Network Security v1.0 Hands on Skills Assessment Respuestas del Examen

23 enero, 2022 No hay comentarios

Network Security v1.0 Hands on Skills Assessment Respuestas del Examen

Topología

Network Security 1.0 Hands on Skills Assessment Respuestas del Examen

Network Security v1.0 Hands on Skills Assessment Respuestas del Examen

Tabla de direccionamiento

Dispositivo Interfaz Dirección IP Máscara de subred Puerta de enlace predeterminada
R1 G0/0/0 64.100.1.1 255.255.255.252 N / A
G0/0/1 192.168.1.0 255.255.255.0 N / A
R2 G0/0/0 64.100.1.2 255.255.255.252 N / A
G0/0/1 64.100.3.2 255.255.255.252 N / A
R3 G0/0/0 64.100.3.1 255.255.255.252 N / A
G0/0/1.3 172.16.3.1 255.255.255.0 N / A
G0/0/1.33 172.16.33.1 255.255.255.0 N / A
S2 VLAN 3 172.16.3.2 255.255.255.0 172.16.3.1
S3 VLAN 3 172.16.3.3 255.255.255.0 172.16.3.1
PC-A NIC 192.168.1.10 255.255.255.0 192.168.1.1
PC-B NIC 172.16.3.10 255.255.255.0 172.16.3.1
PC-C NIC 172.16.33.10 255.255.255.0 172.16.33.1

Objetivos de la evaluación

  • Parte 1: Conmutadores seguros de capa 2 (25 puntos, 25 minutos)
  • Parte 2: configurar el acceso administrativo del enrutador seguro (15 puntos, 15 minutos)
  • Parte 3: configurar una VPN IPsec de sitio a sitio (30 puntos, 30 minutos)
  • Parte 4: configurar un firewall de política basado en zonas (30 puntos, 30 minutos)

Escenario

Esta Evaluación de Habilidades (SA) es el examen práctico final para el curso de Seguridad de Redes. El examen se divide en cuatro partes. Las partes deben completarse secuencialmente y ser firmadas por sus respuestas antes de pasar a la siguiente parte.

En la Parte 1, cargará la configuración básica y asegurará un conmutador de capa 2. En la Parte 2, protegerá el acceso administrativo a los enrutadores de red y configurará la autenticación OSPF. En la Parte 3, configurará Site-to-Site VPN entre R1 y R3. En la Parte 4, configurará el cortafuegos de políticas basado en zonas (ZPF) en un enrutador de servicios integrados (ISR).

Respuestas Nota: Los enrutadores utilizados con los laboratorios prácticos son Cisco 4221 con Cisco IOS XE versión 16.9.6 (imagen universalk9). Los switches utilizados en los laboratorios son Cisco Catalyst 2960+ con Cisco IOS versión 15.2(7) (imagen lanbasek9). Se pueden utilizar otros enrutadores, conmutadores y versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos disponibles y el resultado producido pueden variar de lo que se muestra en esta SA. Consulte la Tabla de resumen de la interfaz del enrutador al final de este documento para conocer los identificadores de interfaz correctos.

Respuestas Nota: Se proporcionan ejemplos de puntuación y tiempos estimados para cada examen. Estos pueden ser ajustados por las respuestas según sea necesario para adaptarse al entorno de prueba. Los puntos totales del examen son 100 y el tiempo total se estima en 100 minutos. Las respuestas pueden optar por deducir puntos si se toma demasiado tiempo para una parte de la evaluación.

Nota: Antes de comenzar, asegúrese de que los dispositivos se hayan borrado y no tengan configuraciones de inicio.

Recursos necesarios

  • 3 enrutadores (Cisco 4221 con imagen universal Cisco XE versión 16.9.6 o comparable con una licencia de paquete de tecnología de seguridad)
  • 2 switches (Cisco 2960+ con Cisco IOS versión 15.2(7) imagen lanbasek9 o similar)
  • 3 PC (sistema operativo Windows con una aplicación de emulación de terminal, como PuTTY o Tera Term instalada)
  • Cables de consola para configurar dispositivos de red Cisco
  • Cables Ethernet como se muestra en la topología

Parte 1: Conmutadores seguros de capa 2

  • Puntos totales: 25
  • Tiempo: 25 minutos
Paso 1: Configure las PC.

Configure la dirección IP y la puerta de enlace predeterminada para cada PC de acuerdo con la tabla de direccionamiento.

Paso 2: Cargue las configuraciones de dispositivos proporcionadas.

Nota: Los siguientes requisitos son críticos para completar con éxito esta SA.

Configuración de inicio de S2

enable
configure terminal
hostname S2
no ip domain lookup
interface vlan 3
 ip add 172.16.3.2 255.255.255.0
 no shutdown
ip default-gateway 172.16.3.1
end

Configuración de inicio de S3

enable
configure terminal
hostname S3
no ip domain lookup
interface vlan 3
 ip add 172.16.3.3 255.255.255.0
 no shut
ip default-gateway 172.16.3.1
end

Configuración de inicio de R1

enable
configure terminal
host R1
no ip domain lookup
interface GigabitEthernet0/0/0
 description Link to R2
 ip address 64.100.1.1 255.255.255.252
 no shutdown
interface GigabitEthernet0/0/1
 description Link to R1 LAN
 ip address 192.168.1.1 255.255.255.0
 no shutdown
router ospf 1
 passive-interface GigabitEthernet0/0/1
 network 64.100.1.0 0.0.0.3 area 0
 network 192.168.1.0 0.0.0.255 area 0
end

