Lab - Configure ZPFs

Topología

Tabla de direcciones IP
Puerta de
Dispositiv Máscara de enlace
o Interfaz Dirección IP subred predeterminada Cambiar puerto

R1 G0/0/0 10.1.1.1 255.255.255.252 N/A N/A

R1
G0/0/1 192.168.1.1 255.255.255.0 N/A T1 F0/5
R2 G0/0/0 10.1.1.2 255.255.255.252 N/A N/A

R2
G0/0/1 10.2.2.2 255.255.255.252 N/A N/A
R3 G0/0/0 10.2.2.1 255.255.255.252 N/A N/A
R3

G0/0/1.3 192.168.3.1 255.255.255.0 N/A T3 F0/5

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 1de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

Puerta de
Dispositiv Máscara de enlace
o Interfaz Dirección IP subred predeterminada Cambiar puerto

R3
G0/0/1.33 192.168.33.1 255.255.255.0 N/A T3 F0/5
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 T1 F0/6
TARJETA
DE
CIRCUITO
IMPRESO NIC 192.168.3.3 255.255.255.0 192.168.3.1 T3 F0/18
PC-C NIC 192.168.33.3 255.255.255.0 192.168.33.1 T3 F0/23
Línea en blanco, sin información adicional

Objetivos
Parte 1: Configuración básica del dispositivo
 Configure nombres de host, direcciones IP de interfaz y contraseñas de acceso en enrutadores.
 Configure las rutas estáticas para habilitar la conectividad de un extremo a otro en los enrutadores.
 Configure los puertos de acceso y troncales en un conmutador.
Parte 2: Configuración de un cortafuegos de política basado en zonas (ZPF)
 Utilice la CLI para configurar un cortafuegos de política basado en zonas.
 Utilice la CLI para verificar la configuración.
Parte 3: Verificar la funcionalidad del cortafuegos ZPF

Fondo
La forma más básica de un firewall Cisco IOS utiliza listas de control de acceso (ACL ) para filtrar el tráfico IP
y monitorear los patrones de tráfico establecidos. Un firewall tradicional de Cisco IOS es un firewall basado
en ACL.
La implementación más reciente de Cisco IOS Firewall utiliza un enfoque basado en zonas que funciona
como una función de interfaces en lugar de listas de control de acceso. Un cortafuegos de política basado en
zonas (ZPF) permite que se apliquen diferentes políticas de inspección a varios grupos de host conectados a
la misma interfaz de enrutador. Se puede configurar para un control granular, específico del protocolo y
extremadamente avanzado. Prohíbe el tráfico a través de una política predeterminada de denegación total
entre diferentes zonas de firewall. ZPF es adecuado para múltiples interfaces que tienen requisitos de
seguridad similares o diferentes.
En esta práctica de laboratorio, construirá una red de enrutadores múltiples, configurará los enrutadores y los
hosts de PC, y configurará un firewall de política basado en zonas mediante la interfaz de línea de comandos
(CLI) de Cisco IOS.
Nota : Los enrutadores que se utilizan con los laboratorios prácticos son Cisco 4221 con Cisco IOS XE
versión 16.9.4 (imagen universalk9). Los switches utilizados en los laboratorios son Cisco Catalyst 2960+ con
Cisco IOS versión 15.2(2) (imagen lanbasek9). Se pueden utilizar otros enrutadores, conmutadores y
versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos disponibles y el resultado
producido pueden variar de lo que se muestra en las prácticas de laboratorio. Consulte la Tabla de resumen
de la interfaz del enrutador al final de la práctica de laboratorio para conocer los identificadores de interfaz
correctos.

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 2de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

Nota : asegúrese de que los enrutadores y conmutadores se hayan borrado y no tengan configuraciones de
inicio.

Recursos necesarios
 3 enrutadores (Cisco 4221 con imagen universal Cisco IOS XE versión 16.9.4 o similar)
 2 switches (Cisco 2960+ con Cisco IOS versión 15.2(7) imagen lanbasek9 o similar)
 3 PC (sistema operativo Windows con un programa de emulación de terminal, como Tera Term o PuTTy
instalado)
 Cables de consola para configurar los dispositivos Cisco IOS a través de los puertos de consola
 Cables Ethernet como se muestra en la topología

Instrucciones

Part 1: Configuración básica del dispositivo

En esta parte de esta práctica de laboratorio, configurará la topología de la red y configurará los ajustes
básicos, como las direcciones IP de la interfaz, el enrutamiento estático, el acceso al dispositivo y las
contraseñas.
Nota : Todas las tareas deben realizarse en los enrutadores R1, R2 y R3. Los procedimientos se muestran
solo para uno de los enrutadores.

