21 7 5-packet-tracer---configure-asa-basic-settings-and-firewall-using-the-cli_pt-BR

Prévia do material em texto

© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 1 de 6 www.netacad.com 
Packet Tracer - Configurar ajustes básicos ASA e o Firewall 
usando o CLI 
Tabela de Endereçamento 
Dispositivo Interface Endereço IP Máscara de Sub-Rede Gateway padrão 
R1 G0/0 209.165.200.225 255.255.255.248 N/D 
R1 
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 
N/D 
R2 S0/0/0 10.1.1.2 255.255.255.252 N/D 
R2 
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 
N/D 
R3 G0/1 172.16.3.1 255.255.255.0 N/D 
R3 
S0/0/1 10.2.2.1 255.255.255.252 
N/D 
ASA G1/1 209.165.200.226 255.255.255.248 NA 
ASA 
G1/2 192.168.1.1 255.255.255.0 
NA 
ASA 
G1/3 192.168.2.1 255.255.255.0 
NA 
Servidor 
DMZ Placa de rede 192.168.2.3 255.255.255.0 192.168.2.1 
PC-B NIC 192.168.1.3 255.255.255.0 192.168.1.1 
PC-C Placa de rede 172.16.3.3 255.255.255.0 172.16.3.1 
Linha em branco, sem informações adicionais 
Objetivos 
 Verifique a conectividade e explore o ASA 
 Configurar ajustes ASA básicos e níveis de segurança da relação usando o CLI 
 Configurar o roteamento, a conversão de endereço, e a política de inspeção usando o CLI 
 Configure DHCP, AAA, and SSH 
 Configurar um DMZ, um NAT estático, e ACLs 
Cenário 
Sua empresa tem um local conectado a um ISP. O R1 representa um dispositivo CPE controlado pelo ISP. 
R2 representa um roteador de Internet intermediário. O R3 representa um ISP que conecta um administrador 
de uma empresa de gerenciamento de rede, que foi contratada para gerenciar remotamente sua rede. O 
ASA é um dispositivo de segurança CPE da borda que conecte a rede corporativa interna e o DMZ ao ISP ao 
fornecer serviços NAT e DHCP aos anfitriões internos. O ASA será configurado para o gerenciamento por 
um administrador na rede interna e pelo administrador remoto. O ISP atribuiu o espaço de endereço IP 
público de 209.165.200.224/29, que será usado para a tradução de endereço no ASA. 
Todos os roteadores e dispositivos de switch foram pré-configurados com o seguinte: 
o Senha do enable: ciscoenpa55 
o Senha do console: ciscoconpa55 
Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 2 de 6 www.netacad.com 
o Nome de usuário e senha do administrador: admin/adminpa55 
Nota: Esta atividade do Packet Tracer não é um substituto para os laboratórios ASA. Esta atividade fornece 
a prática adicional e simula a maioria das configurações ASA 5506-X. Quando comparado a um ASA 5506-X 
físico, pode haver pequenas diferenças na saída do comando ou nos comandos que ainda não são apoiados 
no rastreador de pacotes. 
Instruções 
Parte 1: Verifique a conectividade e explore o ASA 
Etapa 1: Verifique a conectividade. 
O ASA não é configurado atualmente. No entanto, todos os roteadores, PCs e o servidor DMZ são 
configurados. Verifique se o PC-C pode executar ping em qualquer interface de roteador. O PC-C é incapaz 
de executar o ping para o ASA, PC-B, ou o servidor DMZ. 
Etapa 2: Determine a versão, interfaces e licença ASA. 
Use o comando show version para determinar vários aspectos deste dispositivo ASA. 
Etapa 3: Determine o sistema de arquivos e conteúdos da memória flash. 
a. Entre no modo EXEC privilegiado. Uma senha não foi definida. Pressione Enter quando solicitado uma 
senha. 
b. Use o comando show file system para exibir o sistema de arquivos ASA e determinar quais prefixos são 
apoiados. 
c. Use o comando show flash: ou show disk0: para exibir o conteúdo da memória flash. 
