10 3 12-lab---configure-zpfs_pt-BR

Prévia do material em texto

© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 1 de 13 www.netacad.com 
Laboratório - Configure o ZPFS 
Topologia 
 
Tabela de endereçamento IP 
Dispositiv
o Interface Endereço IP 
Máscara de 
Sub-Rede Gateway padrão Porta do Switch 
R1 G0/0/0 10.1.1.1 255.255.255.252 N/D N/D 
R1 
G0/0/1 192.168.1.1 255.255.255.0 N/D S1 F0/5 
R2 G0/0/0 10.1.1.2 255.255.255.252 N/D N/D 
R2 
G0/0/1 10.2.2.2 255.255.255.252 N/D N/D 
R3 G0/0/0 10.2.2.1 255.255.255.252 N/D N/D 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 2 de 13 www.netacad.com 
Dispositiv
o Interface Endereço IP 
Máscara de 
Sub-Rede Gateway padrão Porta do Switch 
R3 
G0/0/1.3 192.168.3.1 255.255.255.0 N/D S3 F0/5 
R3 
G0/0/1,33 192.168.33.1 255.255.255.0 N/D S3 F0/5 
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0/6 
PC-B NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0/18 
PC-C NIC 192.168.33.3 255.255.255.0 192.168.33.1 S3 F0/23 
Linha em branco, sem informações adicionais 
Objetivos 
Parte 1: Configuração básica do dispositivo 
 Configure nomes de host, endereços IP de Um ou Mais Servidores Cisco ICM NT da interface e senhas 
de acesso no 
 Configurar as rotas estáticas para permitir a conectividade de ponta a ponta no Roteadores. 
 Configure portas de acesso e tronco em um switch. 
Parte 2: Configurando um Firewall de Política Baseado em Zona-Baseado (ZPF) 
 Use o CLI para configurar um Firewall Zona-baseado da política. 
 Use o CLI para verificar a configuração. 
Parte 3: Verifique a funcionalidade do Firewall ZPF 
Background 
A forma mais básica de um Firewall do Cisco IOS usa listas de controle de acesso (ACLs) para filtrar o 
tráfego IP e monitorar padrões de tráfego estabelecidos. Um firewall Cisco IOS tradicional é um firewall 
baseado em ACL. 
A implementação mais recente do Cisco IOS Firewall usa uma aproximação zona-baseada que se opere 
como uma função das relações em vez das listas do controle de acesso. Um Firewall Zona-baseado da 
política (ZPF) permite que políticas diferentes da inspeção sejam aplicadas aos grupos de host múltiplos 
conectados à mesma relação do roteador. Pode ser configurado para extremamente avançado, específico do 
protocolo, controle granular. Proíbe o tráfego através de uma política de negar-tudo padrão entre zonas de 
firewall diferentes. O ZPF é adequado para várias interfaces que têm requisitos de segurança semelhantes 
ou variáveis. 
Neste laboratório, você constrói uma rede do multi-roteador, configura o Roteadores e os hosts do PC, e 
configura um Firewall Zona-baseado da política usando a interface de linha de comando (CLI) do Cisco IOS. 
Nota: Os roteadores usados com laboratórios práticos são Cisco 4221 com Cisco IOS XE Release 16.9.4 
(imagem universalk9). Os switches usados nos laboratórios são Cisco Catalyst 2960+ com Cisco IOS 
Release 15.2 (2) (imagem lanbasek9). Outros roteadores, switches e versões do Cisco IOS podem ser 
usados. De acordo com o modelo e a versão do Cisco IOS, os comandos disponíveis e a saída produzida 
poderão variar em relação ao que é mostrado nos laboratórios. Consulte a Tabela de resumo de interfaces 
dos roteadores no final do laboratório para saber quais são os identificadores de interface corretos. 
Nota: Certifique-se de que os roteadores e switches foram apagados e não possuem configurações de 
inicialização. 
Recursos necessários 
 3 roteadores (Cisco 4221 com imagem universal Cisco IOS XE Release 16.9.4 ou comparável) 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 3 de 13 www.netacad.com 
 2 switches (Cisco 2960+ com lançamento do Cisco IOS 15.2 (7) imagem lanbasek9 ou comparável) 
 3 PCs (sistema operacional Windows com um programa de emulação de terminal, como Tera Term ou 
PuTTy instalado) 
 Cabos de console para configurar os dispositivos Cisco IOS por meio das portas de console 
 Cabos ethernet conforme mostrado na topologia 
 
