Diagrama de topología
Objetivos
Colocar firewalls en los lugares correctos para cumplir con los requisitos de seguridad.
Información básica / Preparación
Usted es un técnico que proporciona soporte de red para una mediana empresa. La empresa ha crecido hasta el punto de incorporar un departamento de investigación y desarrollo que trabaja en un nuevo proyecto muy confidencial. La continuidad del proyecto depende de la protección de los datos sobre los que está trabajando el equipo de investigación y desarrollo.
Su tarea es instalar firewalls para ayudar a proteger la red, basándose en requisitos específicos. La topología del Packet Tracer que usará incluye dos firewalls configurados previamente. En las dos situaciones
presentadas, usted reemplazará los routers existentes con los firewalls. Se deben configurar los firewalls con las configuraciones de dirección IP correspondientes y además probar los firewalls para asegurarse de que estén instalados y configurados correctamente.
Situación 1: Proteger a la red de piratas informáticos
Debido a la preocupación de la empresa por su seguridad, usted recomienda un firewall para proteger la red de los piratas informáticos de Internet. Es muy importante que el acceso a la red desde Internet sea restringido. Firewall_1 se ha configurado previamente con las reglas adecuadas para proporcionar la seguridad requerida. Debe instalarlo en la red y confirmar que esté funcionando según lo previsto.
Paso 1: Reemplazar el Router_A por el Firewall_1
a.
Elimine el Router_A y reemplácelo por el Firewall_1.b.
Conecte la interfaz Fast Ethernet 0/0 en el Firewall_1 a la interfaz Fast Ethernet 0/1 en el Switch_A. Conecte la interfaz Fast Ethernet 0/1 en el Firewall_1 a la interfaz Ethernet 6 de la nube del ISP. (Utilice cables de conexión directa para las dos conexiones).c.
Confirme que el nombre de host de Firewall_1 sea Firewall_1.d.
En el Firewall_1, configure la máscara de subred y la dirección IP de la WAN para la interfaz FastEthernet 0/1 en 209.165.200.225 y 255.255.255.224.e.
Configure la dirección IP y la máscara de subred de la LAN para la interfaz Fast Ethernet 0/0 en el Firewall_1 en 192.168.1.1 y 255.255.255.0.Paso 2: Verificar la configuración del Firewall_1
a.
Use el comando show run para verificar la configuración. Este es un ejemplo parcial del resultado:Firewall_1#show run Building configuration... hostname Firewall_1 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface FastEthernet0/1 ip address 209.165.200.225 255.255.255.224 ip access-group 100 in ip nat outside duplex auto speed auto ! interface Vlan1 no ip address shutdown !
ip nat inside source list 1 interface FastEthernet0/0 overload ip classless
ip route 192.168.2.0 255.255.255.0 192.168.1.2 ip route 192.168.3.0 255.255.255.0 192.168.1.3 !
access-list 1 permit 192.168.0.0 0.0.255.255 access-list 100 deny ip any host 209.165.200.225 <output omitted>
CCNA Discovery
Trabajar en una pequeña o mediana empresa o ISP
Pinging 209.165.200.225 with 32 bytes of data:
Reply from 209.165.200.225: bytes=32 time=107ms TTL=120 Reply from 209.165.200.225: bytes=32 time=98ms TTL=120 Reply from 209.165.200.225: bytes=32 time=104ms TTL=120 Reply from 209.165.200.225: bytes=32 time=95ms TTL=120 Ping statistics for 209.165.200.225:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 95ms, Maximum = 107ms, Average = 101ms
c.
Desde el modo EXEC privilegiado en el Firewall_1, guarde la configuración en ejecución en la configuración de inicio utilizando el comando copy run start.Situación 2: Proteger la red de investigación y desarrollo
Ahora que toda la red se encuentra protegida del tráfico que se origina en Internet, proteja la red de investigación y desarrollo, la Subred C, de posibles infiltraciones desde adentro de la red. El equipo de
investigación y desarrollo necesita acceder al servidor en la Subred B y a Internet para realizar investigaciones. Las computadoras de la Subred B no deben tener acceso a la subred de investigación y desarrollo.
