UNIVERSIDAD TECNOLGICA PRIVADA DE SANTA CRUZ

UTEPSA

PROYECTO FINAL
ELECTIVA III

DOCENTE : Ing. Elmer Espinoza

ESTUDIANTES : ngela Rub Garca Torrez

MODULO : 5

4 DE JULIO DEL 2017 SANTA CRUZ - BOLIVIA

Contenido
Introduccin.....................................................................................................................................3
Objetivos del Proyecto.....................................................................................................................4
Objetivos Generales.....................................................................................................................4
Objetivos Especficos....................................................................................................................4
Marco terico....................................................................................................................................5
Vtp.................................................................................................................................................5
Servidor.....................................................................................................................................5
Cliente.......................................................................................................................................5
Transparente.............................................................................................................................5
Stp..................................................................................................................................................5
Vpn Ipsec......................................................................................................................................6
Ssh.................................................................................................................................................6
Switch Capa 3...............................................................................................................................6
Switch Capa 2...............................................................................................................................7
Asa.................................................................................................................................................7
Enrutamiento Inter-Vlan.............................................................................................................7
Eterchannel...................................................................................................................................8
Vlan...............................................................................................................................................8
Seguridad De Puertos...................................................................................................................8
Amenazas De Seguridad Internas...............................................................................................9
Amenazas De Seguridad Externa................................................................................................9
Dtp.................................................................................................................................................9
VLSM..........................................................................................................................................10
Diagrama fisico de la red...............................................................................................................12
Documentacin de configuracin..................................................................................................13
Investigacion Anexada...................................................................................................................33
Introduccin.

Las redes convergentes existen servicios en los que se integran estas capacidades. Atreves

de esta se menciona que una compaa puede reinventar sus redes de comunicacin as

tambin como toda su organizacin.

Este tipo de redes apoya las aplicaciones que son vitales para la estructura del negocio

Telefona IP, videoconferencias en colaboracin y administracin de relaciones con el

cliente (CRM) para que la empresa sea ms eficiente, efectiva y gil con sus clientes.

Este tipo de redes se ofrecen en forma separada sobre redes especializadas, por ejemplo en

la red de voz est basada en uno a varios, la red de datos se basa en conmutadores y

enrutadores IP interconectados en redes LAN y de esta forma se permite el acceso a

internet.

Este tipo de redes ayuda a que se apliquen en una sola red como la voz los datos y el video,

y de esta forma tambin se reducen costos de administracin, mantenimiento y el manejo

de la infraestructura. Tambin aumenta la productividad.

Objetivos del Proyecto
Objetivos Generales

Permitir una convergencia de servicios de voz, datos y video segura

Poseer redundancia y alta disponibilidad en los servicios.
Brindar seguridad y confiabilidad a los clientes.

Objetivos Especficos

Ejecutar una prctica en laboratorio donde se trabaje con Router, Switch capa 2,

Switch capa 3 y ASA implementados en una red convergente para diagnosticar los

comportamientos de los servicios evaluados.

Desarrollar una infraestructura basada en el modelo jerrquico de cisco.
Realizar el planeamiento de direccionamiento IP.
Implementar medidas de seguridad contra ataques interno y externos aprendidos en la

materia.
Implementar una VPN IPSEC sitio a sitio entre los equipos ASA.

Marco terico
Vtp

El VLAN Trunk Protocol (VTP) reduce la administracin en una red de switch. Al

configurar una VLAN nueva en un servidor VTP, se distribuye la VLAN a travs de todos

los switches del dominio. Esto reduce la necesidad de configurar la misma VLAN en todas

partes. VTP es un protocolo de propiedad de Cisco que est disponible en la mayora de los

productos de la serie Cisco Catalyst.

Servidor. Es el modo por defecto. Desde l se pueden crear, eliminar o modificar VLANs.

Su cometido es anunciar su configuracin al resto de switches del mismo dominio VTP y

sincronizar dicha configuracin con la de otros servidores, basndose en los mensajes VTP

recibidos a travs de sus enlaces trunk. Debe haber al menos un servidor. Se recomienda

autenticacin MD5.

Cliente. En este modo no se pueden crear, eliminar o modificar VLANs, tan slo

sincronizar esta informacin basndose en los mensajes VTP recibidos de servidores en el

propio dominio. Un cliente VTP slo guarda la informacin de la VLAN para el dominio

completo mientras el switch est activado. Un reinicio del switch borra la informacin de la

VLAN.