Parte 2: Configurar ajustes ASA e a segurança da relação usando o CLI 
Dica: Muitos comandos ASA CLI são semelhantes, senão iguais, aos usados com o Cisco IOS CLI. Além 
disso, o processo de movimentação entre modos de configuração e submodos é essencialmente o mesmo. 
Etapa 1: Configure o nome do host e o nome do domínio. 
a. Configure o nome de host ASA como NETSEC-ASA. 
b. Configure o nome de domínio como netsec.com. 
Etapa 2: Configure a senha do modo de enable. 
Use o comando enable password para mudar a senha privilegiada do modo EXEC para ciscoenpa55. 
Etapa 3: Configure data e hora. 
Use o comando clock set definir para manualmente a data e a hora (esta etapa não é avaliada). 
Etapa 4: Configure as interfaces internas e externas. 
Você só irá configurar as interfaces G1/1 (FORA) e G1/2 (DENTRO) neste momento. A interface G1/3 (DMZ) 
será configurada na parte 5 da atividade. 
a. Crie a interface G1/1 para a rede externa (209.165.200.224/29), defina o nível de segurança para a 
configuração mais baixa de 0 e habilite a interface. 
NETSEC-ASA(config-if)# interface g1/1 
NETSEC-ASA(config-if)# nameif OUTSIDE 
Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 3 de 6 www.netacad.com 
NETSEC-ASA(config-if)# ip address 209.165.200.226 255.255.255.248 
NETSEC-ASA(config-if)# security-level 0 
NETSEC-ASA(config-if)# no shutdown 
b. Configure a interface G1/2 para a rede interna (192.168.1.0/24) e defina o nível de segurança para a 
configuração mais alta de 100 e habilite a interface. 
NETSEC-ASA(config)# interface g1/2 
NETSEC-ASA(config-if)# nameif INSIDE 
NETSEC-ASA(config-if)# ip address 192.168.1.1 255.255.255.0 
NETSEC-ASA(config-if)# security-level 100 
NETSEC-ASA(config-if)# no shutdown 
c. Use os seguintes comandos de verificação para verificar suas configurações: 
1) Use o comando show interface ip brief para exibir o status de todas as interfaces ASA. 
Nota: Este comando é diferente do resumo da interface IP da mostra do comando IOS . Se alguma 
das interfaces físicas ou lógicas configuradas anteriormente não estiver funcionando, solucione o 
problema conforme necessário antes de continuar. 
Dica: A maioria de comandos da mostra ASA , incluindo o ping, o copy, e outro, podem ser emitidos 
de dentro de qualquer modo de configuração sem o comando do. 
2) Use o comando show ip address exibir as informações da interface. 
Etapa 5: Teste a conectividade com o ASA. 
a. Você deve poder executar o comando ping do PC-B ao endereço de interface interna ASA (192.168.1.1). 
Se os pings falharem, solucione defeitos a configuração conforme necessário. 
b. Do PC-B, execute o comando ping da interface G1/1 (EXTERNA) no endereço IP 209.165.200.226. Você 
não deve ser capaz de executar o comando ping deste endereço. 
Parte 3: Configurar o roteamento, a tradução de endereço, e a política da inspeção 
usando o CLI 
Etapa 1: Configure uma rota padrão estática para o ASA. 
Configurar uma rota estática padrão na interface EXTERNA ASA para permitir o ASA de alcançar redes 
externas. 
a. Crie uma rota padrão do “quad zero” usando o comando route, associe-o com a interface EXTERNA 
ASA, e aponte ao endereço IP de Um ou Mais Servidores Cisco ICM NT R1 G0/0 (209.165.200.225) 
como o gateway do último recurso. 
