9.3.1.2 Lab - Configure ASA Basic Settings and Firewall Using CLI

CCNA Security
Chapter 9 Lab A: Configuración de Parámetros Básicos y Firewall

de ASA mediante CLI
Topología
Nota: Los dispositivos ISR G2 utilizan interfaces GigabitEthernet en lugar de interfaces FastEthernet.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 1 de 38
CCNA Seguridad Capítulo 9 Laboratorio
Tabla de direccionamiento IP
Device Interface IP Address Subnet Mask Default Gateway Switch Port
G0/0 209.165.200.225 255.255.255.248 N/A ASA E0/0

R1
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/A N/A
S0/0/0 10.1.1.2 255.255.255.252 N/A N/A
R2
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/A N/A
G0/1 172.16.3.1 255.255.255.0 N/A S3 F0/5
R3
S0/0/1 10.2.2.1 255.255.255.252 N/A N/A
ASA VLAN 1 (E0/1) 192.168.1.1 255.255.255.0 NA S2 F0/24
ASA VLAN 2 (E0/0) 209.165.200.226 255.255.255.248 NA R1 G 0/0
ASA VLAN 3 (E0/2) 192.168.2.1 255.255.255.0 NA S1 F0/24
PC-A NIC 192.168.2.3 255.255.255.0 192.168.2.1 S1 F0/6
PC-B NIC 192.168.1.3 255.255.255.0 192.168.1.1 S2 F0/18
PC-C NIC 172.16.3.3 255.255.255.0 172.16.3.1 S3 F0/18
Objetivos
Parte 1: Configuración básica del enrutador / conmutador / PC
• Cablee la red como se muestra en la topología.
• Configure nombres de host y direcciones IP de interfaz para enrutadores, conmutadores y PC.
• Configure el enrutamiento estático, incluidas las rutas predeterminadas, entre R1, R2 y R3.
• Habilite el acceso HTTP y SSH para R1.
• Configure las opciones de IP del host del equipo.
• Verifique la conectividad entre hosts, conmutadores y enrutadores.
• Guarde la configuración básica de ejecución para cada enrutador y conmutador.
Parte 2: Acceso a la consola ASA y uso del modo de configuración de CLI para configurar los ajustes
básicos
• Acceda a la consola de ASA y vea el hardware, el software y los ajustes de configuración.
• Determine la versión, las interfaces y la licencia de ASA.
• Determine el sistema de archivos y el contenido de la memoria flash.
• Utilice el modo de configuración de CLI para configurar los ajustes básicos (nombre de host,
contraseñas, reloj, etc.).
Parte 3: Configuración de los ajustes ASA básicos y los niveles de seguridad de la interfaz mediante
la CLI.
• Configure el nombre de host y el nombre de dominio.
• Configure el inicio de sesión y habilite las contraseñas.
• Establezca la fecha y la hora.
• Configure las interfaces interior y exterior.

• Pruebe la conectividad con el ASA.
• Configure el acceso SSH al ASA.
• Configure el acceso HTTPS en el ASA para ASDM.
Parte 4: Configuración del enrutamiento, la traducción de direcciones y la política de inspección
mediante la CLI
• Configure una ruta predeterminada estática para el ASA.
• Configurar PAT y objetos de red.
• Modifique la directiva de servicio global de inspección de aplicaciones MPF.
Parte 5: Configuración de DHCP, AAA y SSH
• Configure el ASA como servidor/cliente DHCP.
• Configure la autenticación de usuario AAA local.
• Configurar el acceso remoto SSH a la AAA.
Parte 6: Configuración de DMZ, NAT estática y ACL
• Configure la VLAN 3 de la interfaz DMZ en el ASA.
• Configure NAT estática para el servidor DMZ mediante un objeto de red.
• Configure una ACL para permitir el acceso a la DMZ para los usuarios de Internet.
• Verifique el acceso al servidor DMZ para usuarios externos e internos.
Antecedentes/Escenario
Cisco Adaptive Security Appliance (ASA) es un dispositivo de seguridad de red avanzado que integra un
firewall con estado, VPN y otras capacidades. Este laboratorio emplea un ASA 5505 para crear un firewall y
proteger una red corporativa interna de intrusos externos, al tiempo que permite el acceso de hosts internos
a Internet. El ASA crea tres interfaces de seguridad: Outside, Inside y DMZ. Proporciona a los usuarios
externos acceso limitado a la DMZ y ningún acceso a los recursos internos. Los usuarios internos pueden
acceder a la DMZ y a los recursos externos.
El enfoque de este laboratorio es la configuración del ASA como un firewall básico. Otros dispositivos
recibirán una configuración mínima para admitir la parte ASA de este laboratorio. Este laboratorio usa la CLI
ASA, que es similar a la CLI de IOS, para configurar el dispositivo básico y las opciones de seguridad.
En la Parte 1 de este laboratorio, configurará la topología y los dispositivos que no son ASA. En las Partes 2
a 4 configurará los ajustes básicos de ASA y el firewall entre las redes internas y externas. En la parte 5,
configurará el ASA para servicios adicionales, como DHCP, AAA y SSH. En la Parte 6, configurará una DMZ
en el ASA y proporcionará acceso a un servidor en la DMZ.
Su empresa tiene una ubicación conectada a un ISP. R1 representa un dispositivo CPE administrado por el
ISP. R2 representa un enrutador de Internet intermedio. R3 representa un ISP que conecta a un
administrador de una empresa de administración de red, que ha sido contratado para administrar su red de
forma remota. El ASA es un dispositivo de seguridad perimetral que conecta la red corporativa interna y la
DMZ al ISP mientras proporciona servicios NAT y DHCP a los hosts internos. El ASA se configurará para su
administración por un administrador en la red interna y por el administrador remoto. Las interfaces VLAN de
capa 3 proporcionan acceso a las tres áreas creadas en el laboratorio: Dentro, Exterior y DMZ. El ISP ha
asignado el espacio de direcciones IP públicas de 209.165.200.224/29, que se utilizará para la traducción de
direcciones en el ASA.
Nota: Los comandos y la salida del router en este laboratorio son de un Cisco 1941 con Cisco IOS Release
15. Imagen 4(3)M2 con licencia de Tecnología de Seguridad. Se pueden utilizar otros routers y versiones de
Cisco IOS. Consulte la tabla de resumen de la interfaz del enrutador al final del laboratorio para determinar
qué identificadores de interfaz usar en función del equipo de su clase. Dependiendo del modelo de enrutador
y la versión de Cisco IOS, los comandos disponibles y la salida producida pueden variar de lo que se
muestra en este laboratorio.
El ASA utilizadod con este laboratorio es un Cisco modelo 5505 con un switch integrado de 8 puertos, que
ejecuta la versión del sistema operativo 9.2 (3), Adaptive Security Device Manager (ASDM) versión 7.4 (1), y
viene con una licencia base que permite un máximo de tres VLAN.
Nota: Asegúrese de que los routers y switches se hayan borrado y no tengan configuraciones de inicio.
Recursos requeridos
• 3 Routers (Cisco 1941 con Cisco IOS Release 15. 4(3)M2 imagen con una licencia de Security
Technology Package)
• 3brujas S (Cisco 2960 con criptografía IOS imagen para soporte SSH – Versión 15.0(2) SE7 o
comparable)
• 1 ASA 5505 (versión 9. 2(3) y ASDM versión 7. 4(1) y licencia base o comparable)
• 3 PC (Windows 7 o Windows 8 con software cliente SSH)
• Cables serie y Ethernet como se muestra en la topología
• Cables de consola para configurar dispositivos de red Cisco
Part 1: Configuración básica del router/switch/PC

En la Parte 1 de este laboratorio, configurará la topología de red y configurará los ajustes básicos de los
enrutadores, como las direcciones IP de la interfaz y el enrutamiento estático.
Nota: No configure los ajustes de ASA en este momento.
Step 1: Cablee la red y borre la configuración anterior del dispositivo.