Transparente. Desde este modo tampoco se pueden crear, eliminar o modificar VLANs

que afecten a los dems switches. La informacin VLAN en los switches que trabajen en

este modo slo se puede modificar localmente. Su nombre se debe a que no procesa las

actualizaciones VTP recibidas, tan slo las reenva a los switches del mismo dominio.

Stp
Este protocolo asegura que exista solo una ruta lgica entre todos los destinos de la red, al

realizar un bloqueo de forma intencional a aquellas rutas redundantes que puedan ocasionar
un bucle. Un puerto se considera bloqueado cuando el trfico de la red no puede ingresar ni

salir del puerto.

STP utiliza el algoritmo de spanning tree (STA) para determinar los puertos del switch de la

red que deben de configurarse para el bloqueo a fin de evitar que se generen bucles.

Vpn Ipsec
Una VPN es una conexin virtual entre dos dispositivos que permite el envo de

informacin de manera segura a travs de un medio inseguro como lo es Internet.

IPSec es un protocolo de capa 3 del modelo OSI que permite desarrollar VPNsbrindando

las siguientes ventajas:

Confidentiality

Data integrity

Authentication

Ssh
Secure SHell es un protocolo que facilita las comunicaciones seguras entre dos sistemas

usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host

remotamente. A diferencia de otros protocolos de comunicacin remota tales como FTP o

Telnet, SSH encripta la sesin de conexin, haciendo imposible que alguien pueda obtener

contraseas no encriptadas.

Switch Capa 3
Switching IP de nivel 3 OSI es equivalente al enrutado TCP/IP. En estacapa se encuentra el

protocolo IP y es la encargada del enrutamiento yde dirigir los paquetes IP de una red a
otra. Normalmente los

routersse encuentran en esta capa. El protocolo ARP (Address ResolutionProtocol) es el

que se utiliza para asignar direcciones IP a direcciones MAC.

La funcin router es incluida en el hardware de los switches.

Deesta forma se consigue una enorme mejora en el rendimientocomparando un switch oper

ando a nivel 3 y esta misma funcinrealizada por un router normal. Un switch de nivel 3

puede trabajar amas de 10 veces la velocidad de un router tradicional

Switch Capa 2
Los switches capa 2 se denominan a los switches tradicionales donde el swicth no tiene

inteligencia, generalmente son switches no administrables donde todos los puertos tienen

la misma configuracin; los switches de capa 2 no consiguen, filtrar difusiones o

broadcasts, y multicasts.

En los Switches capa 2 no se puede segmentar la red, por ser su precio menor es

recomendable para el concepto de LAN extendida o cuando se tiene gran cantidad de

dispositivos en un mismo segmento de RED.

Asa
El Software Cisco Adaptive Security Appliance (ASA) es el sistema operativo central que

da vida a la familia Cisco ASA. Ofrece funcionalidades de firewall de clase empresarial a

dispositivos ASA de todos los formatos - dispositivos autnomos, blade y virtuales. El

software ASA tambin se integra con otras tecnologas de seguridad crticas para brindar

soluciones completas que satisfacen las necesidades de seguridad en constante evolucin.

Enrutamiento Inter-Vlan
El enrutamiento entre VLAN es un proceso que permite reenviar el trfico de la red desde

una VLAN a otra mediante un enrutador. Las VLAN estn asociadas a subredes IP nicas

en la red. Esta configuracin de subred facilita el proceso de enrutamiento en un entorno de

mltiples VLAN.

Eterchannel
EtherChannel es una tecnologa construida de acuerdo con los estndares 802.3 full-

duplex Fast [Link] la agrupacin lgica de varios enlaces fsicos Ethernet, esta

agrupacin es tratada como un nico enlace y permite sumar la velocidad nominal de cada

puerto fsico Ethernet usado y as obtener un enlace troncal de alta velocidad. Siendo el

nmero mximo de enlaces 8. Adems de aadir redundancia a la red.

Vlan
Una VLAN (Red de rea local virtual o LAN virtual) es una red de rea local que agrupa

un conjunto de equipos de manera lgica y no fsica.

Efectivamente, la comunicacin entre los diferentes equipos en una red de rea local est

regida por la arquitectura fsica. Gracias a las redes virtuales (VLAN), es posible liberarse

de las limitaciones de la arquitectura fsica (limitaciones geogrficas, limitaciones de

direccin, etc.), ya que se define una segmentacin lgica basada en el agrupamiento de

equipos segn determinados criterios (direcciones MAC, nmeros de puertos, protocolo,

etc.).

