip access-group 30 out (S0/1)

    ** Negar acesso das máquinas do SW Student para as máquinas do SW Admin **

    (config)#access-list 10 deny 10.1.2.1 0.0.0.3
    (config)#access-list 10 permit any
    (config-if)#ip access-group 10 out (Fa1/1)

    Abs!

    0

    0
  3. Minu

    — Condição A

    (config)#access-list 10 permit 10.1.1.1 0.0.0.3
    (config)#line vty 0 4
    (config-line)#access-class 10 in

    — Condição B

    (config)#access-list 20 deny 10.1.2.3
    (config)#access-list 20 permit any
    (config-if)#ip access-group 20 out (S0/1)

    — Condição C

    (config)#access-list 100 permit ip 10.1.1.1 0.0.0.3 10.1.2.1 0.0.0.3
    (config-if)#ip access-group 100 out (Fa0/1)

    PS: Minha resposta esta bem proxima do Fábio Ribeiro, exceto pela acl extendida que coloquei liberando o tráfego do SW Admin para Student e satisfazendo a regra de negar todo o restante.

    Paulo Sousa.

    0

    0
  4. André Santana

    A maneira que eu achei para satisfazer os critérios foi a seguinte:3

    Standard IP access list WEB/* Bloqueia o acesso da máquina 10.1.2.3
    deny host 10.1.2.3 (4 match(es))
    permit any (12 match(es))

    Standard IP access list TELNET/*Permit somente a rede Admin acessar o RA via telnet
    permit 10.1.1.0 0.0.0.255 (4 match(es))

    Extended IP access list ADMIN/* Permit somente resposta de accesso da rede da Student
    permit icmp 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 echo-reply (7 match(es))

    Interface FA0/1 ip access-group ADMIN in

    Interface s0/1 ip access-group WEB out

    line vty 0 4 access-class TELNET in

    0

    0
  5. halisonac

    Permitindo acesso via Telnet das máquinas do SW Admin

    (config)#access-list 10 permit 10.1.1.1 0.0.0.3
    (config)#line vty 0 4
    (config-line)#ip access-class 10 in

    Negar acesso a Internet da máquina 10.1.2.3

    (config)#access-list 20 deny 10.1.2.3
    (config)#aceess-list 20 permit any
    (config-if)#ip access-group 20 out (S0/1)

    Negar acesso das máquinas do SW Student para as máquinas do SW Admin

    (config)#access-list 30 deny 10.1.2.1 0.0.0.3
    (config-if)#ip access-group 10 out (Fa1/1)

    0

    0
  6. miovieira

    Eu gosto de gastar linhas com ACL…..

    Apenas as máquinas atrás do switch “Admin” devem ser capazes de acessar RA via Telnet;
    RA
    enable
    config t
    access-list 10 permit host 10.1.1.1
    access-list 10 permit host 10.1.1.2
    access-list 10 permit host 10.1.1.3
    line vty 0 4
    access-class 10 in
    *****************************************************************************
    Todas as máquinas do diagrama MENOS a máquina 10.1.2.3 devem ser capazes de acessar a Internet (ISP);
    access-list 101 deny ip host 10.1.2.3 any
    access-list 101 permit ip 10.1.1.0 0.0.0.255 any
    access-list 101 permit ip 10.1.2.0 0.0.0.255 any

    ip nat inside source list 101 serial 0/1 overload

    interface fas 0/1
    ip nat inside

    interface fas 1/1
    ip nat inside

    interface serial 0/1
    ip nat outside

    ip route 0.0.0.0 0.0.0.0 serial 0/1

    ********************************************************************
    As máquinas embaixo do switch Student não devem acessar as máquinas embaixo do switch “Admin”, mas o inverso deve ser permitido;

    interface fas 0/1
    ip address 10.1.2.254 255.255.255.0
    no shut
    exit

    interface fas 1/1
    ip address 10.1.1.254 255.255.255.0
    ip access-group 150 in
    no shut

    access-list 150 deny ip host 10.1.2.1 10.1.1.0 0.0.0.255
    access-list 150 deny ip host 10.1.2.2 10.1.1.0 0.0.0.255
    access-list 150 deny ip host 10.1.2.3 10.1.1.0 0.0.0.255
    permit ip any any

    0

    0
  7. Edson Siqueira

    Pessoal, é o seguinte:

    a) Apenas as máquinas atrás do switch “Admin” devem ser capazes de acessar RA via Telnet;

    access-list 10 permit 10.1.1.0 0.0.0.255
    line-vty 0 4
    access-class 10 in

    Lembrando que existe um “deny any” explícito no fim de cada ACL, portanto só devemos nos preocupar no que liberar.

    b) Todas as máquinas do diagrama MENOS a máquina 10.1.2.3 devem ser capazes de acessar a Internet (ISP);

    access-list 100 deny ip host 10.1.2.3 any
    access-list 100 permit ip 10.1.0.0 0.0.3.255 any

    interface serial 0/1
    ip access-group 100 out

    c) As máquinas embaixo do switch Student não devem acessar as máquinas embaixo do switch “Admin”, mas o inverso deve ser permitido;

    access-list 110 deny any
    interface fa1/1
    ip access-group 110 out

    access-list 120 permit ip 10.1.1.0 0.0.0.255 any
    interface fa0/1
    ip access-group 120 out

    Todo o resto será automaticamente negado. Bom, esta foi a maneira que encontrei para realizar esta tarefa.
    Abraços

    0

    0
  8. marciomoura

    A configuração de acesso e as outras configurações.

