Laboratório - Configuração e Verificação das Restrições de VTY

Topologia

Tabela de Endereçamento

Dispositivo Interface Endereço IP Máscara de Sub-rede Gateway padrão

R1 G0/0 192.168.0.1 255.255.255.0 N/A

G0/1 192.168.1.1 255.255.255.0 N/A
S1 VLAN 1 192.168.1.2 255.255.255.0 192.168.1.1
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.0.3 255.255.255.0 192.168.0.1

Objetivos
Parte 1: Definir configurações básicas do dispositivo
Parte 2: Configurar e aplicar a lista de controle de acesso em R1
Parte 3: Verificar a lista de controle de acesso por meio de Telnet
Parte 4: Desafio - Configurar e aplicar a lista de controle de acesso no S1

Histórico/cenário
É boa prática restringir o acesso às interfaces de gerenciamento de roteador, como console e linhas vty.
Uma lista de controle de acesso (ACL) pode ser usada para permitir o acesso a endereços IP específicos,
garantindo que somente os computadores de administradores tenham permissão para executar uma sessão
telnet ou SSH no roteador.
Observação: nas saídas dos dispositivos Cisco, a ACL é abreviada como access-list.
Neste laboratório, você criará e aplicará uma ACL padrão nomeada para restringir o acesso remoto às linhas
vty do roteador.
Depois de criar e aplicar a ACL, você a testará e verificará, acessando o roteador a partir de diferentes
endereços IP por meio de telnet.
Este laboratório oferecerá os comandos necessários para criar e aplicar a ACL.
Observação: os roteadores usados nos laboratórios práticos CCNA são Roteadores de Serviços Integrados
(ISRs) 1941 com software IOS Cisco versão 15.2(4) M3 (imagem universalk9). Os switches usados são
Cisco Catalyst 2960s com IOS Cisco versão 15.0(2) (imagem lanbasek9). Outros roteadores, switches e
versões do IOS Cisco podem ser usados. Dependendo do modelo e da versão do IOS Cisco, os comandos
disponíveis e a saída produzida podem diferir dos mostrados nos laboratórios. Consulte a Tabela Resumo
das Interfaces dos Roteadores no final do laboratório para obter os identificadores de interface corretos.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 1 de 7
Laboratório - Configuração e Verificação das Restrições de VTY

Observação: certifique-se de que os roteadores e switches tenham sido apagados e que não haja nenhuma
configuração de inicialização. Se estiver em dúvida, entre em contato com o instrutor.

Recursos necessários
• 1 roteador (Cisco 1941 com software IOS Cisco versão 15.2(4)M3, imagem universal ou semelhante)
• 1 switch (Cisco 2960 com IOS Cisco versão 15.0(2), imagem lanbasek9 ou semelhante)
• 2 PCs (Windows 7, Vista ou XP com um programa de emulação de terminal, como o Tera Term)
• Cabos de console para configurar os dispositivos IOS Cisco através das portas de console
• Cabos Ethernet conforme mostrado na topologia
Observação: as interfaces Gigabit Ethernet dos roteadores Cisco 1941 têm detecção automática, e é
possível usar um cabo Ethernet straight-through entre o roteador e o PC-B. Se estiver usando outro modelo
de roteador da Cisco, talvez seja necessário usar um cabo cruzado para Ethernet.

Parte 1: Definir configurações básicas do dispositivo

Na Parte 1, você definirá a topologia de rede e configurará os endereços IP da interface, o acesso a
dispositivos e as senhas no roteador.

Etapa 1: Instale os cabos da rede conforme mostrado no diagrama de topologia.

Etapa 2: Defina as configurações de rede do PC-A e do PC-B de acordo com a Tabela de

Endereçamento.

Etapa 3: Inicialize e recarregue o roteador e o switch.

a. Desative a pesquisa DNS.
b. Configure os nomes de dispositivos de acordo com o diagrama de topologia.
c. Atribua class como a senha criptografada do EXEC privilegiado.
d. Atribua cisco como a senha do console, ative o logging synchronous, e habilite o login.
e. Atribua cisco como a senha de vty, ative o logging synchronous, e habilite o login.
f. Criptografe as senhas de texto não criptografado.
g. Crie um banner para avisar às pessoas que o acesso não autorizado é proibido.
h. Configure os endereços IP nas interfaces listadas na Tabela de Endereçamento.
i. Configure o gateway padrão para o switch.
j. Salve a configuração em execução no arquivo de configuração de inicialização.

