CCNASv1.1 Chp10 Lab-B ASA-FW-ASDM Student - En.es PDF

Seguridad CCNA
Capítulo 10 Práctica de laboratorio B: Configuración de los parámetros básicos de ASA y el firewall mediante
ASDM
Topología
Nota: Los dispositivos ISR G2 tienen interfaces Gigabit Ethernet en lugar de interfaces Fast Ethernet.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 42
Seguridad CCNA
Tabla de direccionamiento IP
Defecto
Dispositivo Interfaz Dirección IP Máscara de subred Puerta Puerto del interruptor
R1 FA0 / 0 209.165.200.225 255.255.255.248 N/A ASA E0 / 0
S0 / 0/0 10.1.1.1 255.255.255.252 N/A N/A

(DCE)
R2 S0 / 0/0 10.1.1.2 255.255.255.252 N/A N/A
S0 / 0/1 10.2.2.2 255.255.255.252 N/A N/A

(DCE)
R3 FA0 / 1 172.16.3.1 255.255.255.0 N/A S3 FA0 / 5
S0 / 0/1 10.2.2.1 255.255.255.252 N/A N/A
COMO UN VLAN 1 192.168.1.1 255.255.255.0 N/A S2 FA0 / 24

(E0 / 1)
COMO UN VLAN 2 209.165.200.226 255.255.255.248 N/A R1 FA0 / 0
(E0 / 0)
COMO UN VLAN 3 192.168.2.1 255.255.255.0 N/A S1 FA0 / 24
(E0 / 2)
PC-A NIC 192.168.2.3 255.255.255.0 192.168.2.1 S1 FA0 / 6
NIC IMPRESO
TARJETA DE CIRCUITO 192.168.1.3 255.255.255.0 192.168.1.1 S2 FA0 / 18
PC-C NIC 172.16.3.3 255.255.255.0 172.16.3.1 S3 FA0 / 18
Objetivos
Parte 1: Configuración del laboratorio
• Cablee la red como se muestra en la topología.
• Configure nombres de host y direcciones IP de interfaz para enrutadores, conmutadores y PC.
• Configure el enrutamiento estático, incluidas las rutas predeterminadas, entre R1, R2 y R3.
• Configure el acceso HTTP y Telnet para R1.
• Verifique la conectividad entre hosts, conmutadores y enrutadores.
Parte 2: Acceso a la consola ASA y al ASDM
• Acceda a la consola ASA y vea el hardware, el software y los ajustes de configuración.
• Borrar los ajustes de configuración anteriores.
• Utilice CLI para configurar los ajustes para el acceso a ASDM.
• Pruebe la conectividad de Ethernet al ASA.
• Acceda a la GUI de ASDM y explore las principales ventanas y opciones.
Parte 3: Configurar los parámetros de ASA y el firewall mediante el asistente de inicio de ASDM
• Configure el nombre de host, el nombre de dominio y habilite la contraseña.
• Configure las interfaces VLAN internas y externas.
• Configure DHCP para la red interna.
• Configure la traducción de la dirección de puerto (PAT) para la red interna.
• Configure el acceso administrativo Telnet y SSH.
Parte 4: Configurar las configuraciones de ASA desde el menú de configuración de ASDM
Seguridad CCNA
• Configure la fecha y la hora.
• Configure una ruta predeterminada estática para el ASA.
• Pruebe la conectividad mediante ASDM Ping y Traceroute. Configure la
• autenticación de usuario AAA local.
• Modificar la política de inspección de aplicaciones MPF.
Parte 5: Configuración de DMZ, NAT estática y ACL
• Configure NAT estática para el servidor DMZ.
• Configure una ACL en el ASA para permitir el acceso a la DMZ para los usuarios de Internet.
• Verificar el acceso al servidor DMZ para usuarios internos y externos.
• Utilice ASDM Monitor para graficar el tráfico.
Antecedentes / Escenario
Cisco Adaptive Security Appliance (ASA) es un dispositivo de seguridad de red avanzado que integra un firewall completo, así como VPN y otras
capacidades. Este laboratorio emplea un ASA 5505 para crear un firewall y proteger una red corporativa interna de intrusos externos al tiempo que
permite que los hosts internos accedan a Internet. El ASA crea tres interfaces de seguridad: exterior, interior y DMZ. Proporciona a los usuarios externos
acceso limitado a la DMZ y ningún acceso a los recursos internos. Los usuarios internos pueden acceder a la DMZ y a los recursos externos.
El enfoque de este laboratorio está en la configuración del ASA como firewall básico. Otros dispositivos recibirán una configuración mínima para admitir la parte ASA del
laboratorio. En esta práctica de laboratorio, se utiliza la interfaz ASA GUI ASDM, que es similar a SDM y CCP que se utilizan con los ISR de Cisco, para configurar el
dispositivo básico y las configuraciones de seguridad.
En la parte 1 de la práctica de laboratorio, configurará la topología y los dispositivos que no son ASA. En la Parte 2, preparará el ASA para el acceso ADSM.
En la parte 3 utilizará el ASDM Asistente de inicio para configurar las configuraciones básicas de ASA y el cortafuegos entre las redes internas y externas. En
la Parte 4, configurará ajustes adicionales a través del menú de configuración de ASDM. En la parte 5, configurará una DMZ en el ASA y proporcionará acceso
a un servidor en la DMZ.
Su empresa tiene una ubicación conectada a un ISP. El enrutador R1 representa un dispositivo CPE administrado por el ISP. El enrutador R2
representa un enrutador de Internet intermedio. El enrutador R3 conecta a un administrador de una empresa de administración de red, que ha sido
contratado para administrar su red de forma remota. El ASA es un dispositivo de seguridad CPE de borde que conecta la red corporativa interna y
DMZ al ISP mientras proporciona servicios NAT y DHCP a los hosts internos. El ASA será configurado para su administración por un administrador
en la red interna, así como por el administrador remoto. Las interfaces de VLAN de capa 3 brindan acceso a las tres áreas creadas en el laboratorio:
interior, exterior y DMZ. El ISP ha asignado el espacio de direcciones IP públicas de
209.165.200.224/29, que se utilizará para la traducción de direcciones en el ASA.
Nota: Los routers que se utilizan en esta práctica de laboratorio son Cisco 1841 con Cisco IOS versión 12.4 (20) T (imagen de IP avanzada). Los switches son Cisco
WS-C2960-24TT-L con Cisco IOS versión 12.2 (46) SE (imagen C2960-LANBASEK9-M). Se pueden utilizar otros enrutadores, conmutadores y versiones de Cisco
IOS. Sin embargo, los resultados y la producción pueden variar.
El uso de ASA en esta práctica de laboratorio es un modelo 5505 de Cisco con un conmutador integrado de 8 puertos, que ejecuta la versión 8.4 (2) del sistema operativo y la
versión 6.4 (5) de ASDM y viene con una licencia básica que permite un máximo de tres VLAN.
Nota: Asegúrese de que los enrutadores y conmutadores se hayan borrado y no tengan configuraciones de inicio.
Recursos necesarios
• 3 enrutadores (Cisco 1841 con Cisco IOS versión 12.4 (20) T1 o comparable) 3 conmutadores (Cisco
• 2960 o comparable)
• 1 ASA 5505 (versión de SO 8.4 (2) y ASDM versión 6.4 (5) y licencia base o comparable)
Seguridad CCNA
• PC-A: Windows XP, Vista o Windows 7 con CCP, cliente PuTTy SSH (servidor web y FTP opcional)
• PC-B: Windows XP, Vista o Windows 7 con cliente PuTTy SSH y Java versión 6.xo superior (ASDM cargado en la PC es opcional)
• PC-C: Windows XP, Vista o Windows 7 con CCP, cliente PuTTy SSH Serial y cables Ethernet
• como se muestra en la topología
• Rollover cables para configurar los routers y ASA a través de la consola
Parte 1: Configuración básica de enrutador / conmutador / PC
En la Parte 1 de esta práctica de laboratorio, configurará la topología de la red y configurará los parámetros básicos en los enrutadores, como las direcciones IP de la interfaz y el
enrutamiento estático.
Nota: No configure ninguna configuración ASA en este momento.
Paso 1: Cablee la red y borre la configuración anterior del dispositivo.
Conecte los dispositivos que se muestran en el diagrama de topología y conecte los cables según sea necesario. Asegúrese de que los enrutadores y
conmutadores se hayan borrado y no tengan configuraciones de inicio.
Paso 2: Configure los ajustes básicos para enrutadores y conmutadores.
a. Configure los nombres de host como se muestra en la topología de cada enrutador.
segundo. Configure las direcciones IP de la interfaz del enrutador como se muestra en la Tabla de direcciones IP.
C. Configure una frecuencia de reloj para los enrutadores con un cable serie DCE conectado a la interfaz serie. El router R1 se muestra aquí como
ejemplo.
R1 (configuración) # interfaz S0 / 0/0

