Вы находитесь на странице: 1из 27

Seguridad CCNA

Lab - Configuración de ASA 5505 Firewall Configuración básica y


uso de la CLI
topología

Nota: Dispositivos ISR G2 utilizan GigabitEthernet las interfaces en lugar de FastEthernet interfaces.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 1 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Tabla de direccionamiento IP

Puerta de Port Switch


Dispositi Máscara de enlace
vo Interfaz Dirección IP subred predeterminada

G0 / 0 209.165.200.225 255.255.255.248 N/A ASA E0 / 0


R1
S0 / 0/0 (DCE) 10.1.1.1 255.255.255.252 N/A N/A
S0 / 0/0 10.1.1.2 255.255.255.252 N/A N/A
R2
S0 / 0/1 (DCE) 10.2.2.2 255.255.255.252 N/A N/A
G0 / 1 172.16.3.1 255.255.255.0 N/A S3 F0 / 5
R3
S0 / 0/1 10.2.2.1 255.255.255.252 N/A N/A
COMO VLAN 1 (E0 / 192.168.1.1 255.255.255.0 N/A S2 F0 / 24
UN 1)
COMO VLAN 2 (E0 / 209.165.200.226 255.255.255.248 N/A R1 G0 / 0
UN 0)
COMO VLAN 3 (E0 / 192.168.2.1 255.255.255.0 N/A S1 F0 / 24
UN 2)
PC-A NIC 192.168.2.3 255.255.255.0 192.168.2.1 S1 F0 / 6
TARJETA NIC 192.168.1.3 255.255.255.0 192.168.1.1 S2 F0 / 18
DE
CIRCUIT
O
IMPRES
O
PC-C NIC 172.16.3.3 255.255.255.0 172.16.3.1 S3 F0 / 18

objetivos
Parte 1: Conmutador / Configuración básica del router / PC
 Cable de la red como se muestra en la topología.
 Configurar los nombres de host y direcciones IP de las interfaces de los routers, conmutadores y
ordenadores.
 Configurar el enrutamiento estático, incluyendo rutas por defecto, entre R1, R2, y R3.
 Habilitar el acceso HTTP y SSH para R1.
 Configurar la configuración IP de host PC.
 Verificar la conectividad entre hosts, conmutadores y routers.
 Guarde la configuración básica de funcionamiento para cada router y el switch.
Parte 2: Acceso a la consola ASA y Uso del modo de configuración CLI para configurar los ajustes
básicos
 Acceder a la consola ASA y vista del hardware, software y opciones de configuración.
 Determinar la versión de ASA, interfaces y licencia.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 2 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

 Determinar el sistema de archivos y contenido de la memoria flash.


 Utilice el modo de configuración de CLI para configurar los parámetros básicos (nombre de host,
contraseñas, reloj, etc.).
Parte 3: Configuración de los ajustes de seguridad y ASA interfaz básica niveles usando la CLI.
 Configurar el nombre de host y de dominio.
 Configurar el inicio de sesión y de enable.
 Ajuste la fecha y la hora.
 Configurar el interfaces internas y externas.
 Pruebe la conectividad a la ASA.
 Configurar el acceso SSH al ASA.
 Configurar el acceso HTTPS en el ASA para ASDM.
Parte 4: Configuración del enrutamiento, traducción de direcciones, y Política de inspección
utilizando la CLI
 Configurar una ruta estática por defecto para el ASA.
 configurar PAT y objetos de red.
 Modificar la política de servicio global inspección de aplicaciones MPF.
Parte 5: Configuración de DHCP, AAA, y SSH
 Configurar el ASA como un servidor DHCP / cliente.
 Configurar la autenticación de usuario AAA local.
 Configurar el acceso remoto SSH a la AAA.
Parte 6: Configuración de DMZ, NAT estática, y ACL
 Configurar la interfaz DMZ VLAN 3 en el ASA.
 Configurar NAT estática para el servidor DMZ utilizando un objeto de red.
 Configurar una ACL para permitir el acceso a la zona de distensión para los usuarios de Internet.
 Verificar el acceso al servidor DMZ para los usuarios externos e internos.

Antecedentes / Escenario
El Cisco Adaptive Security Appliance (ASA) es un dispositivo de seguridad de red avanzada que integra
unafirewall, VPN y otras capacidades. Este laboratorio cuenta con un ASA 5505 para crear un servidor de
seguridad y proteger una red corporativa interna de intrusos externos al tiempo que permite a los hosts
internos tengan acceso a Internet. El ASA crea tres interfaces de seguridad: En el exterior, el interior, y DMZ.
Proporciona a los usuarios externos el acceso limitado a la zona de distensión y no tienen acceso a los
recursos dentro. los usuarios pueden acceder dentro de la zona desmilitarizada y recursos externos.
El objetivo de esta práctica es la configuración del ASA como un firewall básico. Otros dispositivos recibirán
una configuración mínima para soportar la porción ASA de este laboratorio. Este laboratorio utiliza la CLI
ASA, que es similar a la CLI del IOS, para establecer la configuración básica del dispositivo y de seguridad.
En la Parte 1 de esta práctica de laboratorio, se quiereconfigurar los dispositivos de topología y no-ASA. En
las partes 2 a 4 va a configurar los parámetros básicos de ASA y el servidor de seguridad entre el interior y
fuera de las redes. En la parte 5 va a configurar el ASA para los servicios adicionales, tales como DHCP,
AAA, y SSH. En la Parte 6, va a configurar una DMZ en el ASA y proporcionar acceso a un servidor en el
DMZ.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 3 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Su empresa tiene un lugar conectado a un ISP. R1 representa undispositivo CPE gestionado por el ISP. R2
representa un encaminador intermedio Internet. R3 representa un ISP que conecta un administrador de una
empresa de gestión de la red, que ha sido contratado para administrar remotamente su red. El ASA es un
dispositivo de seguridad perimetral que conecta la red corporativa interna y DMZ al ISP mientras que
proporciona servicios NAT y DHCP para hosts internos. El ASA se configurará para la gestión de un
administrador de la red interna y por el administrador remoto.Capa 3 interfaces VLAN proporcionan acceso a
las tres áreas creadas en el laboratorio: dentro, fuera, y DMZ. El ISP le ha asignado el espacio de
direcciones IP pública del 209.165.200.224/29, que será utilizado para la traducción de direcciones en el
ASA.
Nota: Loscomandos del router y de salida en este laboratorio son de un Cisco 1941 Cisco IOS 15.4 (3)
Imagen M2 con una licencia de Tecnología de Seguridad. Otros routers y versiones de Cisco IOS se pueden
utilizar. Ver la Tabla resumen de interfaces del router al final de esta práctica de laboratorio para determinar
los identificadores de interfaz a utilizar en función de los equipos de su clase. Dependiendo del modelo de
router y la versión de Cisco IOS, los comandos y de salida disponibles producidos podrían variar de lo que se
muestra en este laboratorio.
El ASA se utiliza con esta práctica de laboratorio es un modelo Cisco 5505 con un interruptor integrado de 8
puertos, con OS versión 9.2 (3), Gestor de adaptación de dispositivos de seguridad (ASDM) versión 7.4 (1), y
viene con una licencia de Base que permite un máximo de tres VLAN.
Nota: Asegúrese de que los routers y switches se hayan borrado las configuraciones de inicio.

Recursos necesarios
 3 Los enrutadores (routers Cisco 1941 Cisco IOS 15.4 (3) Imagen M2 con una licencia de paquete de
tecnología de seguridad con)
 3 interruptores (Cisco 2960 imagen IOS criptografía con para el apoyo SSH - Release 15.0 (2) SE7 o
comparables)
 1 ASA 5505 (versión OS 9.2 (3) y ASDM versión 7.4 (1) y Base licencia o comparable)
 3 PCs (Windows 7 o Windows 8 con el software de cliente SSH)
 cables de serie y Ethernet como se muestra en la topología
 cables de consola para configurar los dispositivos de red de Cisco

Part 1: Interruptor de configuración básica del router / / PC


En la Parte 1 de esta práctica de laboratorio, configurar la topología de red y configurar los parámetros
básicos en los routers, como las direcciones IP de las interfaces y enrutamiento estático.
Nota: No configure la configuración de ASA en este momento.

Step 1: Cable de la configuración de los dispositivos anteriores claras de la red y.


Una los dispositivos que se muestran en el diagrama de topología y cable como sea necesario. Asegúrese
de que los routers y switches se hayan borrado las configuraciones de inicio.

Step 2: Configurar los parámetros básicos para los routers y switches.


a. Configurar nombres de host como se muestra en la topología para cada router.
b. Configurar las direcciones IP de la interfaz del router como se muestra en la Tabla direccionamiento IP.
c. Configurar una frecuencia de reloj de routers con un cable serial DCE conectado a su interfaz en serie.
R1 se muestra aquí como un ejemplo.
R1 (config) # interface S0 / 0/0
R1 (config-if) # 64000 velocidad de reloj

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 4 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

d. Configurar el nombre de host para los interruptores. Que no sea el nombre de host, los interruptores se
pueden dejar en su estado de configuración por defecto. Configuración de la dirección IP de
administración de VLAN para los interruptores es opcional.

