Configuracion DMZ
Páginas: 7 (1671 palabras)
Publicado: 21 de septiembre de 2014
Índice
Descripción
Se desea obtener la configuración a utilizar en un escenario de redes en donde se trabajara en 3 áreas las cuales tendrán conectividad en todo momento y sobre el cual tendrán seguridad atreves de un equipo PIX el cual será el punto de interconexión.
Las zonas son:
Inside
DMZ
Outside
Estas se vinculan por medio de un dispositivo de seguridad sobre elcual se configuraran reglas de acceso entre los diferentes equipos de conectividad. Anexado a esto sobre la zona de Inside se tendrá que realizar configuraciones buscando una simulación de una nube de Frame Relay que se realizaría a través de un 3er router que estaría haciendo las funciones de un switch de Frame Relay.
Por lo tanto el escenario para este punto quedaría de la siguiente manera:Cada DTE (Router 1 y 2) estaría configurado con una interface Serial y una sub-interface para la asociación del DLCI a la sub-interface, por ejemplo:
interface serial 0/0/1
encapsulation frame-relay
no ip address
interface serial 0/0/1.101
ip address X.X.X.X Y.Y.Y.Y
Y el Router 3 se deberá configurar como switch de Frame Relay para simular la conectividad entre las 2 interfaces queconectan a los Routers 1 y 2 y permite el forwarding de la interface 1 a la interface 2.
Se anexan las restricciones que se desean configurar en el equipo de conectividad para las relaciones de las zonas:
Origen
Destino
Politica
Inside
Outside
Todo permitido
DMZ
Outside
Todo permitido
Outside
Inside
Todo permitido
DMZ
Inside
Todo permitido
Outside
DMZ
Solo se permitePing,Telnet,FTP
Inside
DMZ
Solo se permite Ping,Telnet,FTP
Diagrama
Configuración zona Inside
Router 1
Comenzado con las configuraciones de los equipos Inside utilizaremos un direccionamiento que es el 172.16.2.0 /24 para una de las conexiones del router y para el complemento de este se utilizara un segmento 172.16.100.0/30 y se utilizara las sub-interfaces de losequipos 1 y 2 en el serial 0/0 también hay que tener en cuenta el manejo de los siguientes conceptos en su configuración:
Bandwidth 64
Snmp trap link status
#interface serial 0/0.101 point to point
#encapsulation frame-relay
#frame-relay map ip 172.16.100.1 101 broadcast
#no shutdown
Router 2
#interface serial 0/0.202 point to point
#encapsulation frame-relay
#frame-relay map ip172.16.100.2 202 broadcast
#no shutdown
El comando frame-relay map asigna estáticamente una dirección IP a un DLCI. Además de
asignar IP a un DLCI, el software IOS de Cisco permite asignar diversas direcciones del
protocolo de capa 3. La palabra clave broadcast en el siguiente comando envía todo el tráfico multicast o broadcast destinado para este link a través del DLCI. La mayoría de losprotocolos de enrutamiento requieren la palabra clave broadcast para funcionar correctamente sobre Frame Relay. También se puede utilizar la palabra clave broadcast en varios DLCI de la misma interfaz.
Configuración de Router 3 en switch de Frame Relay
Se iniciara tomando como punto de partida el direccionamiento que se comenzo a utilizar con anterioridad en los otros equipos que es el 172.16.100.0/30. Ademas se utiliza el siguiente comando que activa la conmutación Frame Relay en forma global en el router, lo que permite enviar tramas sobre según el DLCI entrante en lugar de la dirección IP:
#frame-relay switching
Cambie el tipo de encapsulación de la interfaz a Frame Relay. Al igual que HDLC o PPP, Frame Relay es un protocolo de capa de enlace de datos que especifica el entramado deltráfico de la capa 2.
#interface serial 0/0/0
#clock rate 64000
#encapsulation frame-relay
El cambio del tipo de interfaz a DCE le indica al router que envíe mensajes de actividad LMI y permite que se apliquen sentencias de ruta Frame Relay. No se pueden configurar los PVC mediante el comando frame-relay route entre dos interfaces DTE Frame Relay.