R1 (config-if) # frecuencia de reloj 64000
re. Configure el nombre de host para los conmutadores. Con la excepción del nombre de host, los conmutadores se pueden dejar en su estado de configuración
predeterminado. La configuración de la dirección IP de administración de VLAN para los conmutadores es opcional.
Paso 3: configurar el enrutamiento estático en los enrutadores.
a. Configure una ruta predeterminada estática de R1 a R2 y de R3 a R2.
R1 (configuración) # ruta ip 0.0.0.0 0.0.0.0 Serial0 / 0/0

segundo. Configure una ruta estática desde R2 a la subred R1 Fa0 / 0 (conectada a la interfaz ASA E0 / 0) y una ruta estática desde R2 a la
LAN de R3.
R2 (configuración) # ruta IP 209.165.200.224 255.255.255.248 Serial0 / 0/0

Paso 4: habilite el servidor HTTP en R1 y configure las contraseñas enable y vty.
a. Habilite el acceso HTTP a R1 usando el servidor http ip comando en modo de configuración global. Configurar
una contraseña de habilitación de clase. También configure las contraseñas de VTY y de la consola en cisco. Esto proporcionará destinos web y Telnet para realizar pruebas
más adelante en el laboratorio.
R1 (configuración) # servidor http ip

R1 (configuración) # habilitar la clase de contraseña
Seguridad CCNA
R1 (configuración) # línea vty 0 4

R1 (config-line) # contraseña cisco
R1 (config-line) # iniciar sesión
R1 (configuración) # línea con 0

R1 (config-line) # contraseña cisco
R1 (config-line) # iniciar sesión
Paso 5: Configure los ajustes de IP del host de la PC.
Configure una dirección IP estática, una máscara de subred y una puerta de enlace predeterminada para PC-A, PC-B y PC-C como se muestra en la Tabla de direcciones IP.
Paso 6: verificar la conectividad.
Debido a que el ASA es el punto focal de las zonas de red y aún no se ha configurado, no habrá conectividad entre los dispositivos que estén
conectados a él. Sin embargo, la PC-C debería poder hacer ping a la interfaz R1 Fa0 / 0. Desde PC-C, silbido la dirección IP R1 Fa0 / 0
(209.165.200.225). Si estos pings no funcionan, solucione los problemas de las configuraciones básicas del dispositivo antes de continuar.
Nota: Si puede hacer ping desde la PC-C a R1 Fa0 / 0 y S0 / 0/0, ha demostrado que el enrutamiento estático está configurado y funcionando
correctamente.
Paso 7: guarde la configuración básica en ejecución para cada enrutador y conmutador.
Parte 2: Acceso a la consola ASA y al ASDM

En la parte 2 de esta práctica de laboratorio, accederá al ASA a través de la consola y utilizará varios show comandos para determinar el hardware, el software
y los ajustes de configuración. Preparará el ASA para el acceso a ASDM y explorará algunas de las pantallas y opciones de ASDM.
Paso 1: acceda a la consola ASA.
a. Acceder al ASA a través del puerto de la consola es lo mismo que con un enrutador o conmutador Cisco. Conéctese al puerto de la consola ASA con un
cable de rollover.
Utilice
segundo. un programa de emulación de terminal como TeraTerm o HyperTerminal para acceder a la CLI. Utilice la configuración del puerto serie de
9600 baudios, ocho bits de datos, sin paridad, un bit de parada y sin control de flujo.
C. Si se le solicita que ingrese a la configuración del firewall interactivo (modo de configuración), responda No.
re. Ingrese al modo privilegiado con el habilitar comando y contraseña (si está configurada). De forma predeterminada, la contraseña está en blanco, por lo que
puede presionar Enter. Si la contraseña se cambió a la especificada en esta práctica de laboratorio, ingrese la contraseña clase. El nombre de host ASA y el
indicador predeterminados son ciscoasa>.
ciscoasa> habilitar
Contraseña: clase ( o presione Entrar si no se establece ninguna contraseña)
Paso 2: Determine la versión, las interfaces y la licencia de ASA.
El ASA 5505 viene con un conmutador Ethernet de 8 puertos integrado. Los puertos E0 / 0 a E0 / 5 son puertos Fast Ethernet normales y
los puertos E0 / 6 y E0 / 7 son puertos PoE para usar con dispositivos PoE como teléfonos IP o cámaras de red.
Utilizar el mostrar versión comando para determinar varios aspectos de este dispositivo ASA.
ciscoasa # mostrar versión
Seguridad CCNA
Cisco Adaptive Security Appliance Software Versión 8.4 (2) Device Manager Versión 6.4 (5)
Compilado el miércoles 15 de junio de 2011 a las 18:17 por los constructores El

archivo de imagen del sistema es "disk0: /asa842-k8.bin" El archivo de configuración
en el arranque era "startup-config"
ciscoasa hasta 23 horas 0 minutos
Hardware: ASA5505, 512 MB de RAM, CPU Geode 500 MHz

Flash compacto ATA interno, 128 MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB
Dispositivo de hardware de cifrado: Acelerador integrado Cisco ASA-5505 (revisión 0x0)

Microcódigo de arranque : CN1000-MC-BOOT-2.00
Microcódigo SSL / IKE : CNLite-MC-SSLm-PLUS-2.03
Microcódigo IPSec : CNlite-MC-IPSECm-MAIN-2.06
Número de aceleradores: 1
0: Int: Internal-Data0 / 0 : la dirección es 0007.7dbf.5645, irq 11: la dirección es