Instruções 
Parte 1: Configuração básica de dispositivos 
Nesta parte deste laboratório, você configura a topologia da rede e define as configurações básicas, como os 
endereços IP da interface, roteamento estático, acesso ao dispositivo e senhas. 
Nota: Todas as tarefas devem ser executadas no Roteadores R1, R2, e R3. Os procedimentos são 
mostrados para somente um dos roteadores. 
Etapa 1: Instale os cabos da rede conforme mostrado na topologia. 
Conecte os dispositivos como mostrado no diagrama da topologia e cabei-os se necessário. 
Etapa 2: Desative a pesquisa de DNS. 
Abrir a janela de configuração 
Para evitar que o roteador tente traduzir comandos inseridos incorretamente, desative a pesquisa de DNS. 
Etapa 3: Defina as configurações básicas de cada Roteador. 
a. Configure os nomes de host conforme mostrado na topologia. 
b. Configure os endereços IP da interface conforme mostrado na tabela de endereçamento IP. A 
configuração de endereço IP do roteador R3 é fornecida abaixo. 
R3(config)# interface GigabitEthernet0/0/0 
R3(config-if)# ip address 10.2.2.1 255.255.255.252 
R3(config-if)# no shutdown 
R3(config-if)# interface GigabitEthernet0/0/1 
R3(config-if)# no shutdown 
R3(config-if)# interface GigabitEthernet0/0/1.3 
R3(config-if)# encapsulation dot1Q 3 
R3(config-if)# ip address 192.168.3.1 255.255.255.0 
R3(config-if)#interface GigabitEthernet0/0/1.33 
R3(config-if)# encapsulation dot1Q 33 
R3(config-if)# ip address 192.168.33.1 255.255.255.0 
Etapa 4: Configure static routes on R1, R2, and R3. 
a. Para alcançar a acessibilidade de IP ponta a ponta, as rotas estáticas adequadas devem ser 
configuradas em R1, R2 e R3. R1 e R3 são roteadores stub e, como tal, só precisam de uma rota padrão 
apontando para o R2. O R2, comportando-se como o ISP, deve saber como alcançar as redes internas 
do R1 e do R3 antes que a acessibilidade IP de ponta a ponta seja alcançada. Abaixo está a 
configuração de rota estática para R1, R2 e R3. Em R1, use o seguinte comando: 
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2 
b. No R2, use os seguintes comandos. 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 4 de 13 www.netacad.com 
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1 
R2(config)# ip route 192.168.33.0 255.255.255.0 10.2.2.1 
c. Em R3, use o seguinte comando. 
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2 
Etapa 5: Configure o S3. 
a. Configurar o link do tronco: 
S3(config)# interface f0/5 
S3(config-if)# switchport mode trunk 
b. Configure portas de acesso 
S3(config)# interface f0/18 
S3(config-if)# switchport mode access 
S3(config-if)# switchport access vlan 3 
S3 (config-if) # interface f0/23 
S3(config-if)# switchport mode access 
S3(config-if)# switchport access vlan 33 
Etapa 6: Defina as configurações de IP do host do PC. 
Configurar um endereço IP estático, uma máscara de sub-rede e um gateway padrão para PC-A, PC-B, e 
PC-C segundo as indicações da tabela de endereçamento IP. 
Etapa 7: Verifique a conectividade de rede básica. 
a. Ping de R1 para R3. 
Se os pings não forem bem-sucedidos, identifique e solucione os problemas das configurações básicas 
dos dispositivos antes de continuar. 
b. Ping do PC-A na LAN R1 ao PC-B e PC-C nas LANs R3. 
Se os pings não forem bem-sucedidos, identifique e solucione os problemas das configurações básicas 
dos dispositivos antes de continuar. 
Nota: Se você pode executar o ping do PC-A ao PC-C, você demonstrou que a acessibilidade IP de 
ponta a ponta foi alcançada. Se você não pode sibilar mas as interfaces de dispositivo estão ACIMA e 
os endereços IP de Um ou Mais Servidores Cisco ICM NT estão corretos, use os comandos show 
interface, show ip route e show ip route ajudar a identificarproblemas. 
Etapa 8: Configure uma conta de usuário, senhas criptografadas e chaves criptografadas para 
SSH. 
Nota: As senhas nesta tarefa são ajustadas a um mínimo de 10 caracteres, mas são relativamente simples 
para o benefício de executar o laboratório. Senhas mais complexas são recomendadas em uma rede de 
produção. 
a. Configure um comprimento mínimo de senha usando o comando Security Passwords para definir um 
comprimento mínimo de senha de 10 caracteres. 
R1(config)# security passwords min-length 10 
b. Configure o nome de domínio. 
R1(config)# ip domain-name netsec.com 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 5 de 13 www.netacad.com 