Configuración de inicio de R2

enable
configure terminal
hostname R2
no ip domain lookup
interface GigabitEthernet0/0/0
 description Link to R1
 ip address 64.100.1.2 255.255.255.252
 no shutdown
interface GigabitEthernet0/0/1
 description Link to R3
 ip address 64.100.3.2 255.255.255.252
 no shutdown
router ospf 1
 network 64.100.1.0 0.0.0.3 area 0
 network 64.100.3.0 0.0.0.3 area 0
username webuser privilege 15 algorithm-type scrypt secret webuserpass
ip http server
ip http secure-server
ip http authentication local
end

Configuración de inicio de R3

enable
config terminal
hostname R3
no ip domain lookup
interface GigabitEthernet0/0/0
 description Link to R2
 ip address 64.100.3.1 255.255.255.252
 no shutdown
interface GigabitEthernet0/0/1.3
 description Link to VLAN 3
 encapsulation dot1q 3
 ip address 172.16.3.1 255.255.255.0
interface GigabitEthernet0/0/1.33
 description Link to VLAN 33
 encapsulation dot1q 33
 ip address 172.16.33.1 255.255.255.0
interface GigabitEthernet0/0/1
 no shutdown
router ospf 1
 network 64.100.3.0 0.0.0.3 area 0
 network 172.16.0.0 0.0.255.255 area 0
 passive-interface g0/0/1
end
Paso 3: Switches seguros de capa 2.

Nota: Las funciones de seguridad en esta parte del examen se configurarán en el conmutador S2 y S3. Sin embargo, en una red de producción, todos los conmutadores estarían protegidos.

En este paso, configurará los ajustes de seguridad en el conmutador indicado mediante la CLI. Las tareas de configuración incluyen lo siguiente:

Tarea o elemento de configuración Especificación puntos ganado
Asigne y cifre la contraseña EXEC privilegiada. Interruptor: S2

  • Contraseña: cisco12345
  • Tipo de cifrado: 9 (scrypt)
 0.5
Agregar un usuario a la base de datos local para acceso de administrador Interruptor: S2

  • Nombre de usuario: admin01
  • Nivel de privilegio: 15
  • Tipo de cifrado: 9 (scrypt)
  • Contraseña: admin01pass
 0.5
Configurar SSHv2. Interruptor: S2

  • Nombre de dominio: netsec.com
  • Tamaño de las claves RSA: 1024
  • Versión 2
  • Tiempo de espera: 90 segundos
  • Reintentos de autenticación: 2
 2
Configure los ajustes de autenticación AAA. Interruptor: S2

  • Habilitar AAA
  • Utilice la base de datos local como configuración predeterminada.
  • Utilice la autenticación de nombre de usuario local que distingue entre mayúsculas y minúsculas
 2
Configuración de inicio de sesión mejorada Interruptor: S2

  • Bloqueo durante tres minutos después de cuatro intentos fallidos en un período de dos minutos.
 1
Cifrar todas las contraseñas Interruptor: S2 0.5
Configure las líneas VTY para permitir el acceso SSH. Interruptor: S2

  • Permitir acceso SSH únicamente.
 0.5
Cree la lista de VLAN. Interruptores: S2 y S3

  • VLAN: 3, Name: INSIDE
  • VLAN: 33, Name: GUEST
  • VLAN: 99, Name: NULL
 0.5
Configurar puertos troncales. Interfaces:

  • S2: F0/3-4
  • S3: F0/1-F02 y F0/5

VLAN nativa: 99
Deshabilitar DTP.

 2
Deshabilitar enlace troncal. Interruptor: S2 y S3

  • Puertos: F0/18
 1
Asignaciones de VLAN VLAN 3: S2 F0/18
VLAN 33: S3 F0/18		 1
Habilite la protección PortFast y BPDU. Conmutador: S2 y S3
Puertos: F0/18		 1
Configure la seguridad básica del puerto. Interruptor: S2

  • Puerto: F0/18
  • Límite máximo: 1

(Usuario de NETLAB+: límite máximo: 2)

  • Recordar dirección MAC
  • Acción de infracción: Apagar
 2
Deshabilite los puertos no utilizados en S2 y asigne puertos a la VLAN 99. Interruptor: S2

  • Puertos: F0/1-2, F0/5-17, F0/19-24, G0/1-2
 1
Configure la protección contra bucles. Interruptor: S2

