SlideShare una empresa de Scribd logo

1118174 asa config-dmz-00

A
adrian quety

Configuracion Basica ASA

Educación
1 de 8
Descargar para leer sin conexión
Configuración del NAT básica ASA: Web server en el DMZ en la Versión de ASA 8.3 y posterior Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Información general Metas Descripción de la lista de control de acceso Descripción general de NAT Configurar Consiga comenzado Topología Paso 1 - Configuración NAT para permitir que los hosts salgan a Internet Paso 2 - Configuración NAT para acceder el web server de Internet Paso 3 - Configuración ACL Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete Verificación Troubleshooting Conclusión Introducción Este documento proporciona un ejemplo simple y directo de cómo configurar el NAT y el Listas de control de acceso (ACL) en un Firewall ASA para permitir la Conectividad saliente así como entrante. Este documento fue escrito usando un Firewall ASA 5510 que funcionaba con la versión del código ASA 9.1(1) pero éste puede aplicarse fácilmente a cualquier otra plataforma del Firewall ASA. Si usa una plataforma tal como un ASA 5505, que utiliza los VLA N en vez de la interfaz física, usted necesita cambiar los tipos de interfaz como apropiados. Contribuido por Magnus Mortensen, ingeniero de Cisco TAC. Prerrequisitos Requisitos No hay requisitos específicos para este documento. Componentes Utilizados La información en este documento se basa en el Firewall ASA 5510 que funciona con la versión del código ASA 9.1(1). La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Información general Metas En este ejemplo de configuración, usted puede considerar qué configuración NAT y de la lista de control de acceso será necesaria configurar para permitir el acceso entrante a un web server en el DMZ de un Firewall ASA, y permite la Conectividad saliente de los hosts internos y DMZ. Esto se puede resumir como dos metas: Permita los hosts en el interior y la Conectividad saliente DMZ a Internet.1. Permita que los hosts en Internet accedan un web server en el DMZ con una dirección IP de 192.168.1.100.2. Antes de conseguir a qué pasos se deben hacer para lograr estas dos metas, pase abreviadamente las Listas de acceso de la manera y el trabajo NAT sobre las versiones más recientes del código ASA (versión 8.3 y posterior).
Descripción de la lista de control de acceso Las listas de control de acceso (las listas de acceso o los ACL para corto) son el método por el cual el Firewall ASA determina si se permite o se niega el tráfico. Por abandono, el tráfico que pasa de un más bajo al mayor nivel de seguridad se niega. Esto se puede reemplazar por un ACL aplicado a esa interfaz de menor seguridad. También el ASA, por abandono, permitirá el tráfico de más arriba a las interfaces de menor seguridad. Este comportamiento se puede también reemplazar con un ACL. En las versiones anteriores del código ASA (8.2 y anterior), el ASA comparó una conexión entrante o un paquete contra el ACL en una interfaz sin O.N.U-traducir el paquete primero. Es decir el ACL tuvo que permitir el paquete como si usted debiera capturar ese paquete en la interfaz. En y posterior el código 8.3, el ASA O.N.U-traduce ese paquete antes de marcar la interfaz ACL. Esto significa eso para y posterior el código 8.3, y se permite este documento, tráfico al IP real del host y no el IP traducido del host. Vea la sección de las reglas de acceso que configura del libro 2: Guía de configuración CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre las listas de control de acceso. Descripción general de NAT El NAT en el ASA en la versión 8.3 y posterior está roto en dos tipos sabe como NAT auto (objeto NAT) y NAT manual (dos veces NAT). El primer de los dos, el objeto NAT, se configura dentro de la definición de un objeto de red. Un ejemplo de esto se proporciona más adelante en este documento. Una ventaja primaria de este método NAT es que el ASA pide automáticamente las reglas para procesar en cuanto a evita los conflictos. Ésta es la forma más fácil de NAT, pero con esa facilidad viene una limitación en el granularity de la configuración. Por ejemplo, usted no puede tomar la decisión de la traducción basada en el destino en el paquete pues usted podría con el segundo tipo de nacional nacional, manual. El NAT manual es más robusto en su granularity, pero requiere que las líneas estén configuradas en la orden correcta para alcanzar la conducta correcta. Esto complica este tipo NAT y como consecuencia, no será utilizada en este ejemplo de configuración. Vea la información sobre la sección NAT del libro 2: Guía de configuración CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre el NAT. Configurar Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección. Consiga comenzado La configuración básica de la configuración ASA es tres interfaces conectadas con tres segmentos de red. El segmento de la red ISP está conectado con la interfaz del Ethernet0/0 y etiquetado afuera con un nivel de seguridad de 0. La red interna ha estado conectada con Ethernet0/1 y etiquetada como dentro con un nivel de seguridad de 100. El segmento DMZ, donde reside el web server está conectado con Ethernet0/2 y etiquetado como dmz con un nivel de seguridad de 50. La configuración de la interfaz y los IP Addresses por el ejemplo se considera aquí: interface Ethernet0/0 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 ! route outside 0.0.0.0 0.0.0.0 198.51.100.1 Aquí usted puede ver que la interfaz interior ASA está fijada con la dirección IP de 192.168.0.1, y es el default gateway para los host internos. La interfaz exterior ASA se configura con una dirección IP obtenida del ISP. Hay una ruta predeterminado en el lugar, fijando el Next-Hop para ser el gateway ISP. Si usted utiliza el DHCP esto se proporciona automáticamente. La interfaz del dmz se configura con la dirección IP de 192.168.1.1, y es el default gateway para los hosts en nuestro segmento de la red DMZ. Topología Aquí está una mirada visual en cómo se telegrafía y se configura esto:
Paso 1 - Configuración NAT para permitir que los hosts salgan a Internet Para este objeto NAT del ejemplo, también conocido como AutoNAT, se utiliza. La primera cosa a configurar es las reglas NAT que permiten los hosts en el interior y segmentos del dmz a conectar con Internet. Porque estos hosts están utilizando los IP Address privados, usted necesita traducirlos algo que es routable en Internet. En este caso traduzca el direccionamiento de modo que parezcan la dirección IP de la interfaz exterior ASA. Si su IP externa cambia con frecuencia (quizás debido al DHCP) ésta es la manera más directa de configurar esto. Para configurar este NAT, usted necesita crear un objeto de red que represente la subred interior así como uno que represente la subred del dmz. En cada uno de estos objetos, configure una regla nacional dinámica que ACARICIE a estos clientes como el paso de sus interfaces respectivas a la interfaz exterior. Esta configuración parece similar a esto: object network inside-subnet subnet 192.168.0.0 255.255.255.0 nat (inside,outside) dynamic interface ! object network dmz-subnet subnet 192.168.1.0 255.255.255.0 nat (dmz,outside) dynamic interface Si usted mira la configuración corriente en este momento (con la salida de la demostración funcionada con), usted verá que la definición del objeto está partida en dos partes de la salida. La primera parte indica solamente cuál está en el objeto (host/subred, dirección IP, etc), mientras que la segunda sección muestra que regla NAT atada a ese objeto. Si usted toma la primera entrada en la salida arriba: Cuando los hosts que corresponden con la travesía de 192.168.0.0/24 subredes de la interfaz interior a la interfaz exterior, nosotros quieren traducirlos dinámicamente a la interfaz exterior Paso 2 - Configuración NAT para acceder el web server de Internet Ahora que los hosts en las interfaces interiores y del dmz pueden salir a Internet, usted necesita modificar la configuración de modo que los usuarios en Internet puedan acceder nuestro web server en el puerto TCP 80. En este ejemplo, la configuración es de modo que la gente en Internet pueda conectar con otra dirección IP que el ISP proporcionó, una dirección IP adicional poseemos. Por este ejemplo, utilice 198.51.100.101. Con esta configuración, los usuarios en Internet podrán alcanzar el web server del dmz accediendo 198.51.100.101 en el puerto TCP 80. Utilice el objeto NAT para esta tarea, y el ASA traducirá el puerto TCP 80 en el web server (192.168.1.100) para parecer 198.51.100.101 en el puerto TCP 80 en el exterior. Semejantemente a qué fue hecha arriba, define un objeto y define las Reglas de traducción para ese objeto. También, defina un segundo objeto para representar el IP que usted está traduciendo este host a. Esta configuración parece similar a esto: object network webserver-external-ip host 198.51.100.101 ! object network webserver host 192.168.1.100 nat (dmz,outside) static webserver-external-ip service tcp www www Apenas para resumir lo que significa esa regla NAT en este ejemplo: Cuando un host que corresponde con a la dirección IP 192.168.1.100 en los segmentos del dmz establece una conexión originada del
puerto TCP 80 (WWW) y esa conexión sale la interfaz exterior, queremos traducir eso para ser el puerto TCP 80 (WWW) en la interfaz exterior y para traducir ese IP Address para ser 198.51.100.101 Ése parece un poco impar… “originado del puerto TCP 80 (WWW)”, solamente del tráfico de la Web se destina al puerto 80. Es importante entender que estas reglas NAT son bidireccionales en la naturaleza. Como consecuencia usted puede reformular esta frase moviendo de un tirón la fraseología alrededor. El resultado tiene mucho más sentido: Cuando los hosts en el exterior establecen una conexión a 198.51.100.101 en el puerto 80 (WWW) del TCP de destino, traduciremos el IP Address de destino para ser 192.168.1.100 y el puerto destino será el puerto TCP 80 (WWW) y le mandará el dmz Esto tiene más sentido cuando está expresada esta manera. Después, usted necesita configurar los ACL. Paso 3 - Configuración ACL Se configura el NAT y el final de esta configuración está cerca. Recuerde, los ACL en el ASA permiten que usted reemplace la conducta de seguridad predeterminada que es como sigue: El tráfico que va de una interfaz de menor seguridad se niega al ir a una interfaz de mayor seguridad El tráfico que va de una interfaz de mayor seguridad se permite al ir a una interfaz de menor seguridad Tan sin agregar ningunos ACL en absoluto a la configuración, el tráfico siguiente en este ejemplo trabaja: Los hosts en el interior (nivel de seguridad 100) pueden conectar con los hosts en el dmz (nivel de seguridad 50) Los hosts en el interior (nivel de seguridad 100) pueden conectar con los hosts en el exterior (nivel de seguridad 0) Los hosts en el dmz (nivel de seguridad 50) pueden conectar con los hosts en el exterior (nivel de seguridad 0) Sin embargo, se niega el tráfico siguiente: Los hosts en el exterior (nivel de seguridad 0) no pueden conectar con los hosts en el interior (nivel de seguridad 100) Los hosts en el exterior (nivel de seguridad 0) no pueden conectar con los hosts en el dmz (nivel de seguridad 50) Los hosts en el dmz (nivel de seguridad 50) no pueden conectar con los hosts en el interior (nivel de seguridad 100) Porque el tráfico del exterior a la red del dmz es negado por el ASA con su configuración actual, los usuarios en Internet no pueden alcanzar el web server a pesar de la configuración del NAT en el paso 2. Usted necesita permitir explícitamente este tráfico. En y posterior el código 8.3 usted debe utilizar el IP real del host en el ACL y no el IP traducido. Esto significa que la configuración necesita permitir el tráfico destinado a 192.168.1.100 y no traficar destinado a 198.51.100.101 en el puerto 80. Para el motivo de la simplicidad, los objetos definidos en el paso 2 serán utilizados para este ACL también. Una vez que se crea el ACL, usted necesita aplicarlo entrante en la interfaz exterior. Aquí es lo que parecen esos comandos configuration: access-list outside_acl extended permit tcp any object webserver eq www ! access-group outside_acl in interface outside La línea estados de la lista de acceso: Tráfico del permiso del any(where) al host representado por el web server del objeto (192.168.1.100) en el puerto 80 Es importante la configuración utiliza la cualquier palabra clave aquí. Porque la dirección IP de origen de los clientes no se sabe que alcanza su sitio web especifique cualquier el significado “cualquier dirección IP. ¿Qué sobre el tráfico del segmento del dmz destinó a los hosts en el segmento de la red interna? ¿Por ejemplo, un servidor en la red interna a la cual los hosts en la necesidad del dmz de conectar? ¿Cómo puede el ASA permitir solamente que específico trafique destinado al servidor interior y bloquee todo lo demás destinada al segmento interior del dmz? En este ejemplo se asume que hay servidor DNS en la red interna en la dirección IP 192.168.0.53 que los hosts en la necesidad del dmz de acceder para la resolución de DNS. Usted crea el ACL necesario y lo aplica a la interfaz del dmz así que el ASA puede reemplazar esa conducta de seguridad predeterminada, mencionada anterior, para el tráfico que ingresa esa interfaz. Aquí es lo que parecen esos comandos configuration: object network dns-server host 192.168.0.53 ! access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet access-list dmz_acl extended permit ip any any ! access-group dmz_acl in interface dmz El ACL es más complejo que simplemente permitiendo ese tráfico al servidor DNS en el puerto 53 UDP. Si todo lo que lo hicimos es que