c. Configurar chaves de criptografia para SSH 
R1(config)# crypto key generate rsa general-keys modulus 1024 
d. Configurar uma conta de usuário admin01 usando o algoritmo-tipo scrypt para a criptografia e uma 
senha do cisco12345. 
R1(config)# username admin01 algorithm-type scrypt secret cisco12345 
e. Configure o console de linha 0 para usar o banco de dados de usuário local para logins. Para segurança 
adicional, o comando exec-timeout faz com que a linha faça logout após 5 minutos de inatividade. O 
comando logging synchronous impede que as mensagens do console interrompam a entrada do 
comando. 
Nota: Para evitar logins repetitivos durante este laboratório, o comando exec-timeout pode ser ajustado a 
0, que o impede de expirar; contudo, isto não é considerado uma boa prática da segurança. 
R1(config)#line console 0 
R1(config-line)#login local 
R1(config-line)# exec-timeout 5 0 
R1(config-line)# logging synchronous 
f. Configure a linha aux 0 para usar o banco de dados de usuário local para logins. 
R1(config)# line aux 0 
R1(config-line)#login local 
R1(config-line)# exec-timeout 5 0 
g. Configurar a linha vty 0 4 para usar o banco de dados de usuário local para logins e restringir o acesso 
somente às conexões SSH. 
R1(config)#line vty 0 4 
R1(config-line)#login local 
R1(config-line)#transport input ssh 
R1(config-line)# exec-timeout 5 0 
h. Configure a senha de habilitação com criptografia forte. 
R1(config)# enable algorithm-type scrypt secret class12345 
Etapa 9: Salve a configuração básica de execução para todos os três roteadores. 
Salve a configuração em execução na configuração de inicialização a partir do prompt EXEC privilegiado. 
R1# copy running-config startup-config 
Fechar janela de configuração 
Parte 2: Configurando um firewall de política baseado em zona (ZPF) 
Nesta parte, você criará um firewall zona-baseado da política no R3 usando a interface de linha de comando 
(CLI), fazendo com que ele atue não somente como um roteador mas igualmente como um firewall. O R3 é 
atualmente responsável pelo roteamento de pacotes para as três redes conectadas a ele. Os papéis de 
interface do R3 são configurados da seguinte forma: 
G0 / 0/0 está conectado à Internet. Como esta é uma rede pública, ela é considerada uma rede não confiável 
e deve ter o menor nível de segurança. 
G0/0/1.3 está conectado à rede interna. Somente usuários autorizados têm acesso a esta rede. Além disso, 
os recursos vitais da instituição também residem nesta rede. A rede interna deve ser considerada uma rede 
confiável e deve ter o nível de segurança o mais alto. 
O G0/0/1.33 está ligado a uma sala de conferências. A sala de conferências é usada para organizar reuniões 
com pessoas que não fazem parte da organização. 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 6 de 13 www.netacad.com 
A política de segurança a ser aplicada pelo R3 quando está agindo como um firewall determina que: 
 Nenhum tráfego iniciado a partir da Internet deve ser permitido para as redes internas ou de salas de 
conferências. 
 Retornar o tráfego de Internet (pacotes de retorno provenientes da Internet para o site R3, em 
resposta a pedidos originários de qualquer uma das redes R3) devem ser permitidos. 
 Os computadores na rede interna R3 são considerados confiáveis e podem iniciar qualquer tipo de 
tráfego (tráfego baseado em TCP, UDP ou ICMP). 
 Os computadores na rede da sala de conferências R3 são considerados não confiáveis e têm 
permissão para iniciar apenas o tráfego da Web (HTTP ou HTTPS) para a Internet. 
 Nenhum tráfego é permitido entre a rede interna e a rede da sala de conferências. Não há garantia 
sobre a condição dos computadores convidados na rede da sala de conferências. Essas máquinas 
podem estar infectadas com malware e podem tentar enviar spam ou outro tráfego malicioso. 
Etapa 1: Verifique a conectividade de rede ponta a ponta. 
Nesta etapa, você verificará a conectividade de rede de ponta a ponta antes de implementar o ZPF. 
Abra a janela de configuração 
a. Ping de R1 para R3 usando ambos os endereços IP de Um ou Mais Servidores Cisco ICM NT da 
interface G0/0/1 do R3 (192.168.3.1 e 192.168.33.1). 
Se os pings não forem bem-sucedidos, identifique e solucione os problemas das configurações básicas 
dos dispositivos antes de continuar. 
b. Ping do PC-A na LAN R1 ao PC-C na LAN da sala de conferências R3. 