  • Protección de bucle: Predeterminado
 0.5
Total dieciséis

NETLAB+ Nota: Utilice un límite máximo de 2 al configurar la seguridad básica del puerto. De lo contrario, el interruptor de control oculto provocará una violación y el puerto se cerrará.
Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuracion Item o Task Configuracion de Comandos Verificacion de Comandos
Assign and encrypt a privileged EXEC password. (Switch: S2 only) enable algorithm-type scrypt secret cisco12345 show run | inc enable
Verify encryption type 9.
Add a user in the local database for administrator access.
(Switch: S2 only)		 username admin01 privilege 15 algorithm-type scrypt secret admin01pass show run | include username
Verify username, privilege level, and encryption type. The password can be verified.
Configure SSHv2.
(Switch: S2 only)		 ip domain-name netsec.com
crypto key generate rsa general-keys modulus 1024
ip ssh version 2
ip ssh time-out 90
ip ssh authentication-retries 2		 show ip ssh
Configure the AAA authentication settings. aaa new-model
aaa authentication login default local-case		 show run | inc aaa
Enhanced Login settings login block-for 180 attempts 4 within 120 show login
Encrypt all passwords service password-encryption show run | incl password-e
Configure VTY lines to allow SSH access.
(Switch: S2 only)		 line vty 0 15
transport input ssh
exit		 show run | section vty
Create VLAN list.
(Switches: S2 & S3)		 vlan 3
name INSIDE
vlan 33
name GUEST
vlan 99
name NULL
exit		 show vlan
Configure trunk ports.
(Switches: S2 & S3)		 Switch S2:
interface range f0/3-4
switchport mode trunk
switchport trunk native vlan 99
switchport nonegotiate
Switch S3:
interface range f0/1-2, f0/5
switchport mode trunk
switchport trunk native vlan 99
switchport nonegotiate		 show run | beg interface
Disable trunking. (Switches: S2 & S3) Switch S2:
interface f0/18
switchport mode access
switchport access vlan 3
Switch S3:
interface f0/18
switchport mode access
switchport access vlan 33		 show run interface f0/18
Enable PortFast and BPDU guard.
(Switch: S2 & S3)		 Switch S2:
interface f0/18
spanning-tree portfast
spanning-tree bpduguard enable
Switch S3:
interface f0/18
spanning-tree portfast
spanning-tree bpduguard enable		 show run interface f0/18
Configure basic port security.
(Switch: S2 only)		 interface f0/18
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation shutdown		 show port-security interface f0/18
Disable unused ports on S2 and assign ports to VLAN 99.
(Switch: S2 only)		 interface range f0/1-2, f0/5-17, f0/19-24, g0/1-2
switchport mode access
switchport access vlan 99
shutdown		 show ip interface brief
(Determine whether interfaces are administratively down.)
Configure Loop guard globally.
(Switch: S2 only)		 spanning-tree loopguard default show spanning-tree summary
(Determine whether Loopguard Default is enabled.)

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Paso 4: Verifique la conectividad de la red.
Tarea de configuración Especificación puntos ganado
Verifique la conectividad entre la PC-C y la PC-B 0.5
Desde PC-B y PC-C, SSH en S2 SSH debería tener éxito. 0.5
Total 1

Aprobación de respuestas Parte 1:
Escriba sus respuestas aquí.
Puntos para la Parte 1: (Puntos totales 25)
Escriba sus respuestas aquí.
Nota: No continúe con la Parte 2 hasta que sus Respuestas hayan firmado en la Parte 1.

Parte 2: configurar el acceso seguro al enrutador

Puntos totales: 15
Tiempo: 15 minutos
En la Parte 2, protegerá el acceso administrativo en el enrutador R3. También configurará la autenticación del protocolo de enrutamiento OSPF entre los enrutadores R2 y R3.

Paso 1: Configure el acceso administrativo del enrutador seguro.

En este paso, protegerá el acceso administrativo en el R3.

Tarea o elemento de configuración Especificación puntos ganado
Establecer la longitud mínima de la contraseña. Longitud mínima: 10 caracteres 0.5
Asigne y cifre una contraseña EXEC privilegiada. Contraseña: cisco12345
Tipo de cifrado: 9 (scrypt)		 0.5
Agregar un usuario en la base de datos local para acceso de administrador Nombre de usuario: admin01
Nivel de privilegio: 15
Tipo de cifrado: 9 (scrypt)
Contraseña: admin01pass		 1
Configurar SSH. Nombre de dominio: netsec.com
Tamaño de las claves RSA: 1024
Versión: 2
Tiempo de espera: 90 segundos
Reintentos de autenticación: 2		 1
Configure los ajustes de autenticación AAA. Habilitar AAA
Usar base de datos local como configuración predeterminada.
Utilice la autenticación de nombre de usuario local que distingue entre mayúsculas y minúsculas		 2
Configuración de inicio de sesión mejorada Bloqueo durante tres minutos después de cuatro intentos fallidos en un período de dos minutos. 1
Cifrar todas las contraseñas 0.5
Configure las líneas VTY para permitir el acceso SSH únicamente Permitir solo el acceso SSH. 0.5
Verifique el acceso SSH a R3 desde las PC SSH debería tener éxito. 1
Total 8

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuration Item or Task Configuration Commands Verification Commands
Set minimum password length. security passwords min-length 10 show run | inc passwords
Assign and encrypt a privileged EXEC password. enable algorithm-type scrypt secret cisco12345 show run | inc enable
Verify encryption type 9.
Add a user in the local database for administrator access. username admin01 privilege 15 algorithm-type scrypt secret admin01pass show run | include username
Verify Username, Privilege level, and encryption type. The password can be verified.
Configure SSH. ip domain-name netsec.com
crypto key generate rsa general-keys modulus 1024
ip ssh version 2
ip ssh time-out 90
ip ssh authentication-retries 2		 show ip ssh
Configure the AAA authentication settings. aaa new-model
aaa authentication login default local-case		 show run | inc aaa
Enhanced Login settings login block-for 180 attempts 4 within 120 show login
Encrypt all passwords service password-encryption show run | incl password-e
Configure VTY lines to allow SSH access line vty 0 4
transport input ssh
exit		 show run | sec vty
Paso 2: Configure la autenticación OSPF en R2 y R3.
Tarea o elemento de configuración Especificación puntos ganado
Configure el llavero usando el hash SHA256 Enrutadores: R2 y R3

  • Nombre del llavero: NetSec
  • Número clave: 10
  • Cadena de clave: NetSecOSPF
  • Algoritmo de autenticación: hmac-sha-sha256
 4
Aplicar el llavero asignado a las interfaces apropiadas 2
Total 6

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuration Item or Task Configuration Commands Verification Commands
Configure key chain using SHA256 hashing key chain NetSec
key 10
key-string NetSecOSPF
cryptographic-algorithm hmac-sha-256		 show run | section key
Apply the assigned the key chain to the appropriate interfaces Router R2:
interface g0/0/1
ip ospf authentication key-chain NetSec
Router R3:
interface g0/0/0
ip ospf authentication key-chain NetSec		 Router R2:
show ip ospf interface g0/0/1
Router R3:
show ip ospf interface g0/0/0
Paso 3: Verifique la conectividad.
Tarea de configuración Especificación puntos ganado
Verificar la conectividad entre la PC-A y la PC-B 0.5
Verificar la conectividad entre la PC-A y la PC-C 0.5
Total 1

Aprobación de respuestas Parte 2:
Escriba sus respuestas aquí.
Puntos para la Parte 2: (Puntos totales 15)
Escriba sus respuestas aquí.
Nota: No continúe con la Parte 3 hasta que sus Respuestas hayan firmado en la Parte 2.