Conecte los dispositivos que se muestran en el diagrama de topología y el cable según sea necesario.
Asegúrese de que los enrutadores y conmutadores se hayan borrado y no tengan configuraciones de inicio.
Step 2: Configure los ajustes básicos para enrutadores y conmutadores.

a. Configure los nombres de host como se muestra en la topología de cada enrutador.
b. Configure las direcciones IP de la interfaz del enrutador como se muestra en la tabla de direcciones IP.
c. Configure una velocidad de reloj para enrutadores con un cable serie DCE conectado a su interfaz serie.
R1 se muestra aquí como ejemplo.
R1(config)# interface S0/0/0
R1(config-if)# clock rate 64000
d. Configure el nombre de host para los conmutadores. Aparte del nombre de host, los conmutadores se
pueden dejar en su estado de configuración predeterminado. La configuración de la dirección IP de
administración de VLAN para los switches es opcional.
Step 3: Configure el enrutamiento estático en los enrutadores.

a. Configure una ruta predeterminada estática de R1 a R2 y de R3 a R2.
R1(config)# ip route 0.0.0.0 0.0.0.0 Serial0/0/0
b. Configure una ruta estática desde R2 a la subred R1 G0/0 (conectada a la interfaz ASA E0/0) y una ruta
estática desde R2 a la LAN R3.

Step 4: Habilite el servidor HTTP y configure una cuenta de usuario, contraseñas cifradas y
claves criptográficas para SSH.
Nota: Las contraseñas de esta tarea se establecen en un mínimo de 10 caracteres, pero son relativamente
sencillas para los fines de este laboratorio. Se recomiendan contraseñas más complejas en una red de
producción.
a. Habilite el acceso HTTP a R1 mediante el comando ip http server en modo de configuración global.
Establezca las contraseñas de consola y VTY en Cisco. Esto proporcionará objetivos web y SSH para
pruebas posteriores en el laboratorio.
R1(config)# ip http server
b. Configure una longitud mínima de contraseña de 10 caracteres mediante el comando security
passwords.
R1(config)# security passwords min-length 10
c. Configure un nombre de dominio.
R1(config)# ip domain-name ccnasecurity.com
d. Configure las claves criptográficas para SSH.
R1(config)# crypto key generate rsa general-keys modulus 1024
e. Configure una cuenta de usuario admin01 utilizando scrypt de tipo algoritmo para el cifrado y una
contraseña de cisco12345.
R1(config)# username admin01 algorithm-type scrypt secret cisco12345
f. Configure la consola de línea 0 para usar la base de datos de usuarios local para los inicios de sesión.
Para mayor seguridad, el comando exec-timeout hace que la línea cierre sesión después de cinco
minutos de inactividad. El comando logging synchronous impide que los mensajes de la consola
interrumpan la entrada del comando.
Nota: Para evitar inicios de sesión repetitivos durante este laboratorio, el comando exec-timeout se
puede establecer en 0 0, lo que evita que caduque. Sin embargo, esto no se considera una buena
práctica de seguridad.
R1(config)# line console 0
R1(config-line)# login local
R1(config-line)# exec-timeout 5 0
R1(config-line)# logging synchronous
g. Configure la línea vty 0 4 para utilizar la base de datos de usuarios local para los inicios de sesión y
restringir el acceso solo a las conexiones SSH.
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exec-timeout 5 0
h. Configure la contraseña de habilitación con cifrado seguro.
R1(config)# enable algorithm-type scrypt secret class12345
Step 5: Configure las opciones de IP del host del equipo.

Configure una dirección IP estática, una máscara de subred y una puerta de enlace predeterminada para PC-
A, PC-B y PC-C, como se muestra en la tabla de direcciones IP.
Step 6: Verifique la conectividad.

Debido a que el ASA es el punto focal para las zonas de red y aún no se ha configurado, no habrá
conectividad entre los dispositivos que estén conectados a él. Sin embargo, PC-C debería poder hacer ping a
la interfaz R1. Desde PC-C, haga ping a la dirección IP R1 G0/0 (209.165.200.225). Si estos pings no se
realizan correctamente, solucione los problemas de las configuraciones básicas del dispositivo antes de
continuar.
Nota: Si puede hacer ping desde PC-C a R1 G0/0 y S0/0/0, ha demostrado que el enrutamiento estático está
configurado y funciona correctamente.
Step 7: Guarde la configuración básica de ejecución para cada enrutador y conmutador.
Part 2: Acceso a la consola ASA y uso del programa de instalación de CLI

para configurar los ajustes básicos
En la Parte 2 de este laboratorio, accederá al ASA a través de la consola y usará varios comandos show
para determinar el hardware, el software y las opciones de configuración. Borrará la configuración actual y
utilizará la utilidad de configuración interactiva CLI paraconfigurar los ajustes básicos de ASA.
Nota: No configure los ajustes de ASA en este momento.
Step 1: Acceda a la consola de ASA.

a. Acceder al ASA a través del puerto de la consola es lo mismo que con un enrutador o conmutador Cisco.
Conéctese al puerto de la consola ASA con un cable transpuesto.
b. Utilice un programa de emulación de terminal, como TeraTerm o PuTTy para acceder a la CLI. Luego
use la configuración del puerto serie de 9600 baudios, ocho bits de datos, sin paridad, un bit de parada y
sin control de flujo.
c. Ingrese al modo privilegiado con el comando enable y la contraseña (si se ha establecido una
contraseña). La contraseña está en blanco by default. Press Enter. Si la contraseña se ha cambiado a
la especificada en este laboratorio, escriba la palabra class. El nombre de host ASA predeterminado y el
indicador es ciscoasa>.
ciscoasa> enable
Password: class (or press Enter if none set)
Step 2: Determine la versión, las interfaces y la licencia de ASA.

El ASA 5505 viene con un switch Ethernet integrado de ocho puertos. Los puertos E0/0 a E0/5 son puertos
Fast Ethernet normales y los puertos E0/6 y E0/7 son puertos PoE para su uso con dispositivos PoE, como
teléfonos IP o cámaras de red.
Utilice el comando show version para determinar varios aspectos de este dispositivo ASA.
ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 9.2(3)

Device Manager Version 7.4(1)
Compiled on Mon 15-Dec-14 18:17 by builders
System image file is "disk0:/asa923-k8.bin"

Config file at boot was "startup-config"
ciscoasa up 23 hours 0 mins
Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz

Internal ATA Compact Flash, 128MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision

0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode : CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-
2.06
Number of accelerators: 1
0: Int: Internal-Data0/0 : address is 0007.7dbf.5645, irq 11

1: Ext: Ethernet0/0 : address is 0007.7dbf.563d, irq 255
2: Ext: Ethernet0/1 : address is 0007.7dbf.563e, irq 255
<output omitted>
¿Qué versión de software está ejecutando este ASA?
¿Cuál es el nombre del archivo de imagen del sistemay desde dónde se cargó?
El ASA se puede administrar utilizando una GUI incorporada conocida como ASDM. ¿Qué versión de ASDM
está ejecutando este ASA?
¿Cuánta memoria RAM tiene este ASA?
¿Cuánta memoria flash tiene este ASA?
¿Cuántos puertos Ethernet tiene este ASA?
¿Qué tipo de licencia tiene este ASA?
¿Cuántas VLAN se pueden crear con esta licencia?
Step 3: Determine el sistema de archivos y el contenido de la memoria flash.

a. Muestre el sistema de archivos ASA mediante el comando show file system. Determine qué prefijos
son compatibles.
ciscoasa# show file system
File Systems:
Size(b) Free(b) Type Flags Prefixes

