Este documento describe la configuración de ACL y firewall en un dispositivo ASA. Explica brevemente qué son las ACL y cómo funcionan para controlar el tráfico de red. Luego presenta una topología de red con requisitos de seguridad específicos y las configuraciones de ACL y firewall implementadas en los routers y ASA para cumplir con esos requisitos.
Cisco® Application Centric Infrastructure (ACI) is an innovative architecture that radically simplifies, optimizes, and accelerates the entire application deployment lifecycle. Cloud, mobility, and big data applications are causing a shift in the data center model. Cisco ACI redefines the power of IT, enabling IT to be more responsive to changing business and application needs, enhancing agility, and adding business value. Cisco ACI delivers a transformational operating model for next-generation data center and cloud applications. This Cisco ACI hands lab will step you through from the ACI Fabric concepts to deployment. • Cisco ACI Overview • ACI Fabric Discovery • ACI Building Basic Network Constructs • ACI Building Policy Filters and Contracts • : Deploying a 3-Tier Application Network Profile • ACI Integrating with VMware • Deploying a Service Graph with Application Network Profile • Exploring Monitoring and Troubleshooting
🔐 𝐌𝐀𝐏𝐀 𝐑𝐄𝐆𝐈𝐎𝐍𝐀𝐋 𝐄𝐍 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃 𝐘 𝐆𝐎𝐁𝐈𝐄𝐑𝐍𝐎 𝐈𝐓
Los cambios producidos por la digitalización de nuestras organizaciones nos plantean un desafío en relación con la gestión de la ciberseguridad y gobierno de la tecnología. Disponer de la información adecuada es clave para la mejora continua en nuestros negocios.
Presentamos el Mapa Regional en Ciberseguridad y Gobierno IT, basado en el informe “𝐄𝐬𝐭𝐚𝐝𝐨 𝐝𝐞𝐥 𝐀𝐫𝐭𝐞 𝐝𝐞 𝐥𝐚 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝, 𝐆𝐨𝐛𝐢𝐞𝐫𝐧𝐨 𝐝𝐞 𝐓𝐈 𝐲 𝐥𝐨𝐬 𝐍𝐞𝐠𝐨𝐜𝐢𝐨𝐬”. Tiene como objetivo determinar el nivel de madurez e implementación de capacidades de gobierno de la tecnología de las empresas para estimar el nivel de exposición a las brechas de seguridad en el negocio.
Accede al informe👉 https://bit.ly/3x8nzh2
Referentes de BDO Argentina: Fabián Descalzo, Ing. Pablo A. Silberfich
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
#TransformacionDigital #Ciberseguridad #GobiernoIT #SeguridaddelaInformacion
Cisco® Application Centric Infrastructure (ACI) is an innovative architecture that radically simplifies, optimizes, and accelerates the entire application deployment lifecycle. Cloud, mobility, and big data applications are causing a shift in the data center model. Cisco ACI redefines the power of IT, enabling IT to be more responsive to changing business and application needs, enhancing agility, and adding business value. Cisco ACI delivers a transformational operating model for next-generation data center and cloud applications. This Cisco ACI hands lab will step you through from the ACI Fabric concepts to deployment. • Cisco ACI Overview • ACI Fabric Discovery • ACI Building Basic Network Constructs • ACI Building Policy Filters and Contracts • : Deploying a 3-Tier Application Network Profile • ACI Integrating with VMware • Deploying a Service Graph with Application Network Profile • Exploring Monitoring and Troubleshooting
🔐 𝐌𝐀𝐏𝐀 𝐑𝐄𝐆𝐈𝐎𝐍𝐀𝐋 𝐄𝐍 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃 𝐘 𝐆𝐎𝐁𝐈𝐄𝐑𝐍𝐎 𝐈𝐓
Los cambios producidos por la digitalización de nuestras organizaciones nos plantean un desafío en relación con la gestión de la ciberseguridad y gobierno de la tecnología. Disponer de la información adecuada es clave para la mejora continua en nuestros negocios.
Presentamos el Mapa Regional en Ciberseguridad y Gobierno IT, basado en el informe “𝐄𝐬𝐭𝐚𝐝𝐨 𝐝𝐞𝐥 𝐀𝐫𝐭𝐞 𝐝𝐞 𝐥𝐚 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝, 𝐆𝐨𝐛𝐢𝐞𝐫𝐧𝐨 𝐝𝐞 𝐓𝐈 𝐲 𝐥𝐨𝐬 𝐍𝐞𝐠𝐨𝐜𝐢𝐨𝐬”. Tiene como objetivo determinar el nivel de madurez e implementación de capacidades de gobierno de la tecnología de las empresas para estimar el nivel de exposición a las brechas de seguridad en el negocio.