Parte 2: Configurar e aplicar a lista de controle de acesso em R1

Na Parte 2, você configurará uma ACL padrão nomeada e a aplicará às linhas do terminal virtual do roteador
para restringir o acesso remoto ao roteador.

Etapa 1: Configurar e aplicar uma ACL padrão.

a. Use o console para acessar o roteador R1 e habilite o modo EXEC privilegiado.
b. No modo de configuração global, exiba as opções de comando em ip access-list, usando um espaço e
um ponto de interrogação.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 2 de 7
Laboratório - Configuração e Verificação das Restrições de VTY

R1(config)# ip access-list ?
extended Extended Access List
helper Access List acts on helper-address
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
c. No modo de configuração global, exiba as opções de comando em ip access-list standard, usando um
espaço e um ponto de interrogação.
R1(config)# ip access-list standard ?
<1-99> Standard IP access-list number
<1300-1999> Standard IP access-list number (expanded range)
WORD Access-list name
d. Adicione ADMIN-MGT ao final do comando ip access-list standard e pressione Enter. Agora você está
no modo de configuração de lista de acesso nomeada padrão (config-std-nacl).
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)#
e. Insira sua entrada de controle de acesso (ACE) de permissão ou negação de ACL, também conhecida
como uma instrução da ACL, uma linha por vez. Lembre-se de que existe uma instrução deny any
implícita no final da ACL, que nega efetivamente todo o tráfego. Digite um ponto de interrogação para ver
as opções do comando.
R1(config-std-nacl)# ?
Standard Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
f. Crie uma ACE de permissão para o administrador do PC-A em 192.168.1.3, e uma ACE de permissão
adicional para autorizar outros endereços IP administrativos reservados de 192.168.1.4 até 192.168.1.7.
Observe como a primeira ACE de permissão indica um único host, usando a palavra-chave host. A
permit 192.168.1.3 0.0.0.0 da ACE poderia ter sido utilizada em vez da palavra-chave. A segunda ACE
de permissão aceita hosts de 192.168.1.4 a 192.168.1.7, usando o curinga 0.0.0.3, o qual é o inverso de
uma máscara de sub-rede 255.255.255.252.
R1(config-std-nacl)# permit host 192.168.1.3
R1(config-std-nacl)# permit 192.168.1.4 0.0.0.3
R1(config-std-nacl)# exit
Você não precisa inserir uma ACE de negação porque há uma ACE deny any implícita no final da ACL.
g. Agora que a ACL nomeada foi criada, aplique-a às linhas vty.
R1(config)# line vty 0 4
R1(config-line)# access-class ADMIN-MGT in
R1(config-line)# exit

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 3 de 7
Laboratório - Configuração e Verificação das Restrições de VTY

Parte 3: Verificar a lista de controle de acesso por meio do Telnet

Na Parte 3, você usará o Telnet para acessar o roteador e verificar se a ACL nomeada está funcionando
corretamente.
Observação: o SSH é mais seguro que o Telnet; no entanto, o SSH exige que o dispositivo de rede esteja
configurado para aceitar conexões SSH. O Telnet é usado neste laboratório por conveniência.
a. Abra um prompt de comando no PC-A e verifique se você pode se comunicar com o roteador por meio
de um comando ping.
C:\Users\user1>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:

Reply from 192.168.1.1: bytes=32 time=5ms TTL=64
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64

Ping statistics for 192.168.1.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 5ms, Average = 2ms
C:\Users\user1>
b. Usando o prompt de comando no PC-A, inicie o programa cliente do Telnet para estabelecer uma
conexão telnet no roteador. Insira o login e, em seguida, as senhas de ativação. Você deverá ser
conectado, ver a mensagem de banner e receber um prompt de comando do roteador R1.
C:\Users\user1>telnet 192.168.1.1

Unauthorized access is prohibited!

User Access Verification

Password:
R1>enable
Password:
R1#
A conexão Telnet teve êxito? ____________________________________________________
c. Digite exit no prompt de comando e pressione Enter para sair da sessão Telnet.
d. Altere o endereço IP para testar se a ACL nomeada bloqueia endereços IP não permitidos. Altere o
endereço IPv4 para 192.168.1.100 no PC-A
e. Tente fazer novamente a conexão telnet no R1 em 192.168.1.1. A sessão Telnet teve êxito?
____________________________________________________________________________________
Qual mensagem foi recebida?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 4 de 7
Laboratório - Configuração e Verificação das Restrições de VTY