Se os pings não forem bem-sucedidos, identifique e solucione os problemas das configurações básicas 
dos dispositivos antes de continuar. 
c. Ping do PC-A na LAN R1 ao PC-B na LAN interna R3. 
Se os pings não forem bem-sucedidos, identifique e solucione os problemas das configurações básicas 
dos dispositivos antes de continuar. 
Etapa 2: Display the R3 running configurations. 
Nesta etapa, você verificará as configurações em execução do R3 antes de implementar o ZPF. 
a. Emita o comando show ip interface brief no R3 verificar se os endereços IP corretos foram atribuídos. 
Use a tabela de endereços para verificar os endereços. 
b. Emita o comando show ip route no R3 verificar se tem uma rota padrão estática apontando para a 
interface G0/0/1 do R2. 
c. Emita o comando show run rever a configuração básica atual no R3. 
Etapa 3: Criando as zonas de segurança. 
Uma zona de segurança é um grupo de interfaces com propriedades e requisitos de segurança semelhantes. 
Por exemplo, se um roteador tem três interfaces conectadas a redes internas, todas as três interfaces podem 
ser colocadas sob a mesma zona chamada “interna”. Como todas as propriedades de segurança são 
configuradas para a zona em vez de para as interfaces de roteador individuais, o design do firewall é muito 
mais escalável. 
Neste laboratório, o local R3 tem três interfaces; uma conectada a uma rede confiável interna, uma 
conectada à rede da sala de conferências e outra conectada ao Internet. Como todas as três redes têm 
requisitos e propriedades de segurança diferentes, criaremos três zonas de segurança diferentes. 
As zonas de segurança são criadas no modo de configuração global e o comando permite a definição de 
nome de zona. No R3, crie três zonas denominadas INSIDE, CONFROOM e INTERNET: 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 7 de 13 www.netacad.com 
R3(config)# zone security INSIDE 
R3(config)# zone security CONFROOM 
R3(config)# zone security CONFROOM 
Etapa 4: Criação de políticas de segurança 
Antes que o ZPF possa decidir se algum tráfego específico deve ser permitido ou negado, deve ser dito que 
tráfego deve ser considerado. O Cisco IOS usa mapas de classe para selecionar o tráfego. OInteresting 
traffic é uma denominação comum para o tráfego que foi selecionado por um mapa de classe. 
Quando os mapas de classe selecionam o tráfego, não é seu trabalho decidir o que acontece ao tráfego 
selecionado; Os Policy-maps decidem o destino do tráfego selecionado. 
As políticas de tráfego ZPF são definidas como mapas de política e usam mapas de classe para selecionar o 
tráfego. Em outras palavras, os mapas de classe definem que tráfego deve ser policiado quandoos mapas 
de política definem a ação a ser tomada em cima do tráfego selecionado. 
Os mapas de política podem deixar cair, passar ou inspecionar o tráfego. Porque queremos que o firewall 
observe o tráfego se movendo na direção de pares de zonas-vírgula, criaremos inspecionar mapas de 
políticas. Inspecione os mapas de política permitem o manuseio dinâmico do tráfego de retorno. 
Primeiro, você criará mapas de classe. Depois que os mapas de classe são criados, você criará os Policy-
maps e anexará os mapas de classe aos mapas de política. 
a. Crie um mapa de classe da inspeção para combinar o tráfego a ser permitido da zona INTERNA à zona 
INTERNET. Porque confiamos na zona INSIDE, permitimos todos os protocolos principais. 
Nos comandos abaixo, a primeira linha cria um mapa de classe inspecionar. A palavra-chave match-any 
instrui o roteador que algumas das instruções do protocolo do fósforo qualificarão como um fósforo bem 
sucedido resultando em uma política que está sendo aplicada. O resultado é um fósforo para pacotes 
TCP ou UDP ou ICMP. 
Os comandos match referem-se a protocolos compatíveis específicos do Cisco NBAR. Para obter mais 
informações, execute uma pesquisa na Internet para Cisco NBAR. 
R3(config)# class-map type inspect match-any INSIDE_PROTOCOLS 
R3(config-cmap)# match protocol tcp 
R3(config-cmap)# match protocol udp 
R3(config-cmap)# match protocol icmp 
b. Similarmente, crie um mapa de classe para combinar o tráfego a ser permitido da zona CONFROOMà 
zona INTERNET. Como não confiamos totalmente na zona CONFROOM, devemos limitar o que o 
servidor pode enviar para a Internet: 
R3(config)# class-map type inspect match-any CONFROOM_PROTOCOLS 
R3(config-cmap)# match protocol http 