Step 1: Cablee la red como se muestra en la topología.

Conecte los dispositivos como se muestra en el diagrama de topología y cablee según sea necesario.

Step 2: Deshabilite la búsqueda de DNS.

Abrir ventana de configuración

Para evitar que el enrutador intente traducir los comandos ingresados incorrectamente, deshabilite la
búsqueda de DNS.

Step 3: Configure los ajustes básicos para cada enrutador.

a. Configure los nombres de host como se muestra en la topología.
b. Configure las direcciones IP de la interfaz como se muestra en la tabla de direcciones IP. La
configuración de la dirección IP para el enrutador R3 se proporciona a continuación.
R3(config)# interfaz GigabitEthernet0/0/0
R3 (config-if) # dirección IP 10.2.2.1 255.255.255.252
R3 (config-if) # sin apagado
R3(config-if)# interfaz GigabitEthernet0/0/1
R3 (config-if) # sin apagado
R3(config-if)# interfaz GigabitEthernet0/0/1.3
R3(config-if)# encapsulación dot1Q 3
R3 (config-if) # dirección IP 192.168.3.1 255.255.255.0
R3(config-if)# interfaz GigabitEthernet0/0/1.33
R3(config-if)# encapsulación dot1Q 33
R3 (config-if) # dirección IP 192.168.33.1 255.255.255.0

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 3de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

Step 4: Configure rutas estáticas en R1, R2 y R3.

a. se deben configurar las rutas estáticas adecuadas en R1, R2 y R3. R1 y R3 son enrutadores auxiliares y,
como tales, solo necesitan una ruta predeterminada que apunte a R2. R2, actuando como el ISP, debe
saber cómo llegar a las redes internas de R1 y R3 antes de que se logre la accesibilidad de IP de
extremo a extremo . A continuación se muestra la configuración de rutas estáticas para R1, R2 y R3. En
R1, use el siguiente comando:
R1 (config) # ruta ip 0.0.0.0 0.0.0.0 10.1.1.2
b. En R2, use los siguientes comandos.
R2 (config) # ruta IP 192.168.1.0 255.255.255.0 10.1.1.1
R2 (config) # ruta IP 192.168.3.0 255.255.255.0 10.2.2.1
R2 (config) # ruta IP 192.168.33.0 255.255.255.0 10.2.2.1
c. En R3, use el siguiente comando.
R3 (config) # ruta ip 0.0.0.0 0.0.0.0 10.2.2.2

Step 5: Configurar S3.

a. Configurar enlace troncal:
S3 (config) # interfaz f0/5
S3 (config-if) # troncal de modo switchport
b. Configurar puertos de acceso.
S3 (config) # interfaz f0/18
S3(config-if)# acceso al modo switchport
S3 (config-if) # switchport acceso vlan 3
S3 (config-if) # interfaz f0/23
S3(config-if)# acceso al modo switchport
S3 (config-if) # switchport acceso vlan 33

Step 6: Configure los ajustes de IP del host de la PC.

Configure una dirección IP estática, una máscara de subred y una puerta de enlace predeterminada para PC-
A, PC-B y PC-C como se muestra en la tabla de direccionamiento IP.

Step 7: Verifique la conectividad de red básica.

a. Haga ping de R1 a R3.
Si los ping no tienen éxito, resuelva los problemas de las configuraciones básicas del dispositivo antes de
continuar.
b. Haga ping desde la PC-A en la LAN del R1 a la PC-B y la PC-C en las LAN del R3.
Si los ping no tienen éxito, resuelva los problemas de las configuraciones básicas del dispositivo antes de
continuar.
Nota : si puede hacer ping desde la PC-A a la PC-C, ha demostrado que se logró la accesibilidad IP de
extremo a extremo . Si no puede hacer ping pero las interfaces del dispositivo están ACTIVAS y las
direcciones IP son correctas, use los comandos show interface , show ip interface y show ip route para
ayudar a identificar los problemas.