Parte 3: configurar una VPN de sitio a sitio (30 puntos, 30 minutos)

Puntos totales: 30 puntos
Tiempo: 30 minutos
En esta parte, configurará una VPN IPsec de sitio a sitio entre los enrutadores R1 y R3. Utilizará la CLI para configurar R1 y repetirá el procedimiento para R3.

Paso 1: configurar Site-to-Site VPN en R1 mediante CLI. (14 puntos, 15 minutos)

Los parámetros de configuración incluyen lo siguiente:

Tarea o elemento de configuración Especificación puntos ganado
Cree una política ISAKMP. Prioridad de política ISAKMP: 1
Tipo de autenticación:
precompartido Cifrado: aes 256
Algoritmo hash: sha
Intercambio de claves de grupo Diffie-Hellman: 24		 5
Configure la clave precompartida. Clave precompartida: ciscopreshare
Dirección: 64.100.3.1		 2
Configure el conjunto de transformación IPsec. Etiqueta: TRNSFRM-SET
Cifrado: aes 256
Función hash: ESP-SHA-HMAC		 2
Definir tráfico interesante. ACL: VPN-TRAFFIC
Red de origen: 192.168.1.0 /24
Red de destino: 172.16.30 /24		 1
Crea un mapa criptográfico. Nombre del mapa criptográfico: CMAP
Número de secuencia: 1
Tipo: ipsec-isakmp
ACL para coincidir: VPN-TRAFFIC
Par: 64.100.3.1
Tipo de Pfs: group24 Conjunto
de transformación: TRNSFRM-SET		 3
Aplicar mapa criptográfico a la interfaz. Interfaz: G0/0/0
Nombre del mapa criptográfico: CMAP		 1
Total 14

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuration Item or Task Configuration Commands Verification Commands
Create an ISAKMP policy. crypto isakmp policy 1
authentication pre-share
encryption aes 256
hash sha
group 24		 show crypto isakmp policy
Configure the pre-shared key. crypto isakmp key ciscopreshare address 64.100.3.1 show run | include crypto
Configure the IPsec transform set. crypto ipsec transform-set TRNSFRM-SET esp-aes 256 esp-sha-hmac show run | include crypto
Define interesting traffic. ip access-list extended VPN-TRAFFIC
permit ip 192.168.1.0 0.0.0.255 172.16.3.0 0.0.0.255		 show access-list
Create a crypto map. crypto map CMAP 1 ipsec-isakmp
match address VPN-TRAFFIC
set transform-set TRNSFRM-SET
set peer 64.100.3.1
set pfs group24		 show crypto map
Apply crypto map to interface. interface g0/0/0
crypto map CMAP		 show crypto map
show run interface g0/0/0
Paso 2: configurar Site-to-Site VPN en R3 mediante CLI. (12 puntos, 10 minutos)
Tarea o elemento de configuración Especificación puntos ganado
Cree una política ISAKMP. Prioridad de política ISAKMP: 1
Tipo de autenticación:
precompartido Cifrado: aes 256
Algoritmo hash: sha
Intercambio de claves de grupo Diffie-Hellman: 24		 4
Configure la clave precompartida. Clave precompartida: ciscopreshare
Dirección: 64.100.1.1		 2
Configure el conjunto de transformación IPsec. Etiqueta: TRNSFRM-SET
Transformación ESP: R3-R1
Cifrado: aes 256
Función hash: ESP-SHA-HMAC		 2
Definir tráfico interesante. ACL: VPN-TRAFFIC
Red de origen: 172.16.3.0 /24
Red de destino: 192.168.1.0 /24		 1
Crea un mapa criptográfico. Nombre del mapa criptográfico: CMAP
Número de secuencia: 1
Tipo: ipsec-isakmp
ACL para coincidir: VPN-TRAFFIC
Par: 64.100.1.1
Tipo de Pfs: group24 Conjunto
de transformación: TRNSFRM-SET		 2
Aplicar mapa criptográfico a la interfaz. Interfaz: G0/0/0
Nombre del mapa criptográfico: CMAP		 1
Total 12

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuration Item or Task Configuration Commands Verification Commands
Create an ISAKMP policy. crypto isakmp policy 1
authentication pre-share
encryption aes 256
hash sha
group 24		 show crypto isakmp policy
Configure the pre-shared key. crypto isakmp key ciscopreshare address 64.100.1.1 show run | include crypto
Configure the IPsec transform set. crypto ipsec transform-set TRNSFRM-SET esp-aes 256 esp-sha-hmac show run | include crypto
Define interesting traffic. ip access-list extended VPN-TRAFFIC
permit ip 172.16.3.0 0.0.0.255 192.168.1.0 0.0.0.255		 show access-list
Create a crypto map. crypto map CMAP 1 ipsec-isakmp
match address VPN-TRAFFIC
set transform-set TRNSFRM-SET
set peer 64.100.1.1
set pfs group24		 show crypto map
Apply crypto map to interface. Interface g0/0/0
crypto map CMAP		 show crypto map
show run interface g0/0/0
Paso 3: Verifique la conexión VPN.
Tarea de configuración Especificación puntos ganado
Verifique la conectividad VPN entre la PC-A y la PC-B Use los comandos correctos para demostrar la ruta del paquete 1 Blanco
Verifique que NO haya conectividad VPN entre la PC-A y la PC-C Use los comandos correctos para demostrar la ruta del paquete 1 Blanco
Verificar el funcionamiento de la VPN 2 blanco
Total 4 blanco