Step 3: Configurar el enrutamiento estático en los routers.


a. Configurar una ruta estática por defecto de R1 a R2 y de R3 a R2.
R1 (config) # ip route 0.0.0.0 0.0.0.0 Serial0 / 0/0
R3 (config) # ip route 0.0.0.0 0.0.0.0 Serial0 / 0/1
b. Configurar una ruta estática de R2 a la R1 G0 / 0 subred (conectado a la interfaz de ASA E0 / 0) y una
ruta estática de R2 a la LAN R3.
R2 (config) # ip ruta 209.165.200.224 255.255.255.248 Serial0 / 0/0
R2 (config) # ip ruta 172.16.3.0 255.255.255.0 Serial0 / 0/1

Step 4: Habilitar el servidor HTTP y configurar una cuenta de usuario, contraseñas cifradas, y
claves criptográficas para SSH.
Nota: Las contraseñas en esta tarea se establece en un mínimo de 10 caracteres, pero son relativamente
simples para lafines de esta práctica de laboratorio. contraseñas más complejas se recomiendan en una red
de producción.
a. Habilitar el acceso HTTP a R1 mediante el comando ip del servidor http en el modo de configuración
global. Establecer la consola y vty a Cisco. Esto proporcionará objetivos web y SSH para probar más
adelante en el laboratorio.
R1 (config) # ip del servidor http
b. Configurar una longitud mínima de la contraseña de 10 caracteres usando el comando contraseñas de
seguridad.
contraseñas R1 (config) # de seguridad min de longitud 10
c. Configurar un nombre de dominio.
R1 (config) de nombres de dominio # ip ccnasecurity.com
d. Configurar las claves de cifrado de SSH.
R1 tecla # crypto (config) generar RSA generales teclas módulo 1024
e. Configurar una cuenta de usuario Admin01 usando-tipo de algoritmo scrypt para el cifrado y una
contraseña de cisco12345.
R1 (config) # nombre de usuario Admin01 algoritmo de tipo scrypt cisco12345
secreto
f. Configurar la consola de línea 0 para utilizar la base de datos de usuario local para los inicios de sesión.
Para mayor seguridad, el comando exec-timeout hace que la línea para cerrar la sesión después de
cinco minutos de inactividad. El comando logging synchronous evita que los mensajes de la consola de
interrumpir la entrada de comandos.
Nota: Para evitar accesos repetitivos durante este laboratorio, el comando exec-timeout se puede
establecer en 0 0, lo que evita que expira. Sin embargo, esto no es considerado como una buena
práctica de seguridad.
consola R1 (config) # line 0
R1 (config-line) # inicio de sesión local
R1 (config-line) # exec-timeout 5 0
R1 (config-line) síncrono # tala

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 5 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

g. Configurar line vty 0 4 para utilizar la base de datos local para inicios de sesión y restringir el acceso sólo
a las conexiones SSH.
R1 (config) # line vty 0 4
R1 (config-line) # inicio de sesión local
R1 (config-line) # transporte ssh entrada
R1 (config-line) # exec-timeout 5 0
h. Configurar la contraseña de activación con el cifrado fuerte.
R1 (config) # enable algoritmo de tipo scrypt class12345 secreto

Step 5: Configurar la configuración IP de host PC.


Configurar una dirección estática IP, máscara de subred, y la puerta de enlace por defecto para PC-A, PC-B,
y PC-C como se muestra en la Tabla direccionamiento IP.

Step 6: Verificar la conectividad.


Debido a que el ASA es el punto focal para las zonas de la red, y aún no se ha configurado, no habrá
conectividad entre dispositivos que están conectados a él. Sin embargo, PC-C debe ser capaz de hacer ping
a lainterfaz R1. De PC-C, ping a la dirección IP R1 G0 / 0 (209.165.200.225). Si estos pings no tiene éxito, el
problema de configuración de dispositivos básicos antes de continuar.
Nota: Si puede hacer ping desde el PC-C para R1 G0 / 0 y S0 / 0/0 que han demostrado que el enrutamiento
estático está configurado y funcionando correctamente.

Step 7: Guarde la configuración básica de funcionamiento para cada router y el switch.

Part 2: Acceso a la consola ASA y Uso de la configuración CLI para


configurar los ajustes básicos
En la Parte 2 de este laboratorio, se accede a la ASA a través de la consola y utilizar diversos comandos
show para determinar el hardware, el software y los ajustes de configuración. Va a borrar la configuración
actual y utilizar la utilidad de configuración interactiva de la CLI para configurar los parámetros básicos de
ASA.
Nota: No configure la configuración de ASA en este momento.

Step 1: Acceder a la consola ASA.


a. Acceso a la ASA a través del puerto de consola es la misma que con un router o un conmutador Cisco.
Conecte al puerto de consola ASA con un cable de consola.
b. Utilice un programa de emulación de terminal, como TeraTerm o masilla para acceder a la CLI. A
continuación, utilice la configuración del puerto de serie de 9600, ocho bits de datos, sin paridad, un bit
de parada y sin control de flujo.
c. Entre en el modo privilegiado con el comando enable y contraseña (si la contraseña se ha establecido).
La contraseña está en blanco de forma predeterminada. Pulse Intro. Si la contraseña se ha cambiado a
lo que se especifica en este laboratorio, introduzca la clase de palabras. El ASA nombre de host y el
indicador predeterminado es ciscoasa>.
ciscoasa> enable
Contraseña: clase (o pulse Intro si no hay ninguno configurado)

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 6 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Step 2: Determinar la versión de ASA, interfaces y licencia.


El ASA 5505 viene con un conmutador integrado Ethernet de ocho puertos. Puertos E0 / 0 a E0 / 5 son
puertos Fast Ethernet normales y puertos E0 / 6 y E0 / 7 son puertos PoE para su uso con dispositivos PoE,
tales como teléfonos IP o cámaras de red.
Utilice el comando show version para determinar diversos aspectos de este dispositivo ASA.
ciscoasa # show version

Cisco Adaptive Security Appliance Software Version 9.2 (3)


Versión Administrador de dispositivos 7.4 (1)

Compilado el Lun 15-Dic-14 18:17 por los constructores


archivo de imagen del sistema es "disco0: /asa923-k8.bin"
El archivo de configuración en el arranque era "configuración de inicio"

ciscoasa hasta 23 horas 0 mins

Hardware: ASA5505, 512 MB de RAM, CPU Geode 500 MHz


ATA interna Compact Flash, 128MB
Flash BIOS M50FW016 @ 0xfff00000, 2048 KB

dispositivo de hardware de encriptación: Cisco ASA-5505 a bordo del acelerador


(revisión 0x0)
Bota de microcódigo: CN1000-MC-BOOT-2.00
SSL / IKE microcódigo: CNLite-MC-SSLM-PLUS-2.03
IPSec microcódigo: CNlite-MC-IPSECm-MAIN-2.06
Número de aceleradores: 1

dirección es 0007.7dbf.5645, IRQ 11: 0: Int: Interna-Data0 / 0


1: Ext: ethernet0 / 0: dirección es 0007.7dbf.563d, irq 255
2: Ext: ethernet0 / 1: dirección es 0007.7dbf.563e, irq 255

<Resultado omitido>
¿Qué versión de software es el ASA en marcha?
_______________________________________________________________________________________
¿Cuál es el nombre del archivo de imagen del sistema y de donde fue cargada?
_______________________________________________________________________________________
_______________________________________________________________________________________
El ASA puede gestionarse a través de una interfaz gráfica de usuario incorporada conocida como ASDM.
¿Qué versión de ASDM se está ejecutando esta ASA?
_______________________________________________________________________________________
¿Cuánta memoria RAM tiene este ASA?
_______________________________________________________________________________________
La cantidad de memoria flash tiene ASA?
_______________________________________________________________________________________

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 7 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

¿Cuántos puertos Ethernet tiene esto ASA?