Accede al informe👉 https://bit.ly/3x8nzh2
Referentes de BDO Argentina: Fabián Descalzo, Ing. Pablo A. Silberfich
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
#TransformacionDigital #Ciberseguridad #GobiernoIT #SeguridaddelaInformacion
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched NetworksI Putu Hariyadi
Modul free one day workshop "Implementing Cisco IP Routing and Switched Networks" bagi guru SMK TKJ se-Nusa Tenggara Barat (NTB) yang diselenggarakan di STMIK Bumigora Mataram
ASA Firepower NGFW Update and Deployment ScenariosCisco Canada
This session will focus on typical deployment scenarios for the Adaptive Security Appliance family running FirePower Services. Also, a feature overview and comparison of the ASA with Firepower services and the new Firepower Threat Defense (FTD) image will be included with updates on the new Firepower hardware platform. Deployment use cases will include Internet Edge, various segmentation scenarios, and VPN. A configuration walk-through and accepted best practices will be covered. This session is designed for existing ASA customers and targets the security and network engineer. They will learn the benefit of a FirePower NGFW in network edge and Internet use cases
Cisco CCNA Training/Exam Tips that are helpful for your Certification Exam!
To be Cisco Certified please Check out:
http://asmed.com/information-technology-it/
ClearPass Extensions allow ClearPass to integrate with multiple enterprise services to cover dynamic real-time requirements like automatic guest registration and MDM integration. Microsoft Intune, McAfee ePolicy Orchestrator are some examples of integrations achieved using ClearPass Extensions. Check out the webinar recording where this presentation was used: https://community.arubanetworks.com/t5/Security/Technical-Webinar-Recording-Slides-ClearPass-Extensions-and-how/td-p/292221
Register for the upcoming webinars: https://community.arubanetworks.com/t5/Training-Certification-Career/EMEA-Airheads-Webinars-Jul-Dec-2017/td-p/271908
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched NetworksI Putu Hariyadi
Modul free one day workshop "Implementing Cisco IP Routing and Switched Networks" bagi guru SMK TKJ se-Nusa Tenggara Barat (NTB) yang diselenggarakan di STMIK Bumigora Mataram
ASA Firepower NGFW Update and Deployment ScenariosCisco Canada
This session will focus on typical deployment scenarios for the Adaptive Security Appliance family running FirePower Services. Also, a feature overview and comparison of the ASA with Firepower services and the new Firepower Threat Defense (FTD) image will be included with updates on the new Firepower hardware platform. Deployment use cases will include Internet Edge, various segmentation scenarios, and VPN. A configuration walk-through and accepted best practices will be covered. This session is designed for existing ASA customers and targets the security and network engineer. They will learn the benefit of a FirePower NGFW in network edge and Internet use cases
Cisco CCNA Training/Exam Tips that are helpful for your Certification Exam!
To be Cisco Certified please Check out:
http://asmed.com/information-technology-it/
ClearPass Extensions allow ClearPass to integrate with multiple enterprise services to cover dynamic real-time requirements like automatic guest registration and MDM integration. Microsoft Intune, McAfee ePolicy Orchestrator are some examples of integrations achieved using ClearPass Extensions. Check out the webinar recording where this presentation was used: https://community.arubanetworks.com/t5/Security/Technical-Webinar-Recording-Slides-ClearPass-Extensions-and-how/td-p/292221
Register for the upcoming webinars: https://community.arubanetworks.com/t5/Training-Certification-Career/EMEA-Airheads-Webinars-Jul-Dec-2017/td-p/271908
Los routers y switches soportan una gran variedad de servicios de red que permiten a los usuarios conectarse a la misma, algunos de estos servicios pueden restringirse o desactivarse, lo que mejora la seguridad sin que la operación de la red se vea afectada, sin embargo aunque esto representa un nivel básico de aseguramiento de red, lo cierto es que, muchos administradores de red ni siquiera aplican este procedimiento, el cual debería ser una práctica común.
Implementación de tecnologías de firewallfillescas
Descripción de la configuración de ACL y sus distintos tipos. Resolución de problemas con ACL, presentación de ejemplos con GNS3 y Kali, configuración de firewalls y Zone-based policy firewalls en Cisco ASA
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
1. Configuración y Documentación de ACL y Firewall ASA
GESTIÓN DE REDES DE DATOS
SERVICIO NACIONAL DE APRENDIZAJE
DIEGO LEON GIL BARRIENTOS
GELIER ESTEBAN MORENO GÓMEZ
Ficha: 464327
2. 1
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir “tráfico interesante” (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.