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuration Item or Task Configuration Commands Verification Commands
Verify VPN connectivity between PC-A and PC-B PC-A> tracert 172.16.3.10 The tracepath from PC-A to PC-B:
192.168.1.1 > 64.100.3.1 > 172.16.3.10
Verify NO VPN connectivity between PC-A and PC-C PC-A> tracert 172.16.33.10 The path from PC-A to PC-C goes thru R2, not thru the VPN tunnel
Verify the VPN operation. show crypto isakmp sa
show crypto ipsec sa

Nota: Antes de continuar con la Parte 4, solicite a sus respuestas que verifiquen la configuración y la funcionalidad de la VPN.
Aprobación de respuestas Parte 3:
Escriba sus respuestas aquí.
Puntos para la Parte 3: (Puntos totales 27):
Escriba sus respuestas aquí.
Nota: No continúe con la Parte 4 hasta que sus Respuestas hayan firmado en la Parte 3.

Parte 4: configurar un firewall de política basado en zonas (30 puntos, 30 minutos)

Puntos totales: 30 puntos
Tiempo: 30 minutos
En esta parte, configurará un firewall de políticas basado en zonas en el R3.
– Las computadoras en la red R3 INSIDE se consideran confiables y pueden iniciar cualquier tipo de tráfico (tráfico basado en TCP, UDP o ICMP).
– Las computadoras en la red R3 GUEST se consideran no confiables y solo pueden iniciar tráfico web (HTTP o HTTPS) hacia el EXTERIOR.
– Ningún tráfico iniciado desde el EXTERIOR, excepto la conexión VPN, debe permitirse en las redes INTERIORES.

Paso 1: Configurar ZPF de INTERIOR a EXTERIOR (14 puntos, 12 minutos)
Tarea o elemento de configuración Especificación puntos ganado
Crea las zonas de seguridad. Nombre zona interior: INTERIOR
Nombre zona exterior: EXTERIOR		 2
Cree un mapa de clase de inspección. Nombre del mapa de clase: INSIDE-PROTOCOLS
Tipo de inspección: match-any
Protocolos permitidos: tcp,udp,icmp		 3
Cree un mapa de políticas de inspección. Nombre del mapa de política: INSIDE-TO-OUTSIDE-PM
Vincule el mapa de clase al mapa de política.
Los paquetes coincidentes deben ser inspeccionados.		 3
Crea un par de zonas. Nombre del par de zonas: DENTRO-A-FUERA-ZP Zona de
origen: DENTRO
Zona de destino: FUERA		 3
Aplique el mapa de políticas al par de zonas. Nombre del par de zonas: INSIDE-TO-OUTSIDE-ZP
Nombre del mapa de políticas: INSIDE-TO-OUTSIDE-PM		 2
Asigne interfaces a las zonas de seguridad adecuadas. Interfaz G0/0/1.3: INTERIOR
Interfaz G0/0/0: EXTERIOR		 2
Total 15

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuration Item or Task Configuration Commands Verification Commands
Create security zone names. zone security INSIDE
zone security OUTSIDE		 show zone security
Create an inspect class map. class-map type inspect match-any INSIDE-PROTOCOLS
match protocol tcp
match protocol udp
match protocol icmp		 show class-map type inspect
Create an inspect policy map. policy-map type inspect INSIDE-TO-OUTSIDE-PM
class type inspect INSIDE-PROTOCOLS
inspect		 show policy-map type inspect
Create a zone pair. zone-pair security INSIDE-TO-OUTSIDE-ZP source INSIDE destination OUTSIDE show zone-pair security
Apply the policy map to the zone pair. service-policy type inspect INSIDE-TO-OUTSIDE-PM show zone-pair security
Assign interfaces to the proper security zones. interface g0/0/1.3
zone-member security INSIDE
interface g0/0/0
zone-member security OUTSIDE		 show zone security
or
show policy-map type inspect zone-pair

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Paso 2: Configurar ZPF para INVITADO a EXTERIOR (10 puntos, 8 minutos)
Tarea o elemento de configuración Especificación puntos ganado
Crea la zona de seguridad. INVITADO nombre zona: INVITADO 1
Cree un mapa de clase de inspección. Nombre del mapa de clase: GUEST-PROTOCOLS
Tipo de inspección: match-any
Protocolos permitidos: http, https.dns		 2
Cree un mapa de políticas de inspección. Nombre del mapa de política: GUEST-TO-OUTSIDE-PM
Vincule el mapa de clase al mapa de política.
Los paquetes coincidentes deben ser inspeccionados.		 2
Crea un par de zonas. Nombre del par de zonas: INVITADO-A-EXTERNO-ZP Zona de
origen: INVITADO
Zona de destino: EXTERIOR		 2
Aplique el mapa de políticas al par de zonas. Nombre del par de zonas: GUEST-TO-OUTSIDE-ZP
Nombre del mapa de políticas: GUEST-TO-OUTSIDE-PM		 2
Asigne interfaces a las zonas de seguridad adecuadas. Interfaz G0/0/1.33: INVITADO 1
Total 10