_______________________________________________________________________________________
¿Qué tipo de licencia tiene esto ASA?
_______________________________________________________________________________________
¿Cuántas VLAN se pueden crear con esta licencia?
_______________________________________________________________________________________

Step 3: Determinar el sistema de archivos y contenido de la memoria flash.


a. Mostrar el sistema de archivos ASA usando el comando del sistema de archivos espectáculo. Determinar
qué prefijos son compatibles.
sistema de archivo # show ciscoasa

Sistemas de archivos:

Tamaño (b) gratis (b) Tipo Banderas Prefijos


* 128573440 55664640 disco RW disco0: Flash:
- - RW TFTP de red:
- - RW sistema opaco:
- - http red ro:
- - https red de transbordo:
- - ftp rw red:
- - SMB rw red:
Lo que es otro nombre para el flash:?
_________________________________________________________

b. Mostrar el contenido de la memoria flash utilizando uno de estos comandos: show flash, muestran
disco0, dir flash :, o disco0 dir :.
ciscoasa # show flash
- # - --length-- ----- fecha / hora ------ ruta
168 25159680 29 de Ago 2011 13:00:52 asa923-k8.bin
122 0 29 de Ago 2011 13:09:32 nat_ident_migrate
13 Ago 2048 29 de 2011 13:02:14 coredumpinfo
14 59 Ago 29 de 2011 13:02:14 coredumpinfo / coredump.cfg
169 16280544 29 de Ago 2011 13:02:58 asdm-741.bin
3 2048 Ago 29 de 2011 13:04:42 registro
6 Ago 2048 29 de 2011 13:05:00 crypto_archive
171 34816 01 Ene 1980 00:00:00 FSCK0000.REC
173 36864 01 Ene 1980 00:00:00 FSCK0001.REC
174 12998641 29 de Ago 2011 13:09:22 csd_3.5.2008-k9.pkg
175 2048 Ago 29 de 2011 13:09:24 sdesktop
211 0 29 de Ago 2011 13:09:24 sdesktop / data.xml
176 6487517 Ago 29 de 2011 13:09:26 AnyConnect-MacOSX-i386-2.5.2014-k9.pkg
177 6689498 Ago 29 de 2011 13:09:30 AnyConnect-linux-02/05/2014-k9.pkg
178 4678691 Ago 29 de 2011 13:09:32 AnyConnect-ganar-02/05/2014-k9.pkg
<Resultado omitido>

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 8 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

c. ¿Cuál es el nombre del archivo ASDM flash :?


________________________________________________

Step 4: Determinar la configuración activa actual.


El ASA 5505 es comúnmente usado como un dispositivo de seguridad perimetral que conecta una pequeña
empresa o trabajador a distancia a un dispositivo ISP, como por ejemplo un módem DSL o cable, para el
acceso a Internet. La configuración de fábrica por defecto para el ASA 5505 incluye lo siguiente:
 Un interior de la interfaz VLAN 1 está configurado que incluye Ethernet 0/1 0/7 a través de los puertos de
conmutación. La dirección IP de la VLAN 1 y la máscara son 192.168.1.1 y 255.255.255.0.
 Una interfaz fuera de la VLAN 2 está configurado que incluye el puerto del switch Ethernet 0/0. VLAN 2
deriva su dirección IP desde el ISP mediante DHCP por defecto.
 La ruta por defecto se deriva de la puerta de enlace predeterminada DHCP.
 Todas las direcciones IP dentro se traducen al tener acceso al exterior, utilizando la interfaz de PAT en la
interfaz VLAN 2.
 De manera predeterminada, los usuarios pueden acceder en el interior al exterior con una lista de acceso
y los usuarios externos puedan tener acceso al interior.
 El servidor DHCP está activado en el dispositivo de seguridad, por lo que un PC se conecta a la interfaz
VLAN 1 recibe una dirección entre 192.168.1.5 y 192.168.1.36 (licencia base) aunque el rango real
puede variar.
 El servidor HTTP está habilitado para ASDM y es accesible a los usuarios de la red 192.168.1.0/24.
 Sin consola o habilitación se requieren contraseñas, y el nombre de host predeterminado es ciscoasa.
Nota: En esta práctica de laboratorio, configurar manualmente los ajustes similares a los mencionados
anteriormente, así como algunos ajustes adicionales, utilizando la CLI ASA.
a. Mostrar la configuración actual mediante el comando show running-config.
ciscoasa # show running-config
: Salvado
:
ASA Version 9.2 (3)
!
ciscoasa nombre de host
permitir que la contraseña cifrada 8Ry2YjIyt7RRXU24
nombres
!
interfaz ethernet0 / 0
switchport access vlan 2
!
interfaz ethernet0 / 1
!
interfaz ethernet0 / 2

<Resultado omitido>
Nota: Para detener la salida de un comando mediante la CLI, pulse Q.
Si ves las VLAN 1 y 2 y otros ajustes como se describió anteriormente, el dispositivo es más probable
configurado con la configuración de fábrica por defecto. También puede ver otras características de
seguridad, tales como una política global que inspecciona el tráfico de aplicaciones seleccionada, que el

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 9 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

ASA inserta por defecto si la configuración de inicio original ha sido borrado. La salida real varía
dependiendo del modelo ASA, la versión, y el estado de configuración.
b. Puede restaurar el ASA a su configuración predeterminada de fábrica utilizando el comando de
configuración predeterminada de fábrica.
ciscoasa # conf t
ciscoasa (config) # configure predeterminado de fábrica

ADVERTENCIA: La configuración del sistema de arranque se borrará.


La primera imagen que se encuentra en disco0: / se utiliza para iniciar el
sistema en la siguiente recarga.
Compruebe que haya una imagen válida en disco0: / o el sistema
No arrancar.

Comenzar a aplicar la configuración predeterminada de fábrica:


Borrar toda la configuración
ADVERTENCIA: fijaciones DHCPD despejados en la interfaz 'interior', conjunto de
direcciones eliminadas
La ejecución de comandos: interfaz Ethernet 0/0
La ejecución de comandos: switchport access vlan 2
La ejecución de comandos: no shutdown
La ejecución de comandos: salida
La ejecución de comandos: interfaz Ethernet 0/1
La ejecución de comandos: switchport access vlan 1
La ejecución de comandos: no shutdown
La ejecución de comandos: salida
<Resultado omitido>
c. Revisar esta salida y prestar especial atención a las interfaces VLAN relativa a la NAT, y las secciones
relacionadas con DHCP. Estos se pueden configurar más adelante en este laboratorio mediante la CLI.
d. Es posible que desee capturar e imprimir la configuración predeterminada de fábrica como referencia.
Utilice el programa de emulación de terminal para copiarlo del ASA y pegarlo en un documento de texto.
A continuación, puede editar este archivo, si lo desea, de manera que contenga comandos sólo válidos.
Debe eliminar los comandos de contraseña e introduzca el comando no cerrada para abrir las interfaces
deseadas.

Step 5: Borrar los valores de configuración de ASA anteriores.


a. Utilice el comando de borrado de escritura para eliminar el archivo de configuración de inicio de la
memoria flash.
ciscoasa borrado de escritura #
Borrar la configuración en la memoria flash? [confirmar]
[DE ACUERDO]
ciscoasa #

ciscoasa # show inicio


No Configuración
Nota: El comando erase startup-config del IOS no se admite en el ASA.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 10 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

b. Utilice el comando reload para reiniciar el ASA. Esto hace que el ASA para llegar en el modo de
configuración de CLI. Si se le indica que la configuración ha sido modificada y necesita ser salvado,
responder con N y pulse Enter para proceder a la recarga.
ciscoasa # recarga
Proceder con la recarga? [confirmar]
ciscoasa #
***
*** --- --- START apagado correcto
El cierre de ISAKMP
Apagado del sistema de archivos
***
*** --- --- shutdown now
Proceso de cierre terminó
Reiniciar .....
CISCO SYSTEMS
Embedded Versión BIOS 1,0 (12) 13 08/28/08 15: 50: 37.45
<Resultado omitido>

Step 6: Utilice el modo CLI interactiva de configuración para configurar los ajustes básicos.
Cuando el ASA se completa el proceso de recarga, se debe detectar que el archivo de configuración de inicio
no está y presentar una serie de indicaciones interactivos para configurar los parámetros básicos de ASA. Si
no aparece en este modo, repetir el paso 5. Como alternativa, puede ejecutar el comando de instalación en
el símbolo del modo de configuración global, pero primero debe crear una interfaz de VLAN (VLAN 1), el
nombre de la gestión de VLAN (usando el comando nameif), y asignar la VLAN de una dirección IP.
Nota: El modo de modo interactivo, no configura el ASA con los valores de fábrica como se describe en el
Paso 4. Este modo se puede utilizar para configurar los ajustes básicos mínimos, tales como nombre de
host, el reloj y las contraseñas. También puede ir directamente a la línea de comandos para configurar los
ajustes de ASA, tal como se describe en la Parte 3.
a. Responder a los mensajes interactivos de configuración como se muestra aquí, después de las recargas
ASA.
Pre-configurar Firewall de ahora a través de mensajes interactivos [sí]?
<Intro>
Modo de firewall [enrutada]: <Intro>
Habilitar contraseña [<utilizar contraseña actual>]: Clase
Permitir la recuperación de contraseña [sí]? <Intro>
Reloj (UTC):
Año [2015]: <Intro>
Mes [abril]: <Intro>
Día [19]: <Intro>
Tiempo [23:32:19]: <Intro>
dirección IP de gestión: 192.168.1.1
máscara de red de gestión: 255.255.255.0
Nombre de host: ASA-Init
nombre de dominio: generic.com
dirección IP del host que ejecuta el Administrador de dispositivos: <Intro>

Se utilizará la siguiente configuración:

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 11 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Habilitar contraseña: cisco


Permitir la recuperación de contraseña: si
Reloj (UTC): 23:32:19 Abr 19 de el año 2015
Modo de servidor de seguridad: Enrutado
dirección IP de gestión: 192.168.1.1
máscara de red de gestión: 255.255.255.0
Nombre de host: ASA-Init
nombre de dominio: generic.com

Utilice esta configuración y guardar en flash? [sí Sí


Nivel de seguridad de "gestión" se establece en 0 por defecto: INFO.
Cryptochecksum: c8a535f0 e273d49e 5bddfd19 e12566b1

2070 bytes copiados en 0,940 segundos


Tipo de ayuda o '?' para obtener una lista de los comandos disponibles.
ASA-Init>
Nota: En la configuración anterior, la dirección IP de la ASDM corriendo anfitrión se dejó en blanco. No
es necesario instalar ASDM en un host. Se puede ejecutar desde la memoria flash del propio dispositivo
de ASA usando el navegador del huésped.
NotaLas respuestas a los mensajes se almacenan automáticamente en la configuración de inicio y la
configuración en ejecución. Sin embargo, los comandos relacionados con la seguridad adicionales, como
una política global de servicios de inspección por defecto, se insertan en el running-config del ASA OS.
b. Entre en el modo EXEC privilegiado con el comando enable. Introduzca la clase de la contraseña.
c. Ejecute el comando show run para ver los comandos de configuración relacionados con la seguridad
adicionales que se insertan por el ASA.
d. Emitir la orden de inicio de copiado para capturar los comandos relacionados con la seguridad
adicionales en el archivo de configuración de inicio.

Part 3: Configuración de ASA Configuración y seguridad de interfaz CLI


En la parte 3, va a configurar los ajustes básicos utilizando la CLI ASA, a pesar de que algunos de ellos ya se
han configurado con el modo de configuración mensajes interactivos en la Parte 2. En esta parte, que se
iniciará con la configuración establecida en la parte 2 y luego añadir o modificarlos para crear una
configuración básica completa.
Propina: Muchos de los comandos de la CLI ASA son similares, si no iguales, como los que se utilizan con la
CLI de Cisco IOS. Además, el proceso de mover entre los modos de configuración y sub-modos es
esencialmente el mismo.
Nota: Debe completar la Parte 2 Parte 3 antes de comenzar.

Step 1: Configurar el nombre de host y de dominio.


a. Entre en el modo de configuración global mediante el comando config t. La primera vez que entra en el
modo de configuración después de ejecutar el programa de instalación, se le pedirá para habilitar los
informes anónimos. Responder sin.
ASA-Init # config t
ASA-Init (config) #

***************************** AVISO ******************** *********

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 12 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Contribuir a mejorar la plataforma de ASA al permitir la denuncia anónima,


que permite Cisco para recibir de forma segura error y mínimo para la salud
información del dispositivo. Para obtener más información acerca de esta
característica,
visite: http://www.cisco.com/go/smartcall

¿Le gustaría habilitar los informes de error anónimos para ayudar a mejorar
¿el producto? [Y] es, [N] o [A] sk después: n

En el futuro, si desea habilitar esta característica,


emitir el comando "llamar a casa informes anónimos".

Por favor, no olvide guardar su configuración.


b. Configurar el nombre de host ASA usando el comando hostname.
ASA-init (config) # hostname CCNAs-ASA
c. Configurar el nombre de dominio con el comando de nombres de dominio.
CCNAs-ASA (config) # nombre-dominio ccnasecurity.com

Step 2: Configurar el inicio de sesión y habilitar las contraseñas de modo.


a. La contraseña de inicio de sesión isused para conexiones Telnet (y SSH antes de ASA versión 8.4). De
manera predeterminada, se establece en Cisco, pero ya que la configuración de inicio predeterminada se
borró usted tiene la opción de configurar la contraseña de inicio de sesión utilizando el comando passwd
o contraseña. Este comando es opcional, ya que más tarde en el laboratorio vamos a configurar el ASA
para SSH, Telnet y no el acceso.
CCNAs-ASA (config) cisco # passwd
b. Configurar la contraseña del modo EXEC privilegiado (enable) usando el comando enable password.
CCNAs-ASA (config) # enable password class

Step 3: Ajuste la fecha y la hora.


La fecha y hora se pueden ajustar manualmente mediante el comando de ajuste del reloj. La sintaxis para el
reloj del conjunto de comandos se ha programado el reloj hh: mm: ss {mes día | día mes año. El siguiente
ejemplo muestra cómo configurar la fecha y hora usando un reloj de 24 horas:
CCNAs-ASA (config) # reloj ajustado 19:09:00 19 de abril 2015

Step 4: Configurar el interfaces internas y externas.


ASA 5505 notas de interfaz:
El 5505 es diferente de los otros modelos de serie 5500 ASA. Con otras ASA, el puerto físico se puede
asignar una dirección IP de Capa 3 directamente, como un enrutador Cisco. Con el ASA 5505, los ocho
puertos de conmutación integrados son de Capa 2 puertos. Para asignar los parámetros de nivel 3, se debe
crear una interfaz de conmutador virtual (SVI) o la interfaz VLAN lógico y luego asignar una o más de la Capa
2 puertos físicos a ella. Los ocho puertos de switch se asignan inicialmente a la VLAN 1, a menos que la
configuración por defecto está presente, en cuyo caso, el puerto E0 / 0 se asigna a la VLAN 2. En este paso,
va a crear interfaces VLAN internas y externas, nombrarlos, asignar direcciones IP, y establecer el nivel de
seguridad de la interfaz.
Si ha completado la utilidad de configuración de configuración inicial, la interfaz VLAN 1 se configura como la
VLAN de administración con una dirección IP de 192.168.1.1. Va a configurarlo como la interfaz dentro de

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 13 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

este laboratorio. Sólo se configure la VLAN 1 (interior) y 2 interfaces VLAN (fuera) en este momento. El 3
interfaz VLAN (DMZ) será configurado en la parte 6 del laboratorio.
a. Configurar una lógica de interfaz VLAN 1 para la red interior (192.168.1.0/24) y ajustar el nivel de
seguridad al ajuste más alto de 100.
CCNAs-ASA (config) # interface VLAN 1
CCNAs-ASA (config-if) # nameif interior
CCNAs-ASA (config-if) # ip dirección 192.168.1.1 255.255.255.0
CCNAs-ASA (config-if) # seguridad de nivel 100
b. Crear una interfaz lógica VLAN 2 para la red exterior (209.165.200.224/29), establecer el nivel de
seguridad en la posición más baja de 0, y acceder a la interfaz VLAN 2.
CCNAs-ASA (config-if) # interface vlan 2
CCNAs-ASA (config-if) # nameif fuera
INFORMACIÓN: Nivel de seguridad de "fuera" establece en 0 por defecto.
CCNAs-ASA (config-if) # dirección IP 209.165.200.226 255.255.255.248
CCNAs-ASA (config-if) # no shutdown
Notas de interfaz de nivel de seguridad:
Es posible que reciba un mensaje de que el nivel de seguridad para la interfaz en el interior se ajusta
automáticamente a 100, y el interfaz exterior fue puesto a 0. El ASA utiliza los niveles de seguridad de la
interfaz de 0 a 100 para hacer cumplir la política de seguridad. Nivel de seguridad 100 (en el interior) es el
más seguro y el nivel 0 (exterior) es el menos seguro.
Por defecto, el ASA se aplica una política donde se permite el tráfico y el tráfico de una interfaz de nivel de
seguridad superior a uno con un nivel más bajo de una interfaz inferior nivel de seguridad a uno con un nivel
de seguridad más alto es negada. La política de seguridad predeterminada ASA permite que el tráfico de
salida, que se inspecciona, de manera predeterminada. Volviendo tráfico está permitido debido a la
inspección de paquetes de estado. Este “modo de enrutado” comportamiento predeterminado de servidor de
seguridad del ASA permite que los paquetes sean encaminados a la red dentro de la red exterior, pero no
viceversa. En la Parte 4 de este laboratorio, configurará NAT para aumentar la protección de firewall.
c. Utilice el comando show interface para asegurar que ASA Capa 2 puertos E0 / 0 (por VLAN 2) y E0 / 1
(para VLAN 1) son tanto hacia arriba. Un ejemplo se muestra para E0 / 0. Si cualquiera de los puertos se
muestra como abajo / hacia abajo, compruebe las conexiones físicas. Si cualquiera de los puertos es
administrativamente abajo, tocar el tema con el comando no shutdown.
CCNAs-ASA # show interface e0 / 0
Interfaz ethernet0 / 0 "", se administrativamente abajo, protocolo de línea es de
hasta
El hardware es 88E6095, BW 100 Mbps, 100 DLY USEC
Auto-Duplex (Dúplex), Auto-velocidad (100 Mbps)
<Resultado omitido>
d. Asignar ASA Capa 2 puerto E0 / 1 a la VLAN 1 y el puerto E0 / 0 a la VLAN 2. Utilice el comando no
shutdown para asegurarse de que están haciendo.
CCNAs-ASA (config) # interface e0 / 1
CCNAs-ASA (config-if) # switchport acceso VLAN 1
CCNAs-ASA (config-if) # no shutdown
CCNAs-ASA (config-if) # interface e0 / 0
CCNAs-ASA (config-if) # switchport acceso VLAN 2
CCNAs-ASA (config-if) # no shutdown