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 4de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

Step 8: Configure una cuenta de usuario, contraseñas cifradas y claves criptográficas para
SSH.
Nota : las contraseñas en esta tarea se establecen en un mínimo de 10 caracteres, pero son relativamente
simples para el beneficio de realizar el laboratorio. Se recomiendan contraseñas más complejas en una red
de producción.
a. Configure una longitud mínima de contraseña mediante el comando de contraseñas de seguridad para
establecer una longitud mínima de contraseña de 10 caracteres.
R1(config)# contraseñas de seguridad min-length 10
b. Configurar un nombre de dominio.
R1(config)# ip nombre-dominio netsec.com
c. Configurar claves criptográficas para SSH
R1 (config) # clave criptográfica generar rsa general-keys módulo 1024
d. Configure una cuenta de usuario admin01 usando scrypt de tipo algoritmo para el cifrado y una
contraseña de cisco12345.
R1 (config) # nombre de usuario admin01 tipo de algoritmo scrypt secret
cisco12345
e. Configure la consola de línea 0 para usar la base de datos de usuarios local para los inicios de sesión.
Para mayor seguridad, el exec-timeout El comando hace que la línea se desconecte después de 5
minutos de inactividad. El comando de registro síncrono evita que los mensajes de la consola
interrumpan la entrada del comando.
Nota : para evitar inicios de sesión repetitivos durante esta práctica de laboratorio, el comando exec-
timeout se puede establecer en 0 0 , lo que evita que caduque; sin embargo, esto no se considera una
buena práctica de seguridad.
R1(config)# consola de línea 0
R1 (línea de configuración) # inicio de sesión local
R1 (línea de configuración) # exec-tiempo de espera 5 0
R1 (línea de configuración) # registro síncrono
f. Configure la línea auxiliar 0 para usar la base de datos de usuarios locales para los inicios de sesión.
R1(config)# línea auxiliar 0
R1 (línea de configuración) # inicio de sesión local
R1 (línea de configuración) # exec-tiempo de espera 5 0
g. Configure la línea vty 0 4 para usar la base de datos de usuarios local para inicios de sesión y restrinja el
acceso solo a conexiones SSH.
R1(config)# línea vty 0 4
R1 (línea de configuración) # inicio de sesión local
R1 (línea de configuración) # entrada de transporte ssh
R1 (línea de configuración) # exec-tiempo de espera 5 0
h. Configure la contraseña de habilitación con un cifrado seguro.
R1 (config) # habilitar algoritmo de tipo scrypt secret class12345

Step 9: Guarde la configuración de ejecución básica para los tres enrutadores.

Guarde la configuración en ejecución en la configuración de inicio desde el indicador EXEC privilegiado.
R1# copia configuración en ejecución configuración de inicio
Cerrar ventana de configuración

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 5de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

Part 2: Configuración de un cortafuegos de política basado en zonas (ZPF)

En esta parte, creará un firewall de políticas basado en zonas en el R3 mediante la interfaz de línea de
comandos (CLI), lo que hará que actúe no solo como un enrutador sino también como un firewall. R3
actualmente es responsable de enrutar paquetes para las tres redes conectadas a él. Los roles de interfaz de
R3 se configuran de la siguiente manera:
G0/0/0 está conectado a Internet. Debido a que esta es una red pública, se considera una red no confiable y
debe tener el nivel de seguridad más bajo.
G0/0/1.3 está conectado a la red interna. Solo los usuarios autorizados tienen acceso a esta red. Además,
los recursos vitales de la institución también residen en esta red. La red interna debe considerarse una red
de confianza y debe tener el nivel de seguridad más alto.
G0/0/1.33 está conectado a una sala de conferencias. La sala de conferencias se utiliza para albergar
reuniones con personas que no forman parte de la organización.
La política de seguridad que debe aplicar R3 cuando actúa como firewall dicta lo siguiente:
 No se debe permitir el tráfico iniciado desde Internet en las redes internas o de la sala de
conferencias.
 Debe permitirse el tráfico de retorno de Internet (paquetes de retorno provenientes de Internet hacia
el sitio de R3, en respuesta a solicitudes que se originan en cualquiera de las redes de R3).
 Las computadoras en la red interna del R3 se consideran confiables y pueden iniciar cualquier tipo
de tráfico (tráfico basado en TCP, UDP o ICMP).
 Las computadoras en la red de la sala de conferencias R3 se consideran no confiables y solo
pueden iniciar tráfico web (HTTP o HTTPS) a Internet.
 No se permite el tráfico entre la red interna y la red de la sala de conferencias. No hay garantía con
respecto a la condición de las computadoras invitadas en la red de la sala de conferencias. Tales
máquinas podrían estar infectadas con malware y podrían intentar enviar spam u otro tráfico
malicioso.