primero línea del “permiso”, después todo el tráfico sería bloqueado del dmz a los hosts en Internet. La lista de acceso tiene un “deny ip any any implícito” en el final del ACL. Como consecuencia, sus hosts del dmz no podrían salir a Internet. Aunque el tráfico del dmz al exterior es permitido por abandono, aplicando un ACL a la interfaz del dmz, ésos omiten las conductas de seguridad para la interfaz del dmz están no más en efecto y debemos permitir explícitamente el tráfico en la interfaz ACL. Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete Ahora que se completa la configuración, usted necesita probarla para aseegurarla trabaja. El método más fácil es utilizar los hosts reales (si ésta es su red). Sin embargo, en interés de probar esto de la línea de comando y más futuro explorando algunas de las herramientas ASA, utilice el trazalíneas del paquete para probar y potencialmente para hacer el debug de cualquier problema encontrado. El trazalíneas del paquete trabaja simulando un paquete basado en una serie de parámetros y la inyección de ese paquete al trayecto de datos de la interfaz, similar a un paquete de la vida real si fue cogida del alambre. Este paquete se sigue con la miríada de los controles y de los procesos que se hacen encendido mientras que pasan con el Firewall y trazalíneas del paquete observa el resultado. Simule el host interno que sale a un host en Internet. El comando abajo da instrucciones el Firewall a: Simule un paquete TCP que viene en la interfaz interior de la dirección IP 192.168.0.125 en el puerto de origen 12345 destinado a un IP Address de 203.0.113.1 en el puerto 80 ciscoasa# packet-tracer input inside tcp 192.168.0.125 12345 203.0.113.1 80 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config:Additional Information: in 0.0.0.0 0.0.0.0 outsidePhase: 3 Type: NAT Subtype: Result: ALLOW Config: object network inside-subnet nat (inside,outside) dynamic interface Additional Information: Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345 Phase: 4 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 7 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 1, packet dispatched to next module
Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: allow El resultado final es que el tráfico está permitido que significa que pasara todos los incorporares NAT y ACL la configuración y fuera enviado la interfaz de egreso, afuera. Observe que el paquete fue traducido en la fase 3 y los detalles de esa fase muestran lo que se golpea la regla. El host 192.168.0.125 se traduce dinámicamente a 198.51.100.100 según la configuración. Ahora, ejecútelo para una conexión de Internet al web server. Recuerde, los hosts en Internet accederá el web server conectando con 192.51.100.101 en la interfaz exterior. Una vez más este comando siguiente traduce a: Simule un paquete TCP que viene en la interfaz exterior de la dirección IP 192.0.2.123 en el puerto de origen 12345 destinado a un IP Address de 198.51.100.101 en el puerto 80 ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345 98.51.100.101 80 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network webserver nat (dmz,outside) static webserver-external-ip service tcp www www Additional Information: NAT divert to egress interface dmz Untranslate 98.51.100.101/80 to 192.168.1.100/80 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside_acl in interface outside access-list outside_acl extended permit tcp any object webserver eq www Additional Information: Phase: 3 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 5 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network webserver nat (dmz,outside) static webserver-external-ip service tcp www www Additional Information: Phase: 6 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 7 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: FLOW-CREATION Subtype: Result: ALLOW
Config: Additional Information: New flow created with id 3, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: dmz output-status: up output-line-status: up Action: allow El resultado es otra vez que el paquete está permitido. Los ACL marcan hacia fuera, las miradas de la configuración muy bien, y los usuarios en Internet (afuera) deben poder acceder ese web server usando IP externa. Verificación Los procedimientos de verificación se incluyen en el paso 4 - Configuración de prueba con la característica del trazalíneas del paquete. Troubleshooting Actualmente, no hay información específica de troubleshooting disponible para esta configuración. Conclusión La configuración de un ASA para hacer el NAT básico no es ésa el desanimar de una tarea. El ejemplo en este documento se puede adaptar a su escenario específico cambiando los IP Addresses y los puertos usados en los ejemplos de configuración antedichos. La configuración final ASA para esto, cuando está combinado, parece similar a esto para un ASA 5510: ASA Version 9.1(1) ! interface Ethernet0/0 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 ! object network inside-subnet subnet 192.168.0.0 255.255.255.0 object network dmz-subnet subnet 192.168.1.0 255.255.255.0 object network webserver host 192.168.1.100 object network webserver-external-ip host 198.51.100.101 object network dns-server host 192.168.0.53 ! access-list outside_acl extended permit tcp any object webserver eq www access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet access-list dmz_acl extended permit ip any any ! object network inside-subnet nat (inside,outside) dynamic interface object network dmz-subnet nat (dmz,outside) dynamic interface object network webserver nat (dmz,outside) static webserver-external-ip service tcp www www access-group outside_acl in interface outside access-group dmz_acl in interface dmz ! route outside 0.0.0.0 0.0.0.0 198.51.100.1 1 En un ASA 5505, por ejemplo, y las interfaces están conectados como se muestra arriba (exterior conectado con el Ethernet0/0, dentro de conectado con Ethernet0/1 y el dmz conectado con Ethernet0/2): ASA Version 9.1(1)
! interface Ethernet0/0 description Connected to Outside Segment switchport access vlan 2 ! interface Ethernet0/1 description Connected to Inside Segment switchport access vlan 1 ! interface Ethernet0/2 description Connected to DMZ Segment switchport access vlan 3 ! interface Vlan2 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Vlan3 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 ! object network inside-subnet subnet 192.168.0.0 255.255.255.0 object network dmz-subnet subnet 192.168.1.0 255.255.255.0 object network webserver host 192.168.1.100 object network webserver-external-ip host 198.51.100.101 object network dns-server host 192.168.0.53 ! access-list outside_acl extended permit tcp any object webserver eq www access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet access-list dmz_acl extended permit ip any any ! object network inside-subnet nat (inside,outside) dynamic interface object network dmz-subnet nat (dmz,outside) dynamic interface object network webserver nat (dmz,outside) static webserver-external-ip service tcp www www access-group outside_acl in interface outside access-group dmz_acl in interface dmz ! route outside 0.0.0.0 0.0.0.0 198.51.100.1 1 © 1992-2015 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 25 Agosto 2015 http://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz-00.html

