Professional Documents
Culture Documents
Topología
Tabla de direcciones IP
Puerta de
Dispositiv Máscara de enlace
o Interfaz Dirección IP subred predeterminada Cambiar puerto
R1
G0/0/1 192.168.1.1 255.255.255.0 N/A T1 F0/5
R2 G0/0/0 10.1.1.2 255.255.255.252 N/A N/A
R2
G0/0/1 10.2.2.2 255.255.255.252 N/A N/A
R3 G0/0/0 10.2.2.1 255.255.255.252 N/A N/A
R3
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 1de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
Puerta de
Dispositiv Máscara de enlace
o Interfaz Dirección IP subred predeterminada Cambiar puerto
R3
G0/0/1.33 192.168.33.1 255.255.255.0 N/A T3 F0/5
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 T1 F0/6
TARJETA
DE
CIRCUITO
IMPRESO NIC 192.168.3.3 255.255.255.0 192.168.3.1 T3 F0/18
PC-C NIC 192.168.33.3 255.255.255.0 192.168.33.1 T3 F0/23
Línea en blanco, sin información adicional
Objetivos
Parte 1: Configuración básica del dispositivo
Configure nombres de host, direcciones IP de interfaz y contraseñas de acceso en enrutadores.
Configure las rutas estáticas para habilitar la conectividad de un extremo a otro en los enrutadores.
Configure los puertos de acceso y troncales en un conmutador.
Parte 2: Configuración de un cortafuegos de política basado en zonas (ZPF)
Utilice la CLI para configurar un cortafuegos de política basado en zonas.
Utilice la CLI para verificar la configuración.
Parte 3: Verificar la funcionalidad del cortafuegos ZPF
Fondo
La forma más básica de un firewall Cisco IOS utiliza listas de control de acceso (ACL ) para filtrar el tráfico IP
y monitorear los patrones de tráfico establecidos. Un firewall tradicional de Cisco IOS es un firewall basado
en ACL.
La implementación más reciente de Cisco IOS Firewall utiliza un enfoque basado en zonas que funciona
como una función de interfaces en lugar de listas de control de acceso. Un cortafuegos de política basado en
zonas (ZPF) permite que se apliquen diferentes políticas de inspección a varios grupos de host conectados a
la misma interfaz de enrutador. Se puede configurar para un control granular, específico del protocolo y
extremadamente avanzado. Prohíbe el tráfico a través de una política predeterminada de denegación total
entre diferentes zonas de firewall. ZPF es adecuado para múltiples interfaces que tienen requisitos de
seguridad similares o diferentes.
En esta práctica de laboratorio, construirá una red de enrutadores múltiples, configurará los enrutadores y los
hosts de PC, y configurará un firewall de política basado en zonas mediante la interfaz de línea de comandos
(CLI) de Cisco IOS.
Nota : Los enrutadores que se utilizan con los laboratorios prácticos son Cisco 4221 con Cisco IOS XE
versión 16.9.4 (imagen universalk9). Los switches utilizados en los laboratorios son Cisco Catalyst 2960+ con
Cisco IOS versión 15.2(2) (imagen lanbasek9). Se pueden utilizar otros enrutadores, conmutadores y
versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos disponibles y el resultado
producido pueden variar de lo que se muestra en las prácticas de laboratorio. Consulte la Tabla de resumen
de la interfaz del enrutador al final de la práctica de laboratorio para conocer los identificadores de interfaz
correctos.
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 2de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
Nota : asegúrese de que los enrutadores y conmutadores se hayan borrado y no tengan configuraciones de
inicio.
Recursos necesarios
3 enrutadores (Cisco 4221 con imagen universal Cisco IOS XE versión 16.9.4 o similar)
2 switches (Cisco 2960+ con Cisco IOS versión 15.2(7) imagen lanbasek9 o similar)
3 PC (sistema operativo Windows con un programa de emulación de terminal, como Tera Term o PuTTy
instalado)
Cables de consola para configurar los dispositivos Cisco IOS a través de los puertos de consola
Cables Ethernet como se muestra en la topología
Instrucciones
Para evitar que el enrutador intente traducir los comandos ingresados incorrectamente, deshabilite la
búsqueda de DNS.
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 3de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 4de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
Step 8: Configure una cuenta de usuario, contraseñas cifradas y claves criptográficas para
SSH.
Nota : las contraseñas en esta tarea se establecen en un mínimo de 10 caracteres, pero son relativamente
simples para el beneficio de realizar el laboratorio. Se recomiendan contraseñas más complejas en una red
de producción.
a. Configure una longitud mínima de contraseña mediante el comando de contraseñas de seguridad para
establecer una longitud mínima de contraseña de 10 caracteres.
R1(config)# contraseñas de seguridad min-length 10
b. Configurar un nombre de dominio.
R1(config)# ip nombre-dominio netsec.com
c. Configurar claves criptográficas para SSH
R1 (config) # clave criptográfica generar rsa general-keys módulo 1024
d. Configure una cuenta de usuario admin01 usando scrypt de tipo algoritmo para el cifrado y una
contraseña de cisco12345.
R1 (config) # nombre de usuario admin01 tipo de algoritmo scrypt secret
cisco12345
e. Configure la consola de línea 0 para usar la base de datos de usuarios local para los inicios de sesión.
Para mayor seguridad, el exec-timeout El comando hace que la línea se desconecte después de 5
minutos de inactividad. El comando de registro síncrono evita que los mensajes de la consola
interrumpan la entrada del comando.
Nota : para evitar inicios de sesión repetitivos durante esta práctica de laboratorio, el comando exec-
timeout se puede establecer en 0 0 , lo que evita que caduque; sin embargo, esto no se considera una
buena práctica de seguridad.