1: Ext: Ethernet0 / 0 0007.7dbf.563d, irq 255: la dirección es 0007.7dbf.563e, irq
2: Ext .: Ethernet0 / 1 255
<salida omitida>
¿Qué versión de software está ejecutando este ASA? _____________________________________________
¿Cuál es el nombre del archivo de imagen del sistema y desde dónde se cargó?
________________________________________________________________________________
El ASA se puede administrar usando una GUI incorporada conocida como Adaptive Security Device Manager (ASDM). ¿Qué versión de
ASDM está ejecutando este ASA? _____________________________________
¿Cuánta RAM tiene este ASA? _________________________________________________ ¿Cuánta memoria flash tiene este ASA?
__________________________________________ ¿Cuántos puertos Ethernet tiene este ASA? __________________________________________
¿Qué tipo de licencia tiene este ASA? ______________________________________________ ¿Cuántas VLAN se pueden crear con esta
licencia? ______________________________________
Paso 3: Determine el sistema de archivos y el contenido de la memoria flash.
a. Visualice el sistema de archivos ASA utilizando el mostrar sistema de archivos comando para determinar qué prefijos son
soportado.
ciscoasa # mostrar sistema de archivos
Sistemas de archivos:
Tamaño (b) Libre (b) Tipo Banderas Prefijos

* 128573440 55664640 disco rw disk0: flash:
- - red rw tftp:
- - opaco rw sistema:
- - red ro http:
- - red ro https:
- - red rw ftp:
- - red rw smb:
¿Cuál es otro nombre para flash? _______
Seguridad CCNA
segundo. Visualice el contenido de la memoria flash usando uno de estos comandos: mostrar flash, mostrar disk0,
dir flash: o dir disk0:
ciscoasa # mostrar flash:

--#-- - - longitud-- - - - - - fecha y hora------ camino
168 25159680 29 de agosto de 2011 13:00:52 29 de asa842-k8.bin
122 0 agosto de 2011 13:09:32 29 de agosto nat_ident_migrate
13 2048 de 2011 13:02:14 29 de agosto de 2011 coredumpinfo
14 59 13:02:14 29 de agosto de 2011 coredumpinfo / coredump.cfg
169 16280544 13:02:58 29 de agosto de 2011 asdm-645.bin
3 2048 13:04:42 29 de agosto 2011 13:05:00 Iniciar sesión
6 2048 01 de enero de 1980 00:00:00 01 de cripto_archivo
171 34816 enero de 1980 00:00:00 29 de agosto FSCK0000.REC
173 36864 de 2011 13:09:22 29 de agosto de 2011 FSCK0001.REC
174 12998641 13:09:24 29 de agosto de 2011 csd_3.5.2008-k9.pkg
175 2048 13:09:24 29 de agosto de 2011 13 : 09: sdesktop
211 0 26, 29 de agosto de 2011 13:09:30, 29 sdesktop / data.xml
176 6487517 de agosto de 2011 13:09:32 anyconnect-macosx-i386-2.5.2014-k9.pkg
177 6689498 anyconnect-linux-2.5.2014-k9.pkg
178 4678691 anyconnect-win-2.5.2014-k9.pkg
<salida omitida>
¿Cuál es el nombre del archivo ASDM en flash :? _________________
Paso 4: determinar la configuración actual en ejecución.
El ASA puede configurarse con la configuración predeterminada de fábrica o puede tener una configuración restante de un laboratorio anterior. La
configuración de fábrica predeterminada para el ASA 5505 incluye lo siguiente:
• Se configura una interfaz VLAN 1 interna y, de forma predeterminada, se le asignan puertos de conmutador Ethernet 0/1 a 0/7. La
dirección IP y la máscara de la VLAN 1 son 192.168.1.1 y 255.255.255.0.
• Se configura una interfaz VLAN 2 externa que incluye el puerto del conmutador Ethernet 0/0. De forma predeterminada, la VLAN 2 deriva su dirección IP del
dispositivo ascendente (generalmente el ISP) mediante DHCP.
• La ruta predeterminada también se deriva de la puerta de enlace predeterminada DHCP ascendente.
• Todas las direcciones IP internas se traducen al acceder a la interfaz externa mediante PAT en la interfaz VLAN 2.
• De forma predeterminada, una lista de acceso permite que los usuarios internos accedan al exterior, y los usuarios externos no pueden acceder al interior.
• El servidor DHCP está habilitado en el dispositivo de seguridad. Por lo tanto, una PC que se conecta a cualquier interfaz VLAN 1 recibe
una dirección entre 192.168.1.5 y 192.168.1.36 (licencia básica).
• El servidor HTTP está habilitado para ASDM y es accesible para los usuarios en la red 192.168.1.0/24. No se requieren contraseñas de
• consola o habilitación y el nombre de host predeterminado es ciscoasa.
Nota: En esta práctica de laboratorio, utilizará ASDM para configurar ajustes similares a los enumerados anteriormente, así como algunos adicionales.
a. Visualice la configuración actual en ejecución usando el muestre running-config mando.
ciscoasa # muestre running-config

: Salvado
:
Versión de ASA 8.4 (2)
!
nombre de host ciscoasa
habilitar contraseña 8Ry2YjIyt7RRXU24 contraseña cifrada wd
2KFQnbNIdI.2KYOU cifrada
Seguridad CCNA
nombres
!
interfaz Ethernet0 / 0
switchport acceso vlan 2
!
!
<salida omitida>
Nota: Para detener la salida de un comando usando la CLI, presione la letra Q.
Si ve las VLAN 1 y 2 configuradas y otras configuraciones como se describió anteriormente, lo más probable es que el dispositivo esté configurado
con la configuración predeterminada de fábrica. También puede ver otras características de seguridad, como una política global que inspecciona el
tráfico de aplicaciones seleccionadas, que el ASA inserta de manera predeterminada, si se borró la configuración de inicio original. La salida real
variará según el modelo de ASA, la versión y el estado de configuración.
Paso 5: borre los ajustes de configuración anteriores de ASA.
a. Utilizar el escribir borrar comando para eliminar el configuración de inicio archivo de la memoria flash.
ciscoasa # escribir borrar

¿Borrar configuración en memoria flash? [confirmar] [Aceptar]
ciscoasa #
ciscoasa # mostrar inicio

Sin configuración
Nota: El comando de IOS borrar configuración de inicio no es compatible con ASA.
segundo. Utilizar el recargar comando para reiniciar el ASA.
ciscoasa # recargar
¿Continuar con la recarga? [confirmar] <enter> ciscoasa #
***
* * * - - - INICIAR APAGADO GRACÍFICO --Apagar isakmp
Apagando el sistema de archivos

***
* * * - - - APAGADO AHORA ---
Cierre del proceso finalizado
Reiniciando .....
SISTEMAS CISCO
BIOS integrado Versión 1.0 (12) 13 28/08/08 15: 50: 37.45 <salida omitida>
Paso 6: Omita el modo de configuración y configure las interfaces VLAN de ASDM.
Cuando el ASA completa el proceso de recarga, debe detectar que el configuración de inicio Falta el archivo y presenta una serie de
mensajes interactivos para configurar los ajustes básicos de ASA. Si no aparece en este modo, repita el paso 5.
a. Cuando se le solicite que preconfigure el firewall a través de mensajes interactivos (modo de configuración), responda con " No "
Preconfigure el Firewall ahora mediante mensajes interactivos [sí]? No
segundo. Ingrese al modo EXEC privilegiado con el habilitar mando. La contraseña debe estar en blanco (no
contraseña) en este punto.
Seguridad CCNA
C. Ingrese al modo de configuración global usando el comando config t. La primera vez que ingrese al modo de configuración después de
recargar, se le preguntará si desea habilitar los informes anónimos. Responder con " No ”.
re. Configure la interfaz interior VLAN 1 para prepararse para el acceso ASDM. El nivel de seguridad debe establecerse automáticamente
en el nivel más alto de 100. La PC-B utilizará la interfaz lógica VLAN 1 para acceder al ASDM en la interfaz física ASA E0 / 1.
ciscoasa (config) # interfaz vlan 1

ciscoasa (config-if) # nombre si dentro
INFO: Nivel de seguridad para "interior" establecido en 100 de forma predeterminada. ciscoasa (config-if) # dirección
IP 192.168.1.1 255.255.255.0
ciscoasa (config-if) # salida
La PC-B está conectada al switch S2 que está conectado al puerto ASA E0 / 1. ¿Por qué no es necesario agregar la interfaz física E0 / 1 a
esta VLAN? __________________________________________________
Notas de la interfaz ASA 5505:

