2
respostas

Hora da Prática

Referente ao curso Redes: construindo um projeto com VLANs, políticas de acesso e conexão com internet, no capítulo Tráfego de rede e atividade Hora da prática

por Naygno Barbosa Noia
| 25.3k xp | 52 posts

No projeto anterior, foi realizada uma otimização voltada para a eficiência no endereçamento IP, com o objetivo de reduzir desperdícios e preservar a simplicidade operacional. A iniciativa adotou uma abordagem prática para a realocação de faixas de IP, garantindo melhor aproveitamento dos recursos disponíveis.

Nesta etapa do projeto, que dá continuidade à fase anterior, será realizada uma expansão com a implementação de servidores dedicados para cada departamento. O acesso a esses servidores será restrito aos respectivos departamentos, por meio da configuração de uma ACL estendida no roteador, permitindo apenas o tráfego essencial e bloqueando qualquer comunicação não autorizada.

A partir daqui seguirei as instruções indicadas pelo professor para essa nova atividade prática.

  1. Insira três servidores na rede da empresa para atuarem como repositórios de cada um dos seus departamentos.

    1. A topologia da rede, após inserir os três servidores, ficou assim:
      Insira aqui a descrição dessa imagem para ajudar na acessibilidade

  2. Configure uma VLAN dedicada aos servidores na rede.

    1. Criando as VLANs exclusivas correspondente a cada servidor:
      1. SWITCH > CLI
        Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#vlan 50
Switch(config-vlan)#name serv-depto-a
Switch(config-vlan)#exit

Switch(config)#vlan 60
Switch(config-vlan)#name serv-depto-b
Switch(config-vlan)#exit

Switch(config)#vlan 70
Switch(config-vlan)#name serv-depto-c
Switch(config-vlan)#exit
Switch(config)#
    2. Configurando as portas Fa0/5, Fa0/6 e Fa07 para operar em suas respectiva VLAN.
      1. SWITCH > CLI
        Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#interface Fa0/5
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport access vlan 50
Switch(config-if)#exit

Switch(config)#interface Fa0/6
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport access vlan 60
Switch(config-if)#exit

Switch(config)#interface Fa0/7
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport access vlan 70
Switch(config-if)#exit
Switch(config)#
    3. Incluindo essas VLANs nos Switches LAB-A, LAB-B e LAB-C:
      1. SWITCH-LAB-A > CLI
        Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#vlan 50
Switch(config-vlan)#name serv-depto-a
Switch(config-vlan)#exit

Switch(config)#vlan 60
Switch(config-vlan)#name serv-depto-b
Switch(config-vlan)#exit

Switch(config)#vlan 70
Switch(config-vlan)#name serv-depto-c
Switch(config-vlan)#exit
Switch(config)#exit
Switch#

      Repeti esse processo nos Switches LAB-B e LAB-C.

  3. Atribua uma sub-rede exclusiva aos servidores de modo eficiente. Neste caso, adote o endereçamento estático.

    1. Configurando as subinterfaces no ROUTER para que a rede opere nas VLANs 50, 60 e 70 também.
      1. Antes de iniciar, vale uma observação importante: os endereçamentos IP foram definidos a partir do 172.16.8.1. Isso porque, ao configurar as VLANs, optei por começar a numeração a partir da VLAN 5, pulando um valor para organizar melhor a sequência. Com isso, as VLANs utilizadas foram: 10, 20, 30, 50, 60 e 70. Seguindo essa lógica de salto — por exemplo, da VLAN 30 para a 50 — mantive a mesma estrutura nas subinterfaces do roteador, passando de Fa0/0.3 diretamente para Fa0/0.5.
      2. ROUTER > CLI
        Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#interface Fa0/0.5
Router(config-subif)#encapsulation dot1Q 50
Router(config-subif)#ip address 172.16.8.1 255.255.254.0
Router(config-subif)#exit

Router(config)#interface Fa0/0.6
Router(config-subif)#encapsulation dot1Q 60
Router(config-subif)#ip address 172.16.10.1 255.255.254.0
Router(config-subif)#exit

Router(config)#interface Fa0/0.7
Router(config-subif)#encapsulation dot1Q 70
Router(config-subif)#ip address 172.16.12.1 255.255.254.0
Router(config-subif)#exit
Router(config)#exit
Router#
2 respostas
por Naygno Barbosa Noia
| 25.3k xp | 52 posts

  1. ...

