Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Tabla de direccionamiento IP
objetivos
Configurar las opciones de ASA bsicas y niveles de seguridad de la interfaz utilizando CLI
Todos los dispositivos router y el switch se han configurado previamente con lo siguiente:
Nota: Esta actividad de Packet Tracer no es un sustituto de los laboratorios de ASA. Esta
actividad proporciona prctica adicional y simula la mayora de las configuraciones de ASA
5505. En comparacin con un verdadero ASA 5505, puede haber ligeras diferencias en la
salida del comando o comandos que an no estn soportadas en el Packet Tracer.
El ASA no est configurado actualmente. Sin embargo, todos los enrutadores, PC y el servidor
DMZ estn configurados. Verificar que el PC-C puede hacer ping a cualquier interfaz del
router. PC-C no puede hacer ping a la ASA, PC-B, o el servidor DMZ.
Utilice el comando show version para determinar diversos aspectos de este dispositivo ASA.
b. Utilice el comando show file system para mostrar el sistema de archivos ASA y determinar
cules son los prefijos que son compatibles.
. c Utilice el show flash: o show dosk0: comando para mostrar el contenido de la memoria
flash.
Utilice el comando enable password para cambiar la contrasea del modo EXEC privilegiado
para ciscoenpa55.
Usar el clock set comandos para configurar manualmente la fecha y la hora (este paso no se
ha marcado).
Slo se configure la VLAN 1 (interior) y 2 interfaces VLAN (fuera) en este momento. La interfaz
VLAN 3 (DMZ) se configurar en la parte 5 de la actividad.
a. Configure una interfaz VLAN 1 lgico para la red interior (192.168.1.0/24) y establecer el
nivel de seguridad ms alto que el valor de 100.
b. Crear una interfaz lgica VLAN 2 para la red externa (209.165.200.224/29), establezca el
nivel de seguridad en la posicin ms baja de 0, y activar la interfaz de VLAN 2.
1) Usar el comando show interface ip brief para mostrar el estado de todas las
interfaces ASA
Nota: Este comando es diferente del comando show ip interface brief IOS. Si
cualesquiera de las interfaces fsicos o lgicos configurados previamente no son up/up
resuelva el problema segn sea necesario antes de continuar.
Consejo: La mayora de los comandos ASA show, incluyendo ping, copy, y otros,
pueden ser emitidos desde cualquier indicador del modo de configuracin sin DO
el comando.
2) Utilice show ip address el comando para mostrar la informacin de las interfaces VLAN
de capa 3.
3) Utilice show switch vlan comando para visualizar el interior y fuera de las VLAN
configurada en el ASA y para mostrar los puertos asignados.
a. Usted debe poder hacer ping desde la PC-B a la direccin de la interfaz dentro de ASA
(192.168.1.1). Si los pings fallan, solucionar problemas de la configuracin segn sea
necesario.
Configurar una ruta esttica por defecto en el interfaz exterior ASA para que el ASA para llegar
a las redes externas.
a. Crear una ruta por defecto "quad cero" mediante el comando de la route, asociarlo con la
interfaz fuera de ASA, y seale en el R1 G0/0 IP address (209.165.200.225) como el
gateway de ltimo recurso.
b. Ejecute el comando show route para verificar la ruta esttica por defecto est en la tabla de
enrutamiento ASA.
c. Compruebe que el ASA puede hacer ping al R1 S0/0/0 IP address 10.1.1.1. Si el ping no
tiene xito, resuelva el problema segn sea necesario.
CCNAS-ASA(config-network-object)# end
d. Emitir el comando show nat en el ASA para ver los xitos traducidos y sin traducir. Ntese
que, del ping desde la PC-B, cuatro fueron traducidos y cuatro no eran. Los pings salientes
(ecos) fueron traducidos y enviados al destino. Las respuestas de eco que regresaban
fueron bloqueadas por la directiva de firewall. Va a configurar la poltica de inspeccin por
defecto para permitir ICMP en el paso 3 de esta parte de la actividad.
Paso 3: Modificacin de la poltica de servicio global predeterminada MPF
inspeccin de aplicaciones.
Para la inspeccin de capa de aplicacin y otras opciones avanzadas, el Cisco MPF est
disponible en los ASA.