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 14 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Nota: A pesar de que E0 / 1 está en la VLAN 1 por defecto, los comandos se proporcionan
anteriormente.
e. Mostrar el estado de todas las interfaces IP ASA utilizando el comando show interface breve.
Nota:Este comando es diferente de la breve comando show ip interface del IOS. Si cualquiera de las
interfaces físicos o lógicos configurados previamente no son hacia arriba / hacia arriba, problema según
sea necesario antes de continuar.
Propina: La mayoría de los comandos muestran ASA, así como de ping, copiar, y otros, pueden ser
emitidos desde cualquier indicador del modo de configuración sin la orden de hacer que se requiere con
el IOS.
CCNAs-ASA (config) # show breve interfaz IP
Dirección IP de interfaz de acuerdo? Método Status Protocol
Ethernet0 / 0 SI no asignado desactívala arriba arriba
Ethernet0 / 1 SI no asignado desactívala arriba arriba
Ethernet0 / 2 SI no asignado desactívala arriba arriba
Ethernet0 / 3 SÍ sin asignar unset abajo abajo
Ethernet0 / 4 SÍ sin asignar unset abajo abajo
Ethernet0 / 5 SÍ sin asignar desarmar abajo abajo
Ethernet0 / 6 SÍ sin asignar unset abajo abajo
Ethernet0 / 7 sin asignar SÍ desarmar abajo abajo
-Data0 interna / 0 SI no asignado desactívala arriba arriba
-Data0 interna / 1 SI no asignado desactívala arriba arriba
Vlan1 192.168.1.1 sí manual arriba arriba
Vlan2 209.165.200.226 sí manual arriba arriba
Virtual0 127.0.0.1 SÍ desactívala arriba arriba
f. Mostrar la información de la capa 3 interfaces VLAN utilizando el comando show dirección IP.
CCNAs-ASA (config) # show dirección IP
Las direcciones IP de los sistemas:
Dirección de subred máscara Método Nombre de interfaz IP
Vlan1 dentro 192.168.1.1 255.255.255.0 Manual
Vlan2 fuera 209.165.200.226 255.255.255.248 Manual

Las direcciones IP actuales:


Dirección de subred máscara Método Nombre de interfaz IP
Vlan1 dentro 192.168.1.1 255.255.255.0 Manual
Vlan2 fuera 209.165.200.226 255.255.255.248 Manual
g. Utilice el comando show vlan interruptor para visualizar el interior y fuera de las VLAN configurada en el
ASA y para mostrar los puertos asignados.
CCNAs-ASA # show interruptor de VLAN
Nombre de VLAN Puertos de estado
---- -------------------------------- --------- ----- ------------------------
1 dentro hasta ET0 / 1, ET0 / 2, ET0 / 3, ET0 / 4
ET0 / 5, ET0 / 6, ET0 / 7
2 fuera hasta ET0 / 0
h. También puede utilizar el comando type / número show interface running-config para mostrar la
configuración de una interfaz particular de la configuración en ejecución.
CCNAs-ASA # show interface VLAN 1 plazo

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 15 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

!
interfaz VLAN1
nameif interior
seguridad en el nivel 100
Dirección IP 192.168.1.1 255.255.255.0

Step 5: Pruebe la conectividad a la ASA.


a. Asegúrese de que PC-B tiene una dirección estática IP de 192.168.1.3, una máscara de subred
255.255.255.0, y una entrada de defecto de 192.168.1.1 (la dirección IP de ASA VLAN 1 dentro de
interfaz).
b. Usted debe ser capaz de hacer ping desde el PC-B a la dirección de la interfaz dentro de ASA y ping
desde el ASA para PC-B. Si los pings fallan, solucionar problemas de la configuración según sea
necesario.
CCNAs-ASA 192.168.1.3 # ping
secuencia de escape tipo para abortar.
Enviando 5, 100 bytes ICMP Echos a 192.168.1.3, tiempo de espera es de 2 segundos:
!!!!!
tasa de éxito es 100 por ciento (5/5), de ida y vuelta min / avg / max = 1/1/1 ms
c. De PC-C, ping a la interfaz VLAN 2 (exterior) en la dirección 209.165.200.226 IP. No se debe poder
hacer ping esta dirección.

Step 6: Configurar el acceso a ASDM la ASA.


a. Se puede configurar el ASA para aceptar conexiones HTTPS utilizando el comando HTTP. Esto permite
el acceso a la interfaz gráfica de usuario ASA (ASDM). Configurar el ASA para permitir conexiones
HTTPS de cualquier host en la red interior (192.168.1.0/24).
CCNAs-ASA (config) # servidor HTTP permiten
CCNAs-ASA (config) # http 192.168.1.0 255.255.255.0 interior
b. Abra un navegador en el PC-B y probar el acceso HTTPS a la ASA mediante la introducción de
https://192.168.1.1. Se le pedirá con una advertencia de certificado de seguridad. Haga clic en Continuar.
Haga clic en Sí para las otras advertencias de seguridad. Debería ver la pantalla de bienvenida de Cisco
ASDM que le permite: Instalar ASDM Launcher y Ejecutar ASDM, Ejecutar ASDM o Asistente de inicio de
ejecución.
Nota: Si no puede poner en marcha ASDM, la dirección IP debe ser añadido a la lista de permitidos de
direcciones IP en Java.
1) Acceder al Panel de control de Windows y haga clic en Java.
2) En el Panel de control de Java, seleccione la ficha Seguridad. Haga clic en Editar lista de sitios.
3) En la lista de excepciones del sitio, haga clic en Agregar. En el campo Ubicación, escriba
https://192.168.1.1.
4) Haga clic en Aceptar para agregar la dirección IP.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 16 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

5) Compruebe que la dirección IP se ha agregado. Haga clic en OK para aceptar los cambios.

c. Cerrar el navegador. En la siguiente práctica, que va a utilizar ASDM ampliamente para configurar el
ASA. El objetivo aquí es no utilizar las pantallas de configuración ASDM, pero para verificar la
conectividad de HTTP / ASDM a la ASA. Si no puede acceder a la ASDM, revisar sus configuraciones. Si
las configuraciones son correctas en contacto con su instructor para obtener más ayuda.

Part 4: Configuración del enrutamiento, traducción de direcciones, y


Política de inspección utilizando la CLI
En la Parte 4 de este laboratorio, se le proporcionará una ruta predeterminada para la ASA para llegar a las
redes externas. Deberá configurar la traducción de direcciones de red utilizando objetos para mejorar la
seguridad del cortafuegos. A continuación, modificar la política de inspección de aplicaciones por defecto
para permitir el tráfico específico.
Nota: Debe completar la Parte 3, antes de proceder a la Parte 4.

Step 1: Configurar una ruta estática por defecto para el ASA.


En la parte 3, ha configurado el interfaz exterior ASA con una dirección IP estática y la máscara de subred.
Sin embargo, el ASA no tiene un gateway de último recurso definido. Para permitir que el ASA para llegar a
las redes externas, configurará una ruta estática predeterminada en la interfaz fuera de ASA.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 17 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Nota: Si la interfaz exterior ASA se configura como un cliente DHCP, se podría obtener una dirección IP de
puerta de enlace predeterminada desde el ISP. Sin embargo, en este laboratorio, la interfaz exterior está
configurado con una dirección estática.
a. Ping de la ASA para R1 G0 / 0 en la dirección 209.165.200.225 IP. Fue exitoso el ping?
____________________________________________________________________________________
____________________________________________________________________________________
b. Ping de la ASA para R1 S0 / 0/0 en la dirección IP 10.1.1.1. Fue exitoso el ping?
____________________________________________________________________________________
____________________________________________________________________________________
c. Crear una ruta por defecto “quad cero” mediante el comando de la ruta, asociarlo con la interfaz ASA
afuera, y el punto de la R1 G0 / 0 en la dirección 209.165.200.225 IP como el gateway de último recurso.
La distancia administrativa por defecto es uno de forma predeterminada.
CCNAs-ASA (config) # ruta fuera 0.0.0.0 0.0.0.0 209.165.200.225
d. Ejecute el comando show ruta para mostrar la tabla de enrutamiento ASA y la ruta estática por defecto
que acaba de crear.
CCNAs-ASA # show ruta
Códigos: L - local, C - conectado, S - static, R - RIP, M - móvil, B - BGP
D - EIGRP, EX - EIGRP externa, O - OSPF, IA - OSPF inter zona
N1 - OSPF NSSA tipo externo 1, N2 - OSPF NSSA tipo externo 2
E1 - OSPF tipo externo 1, E2 - OSPF tipo externo 2
i - IS-IS, do - Resumen IS-IS, L1 - IS-IS nivel-1, L2 - IS-IS nivel-2
IA - IS-IS inter zona, * - por defecto candidato, T - ruta estática por usuario
o - RLL, P - ruta estática descargado periódica, + - ruta replicado

Gateway de último recurso se 209.165.200.225 a la red 0.0.0.0

S * 0.0.0.0 0.0.0.0 [1/0] a través de 209.165.200.225, fuera


C 255.255.255.0 192.168.1.0 está conectado directamente, en el interior
L 192.168.1.1 255.255.255.255 está conectado directamente, en el interior
C 209.165.200.224 255.255.255.248 está conectado directamente, fuera
L 209.165.200.226 255.255.255.255 está conectado directamente, fuera
e. Ping de la ASA para R1 S0 / 0/0 dirección IP 10.1.1.1. Fue exitoso el ping?
____________________________________________________________________________________
____________________________________________________________________________________

Step 2: Configurar la traducción de direcciones de red usando PAT y objetos.