    1. Configurando os endereços de rede estáticos nos Servidores
      1. SERV-DEPTO-A > Desktop >
        1. Services > HTTP > On > index.html > (edit) > Save > Yes
        2. IP Configuration > Static
          C:\>ipconfig
FastEthernet0 Connection:(default port)
   IPv4 Address....................: 172.16.8.2
   Subnet Mask.....................: 255.255.254.0
   Default Gateway.................:  172.16.8.1
      2. SERV-DEPTO-B > Desktop >
        1. Services > HTTP > On > index.html > (edit) > Save > Yes
        2. IP Configuration > Static
          C:\>ipconfig
FastEthernet0 Connection:(default port)

   IPv4 Address....................: 172.16.10.2
   Subnet Mask.....................: 255.255.254.0
   Default Gateway.................:  172.16.10.1
      3. SERV-DEPTO-C > Desktop >
        1. Services > HTTP > On > index.html > (edit) > Save > Yes
        2. IP Configuration > Static
          C:\>ipconfig
FastEthernet0 Connection:(default port)
   
   IPv4 Address....................: 172.16.12.2
   Subnet Mask.....................: 255.255.254.0
   Default Gateway.................:  172.16.12.1
      4. Teste de conexão entre os servidores e um PC da rede
        1. PC-1LAB-A > Desktop > Web Browser > URL: 172.16.8.2
          1. Retornou a página do SERV-DEPTO-A
        2. PC-1LAB-A > Desktop > Web Browser > URL: 172.16.10.2
          1. Retornou a página do SERV-DEPTO-B
        3. PC-1LAB-A > Desktop > Web Browser > URL: 172.16.12.2
          1. Retornou a página do SERV-DEPTO-C

  2. Implemente listas de acessos para cada um dos servidores no roteador para definir uma política de acesso em que somente computadores conectados em um dado departamento terão acesso ao seu respectivo repositório (localizado no servidor dedicado ao departamento).

    1. Tornando os IPs dos PCs que deveram ter acesso exclusivo ao seu respectivo Servidor estáticos.
      1. PC:
        1. DEPTO-A > Desktop > Command Prompt 
              C:\>ipconfig
    FastEthernet0 Connection:(default port)
       IPv4 Address....................: 172.16.4.4
       Subnet Mask.....................: 255.255.254.0
       Default Gateway.................: 172.16.4.1
          1. IP Configuration > Static

            1. IPv4 Address: 172.16.4.4

            2. Subnet Mask: 255.255.254.0
            3. Default Gateway: 172.16.4.1
        2. DEPTO-B > Desktop > Command Prompt
          1. IP Configuration > Static

            1. IPv4 Address: 172.16.4.2

            2. Subnet Mask: 255.255.254.0
            3. Default Gateway: 172.16.4.1
        3. DEPTO-C > Desktop > Command Prompt
          1. IP Configuration > Static

            1. IPv4 Address: 172.16.4.3

            2. Subnet Mask: 255.255.254.0
            3. Default Gateway: 172.16.4.1
    2. Excluindo esses IPs do ROUTER
      1. ROUTER > CLI
        Router>
Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#ip dhcp excluded-address 172.16.4.4
Router(config)#ip dhcp excluded-address 172.16.4.2
Router(config)#ip dhcp excluded-address 172.16.4.3
Router(config)#
    3. Criando a lista estendida de acessos
      1. Os IPs dos Servidores em mão
        1. SERV-DEPTO-A: 172.16.8.2
        2. SERV-DEPTO-B : 172.16.10.2
        3. SERV-DEPTO-C: 172.16.12.2
      2. ROUTER > CLI
        Router>
Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