R3(config-cmap)# match protocol https 
R3(config-cmap)# match protocol dns 
c. Agora que os mapas de classe são criados, você pode criar os mapas de política. 
Nos comandos abaixo, a primeira linha cria um mapa de política de inspeção chamado 
INSIDE_TO_INTERNET. A segunda linha liga o mapa de classe INSIDE_PROTOCOLS criado 
anteriormente ao mapa de políticas. Todos os pacotes combinados pelo mapa de classe 
INSIDE_PROTOCOLS serão submetidos à ação tomada pelo mapa de políticas 
INSIDE_TO_INTERNET. Finalmente, a terceira linha define a ação real que este mapa de política 
aplicará aos pacotes combinados. Neste caso, os pacotes combinados serão inspecionados. 
As três linhas seguintes criam um mapa de política semelhante chamado CONFROOM_TO_INTERNET 
e anexa o mapa de classe CONFROOM_PROTOCOLS. 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 8 de 13 www.netacad.com 
Os comandos são os seguintes: 
R3(config)# policy-map type inspect INSIDE_TO_INTERNET 
R3(config-pmap)# class type inspect INSIDE_PROTOCOLS 
R3(config-pmap-c)# inspect 
R3(config)# policy-map type inspect CONFROOM_TO_INTERNET 
R3(config)# policy-map type inspect CONFROOM_TO_INTERNET 
R3(config-pmap-c)# inspect 
Etapa 5: Criar os pares de zonas 
Um par de zonas permite especificar uma política de firewall unidirecional entre duas zonas de segurança. 
Por exemplo, uma política de segurança comumente usada determina que a rede interna pode iniciar 
qualquer tráfego para a Internet, mas nenhum tráfego proveniente da Internet deve ser permitido alcançar a 
rede interna. 
Esta política de tráfego requer apenas um par de zonas, INTERNO para INTERNET. Como os pares de zona 
definem o fluxo de tráfego unidirecional, um outro zona-par deve ser criado se o tráfego iniciado pela Internet 
deve fluir na DIREÇÃO INTERNET para INTERNA. 
Observe que Cisco ZPF pode ser configurado para inspecionar o tráfego que se move no sentido definido 
pelos pares de zonas. Nessa situação, o firewall observa o tráfego e cria dinamicamente regras que 
permitem que o retorno ou o tráfego relacionado fluam de volta através do roteador. 
Para definir um par de zonas, use o comando de segurança zone-pair . A direção do tráfego é especificada 
pelas zonas de origem e destino. 
Para este laboratório, você criará dois pares de zona-pares: 
INSIDE_TO_INTERNET: Permite que o tráfego saia da rede interna para a Internet. 
CONFROOM_TO_INTERNET: Permite acesso à Internet a partir da rede ConfRoom. 
a. Criando os pares de zona: 
R3(config)# zone-pair security INSIDE_TO_INTERNET source INSIDE destination 
INTERNET 
R3(config)# zone-pair security CONFROOM_TO_INTERNET source CONFROOM 
destination INTERNET 
b. Verifique se os zona-pares foram criados corretamente emitindo o comando show zone-pair security. 
Observe que nenhuma política está associada aos pares de zona ainda. As políticas de segurança serão 
aplicadas a pares de zona na próxima etapa. 
R3# show zone-pair security 
Zone-pair name INSIDE_TO_INTERNET 
 Source-Zone INSIDE Destination-Zone INTERNET 
 service-policy not configured 
Zone-pair name CONFROOM_TO_INTERNET 
 Source-Zone CONFROOM Destination-Zone INTERNET 
 service-policy not configured 
Etapa 6: Applying Security Policies 
a. Como a última etapa de configuração, aplique os mapas de política aos zona-pares: 
R3(config)# zone-pair security INSIDE_TO_INTERNET 
R3(config-sec-zone-pair)# service-policy type inspect INSIDE_TO_INTERNET 
R3(config)# zone-pair security CONFROOM_TO_INTERNET 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 9 de 13 www.netacad.com 
R3(config-sec-zone-pair)# service-policy type inspect CONFROOM_TO_INTERNET 
b. Emita o comando show zone-pair security mais uma vez verificar a configuração de zona-par. Observe 
que as políticas de serviço agora são exibidas: 
R3# show zone-pair security 
Zone-pair name INSIDE_TO_INTERNET 
 Source-Zone INSIDE Destination-Zone INTERNET 
 service-policy INSIDE_TO_INTERNET 
Zone-pair name CONFROOM_TO_INTERNET 
 Source-Zone CONFROOM Destination-Zone INTERNET 
 service-policy CONFROOM_TO_INTERNET 
c. Para obter mais informações sobre os pares de zonas, seus mapas de política, os mapas de classe e 
contadores de correspondência, use o comando show policy-map type inspect zone-pair: 
O tipo do mapa de política da mostra R3# inspeciona o zona-par 
Zone-pair: CONFROOM_TO_INTERNET 
 Service-policy inspect : CONFROOM_TO_INTERNET 
 