El 5505 es diferente de los otros modelos ASA de la serie 5500. Con otros ASA, al puerto físico se le puede asignar una dirección IP de Capa 3
directamente, al igual que un enrutador Cisco. Con el ASA 5505, los ocho puertos de conmutador integrados son puertos de capa 2. Para asignar
parámetros de Capa 3, debe crear una interfaz virtual de conmutador (SVI) o una interfaz VLAN lógica y luego asignarle uno o más de los puertos
físicos de Capa 2.
mi. Por defecto, todas las interfaces físicas ASA son administrativamente abajo, a menos que la utilidad de configuración haya sido
ejecutar o se han restablecido los valores predeterminados de fábrica. Debido a que no se ha habilitado ninguna interfaz física en la VLAN 1, el estado de la
VLAN 1 es inactivo / inactivo. Utilizar el muestre el resumen del IP de la interfaz comando para verificar esto.
ciscoasa (config) # muestre el resumen del IP de la interfaz

Interfaz Dirección IP ¿De acuerdo? Estado del método Protocolo
Ethernet0 / 0 no asignado SÍ desarmar administrativamente abajo arriba SÍ desarmar
Ethernet0 / 1 no asignado administrativamente abajo arriba SÍ desarmar
Ethernet0 / 4 no asignado administrativamente abajo SÍ desarmar administrativamente
Ethernet0 / 5 no asignado abajo SÍ desarmar administrativamente abajo SÍ desarmar
Ethernet0 / 6 no asignado administrativamente abajo SÍ desarmar arriba
Ethernet0 / 7 no asignado
Internal-Data0 / 0 sin asignar arriba
Internal-Data0 / 1 sin asignar SÍ desarmado arriba
Vlan1 192.168.1.1 SÍ manual abajo abajo
Virtual0 127.0.0.1 SÍ desarmado arriba
F. Habilite la interfaz E0 / 1 usando el no apagarse comando y verifique el E0 / 1 y VLAN 1

estado de la interfaz. El estado y el protocolo para la interfaz E0 / 1 y VLAN 1 deben estar activos / activos.
ciscoasa (config) # interfaz e0 / 1

ciscoasa (config-if) # no cierra
ciscoasa (config) # muestre el resumen del IP de la interfaz

Interfaz Dirección IP ¿De acuerdo? Estado del método Protocolo
Ethernet0 / 0 no asignado SÍ desarmado administrativamente abajo arriba SÍ
Ethernet0 / 1 no asignado desarmado arriba
Ethernet0 / 2 no asignado SÍ desarmar administrativamente abajo arriba SÍ desarmar
Ethernet0 / 4 no asignado administrativamente abajo abajo SÍ desarmar
Ethernet0 / 7 no asignado administrativamente abajo abajo
Seguridad CCNA

Vlan1 192.168.1.1 SÍ manual arriba arriba
Virtual0 127.0.0.1 SÍ desarmado arriba
gramo. También preconfigure la interfaz externa VLAN 2, agregue la interfaz física E0 / 0 a la VLAN 2 y active la interfaz E0 / 0. Asignará la
dirección IP mediante ASDM.
ciscoasa (config) # interfaz vlan 2

ciscoasa (config-if) # nameif afuera
INFO: Nivel de seguridad para "exterior" establecido en 0 de forma predeterminada.
ciscoasa (config-if) # interfaz e0 / 0

ciscoasa (config-if) # switchport acceso vlan 2
ciscoasa (config-if) # no cierra
h. Pruebe la conectividad al ASA haciendo ping de la PC-B a la dirección IP 192.168.1.1 de la VLAN 1 de la interfaz ASA. Los pings deberían tener
éxito.
Paso 7: Configure el ASDM y verifique el acceso al ASA.
a. Configure el ASA para aceptar conexiones HTTPS usando el http comando para permitir el acceso a ASDM
desde cualquier host de la red interna 192.168.1.0/24.
ciscoasa (config) # habilitar servidor http

