Packet Tracer

Configuracin de los parmetros bsicos de ASA y

firewall utilizando la CLI

Tabla de direccionamiento IP

objetivos

Verificar la conectividad y explorar la ASA

Configurar las opciones de ASA bsicas y niveles de seguridad de la interfaz utilizando CLI

Configurar el enrutamiento, traduccin de direcciones, y la poltica de inspeccin a travs del

CLI

Configurar DHCP, AAA, y SSH

Configurar una DMZ, NAT esttica, y ACL

Guin

Su empresa tiene un lugar conectado a un ISP. R1 representa un dispositivo CPE gestionado

por el ISP. R2 representa un enrutador intermedio Internet. R3 representa un ISP que conecta
un administrador de una empresa de gestin de la red, que ha sido contratado para administrar
remotamente su red. El ASA es un dispositivo de seguridad CPE borde que conecta la red
corporativa interna y DMZ al ISP mientras que proporciona servicios de NAT y DHCP para
hosts internos. El ASA se configurar para la gestin de un administrador de la red interna y
por el administrador remoto interfaces de Capa 3 VLAN proporcionan acceso a las tres reas
creadas en la actividad:. En el interior, el exterior, y DMZ. El ISP le asigna el espacio de
direcciones IP pblicas de 209.165.200.224/29, que ser utilizado para la traduccin de
direcciones en el ASA.

Todos los dispositivos router y el switch se han configurado previamente con lo siguiente:

o Permitir contrasea: ciscoenpa55

o la contrasea de la consola: ciscoconpa55

o nombre de usuario y la contrasea del administrador: admin / adminpa55

Nota: Esta actividad de Packet Tracer no es un sustituto de los laboratorios de ASA. Esta
actividad proporciona prctica adicional y simula la mayora de las configuraciones de ASA
5505. En comparacin con un verdadero ASA 5505, puede haber ligeras diferencias en la
salida del comando o comandos que an no estn soportadas en el Packet Tracer.

Parte 1: Verificar la conectividad y explorar el ASA

Nota: Esta actividad de Packet Tracer se inicia con el 20% de los elementos de evaluacin
marcado como completa. Esto es para asegurar que no se cambia inadvertidamente algunos
valores por defecto ASA. Por ejemplo, el nombre predeterminado de la interfaz interna es
"dentro" y no debe ser cambiado. Haga clic en Verificar resultados para ver qu elementos
de evaluacin ya se puntan como correcta.

Paso 1: Verificar la conectividad.

El ASA no est configurado actualmente. Sin embargo, todos los enrutadores, PC y el servidor
DMZ estn configurados. Verificar que el PC-C puede hacer ping a cualquier interfaz del
router. PC-C no puede hacer ping a la ASA, PC-B, o el servidor DMZ.

Paso 2: Determinar la versin de ASA, interfaces y licencia.

Utilice el comando show version para determinar diversos aspectos de este dispositivo ASA.

Paso 3: Determinar el sistema de archivos y contenido de la memoria flash.

 a. Entre en el modo EXEC privilegiado. Una contrasea no se ha
establecido. Pulse Aceptar cuando se le pida una contrasea.

b. Utilice el comando show file system para mostrar el sistema de archivos ASA y determinar
cules son los prefijos que son compatibles.

. c Utilice el show flash: o show dosk0: comando para mostrar el contenido de la memoria
flash.

Parte 2: Configuracin de los parmetros ASA y seguridad de

interfaz CLI
Consejo: Muchos de los comandos de la CLI ASA son similares, si no iguales, como los que
se utilizan con la CLI de Cisco IOS. Adems, el proceso de mover entre los modos de
configuracin y submodos es esencialmente el mismo.

Paso 1: Configurar el nombre de host y de dominio.

a. Configure el nombre de host ASA como CCNAs-ASA.

b. Configure el nombre de dominio como ccnasecurity.com.

Paso 2: Configurar la contrasea del modo de Enable.

Utilice el comando enable password para cambiar la contrasea del modo EXEC privilegiado
para ciscoenpa55.

Paso 3: Ajuste la fecha y la hora.

Usar el clock set comandos para configurar manualmente la fecha y la hora (este paso no se
ha marcado).

Paso 4: Configurar el interior y las interfaces externas.