Step 1: Verifique la conectividad de la red de extremo a extremo.

En este paso, verificará la conectividad de la red de extremo a extremo antes de implementar ZPF.
Abrir ventana de configuración

a. Haga ping de R1 a R3 usando las dos direcciones IP de la interfaz G0/0/1 de R3 (192.168.3.1 y

192.168.33.1).
Si los ping no tienen éxito, resuelva los problemas de las configuraciones básicas del dispositivo antes de
continuar.
b. Haga ping desde la PC-A en la LAN del R1 a la PC-C en la LAN de la sala de conferencias del R3.
Si los ping no tienen éxito, resuelva los problemas de las configuraciones básicas del dispositivo antes de
continuar.
c. Haga ping desde la PC-A en la LAN del R1 a la PC-B en la LAN interna del R3.
Si los ping no tienen éxito, resuelva los problemas de las configuraciones básicas del dispositivo antes de
continuar.

Step 2: Muestre las configuraciones en ejecución del R3.

En este paso, verificará las configuraciones en ejecución de R3 antes de implementar ZPF.
a. Emita el comando show ip interface brief en el R3 para verificar las direcciones IP correctas fueron
asignados . Utilice la tabla de direcciones para verificar las direcciones.
b. Emita el comando show ip route en R3 para verificar que tenga una ruta predeterminada estática que
apunte a la interfaz G0/0/1 de R2.

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 6de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

c. Emita el comando show run para revisar la configuración básica actual en el R3.

Step 3: Creación de las zonas de seguridad.

Una zona de seguridad es un grupo de interfaces con propiedades y requisitos de seguridad similares. Por
ejemplo, si un enrutador tiene tres interfaces conectadas a redes internas, las tres interfaces se pueden
colocar en la misma zona denominada "interna". Debido a que todas las propiedades de seguridad están
configuradas para la zona en lugar de las interfaces individuales del enrutador, el diseño del firewall es
mucho más escalable.
En esta práctica de laboratorio, el sitio R3 tiene tres interfaces; uno conectado a una red interna de
confianza, uno conectado a la red de la sala de conferencias y otro conectado a Internet. Debido a que las
tres redes tienen diferentes requisitos y propiedades de seguridad, crearemos tres zonas de seguridad
diferentes.
Las zonas de seguridad se crean en el modo de configuración global y el comando permite la definición del
nombre de la zona. En R3, cree tres zonas denominadas INSIDE , CONFROOM e INTERNET :
R3(config)# seguridad de zona DENTRO
R3(config)# zona seguridad CONFROOM
R3(config)# zona seguridad INTERNET