ciscoasa (config) # http 192.168.1.0 255.255.255.0 dentro
segundo. Abra un navegador en la PC-B y pruebe el acceso HTTPS al ASA ingresando https://192.168.1.1 .
Nota: Asegúrese de especificar el protocolo HTTPS en la URL.
Paso 8: Acceda a ASDM y explore la GUI.
a. Después de ingresar la URL anterior, debería ver una advertencia de seguridad sobre el certificado de seguridad del sitio web. Hacer clic Continúe en este
sitio web. Aparecerá la página de bienvenida de ASDM. Desde esta pantalla, puede ejecutar ASDM como una aplicación local en la PC (instala ASDM
en la PC), ejecutar ASDM como un subprograma Java basado en navegador directamente desde ASA o ejecutar el Asistente de inicio.
Seguridad CCNA
segundo. Haga clic en el Ejecutar ASDM botón.
C. Hacer clic si para cualquier otra advertencia de seguridad. Deberías ver el Lanzador Cisco ASDM-IDM diálogo
cuadro donde puede ingresar un nombre de usuario y contraseña. Deje estos campos en blanco, ya que aún no se han configurado.
Seguridad CCNA
re. Hacer clic Okay continuar. ASDM cargará la configuración actual en la GUI.
mi. Se muestra la pantalla GUI inicial con varias áreas y opciones. El menú principal en la parte superior izquierda de la pantalla contiene tres
secciones principales; Inicio, Configuración y Monitoreo. La sección Inicio es la predeterminada y tiene dos paneles: Dispositivo y
Cortafuegos. El tablero del dispositivo es la pantalla predeterminada y muestra información del dispositivo como el tipo (ASA 5505), la versión
de ASA y ASDM, la cantidad de memoria y el modo de firewall (enrutado). Hay cinco áreas en el Panel de dispositivos.
• Información del dispositivo
• Estado de la interfaz
• Sesiones VPN
• Estado de los recursos del sistema
• Estado del tráfico
Seguridad CCNA
F. Haga clic en el Configuración y Vigilancia pestañas para familiarizarse con su diseño y ver qué
Hay opciones disponibles.
Seguridad CCNA
Parte 3: Configurar los parámetros básicos de ASA y el cortafuegos mediante el asistente de inicio de ASDM.
Paso 1: acceda al menú Configuración e inicie el asistente de inicio.
a. Haga clic en el Configuración en la parte superior izquierda de la pantalla. Hay cinco áreas principales de configuración:
• Configuración de dispositivo
• Cortafuegos
• VPN de acceso remoto
• VPN de sitio a sitio
• Gestión de dispositivos
El asistente de inicio de configuración del dispositivo es la primera opción disponible y se muestra de forma predeterminada. Lea el texto en pantalla que
segundo.
describe el asistente de inicio y luego haga clic en el Iniciar el asistente de inicio botón.
Paso 2: Configure el nombre de host, el nombre de dominio y habilite la contraseña.
a. En la primera pantalla del Asistente de inicio, tiene la opción de modificar la configuración existente o restablecer el ASA a los valores predeterminados
de fábrica. Con el Modificar la configuración existente opción seleccionada, haga clic en próximo continuar.
En la pantalla del paso 2 del asistente de inicio, configure el nombre de host ASA CCNAS-ASA y nombre de dominio de ccnasecurity.com. Haga clic en la
segundo.
casilla de verificación para cambiar la contraseña del modo de habilitación y cámbiela de blanco (sin contraseña) a clase e ingréselo nuevamente para
confirmar. Cuando se completen las entradas, haga clic en próximo continuar.
Seguridad CCNA
Paso 3: configurar las interfaces VLAN internas y externas.
a. En la pantalla del Paso 3 del Asistente de inicio: Selección de interfaz, para las VLAN externas e internas, no cambie la configuración
actual porque se definieron previamente mediante la CLI. La VLAN interna se denomina dentro y el nivel de seguridad se establece en 100
(el más alto). La interfaz de VLAN externa se denomina fuera de y el nivel de seguridad establecido en 0 (el más bajo). Para la DMZ VLAN,
haga clic en el No configurar y desmarque el Habilitar VLAN caja. La DMZ VLAN se configurará más tarde. Hacer clic próximo continuar.
Seguridad CCNA
segundo. En la pantalla del Paso 4 del Asistente de inicio: Asignación de puertos de conmutación, Verifique que el puerto Ethernet1 esté en Inside
VLAN 1 y ese puerto Ethernet0 está en la VLAN 2 externa.
Seguridad CCNA
C. En la pantalla del Paso 5 del Asistente de inicio: Configuración de la dirección IP de la interfaz, ingrese un IP exterior
Habla a de 209.165.200.226 y Máscara 255.255.255.248. Puede utilizar el menú desplegable para seleccionar la máscara. Deje la dirección IP
de la interfaz interna como 192.168.1.1 con una máscara de 255.255.255.0. Hacer clic
próximo continuar.
Seguridad CCNA
Paso 4: Configurar DHCP, traducción de direcciones y acceso administrativo.
a. Sobre el Asistente de inicio, paso 6 pantalla - Servidor DHCP, seleccione la casilla de verificación para Habilite el servidor DHCP en la interfaz
interior. Introduzca una dirección IP inicial de 192.168.1.3 y dirección IP final de
192.168.1.30. Introduzca la dirección del servidor DNS 1 de 10.20.30.40 y nombre de dominio
ccnasecurity.com. Hacer NO marque la casilla para habilitar la configuración automática desde la interfaz. Hacer clic próximo continuar.
Seguridad CCNA
segundo. En la pantalla del Paso 7 del Asistente de inicio: Traducción de direcciones (NAT / PAT), clic en el botón Usar puerto
Traducción de direcciones (PAT). El valor predeterminado es utilizar la dirección IP de la interfaz externa. Tenga en cuenta que también puede especificar
una dirección IP particular para PAT o un rango de direcciones con NAT. Hacer clic próximo continuar.
Seguridad CCNA
C. En la pantalla del Paso 8 del Asistente de inicio: Acceso administrativo, HTTPS / ASDM El acceso está configurado actualmente para
hosts en la red interna 192.168.1.0/24. Agregue el acceso Telnet al ASA para la red interior 192.168.1.0 con una máscara de subred de
255.255.255.0. Agregue el acceso SSH al ASA del host
172.16.3.3 en la red exterior. Asegúrese de que la casilla de verificación Habilite el servidor HTTP para el acceso HTTPS / ASDM está chequeado. Hacer clic próximo
continuar.
Seguridad CCNA
Paso 5: Revise el resumen y entregue los comandos al ASA.
a. En la pantalla del Paso 9 del Asistente de inicio: Resumen del asistente de inicio, revisa el Configuración
Resumen y haga clic en Terminar. ASDM entregará los comandos al dispositivo ASA y luego volverá a cargar la configuración modificada.
Nota: Si el cuadro de diálogo de la GUI deja de responder durante el proceso de recarga, ciérrelo, salga de ASDM y reinicie el navegador y
ASDM. Si se le solicita que guarde la configuración en la memoria flash, responda con
Si. Aunque parece que ASDM no ha vuelto a cargar la configuración, los comandos se entregaron. Si se encuentran errores mientras ASDM
entrega los comandos, se le notificará con una lista de los comandos que tuvieron éxito y los que fallaron.
Seguridad CCNA
segundo. Reinicie ASDM y proporcione la nueva contraseña de habilitación clase sin nombre de usuario. Volver al dispositivo
Panel de control y verifique la ventana Estado de la interfaz. Debería ver las interfaces internas y externas con la dirección IP y el estado. La
interfaz interior debería mostrar una cierta cantidad de Kb / s. La ventana Estado del tráfico puede mostrar el acceso a ASDM como un pico de
tráfico TCP.
Paso 6: Pruebe el acceso Telnet y SSH al ASA.
a. Desde un símbolo del sistema o un cliente GUI Telnet en la PC-B, haga telnet a la interfaz interna ASA en la dirección IP 192.168.1.1.
Inicie sesión en el ASA utilizando la contraseña de inicio de sesión predeterminada de cisco. Ingrese al modo EXEC privilegiado usando el
segundo.
habilitar comando y proporcionar la contraseña clase. Salga de la sesión Telnet usando el dejar
mando.
C. En el paso 4 de laboratorio, se configuró el acceso SSH mediante el asistente de inicio para permitir el acceso al ASA desde fuera de la
PC-C (172.16.3.3). Desde la PC-C, abra un cliente SSH como PuTTY e intente conectarse a la interfaz exterior ASA en 209.165.200.226.
No podrá establecer la conexión porque el acceso SSH (ASA versión 8.4 (2) y posterior) requiere que también configure AAA y proporcione
un nombre de usuario autenticado. AAA se configurará en la Parte 4 de la práctica de laboratorio.
Seguridad CCNA
Paso 7: Pruebe el acceso a un sitio web externo desde la PC-B.
a. Abra un navegador en la PC-B e ingrese la dirección IP de la interfaz R1 Fa0 / 0 (209.165.200.225) para simular el acceso a un sitio
web externo.
El servidor HTTP de R1 se habilitó en la Parte 1 de la práctica de laboratorio, por lo que se le debe solicitar un cuadro de diálogo de inicio de sesión de autenticación de usuario
segundo.
desde el administrador de dispositivos de la GUI de R1. Deje el nombre de usuario en blanco e ingrese la contraseña de clase. Salga del navegador. Debería ver la actividad de
TCP en la ventana Estado de tráfico del panel de instrumentos del dispositivo ASDM.
Paso 8: Pruebe el acceso a un sitio web externo utilizando la utilidad ASDM Packet Tracer.
a. En la página de inicio de ASDM, elija Herramientas> Packet Tracer.
Elegir
segundo. el Dentro interfaz del menú desplegable Interfaz y haga clic en TCP desde los botones de opción de Tipo de paquete. En el menú
desplegable Fuente, elija Dirección IP e ingrese la dirección
192.168.1.3 (PC-B) con un puerto de origen de 1500. En el menú desplegable Destino, elija Dirección IP e ingrese 209.165.200.225 (R1
Fa0 / 0) con un puerto de destino de HTTP. Hacer clic comienzo para comenzar la traza del paquete. Debería permitirse el paquete.
Seguridad CCNA
C. Restablezca las entradas haciendo clic Claro. Prueba con otro rastro y elige fuera de en el menú desplegable Interfaz y salga TCP como
el tipo de paquete. En el menú desplegable Fuentes, elija Dirección IP e ingrese 209.165.200.225 (R1 Fa0 / 0) y un puerto de origen de
1500. En el menú desplegable Destino, elija Dirección IP e ingrese la dirección 209.165.200.226 (interfaz exterior ASA) con un puerto
de destino de telnet. Hacer clic comienzo para comenzar la traza del paquete. El paquete debe descartarse. Haga clic en Cerrar continuar.
Parte 4: Configurar las configuraciones de ASA desde el menú de configuración de ASDM.
En la Parte 4, establecerá el reloj ASA, configurará una ruta predeterminada, probará la conectividad usando las herramientas ASDM Ping y Traceroute, configurará la
autenticación de usuario AAA local y modificará la política de inspección de la aplicación MPF.
Paso 1: establezca la fecha y hora de ASA.
a. En la pantalla Configuración, menú Configuración del dispositivo, elija Hora del sistema> Reloj.
segundo. Seleccione su zona horaria en el menú desplegable e ingrese la fecha y hora actuales en los campos provistos. El reloj es un reloj
de 24 horas. Hacer clic Aplicar para enviar los comandos al ASA.
Seguridad CCNA
Paso 2: Configure una ruta predeterminada estática para el ASA.
a. En el menú Herramientas de ASDM, seleccione Silbido e ingrese la dirección IP del enrutador R1 S0 / 0/0 (10.1.1.1).
El ASA no tiene una ruta predeterminada a redes externas desconocidas. El ping debe fallar porque el ASA no tiene ruta a 10.1.1.1.
Hacer clic Cerrar continuar.
Seguridad CCNA
En la pantalla Configuración, menú Configuración del dispositivo, elija Enrutamiento> Rutas estáticas. Haga clic en el Solo IPv4 botón y haga clic en Añadir para
segundo.
agregar una nueva ruta estática.
C. En el cuadro de diálogo Agregar ruta estática, elija el fuera de interfaz del menú desplegable. Haga clic en el botón de puntos suspensivos a la
derecha de Red y seleccione Alguna en la lista de objetos de red, luego haga clic en
OKAY. La selección de Alguna se traduce en una ruta "cuádruple cero". Para la IP de la puerta de enlace, ingrese
209.165.200.225 ( R1 Fa0 / 0).
Seguridad CCNA
re. Hacer clic Okay y haga clic en Aplicar para enviar los comandos al ASA.
mi. Desde el ASDM Herramientas menú, seleccione Silbido e ingrese la dirección IP del enrutador R1 S0 / 0/0 (10.1.1.1).
El ping debería tener éxito esta vez. Hacer clic Cerrar continuar.
Seguridad CCNA
F. Desde el ASDM Herramientas menú, seleccione Traceroute e ingrese la dirección IP del host externo PC-C
(172.16.3.3). Haga clic en Trazar ruta. El traceroute debe tener éxito y mostrar los saltos del ASA a través del R1, R2 y R3 al host PC-C.
Hacer clic Cerrar continuar.
Paso 3: Configure la autenticación de usuario AAA usando la base de datos local ASA.
Es necesario habilitar la autenticación de usuario AAA para acceder al ASA usando SSH. Permitió el acceso SSH al ASA desde el host externo
PC-C cuando el Asistente de inicio fue corrido. Para permitir que el administrador de red remota de la PC-C tenga acceso SSH al ASA, creará
un usuario en la base de datos local.
a. En la pantalla Configuración, área Administración de dispositivos, haga clic en Usuarios / AAA. Hacer clic Cuentas de usuario
y entonces Añadir. Crea un nuevo usuario llamado administración con una contraseña de cisco123 e ingrese la contraseña nuevamente para confirmarla.
Permitir a este usuario Acceso completo ( ASDM, SSH, Telnet y consola) y establezca el nivel de privilegios en 15. Hacer clic Okay para agregar el usuario y
haga clic en Aplicar para enviar el comando al ASA.
Seguridad CCNA
segundo. En la pantalla Configuración, área Administración de dispositivos, haga clic en Usuarios / AAA. Hacer clic Acceso AAA. En
la pestaña Autenticación, haga clic en la casilla de verificación para requerir autenticación para HTTP / ASDM, SSH y Telnet
conexiones y especifique el grupo de servidores "LOCAL" para cada tipo de conexión. Hacer clic Aplicar para enviar los comandos al ASA.
Seguridad CCNA
Nota: La siguiente acción que intente dentro de ASDM requerirá que inicie sesión como administración con contraseña
cisco123.
C. Desde la PC-C, abra un cliente SSH como PuTTY e intente acceder a la interfaz exterior ASA en
209.165.200.226. Debería poder establecer la conexión. Cuando se le solicite iniciar sesión, ingrese el nombre de usuario administración y
contraseña cisco123.
re. Después de iniciar sesión en el ASA usando SSH, ingrese el habilitar comando y proporcionar la contraseña clase.
Emita el mostrar ejecutar comando para mostrar la configuración actual que ha creado usando ASDM.
Nota: El tiempo de espera predeterminado para Telnet y SSH es de 5 minutos. Puede aumentar esta configuración mediante la CLI como se describe en el
laboratorio 10A o ir a ASDM Administración de dispositivos> Acceso de administración> ASDM / HTTP / Telnet / SSH.
Paso 4: Modificar la política de inspección de aplicaciones MPF.
Para la inspección de la capa de aplicación, así como otras opciones avanzadas, el Marco de políticas modular de Cisco (MPF) está
disponible en los ASA.
a. La política de inspección global predeterminada no inspecciona ICMP. Para permitir que los hosts de la red interna hagan ping a los hosts externos
y reciban respuestas, se debe inspeccionar el tráfico ICMP. Desde el Configuración
pantalla, menú del área de Firewall, haga clic en Reglas de la política de servicio.
Seguridad CCNA
segundo. Selecciona el inspección_predeterminado política y haga clic en Editar para modificar las reglas de inspección predeterminadas. En la edición
Ventana Regla de política de servicio, haga clic en el Acciones de regla pestaña y seleccione la casilla de verificación para ICMP. No cambie los otros protocolos
predeterminados que están marcados. Hacer clic Okay y luego haga clic en Aplicar para enviar los comandos al ASA. Si se le solicita, inicie sesión como nuevamente administración
con una contraseña de cisco123.
Seguridad CCNA
C. Desde PC-B, silbido la interfaz externa de R1 S0 / 0/0 (10.1.1.1). Los pings deberían tener éxito.
Parte 5: Configuración de DMZ, NAT estática y ACL.