Slo se configure la VLAN 1 (interior) y 2 interfaces VLAN (fuera) en este momento. La interfaz
VLAN 3 (DMZ) se configurar en la parte 5 de la actividad.

a. Configure una interfaz VLAN 1 lgico para la red interior (192.168.1.0/24) y establecer el
nivel de seguridad ms alto que el valor de 100.

CCNAs-ASA (config) # interface vlan 1

CCNAs-ASA (config-if) # nameif inside

CCNAs-ASA (config-if) # ip address 192.168.1.1 255.255.255.0

 CCNAs-ASA (config-if) # security-level 100

b. Crear una interfaz lgica VLAN 2 para la red externa (209.165.200.224/29), establezca el
nivel de seguridad en la posicin ms baja de 0, y activar la interfaz de VLAN 2.

CCNAs-ASA (config-if) # interface vlan 2

CCNAs-ASA (config-if) # nameif outside

CCNAs-ASA (config-if) # ip address209.165.200.226 255.255.255.248

CCNAs-ASA (config-if) # security-level 0

. c Utilice la siguiente verificacin de comandos para ver sus configuraciones:

1) Usar el comando show interface ip brief para mostrar el estado de todas las
interfaces ASA

Nota: Este comando es diferente del comando show ip interface brief IOS. Si
cualesquiera de las interfaces fsicos o lgicos configurados previamente no son up/up
resuelva el problema segn sea necesario antes de continuar.

Consejo: La mayora de los comandos ASA show, incluyendo ping, copy, y otros,
pueden ser emitidos desde cualquier indicador del modo de configuracin sin DO

el comando.

2) Utilice show ip address el comando para mostrar la informacin de las interfaces VLAN
de capa 3.

3) Utilice show switch vlan comando para visualizar el interior y fuera de las VLAN
configurada en el ASA y para mostrar los puertos asignados.

Paso 5: Probar la conectividad a la ASA.

a. Usted debe poder hacer ping desde la PC-B a la direccin de la interfaz dentro de ASA
(192.168.1.1). Si los pings fallan, solucionar problemas de la configuracin segn sea
necesario.

b. De PC-B, de ping interfaz de la VLAN 2 (exterior) en la direccin IP 209.165.200.226. Usted

no debe poder hacer ping esta direccin.

Parte 3: Configurar el enrutamiento, traduccin de direcciones, y

Poltica de inspeccin utilizando la CLI
Paso 1: Configurar una ruta esttica por defecto para el ASA.

Configurar una ruta esttica por defecto en el interfaz exterior ASA para que el ASA para llegar
a las redes externas.

a. Crear una ruta por defecto "quad cero" mediante el comando de la route, asociarlo con la
interfaz fuera de ASA, y seale en el R1 G0/0 IP address (209.165.200.225) como el
gateway de ltimo recurso.

CCNAs-ASA (config) # route outside 0.0.0.0 0.0.0.0 209.165.200.225

b. Ejecute el comando show route para verificar la ruta esttica por defecto est en la tabla de
enrutamiento ASA.

c. Compruebe que el ASA puede hacer ping al R1 S0/0/0 IP address 10.1.1.1. Si el ping no
tiene xito, resuelva el problema segn sea necesario.

Paso 2: Configurar el uso de la traduccin de direcciones de red PAT y objetos.

a. Crear objeto de red inside-net y asignar atributos a l utilizando la subnet y

los comandos nat.

CCNAS-ASA(config)# object network inside-net

CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0

CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic

interface

CCNAS-ASA(config-network-object)# end

b. El ASA se divide la configuracin en la parte objeto que define la red a traducir y

los parmetros reales de comando nat. Estos aparecen en dos lugares diferentes en la
configuracin en ejecucin. Mostrar la configuracin del objeto NAT utilizando
el comando show run.

c. De intento PC-B para hacer ping al interfaz G0/0 del R1 en la direccin IP

209.165.200.225. Los pings deben fallar.

d. Emitir el comando show nat en el ASA para ver los xitos traducidos y sin traducir. Ntese
que, del ping desde la PC-B, cuatro fueron traducidos y cuatro no eran. Los pings salientes
(ecos) fueron traducidos y enviados al destino. Las respuestas de eco que regresaban
fueron bloqueadas por la directiva de firewall. Va a configurar la poltica de inspeccin por
defecto para permitir ICMP en el paso 3 de esta parte de la actividad.
Paso 3: Modificacin de la poltica de servicio global predeterminada MPF
inspeccin de aplicaciones.

