Unidad 2: Tarea 3-Actividad

Conocer los servicios convergentes y gestión de acceso a la red

(Practica realizada desde PACKET TRACER)

PRESENTADO POR:
Jorge Alejandro Santos Parra (1010161777)

TUTOR:
GERARDO GRANADOS ACUÑA

Universidad Nacional Abierta y a distancia-UNAD

GRUPO: 2150521_7
Abril 2020
4.4.2.10- ALEJANDRO SANTOS PARRA

Packet Tracer – Troubleshooting IPv6 ACLs

Topology

Addressing Table

Interfac
Device e IPv6 Address / Prefix Default Gateway

G0/0 2001:DB8:CAFE::1/64 N/A

R1 G0/1 2001:DB8:CAFE:1::1/64 N/A
G0/2 2001:DB8:CAFE:2::1/64 N/A
PC0 NIC 2001:DB8:CAFE::2/64 FE80::1
Server1 NIC 2001:DB8:CAFE:1::2/64 FE80::1
Server2 NIC 2001:DB8:CAFE:2::2/64 FE80::1
L0 NIC 2001:DB8:CAFE::3/64 FE80::1
L1 NIC 2001:DB8:CAFE:1::3/64 FE80::1
L2 NIC 2001:DB8:CAFE:2::3/64 FE80::1

Objectives
 Part 1: Troubleshoot HTTP Access

Part 2: Troubleshoot FTP Access

Part 3: Troubleshoot SSH Access

Scenario

The following three polices have been implemented on the network:

Hosts from the 2001:DB8:CAFÉ::/64 network do not have HTTP access to the other networks.

Hosts from the 2001:DB8:CAFÉ:1::/64 network are prevented from access to the FTP service on Server2.

Hosts from the 2001:DB8:CAFE:1::/64 and 2001:DB8:CAFE:2::/64 networks are prevented

from accessing R1 via SSH.

No other restrictions should be in place. Unfortunately, the rules that have been implemented are not
working correctly. Your task is to find and fix the errors related to the access lists on R1.

Note: To access R1 and the FTP servers, use the username user01 and password user01pass.

Part 1: Troubleshoot HTTP Access

Hosts from the 2001:DB8:CAFE::/64 network are intentionally unable to access the HTTP service, but
should not be otherwise restricted.

Step 1: Determine the ACL problem.

As you perform the following tasks, compare the results to what you would expect from the ACL.

a. Using L0, L1, and L2, attempt to access HTTP services of Server1 and Server2. Se intenta ingresar
a los servidores desde los equipos L0, L1 Y L2 con el siguiente resultado.

DESDE L0 HACIA SERVER1 Y SERVER2:

DESDE L1 HACIA SERVER1 Y SERVER2:

DESDE L2 HACIA SERVER1 Y SERVER2:

 b. Using L0, ping Server1 and Server2.

No se alcanza el destino:

c. Using PC0, access the HTTPS services of Server1 and Server2.

Se valida y no se tiene acceso a los servidores desde el PC0 por HTTPS:

 d. View the running configuration on R1. Examine access list G0-ACCESS and its placement on the
interfaces. Is the access list placed on the correct interface and in the correct direction? Is there
any statement in the list that permits or denies traffic to other networks? Are the statements in the
correct order?

Se valida configuración del Router R1:

De acuerdo con lo visto en la configuración de R1, la lista se observa configurada en la interfaz

correcta y la dirección es la correcta, se observa que deniega un trafico especifico del segmento
CAFÉ:: y adicional hace parte la regla por defecto donde permita todo el trafico de IPv6.

e. Run other tests as necessary.

Al validar los saltos del tráfico hacia los destinos desde L0 se observa un bucle en la interfaz de R1:
Step 2: Implement a solution.

Make adjustments to access lists to fix the problem.

R1(config)# ipv6 access-list G0-ACCESS

R1(config-ipv6-acl)# permit ipv6 any any

Se realiza el cambio sugerido en R1 y se confirma en la plantilla del Router:

Step 3: Verify the problem is resolved and document the solution.

If the problem is resolved, document the solution; otherwise return to Step 1.

No traffic is getting through because of the implicit deny any. Added a permit ipv6 any any to the G0-
ACCESS.

Se realiza nuevamente pruebas en L0 y se observa alcance de los servidores:

Se confirma el alcance de ping y se alcanza por HTTPS:

También se logra acceso a los servidores por HTTPS desde PC0:

Part 2: Troubleshoot FTP Access

Hosts from the 2001:DB8:CAFE:1::/64 network are prevented from accessing the FTP service of Server2,
but no other restriction should be in place.

Step 1: Determine the ACL problem.

As you perform the following tasks, compare the results to the expectations of the ACL.

a. Using L0, L1, and L2, attempt to access FTP service of Server2.

PC> ftp 2001:db8:cafe:2::2

Se valida conexión con el servidor FTP desde el equipo L0 y L1 por CMD y se tiene conexión con éxito:

Desde L2 y PC0 también se tiene conexión por CMD:

Según se sobreentiende no debería tener acceso el equipo L1 al servidor FTP, ya que el segmento
restringido es de la IP de este equipo.

b. View the running configuration on R1. Examine access list G1-ACCESS and its placement on the
interfaces. Is the access list placed on the correct port in the correct direction? Is there any statement
in the list that permits or denies traffic to other networks? Are the statements in the correct order?