Las listas de acceso funcionan de acuerdo a sentencias que son configuradas en el router.
3. 2 En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes.
Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.
Existen dos tipos de ACL:
ACL estándar, donde solo tenemos que especificar una dirección de origen;
ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.
Las Acl por defecto bloquean todo el tráfico con una linea que se conoce como linea implícita. Las sentencias se ejecutan línea a línea hasta que se encuentra una coincidencia. Cuando una linea hace match el resto de las sentencias no se revisan. Solo se puede aplicar 1 acl por interfaz y por protocolo. Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz correspondiente.
4. 3
ACTIVIDAD ACL
Tenemos la siguiente topología:
Debemos cumplir los siguientes propósitos:
Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.
Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento.
Lo primero que hicimos en la topología fue realizar un correcto enrutamiento en general de los dispositivos para probar conectividad y eficacia de la topología.
NOTA: Primero hacer el debido enrutamiento sin aplicar ACLs, por que podríamos tener problemas de conectividad y nos podríamos confundir si es la ACL que se está aplicando o problemas generales de la topología.
La lista que aplicamos para que las redes inalámbricas del lado izquierdo no tengan acceso a las demás redes, pero sí a internet fue:
5. 4
En el siguiente requerimiento de este lado:
Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.
Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento.
6. 5
En la lista de acceso la diseñamos desconociendo que podíamos tener dos listas de acceso, por lo tanto diseñamos una sola para que cumpliéramos los parámetros aplicando la ACL en una sola interfaz de trafico INSIDE.
Cumplimos con los parámetros pero si notamos bien la ACL estamos permitiendo el tráfico origen desde el servidor en específico, hacia las demás redes por lo tanto analizando; el tráfico desde las redes remotas si permite entrar al servidor pero la ACL no permite que vaya a algunas redes, inalámbricas por ejemplo.
Las running-config de los routers son las siguientes:
7. 6
Router 0
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router0
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$boin$EYAhWq60EmH/0IdqmmFN9.
!
no aaa new-model
memory-size iomem 5
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
archive
log config
hidekeys
!
!
interface FastEthernet0/0
ip address 172.16.0.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 172.16.1.129 255.255.255.128
duplex auto
speed auto
8. 7
!
interface Serial0/0/0
ip address 172.16.2.1 255.255.255.0
clock rate 64000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 125000
!
interface Serial0/2/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/2/1
no ip address
shutdown
clock rate 2000000
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.16.2.2
ip route 172.16.8.0 255.255.255.0 172.16.2.2
ip route 192.168.10.0 255.255.255.0 172.16.2.2
no ip http server
no ip http secure-server
!
access-list 101 deny ip host 172.16.0.5 172.16.4.0 0.0.1.255
access-list 101 deny ip host 172.16.0.5 172.16.8.0 0.0.0.255
access-list 101 deny ip host 172.16.0.5 172.16.9.0 0.0.0.255
access-list 101 deny ip host 172.16.0.5 172.16.1.128 0.0.0.127
access-list 101 deny ip host 172.16.0.5 172.16.0.0 0.0.0.255
access-list 101 permit ip 172.16.0.0 0.0.0.255 any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
9. 8
Router 4
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router4
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$zisT$0aGPV.UGpI7.aMt2F8Y3T0
!
no aaa new-model
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
voice-card 0
!
archive
log config
hidekeys
!
interface Loopback1
ip address 200.200.200.200 255.255.255.0
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.4
encapsulation dot1Q 4
ip address 172.16.4.1 255.255.254.0
!
10. 9
interface FastEthernet0/0.8
encapsulation dot1Q 8
ip address 172.16.8.1 255.255.255.0
!
interface FastEthernet0/1
ip address 172.16.9.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
interface Serial0/0/0
ip address 172.16.2.2 255.255.255.0
!
interface Serial0/0/1
no ip address
shutdown
clock rate 125000
!
ip forward-protocol nd
ip route 172.16.0.0 255.255.255.0 172.16.2.1
ip route 172.16.1.128 255.255.255.128 172.16.2.1
no ip http server
no ip http secure-server
!
access-list 101 permit ip host 172.16.9.2 172.16.4.0 0.0.1.255
access-list 101 permit ip host 172.16.9.2 172.16.8.0 0.0.0.255
access-list 101 permit ip host 172.16.9.2 172.16.1.128 0.0.0.127
access-list 101 permit ip host 172.16.9.2 172.16.0.0 0.0.0.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.1.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 101 permit ip 172.16.9.0 0.0.0.255 any
!