Para la inspeccin de capa de aplicacin y otras opciones avanzadas, el Cisco MPF est
disponible en los ASA.

El dispositivo Packet Tracer ASA no tiene un mapa de la poltica MPF en su lugar de forma
predeterminada. Como una modificacin, podemos crear el mapa de la poltica por defecto que
llevar a cabo la inspeccin del trfico en el interior-exterior-a. Cuando se configura
correctamente slo el trfico iniciado desde el interior se permite de nuevo a la interfaz
exterior. Usted tendr que aadir a la lista de ICMP inspeccin.

a. Crear la clase-mapa, poltica-mapa, y la poltica-servicio. Aadir la inspeccin de trfico

ICMP a la lista de asignacin de poltica mediante los siguientes comandos:

CCNAS-ASA(config)# class-map inspection_default

CCNAS-ASA(config-cmap)# match default-inspection-traffic

CCNAS-ASA(config-cmap)# exit

CCNAS-ASA(config)# policy-map global_policy

CCNAS-ASA(config-pmap)# class inspection_default

CCNAS-ASA(config-pmap-c)# inspect icmp

CCNAS-ASA(config-pmap-c)# exit

CCNAS-ASA(config)# service-policy global_policy global

b. De PC-B, intento hacer ping al R1 G0/0 interfaz en la IP address 209.165.200.225. Los

pings deben tener xito esta vez porque el trfico ICMP est siendo inspeccionado y se
est permitiendo el retorno de trfico legtimo. Si los pings fallan, solucionar sus
configuraciones.

Parte 4: Configurar DHCP, AAA, y SSH

Paso 1: Configurar el ASA como un servidor DHCP.

a. Configure un conjunto de direcciones DHCP y activarlo en el interior de la interfaz de ASA.

CCNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 inside

b. (Opcional) Especifique la direccin IP del servidor DNS que debe darse a los clientes.

CCNAS-ASA(config)# dhcpd dns 209.165.201.2 interface inside

 c. Activar el demonio DHCP dentro del ASA para escuchar las solicitudes de cliente DHCP en
la interfaz habilitada (en el interior).

CCNAS-ASA(config)# dhcpd enable inside

d. Cambiar PC-B a partir de una direccin IP esttica a un cliente DHCP, y verifique que se
recibe informacin de direccionamiento IP. Solucionar problemas, si es necesario para
resolver cualquier problema.

Paso 2: Configurar AAA a utilizar la base de datos local para la autenticacin.

a. Definir un usuario local llamado admin introduciendo el comando username. Especificar

una contrasea de adminpa55.

CCNAS-ASA(config)# username admin password adminpa55

b. Configurar AAA para utilizar la base de datos local de ASA para la autenticacin de usuario
SSH.

CCNAS-ASA(config)# aaa authentication ssh console LOCAL

Paso 3: Configurar el acceso remoto a la ASA.

El ASA puede estar configurado para aceptar conexiones desde un nico host o una gama de
mquinas de la red interior o el exterior. En este paso, los ordenadores de la red externa slo
pueden utilizar SSH para comunicarse con el ASA. Sesiones SSH se pueden usar para
acceder a la ASA de la red interior.

a. Generar un par de claves RSA, que se requiere para apoyar las conexiones SSH. Debido a
que el dispositivo de ASA tiene las claves RSA ya en el lugar, sin entrar cuando se le
solicite para reemplazarlos.

CCNAS-ASA(config)# crypto key generate rsa modulus 1024

WARNING: You have a RSA keypair already defined named <Default-RSA-

Key>.

De verdad quiere reemplazarlos? [s / no]: no

ERROR: No se ha podido crear nuevas claves RSA con nombre

<Default -RSA-Key>

b. Configure el ASA para permitir conexiones SSH desde cualquier host de la red interior
(192.168.1.0/24) y desde el host de administracin remota en la sucursal (172.16.3.3) en la
red exterior. Ajuste el tiempo de espera de SSH a 10 minutos (el valor predeterminado es
de 5 minutos).
 CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside

CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside

CCNAS-ASA(config)# ssh timeout 10

c. Establecer una sesin SSH de PC-C a la ASA (209.165.200.226). Solucionar problemas si

no se realiza correctamente.