Step 4: Creación de políticas de seguridad

Antes de que ZPF pueda decidir si se debe permitir o denegar cierto tráfico específico, se le debe informar
qué tráfico se va a considerar. Cisco IOS utiliza mapas de clase para seleccionar el tráfico. El tráfico
interesante es una denominación común para el tráfico que ha sido seleccionado por un mapa de clases.
Si bien los mapas de clase seleccionan el tráfico, no es su trabajo decidir qué sucede con el tráfico
seleccionado; Los mapas de políticas deciden el destino del tráfico seleccionado .
Las políticas de tráfico de ZPF se definen como mapas de políticas y usan mapas de clases para seleccionar
el tráfico. En otras palabras, los mapas de clase definen qué tráfico se vigilará , mientras que los mapas de
política definen la acción que se llevará a cabo sobre el tráfico seleccionado.
Los mapas de políticas pueden descartar, pasar o inspeccionar el tráfico. Debido a que queremos que el
firewall observe el tráfico que se mueve en la dirección de los pares de zonas, crearemos mapas de políticas
de inspección . Los mapas de políticas de inspección permiten el manejo dinámico del tráfico de retorno.
Primero, creará mapas de clase. Después de crear los mapas de clases , creará mapas de políticas y
adjuntará los mapas de clases a los mapas de políticas.
a. Cree un mapa de clase de inspección para hacer coincidir el tráfico que se permitirá desde la zona
INTERIOR a la zona INTERNET . Porque confiamos en la zona INTERIOR, permitimos todos los
protocolos principales.
En los comandos a continuación, la primera línea crea un mapa de clase de inspección. La palabra clave
match-any le indica al enrutador que cualquiera de las declaraciones del protocolo de coincidencia
calificará como una coincidencia exitosa, lo que resultará en la aplicación de una política. El resultado es
una coincidencia para los paquetes TCP, UDP o ICMP.
Los comandos de coincidencia se refieren a protocolos específicos admitidos por Cisco NBAR. Para
obtener más información, realice una búsqueda en Internet de Cisco NBAR.
R3(config)# class-map type inspeccionar match-any INSIDE_PROTOCOLS
R3(config- cmap )# protocolo de coincidencia tcp
R3(config- cmap )# protocolo de coincidencia udp
R3(config- cmap )# protocolo de coincidencia icmp

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 7de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

b. Del mismo modo, cree un mapa de clase para que coincida con el tráfico que se permitirá desde la zona
CONFROOM a la zona INTERNET . Debido a que no confiamos plenamente en la zona CONFROOM ,
debemos limitar lo que el servidor puede enviar a Internet:
R3(config)# class-map type inspeccionar match-any CONFROOM_PROTOCOLS
R3(config- cmap )# protocolo de coincidencia http
R3(config- cmap )# protocolo de coincidencia https
R3(config- cmap )# protocolo de coincidencia dns
c. Ahora que se han creado los mapas de clases , puede crear los mapas de políticas.
En los siguientes comandos, la primera línea crea un mapa de políticas de inspección llamado
INSIDE_TO_INTERNET . La segunda línea vincula el mapa de clases INSIDE_PROTOCOLS creado
previamente con el mapa de políticas. Todos los paquetes que coincidan con el mapa de clases
INSIDE_PROTOCOLS estarán sujetos a la acción tomada por el mapa de políticas
INSIDE_TO_INTERNET . Finalmente, la tercera línea define la acción real que este mapa de políticas
aplicará a los paquetes coincidentes. En este caso, se inspeccionarán los paquetes coincidentes.
Las siguientes tres líneas crean un mapa de políticas similar llamado CONFROOM_TO_INTERNET y
adjuntan el mapa de clases CONFROOM_PROTOCOLS .
Los comandos son los siguientes:
R3 (config) # tipo de mapa de políticas inspeccionar INSIDE_TO_INTERNET
R3 (config-pmap) # tipo de clase inspeccionar INSIDE_PROTOCOLS
R3(config-pmap-c)# inspeccionar
R3 (config) # tipo de mapa de políticas inspeccionar CONFROOM_TO_INTERNET
R3(config- pmap )# tipo de clase inspeccionar CONFROOM_PROTOCOLS
R3(config-pmap-c)# inspeccionar

Step 5: Crear los pares de zona

Un par de zonas le permite especificar una política de firewall unidireccional entre dos zonas de seguridad.
Por ejemplo, una política de seguridad de uso común dicta que la red interna puede iniciar cualquier tráfico
hacia Internet, pero no se debe permitir que el tráfico que se origina en Internet llegue a la red interna.
Esta política de tráfico requiere solo un par de zonas, INTERNA a INTERNET . Debido a que los pares de
zonas definen el flujo de tráfico unidireccional, se debe crear otro par de zonas si el tráfico iniciado por
Internet debe fluir en la dirección INTERNET a INTERNA .
Tenga en cuenta que Cisco ZPF se puede configurar para inspeccionar el tráfico que se mueve en la
dirección definida por el par de zonas. En esa situación, el cortafuegos observa el tráfico y crea
dinámicamente reglas que permiten que el tráfico de retorno o relacionado fluya de regreso a través del
enrutador.
Para definir un par de zonas, utilice la seguridad de pares de zonas dominio. La dirección del tráfico está
especificada por las zonas de origen y destino.
Para esta práctica de laboratorio, creará dos pares de zonas:
INSIDE_TO_INTERNET : Permite el tráfico que sale de la red interna hacia Internet.
CONFROOM_TO_INTERNET : Permite el acceso a Internet desde la red ConfRoom.
a. Creando los pares de zonas:
R3(config)# zona-par seguridad INSIDE_TO_INTERNET fuente DENTRO destino
INTERNET
R3(config)# zona-par seguridad CONFROOM_TO_INTERNET origen CONFROOM destino
INTERNET