R1(config)# consola de línea 0
R1 (línea de configuración) # inicio de sesión local
R1 (línea de configuración) # exec-tiempo de espera 5 0
R1 (línea de configuración) # registro síncrono
f. Configure la línea auxiliar 0 para usar la base de datos de usuarios locales para los inicios de sesión.
R1(config)# línea auxiliar 0
R1 (línea de configuración) # inicio de sesión local
R1 (línea de configuración) # exec-tiempo de espera 5 0
g. Configure la línea vty 0 4 para usar la base de datos de usuarios local para inicios de sesión y restrinja el
acceso solo a conexiones SSH.
R1(config)# línea vty 0 4
R1 (línea de configuración) # inicio de sesión local
R1 (línea de configuración) # entrada de transporte ssh
R1 (línea de configuración) # exec-tiempo de espera 5 0
h. Configure la contraseña de habilitación con un cifrado seguro.
R1 (config) # habilitar algoritmo de tipo scrypt secret class12345
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 5de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 6de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
c. Emita el comando show run para revisar la configuración básica actual en el R3.
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 7de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
b. Del mismo modo, cree un mapa de clase para que coincida con el tráfico que se permitirá desde la zona
CONFROOM a la zona INTERNET . Debido a que no confiamos plenamente en la zona CONFROOM ,
debemos limitar lo que el servidor puede enviar a Internet:
R3(config)# class-map type inspeccionar match-any CONFROOM_PROTOCOLS
R3(config- cmap )# protocolo de coincidencia http
R3(config- cmap )# protocolo de coincidencia https
R3(config- cmap )# protocolo de coincidencia dns
c. Ahora que se han creado los mapas de clases , puede crear los mapas de políticas.
En los siguientes comandos, la primera línea crea un mapa de políticas de inspección llamado
INSIDE_TO_INTERNET . La segunda línea vincula el mapa de clases INSIDE_PROTOCOLS creado
previamente con el mapa de políticas. Todos los paquetes que coincidan con el mapa de clases
INSIDE_PROTOCOLS estarán sujetos a la acción tomada por el mapa de políticas
INSIDE_TO_INTERNET . Finalmente, la tercera línea define la acción real que este mapa de políticas
aplicará a los paquetes coincidentes. En este caso, se inspeccionarán los paquetes coincidentes.
Las siguientes tres líneas crean un mapa de políticas similar llamado CONFROOM_TO_INTERNET y
adjuntan el mapa de clases CONFROOM_PROTOCOLS .
Los comandos son los siguientes:
R3 (config) # tipo de mapa de políticas inspeccionar INSIDE_TO_INTERNET
R3 (config-pmap) # tipo de clase inspeccionar INSIDE_PROTOCOLS
R3(config-pmap-c)# inspeccionar
R3 (config) # tipo de mapa de políticas inspeccionar CONFROOM_TO_INTERNET
R3(config- pmap )# tipo de clase inspeccionar CONFROOM_PROTOCOLS
R3(config-pmap-c)# inspeccionar
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 8de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
b. Verifique que los pares de zonas se hayan creado correctamente emitiendo el comando de seguridad
show zone-pair . Tenga en cuenta que todavía no hay políticas asociadas con los pares de zonas. Las
políticas de seguridad se aplicarán a los pares de zonas en el siguiente paso.
R3# mostrar seguridad de pares de zonas
Nombre del par de zonas INSIDE_TO_INTERNET
Zona de origen DENTRO Zona de destino INTERNET
política de servicio no configurada
Nombre del par de zonas CONFROOM_TO_INTERNET
Zona de origen CONFROOM Zona de destino INTERNET
política de servicio no configurada
c. Para obtener más información sobre los pares de zonas, sus mapas de políticas, los mapas de clases y
los contadores de coincidencias, utilice el comando show policy-map type inspect zone-pair :
R3# mostrar el tipo de mapa de políticas inspeccionar el par de zonas
Par de zonas: CONFROOM_TO_INTERNET
Inspección de política de servicio: CONFROOM_TO_INTERNET
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 9de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
servicio de zona
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 10de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
zona INTERIOR
Interfaces de miembros:
GigabitEthernet0/0/1.3
zona CONF.
Interfaces de miembros:
Ethernet Gigabit0/0/1.33
zona INTERNET
Interfaces de miembros:
Ethernet Gigabit0/0/0
b. Aunque no se emitieron comandos para crear una zona "propia", la salida anterior todavía la muestra.
Pregunta:
¿Por qué R3 muestra una zona denominada "self"? ¿ Cuál es el significado de esta zona?
Escriba sus respuestas aquí.
Cerrar ventana de configuración
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 11de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
Desafío (opcional)
Cree el par de zonas, los mapas de clases y los mapas de políticas adecuados y configure el R3 para evitar
que el tráfico que se origina en Internet llegue a la Self Zone.
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 12de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF
Nota : Para averiguar cómo está configurado el enrutador, mire las interfaces para identificar el tipo de enrutador
y cuántas interfaces tiene el enrutador. No hay manera de enumerar efectivamente todas las combinaciones de
configuraciones para cada clase de enrutador. Esta tabla incluye identificadores para las posibles combinaciones
de interfaces Ethernet y serie en el dispositivo. La tabla no incluye ningún otro tipo de interfaz, aunque un
enrutador específico puede contener uno. Un ejemplo de esto podría ser una interfaz ISDN BRI. La cadena entre
paréntesis es la abreviatura legal que se puede utilizar en los comandos de Cisco IOS para representar la
interfaz.
fin del documento
2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 13de 13
www.netacad.com