 Class-map: CONFROOM_PROTOCOLS (match-any) 
 Match: protocol http 
 Match: protocol https 
 Match: protocol dns 
 Inspect 
 Session creations since subsystem startup or last reset 0 
 Current session counts (estab/half-open/terminating) [0:0:0] 
 Maxever session counts (estab/half-open/terminating) [0:0:0] 
 Last session created never 
 Last statistic reset never 
 Last session creation rate 0 
 Last half-open session total 0 
 
 Class-map: class-default (match-any) 
 Match: any 
 Drop (default action) 
 0 packets, 0 bytes 
 Zone-pair: INSIDE_TO_INTERNET 
 Service-policy inspect : INSIDE_TO_INTERNET 
 
 Class-map: INSIDE_PROTOCOLS (match-any) 
 Match: protocol tcp 
 Match: protocol udp 
 Match: protocol icmp 
 Inspect 
 Session creations since subsystem startup or last reset 0 
 Current session counts (estab/half-open/terminating) [0:0:0] 
 Maxever session counts (estab/half-open/terminating) [0:0:0] 
 Last session created never 
 Last statistic reset never 
 Last session creation rate 0 
 Last half-open session total 0 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 10 de 13 www.netacad.com 
 
 Class-map: class-default (match-any) 
 Match: any 
 Drop (default action) 
 0 packets, 0 bytes <output omitted> 
Etapa 7: Assign Interfaces to the Proper Security Zones 
As interfaces(físicas e lógicas) são atribuídas às zonas de segurança com o comando zone-member 
security interface. 
a. Atribua o G0/0 do R3 à zona de segurança CONFROOM : 
R3(config)# interface g0/0/1.33 
R3(config-if)# zone-member security CONFROOM 
b. Atribua o G0/1 do R3 à zona de segurança INSIDE: 
R3(config)# interface g0/0/1.3 
R3(config-if)# zone-member security INSIDE 
c. Atribua o S0/0/1 do R3 à zona de segurança da INTERNET : 
R3(config)# interface g0/0/0 
R3(config-if)# zone-member security INTERNET 
Etapa 8: Verificar a atribuição de zona 
a. Emita o comando show zone security assegurar-se de que as zonas estivessem criadas corretamente, e 
as relações foram atribuídas corretamente: 
R3# show zone security 
zone self 
 Description: System defined zone 
 