Nota: A partir de la versión 8.3 del ASA, objetos de red se utilizan para configurar todas las formas de
NAT. Se crea un objeto de red, y es dentro de este objeto que se ha configurado NAT. En el paso 2a, el
objeto de red INSIDE-NET se utiliza para traducir las direcciones de red dentro (192.168.10.0/24) a la
dirección global de la interfaz de ASA exterior. Este tipo de configuración objeto se llama Auto-NAT.
a. Crear el objeto de red INTERIOR-NET y asignar atributos a él utilizando la subred y los comandos nat.
CCNAs-ASA red (config) # objeto dentro-NET
CCNAs-ASA (config-red-objeto) # subred 192.168.1.0 255.255.255.0
CCNAs-ASA (config-red-objeto) # nat (interior, exterior) de la interfaz
dinámica

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 18 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

CCNAs-ASA (config-red-objeto) # end


b. El ASA se divide la configuración en la parte de objeto que define la red de traducirse y los parámetros
reales de comando nat. Estos aparecen en dos lugares diferentes en la configuración en ejecución. Ver
la configuración del objeto NAT mediante el objeto de ejecución espectáculo y mostrar ejecutar
comandos de NAT.
CCNAs-ASA # show objeto ejecutable
red objeto dentro-NET
subred 192.168.1.0 255.255.255.0

CCNAs-ASA # show run nat


!
red objeto dentro-NET
nat (interior, exterior) de la interfaz dinámica
c. Desde PC-B, intento hacer ping a la G0 / 0 interfaz R1 en la dirección 209.165.200.225 IP. Los pings
éxito? ___________________________
d. Emitir el comando nat espectáculo en el ASA para ver los éxitos traducidos y sin traducir. Tenga en
cuenta que, de los pings de PC-B, cuatro fueron traducidos y cuatro fueron no porque ICMP no está
siendo inspeccionado por la política de inspección global. Los pings salientes (ecos) fueron traducidos, y
las respuestas de eco que regresan fueron bloqueados por la política de firewall. Deberá configurar la
política de inspección por defecto para permitir ICMP en el siguiente paso. Nota: En función de los
procesos y los demonios ejecutándose en el ordenador particular utilizado como PC-B, es posible que
vea éxitos más traducidas y no traducidas que las cuatro peticiones de eco y respuestas de eco.
CCNAs-ASA # show nat

Políticas de Auto NAT (Sección 2)


1 (en el interior) a (exterior) fuente dinámica interfaz INSIDE-NET
translate_hits = 4, untranslate_hits = 4
e. Ping desde la PC-B a R1 de nuevo y rápidamente ejecute el comando show xlate para ver las
direcciones están traduciendo.
CCNAs-ASA # show xlate
1 en uso, 28 más utilizados
Banderas: D - DNS, i - dinámico, r - portmap, s - estática, I - identidad, T - dos
veces

ICMP PAT desde el interior: 192.168.1.3/512 al exterior: 209.165.200.226/21469


banderas ri 0:00:03 0:00:30 tiempo de espera de inactividad
Nota: Las banderas (R e I) indican que la traducción se basa en un mapa de puerto (r) y se realiza de
forma dinámica (i).
f. Abra un navegador en el PC-B e introduzca la dirección IP de R1 G0 / 0 (209.165.200.225). En una
ventana emergente, se le debería pedir por R1 que se requiere autenticación. se permite el tráfico HTTP
basado en TCP, por defecto, por la política de inspección del firewall.
g. En el ASA, vuelva a emitir el espectáculo y el espectáculo nat xlate comandos para ver los golpes y las
direcciones están traduciendo para la conexión HTTP.

Step 3: Modificar la política de servicio global predeterminada MPF inspección de aplicaciones.


Para la inspección de capa de aplicación, así como otras opciones avanzadas, el Cisco MPF está disponible
en los ASA. Cisco MPF utiliza tres objetos de configuración para definir modular, orientada a objetos, y las
políticas jerárquicas:

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 19 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

 mapas de clase - Definir un criterio de coincidencia.


 Los mapas de políticas - acciones asociadas a los criterios de coincidencia.
 políticas de servicio - Una el mapa de la política a una interfaz, o de forma global a todas las interfaces
del aparato.
a. Mostrar el mapa de la política MPF predeterminada que efectúa la inspección del tráfico en el interior-
exterior-a. Sólo el tráfico que se inició desde el interior se permite de nuevo a la interfaz exterior.
Observe que el protocolo ICMP no se encuentra.
CCNAs-ASA # show run | empezar la clase
clase-mapa inspection_default
de coincidencia predeterminada a la inspección del tráfico
!
Tipo de política-mapa inspeccionar DNS preset_dns_map
parámetros
mensaje de longitud máxima del cliente automático
mensaje de longitud máxima 512

Política-mapa global_policy
inspection_default clase
inspeccionar preset_dns_map dns
inspeccionar ftp
inspeccionar H225 H323
inspeccionar ras h323
inspeccionar ip-options
inspeccionar NetBIOS
inspeccionar rsh
inspeccionar RTSP
inspeccionar flaco
inspeccionar esmtp
inspeccionar SQLNET
inspeccionar sunrpc
inspeccionar TFTP
inspeccionar SIP
inspeccionar xdmcp
!
global_policy global de política-servicio
<Resultado omitido>
b. Añadir la inspección de tráfico ICMP a la lista mapa de la política mediante los siguientes comandos:
CCNAs-ASA (config) # política-mapa global_policy
CCNAs-ASA (config-pmap) inspection_default # clase
CCNAs-ASA (config-pmap-c) # inspeccionan ICMP
c. Mostrar el mapa MPF polich por defecto para verificar ICMP aparece ahora en las reglas de inspección.
CCNAs-ASA (config-pmap-c) # show run política-mapa
!
Tipo de política-mapa inspeccionar DNS preset_dns_map
parámetros
mensaje de longitud máxima del cliente automático

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 20 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

mensaje de longitud máxima 512


Política-mapa global_policy
inspection_default clase
inspeccionar preset_dns_map dns
inspeccionar ftp
inspeccionar H225 H323
inspeccionar ras h323
inspeccionar ip-options
inspeccionar NetBIOS
inspeccionar rsh
inspeccionar RTSP
inspeccionar flaco
inspeccionar esmtp
inspeccionar SQLNET
inspeccionar sunrpc
inspeccionar TFTP
inspeccionar SIP
inspeccionar xdmcp
inspeccionar ICMP
!
d. Desde PC-B, intento hacer ping a la G0 / 0 interfaz R1 en la dirección 209.165.200.225 IP. Los pings
deben tener éxito esta vez porque el tráfico ICMP está siendo inspeccionado y se está permitiendo el
retorno de tráfico legítimo.

Part 5: Configuración de DHCP, AAA, y SSH


En la Parte 5, configurará características ASA, tales como DHCP y la seguridad de inicio de sesión mejorada,
utilizando AAA y SSH.
Nota: Debe completar la Parte 4 Parte 5 antes de comenzar.

Step 1: Configurar el ASA como un servidor DHCP.