En la Parte 3 de esta práctica de laboratorio, configuró la traducción de direcciones mediante PAT para la red interna. En esta parte, usted crea una DMZ en
el ASA, configura NAT estática a un servidor DMZ y aplica una ACL para controlar el acceso al servidor.
Paso 1: Configure la interfaz ASA DMZ VLAN 3.
En este paso, creará una nueva interfaz VLAN 3 denominada dmz, asigne la interfaz física E0 / 2 a la VLAN, establezca el nivel de
seguridad en 70 y limite la comunicación desde esta interfaz a la interfaz interna (VLAN1).
a. En la pantalla Configuración, menú Configuración del dispositivo, haga clic en Interfaces. Hacer clic Añadir para definir un nuevo
interfaz. La pestaña General se muestra de forma predeterminada y actualmente está definida dentro (VLAN 1, E0 / 1) y las interfaces externas (VLAN 2,
E0 / 0) se enumeran. Hacer clic Añadir para crear una nueva interfaz.
En
segundo. el cuadro de diálogo Agregar interfaz, seleccione el puerto Ethernet0 / 2 y haga clic en Añadir. Se le pedirá que cambie la interfaz desde la
red interna. Hacer clic Okay para que el mensaje elimine el puerto de la interfaz interna y lo agregue a esta nueva interfaz. En el cuadro Nombre
de la interfaz, asigne un nombre a la interfaz. dmz,
asígnele un nivel de seguridad de 70 y asegúrese de que Habilitar interfaz la casilla de verificación está marcada.
C. Asegúrese de que el Usar IP estática está seleccionado e ingrese una dirección IP de 192.168.2.1 con una máscara de subred de 255.255.255.0. NO haga
clic en Aceptar en este momento.
Seguridad CCNA
re. ASDM configurará esta interfaz como VLAN ID 12 de forma predeterminada. Antes de hacer clic en Aceptar para agregar la interfaz, haga clic en el Avanzado pestaña
y especifique esta interfaz como VLAN ID 3.
Nota: Si está trabajando con la licencia básica ASA 5505, puede crear hasta tres interfaces con nombre. Sin embargo, debe deshabilitar la
comunicación entre la tercera interfaz y una de las otras interfaces. Debido a que el servidor DMZ no necesita iniciar la comunicación con los
usuarios internos, puede deshabilitar el reenvío a las interfaces VLAN 1.
mi. En la pestaña Avanzado, también debe bloquear el tráfico de esta interfaz VLAN 3 (dmz) a la interfaz VLAN 1 (interior). En el área Bloquear
tráfico, seleccione vlan1 (interior) en el menú desplegable. Hacer clic
Okay para volver a la ventana Interfaces. Debería ver la nueva interfaz llamada dmz, además de las interfaces internas y externas. Hacer
clic Aplicar para enviar los comandos al ASA.
Seguridad CCNA
Paso 2: configurar el servidor DMZ y la NAT estática
Para acomodar la adición de una DMZ y un servidor web, usará otra dirección del rango de ISP asignado, 209.165.200.224/29 (.224-.231). El
router R1 Fa0 / 0 y la interfaz externa ASA ya están usando 209.165.200.225 y .226, respectivamente. Utilizará la dirección pública
209.165.200.227 y NAT estática para proporcionar acceso de traducción de direcciones al servidor.
a. En el menú Firewall, haga clic en el Servidores públicos opción y haga clic en Añadir para definir el servidor DMZ y
servicios ofrecidos. En el cuadro de diálogo Agregar servidor público, especifique la Interfaz privada como dmz, la Interfaz Pública como fuera de y
la dirección IP pública como 209.165.200.227.
Seguridad CCNA
Haga clic en el botón de puntos suspensivos a la derecha de Dirección IP privada. En la ventana Examinar dirección IP privada, haga clic en Añadir para
segundo.
definir el servidor como Objeto de red. Ingrese el nombre Servidor DMZ, con un tipo de
Anfitrión y la dirección IP privada de 192.168.2.3.
C. En el cuadro de diálogo Agregar objeto de red, haga clic en el botón de flecha doble hacia abajo para NAT. Haga clic en la casilla de verificación para Agregar
reglas de traducción automática de direcciones e ingrese el tipo como Estático. Entrar
209.165.200.227 como la dirección traducida. Cuando la pantalla se vea como la siguiente, haga clic en Okay para agregar el objeto de red del
servidor. En la ventana Examinar dirección IP privada, haga clic en OKAY. Volverá al cuadro de diálogo Agregar servidor público.
Seguridad CCNA
En el cuadro de diálogo Agregar servidor público, haga clic en el botón de puntos suspensivos a la derecha de Servicio privado. En la ventana Explorar servicio
privado, haga doble clic para seleccionar los siguientes servicios: tcp / http, tcp / ftp, icmp / echo
y icmp / eco-respuesta ( desplácese hacia abajo para ver todos los servicios). Hacer clic Okay para continuar y volver al Agregar servidor público diálogo.
Nota: Puede especificar los servicios públicos si son diferentes de los servicios privados, utilizando la opción en esta pantalla.
Seguridad CCNA
re. Cuando haya completado toda la información en el cuadro de diálogo Agregar servidor público, debería verse como el que se muestra a continuación. Hacer clic Okay
para agregar el servidor. Hacer clic Aplicar en la pantalla de servidores públicos para enviar los comandos al ASA.
Seguridad CCNA
Paso 3: Vea la regla de acceso DMZ (ACL) generada por ASDM.
a. Con la creación del objeto de servidor DMZ y la selección de servicios, ASDM genera automáticamente una regla de acceso (ACL) para
permitir el acceso apropiado al servidor y la aplica a la interfaz externa en la dirección entrante.
Vea
segundo. esta regla de acceso en ASDM eligiendo Configuración> Cortafuegos> Reglas de acceso. Aparece como una regla entrante externa.
Puede seleccionar la regla y usar la barra de desplazamiento horizontal para ver todos los componentes.
C. Nota: También puede ver los comandos reales generados mediante el Herramientas> Línea de comando
Interfaz y entrando el comando show run.
Paso 4: Pruebe el acceso al servidor DMZ desde la red externa.
a. Desde la PC-C, haga ping a la dirección IP de la dirección del servidor público NAT estático (209.165.200.227). Los pings deberían tener
éxito.
Debido
segundo. a que la interfaz interna ASA (VLAN 1) se establece en el nivel de seguridad 100 (el más alto) y la interfaz DMZ (VLAN 3) se
establece en 70, también puede acceder al servidor DMZ desde un host en la red interna. El ASA actúa como un enrutador entre las dos
redes. Haga ping a la dirección interna del servidor DMZ (PC-A) (192.168.2.3) desde dentro del host de red PC-B (192.168.1.X). Los pings
deberían tener éxito debido al nivel de seguridad de la interfaz y al hecho de que ICMP está siendo inspeccionado en la interfaz interna por la
política de inspección global.
C. El servidor DMZ no puede hacer ping a la PC-B en la red interna. Esto se debe a que la interfaz DMZ VLAN 3 tiene un nivel de seguridad
más bajo y al hecho de que, cuando se creó la interfaz VLAN 3, fue necesario especificar la no adelante mando. Intente hacer ping desde el
servidor DMZ PC-A a PC-B en la dirección IP
192.168.1.X. Los pings no deberían tener éxito.
Seguridad CCNA
Paso 5: Utilice la supervisión de ASDM para graficar la actividad de los paquetes.
Hay varios aspectos del ASA que se pueden monitorear usando el Vigilancia pantalla. Las principales categorías de esta pantalla son Interfaces,
VPN, Enrutamiento, Propiedades, y Inicio sesión. En este paso, creará un gráfico para monitorear la actividad del paquete para la interfaz
externa.
a. Desde la pantalla de Monitoreo, menú Interfaces, haga clic en Gráficos de interfaz> exterior. Seleccione Paquete
Recuentos y haga clic en Añadir para agregar el gráfico. La siguiente exhibición muestra los recuentos de paquetes agregados.
segundo. Haga clic en el Mostrar gráficos para mostrar el gráfico. Inicialmente no se muestra tráfico.
C. Desde un símbolo del sistema del modo privilegiado en R2, simule el tráfico de Internet al ASA haciendo ping a la dirección pública del servidor
DMZ con un recuento repetido de 1000. Puede aumentar el número de pings si lo desea.
R2 # ping 209.165.200.227 repetir 1000
Escriba secuencia de escape para abortar.