El dispositivo Packet Tracer ASA no tiene un mapa de la poltica MPF en su lugar de forma
predeterminada. Como una modificacin, podemos crear el mapa de la poltica por defecto que
llevar a cabo la inspeccin del trfico en el interior-exterior-a. Cuando se configura
correctamente slo el trfico iniciado desde el interior se permite de nuevo a la interfaz
exterior. Usted tendr que aadir a la lista de ICMP inspeccin.
CCNAS-ASA(config-cmap)# exit
CCNAS-ASA(config-pmap-c)# exit
b. (Opcional) Especifique la direccin IP del servidor DNS que debe darse a los clientes.
d. Cambiar PC-B a partir de una direccin IP esttica a un cliente DHCP, y verifique que se
recibe informacin de direccionamiento IP. Solucionar problemas, si es necesario para
resolver cualquier problema.
b. Configurar AAA para utilizar la base de datos local de ASA para la autenticacin de usuario
SSH.
El ASA puede estar configurado para aceptar conexiones desde un nico host o una gama de
mquinas de la red interior o el exterior. En este paso, los ordenadores de la red externa slo
pueden utilizar SSH para comunicarse con el ASA. Sesiones SSH se pueden usar para
acceder a la ASA de la red interior.
a. Generar un par de claves RSA, que se requiere para apoyar las conexiones SSH. Debido a
que el dispositivo de ASA tiene las claves RSA ya en el lugar, sin entrar cuando se le
solicite para reemplazarlos.
b. Configure el ASA para permitir conexiones SSH desde cualquier host de la red interior
(192.168.1.0/24) y desde el host de administracin remota en la sucursal (172.16.3.3) en la
red exterior. Ajuste el tiempo de espera de SSH a 10 minutos (el valor predeterminado es
de 5 minutos).
CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
a. Configure VLAN DMZ 3, que es donde el servidor web de acceso pblico residir. Le
asignar la direccin IP 192.168.2.1/24, el nombre de DMZ, y asignarle un nivel de
seguridad de los 70. Debido a que el servidor no necesita iniciar la comunicacin con los
usuarios en el interior, para desactivar el reenvo de la interfaz VLAN 1.
CCNAS-ASA(config-if)# security-level 70
1) Usar el comando show interface ip brief para mostrar el estado de todas las interfaces
ASA.
2) Utilice el comando show ip address para mostrar la informacin de las interfaces VLAN
de capa 3.
3) Utilice el comando show switch vlan para visualizar el interior y fuera de las VLAN
configurada en el ASA y para mostrar los puertos asignados.
Paso 2: Configurar NAT esttica para el servidor DMZ utilizando un objeto de red.
Configurar un objeto de red con nombre dmz-server y asignarle la direccin IP esttica del
servidor DMZ (192.168.2.3). Mientras que en el modo de definicin de objeto, utilice
el comando nat para especificar que este objeto se utiliza para traducir una direccin DMZ a
una direccin fuera de uso de NAT esttica, y especifique una direccin traducida pblica de
209.165.200.227.
CCNAS-ASA(config-network-object)# exit
Paso 3: Configurar una ACL para permitir el acceso al servidor DMZ desde Internet.
Configurar una lista de acceso nombrada OUTSIDE-DMZ que permite el protocolo TCP en el
puerto 80 desde cualquier host externo a la direccin IP interna del servidor DMZ. Aplicar la
lista de acceso a la interfaz fuera de ASA en la direccin "IN".
Nota: A diferencia de IOS ACL, la declaracin de permiso ASA ACL debe permitir el acceso a
la direccin DMZ privada interna. Hosts externos acceden al servidor utilizando su direccin
NAT esttica pblica, el ASA se traduce a la direccin IP del host interno, y luego se aplica la
ACL.
En el momento de crear esta actividad de Packet Tracer, la posibilidad de probar con xito el
acceso externo al servidor web DMZ no estaba en su lugar; Por lo tanto, no se requiere la
prueba con xito.
Su porcentaje de finalizacin debe ser del 100%. Haga clic en Verificar resultados para ver
informacin y verificacin de qu componentes requeridos se han completado.