NETSEC-ASA(config)# route OUTSIDE 0.0.0.0 0.0.0.0 209.165.200.225 
b. Execute o comando show route para verificar se a rota padrão estática está na tabela de roteamento 
ASA. 
c. Verifique que o ASA pode executar o comando ping para o endereço IP 10.1.1.1 R1 S0/0/0. Se o ping é 
mal sucedido, pesquise defeitos conforme necessário. 
Etapa 2: Configure a tradução de endereços usando PAT e objetos de rede. 
a. Crie o objeto de rede INSIDE-NET e atribua atributos a ele usando os comandos de sub-rede e nat. 
NETSEC-ASA(config)# object network INSIDE-NET 
NETSEC-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 
NETSEC-ASA(config-network-object)# nat (INSIDE,OUTSIDE) dynamic interface 
Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 4 de 6 www.netacad.com 
NETSEC-ASA(config-network-object)# exit 
b. O ASA divide a configuração na parte do objeto que define a rede a ser traduzida e os parâmetrosreais 
do comando nat. Eles aparecem em dois lugares diferentes na configuração de execução. Exiba a 
configuração do objeto NAT usando o comando show run . 
c. Da tentativa PC-B de sibilar a relação R1 G0/0 no endereço IP de um ou mais Servidores Cisco ICM NT 
209.165.200.225. Os pings devem falhar. 
d. Emita o comando show nat no ASA para ver as batidas traduzidas e não traduzidas. Observe que, dos 
pings do PC-B, quatro foram traduzidos e quatro não foram. Os pings de saída (ecos) foram traduzidos 
e enviados para o destino. As respostas de ping de retorno foram bloqueadas pela política de firewall. 
Parte 4: Configure DHCP, AAA, e SSH 
Etapa 1: Configure o ASA como um servidor DHCP. 
a. Configure um pool de endereços DHCP e habilite-o na interface ASA INSIDE. 
NETSEC-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 INSIDE 
b. (Opcional) Especifique o endereço IP do servidor DNS a ser fornecido aos clientes. 
NETSEC-ASA(config)# dhcpd dns 209.165.201.2 interface INSIDE 
c. Habilite o daemon DHCP dentro do ASA para escutar as solicitações do cliente DHCP na interface 
habilitada (DENTRO). 
NETSEC-ASA(config)# dhcpd enable INSIDE 
d. Mude PC-B de um endereço IP estático para um cliente DHCP e verifique se recebe informações de 
endereçamento IP. Solucione problemas, conforme necessário para resolver todos os problemas. 
Etapa 2: Configure o AAA para usar o banco de dados local para autenticação. 
a. Defina um usuário local chamado admin, digitando o comando username. Especifique uma senha de 
adminpa55. 
NETSEC-ASA(config)# username admin password adminpa55 
b. Configure AAA para usar o banco de dados ASA local para autenticação de usuário SSH. 
NETSEC-ASA(config)# aaa authentication ssh console LOCAL 
Etapa 3: Configure o acesso remoto ao ASA. 
O ASA pode ser configurado para aceitar conexões de um único host ou de uma escala dos hosts na rede 
INTERNA ou EXTERNA. Nesta etapa, os hosts da rede EXTERIOR podem somente usar o SSH para 
comunicar-se com o ASA. As sessões SSH podem ser usadas para alcançar o ASA da rede interna. 
a. Gere um par de chaves RSA, que é necessário para oferecer suporte a conexões SSH. Como o 
dispositivo ASA já tem chaves RSA instaladas, digite no quando solicitado para substituí-las. 
NETSEC-ASA(config)# crypto key generate rsa modulus 1024 
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>. 
 
Do you really want to replace them? [yes/no]: no 
ERROR: Failed to create new RSA keys named <Default-RSA-Key> 
b. Configurar o ASA para permitir conexões SSH de todo o host na rede INTERNA (192.168.1.0/24) e do 
host de gerenciamento remoto na filial (172.16.3.3) na rede EXTERNA. Defina o tempo limite de SSH 
para 10 minutos (o padrão é 5 minutos). 