Al enviar 1000 ecos ICMP de 100 bytes a 209.165.200.227, el tiempo de espera es de 2 segundos: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!! <salida omitida>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!
La tasa de éxito es del 100 por ciento (1000/1000), ida y vuelta mínimo / promedio / máximo = 1/2/12 ms
re. Debería ver los resultados de los pings de R2 en el gráfico como un recuento de paquetes de entrada. La escala del gráfico se ajusta
automáticamente según el volumen de tráfico. También puede ver los datos en
Seguridad CCNA
formulario tabular haciendo clic en el Mesa lengüeta. Observe que la vista seleccionada en la parte inferior izquierda de la pantalla de gráficos es en tiempo
real, datos cada 10 segundos. Haga clic en el menú desplegable para ver las otras opciones disponibles.
mi. Haga ping de la PC-B al R1 Fa0 / 0 en 209.165.200.225 usando la opción –n (número de paquetes) para especificar 1000 paquetes.
C:> \ ping 209.165.200.225 –n 1000
Nota: La respuesta de la PC es relativamente lenta y puede tardar un poco en aparecer en el gráfico como Recuento de paquetes de salida. El
siguiente gráfico muestra 5000 paquetes de entrada adicionales, así como el recuento de paquetes de entrada y salida.
Seguridad CCNA
Reflexión:
1. ¿Cuáles son algunos de los beneficios de usar ASDM sobre la CLI?
________________________________________________________________________________
________________________________________________________________________________
2. ¿Cuáles son algunos de los beneficios de usar CLI sobre ASDM?