#frame-relay intf-type dce
Nota:...
Índice
Descripción
Se desea obtener la configuración a utilizar en un escenario de redes en donde se trabajara en 3 áreas las cuales tendrán conectividad en todo momento y sobre el cual tendrán seguridad atreves de un equipo PIX el cual será el punto de interconexión.
Las zonas son:
Inside
DMZ
Outside
Estas se vinculan por medio de un dispositivo de seguridad sobre elcual se configuraran reglas de acceso entre los diferentes equipos de conectividad. Anexado a esto sobre la zona de Inside se tendrá que realizar configuraciones buscando una simulación de una nube de Frame Relay que se realizaría a través de un 3er router que estaría haciendo las funciones de un switch de Frame Relay.
Por lo tanto el escenario para este punto quedaría de la siguiente manera:Cada DTE (Router 1 y 2) estaría configurado con una interface Serial y una sub-interface para la asociación del DLCI a la sub-interface, por ejemplo:
interface serial 0/0/1
encapsulation frame-relay
no ip address
interface serial 0/0/1.101
ip address X.X.X.X Y.Y.Y.Y
Y el Router 3 se deberá configurar como switch de Frame Relay para simular la conectividad entre las 2 interfaces queconectan a los Routers 1 y 2 y permite el forwarding de la interface 1 a la interface 2.
Se anexan las restricciones que se desean configurar en el equipo de conectividad para las relaciones de las zonas:
Origen
Destino
Politica
Inside
Outside
Todo permitido
DMZ
Outside
Todo permitido
Outside
Inside
Todo permitido
DMZ
Inside
Todo permitido
Outside
DMZ
Solo se permitePing,Telnet,FTP
Inside
DMZ
Solo se permite Ping,Telnet,FTP
Diagrama
Configuración zona Inside
Router 1
Comenzado con las configuraciones de los equipos Inside utilizaremos un direccionamiento que es el 172.16.2.0 /24 para una de las conexiones del router y para el complemento de este se utilizara un segmento 172.16.100.0/30 y se utilizara las sub-interfaces de losequipos 1 y 2 en el serial 0/0 también hay que tener en cuenta el manejo de los siguientes conceptos en su configuración:
Bandwidth 64
Snmp trap link status
#interface serial 0/0.101 point to point
#encapsulation frame-relay
#frame-relay map ip 172.16.100.1 101 broadcast
#no shutdown
Router 2
#interface serial 0/0.202 point to point
#encapsulation frame-relay
#frame-relay map ip172.16.100.2 202 broadcast
#no shutdown
El comando frame-relay map asigna estáticamente una dirección IP a un DLCI. Además de
asignar IP a un DLCI, el software IOS de Cisco permite asignar diversas direcciones del
protocolo de capa 3. La palabra clave broadcast en el siguiente comando envía todo el tráfico multicast o broadcast destinado para este link a través del DLCI. La mayoría de losprotocolos de enrutamiento requieren la palabra clave broadcast para funcionar correctamente sobre Frame Relay. También se puede utilizar la palabra clave broadcast en varios DLCI de la misma interfaz.
Configuración de Router 3 en switch de Frame Relay
Se iniciara tomando como punto de partida el direccionamiento que se comenzo a utilizar con anterioridad en los otros equipos que es el 172.16.100.0/30. Ademas se utiliza el siguiente comando que activa la conmutación Frame Relay en forma global en el router, lo que permite enviar tramas sobre según el DLCI entrante en lugar de la dirección IP:
#frame-relay switching
Cambie el tipo de encapsulación de la interfaz a Frame Relay. Al igual que HDLC o PPP, Frame Relay es un protocolo de capa de enlace de datos que especifica el entramado deltráfico de la capa 2.
#interface serial 0/0/0
#clock rate 64000
#encapsulation frame-relay
El cambio del tipo de interfaz a DCE le indica al router que envíe mensajes de actividad LMI y permite que se apliquen sentencias de ruta Frame Relay. No se pueden configurar los PVC mediante el comando frame-relay route entre dos interfaces DTE Frame Relay.
#frame-relay intf-type dce
Nota:...
Leer documento completo
Regístrate para leer el documento completo.