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 8de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

b. Verifique que los pares de zonas se hayan creado correctamente emitiendo el comando de seguridad
show zone-pair . Tenga en cuenta que todavía no hay políticas asociadas con los pares de zonas. Las
políticas de seguridad se aplicarán a los pares de zonas en el siguiente paso.
R3# mostrar seguridad de pares de zonas
Nombre del par de zonas INSIDE_TO_INTERNET
Zona de origen DENTRO Zona de destino INTERNET
política de servicio no configurada
Nombre del par de zonas CONFROOM_TO_INTERNET
Zona de origen CONFROOM Zona de destino INTERNET
política de servicio no configurada

Step 6: Aplicación de políticas de seguridad

a. Como último paso de configuración, aplique los mapas de políticas a los pares de zonas:
R3(config)# seguridad de par de zonas INSIDE_TO_INTERNET
R3(config-sec-zone-pair)# tipo de política de servicio inspeccionar
INSIDE_TO_INTERNET
R3(config)# zona-par seguridad CONFROOM_TO_INTERNET
R3(config-sec-zone-pair)# tipo de política de servicio inspeccionar
CONFROOM_TO_INTERNET
b. Emitir el espectáculo seguridad de par de zonas Comando una vez más para verificar la configuración
del par de zonas. Observe que ahora se muestran las políticas de servicio :
R3# mostrar seguridad de pares de zonas
Nombre del par de zonas INSIDE_TO_INTERNET
Zona de origen DENTRO Zona de destino INTERNET
política de servicio INSIDE_TO_INTERNET
Nombre del par de zonas CONFROOM_TO_INTERNET
Zona de origen CONFROOM Zona de destino INTERNET
política de servicio CONFROOM_TO_INTERNET

c. Para obtener más información sobre los pares de zonas, sus mapas de políticas, los mapas de clases y
los contadores de coincidencias, utilice el comando show policy-map type inspect zone-pair :
R3# mostrar el tipo de mapa de políticas inspeccionar el par de zonas
Par de zonas: CONFROOM_TO_INTERNET
Inspección de política de servicio: CONFROOM_TO_INTERNET

Class-map: CONFROOM_PROTOCOLS (coincidencia-cualquiera)

Coincidencia: protocolo http
Coincidencia: protocolo https
Coincidencia: protocolo dns
Inspeccionar
Creaciones de sesiones desde el inicio del subsistema o el último reinicio 0
Recuentos de sesiones actuales (establecidas/medio abiertas/terminando) [0:0:0]
Recuentos de sesiones de Maxever (establecimiento/medio abierto/terminación) [0:0:0]
Última sesión creada nunca
Última estadística reseteada nunca
Tasa de creación de la última sesión 0
Última sesión semiabierta total 0

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 9de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

Class-map: class-default (match-any)

Coincidencia: cualquiera
Soltar (acción predeterminada)
0 paquetes, 0 bytes
Par de zonas: INSIDE_TO_INTERNET
Inspección de política de servicio: INSIDE_TO_INTERNET

Class-map: INSIDE_PROTOCOLS (match-any)

Coincidencia: protocolo tcp
Coincidencia: protocolo upp
Coincidencia: protocolo icmp
Inspeccionar
Creaciones de sesiones desde el inicio del subsistema o el último reinicio 0
Recuentos de sesiones actuales (establecidas/medio abiertas/terminando) [0:0:0]
Recuentos de sesiones de Maxever (establecimiento/medio abierto/terminación) [0:0:0]
Última sesión creada nunca
Última estadística reseteada nunca
Tasa de creación de la última sesión 0
Última sesión semiabierta total 0