Recomendados

Documentación ACL - Firewall ASA
Documentación ACL - Firewall ASADocumentación ACL - Firewall ASA
Documentación ACL - Firewall ASAcyberleon95
 
Dhcp windows server
Dhcp windows serverDhcp windows server
Dhcp windows servercyberleon95
 
Firewall
FirewallFirewall
Firewallcyberleon95
 
Configuración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGConfiguración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGcyberleon95
 
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...gilmer sotil
 
Taller enrutamiento estatico
Taller enrutamiento estaticoTaller enrutamiento estatico
Taller enrutamiento estaticocyberleon95
 
Configuración DHCP - NAT
Configuración DHCP - NATConfiguración DHCP - NAT
Configuración DHCP - NATcyberleon95
 
Manual de referencia
Manual de referenciaManual de referencia
Manual de referenciacyberleon95
 

Recomendados

Documentación ACL - Firewall ASA
Documentación ACL - Firewall ASADocumentación ACL - Firewall ASA
Documentación ACL - Firewall ASAcyberleon95
 
Dhcp windows server
Dhcp windows serverDhcp windows server
Dhcp windows servercyberleon95
 
Firewall
FirewallFirewall
Firewallcyberleon95
 
Configuración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGConfiguración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGcyberleon95
 
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...gilmer sotil
 
Taller enrutamiento estatico
Taller enrutamiento estaticoTaller enrutamiento estatico
Taller enrutamiento estaticocyberleon95
 
Configuración DHCP - NAT
Configuración DHCP - NATConfiguración DHCP - NAT
Configuración DHCP - NATcyberleon95
 
Manual de referencia
Manual de referenciaManual de referencia
Manual de referenciacyberleon95
 
Autodiagnostico 5 Trimestre
Autodiagnostico 5 TrimestreAutodiagnostico 5 Trimestre
Autodiagnostico 5 Trimestrecyberleon95
 
Taller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPTaller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPcyberleon95
 
Practica con firewall asa
Practica con firewall asaPractica con firewall asa
Practica con firewall asawebsyo
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Vanesa Rodríguez Percy
 
Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANcyberleon95
 
Enlaces inalámbricos con Mikrotik
Enlaces inalámbricos con MikrotikEnlaces inalámbricos con Mikrotik
Enlaces inalámbricos con MikrotikDiego Murillo
 
Wireshark1
Wireshark1Wireshark1
Wireshark1cyberleon95
 
Servidor FTP Red Hat 6.2
Servidor FTP Red Hat 6.2Servidor FTP Red Hat 6.2
Servidor FTP Red Hat 6.2cyberleon95
 
Comparativa Firewall: IPCop vs. pfSense
Comparativa Firewall: IPCop vs. pfSenseComparativa Firewall: IPCop vs. pfSense
Comparativa Firewall: IPCop vs. pfSenseIrontec
 
Capacitación Mikrotik desde Cero - práctica
Capacitación Mikrotik desde Cero - prácticaCapacitación Mikrotik desde Cero - práctica
Capacitación Mikrotik desde Cero - prácticaMicrocom Argentina
 
VPN Mikrotik
VPN MikrotikVPN Mikrotik
VPN MikrotikRod Hinojosa
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBAcyberleon95
 
Practicas pfsense vlan
Practicas pfsense vlanPracticas pfsense vlan
Practicas pfsense vlanDeibis Moreno
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli routercyberleon95
 
PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.gabo_rojo
 
Manual servicio dns bajo windows server 2008 r2
Manual servicio dns bajo windows server 2008 r2Manual servicio dns bajo windows server 2008 r2
Manual servicio dns bajo windows server 2008 r2cyberleon95
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES GustavoCaceres32
 
Mikrotik ultimo manual
Mikrotik ultimo manualMikrotik ultimo manual
Mikrotik ultimo manualChristian Val
 
Servidor web server
Servidor web serverServidor web server
Servidor web servercyberleon95
 
Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Michelle Gutierrez
 
HSPTL PPT UPDT
HSPTL PPT UPDTHSPTL PPT UPDT
HSPTL PPT UPDTAyesha Akhter
 
Floristeria paraiso floral 10 3
Floristeria paraiso floral 10 3Floristeria paraiso floral 10 3
Floristeria paraiso floral 10 3lopezvivi
 

Más contenido relacionado

La actualidad más candente

Autodiagnostico 5 Trimestre
Autodiagnostico 5 TrimestreAutodiagnostico 5 Trimestre
Autodiagnostico 5 Trimestrecyberleon95
 
Taller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPTaller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPcyberleon95
 
Practica con firewall asa
Practica con firewall asaPractica con firewall asa
Practica con firewall asawebsyo
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Vanesa Rodríguez Percy
 
Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANcyberleon95
 
Enlaces inalámbricos con Mikrotik
Enlaces inalámbricos con MikrotikEnlaces inalámbricos con Mikrotik
Enlaces inalámbricos con MikrotikDiego Murillo
 
Servidor FTP Red Hat 6.2
Servidor FTP Red Hat 6.2Servidor FTP Red Hat 6.2
Servidor FTP Red Hat 6.2cyberleon95
 
Comparativa Firewall: IPCop vs. pfSense
Comparativa Firewall: IPCop vs. pfSenseComparativa Firewall: IPCop vs. pfSense
Comparativa Firewall: IPCop vs. pfSenseIrontec
 
Capacitación Mikrotik desde Cero - práctica
Capacitación Mikrotik desde Cero - prácticaCapacitación Mikrotik desde Cero - práctica
Capacitación Mikrotik desde Cero - prácticaMicrocom Argentina
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBAcyberleon95
 
Practicas pfsense vlan
Practicas pfsense vlanPracticas pfsense vlan
Practicas pfsense vlanDeibis Moreno
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli routercyberleon95
 
PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.gabo_rojo
 
Manual servicio dns bajo windows server 2008 r2
Manual servicio dns bajo windows server 2008 r2Manual servicio dns bajo windows server 2008 r2
Manual servicio dns bajo windows server 2008 r2cyberleon95
 
Mikrotik ultimo manual
Mikrotik ultimo manualMikrotik ultimo manual
Mikrotik ultimo manualChristian Val
 
Servidor web server
Servidor web serverServidor web server
Servidor web servercyberleon95
 
Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Michelle Gutierrez
 

La actualidad más candente (20)

Autodiagnostico 5 Trimestre
Autodiagnostico 5 TrimestreAutodiagnostico 5 Trimestre
Autodiagnostico 5 Trimestre
 
Taller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIPTaller enrutamiento dinámico RIP
Taller enrutamiento dinámico RIP
 
Practica con firewall asa
Practica con firewall asaPractica con firewall asa
Practica con firewall asa
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510
 
Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIAN
 
Enlaces inalámbricos con Mikrotik
Enlaces inalámbricos con MikrotikEnlaces inalámbricos con Mikrotik
Enlaces inalámbricos con Mikrotik
 
Wireshark1
Wireshark1Wireshark1
Wireshark1
 
Servidor FTP Red Hat 6.2
Servidor FTP Red Hat 6.2Servidor FTP Red Hat 6.2
Servidor FTP Red Hat 6.2
 
Comparativa Firewall: IPCop vs. pfSense
Comparativa Firewall: IPCop vs. pfSenseComparativa Firewall: IPCop vs. pfSense
Comparativa Firewall: IPCop vs. pfSense
 
Capacitación Mikrotik desde Cero - práctica
Capacitación Mikrotik desde Cero - prácticaCapacitación Mikrotik desde Cero - práctica
Capacitación Mikrotik desde Cero - práctica
 
VPN Mikrotik
VPN MikrotikVPN Mikrotik
VPN Mikrotik
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBA
 
Practicas pfsense vlan
Practicas pfsense vlanPracticas pfsense vlan
Practicas pfsense vlan
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli router
 
PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.
 