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuration Item or Task Configuration Commands Verification Commands
Create security zone names. zone security GUEST show run | section zone security
Create an inspect class map. class-map type inspect match-any GUEST-PROTOCOLS
match protocol http
match protocol https
match protocol dns		 show class-map type inspect
Create an inspect policy map. policy-map type inspect GUEST-TO-OUTSIDE-PM
class type inspect GUEST-PROTOCOLS
inspect		 show policy-map type inspect
Create a zone pair. zone-pair security GUEST-TO-OUTSIDE-ZP source GUEST destination OUTSIDE show zone-pair security
Apply the policy map to the zone pair. service-policy type inspect GUEST-TO-OUTSIDE-PM show zone-pair security
Assign interfaces to the proper security zones. interface g0/0/1.33
zone-member security GUEST		 show zone security
Paso 3: Configurar ZPF de EXTERIOR a INTERIOR (5 puntos, 7 minutos)
Tarea o elemento de configuración Especificación puntos ganado
Cree una ACL con nombre para permitir el tráfico de R1 VPN a través de la VLAN 3 Nombre: TRÁFICO REMOTO
Fuente: 192.168.1.0 /24
Destino: 172.16.3.0 /24		 1
Cree un mapa de clase de inspección. Nombre del mapa de clase: TRÁFICO EXTERIOR
Tipo de inspección: coincidir con todos
Grupo de acceso permitido: TRÁFICO REMOTO		 1
Cree un mapa de políticas de inspección. Nombre del mapa de política: OUTSIDE-TO-INSIDE-PM
Vincule el mapa de clase al mapa de política.
Los paquetes coincidentes deben ser inspeccionados.		 1
Crea un par de zonas. Nombre del par de zonas: EXTERIOR-A-INTERIOR-ZP Zona de
origen: INTERIOR
Zona de destino: EXTERIOR		 1
Aplique el mapa de políticas al par de zonas. Nombre del par de zonas: OUTSIDE-TO-INSIDE-ZP
Nombre del mapa de políticas: OUTSIDE-TO-INSIDE-PM		 1
Total 5

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.

Configuration Item or Task Configuration Commands Verification Commands
Create ACL to allow R1 VPN traffic through ip access-list extended REMOTE-TRAFFIC
permit ip 192.168.1.0 0.0.0.255 172.16.3.0 0.0.0.255		 show access-list REMOTE-TRAFFIC
Create an inspect class map. class-map type inspect match-all OUTSIDE-TRAFFIC
match access-group name REMOTE-TRAFFIC		 show class-map type inspect
Create an inspect policy map. policy-map type inspect OUTSIDE-TO-INSIDE-PM
class type inspect OUTSIDE-TRAFFIC
inspect		 show policy-map type inspect
Create a zone pair. zone-pair security OUTSIDE-TO-INSIDE-ZP source OUTSIDE destination INSIDE show zone-pair security
Apply the policy map to the zone pair. service-policy type inspect OUTSIDE-TO-INSIDE-PM show zone-pair security
Paso 4: Verifique la funcionalidad de ZPF.
Tarea de configuración Especificación puntos ganado
Verifique que todas las PC puedan acceder al navegador web en R2 1 Blanco
Verifique la conexión VPN entre la PC-A y la PC-B 1 Blanco
Verifique que no haya tráfico EXTERNO en la zona INTERIOR, excepto a través de VPN 1 Blanco
Total 3 blanco

Solucione los problemas según sea necesario para corregir cualquier problema descubierto.
Aprobación de respuestas Parte 4:
escriba sus respuestas aquí.
Puntos para la Parte 1: (Puntos totales 30)
Escriba sus respuestas aquí.

Tabla de resumen de la interfaz del enrutador

Router Model Ethernet Interface #1 Ethernet Interface #2 Serial Interface #1 Serial Interface #2
1900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
2900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
4221 Gigabit Ethernet 0/0/0 (G0/0/0) Gigabit Ethernet 0/0/1 (G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
4300 Gigabit Ethernet 0/0/0 (G0/0/0) Gigabit Ethernet 0/0/1 (G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)

Línea en blanco, sin información adicional
Nota: Para averiguar cómo está configurado el enrutador, mire las interfaces para identificar el tipo de enrutador y cuántas interfaces tiene el enrutador. No hay manera de enumerar efectivamente todas las combinaciones de configuraciones para cada clase de enrutador. Esta tabla incluye identificadores para las posibles combinaciones de interfaces Ethernet y serie en el dispositivo. La tabla no incluye ningún otro tipo de interfaz, aunque un enrutador específico puede contener uno. Un ejemplo de esto podría ser una interfaz de fibra óptica. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de Cisco IOS para representar la interfaz.