________________________________________________________________________________
________________________________________________________________________________
Seguridad CCNA
Tabla de resumen de la interfaz del enrutador
Resumen de la interfaz del enrutador
Enrutador Interfaz ethernet Interfaz ethernet Interfaz de serie Interfaz de serie

Modelo #1 #2 #1 #2
Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 Serie 0/0/1
1800
(Fa0 / 0) (Fa0 / 1) (S0 / 0/0) (S0 / 0/1)
Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 Serie 0/0/1
1900
(G0 / 0) (G0 / 1) (S0 / 0/0) (S0 / 0/1)
Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 Serie 0/0/1
2800
(Fa0 / 0) (Fa0 / 1) (S0 / 0/0) (S0 / 0/1)
Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 Serie 0/0/1
2900
(G0 / 0) (G0 / 1) (S0 / 0/0) (S0 / 0/1)
Nota: Para saber cómo está configurado el enrutador, observe las interfaces para identificar el tipo de enrutador y cuántas interfaces
tiene. No hay forma de enumerar efectivamente todas las combinaciones de configuraciones para cada clase de enrutador. Esta tabla
incluye identificadores para las posibles combinaciones de interfaces Ethernet y serie en el dispositivo. La tabla no incluye ningún otro
tipo de interfaz, aunque un enrutador específico puede contener una. Un ejemplo de esto podría ser una interfaz BRI ISDN. La cadena
entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de Cisco IOS para representar la interfaz.

CCNASv1.1 Chp10 Lab-B ASA-FW-ASDM Student - En.es PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCNASv1.1 Chp10 Lab-B ASA-FW-ASDM Student - En.es PDF

Cargado por

Copyright:

Formatos disponibles

Seguridad CCNA

R1 FA0 / 0 209.165.200.225 255.255.255.248 N/A ASA E0 / 0

S0 / 0/0 10.1.1.1 255.255.255.252 N/A N/A

S0 / 0/1 10.2.2.2 255.255.255.252 N/A N/A

S0 / 0/1 10.2.2.1 255.255.255.252 N/A N/A

COMO UN VLAN 1 192.168.1.1 255.255.255.0 N/A S2 FA0 / 24

PC-C NIC 172.16.3.3 255.255.255.0 172.16.3.1 S3 FA0 / 18

• Cablee la red como se muestra en la topología.

• Configure nombres de host y direcciones IP de interfaz para enrutadores, conmutadores y PC.

• Configure el acceso HTTP y Telnet para R1.

• Verifique la conectividad entre hosts, conmutadores y enrutadores.

Parte 2: Acceso a la consola ASA y al ASDM

• Acceda a la consola ASA y vea el hardware, el software y los ajustes de configuración.

• Borrar los ajustes de configuración anteriores.

• Utilice CLI para configurar los ajustes para el acceso a ASDM.

• Pruebe la conectividad de Ethernet al ASA.

• Acceda a la GUI de ASDM y explore las principales ventanas y opciones.

• Configure el nombre de host, el nombre de dominio y habilite la contraseña.

• Configure las interfaces VLAN internas y externas.

• Configure DHCP para la red interna.

• Configure la traducción de la dirección de puerto (PAT) para la red interna.

• Configure el acceso administrativo Telnet y SSH.

Parte 4: Configurar las configuraciones de ASA desde el menú de configuración de ASDM

• Configure la fecha y la hora.

• Configure una ruta predeterminada estática para el ASA.

• Pruebe la conectividad mediante ASDM Ping y Traceroute. Configure la

• autenticación de usuario AAA local.

• Modificar la política de inspección de aplicaciones MPF.

Parte 5: Configuración de DMZ, NAT estática y ACL

• Configure NAT estática para el servidor DMZ.

• Verificar el acceso al servidor DMZ para usuarios internos y externos.

• Utilice ASDM Monitor para graficar el tráfico.

209.165.200.224/29, que se utilizará para la traducción de direcciones en el ASA.

• como se muestra en la topología

• Rollover cables para configurar los routers y ASA a través de la consola

Parte 1: Configuración básica de enrutador / conmutador / PC

Nota: No configure ninguna configuración ASA en este momento.

Paso 1: Cablee la red y borre la configuración anterior del dispositivo.

Paso 2: Configure los ajustes básicos para enrutadores y conmutadores.

a. Configure los nombres de host como se muestra en la topología de cada enrutador.

R1 (configuración) # interfaz S0 / 0/0

Paso 3: configurar el enrutamiento estático en los enrutadores.

a. Configure una ruta predeterminada estática de R1 a R2 y de R3 a R2.

R1 (configuración) # ruta ip 0.0.0.0 0.0.0.0 Serial0 / 0/0

R2 (configuración) # ruta IP 209.165.200.224 255.255.255.248 Serial0 / 0/0

Paso 4: habilite el servidor HTTP en R1 y configure las contraseñas enable y vty.

más adelante en el laboratorio.

R1 (configuración) # servidor http ip

R1 (configuración) # línea vty 0 4

R1 (configuración) # línea con 0

Paso 5: Configure los ajustes de IP del host de la PC.

Paso 6: verificar la conectividad.

Paso 7: guarde la configuración básica en ejecución para cada enrutador y conmutador.

Parte 2: Acceso a la consola ASA y al ASDM

Paso 1: acceda a la consola ASA.

Paso 2: Determine la versión, las interfaces y la licencia de ASA.

ciscoasa # mostrar versión

Compilado el miércoles 15 de junio de 2011 a las 18:17 por los constructores El

ciscoasa hasta 23 horas 0 minutos

Hardware: ASA5505, 512 MB de RAM, CPU Geode 500 MHz

Dispositivo de hardware de cifrado: Acelerador integrado Cisco ASA-5505 (revisión 0x0)

0: Int: Internal-Data0 / 0 : la dirección es 0007.7dbf.5645, irq 11: la dirección es

¿Qué versión de software está ejecutando este ASA? _____________________________________________

¿Cuántos puertos Ethernet tiene este ASA?