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
11. 10
Para la lista de acceso correcta para el Router 4 es así, aplicando 2 listas de acceso.
Router 4 # ethernet 101 out
access-list 101 permit ip 172.16.4.0 0.0.3.255 host 172.16.9.2
access-list 101 permit ip 172.16.8.0 0.0.0.255 host 172.16.9.2
access-list 101 permit ip 172.16.1.128 0.0.0.127 host 172.16.9.2
access-list 101 permit ip 172.16.0.0 0.0.0.255 host 172.16.9.2
Router 4 # ethernet 102 in
access-list 102 permit ip host 172.16.9.2 any
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.3.255
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 102 permit ip 172.16.9.0 0.0.0.255 any
Configuración y Documentación Firewall ASA
La topología planteada es la siguiente:
12. 11
Según los requerimientos pedidos por nuestra instructora correspondiente al 6 trimestre, nos vale como actividad de Firewall ASA la actividad planteada para el concurso SENASOFT, los requerimientos son los siguientes:
13. 12
Las configuraciones fueron las siguientes, en el caso de los routers:
Router PROMETEO
! Last configuration change at 16:01:05 UTC Wed Aug 20 2014
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PROMETEO
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
!
no aaa new-model
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
license udi pid CISCO2901/K9 sn FTX155183CS
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
redundancy
!
14. 13
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.0.0.2 255.0.0.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 2
ip address 192.168.10.1 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 8
ip address 192.168.10.9 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 16
ip address 192.168.10.17 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 24
ip address 192.168.10.25 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.5
encapsulation dot1Q 5
ip address 192.168.20.1 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.6
encapsulation dot1Q 6
ip address 192.168.20.9 255.255.255.248
ip helper-address 192.168.10.26
!
15. 14
interface GigabitEthernet0/1.7
encapsulation dot1Q 7
ip address 192.168.20.17 255.255.255.248
ip helper-address 192.168.10.26
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
gatekeeper
shutdown
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
16. 15
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
!
end
Router ATLAS
Building configuration...
Current configuration : 1630 bytes
!
! Last configuration change at 15:32:27 UTC Wed Aug 20 2014
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ATLAS
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
license udi pid CISCO2901/K9 sn FTX155183DR
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!
17. 16
username cisco privilege 15 secret 5 $1$uEPV$m2c2Y6nAfqpn5QWx2BgMJ.
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 30.0.0.2 255.0.0.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 40.0.0.1 255.0.0.0
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 30.0.0.1
!
control-plane
!
!
mgcp profile default
!
gatekeeper
shutdown
18. 17
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 5 0
login
transport input ssh
!
scheduler allocate 20000 1000
end
SWITCH DE LAS VLANs LOCALES
Current configuration : 4102 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SWITCH_SENASOFT
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
!
crypto pki trustpoint TP-self-signed-2674122752
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2674122752
revocation-check none
rsakeypair TP-self-signed-2674122752
!
spanning-tree mode pvst
spanning-tree extend system-id
!
27. 26
Permitir Tráficos mediante ACL en la VlAN´s
access-list 101 permit udp any any eq bootps
access-list 101 permit udp 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 eq domain
access-list 101 permit ip 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq www
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq 143
access-list 102 permit udp any any eq bootps
access-list 102 permit udp 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 eq domain
access-list 102 permit ip 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq www
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq 143
Asignación de listas de acceso
int g0/1.1
ip access-group 101 in
exit
int g0/1.4
ip access-group 101 out
exit
int g0/1.6
ip access-group 101 in
exit
Mediante la lista de acceso mostrada y planteada anteriormente se está diciendo que cualquier red puede solicitar mediante trafico UDP una dirección por DHCP.
También permitimos desde las diversas subredes el trafico al servidor local que provee DNS y DHCP pueda resolver nombres de dominio localmente.
Por ultimo les permitimos a nuestras a subredes el acceso al servidor de la DMZ, el tráfico WEB y el tráfico necesario para que el servicio de correo sea funcional n este caso el protocolo SMTP y el puerto 143 correspondiente al IMAP, que es el protocolo entrante a los diversos clientes.
Esta lista de acceso con el fin de cumplir el requerimiento de que la S1 y S6 (Subred) solo tengan acceso a los servicios locales y la DMZ sin tener acceso a internet.