* 128573440 55664640 disk rw disk0: flash:
- - network rw tftp:
- - opaque rw system:
- - network ro http:
- - network ro https:
- - network rw ftp:
- - network rw smb:
¿Cuál es otro nombre para flash:?
b. Muestre el contenido de la memoria flash mediante uno de estos comandos: show flash, show disk0, dir
flash:, o dir disk0:.
ciscoasa# show flash
--#-- --length-- -----date/time------ path
168 25159680 Aug 29 2011 13:00:52 asa923-k8.bin
122 0 Aug 29 2011 13:09:32 nat_ident_migrate
13 2048 Aug 29 2011 13:02:14 coredumpinfo
14 59 Aug 29 2011 13:02:14 coredumpinfo/coredump.cfg
169 16280544 Aug 29 2011 13:02:58 asdm-741.bin
3 2048 Aug 29 2011 13:04:42 log
6 2048 Aug 29 2011 13:05:00 crypto_archive
171 34816 Jan 01 1980 00:00:00 FSCK0000.REC
173 36864 Jan 01 1980 00:00:00 FSCK0001.REC
174 12998641 Aug 29 2011 13:09:22 csd_3.5.2008-k9.pkg
175 2048 Aug 29 2011 13:09:24 sdesktop
211 0 Aug 29 2011 13:09:24 sdesktop/data.xml
176 6487517 Aug 29 2011 13:09:26 anyconnect-macosx-i386-2.5.2014-k9.pkg
177 6689498 Aug 29 2011 13:09:30 anyconnect-linux-2.5.2014-k9.pkg
178 4678691 Aug 29 2011 13:09:32 anyconnect-win-2.5.2014-k9.pkg
<output omitted>
c. ¿Cuál es el nombre del archivo ASDM en flash:?
Step 4: Determine la configuración actual en ejecución.

El ASA 5505 se usa comúnmente como un dispositivo de seguridad perimetral que conecta a una pequeña
empresa o teletrabajador a un dispositivo ISP, como un módem DSL o por cable, para acceder a Internet. La
configuración predeterminada de fábrica para el ASA 5505 incluye lo siguiente:
• Se configura una interfaz VLAN 1 interna que incluye los puertos del switch Ethernet 0/1 a 0/7. La
dirección IP y la máscara de VLAN 1 son 192.168.1.1 y 255.255.255.0.
• Se configura una interfaz VLAN 2 externa que incluye el puerto del switch Ethernet 0/0. VLAN 2 deriva su
dirección IP del ISP utilizando DHCP de forma predeterminada.
• La ruta predeterminada se deriva de la puerta de enlace predeterminada de DHCP.
• Todas las direcciones IP internas se traducen al acceder al exterior, utilizando la interfaz PAT en la
interfaz VLAN 2.
• De forma predeterminada, los usuarios internos pueden acceder al exterior con una lista de acceso y los
usuarios externos no pueden acceder al interior.
• El servidor DHCP está habilitado en el dispositivo de seguridad, por lo que un PC que se conecta a la
interfaz VLAN 1 recibe una dirección entre 192.168.1.5 y 192.168.1.36 (licencia base), aunque el rango
real puede variar.
• El servidor HTTP está habilitado para ASDM y es accesible para los usuarios de la red 192.168.1.0/24.
• No se requieren contraseñas de consola o habilitación, y el nombre de host predeterminado es ciscoasa.
Nota: En este laboratorio, configurará manualmente opciones similares a las enumeradas anteriormente, así
como algunas opciones adicionales, mediante la CLI ASA.
a. Muestre la configuración de ejecución actual mediante el comando show running-config.
ciscoasa# show running-config
: Saved
:
ASA Version 9.2(3)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
!
<output omitted>
Nota: Para detener la salida de un comando mediante la CLI, pulse Q.

Si ve VLAN 1 y 2 y otras configuraciones como se describió anteriormente, lo más probable es que el
dispositivo esté configurado con la configuración predeterminada de fábrica. También puede ver otras
características de seguridad, como una directiva global que inspecciona el tráfico de la aplicación
seleccionada, que el ASA inserta de forma predeterminada si se ha borrado la configuración de inicio
original. La salida real varía según el modelo, la versión y el estado de configuración de ASA.
b. Puede restaurar el ASA a su configuración predeterminada de fábrica mediante el comando configure
factory-default.
ciscoasa# conf t
ciscoasa(config)# configure factory-default
WARNING: The boot system configuration will be cleared.

The first image found in disk0:/ will be used to boot the
system on the next reload.

Verify there is a valid image on disk0:/ or the system will
not boot.
Begin to apply factory-default configuration:

Clear all configuration
WARNING: DHCPD bindings cleared on interface 'inside', address pool removed
Executing command: interface Ethernet 0/0
Executing command: switchport access vlan 2
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/1
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
<output omitted>
c. Revise esta salida y preste especial atención a las interfaces VLAN, las secciones relacionadas con NAT
y DHCP. Estos se configurarán más adelante en este laboratorio mediante la CLI.
d. Es posible que desee capturar e imprimir la configuración predeterminada de fábrica como referencia.
Utilice el programa de emulación de terminal para copiarlo del ASA y pegarlo en un documento de texto.
A continuación, puede editar este archivo si lo desea, de modo que contenga sólo comandos válidos.
Debe eliminar los comandos de contraseña e ingresar el comando no shut para que aparezcan las
interfaces deseadas.
Step 5: Borre las opciones de configuración de ASA anteriores.

a. Utilice el comando write erase para eliminar el archivo startup-config de la memoria flash.
ciscoasa# write erase
Erase configuration in flash memory? [confirm]
[OK]
ciscoasa#
ciscoasa# show start

No Configuration
Nota: El comando IOS erase startup-config no es compatible con el ASA.
b. Utilice el comando reload para reiniciar el ASA. Esto hace que el ASA aparezca en modo de
configuración de CLI. Si se le indica que la configuración se ha modificado y debe guardarse, responda
con N y, a continuación, presione Entrar para continuar con la recarga.
ciscoasa# reload
Proceed with reload? [confirm]
ciscoasa#
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Process shutdown finished

Rebooting.....
CISCO SYSTEMS
Embedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45
<output omitted>
Step 6: Utilice el modo de configuración interactiva de la CLI para configurar las opciones
básicas.
Cuando el ASA complete el proceso de recarga, debería detectar que falta el archivo startup-config y
presentar una serie de mensajes interactivos para configurar los ajustes básicos de ASA. Si no aparece en
este modo, repita el paso 5. Como alternativa, puede ejecutar el comando setup en el indicador del modo de
configuración global, pero primero debe crear una interfaz VLAN (VLAN 1), asignar un nombre a la
administración de VLAN (mediante el comando nameif) y asignar una dirección IP a la VLAN.
Nota: El modo de solicitud interactiva no configura el ASA con los valores predeterminados de fábrica como
se describe en el paso 4. Este modo se puede utilizar para configurar ajustes básicos mínimos, como el
nombre de host, el reloj y las contraseñas. También puede ir directamente a la CLI para configurar los
ajustes de ASA, como se describe en la Parte 3.
a. Responda a las indicaciones interactivas del programa de instalación como se muestran aquí, después
de que se vuelva a cargar el ASA.
Pre-configure Firewall now through interactive prompts [yes]? <Enter>
Firewall Mode [Routed]: <Enter>
Enable password [<use current password>]: class
Allow password recovery [yes]? <Enter>
Clock (UTC):
Year [2015]: <Enter>
Month [Apr]: <Enter>
Day [19]: <Enter>
Time [23:32:19]: <Enter>
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: ASA-Init
Domain name: generic.com
IP address of host running Device Manager: <Enter>
The following configuration will be used:

Enable password: cisco
Allow password recovery: yes
Clock (UTC): 23:32:19 Apr 19 2015
Firewall Mode: Routed
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: ASA-Init
Domain name: generic.com
Use this configuration and save to flash? [yes] yes

INFO: Security level for "management" set to 0 by default.
Cryptochecksum: c8a535f0 e273d49e 5bddfd19 e12566b1
2070 bytes copied in 0.940 secs