\\ Cria a lista de nome: acl-depto-serv-extended
Router(config)#ip access-list extended acl-depto-serv-extended

\\ Inclui os PCs origem e seus respectivos servidores destino na lista
\\ Permite os PCs de origem ter acesso aos servidores de destino
\\ permit tcp <ip-oringem> 0.0.0.0 <ip-destino> 0.0.0.0
Router(config-ext-nacl)#permit tcp 172.16.4.4 0.0.0.0 172.16.8.2 0.0.0.0
Router(config-ext-nacl)#permit tcp 172.16.4.2 0.0.0.0 172.16.10.2 0.0.0.0
Router(config-ext-nacl)#permit tcp 172.16.4.3 0.0.0.0 172.16.12.2 0.0.0.0
Router(config-ext-nacl)#
por Naygno Barbosa Noia
| 25.3k xp | 52 posts
  1. ...
    1. ...
    2. ...
    3. ...

      1. ...

      2. ...

      3. Evitando que o tráfego seja completamente bloqueado e nega todo o trafego remanescente

        Router>enable

Router#show access-lists
Extended IP access list acl-depto-serv-extended
    10 permit tcp host 172.16.4.4 host 172.16.8.2
    20 permit tcp host 172.16.4.2 host 172.16.10.2
    30 permit tcp host 172.16.4.3 host 172.16.12.2

      4. Negando aos PCs específicos de origem acesso ao Servidor de destino específico.

        Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#ip access-list extended acl-depto-serv-extended

\\ Nega ao PC de origem acesso ao Servidor de destino
\\ deny tcp <ip-exemplo> 0.0.255.255 <ip-destino> 0.0.0.0
Router(config-ext-nacl)#deny tcp 172.16.2.6 0.0.255.255 172.16.8.2 0.0.0.0
Router(config-ext-nacl)#deny tcp 172.16.2.6 0.0.255.255 172.16.10.2 0.0.0.0
Router(config-ext-nacl)#deny tcp 172.16.2.6 0.0.255.255 172.16.12.2 0.0.0.0

\\ Isso permite qualquer origem e qualquer destino
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#
Router(config-ext-nacl)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console

Router#show access-lists
Extended IP access list acl-depto-serv-extended
    10 permit tcp host 172.16.4.4 host 172.16.8.2
    20 permit tcp host 172.16.4.2 host 172.16.10.2
    30 permit tcp host 172.16.4.3 host 172.16.12.2
    40 deny tcp 172.16.0.0 0.0.255.255 host 172.16.8.2
    50 deny tcp 172.16.0.0 0.0.255.255 host 172.16.10.2
    60 deny tcp 172.16.0.0 0.0.255.255 host 172.16.12.2
    70 permit ip any any
Router#

      5. Teste de conectividade

        1. Ainda não está filtrando o trafego como deveria estar. Pois todas as tentativas de acessar qualquer Servidor por qualquer PC está sendo efetuada com sucesso.

      6. Vinculando a lista de acesso às subinterfaces

        1. ROUTER > CLI
          Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#interface Fa0/0.1
Router(config-subif)#ip access-group acl-depto-serv-extended in
Router(config-subif)#exit

Router(config)#interface Fa0/0.2
Router(config-subif)#ip access-group acl-depto-serv-extended in
Router(config-subif)#exit

Router(config)#interface Fa0/0.3
Router(config-subif)#ip access-group acl-depto-serv-extended in
Router(config-subif)#exit

Router(config)#interface Fa0/0.5
Router(config-subif)#ip access-group acl-depto-serv-extended in
Router(config-subif)#exit

Router(config)#interface Fa0/0.6
Router(config-subif)#ip access-group acl-depto-serv-extended in
Router(config-subif)#exit

Router(config)#interface Fa0/0.7
Router(config-subif)#ip access-group acl-depto-serv-extended in
Router(config-subif)#exit
Router(config)#exit

      7. Novos testes de acesso funcionaram como esperado.

É isso...