Manual servicio dns bajo windows server 2008 r2
Manual servicio dns bajo windows server 2008 r2Manual servicio dns bajo windows server 2008 r2
Manual servicio dns bajo windows server 2008 r2
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 
Mikrotik ultimo manual
Mikrotik ultimo manualMikrotik ultimo manual
Mikrotik ultimo manual
 
Servidor web server
Servidor web serverServidor web server
Servidor web server
 
Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4Guia de instalación de dhcp en centos 6.4
Guia de instalación de dhcp en centos 6.4
 

Destacado

Floristeria paraiso floral 10 3
Floristeria paraiso floral 10 3Floristeria paraiso floral 10 3
Floristeria paraiso floral 10 3lopezvivi
 
Slave's Roles in the American Revolution
Slave's Roles in the American RevolutionSlave's Roles in the American Revolution
Slave's Roles in the American Revolutionraddenjuanita
 
Deni agustiana (a3.1400030)
Deni agustiana (a3.1400030)Deni agustiana (a3.1400030)
Deni agustiana (a3.1400030)deni_agustiana
 
20 مهارة تجعلك محبوبا بين الناس
20 مهارة تجعلك محبوبا بين الناس20 مهارة تجعلك محبوبا بين الناس
20 مهارة تجعلك محبوبا بين الناسMharatws company
 
Interior Folleto Alicante Fotoprotegida
Interior Folleto Alicante FotoprotegidaInterior Folleto Alicante Fotoprotegida
Interior Folleto Alicante FotoprotegidaRoldonio Ideosincrasio
 
早稲田祭帰国報告会
早稲田祭帰国報告会 早稲田祭帰国報告会
早稲田祭帰国報告会 Takuya Ayukawa
 
CCNA - Dr. Mostafa Elgamala
CCNA - Dr. Mostafa ElgamalaCCNA - Dr. Mostafa Elgamala
CCNA - Dr. Mostafa ElgamalaMostafa Elgamala
 

Destacado (17)

HSPTL PPT UPDT
HSPTL PPT UPDTHSPTL PPT UPDT
HSPTL PPT UPDT
 
Floristeria paraiso floral 10 3
Floristeria paraiso floral 10 3Floristeria paraiso floral 10 3
Floristeria paraiso floral 10 3
 
Safari Destinations introduction
Safari Destinations introductionSafari Destinations introduction
Safari Destinations introduction
 
Mapa mental
Mapa mentalMapa mental
Mapa mental
 
Slave's Roles in the American Revolution
Slave's Roles in the American RevolutionSlave's Roles in the American Revolution
Slave's Roles in the American Revolution
 
Tano
TanoTano
Tano
 
New Feature- Send Invoice to Multiple Contacts
New Feature- Send Invoice to Multiple ContactsNew Feature- Send Invoice to Multiple Contacts
New Feature- Send Invoice to Multiple Contacts
 
Deni agustiana (a3.1400030)
Deni agustiana (a3.1400030)Deni agustiana (a3.1400030)
Deni agustiana (a3.1400030)
 
20 مهارة تجعلك محبوبا بين الناس
20 مهارة تجعلك محبوبا بين الناس20 مهارة تجعلك محبوبا بين الناس
20 مهارة تجعلك محبوبا بين الناس
 
Interior Folleto Alicante Fotoprotegida
Interior Folleto Alicante FotoprotegidaInterior Folleto Alicante Fotoprotegida
Interior Folleto Alicante Fotoprotegida
 
早稲田祭帰国報告会
早稲田祭帰国報告会 早稲田祭帰国報告会
早稲田祭帰国報告会
 
Revista entera
Revista enteraRevista entera
Revista entera
 
Sandra buitrago 77
Sandra buitrago 77Sandra buitrago 77
Sandra buitrago 77
 
HerringtonResume
HerringtonResumeHerringtonResume
HerringtonResume
 
Math Trivia
Math TriviaMath Trivia
Math Trivia
 
CCNA - Dr. Mostafa Elgamala
CCNA - Dr. Mostafa ElgamalaCCNA - Dr. Mostafa Elgamala
CCNA - Dr. Mostafa Elgamala
 
Top_Choice_Tables
Top_Choice_TablesTop_Choice_Tables
Top_Choice_Tables
 

Similar a 1118174 asa config-dmz-00

Nat
NatNat
Nat1 2d
 
Bridges Inalambricos
Bridges InalambricosBridges Inalambricos
Bridges InalambricosKevinn Lino
 
Practica con firewall ASA
Practica con firewall ASAPractica con firewall ASA
Practica con firewall ASAwebsyo
 
Practica con firewall asa
Practica con firewall asaPractica con firewall asa
Practica con firewall asaMELGO2012
 
Unidad iii seguridad de redes
Unidad iii seguridad de redes Unidad iii seguridad de redes
Unidad iii seguridad de redes leonardoruiz98
 
Introdución a la computacion 1
Introdución a la computacion 1Introdución a la computacion 1
Introdución a la computacion 1carolinab26
 
14 configuración relacionada a la red
14 configuración relacionada a la red14 configuración relacionada a la red
14 configuración relacionada a la redjosemanuelacostarendon
 
14 configuración relacionada a la red
14 configuración relacionada a la red14 configuración relacionada a la red
14 configuración relacionada a la redAprende Viendo
 
Configuración de parametros de red
Configuración de parametros de redConfiguración de parametros de red
Configuración de parametros de redKramer Garay Gómez
 
LAN Switching and Wirelless conceptos básicos y configuracion del witch
LAN Switching and Wirelless conceptos básicos y configuracion del witchLAN Switching and Wirelless conceptos básicos y configuracion del witch
LAN Switching and Wirelless conceptos básicos y configuracion del witchFredPincay
 

Similar a 1118174 asa config-dmz-00 (20)

Redes wan
Redes wanRedes wan
Redes wan
 
Curso de wifi y redes locales
Curso de wifi y redes localesCurso de wifi y redes locales
Curso de wifi y redes locales
 
Nat
NatNat
Nat
 
Bridges Inalambricos
Bridges InalambricosBridges Inalambricos
Bridges Inalambricos
 
Bridges1.1
Bridges1.1Bridges1.1
Bridges1.1
 
Practica con firewall ASA
Practica con firewall ASAPractica con firewall ASA
Practica con firewall ASA
 
Practicadhcp2
Practicadhcp2Practicadhcp2
Practicadhcp2
 
Practica con firewall asa
Practica con firewall asaPractica con firewall asa
Practica con firewall asa
 
Unidad iii seguridad de redes
Unidad iii seguridad de redes Unidad iii seguridad de redes
Unidad iii seguridad de redes
 
Practica 8
Practica 8Practica 8
Practica 8
 
Introdución a la computacion 1
Introdución a la computacion 1Introdución a la computacion 1
Introdución a la computacion 1
 
14 configuración relacionada a la red
14 configuración relacionada a la red14 configuración relacionada a la red
14 configuración relacionada a la red
 
14 configuración relacionada a la red
14 configuración relacionada a la red14 configuración relacionada a la red
14 configuración relacionada a la red
 
Pix (1)
Pix (1)Pix (1)
Pix (1)
 