Type help or '?' for a list of available commands.
ASA-Init>
Nota: En la configuración anterior, la dirección IP del host que ejecuta ASDM se dejó en blanco. No es
necesario instalar ASDM en un host. Se puede ejecutar desde la memoria flash del propio dispositivo
ASA utilizando el navegador del host.
Nota: Las respuestas a las solicitudes se almacenan automáticamente en el startup-config y en la
configuración en ejecución. Sin embargo, el sistema operativo ASA inserta comandos adicionales
relacionados con la seguridad, como una directiva de servicio de inspección predeterminada global, en la
configuración en ejecución.
b. Introduzca el modo EXEC privilegiado con el comando enable (habilitador). Introduzca la clase para la
contraseña.
c. Ejecute el comando show run para ver los comandos de configuración adicionales relacionados con la
seguridad que inserta el ASA.
d. Ejecute el comando copy run start para capturar los comandos adicionales relacionados con la
seguridad en el archivo startup-config.
Part 3: Configuración de los ajustes de ASA y la seguridad de la interfaz

mediante la CLI
En la Parte 3, configurará las opciones básicas mediante la CLI ASA, aunque algunas de ellas ya se habían
configurado mediante las indicaciones interactivas del modo de instalación de la Parte 2. En esta parte,
comenzará con los ajustes configurados en la Parte 2 y luego los agregará o modificará para crear una
configuración básica completa.
Tip: Muchos comandos de la CLI de ASA son similares, si no iguales, a los que se usan con la CLI de Cisco
IOS. Además, el proceso de moverse entre modos de configuración y submodos es esencialmente el mismo.
Nota: Debe completar la Parte 2 antes de comenzar la Parte 3.
Step 1: Configure el nombre de host y el nombre de dominio.

a. Introduzca el modo de configuración global mediante el comando config t. La primera vez que entre en
modo de configuración después de ejecutar el programa de instalación, se le pedirá que habilite los
informes anónimos. Responda con no.
ASA-Init# config t
ASA-Init(config)#
***************************** NOTICE *****************************
Help to improve the ASA platform by enabling anonymous reporting,

which allows Cisco to securely receive minimal error and health
information from the device. To learn more about this feature,
please visit: http://www.cisco.com/go/smartcall
Would you like to enable anonymous error reporting to help improve

the product? [Y]es, [N]o, [A]sk later: n
In the future, if you would like to enable this feature,
issue the command "call-home reporting anonymous".
Please remember to save your configuration.
b. Configure el nombre de host ASA mediante el comando hostname.

ASA-Init(config)# hostname CCNAS-ASA
c. Configure el nombre de dominio mediante el comando domain-name.
CCNAS-ASA(config)# domain-name ccnasecurity.com
Step 2: Configure las contraseñas de inicio de sesión y de modo de habilitación.

a. La contraseña de inicio de sesión se utiliza para conexiones Telnet (y SSH anteriores a ASA versión 8.4).
De forma predeterminada, se establece en cisco, pero dado que se borró la configuración de inicio
predeterminada, tiene la opción de configurar la contraseña de inicio de sesión utilizando el comando
passwd o password. Este comando es opcional porque más adelante en el laboratorio configuraremos
el ASA para SSH, y no el acceso Telnet.
CCNAS-ASA(config)# passwd cisco
b. Configure la contraseña del modo EXEC privilegiado (habilitar) mediante el comando enable password.
CCNAS-ASA(config)# enable password class
Step 3: Establezca la fecha y la hora.

La fecha y la hora se pueden configurar manualmente mediante el comando clock set. La sintaxis del
comando clock set es clock set hh:mm:ss {month day | day month} year. En el ejemplo siguiente se muestra
cómo establecer la fecha y la hora mediante un reloj de 24 horas:
CCNAS-ASA(config)# clock set 19:09:00 april 19 2015
Step 4: Configure las interfaces interior y exterior.

Notas de la interfaz ASA 5505:
El 5505 es diferente de los otros modelos ASA de la serie 5500. Con otros ASA, al puerto físico se le puede
asignar una dirección IP de capa 3 directamente, al igual que un enrutador Cisco. Con el ASA 5505, los ocho
puertos de switch integrados son puertos de capa 2. Para asignar parámetros de capa 3, debe crear una
interfaz virtual de conmutador (SVI) o una interfaz VLAN lógica y, a continuación, asignarle uno o varios de
los puertos físicos Layer 2. Los ocho puertos del switch se asignan inicialmente a VLAN 1, a menos que la
configuración predeterminada de fábricaesté presente, en cuyo caso, el puerto E0/0 se asigna a VLAN 2. En
este paso, creará interfaces VLAN internas y externas, las nombrará, asignará direcciones IP y establecerá el
nivel de seguridad de la interfaz.
Si completó la utilidad de configuración inicial, la VLAN de interfaz 1 se configura como la VLAN de
administración con una dirección IP de 192.168.1.1. Lo configurará como la interfaz interna para este
laboratorio. Solo configurará las interfaces VLAN 1 (dentro) y VLAN 2 (fuera) en este momento. La interfaz
VLAN 3 (dmz) se configurará en la Parte 6 del laboratorio.
a. Configure una interfaz lógica VLAN 1 para la red interna (192.168.1.0/24) y establezca el nivel de
seguridad en la configuración más alta de 100.
CCNAS-ASA(config)# interface vlan 1
CCNAS-ASA(config-if)# nameif inside
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)# security-level 100
b. Cree una interfaz lógica VLAN 2 para la red externa (209.165.200.224/29), establezca el nivel de
seguridad en la configuración más baja de 0 y acceda a la interfaz VLAN 2.
CCNAS-ASA(config-if)# interface vlan 2

CCNAS-ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.

CCNAS-ASA(config-if)# no shutdown
Interfaz de nivel de seguridad notes:
Puede recibir un mensaje que indica que el nivel de seguridad de la interfaz interna se estableció
automáticamente en 100 y la interfaz externa se estableció en 0. El ASA utiliza niveles de seguridad de
interfaz de 0 a 100 para aplicar la directiva de seguridad. La seguridad level 100 (interior) es la más segura y
el nivel 0 (exterior) es la menos segura.
De forma predeterminada, el ASA aplica una directiva en la que se permite el tráfico de una interfaz de nivel
de seguridad superior a una con un nivel inferior y se deniega el tráfico de una interfaz de nivel de seguridad
inferior a una con un nivel de seguridad más alto. La directiva de seguridad predeterminada de ASA permite
el tráfico saliente, que se inspecciona, de forma predeterminada. Se permite el tráfico de retorno debido a la
inspección de paquetes con estado. Este comportamiento predeterminado de firewall de "modo enrutado" del
ASA permite que los paquetes se enruten desde la red interna a la red externa, pero no al revés. En la Parte
4 de este laboratorio, configurará NAT para aumentarla protección del firewall.
c. Utilice el comando show interface para asegurarse de que los puertos ASA de capa 2 E0/0 (para VLAN
2) y E0/1 (para VLAN 1) estén activos. Se muestra un ejemplo para E0/0. Si alguno de los puertos se
muestra como abajo /abajo, compruebe las conexiones físicas. Si alguno de los puertos está inactivo
administrativamente, hágalo con el comando no shutdown.
CCNAS-ASA# show interface e0/0
Interface Ethernet0/0 "", is administratively down, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
<output omitted>
d. Asigne el puerto ASA Layer 2 E0/1 a VLAN 1 y el puerto E0/0 a VLAN 2. Use el comando de no
shutdown para asegurarse de que estén activos.
CCNAS-ASA(config)# interface e0/1
CCNAS-ASA(config-if)# switchport access vlan 1
CCNAS-ASA(config-if)# interface e0/0
Nota: Aunque E0/1 está en VLAN 1 de forma predeterminada, los comandos se proporcionan
anteriormente.
e. Muestre el estado de todas las interfaces ASA mediante el comando show interface ip brief.
Nota: Este comando es diferente del comando show ip interface brief IOS. Si alguna de las interfaces
físicas o lógicas configuradas previamente no está activa/activa, solucione los problemas según sea
necesario antes de continuar.
Consejo: La mayoría de los comandos de ASA show, así como ping, copy y otros, se pueden emitir
desde cualquier indicador del modo de configuración sin el comando do que se requiere con IOS.
CCNAS-ASA(config)# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset up up