El ASA puede ser tanto un servidor DHCP y un cliente DHCP. En este paso, va a configurar el ASA como un
servidor DHCP para asignar dinámicamente direcciones IP de los clientes DHCP de la red interior.
a. Configurar un conjunto de direcciones DHCP y activarlo en el interior de la interfaz de ASA. Este es el
rango de direcciones para asignar a los clientes DHCP en su interior. Intenta establecer el intervalo de
192.168.1.5 a través 192.168.1.100.
CCNAs-ASA (config) # dirección de dhcpd 192.168.1.5-192.168.1.100 interior
Advertencia, piscina rango DHCP está limitado a 32 direcciones, establecer rango de
direcciones como: 192.168.1.5-192.168.1.36
que fueron capaces de hacer esto en este ASA?
____________________________________________________________________________________
____________________________________________________________________________________
b. Repita el comando dhcpd y especificar la piscina como 192.168.1.5-192.168.1.36
CNAS-ASA (config) # dirección de dhcpd 192.168.1.5-192.168.1.36 interior
c. (Opcional) Especificar la dirección IP del servidor DNS que debe darse a los clientes.
CCNAs-ASA (config) # dhcpd dns 209.165.201.2

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 21 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Nota: Los demás parámetros se pueden especificar para los clientes, tales como servidor WINS, la
duración del arrendamiento, y el nombre de dominio. Por defecto, el ASA establece su propia dirección
IP como la puerta de enlace predeterminada DHCP, lo que no hay necesidad de configurarlo. Sin
embargo, para configurar manualmente la puerta de enlace predeterminada, o se establece en la
dirección IP de un dispositivo de red diferente, utilice el siguiente comando:
CCNAs-ASA (config) la opción # dhcpd 192.168.1.1 3 ip
d. Habilitar el demonio DHCP dentro del ASA para escuchar las solicitudes de cliente DHCP en la interfaz
habilitada (en el interior).
CCNAs-ASA (config) # dhcpd habilitar el interior
e. Comprobar la configuración del proceso de DHCP mediante el comando show run dhcpd.
CCNAs-ASA (config) # show run dhcpd
dhcpd 209.165.201.2 DNS
!
DHCPD abordar dentro 192.168.1.5-192.168.1.36
DHCPD permitir que el interior
f. Acceder a la conexión de red IP Properties para PC-B, y el cambio de una dirección IP estática a un
cliente DHCP para que obtenga una dirección IP automáticamente del servidor DHCP ASA. El
procedimiento para hacer esto varía dependiendo del sistema operativo del PC. Puede que sea
necesario emitir el comando ipconfig / renovar comando en PC-B para obligarlo a obtener una nueva
dirección IP de la ASA.

Step 2: Configurar AAA para usar la base de datos local para la autenticación.
a. Definir un usuario local llamado admin introduciendo el comando nombre de usuario. Especificar una
contraseña de cisco12345.
CCNAs-ASA (config) # nombre de usuario contraseña de administrador cisco12345
b. Configurar AAA para usar la base de datos local de ASA para la autenticación de usuario SSH.
CCNAs-ASA (config) # autentificación AAA consola ssh LOCAL
Nota: Para mayor seguridad, comenzando con ASA versión 8.4 (2), configurar la autenticación AAA para
soportar conexiones SSH. El inicio de sesión predeterminado de Telnet / SSH no es compatible. Ya no se
puede conectar con el ASA usando SSH con el nombre de usuario predeterminado y la contraseña de inicio
de sesión.

Step 3: Configurar el acceso remoto SSH al ASA.


Se puede configurar el ASA para aceptar conexiones SSH desde una única máquina o una gama de
máquinas de la red dentro o fuera.
a. Generar un par de claves RSA, que se requiere para apoyar las conexiones SSH. El módulo (en bits)
puede ser de 512, 768, 1024 ó 2048. Cuanto mayor sea el tamaño del módulo de clave que especifique,
más tiempo se tarda en generar un RSA. Especificar un módulo de 1024 utilizando el comando crypto
key.
CCNAs-ASA (config) tecla # crypto generar módulo RSA 1024
INFORMACIÓN: El nombre de las claves será: <predeterminado-RSA-Key>
iniciar el proceso de generación de par de claves. Por favor espera...
Nota: Puede recibir un mensaje de que un par de claves RSA ya está definido. Para volver a colocar el
par de claves RSA entrar en sí en el indicador.
b. Guardar las claves RSA a la memoria flash persistentes utilizando ya sea el inicio de ejecución copia o
escribir mem comando.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 22 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

CCNAs-ASA mem # escritura


Configuración de construcción...
Cryptochecksum: 3c845d0f b6b8839a f9e43be0 33feb4ef
3270 bytes copiados en 0.890 segundos
[DE ACUERDO]
c. Configurar el ASA para permitir conexiones SSH desde cualquier host de la red interior (192.168.1.0/24)
y desde el host de administración remota en la sucursal (172.16.3.3) en la red exterior. Establecer el
tiempo de espera de SSH a 10 minutos (el valor predeterminado es 5 minutos).
CCNAs-ASA (config) # ssh 192.168.1.0 255.255.255.0 adentro
CCNAs-ASA (config) # ssh 172.16.3.3 255.255.255.255 fuera
CCNAs-ASA (config) # ssh tiempo de espera 10
d. En PC-C, utilizar un cliente SSH (como PuTTY) para conectarse a la interfaz exterior ASA en el
209.165.200.226 dirección IP. La primera vez que se conecta puede ser provocada por el cliente SSH
para aceptar la clave RSA del servidor SSH ASA. Inicie la sesión como usuario administrador y
proporcionar la cisco12345 contraseña. También puede conectarse a la interfaz de ASA en el interior de
un cliente SSH de PC-B usando la dirección IP 192.168.1.1.

Part 6: Configuración de DMZ, NAT estática, y ACL


Anteriormente, se ha configurado la traducción de direcciones usando PAT para la red interior. En esta parte
de la práctica de laboratorio, crear una zona desmilitarizada en el ASA, configurar NAT estática a un servidor
DMZ, y aplicar las ACL para controlar el acceso al servidor.
Para dar cabida a la adición de una DMZ y un servidor web, que va a utilizar otra dirección de la gama ISP
asignado 209.165.200.224/29 (desde 0,224 hasta 0,231). Router R1 G0 / 0 y el interfaz exterior ASA ya
están utilizando 209.165.200.225 y 0.226. Que va a utilizar la megafonía 209.165.200.227 y NAT estática
para proporcionar acceso a la traducción de direcciones del servidor.

Step 1: Configurar la interfaz DMZ VLAN 3 en el ASA.


a. Configurar DMZ VLAN 3, que es donde el servidor web de acceso público residirá. Asignar VLAN 3
dirección IP 192.168.2.1/24, nombrarlo DMZ, y asignar un nivel de seguridad de 70 años.
Nota: Si está trabajando con la licencia Base ASA 5505, verá el mensaje de error se muestra en el
resultado a continuación. La licencia Base ASA 5505 permite la creación de hasta tres interfaces VLAN
con nombre. Sin embargo, debe desactivar la comunicación entre la tercera interfaz y una de las otras
interfaces utilizando el comando no hacia adelante. Este no es un problema si el ASA tiene una licencia
de Seguridad Plus, que permite a las VLAN 20 con nombre.
Debido a que el servidor no necesita iniciar la comunicación con los usuarios dentro, desactivar el
reenvío a la interfaz VLAN 1.
CCNAs-ASA (config) # interface vlan 3
CCNAs-ASA (config-if) # ip dirección 192.168.2.1 255.255.255.0
CCNAs-ASA (config-if) # DMZ nameif
ERROR: Esta licencia no permite configurar más de 2 interfaces con
nameif y sin una orden de "no seguir" en esta interfaz o el 1 de interfase (s)
con nameif ya configurada.

CCNAs-ASA (config-if) # no hacia adelante interfaz VLAN 1


CCNAs-ASA (config-if) # DMZ nameif
INFORMACIÓN: Nivel de seguridad de "zona de distensión" establece en 0 por
defecto.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 23 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

CCNAs-ASA (config-if) # seguridad de nivel 70


CCNAs-ASA (config-if) # no cerrada
b. Asignar ASA interfaz física E0 / 2 a DMZ VLAN 3 y habilitar la interfaz.
CCNAs-ASA (config-if) # interface ethernet0 / 2
CCNAs-ASA (config-if) # switchport acceso VLAN 3
CCNAs-ASA (config-if) # no cerrada
c. Mostrar el estado de todas las interfaces IP ASA utilizando el comando show interface breve.
CCNAs-ASA # show ip interface brief
Dirección IP de interfaz de acuerdo? Método Status Protocol
Ethernet0 / 0 SI no asignado desactívala arriba arriba
Ethernet0 / 1 SI no asignado desactívala arriba arriba
Ethernet0 / 2 SI no asignado desactívala arriba arriba
Ethernet0 / 3 SÍ sin asignar unset abajo abajo
Ethernet0 / 4 SÍ sin asignar unset abajo abajo
Ethernet0 / 5 SÍ sin asignar desarmar abajo abajo
Ethernet0 / 6 SÍ sin asignar unset abajo abajo
Ethernet0 / 7 sin asignar SÍ desarmar abajo abajo
-Data0 interna / 0 SI no asignado desactívala arriba arriba
-Data0 interna / 1 SI no asignado desactívala arriba arriba
Vlan1 192.168.1.1 sí manual arriba arriba
Vlan2 209.165.200.226 sí manual arriba arriba
VLAN3 192.168.2.1 sí manual arriba arriba
Virtual0 127.0.0.1 SÍ desactívala arriba arriba
d. Mostrar la información de la capa 3 interfaces VLAN utilizando el comando show dirección IP.
CCNAs-ASA # show dirección IP
Las direcciones IP de los sistemas:
Dirección de subred máscara Método Nombre de interfaz IP
Vlan1 dentro 192.168.1.1 255.255.255.0 Manual
Vlan2 fuera 209.165.200.226 255.255.255.248 Manual
VLAN3 DMZ 192.168.2.1 255.255.255.0 Manual
<Resultado omitido>
e. Mostrar las VLAN y asignaciones de puertos en el ASA con el comando show switch VLAN.
CCNAs-ASA (config) # show interruptor de VLAN
Nombre de VLAN Puertos de estado
---- -------------------------------- --------- ----- -----------------------
-
1 dentro hasta ET0 / 1, ET0 / 3, ET0 / 4, ET0 / 5
ET0 / 6, ET0 / 7
2 fuera hasta ET0 / 0
3 DMZ hasta ET0 / 2