Configuraciones de dispositivos

Router R1
R1# show run brief

Building configuration…

 

 

Current configuration : 1795 bytes

!

version 16.9

service timestamps debug datetime msec

service timestamps log datetime msec

platform qfp utilization monitor load 80

platform punt-keepalive disable-kernel-core

!

hostname R1

!

boot-start-marker

boot-end-marker

!

no aaa new-model

!

no ip domain lookup

!

login on-success log

!

subscriber templating

multilink bundle-name authenticated

!

spanning-tree extend system-id

!

redundancy

 mode none

!

crypto isakmp policy 1

 encr aes 256

 authentication pre-share

 group 24

crypto isakmp key ciscopreshare address 64.100.3.1

!

crypto ipsec transform-set TRNSFRM-SET esp-aes 256 esp-sha-hmac

 mode tunnel

!

crypto map CMAP 1 ipsec-isakmp

 set peer 64.100.3.1

 set transform-set TRNSFRM-SET

 set pfs group24

 match address VPN-TRAFFIC

!

interface GigabitEthernet0/0/0

description Link to R2

 ip address 64.100.1.1 255.255.255.252

 negotiation auto

 crypto map CMAP

!

interface GigabitEthernet0/0/1

 description Link to R1 LAN

 ip address 192.168.1.1 255.255.255.0

 negotiation auto

!

interface Serial0/1/0

 no ip address

!

interface Serial0/1/1

 no ip address

!

router ospf 1

 passive-interface GigabitEthernet0/0/1

 network 64.100.1.0 0.0.0.3 area 0

 network 192.168.1.0 0.255.255.255 area 0

!

ip forward-protocol nd

no ip http server

ip http secure-server

!

ip access-list extended VPN-TRAFFIC

 permit ip 192.168.1.0 0.0.0.255 172.16.3.0 0.0.0.255

!

control-plane

!

line con 0

 transport input none

 stopbits 1

line aux 0

 stopbits 1

line vty 0 4

 login

!

end
Router R2
R2# show run brief

Building configuration…

 

 

Current configuration : 1543 bytes

!

version 16.9

service timestamps debug datetime msec

service timestamps log datetime msec

platform qfp utilization monitor load 80

platform punt-keepalive disable-kernel-core

!

hostname R2

!

boot-start-marker

boot-end-marker

!

no aaa new-model

!

no ip domain lookup

!

login on-success log

!

subscriber templating

!

multilink bundle-name authenticated

!

key chain NetSec

 key 10

  key-string NetSecOSPF

   cryptographic-algorithm hmac-sha-256

!

spanning-tree extend system-id

!

username webuser privilege 15 secret 5 $1$t1x6$But2s0WOVK7oxozoIkMsX1

!

redundancy

 mode none

!

interface GigabitEthernet0/0/0

 description Link to R1

 ip address 64.100.1.2 255.255.255.252

 negotiation auto

!

interface GigabitEthernet0/0/1

 description Link to R3

 ip address 64.100.3.2 255.255.255.252

 ip ospf authentication key-chain NetSec

 negotiation auto

!

router ospf 1

 network 64.100.1.0 0.0.0.3 area 0

 network 64.100.3.0 0.0.0.3 area 0

!

ip forward-protocol nd

ip http server

ip http authentication local

ip http secure-server

!

control-plane

!

line con 0

 transport input none

 stopbits 1

line aux 0

 stopbits 1

line vty 0 4

 login

!

end
Router R3
R3# show run brief

Building configuration…

 

 

Current configuration : 4195 bytes

!

version 16.9

service timestamps debug datetime msec

service timestamps log datetime msec

platform qfp utilization monitor load 80

platform punt-keepalive disable-kernel-core

!

hostname R3

!

boot-start-marker

boot-end-marker

!

security passwords min-length 10

enable secret 9 $9$5d06ThFZdLHxBy$A56qWeaP9g6Znb3d2iImMN5KFH87FS4Ds4GMiaMocBQ

!

aaa new-model

!

aaa authentication login default local-case

!

aaa session-id common

!

no ip domain lookup

ip domain name netsec.com

!

login block-for 180 attempts 4 within 120

login on-success log

!

subscriber templating

!

multilink bundle-name authenticated

!

key chain NetSec

 key 10

  key-string 7 032A5E1F350A22637D393F

   cryptographic-algorithm hmac-sha-256

!

spanning-tree extend system-id

!

username admin01 privilege 15 secret 9 $9$DeZoOK/8DhxDdi$EvM6XnDQxwyxKIqDWmeVv5q53jDflVihZ/z4u.o0O7c

!

redundancy

 mode none

!

class-map type inspect match-all OUTSIDE-TRAFFIC

 match access-group name REMOTE-TRAFFIC

class-map type inspect match-any GUEST-PROTOCOLS

 match protocol http

 match protocol https

 match protocol dns

class-map type inspect match-any INSIDE-PROTOCOLS

 match protocol tcp

 match protocol udp

 match protocol icmp

!

policy-map type inspect OUTSIDE-TO-INSIDE-PM

 class type inspect OUTSIDE-TRAFFIC

  inspect

 class class-default

policy-map type inspect INSIDE-TO-OUTSIDE-PM

 class type inspect INSIDE-PROTOCOLS

  inspect

 class class-default

policy-map type inspect GUEST-TO-OUTSIDE-PM

 class type inspect GUEST-PROTOCOLS

  inspect

 class class-default

!

zone security INSIDE

zone security OUTSIDE

zone security GUEST

zone-pair security GUEST-TO-OUTSIDE-ZP source GUEST destination OUTSIDE

 service-policy type inspect GUEST-TO-OUTSIDE-PM

zone-pair security INSIDE-TO-OUTSIDE-ZP source INSIDE destination OUTSIDE

 service-policy type inspect INSIDE-TO-OUTSIDE-PM

zone-pair security OUTSIDE-TO-INSIDE-ZP source OUTSIDE destination INSIDE

 service-policy type inspect OUTSIDE-TO-INSIDE-PM

!

crypto isakmp policy 1

 encr aes 256

 authentication pre-share

 group 24

crypto isakmp key ciscopreshare address 64.100.1.1

!

crypto ipsec transform-set TRNSFRM-SET esp-aes 256 esp-sha-hmac

 mode tunnel

!

crypto map CMAP 1 ipsec-isakmp

 set peer 64.100.1.1

 set transform-set TRNSFRM-SET

 set pfs group24

 match address VPN-TRAFFIC

!