Firewall_2 se ha configurado previamente con las reglas adecuadas para proporcionar la seguridad requerida. A continuación, debe instalarlo en la red y confirmar que funciona según lo previsto.
Paso 1: Reemplazar el Router_C por el Firewall_2
a.
Elimine el Router_C y reemplácelo por el Firewall_2.b.
Conecte la interfaz Fast Ethernet 0/1 en el Firewall_2 a la interfaz Fast Ethernet 0/3 en el Switch_A. Conecte la interfaz Fast Ethernet 0/0 en el Firewall_2 a la interfaz Ethernet 0/1 en el Switch_C. (Utilice cables de conexión directa para las dos conexiones.)c.
Confirme que el nombre de host de Firewall_2 sea Firewall_2.d.
En el Firewall_2, configure la máscara de subred y la dirección IP de la WAN para la interfaz Fast Ethernet 0/1 en 192.168.1.3 y 255.255.255.0.e.
Configure la dirección IP y la máscara de subred de la LAN para la interfaz Fast Ethernet 0/0 en el Firewall_2 en 192.168.3.1 y 255.255.255.00.Paso 2: Verificar la configuración del Firewall_2
a.
Use el comando show run para verificar la configuración. Este es un ejemplo parcial del resultado:Firewall_2#show run Building configuration... ... ! interface FastEthernet0/0 ip address 192.168.3.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.3 255.255.255.0
ip access-group 100 in ip nat outside duplex auto speed auto ! access-list 1 permit 192.168.3.0 0.0.0.255 access-list 100 permit ip host 192.168.2.10 any access-list 100 permit ip host 192.168.1.1 any <output omitted>
! end
b.
Desde la pantalla Símbolo del sistema de la PC_B, use el comando ping para verificar que las computadoras en la Subred B no puedan acceder a las computadoras en la Subred C.PC>ping 192.168.3.10
Pinging 192.168.3.10 with 32 bytes of data: Request timed out.
Request timed out. Request timed out. Request timed out.
Ping statistics for 192.168.3.10:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
c.
Desde la pantalla Símbolo del sistema de la PC_C, use el comando ping para verificar que las computadoras en la Subred C puedan acceder al servidor en la Subred B.PC>ping 192.168.2.10
Pinging 192.168.2.10 with 32 bytes of data: Request timed out.
Reply from 192.168.2.10: bytes=32 time=164ms TTL=120 Reply from 192.168.2.10: bytes=32 time=184ms TTL=120 Reply from 192.168.2.10: bytes=32 time=142ms TTL=120 Ping statistics for 192.168.2.10:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:
Minimum = 142ms, Maximum = 184ms, Average = 163ms
d.
Desde la pantalla Símbolo del sistema de la PC_C, use el comando ping para verificar que las computadoras en la Subred C puedan acceder a Internet.CCNA Discovery
Trabajar en una pequeña o mediana empresa o ISP
Ping statistics for 209.165.200.225:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:
Minimum = 97ms, Maximum = 118ms, Average = 106ms
e.
Desde el modo EXEC privilegiado en el Firewall_2, guarde la configuración en ejecución en la configuración de inicio utilizando el comando copy run start.f.
Haga clic en el botón Check Results (Verificar resultados) en la parte inferior de la ventana de instrucciones para verificar su trabajo.Reflexión
a.
¿Con qué propósito se instala un firewall en la red interna?b.
Un router configurado para usar NAT, ¿cómo ayuda a proteger los sistemas informáticos en el interior del router NAT?c.
Examine la ubicación del Firewall_1 y el Firewall_2 en la topología de red completa. ¿Cuáles son las redes que el Firewall_1 considera confiables y no confiables? ¿Cuáles son las redes que el Firewall_2 considera confiables y no confiables?CCNA Discovery
Trabajar en una pequeña o mediana empresa o ISP