    (config)#line vty 0 4
    (config-line)#ip access-class 10 in

    (config)#access-list 20 deny 10.1.2.3
    (config)#aceess-list 20 permit any
    (config-if)#ip access-group 20 out (S0/1)

    (config)#access-list 30 deny 10.1.2.1 0.0.0.3
    (config-if)#ip access-group 10 out (Fa1/1)
    (config-if)#exit

    0

    0
  9. Bruno Sobreira

    access-list 1 permit 10.1.1.0 0.0.0.255

    ip access-class 1 in

    ————————————————————–

    access-list 100 deny host 10.1.2.3 any eq www
    access-list 100 ip permit any any

    ip access-group 100 out

    —————————————————————-

    access-list 100 deny ip 10.1.2.0 0.0.0.3 10.1.1.0 0.0.0.3
    access-list 100 permit any any

    ip access-group 100 in

    —————————————————————-

    0

    0
  10. willian_mattos

    access-list 10 permit 10.1.1.0 0.255.255.255
    line vty 0 4
    access-class 10 in

    access-list 110 deny ip host 10.1.2.3 0.0.0.0 192.168.1.1
    access-list 110 deny ip 10.1.2.0 0.255.255.255 10.1.1.0 0.255.255.255
    access-list 110 permit ip any any

    Fa0/1=ip access-group 110 in

    0

    0
  11. ecarli

    Marcos,

    Minha configuração ficaria da seguinte maneira:

    RA
    ==

    !
    line vty 0 15
    access-class 10 in
    !
    access-list 10 permit 10.1.1.0 0.0.0.3
    !
    access-list 100 permit tcp host 10.1.2.1 any eq www
    access-list 100 permit tcp host 10.1.2.2 any eq www
    !
    interface Fa0/1
    ip access-group 100 in

    Explicação: a ACL standard permite somente os IPs 10.1.1.1, 10.1.1.2 e 10.1.1.3 de darem telnet ao roteador RA. Veja que eu apliquei a ACL em todas as sessões vtys possíveis ao router.

    A segunda ACL atende os 2 últimos requisitos. Somente os IPs 10.1.2.1 e 10.1.2.2 da switch “student” acessam a internet (estou admitindo www). Pelo uso implícito do “deny all”, nenhum outro tipo de tráfego proveniente da rede 10.1.2.0/29 será permitido de trafegar por RA. O tráfego inverso é possível, já que a ACL está instalada no sentido “in” da interface Fa 0/1, e não na “out”.

    Não há necessidade de nenhuma ACL de ser aplicada na interface Fa 1/1 de RA.

    Abraços,
    Emerson

    0

    0
  12. Adriano Furtado

    a) Apenas as máquinas atrás do switch “Admin” devem ser capazes de acessar RA via Telnet;

    RAS(config)#access-list 10 permit 10.1.1.0 0.0.0.255
    RAS(config)#line vty 0 4
    RAS(config-line)#access-class 10 in

    b) Todas as máquinas do diagrama MENOS a máquina 10.1.2.3 devem ser capazes de acessar a Internet (ISP);

    RAS(config)#access-list 20 deny host 10.1.2.3
    RAS(config)#access-list 20 permit any

    RAS(config)#interface Serial0/0/0
    RAS(config-if)#ip access-group 20 out

    c) As máquinas embaixo do switch Student não devem acessar as máquinas embaixo do switch “Admin”, mas o inverso deve ser permitido;

    RAS(config)#access-list 100 deny ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
    RAS(config)#access-list 100 permit ip any any

    RAS(config)#interface FastEthernet0/1
    RAS(config)#ip access-group 100 in

    0

    0
  13. Bruno Freixo

    Ola,

    A condição C foi a mais complicada, pois todas as formas que eu fiz bloqueou o trafego nos dois sentidos. Nao sei o que tipo de acesso deve ser liberado da Rede Admin para rede Student, entao liberao apenas ICMP.

    Condição A:
    access-list 10 permit 10.1.1.0 0.0.0.3
    RA(config)# line vty 0 4
    RA(config-line)# access-class 10 in

    Condição B:
    access-list 100 deny tcp host 10.1.2.3 host 192.168.1.2 eq www
    access-list 100 permit ip any any
    RA(config)# interface Fa0/1
    RA(config-if)# ip access-group 100 in

    Condição C:
    access-list 101 permit icmp 10.1.2.0 0.0.0.3 10.1.1.0 0.0.0.3 echo-reply
    RA(config)# interface Fa1/1
    RA(config-if)# ip access-group 100 in

    0

    0
  14. willian_mattos

    access-list 10 permit 10.1.1.0 0.255.255.255
    line vty 0 4
    access-class 10 in

    access-list 110 deny ip host 10.1.2.3 host 192.168.1.1
    access-list 110 deny ip 10.1.2.0 0.255.255.255 10.1.1.0 0.255.255.255
    access-list 110 permit ip any any

    Fa0/1=ip access-group 110 in

    0

    0
  15. Suzi

    a) access-list 50 permit 10.1.1.0 0.0.0.3

    applicada = line vty 0 4
    access-class 50 in

    b) access-list 10 deny host 10.1.2.3
    access-list 10 permit any

    aplicada
    int s0/1 = ip access-group 10 out

    c) access-list 11 deny 10.1.2.0 0.0.0.3
    access-list 11 permit any

    aplicada
    int f1/1 = ip access-group out

    0

    0
  16. voitexem

    access-list 10 permit 10.1.1.0 0.255.255.255
    line vty 0 4
    access-class 10 in

    access-list 110 deny ip host 10.1.2.3 host 192.168.1.1
    access-list 110 deny ip 10.1.2.0 0.255.255.255 10.1.1.0 0.255.255.255
    access-list 110 permit ip any any

    Fa0/1=ip access-group 110 in

    0

    0

Deixe uma resposta