Ethernet0/3 unassigned YES unset down down
Internal-Data0/0 unassigned YES unset up up
Vlan1 192.168.1.1 YES manual up up
Virtual0 127.0.0.1 YES unset up up
f. Muestre la información de las interfaces VLAN de capa 3 mediante el comando show ip address .
CCNAS-ASA(config)# show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Current IP Addresses:
g. Utilice el comando show switch vlan para mostrar las VLAN internas y externas configuradas en el
ASA y para mostrar los puertos asignados.
CCNAS-ASA# show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 inside up Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside up Et0/0
h. También puede utilizar el comando show running-config interface type/number para mostrar la
configuración de una interfaz determinada desde la configuración en ejecución.
CCNAS-ASA# show run interface vlan 1
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
Step 5: Pruebe la conectividad con el ASA.

a. Asegúrese de que PC-B tenga una dirección IP estática de 192.168.1.3, una máscara de subred de
255.255.255.0 y una puerta de enlace predeterminada de 192.168.1.1 (la dirección IP de ASA VLAN 1
dentro de la interfaz).
b. Debería poder hacer ping desde PC-B a la dirección de interfaz interna de ASA y hacer ping desde ASA
a PC-B. Si los pings fallan, solucione los problemas de configuración según sea necesario.
CCNAS-ASA# ping 192.168.1.3
Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
c. Desde PC-C, haga ping a la interfaz VLAN 2 (externa) en la dirección IP 209.165.200.226. No debería
poder hacer ping a esta dirección.
Step 6: Configure el acceso ASDM al ASA.

a. Puede configurar el ASA para aceptar conexiones HTTPS mediante el comando http. Esto permite el
acceso a la GUI ASA (ASDM). Configure el ASA para permitir conexiones HTTPS desde cualquier host
de la red interna (192.168.1.0/24).
CCNAS-ASA(config)# http server enable
CCNAS-ASA(config)# http 192.168.1.0 255.255.255.0 inside
b. Abra un navegador en PC-B y pruebe el acceso HTTPS al ASA ingresando https://192.168.1.1. Se le
pedirá una advertencia de certificado de seguridad. Haga clic en Continuar. Haga clic en Sí para ver las
demás advertencias de seguridad. Debería ver la pantalla de bienvenida de Cisco ASDM que le permite:
Instalar ASDM Launcher y ejecutar ASDM, Ejecutar ASDM o Ejecutar asistente de inicio.
Nota: Si no puede iniciar ASDM, la dirección IP debe agregarse a la lista de direcciones IP permitidas en
Java.
1) Acceda al Panel de control de Windows y haga clic en Java.
2) En el Panel de control de Java, seleccione la ficha Seguridad. Haga clic en Editar lista de sitios.
3) En la lista Sitio de excepción, haga clic en Agregar. En el campo Ubicación, escriba
https://192.168.1.1.
4) Haga clic en Aceptar para agregar la dirección IP.
5) Compruebe que se ha agregado la dirección IP. Haga clic en Aceptar para aceptar los cambios.
c. Cierre el navegador. En el siguiente laboratorio, usará ASDM ampliamente para configurar el ASA. El
objetivo aquí no es utilizar las pantallas de configuración de ASDM, sino verificar la conectividad
HTTP/ASDM con el ASA. Si no puede acceder a ASDM, compruebe las configuraciones. Si las
configuraciones son correctas, póngaseen contacto con su instructor para obtener más ayuda.
Part 4: Configuración de la directiva de enrutamiento, traducción de

direcciones e inspección mediante la CLI
En la Parte 4 de este laboratorio, proporcionará una ruta predeterminada para que el ASA llegue a las redes
externas. Configurará la traducción de direcciones utilizando objetos de red para mejorar la seguridad del
firewall. A continuación, modificará la directiva de inspección de aplicaciones predeterminada para permitir un
tráfico específico.
Nota: Debe completar la Parte 3 antes de continuar con la Parte 4.
Step 1: Configure una ruta predeterminada estática para el ASA.

En la Parte 3, configuró la interfaz externa ASA con una dirección IP estática y una máscara de subred. Sin
embargo, la ASA no tiene definida una puerta de enlace de último recurso. Para permitir que el ASA llegue a
redes externas, configurará una ruta estática predeterminada en la interfaz externa del ASA.
Nota: Si la interfaz externa ASA está configurada como cliente DHCP, podría obtener una dirección IP de
puerta de enlace predeterminada del ISP. Sin embargo, en este laboratorio, la interfaz externa se configura
con una dirección estática.
a. Haga ping del ASA al R1 G0/0 en la dirección IP 209.165.200.225. ¿El ping fue exitoso?
b. Haga ping del ASA al R1 S0/0/0 en la dirección IP 10.1.1.1. ¿El ping fue exitoso?
c. Cree una ruta predeterminada "quad zero" utilizando el comando route, asócielo con la interfaz externa
ASA y apunte al R1 G 0/0 en la dirección IP 209.165.200.225 como puerta de enlace de último recurso.
La distancia administrativa predeterminada es una por defecto.
CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225
d. Ejecute el comando show route para mostrar la tabla de enrutamiento ASA y la ruta predeterminada
estática que acaba de crear.
CCNAS-ASA# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 209.165.200.225 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 209.165.200.225, outside

C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside
C 209.165.200.224 255.255.255.248 is directly connected, outside
L 209.165.200.226 255.255.255.255 is directly connected, outside
e. Haga ping del ASA al R1 S0/0/0 dirección IP 10.1.1.1. ¿El ping fue exitoso?
Step 2: Configure la traducción de direcciones mediante PAT y objetos de red.

Nota: A partir de la versión 8.3 de ASA, los objetos de red se utilizan para configurar todas las formas de
NAT. Se crea un objeto de red y es dentro de este objeto donde se configura NAT. En el paso 2a, el
objeto de red INSIDE-NET se utiliza para traducir las direcciones de red internas (192.168.10.0/24) a la
dirección global de la interfaz ASA externa. Este tipo de configuración de objetos se denomina Auto-NAT.
a. Cree el objeto de red INSIDE-NET y asígnele atributos mediante los comandos subnet y nat.
CCNAS-ASA(config)# object network INSIDE-NET
CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic interface
CCNAS-ASA(config-network-object)# end
b. El ASA divide la configuración en la parte del objeto que define la red que se va a traducir y los
parámetros reales del comando nat. Estos aparecen en dos lugares diferentes en la configuración en
ejecución. Muestre la configuración del objeto NAT mediante los comandos show run object y show run
nat.
CCNAS-ASA# show run object

object network INSIDE-NET
subnet 192.168.1.0 255.255.255.0
CCNAS-ASA# show run nat

!
nat (inside,outside) dynamic interface
c. Desde PC-B, intente hacer ping a la interfaz R1 G 0/0 en la dirección IP 209.165.200.225. ¿Tuvieron
éxito los pings?
d. Ejecute el comando show nat en el ASA para ver los resultados traducidos y no traducidos. Tenga en
cuenta que, de los pings de PC-B, cuatro fueron traducidos y cuatro no fueron porque ICMP no está
siendo inspeccionado por la política de inspección global. Los pings salientes (ecos) se tradujeron y las
respuestas de eco devueltas fueron bloqueadas por la directiva de firewall. Configurará la directiva de
inspección predeterminada para permitir ICMP en el siguiente paso. Nota: Dependiendo de los procesos
y demonios que se ejecuten en la computadora particular utilizada como PC-B, es posible que vea más
visitas traducidas y no traducidas que las cuatro solicitudes de eco y las respuestas de eco.
CCNAS-ASA# show nat
Auto NAT Policies (Section 2)