NETSEC-ASA(config)# ssh 192.168.1.0 255.255.255.0 INSIDE 
Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 5 de 6 www.netacad.com 
NETSEC-ASA(config)# ssh 172.16.3.3 255.255.255.255 OUTSIDE 
NETSEC-ASA(config)# ssh timeout 10 
c. Estabeleça uma sessão SSH do PC-C ao ASA (209.165.200.226). Solucione o problema se não for 
bem-sucedido. 
C:\> ssh -l admin 209.165.200.226 
d. Estabeleça uma sessão SSH do PC-B ao ASA (192.168.1.1). Solucione o problema se não for bem-
sucedido. 
C:\> ssh -l admin 192.168.1.1 
Parte 5: Configurar um DMZ, um NAT estático, e ACLs 
R1 G0/0 e a interface EXTERNA ASA já usam 209.165.200.225 e .226, respectivamente. Você usará o 
endereço público 209.165.200.227 e o NAT estático para fornecer acesso de tradução de endereço ao 
servidor. 
Etapa 1: Configurar a interface DMZ VLAN 3 no ASA. 
a. Configurar DMZ VLAN 3, que é onde o servidor de Web de acesso público residirá. Atribua-lhe o 
endereço IP 192.168.2.1/24, nomeie-o DMZ, e atribua-lhe um nível de segurança de 70. Porque o 
servidor não precisa de iniciar uma comunicação com os usuários internos, desabilite o encaminhamento 
para interface VLAN 1. 
NETSEC-ASA(config)# interface g1/3 
NETSEC-ASA(config-if)# ip address 192.168.2.1 255.255.255.0 
NETSEC-ASA(config-if)# nameif DMZ 
INFO: Security level for "DMZ" set to 0 by default. 
NETSEC-ASA(config-if)# security-level 70 
NETSEC-ASA(config-if)# no shutdown 
b. Use os seguintes comandos de verificação para verificar suas configurações: 
Use o comando show interface ip brief para exibir o status para as interfaces ASA. 
Use o comando show ip address indicar a informação para as relações ASA. 
Etapa 2: Configure o NAT estático para o servidor DMZ usando um objeto de rede. 
Configure um objeto de rede denominado DMZ-SERVER e atribua a ele o endereço IP estático do servidor 
DMZ (192.168.2.3). Enquanto estiver no modo de definição de objeto, use o comando nat especificar que 
este objeto é usado para traduzir um endereço DMZ para um endereço EXTERNO usando NAT estático e 
especifique um endereço traduzido público de 209.165.200.227. 
NETSEC-ASA(config)# object network DMZ-SERVER 
NETSEC-ASA(config-network-object)# host 192.168.2.3 
NETSEC-ASA(config-network-object)# nat (DMZ,OUTSIDE) static 209.165.200.227 
NETSEC-ASA(config-network-object)# exit 
Etapa 3: Configure uma ACL para permitir o acesso ao servidor DMZ da Internet. 
Configurar uma lista de acesso nomeada OUTSIDE-DMZ que permita o protocolo TCP na porta 80 de todo o 
host externo ao endereço IP interno do servidor DMZ. Aplique a lista de acessos à interface EXTERNA ASA 
no sentido “IN”. 
NETSEC-ASA(config)# access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3 
NETSEC-ASA(config)# access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 
eq 80 
Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 6 de 6 www.netacad.com 
NETSEC-ASA(config)# access-group OUTSIDE-DMZ in interface OUTSIDE 
Nota: Ao contrário de IOS ACLs, a declaração de permissão ASA ACL deve permitir o acesso ao endereço 
DMZ privado interno. Os hosts externos acessam o servidor usando seu endereço NAT estático público, o 
ASA o traduz para o endereço IP do host interno e, a seguir, aplica o ACL. 
Etapa 4: Teste o acesso ao servidor DMZ. 
De um navegador da Web no PC-C, navegue ao servidor DMZ (209.165.200.227). Solucione o problema se 
não for bem-sucedido.