CONFIGURACIÓN DEL ROUTER
CONFIGURACIÓN DEL ROUTERCONFIGURACIÓN DEL ROUTER
CONFIGURACIÓN DEL ROUTER
 
Configuracion Router.ppt
Configuracion Router.pptConfiguracion Router.ppt
Configuracion Router.ppt
 
Configuración de parametros de red
Configuración de parametros de redConfiguración de parametros de red
Configuración de parametros de red
 
Configuracion de red
Configuracion de redConfiguracion de red
Configuracion de red
 
Consulta de redes
Consulta de redesConsulta de redes
Consulta de redes
 
LAN Switching and Wirelless conceptos básicos y configuracion del witch
LAN Switching and Wirelless conceptos básicos y configuracion del witchLAN Switching and Wirelless conceptos básicos y configuracion del witch
LAN Switching and Wirelless conceptos básicos y configuracion del witch
 

Último

SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
Introducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleIntroducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleJonathanCovena1
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadAlejandrino Halire Ccahuana
 
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfResolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuaDANNYISAACCARVAJALGA
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 

Último (20)

SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
Introducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo SostenibleIntroducción:Los objetivos de Desarrollo Sostenible
Introducción:Los objetivos de Desarrollo Sostenible
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdad
 
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdfResolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
Resolucion de Problemas en Educacion Inicial 5 años ED-2024 Ccesa007.pdf
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahua
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 