Class-map: class-default (match-any)

Coincidencia: cualquiera
Soltar (acción predeterminada)
0 paquetes, 0 bytes <salida omitida>

Step 7: Asigne interfaces a las zonas de seguridad adecuadas

Las interfaces (físicas y lógicas) se asignan a las zonas de seguridad con el comando de interfaz de
seguridad zone-member .
a. Asigne el G0/0 de R3 a la zona de seguridad CONFROOM :
R3 (config) # interfaz g0/0/1.33
R3(config-if)# zona-miembro seguridad CONFROOM
b. Asigne el G0/1 de R3 a la zona de seguridad INTERIOR:
R3 (config) # interfaz g0/0/1.3
R3(config-if)# zona-miembro seguridad DENTRO
c. Asigne el S0/0/1 de R3 a la zona de seguridad de INTERNET :
R3(config)# interfaz g0/0/0
R3(config-if)# zona-miembro seguridad INTERNET

Step 8: Verificar asignación de zona

a. Ejecute el comando show zone security para asegurarse de que las zonas se crearon correctamente y
las interfaces se asignaron correctamente:
R3# muestra la seguridad de la zona
auto zona
Descripción: Zona definida por el sistema

servicio de zona

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 10de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

Descripción: Zona definida por el sistema

zona INTERIOR
Interfaces de miembros:
GigabitEthernet0/0/1.3

zona CONF.
Interfaces de miembros:
Ethernet Gigabit0/0/1.33

zona INTERNET
Interfaces de miembros:
Ethernet Gigabit0/0/0

b. Aunque no se emitieron comandos para crear una zona "propia", la salida anterior todavía la muestra.
Pregunta:

¿Por qué R3 muestra una zona denominada "self"? ¿ Cuál es el significado de esta zona?
Escriba sus respuestas aquí.
Cerrar ventana de configuración

Part 3: Verifique la funcionalidad del cortafuegos ZPF

Step 1: Tráfico que se origina en Internet

a. Para probar la efectividad del firewall, haga ping a la PC-B desde la PC-A. En PC-A, abra un símbolo del
sistema y emita un ping a 192.168.3.3.
PC-A:\> ping 192.168.3.3
Pregunta:

¿El ping fue exitoso? Explicar.

Escriba sus respuestas aquí.
b. Haga ping a la PC-C desde la PC-A. En la PC-A, abra una ventana de comandos y haga ping a
192.168.33.3.
PC-A:\> ping 192.168.33.3
Pregunta:

¿El ping fue exitoso? Explicar.

Escriba sus respuestas aquí.
c. Haga ping a la PC-A desde la PC-B. En la PC-B, abra una ventana de comandos y emita un ping a
192.168.1.3.
PC-B:\> ping 192.168.1.3
Pregunta:

¿El ping fue exitoso? Explicar.

Escriba sus respuestas aquí.
d. Haga ping a la PC-A desde la PC-C. En PC-C, abra una ventana de comandos y haga ping a
192.168.1.3
PC-C:\> ping 192.168.1.3
Pregunta:

¿El ping fue exitoso? Explicar.

Escriba sus respuestas aquí.

Step 2: La verificación de la zona propia

a. Desde la interfaz G0/0/1.3 de PC-A, haga ping al R3:

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 11de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

PC-A:\> ping 192.168.3.1

Pregunta:

¿El ping fue exitoso? ¿Es este el comportamiento correcto? Explicar.

Escriba sus respuestas aquí.
b. Desde la interfaz G0/0/1.3 de PC-C ping R3:
PC-C:\> ping 192.168.3.1
Pregunta:

¿El ping fue exitoso? ¿Es este el comportamiento correcto? Explicar.

Escriba sus respuestas aquí.

Desafío (opcional)
Cree el par de zonas, los mapas de clases y los mapas de políticas adecuados y configure el R3 para evitar
que el tráfico que se origina en Internet llegue a la Self Zone.