PC> ssh -l admin 209.165.200.226

d. Establecer una sesin SSH de PC-B de la ASA (192.168.1.1). Solucionar problemas si no se

realiza correctamente.

PC> ssh -l admin 192.168.1.1

Parte 5: Configurar una DMZ, NAT esttica, y ACL

R1 G0 / 0 y el interfaz exterior ASA ya utilizan 209.165.200.225 y 0.226, respectivamente. Que

va a utilizar 209.165.200.227 megafona y NAT esttica para proporcionar acceso a la
traduccin de direcciones del servidor.

Paso 1: Configurar la interfaz de VLAN DMZ 3 en el ASA.

a. Configure VLAN DMZ 3, que es donde el servidor web de acceso pblico residir. Le
asignar la direccin IP 192.168.2.1/24, el nombre de DMZ, y asignarle un nivel de
seguridad de los 70. Debido a que el servidor no necesita iniciar la comunicacin con los
usuarios en el interior, para desactivar el reenvo de la interfaz VLAN 1.

CCNAS-ASA(config)# interface vlan 3

CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0

CCNAS-ASA(config-if)# no forward interface vlan 1

CCNAS-ASA(config-if)# nameif dmz

INFO: Security level for "dmz" set to 0 by default.

CCNAS-ASA(config-if)# security-level 70

b. Asignar interfaz fsica ASA E0/2 a 3 VLAN DMZ y activar la interfaz.

CCNAS-ASA(config-if)# interface Ethernet0/2

CCNAS-ASA(config-if)# switchport access vlan 3

 . c Utilice la siguiente verificacin de comandos para ver sus configuraciones:

1) Usar el comando show interface ip brief para mostrar el estado de todas las interfaces
ASA.

2) Utilice el comando show ip address para mostrar la informacin de las interfaces VLAN
de capa 3.

3) Utilice el comando show switch vlan para visualizar el interior y fuera de las VLAN
configurada en el ASA y para mostrar los puertos asignados.

Paso 2: Configurar NAT esttica para el servidor DMZ utilizando un objeto de red.

Configurar un objeto de red con nombre dmz-server y asignarle la direccin IP esttica del
servidor DMZ (192.168.2.3). Mientras que en el modo de definicin de objeto, utilice
el comando nat para especificar que este objeto se utiliza para traducir una direccin DMZ a
una direccin fuera de uso de NAT esttica, y especifique una direccin traducida pblica de
209.165.200.227.

CCNAS-ASA(config)# object network dmz-server

CCNAS-ASA(config-network-object)# host 192.168.2.3

CCNAS-ASA(config-network-object)# nat (dmz,outside) static

209.165.200.227

CCNAS-ASA(config-network-object)# exit

Paso 3: Configurar una ACL para permitir el acceso al servidor DMZ desde Internet.

Configurar una lista de acceso nombrada OUTSIDE-DMZ que permite el protocolo TCP en el
puerto 80 desde cualquier host externo a la direccin IP interna del servidor DMZ. Aplicar la
lista de acceso a la interfaz fuera de ASA en la direccin "IN".

CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit icmp any host

192.168.2.3

CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit tcp any host

192.168.2.3 eq 80
 CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside

Nota: A diferencia de IOS ACL, la declaracin de permiso ASA ACL debe permitir el acceso a
la direccin DMZ privada interna. Hosts externos acceden al servidor utilizando su direccin
NAT esttica pblica, el ASA se traduce a la direccin IP del host interno, y luego se aplica la
ACL.

Paso 4: Prueba de acceso al servidor DMZ.

En el momento de crear esta actividad de Packet Tracer, la posibilidad de probar con xito el
acceso externo al servidor web DMZ no estaba en su lugar; Por lo tanto, no se requiere la
prueba con xito.

Paso 5: Verificar los resultados.

Su porcentaje de finalizacin debe ser del 100%. Haga clic en Verificar resultados para ver
informacin y verificacin de qu componentes requeridos se han completado.