Step 2: Configurar NAT estática para el servidor DMZ utilizando un objeto de red.
Configurar una DMZ-servidor de objetos de red con nombre y asignarle la dirección IP estática del servidor
DMZ (192.168.2.3). Mientras que en el modo de definición de objeto, utilice el comando nat para especificar

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 24 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

que este objeto se utiliza para traducir una dirección DMZ a una dirección fuera de uso de NAT estática, y
especifique una dirección traducida pública de 209.165.200.227.
CCNAs-ASA (config) # objeto de red DMZ-servidor
CCNAs-ASA (config-red-objeto) 192.168.2.3 # anfitrión
CCNAs-ASA (config-red-objeto) # nat (DMZ, exterior) 209.165.200.227 estático

Step 3: Configurar una ACL para permitir el acceso al servidor DMZ desde Internet.
Configurar una lista de acceso nombrada (FUERA-DMZ) que permite a cualquier protocolo IP desde
cualquier host externo a la dirección IP interna del servidor DMZ. Aplicar la lista de acceso a la interfaz fuera
de ASA en la dirección IN.
CCNAs-ASA (config) # access-list permiso EXTERIOR-IP DMZ cualquier anfitrión
192.168.2.3
CCNAs-ASA (config) # access-group FUERA-DMZ en interfaz exterior
Nota: A diferencia de IOS ACL, la declaración de permiso ASA ACL debe permitir el acceso a la dirección
DMZ privada interna. hosts externos acceden al servidor utilizando su dirección de NAT estática pública, el
ASA se traduce a la dirección IP del host interno, y luego se aplica la LCA.
Puede modificar esta ACL para permitir que sólo los servicios que desee estar expuestos a los servidores
externos, tales como la web (HTTP) o de transferencia de archivos (FTP).

Step 4: prueba de acceso al servidor DMZ.


a. Crear una interfaz de bucle de retorno 0 en Internet R2 representa un host externo. Asignar la dirección
IP 172.30.1.1 Lo0 y una máscara 255.255.255.0. Ping a la dirección pública del servidor DMZ de R2
mediante la interfaz de bucle de retorno como la fuente del ping. Los pings deben tener éxito.
R2 (config-if) lo0 # interface
R2 (config-if) # ip dirección 172.30.1.1 255.255.255.0
R2 (config-if) # end
R2 # ping lo0 fuente de 209.165.200.227

secuencia de escape tipo para abortar.


Enviando 5, 100 bytes ICMP Echos a 209.165.200.227, tiempo de espera es de 2 segundos:
Paquete enviado a una dirección de origen de 172.30.1.1
!!!!!
tasa de éxito es 100 por ciento (5/5), de ida y vuelta min / avg / max = 1/2/4 ms
b. Borrar los contadores NAT utilizando el comando clear contadores nat.
CCNAs-ASA # contadores nat claras
c. Ping desde la PC-C para el servidor en el DMZ 209.165.200.227 megafonía. Los pings deben tener éxito.
d. Emitir el espectáculo nat y mostrar los comandos XLATE en el ASA para ver el efecto de los pings. Se
muestran tanto el PAT (dentro hacia fuera) y NAT estática (DMZ) que fuera políticas.
CCNAs-ASA # show nat

Políticas de Auto NAT (Sección 2)


1 (DMZ) a 209.165.200.227 DMZ-servidor (exterior) fuente estático
translate_hits = 0, untranslate_hits = 4

2 (en el interior) a (exterior) fuente dinámica interfaz INSIDE-NET


translate_hits = 4, untranslate_hits = 0

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 25 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

Nota: Pings desde el interior hacia el exterior éxitos están traducidos. Pings desde fuera anfitrión de la
PC-C a la zona de distensión se consideran golpes sin traducir.
CCNAs-ASA # show xlate
1 en uso, 3 más utilizados
Banderas: D - DNS, i - dinámico, r - portmap, s - estática, I - identidad, T - dos
veces
NAT de DMZ: 192.168.2.3 al exterior: 209.165.200.227
banderas s 0:22:58 0:00:00 tiempo de espera de inactividad
Nota: Esta vez la bandera es “s”, lo que indica una traslación estática.
e. También puede acceder al servidor DMZ desde un host en la red en el interior ya que la interfaz dentro
de ASA (VLAN 1) se establece en el nivel de seguridad de 100 (la más alta) y la interfaz DMZ (VLAN 3)
se establece en 70. Los actos ASA como un enrutador entre las dos redes. Ping el servidor DMZ (PC-A)
dirección interna (192.168.2.3) desde el interior de host de red PC-B (192.168.1.X.). Los pings deben ser
exitoso debido al nivel de seguridad de la interfaz y el hecho de que ICMP está siendo inspeccionado en
la interfaz interior de la política inpsection global. Los pings de PC-B a PC-A no afectará a los recuentos
de traducción NAT porque ambos PC y PC-B-A están detrás del cortafuegos, y no hay traducción tiene
lugar.
f. El servidor DMZ no puede hacer ping-B PC en la red en el interior debido a la DMZ interfaz VLAN 3 tiene
un nivel de seguridad más bajo y debido a que el comando no hacia adelante se especificó cuando se
creó la interfaz VLAN 3. Intente hacer ping desde el servidor DMZ PC-A a PC-B en la dirección
192.168.1.3 IP. Los pings no deben tener éxito.
g. Utilice el comando show run para mostrar la configuración de VLAN 3.
CCNAs-ASA # show interface VLAN de ejecución 3
!
interfaz VLAN3
sin avance interfaz VLAN1
nameif DMZ
seguridad en el nivel 70
Dirección IP 192.168.2.1 255.255.255.0
Nota: Una lista de acceso se puede aplicar a la interfaz en el interior para controlar el tipo de acceso a
permitir o denegar al servidor DMZ de hosts internos.

Reflexión
1. ¿Cómo afecta la configuración del firewall ASA difiere de la de un ISR?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿Qué usa la ASA para definir la traducción de direcciones y cuál es el beneficio?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
3. ¿De qué manera las interfaces del ASA 5505 uso lógicos y físicos para administrar la seguridad y cómo esto
se diferencian de otros modelos de ASA?

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 26 de 27
Lab - Configuración de ASA 5505 Firewall Configuración básica y uso de la CLI

_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________

Resumen Router interfaz de tabla

Resumen de interfaces del router

Router Interfaz Ethernet # 1 Interfaz Ethernet # 2 Interfaz Serie # 1 Interfaz Serie # 2


Modelo

1800 Fast Ethernet 0/0 (F0 / Fast Ethernet 0/1 (F0 / Serial 0/0/0 (S0 / Serial 0/0/1 (S0 / 0/1)
0) 1) 0/0)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0 / Serial 0/0/1 (S0 / 0/1)
(G0 / 0) (G0 / 1) 0/0)
2801 Fast Ethernet 0/0 (F0 / Fast Ethernet 0/1 (F0 / Serial 0/1/0 (S0 / Serial 0/1/1 (S0 / 1/1)
0) 1) 1/0)
2811 Fast Ethernet 0/0 (F0 / Fast Ethernet 0/1 (F0 / Serial 0/0/0 (S0 / Serial 0/0/1 (S0 / 0/1)
0) 1) 0/0)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0 / Serial 0/0/1 (S0 / 0/1)
(G0 / 0) (G0 / 1) 0/0)
Nota: Para averiguar cómo está configurado el router, consulte las interfaces para identificar el tipo de router y la
cantidad de interfaces del router tiene. No hay manera de hacer una lista con eficacia todas las combinaciones
de configuraciones para cada clase de router. Esta tabla incluye identificadores para las posibles combinaciones
de Ethernet y las interfaces de serie en el dispositivo. La tabla no incluye cualquier otro tipo de interfaz, aunque
un router específico puede contener uno. Un ejemplo de esto podría ser una interfaz ISDN BRI. La cadena entre
paréntesis es la abreviatura legal que se puede utilizar en comandos de Cisco IOS para representar la interfaz.

© 2015 -2019Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 27 de 27