Apéndice: varias interfaces en la misma zona (opcional)

Una ventaja de los cortafuegos ZPF es que se escalan bien en comparación con el cortafuegos clásico. Si se
agrega una nueva interfaz con los mismos requisitos de seguridad al firewall, el administrador simplemente
puede agregar la nueva interfaz como miembro de una zona de seguridad existente. Sin embargo, algunas
versiones de IOS no permitirán que los dispositivos conectados a diferentes interfaces de la misma zona se
comuniquen de forma predeterminada. En esos casos, se debe crear un par de zonas utilizando la misma
zona como origen y destino.
El tráfico entre interfaces con zonas similares siempre será bidireccional debido al hecho de que las zonas de
origen y destino del par de zonas son las mismas. Por eso, no hay necesidad de inspeccionar el tráfico para
permitir el manejo automático del tráfico de retorno; siempre se permitirá el tráfico de retorno porque siempre
se ajustará a la definición de par de zonas. En este caso, el mapa de políticas debe tener una acción de
pasar en lugar de inspeccionar . debido a la aprobar acción, el enrutador no inspeccionará los paquetes
que coincidan con el mapa de políticas, simplemente los reenviará a su destino.
En el contexto de esta práctica de laboratorio, si el R3 tuviera una interfaz G0/0/1.2 también asignada a la
zona INTERIOR y la versión del IOS del router no permitiera el tráfico entre interfaces configuradas en la
misma zona, la configuración adicional se vería así:
Nuevo par de zonas: Interior a Interior ; permite el enrutamiento del tráfico entre las interfaces de confianza
internas.
se necesita un mapa de clase explícito porque usamos la clase "catch-all" predeterminada):
R3 (config) # tipo de mapa de política inspeccionar dentro
R3(config-pmap)# clase clase-predeterminada
R3(config- pmap -c)# pase
Crear el par de zonas y asignarle el nuevo mapa de políticas. Observe que la zona INTERIOR es tanto el
origen como el destino del par de zonas:
R3(config)# zona-par seguridad DENTRO fuente DENTRO destino DENTRO
R3 (config-sec-zone-pair) # tipo de política de servicio inspeccionar dentro
Para verificar la existencia del nuevo par, use muestre la seguridad del par de zonas:
R3# mostrar seguridad de pares de zonas
Nombre del par de zonas INSIDE_TO_INTERNET
Zona de origen DENTRO Zona de destino INTERNET
política de servicio INSIDE_TO_INTERNET
Nombre del par de zonas CONFROOM_TO_INTERNET
Zona de origen CONFROOM Zona de destino INTERNET

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 12de 13
www.netacad.com
Práctica de laboratorio: configuración de ZPF

política de servicio CONFROOM_TO_INTERNET

Nombre del par de zonas DENTRO
Zona de origen INTERIOR Zona de destino INTERIOR
política de servicio dentro

Tabla de resumen de la interfaz del enrutador

Modelo de
enrutador Interfaz Ethernet #1 Interfaz Ethernet #2 Interfaz serie #1 Interfaz serie #2

Ethernet Gigabit 0/0 Ethernet Gigabit 0/1

1900 (G0/0) (G0/1) Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
Ethernet Gigabit 0/0 Ethernet Gigabit 0/1
2900 (G0/0) (G0/1) Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
Ethernet Gigabit 0/0/0 Ethernet Gigabit 0/0/1
4221 (G0/0/0) (G0/0/1) Serie 0/1/0 (S0/1/0) Serie 0/1/1 (S0/1/1)
Ethernet Gigabit 0/0/0 Ethernet Gigabit 0/0/1
4300 (G0/0/0) (G0/0/1) Serie 0/1/0 (S0/1/0) Serie 0/1/1 (S0/1/1)
Línea en blanco, sin información adicional

Nota : Para averiguar cómo está configurado el enrutador, mire las interfaces para identificar el tipo de enrutador
y cuántas interfaces tiene el enrutador. No hay manera de enumerar efectivamente todas las combinaciones de
configuraciones para cada clase de enrutador. Esta tabla incluye identificadores para las posibles combinaciones
de interfaces Ethernet y serie en el dispositivo. La tabla no incluye ningún otro tipo de interfaz, aunque un
enrutador específico puede contener uno. Un ejemplo de esto podría ser una interfaz ISDN BRI. La cadena entre
paréntesis es la abreviatura legal que se puede utilizar en los comandos de Cisco IOS para representar la
interfaz.
fin del documento

 2015- 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 13de 13
www.netacad.com