1 (inside) to (outside) source dynamic INSIDE-NET interface
translate_hits = 4, untranslate_hits = 4
e. Haga ping de PC-B a R1 nuevamente y emita rápidamente el comando show xlate para ver las
direcciones que se traducen.
CCNAS-ASA# show xlate
1 in use, 28 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
ICMP PAT from inside:192.168.1.3/512 to outside:209.165.200.226/21469 flags ri idle

0:00:03 timeout 0:00:30
Nota: Las banderas (r e i) indican que la traducción se basó en un mapa de puertos (r) y se realizó
dinámicamente (i).
f. Abra un navegador en PC-B e ingrese la dirección IP de R1 G0 / 0 (209.165.200.225). En una ventana
emergente, R1 debería indicarle que se requiere autenticación. El tráfico HTTP basado en TCP está
permitido, de forma predeterminada, por la directiva de inspección de firewall.
g. En el ASA, vuelva a emitir los comandos show nat y show xlate para ver los hits y las direcciones que
se traducen para la conexión HTTP.
Step 3: Modifique la directiva de servicio global de inspección de aplicaciones MPF

predeterminada.
Para la inspección de la capa de aplicación, así como otras opciones avanzadas, el MPF de Cisco está
disponible en ASA. Cisco MPF utiliza tres objetos de configuración para definir políticas modulares,
orientadas a objetos y jerárquicas:
• Class maps: Define un criterio de coincidencia.
• Policy maps: Asocia acciones a los criterios de coincidencia.
• Service policies: adjunte el mapa de políticas a una interfaz o globalmente a todas las interfaces del
dispositivo.
a. Mostrar el mapa de directivas MPF predeterminado que realiza la inspección del tráfico de interior a
exterior. Solo el tráfico que se inició desde el interior puede volver a entrar en la interfaz externa.
Observe que falta el protocolo ICMP .
CCNAS-ASA# show run | begin class
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
<output omitted>
b. Agregue la inspección del tráfico ICMP a la lista de mapas de políticas mediante los siguientes
comandos:
CCNAS-ASA(config)# policy-map global_policy
CCNAS-ASA(config-pmap)# class inspection_default
CCNAS-ASA(config-pmap-c)# inspect icmp
c. Muestre el mapa de política MPF predeterminado para verificar que ICMP ahora aparece en las reglas
de inspección.
CCNAS-ASA(config-pmap-c)# show run policy-map
!
parameters

inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
d. Desde PC-B, intente hacer ping a la interfaz R1 G 0/0 en la dirección IP 209.165.200.225. Los pings
deberían tener éxito esta vez porque el tráfico ICMP ahora se está inspeccionando y se está permitiendo
el tráfico de retorno legítimo.
Part 5: Configuración de DHCP, AAA y SSH

En la Parte 5, configurará las características de ASA, como DHCP y la seguridad de inicio de sesión
mejorada, mediante AAA y SSH.
Nota: Debe completar la Parte 4 antes de comenzar la Parte 5.
Step 1: Configure el ASA como un servidor DHCP.

El ASA puede ser tanto un servidor DHCP como un cliente DHCP. En este paso, configurará el ASA como un
servidor DHCP para asignar dinámicamente direcciones IP para clientes DHCP en la red interna.
a. Configure un grupo de direcciones DHCP y habilítelo en la interfaz interna de ASA. Este es el rango de
direcciones que se asignarán dentro de los clientes DHCP. Intente establecer el intervalo de 192.168.1.5
a 192.168.1.100.
CCNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.100 inside
Warning, DHCP pool range is limited to 32 addresses, set address range as:
192.168.1.5-192.168.1.36
¿Fuiste capaz de hacer esto en este ASA?
b. Repita el comando dhcpd y especifique el grupo como 192.168.1.5-192.168.1.36

CNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 inside
c. (Opcional) Especifique la dirección IP del servidor DNS que se proporcionará a los clientes.
CCNAS-ASA(config)# dhcpd dns 209.165.201.2
Nota: Se pueden especificar otros parámetros para los clientes, como el servidor WINS, la duración de la
concesión y el nombre de dominio. De forma predeterminada, el ASA establece su propia dirección IP
como puerta de enlace predeterminada de DHCP, por lo que no es necesario configurarla. Sin embargo,
para configurar manualmente la puerta de enlace predeterminada o establecerla en la dirección IP de un

dispositivo de red diferente, use el siguiente comando:
CCNAS-ASA(config)# dhcpd option 3 ip 192.168.1.1
d. Habilite el demonio DHCP dentro del ASA para escuchar las solicitudes del cliente DHCP en la interfaz
habilitada (dentro).
CCNAS-ASA(config)# dhcpd enable inside
e. Compruebe la configuración del demonio DHCP mediante el comando show run dhcpd.
CCNAS-ASA(config)# show run dhcpd
dhcpd dns 209.165.201.2
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
f. Acceda a las Propiedades IP de conexión de red para PC-B y cámbielo de una dirección IP estática a un
cliente DHCP para que obtenga una dirección IP automáticamente del servidor DHCP ASA. El
procedimiento para hacer esto varía dependiendo del sistema operativo de la PC. Puede ser necesario
emitir el comando ipconfig /renew en PC-B para forzarlo a obtener una nueva dirección IP del ASA.
Step 2: Configure AAA para usar la base de datos local para la autenticación.
a. Defina un usuario local denominado admin introduciendo el comando username. Especifique una
contraseña de cisco12345.
CCNAS-ASA(config)# username admin password cisco12345
b. Configure AAA para usar la base de datos ASA local para la autenticación de usuarios SSH.
CCNAS-ASA(config)# aaa authentication ssh console LOCAL
Nota: Para mayor seguridad, starting con ASA versión 8.4(2), configure la autenticación AAA para admitir
conexiones SSH. No se admite el inicio de sesión predeterminado de Telnet/SSH. Ya no puede conectarse al
ASA mediante SSH con el nombre de usuario predeterminado y la contraseña de inicio de sesión.
Step 3: Configure el acceso remoto SSH al ASA.

Puede configurar el ASA para aceptar conexiones SSH desde un único host o un rango de hosts en la red
interna o externa.
a. Genere un par de claves RSA, que es necesario para admitir conexiones SSH. El módulo (en bits)
puede ser 512, 768, 1024 o 2048. Cuanto mayor sea el tamaño del módulo de clave que especifique,
más tiempo se tardará en generar un RSA. Especifique un módulo de 1024 mediante el comando
crypto key.
CCNAS-ASA(config)# crypto key generate rsa modulus 1024
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait...
Nota: Es posible que reciba un mensaje que indica que ya se ha definido un par de claves RSA. Para
reemplazar el par de claves RSA, escriba yes en el símbolo del sistema.
b. Guarde las claves RSA en una memoria flash persistente mediante el comando copy run start o write
mem.
CCNAS-ASA# write mem
Building configuration...
Cryptochecksum: 3c845d0f b6b8839a f9e43be0 33feb4ef
3270 bytes copied in 0.890 secs
[OK]
c. Configure el ASA para permitir conexiones SSH desde cualquier host de la red interna (192.168.1.0/24) y
desde el host de administración remota de la sucursal (172.16.3.3) de la red externa. Establezca el
tiempo de espera SSH en 10 minutos (el valor predeterminado es 5 minutos).
CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside
CCNAS-ASA(config)# ssh timeout 10
d. En PC-C, utilice un cliente SSH (como PuTTY) para conectarse a la interfaz externa ASA en la dirección
IP 209.165.200.226. La primera vez que se conecte, es posible que el cliente SSH le pida que acepte la
clave de host RSA del servidor SSH ASA. Inicie sesión como administrador de usuarios y proporcione la
contraseña cisco12345. También puede conectarse a la interfaz interna ASA desde un archivo PC-B
SSHutilizando la dirección IP 192.168.1.1.
Part 6: Configuración de DMZ, NAT estática y ACL