1118174 asa config-dmz-00

  • 1. Configuración del NAT básica ASA: Web server en el DMZ en la Versión de ASA 8.3 y posterior Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Información general Metas Descripción de la lista de control de acceso Descripción general de NAT Configurar Consiga comenzado Topología Paso 1 - Configuración NAT para permitir que los hosts salgan a Internet Paso 2 - Configuración NAT para acceder el web server de Internet Paso 3 - Configuración ACL Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete Verificación Troubleshooting Conclusión Introducción Este documento proporciona un ejemplo simple y directo de cómo configurar el NAT y el Listas de control de acceso (ACL) en un Firewall ASA para permitir la Conectividad saliente así como entrante. Este documento fue escrito usando un Firewall ASA 5510 que funcionaba con la versión del código ASA 9.1(1) pero éste puede aplicarse fácilmente a cualquier otra plataforma del Firewall ASA. Si usa una plataforma tal como un ASA 5505, que utiliza los VLA N en vez de la interfaz física, usted necesita cambiar los tipos de interfaz como apropiados. Contribuido por Magnus Mortensen, ingeniero de Cisco TAC. Prerrequisitos Requisitos No hay requisitos específicos para este documento. Componentes Utilizados La información en este documento se basa en el Firewall ASA 5510 que funciona con la versión del código ASA 9.1(1). La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Información general Metas En este ejemplo de configuración, usted puede considerar qué configuración NAT y de la lista de control de acceso será necesaria configurar para permitir el acceso entrante a un web server en el DMZ de un Firewall ASA, y permite la Conectividad saliente de los hosts internos y DMZ. Esto se puede resumir como dos metas: Permita los hosts en el interior y la Conectividad saliente DMZ a Internet.1. Permita que los hosts en Internet accedan un web server en el DMZ con una dirección IP de 192.168.1.100.2. Antes de conseguir a qué pasos se deben hacer para lograr estas dos metas, pase abreviadamente las Listas de acceso de la manera y el trabajo NAT sobre las versiones más recientes del código ASA (versión 8.3 y posterior).
  • 2. Descripción de la lista de control de acceso Las listas de control de acceso (las listas de acceso o los ACL para corto) son el método por el cual el Firewall ASA determina si se permite o se niega el tráfico. Por abandono, el tráfico que pasa de un más bajo al mayor nivel de seguridad se niega. Esto se puede reemplazar por un ACL aplicado a esa interfaz de menor seguridad. También el ASA, por abandono, permitirá el tráfico de más arriba a las interfaces de menor seguridad. Este comportamiento se puede también reemplazar con un ACL. En las versiones anteriores del código ASA (8.2 y anterior), el ASA comparó una conexión entrante o un paquete contra el ACL en una interfaz sin O.N.U-traducir el paquete primero. Es decir el ACL tuvo que permitir el paquete como si usted debiera capturar ese paquete en la interfaz. En y posterior el código 8.3, el ASA O.N.U-traduce ese paquete antes de marcar la interfaz ACL. Esto significa eso para y posterior el código 8.3, y se permite este documento, tráfico al IP real del host y no el IP traducido del host. Vea la sección de las reglas de acceso que configura del libro 2: Guía de configuración CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre las listas de control de acceso. Descripción general de NAT El NAT en el ASA en la versión 8.3 y posterior está roto en dos tipos sabe como NAT auto (objeto NAT) y NAT manual (dos veces NAT). El primer de los dos, el objeto NAT, se configura dentro de la definición de un objeto de red. Un ejemplo de esto se proporciona más adelante en este documento. Una ventaja primaria de este método NAT es que el ASA pide automáticamente las reglas para procesar en cuanto a evita los conflictos. Ésta es la forma más fácil de NAT, pero con esa facilidad viene una limitación en el granularity de la configuración. Por ejemplo, usted no puede tomar la decisión de la traducción basada en el destino en el paquete pues usted podría con el segundo tipo de nacional nacional, manual. El NAT manual es más robusto en su granularity, pero requiere que las líneas estén configuradas en la orden correcta para alcanzar la conducta correcta. Esto complica este tipo NAT y como consecuencia, no será utilizada en este ejemplo de configuración. Vea la información sobre la sección NAT del libro 2: Guía de configuración CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre el NAT. Configurar Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección. Consiga comenzado La configuración básica de la configuración ASA es tres interfaces conectadas con tres segmentos de red. El segmento de la red ISP está conectado con la interfaz del Ethernet0/0 y etiquetado afuera con un nivel de seguridad de 0. La red interna ha estado conectada con Ethernet0/1 y etiquetada como dentro con un nivel de seguridad de 100. El segmento DMZ, donde reside el web server está conectado con Ethernet0/2 y etiquetado como dmz con un nivel de seguridad de 50. La configuración de la interfaz y los IP Addresses por el ejemplo se considera aquí: interface Ethernet0/0 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 ! route outside 0.0.0.0 0.0.0.0 198.51.100.1 Aquí usted puede ver que la interfaz interior ASA está fijada con la dirección IP de 192.168.0.1, y es el default gateway para los host internos. La interfaz exterior ASA se configura con una dirección IP obtenida del ISP. Hay una ruta predeterminado en el lugar, fijando el Next-Hop para ser el gateway ISP. Si usted utiliza el DHCP esto se proporciona automáticamente. La interfaz del dmz se configura con la dirección IP de 192.168.1.1, y es el default gateway para los hosts en nuestro segmento de la red DMZ. Topología Aquí está una mirada visual en cómo se telegrafía y se configura esto:
  • 3. Paso 1 - Configuración NAT para permitir que los hosts salgan a Internet Para este objeto NAT del ejemplo, también conocido como AutoNAT, se utiliza. La primera cosa a configurar es las reglas NAT que permiten los hosts en el interior y segmentos del dmz a conectar con Internet. Porque estos hosts están utilizando los IP Address privados, usted necesita traducirlos algo que es routable en Internet. En este caso traduzca el direccionamiento de modo que parezcan la dirección IP de la interfaz exterior ASA. Si su IP externa cambia con frecuencia (quizás debido al DHCP) ésta es la manera más directa de configurar esto. Para configurar este NAT, usted necesita crear un objeto de red que represente la subred interior así como uno que represente la subred del dmz. En cada uno de estos objetos, configure una regla nacional dinámica que ACARICIE a estos clientes como el paso de sus interfaces respectivas a la interfaz exterior. Esta configuración parece similar a esto: object network inside-subnet subnet 192.168.0.0 255.255.255.0 nat (inside,outside) dynamic interface ! object network dmz-subnet subnet 192.168.1.0 255.255.255.0 nat (dmz,outside) dynamic interface Si usted mira la configuración corriente en este momento (con la salida de la demostración funcionada con), usted verá que la definición del objeto está partida en dos partes de la salida. La primera parte indica solamente cuál está en el objeto (host/subred, dirección IP, etc), mientras que la segunda sección muestra que regla NAT atada a ese objeto. Si usted toma la primera entrada en la salida arriba: Cuando los hosts que corresponden con la travesía de 192.168.0.0/24 subredes de la interfaz interior a la interfaz exterior, nosotros quieren traducirlos dinámicamente a la interfaz exterior Paso 2 - Configuración NAT para acceder el web server de Internet Ahora que los hosts en las interfaces interiores y del dmz pueden salir a Internet, usted necesita modificar la configuración de modo que los usuarios en Internet puedan acceder nuestro web server en el puerto TCP 80. En este ejemplo, la configuración es de modo que la gente en Internet pueda conectar con otra dirección IP que el ISP proporcionó, una dirección IP adicional poseemos. Por este ejemplo, utilice 198.51.100.101. Con esta configuración, los usuarios en Internet podrán alcanzar el web server del dmz accediendo 198.51.100.101 en el puerto TCP 80. Utilice el objeto NAT para esta tarea, y el ASA traducirá el puerto TCP 80 en el web server (192.168.1.100) para parecer 198.51.100.101 en el puerto TCP 80 en el exterior. Semejantemente a qué fue hecha arriba, define un objeto y define las Reglas de traducción para ese objeto. También, defina un segundo objeto para representar el IP que usted está traduciendo este host a. Esta configuración parece similar a esto: object network webserver-external-ip host 198.51.100.101 ! object network webserver host 192.168.1.100 nat (dmz,outside) static webserver-external-ip service tcp www www Apenas para resumir lo que significa esa regla NAT en este ejemplo: Cuando un host que corresponde con a la dirección IP 192.168.1.100 en los segmentos del dmz establece una conexión originada del