interface GigabitEthernet0/0/0

 description Link to R2

 ip address 64.100.3.1 255.255.255.252

 zone-member security OUTSIDE

 ip ospf authentication key-chain NetSec

 negotiation auto

 crypto map CMAP

!

interface GigabitEthernet0/0/1

 no ip address

 negotiation auto

!

interface GigabitEthernet0/0/1.3

 description Link to VLAN 3

 encapsulation dot1Q 3

 ip address 172.16.3.1 255.255.255.0

 zone-member security INSIDE

!

interface GigabitEthernet0/0/1.33

 description Link to VLAN 33

 encapsulation dot1Q 33

 ip address 172.16.33.1 255.255.255.0

 zone-member security GUEST

!

router ospf 1

 passive-interface GigabitEthernet0/0/1

 network 64.100.3.0 0.0.0.3 area 0

 network 172.16.0.0 0.0.255.255 area 0

!

ip forward-protocol nd

ip http server

ip http authentication local

ip http secure-server

!

ip ssh time-out 90

ip ssh authentication-retries 2

ip ssh version 2

!

ip access-list extended REMOTE-TRAFFIC

 permit ip 192.168.1.0 0.0.0.255 172.16.3.0 0.0.0.255

ip access-list extended VPN-TRAFFIC

 permit ip 172.16.3.0 0.0.0.255 192.168.1.0 0.0.0.255

!

control-plane

!

line con 0

 transport input none

 stopbits 1

line aux 0

 stopbits 1

line vty 0 4

 transport input ssh

!

end
Switch S2
S2# show run brief

Building configuration…

 

Current configuration : 3695 bytes

!

version 15.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname S2

!

boot-start-marker

boot-end-marker

!

enable secret 9 $9$YayOy4FgblvfMJ$CZODl3OsdsFV/cCXv0SuVcXnrC4k7RhAb52T4wlgaNM

!

username admin01 privilege 15 secret 9 $9$C6qz0LLIjxwWh2$QhZnu4nwKyDdv3WgOpAG4yKjk7jaEZuIKX.EzZkDiU2

aaa new-model

 

aaa authentication login default local-case

!

aaa session-id common

system mtu routing 1500!

!

no ip domain-lookup

ip domain-name netsec.com

login block-for 180 attempts 4 within 120

!

spanning-tree mode rapid-pvst

spanning-tree loopguard default

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/2

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/3

 switchport trunk native vlan 99

 switchport mode trunk

 switchport nonegotiate

!

interface FastEthernet0/4

 switchport trunk native vlan 99

 switchport mode trunk

 switchport nonegotiate

!

interface FastEthernet0/5

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/6

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/7

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/8

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/9

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/10

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/11

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/12

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/13

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/14

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/15

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/16

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/17

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/18

 switchport access vlan 3

 switchport mode access

 switchport port-security maximum 1

 switchport port-security mac-address sticky 0050.569c.5f78

 switchport port-security

 spanning-tree portfast edge

 spanning-tree bpduguard enable

!

interface FastEthernet0/19

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/20

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/21

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/22

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/23

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface FastEthernet0/24

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface GigabitEthernet0/1

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface GigabitEthernet0/2

 switchport access vlan 99

 switchport mode access

 shutdown

!

interface Vlan1

 no ip address

 shutdown

!

interface Vlan3

 ip address 172.16.3.2 255.255.255.0

!

ip default-gateway 172.16.3.1

ip http server

ip http secure-server

ip ssh time-out 90

ip ssh authentication-retries 2

ip ssh version 2

!

line con 0

line vty 0 4

 login local

 transport input ssh

line vty 5 15

 login local

 transport input ssh

!

end
Switch S3
S3# show run brief

Building configuration…

 

Current configuration : 4040 bytes

!

version 15.0

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

service call-home

!

hostname S3

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

system mtu routing 1500

!

no ip domain-lookup

login on-success log

!

spanning-tree mode rapid-pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1

 switchport trunk native vlan 99

 switchport mode trunk

 switchport nonegotiate

!

interface FastEthernet0/2

 switchport trunk native vlan 99

 switchport mode trunk

 switchport nonegotiate

!

interface FastEthernet0/3

!

interface FastEthernet0/4

!

interface FastEthernet0/5

 switchport trunk native vlan 99

 switchport mode trunk

 switchport nonegotiate

!

interface FastEthernet0/6

!

interface FastEthernet0/7

!

interface FastEthernet0/8

!

interface FastEthernet0/9

!

interface FastEthernet0/10

!

interface FastEthernet0/11

!

interface FastEthernet0/12

!

interface FastEthernet0/13

!

interface FastEthernet0/14

!

interface FastEthernet0/15

!

interface FastEthernet0/16

!

interface FastEthernet0/17

!

interface FastEthernet0/18

 switchport access vlan 33

 switchport mode access

 spanning-tree portfast

 spanning-tree bpduguard enable

!

interface FastEthernet0/19

!

interface FastEthernet0/20

!

interface FastEthernet0/21

!

interface FastEthernet0/22

!

interface FastEthernet0/23

!

interface FastEthernet0/24

!

interface GigabitEthernet0/1

!

interface GigabitEthernet0/2

!

interface Vlan1

 no ip address

!

interface Vlan3

 ip address 172.16.3.3 255.255.255.0

!

ip default-gateway 172.16.3.1

ip http server

ip http secure-server

!

line con 0

 logging synchronous

 stopbits 1

line vty 0 4

 login

line vty 5 15

 login

!

end

Related Articles

About The Author

CisacadESP

Leave a Reply