zone service 
 Description: System defined zone 
 
zone INSIDE 
 Member Interfaces: 
 Gigabitethernet0/0/1.3 
 
zone CONFROOM 
 Member Interfaces: 
 Gigabitethernet0/0/1.33 
 
zone INTERNET 
 Member Interfaces: 
 GigabitetherNet0/0 
b. Mesmo que nenhum comando tenha sido emitido para criar uma zona “auto”, a saída acima ainda a 
exibe. 
Pergunta: 
Por que o R3 está exibindo uma zona chamada “auto”? Qual é o significado desta zona? 
Digite suas respostas aqui. 
 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 11 de 13 www.netacad.com 
Fechar janela de configuração 
Parte 3: Verificar a funcionalidade do ZPF Firewall 
Etapa 1: Tráfego originado na Internet 
a. Para testar a eficácia do firewall, sibile PC-B do PC-A. No PC-A, abra um prompt de comando e emita 
um ping para 192.168.3.3. 
PC-A:\ > ping 192.168.3.3 
Pergunta: 
O ping obteve sucesso? Explique. 
Digite suas respostas aqui. 
 
b. Ping PC-C de PC-A. No PC-A, abra uma janela de comando e ping 192.168.33.3. 
PC-A:\ ping 192.168.33.3 
Pergunta: 
O ping obteve sucesso? Explique. 
Digite suas respostas aqui. 
 
c. Ping PC-A de PC-B. No PC-B, abra uma janela de comando e emita um ping a 192.168.1.3. 
PC-B:\> ping 192.168.1.3 
Pergunta: 
O ping obteve sucesso? Explique. 
Digite suas respostas aqui. 
 
d. Ping PC-A de PC-C. No PC-C, abra uma janela de comando e ping 192.168.1.3 
PC-C:\> ping 192.168.1.3 
Pergunta: 
O ping obteve sucesso? Explique. 
Digite suas respostas aqui. 
 
Etapa 2: A verificação da zona self 
a. Da interface G0/0/1.3 do ping PC-A R3: 
PC-A:\ > ping 192.168.3.1 
Pergunta: 
O ping obteve sucesso? Este é o comportamento correto? Explique. 
Digite suas respostas aqui. 
 
b. Da interface G0/0/1.3 do ping PC-C R3: 
PC-C:\ > ping 192.168.3.1 
Pergunta: 
O ping obteve sucesso? Este é o comportamento correto? Explique. 
Digite suas respostas aqui. 
 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 12 de 13 www.netacad.com 
Challenge (optional) 
Crie os zona-pares apropriados, os mapas de classe, e os mapas de política e configure o R3 para impedir 
que o tráfego de origem do Internet alcance a zona do auto. 
 