Anteriormente, configuraba la traducción de direcciones mediante PAT para la red interna. En esta parte del
laboratorio, creará una DMZ en el ASA, configurará NAT estática en un servidor DMZ y aplicará ACL para
controlar el acceso al servidor.
Para acomodar la adición de una DMZ y un servidor web, utilizará otra dirección del rango ISP asignado
209.165.200.224 /29 (.224-.231). El router R1 G 0/0 y la interfaz externa ASA ya están utilizando
209.165.200.225 y .226. Utilizará la dirección pública 209.165.200.227 y la NAT estática para proporcionar
acceso de traducción de direcciones al servidor.
Step 1: Configure la VLAN 3 de la interfaz DMZ en el ASA.

a. Configure DMZ VLAN 3, que es donde residirá el servidor web de acceso público. Asigne la dirección IP
VLAN 3 192.168.2.1/24, asígnele el nombre dmz y asigne un nivel de seguridad de 70.
Nota: Si está trabajando con la licencia ASA 5505 Base, verá el mensaje de error que se muestra en la
salida a continuación. La licencia ASA 5505 Base permite la creación de hasta tres interfaces VLAN con
nombre. Sin embargo, debe deshabilitar la comunicación entre la tercera interfaz y una de las otras
interfaces mediante el comando no forward. Esto no es un problema si la ASA tiene una licencia
Security Plus, que permite 20 VLAN con nombre.
Debido a que el servidor no necesita iniciar la comunicación con los usuarios internos, deshabilite el
reenvío a la interfaz VLAN 1.
CCNAS-ASA(config)# interface vlan 3
CCNAS-ASA(config-if)# nameif dmz
ERROR: This license does not allow configuring more than 2 interfaces with
nameif and without a "no forward" command on this interface or on 1 interface(s)
with nameif already configured.
CCNAS-ASA(config-if)# no forward interface vlan 1

CCNAS-ASA(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
CCNAS-ASA(config-if)# security-level 70
CCNAS-ASA(config-if)# no shut
b. Asigne la interfaz física ASA E0/2 a DMZ VLAN 3 y habilite la interfaz.
CCNAS-ASA(config-if)# interface Ethernet0/2

CCNAS-ASA(config-if)# no shut
c. Muestre el estado de todas las interfaces ASA mediante el comando show interface ip brief.
CCNAS-ASA # show interface ip brief
Interface IP-Address OK? Method Status Protocol
Virtual0 127.0.0.1 YES unset up up
d. Muestre la información de las interfaces VLAN de capa 3 mediante el comando show ip address.
CCNAS-ASA # show ip address
System IP Addresses:
Vlan3 dmz 192.168.2.1 255.255.255.0 manual
<output omitted>
e. Muestre las VLAN y las asignaciones de puertos en el ASA mediante el comando show switch vlan.
CCNAS-ASA(config)# show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 inside up Et0/1, Et0/3, Et0/4, Et0/5
Et0/6, Et0/7
2 outside up Et0/0
3 dmz up Et0/2
Step 2: Configure NAT estática en el servidor DMZ mediante un objeto de red.

Configure un objeto de red denominado dmz-server y asígnele la dirección IP estática del servidor DMZ
(192.168.2.3). Mientras está en modo de definición de objetos, utilice el comando nat para especificar que
este objeto se utiliza para traducir una dirección DMZ a una dirección externa mediante NAT estática y
especifique una dirección traducida pública de 209.165.200.227.
CCNAS-ASA(config)# object network dmz-server
CCNAS-ASA(config-network-object)# host 192.168.2.3
CCNAS-ASA(config-network-object)# nat (dmz,outside) static 209.165.200.227
Step 3: Configure una ACL para permitir el acceso al servidor DMZ desde Internet.
Configure una lista de acceso con nombre (OUTSIDE-DMZ) que permita cualquier protocolo IP desde
cualquier host externo a la dirección IP interna del servidor DMZ. Aplique la lista de acceso a la interfaz
externa ASA en la dirección IN.
CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit ip any host 192.168.2.3
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside
Nota: A diferencia de las ACL IOS, la declaración de permiso ASA ACL debe permitir el acceso a la dirección
DMZ privada interna. Los hosts externos acceden al servidor utilizando su dirección NAT estática pública, el
ASA la traduce a la dirección IP del host interno y, a continuación, aplica la ACL.
Puede modificar esta ACL para permitir solo los servicios que desea que se expongan a hosts externos,
como web (HTTP) o transferencia de archivos (FTP).
Step 4: Pruebe el acceso al servidor DMZ.

a. Cree una interfaz de bucle invertido 0 en Internet R2 que represente un host externo. Asigne la dirección
IP Lo0 172.30.1.1 y una máscara de 255.255.255.0. Haga ping a la dirección pública del servidor DMZ
desde R2 utilizando la interfaz de bucle invertido como origen del ping. Los pings deberían ser exitosos.
R2(config-if)# interface lo0
R2(config-if)# ip address 172.30.1.1 255.255.255.0
R2(config-if)# end
R2# ping 209.165.200.227 source lo0
Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 209.165.200.227, timeout is 2 seconds:
Packet sent with a source address of 172.30.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
b. Borre los contadores NAT mediante el comando clear nat counters.

CCNAS-ASA# clear nat counters
c. Ping desde PC-C al servidor DMZ en la megafonía 209.165.200.227. Los pings deberían ser exitosos.
d. Ejecute los comandos show nat y show xlate en el ASA para ver el efecto de los pings. Se muestran las
directivas PAT (de adentro hacia fuera) como de NAT estática (dmz hacia fuera).
CCNAS-ASA# show nat
Auto NAT Policies (Section 2)

1 (dmz) to (outside) source static dmz-server 209.165.200.227
2 (inside) to (outside) source dynamic INSIDE-NET interface

Nota: Los comentarios de adentro hacia afuera son éxitos traducidos. Los pings de PC-C fuera del host a
la DMZ se consideran hits no traducidos.
CCNAS-ASA# show xlate
1 in use, 3 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from dmz:192.168.2.3 to outside:209.165.200.227

flags s idle 0:22:58 timeout 0:00:00
Nota: Esta vez la bandera es "s", que indica una traducción estática.
e. También puede acceder al servidor DMZ desde un host en la red interna porque la interfaz interna ASA
(VLAN 1) está configurada en un nivel de seguridad de 100 (el más alto) y la interfaz DMZ (VLAN 3) está
configurada en 70. El ASA actúa como un enrutador entre las dos redes. Haga ping a la dirección interna
del servidor DMZ (PC-A) (192.168.2.3) desde el interior de la red host PC-B (192.168.1.X). Los ping
deberían tener éxito debido al nivel de seguridad de la interfaz y al hecho de que la política de sección de
inspección global está inspeccionando ICMP en la interfaz interna. Los pings de la PC-B a la PC-A no
afectarán los recuentos de traducción de NAT porque tanto la PC-B como la PC-A están detrás del
firewall y no se realiza ninguna traducción.
f. El servidor DMZ no puede hacer ping a PC-B en la red interna porque la VLAN 3 de la interfaz DMZ tiene
un nivel de seguridad más bajo y porque se especificó el comando no forward cuando se creó la interfaz
VLAN 3. Intente hacer ping desde el servidor DMZ PC-A a PC-B en la dirección IP 192.168.1.3. Los
pings no deberían tener éxito.
g. Utilice el comando show run para mostrar la configuración de VLAN 3.
CCNAS-ASA# show run interface vlan 3
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 70
ip address 192.168.2.1 255.255.255.0
Nota: Se puede aplicar una lista de acceso a la interfaz interna para controlar el tipo de acceso que se
permitirá o denegará al servidor DMZ desde dentro de los hosts.
Reflexión
¿En qué se diferencia la configuración del firewall ASA de la de un ISR?
¿Qué utiliza la ASA para definir la traducción de direccionesy cuál es el beneficio?
¿Cómo utiliza el ASA 5505 interfaces lógicas y físicas para gestionar la seguridad y en qué se diferencia de otros
modelos ASA?
Tabla de resumen de la interfaz del enrutador
Resumen de la interfaz del router
Modelo de Interfaz Ethernet #1 Interfaz Ethernet #2 Interfaz serie #1 Interfaz serie #2

router
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para saber cómo está configurado el router, mire las interfaces para identificar el tipo de router y cuántas
interfaces tiene. No hay forma de enumerar eficazmente todas las combinaciones de configuraciones para cada
clase de enrutador. Esta tabla incluye identificadores para las posibles combinaciones de interfaces Ethernet y
serie en el dispositivo. La tabla no incluye ningún otro tipo de interfaz, aunque un router específico puede
contener una. Un ejemplo de esto podría ser una interfaz RDSI BRI. La cadena entre paréntesis es la
abreviatura legal que se puede utilizar en Cisco IOS commands para representar la interfaz.
Device Configs
Note: ISR G2 devices have GigabitEthernet interfaces instead of FastEthernet Interfaces.
ASA 5505 Final Config