  • 4. puerto TCP 80 (WWW) y esa conexión sale la interfaz exterior, queremos traducir eso para ser el puerto TCP 80 (WWW) en la interfaz exterior y para traducir ese IP Address para ser 198.51.100.101 Ése parece un poco impar… “originado del puerto TCP 80 (WWW)”, solamente del tráfico de la Web se destina al puerto 80. Es importante entender que estas reglas NAT son bidireccionales en la naturaleza. Como consecuencia usted puede reformular esta frase moviendo de un tirón la fraseología alrededor. El resultado tiene mucho más sentido: Cuando los hosts en el exterior establecen una conexión a 198.51.100.101 en el puerto 80 (WWW) del TCP de destino, traduciremos el IP Address de destino para ser 192.168.1.100 y el puerto destino será el puerto TCP 80 (WWW) y le mandará el dmz Esto tiene más sentido cuando está expresada esta manera. Después, usted necesita configurar los ACL. Paso 3 - Configuración ACL Se configura el NAT y el final de esta configuración está cerca. Recuerde, los ACL en el ASA permiten que usted reemplace la conducta de seguridad predeterminada que es como sigue: El tráfico que va de una interfaz de menor seguridad se niega al ir a una interfaz de mayor seguridad El tráfico que va de una interfaz de mayor seguridad se permite al ir a una interfaz de menor seguridad Tan sin agregar ningunos ACL en absoluto a la configuración, el tráfico siguiente en este ejemplo trabaja: Los hosts en el interior (nivel de seguridad 100) pueden conectar con los hosts en el dmz (nivel de seguridad 50) Los hosts en el interior (nivel de seguridad 100) pueden conectar con los hosts en el exterior (nivel de seguridad 0) Los hosts en el dmz (nivel de seguridad 50) pueden conectar con los hosts en el exterior (nivel de seguridad 0) Sin embargo, se niega el tráfico siguiente: Los hosts en el exterior (nivel de seguridad 0) no pueden conectar con los hosts en el interior (nivel de seguridad 100) Los hosts en el exterior (nivel de seguridad 0) no pueden conectar con los hosts en el dmz (nivel de seguridad 50) Los hosts en el dmz (nivel de seguridad 50) no pueden conectar con los hosts en el interior (nivel de seguridad 100) Porque el tráfico del exterior a la red del dmz es negado por el ASA con su configuración actual, los usuarios en Internet no pueden alcanzar el web server a pesar de la configuración del NAT en el paso 2. Usted necesita permitir explícitamente este tráfico. En y posterior el código 8.3 usted debe utilizar el IP real del host en el ACL y no el IP traducido. Esto significa que la configuración necesita permitir el tráfico destinado a 192.168.1.100 y no traficar destinado a 198.51.100.101 en el puerto 80. Para el motivo de la simplicidad, los objetos definidos en el paso 2 serán utilizados para este ACL también. Una vez que se crea el ACL, usted necesita aplicarlo entrante en la interfaz exterior. Aquí es lo que parecen esos comandos configuration: access-list outside_acl extended permit tcp any object webserver eq www ! access-group outside_acl in interface outside La línea estados de la lista de acceso: Tráfico del permiso del any(where) al host representado por el web server del objeto (192.168.1.100) en el puerto 80 Es importante la configuración utiliza la cualquier palabra clave aquí. Porque la dirección IP de origen de los clientes no se sabe que alcanza su sitio web especifique cualquier el significado “cualquier dirección IP. ¿Qué sobre el tráfico del segmento del dmz destinó a los hosts en el segmento de la red interna? ¿Por ejemplo, un servidor en la red interna a la cual los hosts en la necesidad del dmz de conectar? ¿Cómo puede el ASA permitir solamente que específico trafique destinado al servidor interior y bloquee todo lo demás destinada al segmento interior del dmz? En este ejemplo se asume que hay servidor DNS en la red interna en la dirección IP 192.168.0.53 que los hosts en la necesidad del dmz de acceder para la resolución de DNS. Usted crea el ACL necesario y lo aplica a la interfaz del dmz así que el ASA puede reemplazar esa conducta de seguridad predeterminada, mencionada anterior, para el tráfico que ingresa esa interfaz. Aquí es lo que parecen esos comandos configuration: object network dns-server host 192.168.0.53 ! access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet access-list dmz_acl extended permit ip any any ! access-group dmz_acl in interface dmz El ACL es más complejo que simplemente permitiendo ese tráfico al servidor DNS en el puerto 53 UDP. Si todo lo que lo hicimos es que
  • 5. primero línea del “permiso”, después todo el tráfico sería bloqueado del dmz a los hosts en Internet. La lista de acceso tiene un “deny ip any any implícito” en el final del ACL. Como consecuencia, sus hosts del dmz no podrían salir a Internet. Aunque el tráfico del dmz al exterior es permitido por abandono, aplicando un ACL a la interfaz del dmz, ésos omiten las conductas de seguridad para la interfaz del dmz están no más en efecto y debemos permitir explícitamente el tráfico en la interfaz ACL. Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete Ahora que se completa la configuración, usted necesita probarla para aseegurarla trabaja. El método más fácil es utilizar los hosts reales (si ésta es su red). Sin embargo, en interés de probar esto de la línea de comando y más futuro explorando algunas de las herramientas ASA, utilice el trazalíneas del paquete para probar y potencialmente para hacer el debug de cualquier problema encontrado. El trazalíneas del paquete trabaja simulando un paquete basado en una serie de parámetros y la inyección de ese paquete al trayecto de datos de la interfaz, similar a un paquete de la vida real si fue cogida del alambre. Este paquete se sigue con la miríada de los controles y de los procesos que se hacen encendido mientras que pasan con el Firewall y trazalíneas del paquete observa el resultado. Simule el host interno que sale a un host en Internet. El comando abajo da instrucciones el Firewall a: Simule un paquete TCP que viene en la interfaz interior de la dirección IP 192.168.0.125 en el puerto de origen 12345 destinado a un IP Address de 203.0.113.1 en el puerto 80 ciscoasa# packet-tracer input inside tcp 192.168.0.125 12345 203.0.113.1 80 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config:Additional Information: in 0.0.0.0 0.0.0.0 outsidePhase: 3 Type: NAT Subtype: Result: ALLOW Config: object network inside-subnet nat (inside,outside) dynamic interface Additional Information: Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345 Phase: 4 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 7 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 1, packet dispatched to next module
  • 6. Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: allow El resultado final es que el tráfico está permitido que significa que pasara todos los incorporares NAT y ACL la configuración y fuera enviado la interfaz de egreso, afuera. Observe que el paquete fue traducido en la fase 3 y los detalles de esa fase muestran lo que se golpea la regla. El host 192.168.0.125 se traduce dinámicamente a 198.51.100.100 según la configuración. Ahora, ejecútelo para una conexión de Internet al web server. Recuerde, los hosts en Internet accederá el web server conectando con 192.51.100.101 en la interfaz exterior. Una vez más este comando siguiente traduce a: Simule un paquete TCP que viene en la interfaz exterior de la dirección IP 192.0.2.123 en el puerto de origen 12345 destinado a un IP Address de 198.51.100.101 en el puerto 80 ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345 98.51.100.101 80 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network webserver nat (dmz,outside) static webserver-external-ip service tcp www www Additional Information: NAT divert to egress interface dmz Untranslate 98.51.100.101/80 to 192.168.1.100/80 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside_acl in interface outside access-list outside_acl extended permit tcp any object webserver eq www Additional Information: Phase: 3 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 5 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network webserver nat (dmz,outside) static webserver-external-ip service tcp www www Additional Information: Phase: 6 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 7 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: FLOW-CREATION Subtype: Result: ALLOW
  • 7. Config: Additional Information: New flow created with id 3, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: dmz output-status: up output-line-status: up Action: allow El resultado es otra vez que el paquete está permitido. Los ACL marcan hacia fuera, las miradas de la configuración muy bien, y los usuarios en Internet (afuera) deben poder acceder ese web server usando IP externa. Verificación Los procedimientos de verificación se incluyen en el paso 4 - Configuración de prueba con la característica del trazalíneas del paquete. Troubleshooting Actualmente, no hay información específica de troubleshooting disponible para esta configuración. Conclusión La configuración de un ASA para hacer el NAT básico no es ésa el desanimar de una tarea. El ejemplo en este documento se puede adaptar a su escenario específico cambiando los IP Addresses y los puertos usados en los ejemplos de configuración antedichos. La configuración final ASA para esto, cuando está combinado, parece similar a esto para un ASA 5510: ASA Version 9.1(1) ! interface Ethernet0/0 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 ! object network inside-subnet subnet 192.168.0.0 255.255.255.0 object network dmz-subnet subnet 192.168.1.0 255.255.255.0 object network webserver host 192.168.1.100 object network webserver-external-ip host 198.51.100.101 object network dns-server host 192.168.0.53 ! access-list outside_acl extended permit tcp any object webserver eq www access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet access-list dmz_acl extended permit ip any any ! object network inside-subnet nat (inside,outside) dynamic interface object network dmz-subnet nat (dmz,outside) dynamic interface object network webserver nat (dmz,outside) static webserver-external-ip service tcp www www access-group outside_acl in interface outside access-group dmz_acl in interface dmz ! route outside 0.0.0.0 0.0.0.0 198.51.100.1 1 En un ASA 5505, por ejemplo, y las interfaces están conectados como se muestra arriba (exterior conectado con el Ethernet0/0, dentro de conectado con Ethernet0/1 y el dmz conectado con Ethernet0/2): ASA Version 9.1(1)
  • 8. ! interface Ethernet0/0 description Connected to Outside Segment switchport access vlan 2 ! interface Ethernet0/1 description Connected to Inside Segment switchport access vlan 1 ! interface Ethernet0/2 description Connected to DMZ Segment switchport access vlan 3 ! interface Vlan2 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Vlan3 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 ! object network inside-subnet subnet 192.168.0.0 255.255.255.0 object network dmz-subnet subnet 192.168.1.0 255.255.255.0 object network webserver host 192.168.1.100 object network webserver-external-ip host 198.51.100.101 object network dns-server host 192.168.0.53 ! access-list outside_acl extended permit tcp any object webserver eq www access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet access-list dmz_acl extended permit ip any any ! object network inside-subnet nat (inside,outside) dynamic interface object network dmz-subnet nat (dmz,outside) dynamic interface object network webserver nat (dmz,outside) static webserver-external-ip service tcp www www access-group outside_acl in interface outside access-group dmz_acl in interface dmz ! route outside 0.0.0.0 0.0.0.0 198.51.100.1 1 © 1992-2015 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 25 Agosto 2015 http://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz-00.html