Apêndice — Interfaces múltiplas sob a mesma zona (opcional) 
Um dos benefícios dos firewalls ZPF é que eles escalam bem em comparação com o firewall clássico. Se 
uma nova interface com os mesmos requisitos de segurança for adicionada ao firewall, o administrador 
poderá simplesmente adicionar a nova interface como membro de uma zona de segurança existente. 
Contudo, algumas versões do IOS não permitirão que os dispositivos conectados às relações diferentes da 
mesma zona se comuniquem à revelia. Nesses casos, um par de zonas deve ser criado usando a mesma 
zona que origem e destino. 
O tráfego entre interfaces semelhantemente zoneadas sempre será bidirecional devido ao fato de que as 
zonas de origem e destino do par de zonas são as mesmas. Devido a isso, não há necessidade de 
inspecionar o tráfego para permitir a manipulação automática do tráfego de retorno; o tráfego de retorno 
sempre será permitido porque sempre se conformará com a definição de zona-par. Neste caso, o mapa de 
política deve ter uma ação de aprovação em vez de inspecionar. Devido à ação de passagem , o roteador 
não inspecionará pacotes combinados pelo mapa de política, ele simplesmente o encaminhará ao seu 
destino. 
No contexto deste laboratório, se o R3 tinha uma relação G0/0/1.2 igualmente atribuída à zona INTERNA, e 
a versão do IOS do roteador não apoiou permitir o tráfego entre as relações configuradas à mesma zona, a 
configuração extra olharia como esta: 
Novo zona-par: Dentro para dentro; permite o roteamento do tráfego entre as interfaces confiáveis internas. 
Criando o mapa de políticas (observe que nenhum mapa de classe explícito é necessário porque usamos a 
classe padrão “catch-all”): 
R3(config)# policy-map type inspect inside 
R3(config-pmap)# class class-default 
R3(config-pmap-c)# pass 
Criando o zona-par e atribuindo o novo mapa de políticas a ele. Observe que a zona INTERNA é a origem e 
o destino do zona-par: 
R3(config)# zone-pair security INSIDE source INSIDE destination INSIDE 
R3(config-sec-zone-pair)# service-policy type inspect inside 
Para verificar a existência do novo par, use a show zone-pair security: 
R3# show zone-pair security 
Zone-pair name INSIDE_TO_INTERNET 
 Source-Zone INSIDE Destination-Zone INTERNET 
 service-policy INSIDE_TO_INTERNET 
Zone-pair name CONFROOM_TO_INTERNET 
 Source-Zone CONFROOM Destination-Zone INTERNET 
 service-policy CONFROOM_TO_INTERNET 
Zone-pair name INSIDE 
 Source-Zone INSIDE Destination-Zone INSIDE 
 service-policy inside 
Laboratório - Configure o ZPFS 
© 2015 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 13 de 13 www.netacad.com 
Tabela de resumo das interfaces dos roteadores 
Modelo do 
roteador Interface Ethernet 1 Interface Ethernet 2 Interface serial 1 Interface serial 2 
1900 
Gigabit Ethernet 0/0 
(G0/0) 
Gigabit Ethernet 0/1 
(G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 
2900 
Gigabit Ethernet 0/0 
(G0/0) 
Gigabit Ethernet 0/1 
(G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 
4221 
Gigabit Ethernet 0/0/0 
(G0/0/0) 
Gigabit Ethernet 0/0/1 
(G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) 
4300 
Gigabit Ethernet 0/0/0 
(G0/0/0) 
Gigabit Ethernet 0/0/1 
(G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) 
Linha em branco, sem informações adicionais 
Nota: Para descobrir como o roteador está configurado, consulte as interfaces para identificar o tipo de roteador 
e quantas interfaces o roteador possui. Não há como listar efetivamente todas as combinações de configurações 
para cada classe de roteador. Esta tabela inclui identificadores para as combinações possíveis de Ethernet e 
Interfaces seriais no dispositivo. Esse tabela não inclui nenhum outro tipo de interface, embora um roteador 
específico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. O string entre parênteses 
é a abreviatura legal que pode ser usada em comandos do Cisco IOS para representar a interface.