f. Altere o endereço IP no PC-A para testar se a ACL nomeada permite que um host com um endereço IP
no intervalo de 192.168.1.4 a 192.168.1.7 faça a conexão telnet no roteador. Após alterar o endereço IP
no PC-A, abra um prompt de comando no Windows e tente fazer a conexão telnet no roteador R1.
A sessão Telnet teve êxito?
____________________________________________________________________________________
____________________________________________________________________________________
g. No modo EXEC privilegiado em R1, digite o comando show ip access-lists e pressione Enter. Na saída
do comando, observe como o CISCO IOS atribui automaticamente os números de linha às ACEs da ACL
em incrementos de 10 e mostra o número de vezes que cada ACE de permissão foi combinada com
sucesso (entre parênteses).
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.1.3 (2 matches)
20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches)
Devido ao fato de as duas conexões telnet terem sido estabelecidas com sucesso e de cada sessão
telnet ter sido iniciada em um endereço IP que corresponde a uma das ACEs de permissão, existem
correspondências para cada ACE de permissão.
Na sua opinião, por que há duas correspondências para cada ACE de permissão quando apenas uma
conexão de cada endereço IP foi iniciada?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
Como você determina o ponto em que o protocolo telnet causa essas correspondências durante a
conexão telnet?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
h. Em R1, entre no modo configuração global.
i. Entre no modo de configuração access-list da lista de acesso nomeada ADMIN-GER e adicione uma
ACE deny any ao final da lista de acesso.
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit
Observação: como há uma ACE deny any implícita no final de todas as ACLs, é desnecessário
adicionar uma ACE deny any explícita, no entanto, ela pode ser útil ao administrador de rede pois
permite que ele se registre ou simplesmente saiba quantas vezes deny any obteve uma
correspondência.
j. Tente fazer telnet do PC-B para R1. Isso cria uma correspondência com a ACE deny any na lista de
acesso nomeada ADMIN-GER.
k. No modo EXEC privilegiado, digite o comando show ip access-lists e pressione Enter. Você deve ver
várias correspondências com a ACE deny any.
R1# show ip access-lists

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 5 de 7
Laboratório - Configuração e Verificação das Restrições de VTY

Standard IP access list ADMIN-MGT

10 permit 192.168.1.3 (2 matches)
20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches)
30 deny any (3 matches)
A conexão telnet que apresentou falha produz mais correspondências com a ACE deny explícita do que
uma conexão bem-sucedida. Na sua opnião, por que isso acontece?
____________________________________________________________________________________
____________________________________________________________________________________

Parte 4: Desafio - Configurar e aplicar a lista de controle de acesso no S1

Etapa 1: Configure e aplique uma ACL nomeada padrão às linhas vty no S1.
a. Sem consultar os comandos de configuração de R1, tente configurar a ACL no S1, permitindo apenas o
endereço IP do PC-A.
b. Aplique a ACL às linhas vty do S1. Lembre-se de que há mais linhas vty em um switch do que em um
roteador.

Etapa 2: Teste a ACL do vty no S1.

Faça uma sessão telnet a partir de cada um dos computadores para verificar se a ACL do vty está
funcionando corretamente. Você possivelmente será capaz de executar uma sessão telnet no S1 a partir do
PC-A, mas não do PC-B.

Reflexão
1. Conforme evidenciado pelo acesso vty remoto, as ACLs são filtros de conteúdo eficientes que podem ser
aplicados não apenas a interfaces de entrada e saída de redes, mas a muitas outras situações. Quais as
outras formas de aplicação das ACLs?
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Uma ACL aplicada a uma interface vty de gerenciamento remoto melhora a segurança da conexão Telnet?
Ela torna o telnet uma ferramenta de gerenciamento de acesso remoto mais viável?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
3. Por que faz mais sentido aplicar uma ACL às linhas vty, em vez de às interfaces específicas?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 6 de 7
Laboratório - Configuração e Verificação das Restrições de VTY

Tabela Resumo das Interfaces dos Roteadores

Resumo da interface do roteador

Modelo do Interface Ethernet 1 Interface Ethernet 2 Interface serial 1 Interface serial 2

roteador

1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Observação: para descobrir como o roteador está configurado, analise as interfaces para identificar o tipo de
roteador e quantas interfaces ele possui. Não há como listar com eficácia todas as combinações de configuração
de cada classe de roteador. Esta tabela inclui identificadores para as possíveis combinações de interfaces
seriais e de Ethernet no dispositivo. A tabela não inclui nenhum outro tipo de interface, embora um roteador
específico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. A sequência entre
parênteses é a abreviatura legal que pode ser usada nos comandos do IOS Cisco para representar a interface.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 7 de 7