CCNAS-ASA# show run
: Saved
:
ASA Version 9.2(3)
!
hostname CCNAS-ASA
domain-name ccnasecurity.com
enable password PmNe1e0C3tJdCLe8 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny udp any4 any4 eq domain
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
!
!
!
!
!
!
!
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 209.165.200.226 255.255.255.248
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 70
ip address 192.168.2.1 255.255.255.0
!
ftp mode passive
dns server-group DefaultDNS
domain-name ccnasecurity.com
subnet 192.168.1.0 255.255.255.0
object network dmz-server
host 192.168.2.3
access-list OUTSIDE-DMZ extended permit ip any host 192.168.2.3
pager lines 24
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network dmz-server
nat (dmz,outside) static 209.165.200.227
access-group OUTSIDE-DMZ in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.200.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 10
ssh stricthostkeycheck
ssh 192.168.1.0 255.255.255.0 inside
ssh 172.16.3.3 255.255.255.255 outside
ssh timeout 10
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd dns 209.165.201.2

!
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username admin password Km9FNismGAXIMvno encrypted
!
parameters
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DD
CEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ASA 5505 Factory Default Config

ciscoasa# show run
: Saved
:
ASA Version 9.2(3)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
!
!
!
!
!
!
!
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj_any
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable

http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
no ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd auto_config outside

!
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
!
parameters
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
prompt hostname context
Cryptochecksum:ebed818bf5232b30d711778af9f34720
: end
Router R1
R1# show run
Current configuration : 1626 bytes

!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
security passwords min-length 10
enable secret 9 $9$ClZUh5YnAAiTdE$DAuM/C/VKMJPCkKFm17JBCll.2zs4XXF84M15EophQk
!
no aaa new-model
!
!
ip domain name ccnasecurity.com
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
username admin01 secret 9
$9$QyoiaBEQk.ewRE$6KLtQh25dXf3xiiGN87zBZfT6dtLMRlAi2L5vxFsKgM
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 209.165.200.225 255.255.255.248
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 64000
!
no ip address
shutdown
clock rate 2000000
!
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
login local
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input ssh
!
scheduler allocate 20000 1000
!
end
Router R2
R2# show run

!
version 15.4
!
hostname R2
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
ip cef
no ipv6 cef
!
!
cts logging verbose
!
!
redundancy
!
interface Loopback0
ip address 172.30.1.1 255.255.255.0
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.252
!
ip address 10.2.2.2 255.255.255.252
clock rate 64000
!
!
no ip http server
!
ip route 172.16.3.0 255.255.255.0 Serial0/0/1
ip route 209.165.200.224 255.255.255.248 Serial0/0/0
!
control-plane
!
line con 0
line aux 0
line 2
no exec
stopbits 1
line vty 0 4
login
transport input none
!
!
end
Router R3
R3# show run

!
version 15.4
!
hostname R3
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
ip cef
no ipv6 cef
!

!
cts logging verbose
!
redundancy
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 172.16.3.1 255.255.255.0
duplex auto
speed auto
!
no ip address
shutdown
clock rate 2000000
!
ip address 10.2.2.1 255.255.255.252
!
!
no ip http server
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
!
control-plane
!
line con 0
line aux 0
line 2
no exec
stopbits 1
line vty 0 4
login
transport input none
!
!
end
Switches S1, S2, and S3 – Use default configs, except for host name

9.3.1.2 Lab - Configure ASA Basic Settings and Firewall Using CLI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

9.3.1.2 Lab - Configure ASA Basic Settings and Firewall Using CLI

Cargado por

Copyright:

Formatos disponibles

CCNA Security

Chapter 9 Lab A: Configuración de Parámetros Básicos y Firewall

Device Interface IP Address Subnet Mask Default Gateway Switch Port

G0/0 209.165.200.225 255.255.255.248 N/A ASA E0/0

• Configure las interfaces interior y exterior.

Part 1: Configuración básica del router/switch/PC

Step 1: Cablee la red y borre la configuración anterior del dispositivo.

Step 2: Configure los ajustes básicos para enrutadores y conmutadores.

Step 3: Configure el enrutamiento estático en los enrutadores.

R2(config)# ip route 209.165.200.224 255.255.255.248 Serial0/0/0

Step 5: Configure las opciones de IP del host del equipo.

Step 6: Verifique la conectividad.

Step 7: Guarde la configuración básica de ejecución para cada enrutador y conmutador.

Part 2: Acceso a la consola ASA y uso del programa de instalación de CLI

Step 1: Acceda a la consola de ASA.

Step 2: Determine la versión, las interfaces y la licencia de ASA.

Cisco Adaptive Security Appliance Software Version 9.2(3)

Compiled on Mon 15-Dec-14 18:17 by builders

System image file is "disk0:/asa923-k8.bin"

ciscoasa up 23 hours 0 mins

Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz

Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision

0: Int: Internal-Data0/0 : address is 0007.7dbf.5645, irq 11

¿Qué versión de software está ejecutando este ASA?

¿Cuánta memoria RAM tiene este ASA?

¿Cuánta memoria flash tiene este ASA?

¿Cuántos puertos Ethernet tiene este ASA?

¿Qué tipo de licencia tiene este ASA?

¿Cuántas VLAN se pueden crear con esta licencia?

Step 3: Determine el sistema de archivos y el contenido de la memoria flash.

Size(b) Free(b) Type Flags Prefixes

¿Cuál es otro nombre para flash:?

c. ¿Cuál es el nombre del archivo ASDM en flash:?

Step 4: Determine la configuración actual en ejecución.

Nota: Para detener la salida de un comando mediante la CLI, pulse Q.

WARNING: The boot system configuration will be cleared.

system on the next reload.

Begin to apply factory-default configuration:

Step 5: Borre las opciones de configuración de ASA anteriores.

ciscoasa# show start

Process shutdown finished

The following configuration will be used:

Use this configuration and save to flash? [yes] yes

2070 bytes copied in 0.940 secs

Part 3: Configuración de los ajustes de ASA y la seguridad de la interfaz

Step 1: Configure el nombre de host y el nombre de dominio.

***************************** NOTICE *****************************

Help to improve the ASA platform by enabling anonymous reporting,

Would you like to enable anonymous error reporting to help improve

In the future, if you would like to enable this feature,

issue the command "call-home reporting anonymous".

Please remember to save your configuration.

b. Configure el nombre de host ASA mediante el comando hostname.

Step 2: Configure las contraseñas de inicio de sesión y de modo de habilitación.

Step 3: Establezca la fecha y la hora.

Step 4: Configure las interfaces interior y exterior.

CCNAS-ASA(config-if)# interface vlan 2

CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248

Ethernet0/1 unassigned YES unset up up

Step 5: Pruebe la conectividad con el ASA.

Type escape sequence to abort.

Step 6: Configure el acceso ASDM al ASA.

Part 4: Configuración de la directiva de enrutamiento, traducción de

Step 1: Configure una ruta predeterminada estática para el ASA.

* NOTICE *