Se valida la plantilla del Router:

La interfaz y la lista de acceso están bien configuradas, al igual que el segmento IP, se observa una
denegación de tráfico marcado como 22 y ftp.

b. Run other tests as necessary.

Step 2: Implement a solution.

Make adjustments to access lists to fix the problem.

R1(config)# interface GigabitEthernet0/1 R1(config-if)# no

ipv6 traffic-filter G1-ACCESS out R1(config-if)# ipv6
traffic-filter G1-ACCESS in

Se aplica la configuración recomendada y se confirma en la plantilla del Router:

Step 3: Verify the problem is resolved and document the solution.

If the problem is resolved, document the solution; otherwise return to Step 1.

Se valida nuevamente ingreso al servidor FTP, se tiene acceso de todos menos del L1 como se puede
observar.
Se confirma ingreso desde el equipo L0 pero no desde L1 como debería ser:

Ingreso por CMD desde los equipos L2 y PC0:

G1-ACCESS was applied outbound on G0/1. Removed as outbound and applied as inbound on
G0/1.

Part 3: Troubleshoot SSH Access

 Only the hosts from 2001:DB8:CAFE::/64 network are permitted remote access to R1 via SSH.

Step 1: Determine the ACL problem.

As you perform the following tasks, compare the results to what you would expect from the ACL.

a. From L0 or PC0, verify SSH access to R1.

Se valida ingreso desde L0 y PC0 teniendo acceso sin problema:

b. Using L1 and L2, attempt to access R1 via SSH.

Se valida ingreso por SSH a R1 desde los equipos L1 y L2 teniendo el siguiente resultado:

De acuerdo con el ejercicio solamente debería tener acceso por SSH los equipos PC0 y L0.
 c. View the running configuration on R1. Examine access lists and their placements on the interfaces. Is
the access list placed on the correct interface and in the correct direction? Is there any statement in
the list that permits or denies traffic to other networks? Are the statements in the correct order?

Se revisa la plantilla del Router para verificar la configuración de las interfaces y de las listas de
acceso:

Como se puede observar en la lista G1-ACCESS se está denegando el tráfico marcado con la
condición 22, por otra parte, en la lista G2-ACCESS se permite todo el tráfico de IPv6, pero las
condiciones no están en el orden correspondiente.

En las interfaces se encuentra bien el direccionamiento, para la interfaz Gi0/2 presenta filtro de trafico
de entrada.

d. Perform other tests, as necessary.

Step 2: Implement a solution.

Make adjustments to access lists to fix the problem.

R1(config)# no ipv6 access-list G2-ACCESS R1(config)# ipv6

access-list G2-ACCESS R1(config-ipv6-acl)# deny tcp
2001:DB8:CAFE:2::/64 any eq 22 R1(config-ipv6-acl)# permit
ipv6 any any
Se aplica la configuración recomendada y se comprueba en la plantilla del Router:

Step 3: Verify that the problem is resolved and document the solution.

If the problem is resolved, document the solution: otherwise return to Step 1.

The access list G2-ACCESS allows all traffic because the order of the statements is wrong. Reorder
the statements so that the permit ipv6 any any is the second statement

Tras los cambios realizados se comprueba que solamente tienen ingreso por SSH a R1 los equipos L0
y PC0, los equipos L1 y L2 no tienen ingreso como debería ser.
Suggested Scoring Rubric

Possible Earned
Question Location Points Points

Documentation Score 10
Packet Tracer Score 90
Total Score 100

Script
!
interface GigabitEthernet0/0
no ip address
ipv6 traffic-filter G0-ACCESS in
duplex auto
speed auto
ipv6 address FE80::1 link-local
ipv6 address 2001:DB8:CAFE::1/64
!
interface GigabitEthernet0/1
no ip address
ipv6 traffic-filter G1-ACCESS in
duplex auto
speed auto
ipv6 address FE80::1 link-local
ipv6 address 2001:DB8:CAFE:1::1/64
!
interface GigabitEthernet0/2
no ip address
ipv6 traffic-filter G2-ACCESS in
duplex auto
speed auto
ipv6 address FE80::1 link-local
ipv6 address 2001:DB8:CAFE:2::1/64
!
!
!
ipv6 access-list G0-ACCESS
deny tcp 2001:DB8:CAFE::/64 any eq www
permit ipv6 any any
ipv6 access-list G1-ACCESS
deny tcp 2001:DB8:CAFE:1::/64 any eq 22
deny tcp 2001:DB8:CAFE:1::/64 host 2001:DB8:CAFE:2::2 eq ftp
permit ipv6 any any
ipv6 access-list G2-ACCESS
deny tcp 2001:DB8:CAFE:2::/64 any eq 22
permit ipv6 any any
!
 CONCLUSIONES.

 Se logra reconocer la importancia de la configuración de listas de acceso en una red para los Router
en estas, ya que para la seguridad de los datos y conexión a los servidores puede ayudar a los
trabajos que ofrece un FW.

 Se identifican nuevos comandos para la configuración de ACL en Router cisco con protocolo de
direccionamiento IPv6.

 Se familiariza un poco mas sobre el manejo de direcciones IPv6 en una red de datos sobre equipos
cisco.