Seguridad De Puertos
Se deben proteger todos los puertos (interfaces) del switch antes de implementar el

dispositivo para la produccin. Una forma de proteger los puertos es mediante la

implementacin de una caracterstica denominada seguridad de puertos. La seguridad de

puerto limita la cantidad de direcciones MAC vlidas permitidas en el puerto. Se permite el

acceso a las direcciones MAC de los dispositivos legtimos, mientras que otras direcciones

MAC se rechazan.

Amenazas De Seguridad Internas

Las amenazas de seguridad internas son aquellas que son originadas en la propia organizacin o

sitio, en contraste con los ataques que llegan a travs de Internet. Los peligros internos provienen,

por ejemplo, de empleados que deliberadamente intentan robar datos o introducir virus o ataques en

la red

Amenazas De Seguridad Externa

Las amenazas de seguridad externas son aquellas que provienen del exterior de la red corporativa,

habitualmente de Internet (aunque an pueden darse casos desconexiones va mdem a un servidor

remoto). Estas amenazas son las primeras que vienen a la cabeza cuando se trata el tema de los

hackers, crackers e intrusos en la red.

Dtp
(Dynamic Trunking Protocol) es un protocolo propietario creado por Cisco Systems que

opera entre switches Cisco, el cual automatiza la configuracin de trunking (etiquetado de

tramas de diferentes VLAN's con ISL o 802.1Q) en enlaces Ethernet.

VLSM
NOMBRE DE
VLAN RED PREFIJO MASCARA RANGO GATEWAY
Vlan 10 [Link] /24 [Link] [Link] - [Link] [Link]
Vlan 20 [Link] /24 [Link] [Link] - [Link] [Link]
CENTRAL Vlan 30 [Link] /24 [Link] [Link] - [Link] [Link]
[Link] Vlan 40 [Link] /24 [Link] [Link] - [Link] [Link]
Vlan 50 [Link] /24 [Link] [Link] - [Link] [Link]
Vlan 60 [Link] /24 [Link] [Link] - [Link] [Link]
Vlan 88 [Link] /24 [Link] [Link] - [Link] [Link]
SUCURSAL PC [Link] /24 [Link] [Link] - [Link] [Link]
[Link] R1 - CENTRAL [Link] /30 [Link] [Link] - [Link]
INTERCONEXION CENTRAL [Link] /30 [Link] [Link] - [Link]
[Link] SUCURSAL [Link] /30 [Link] [Link] - [Link]
SUCURSAL - R2 [Link] /30 [Link] [Link] - [Link]
Diagrama fisico de la red
Documentacin de configuracin
FICHA DE DESCRIPCION DEL SWITCH
R1-LAYER3 (Nucleo)
Caractersticas: Switch de capa 3 y 2 / Memoria de 256 MB / 8 Puertos Ethernet
Servidor VTP, STP secundario, Servicio InterVlan.
// Declarar un nombre al switch
hostname R1
// Configurar protocolo VTP
vtp domain CENTRAL
vtp mode server
vtp password utepsa
// Agregar VLANS con nmero y nombre
vlan 10
exit
vlan 20
exit
vlan 30
exit
vlan 40
exit
vlan 50
exit
vlan 60
exit
// Colocar un banner de bienvenida
banner motd " Acceso Solo Para Personal Autorizado "
// Habilitar la contrasea secreta
enable secret utepsa
// Encriptar todas las contraseas
service password-encryption
// Crear un usuario nivel administrador
username admin privilege 15 password utepsa
// Colocar dominio a utilizar
ip domain-name [Link]

// Configurar seguridad mediante consola

line console 0
password utepsa
login
// Configurar seguridad mediante acceso remoto
line vty 0 4
transport input ssh
login local
// Habilitar el enrutamiento intervlan
ip routing
// Crear las sub interfaces para el enrutamiento intervlan
interface vlan 10
ip address [Link] [Link]
no shutdown
exit
interface vlan 20
ip address [Link] [Link]
no shutdown
exit
interface vlan 30
ip address [Link] [Link]
no shutdown
exit
interface vlan 40
ip address [Link] [Link]
no shutdown
exit
interface vlan 50
ip address [Link] [Link]
no shutdown
exit
interface vlan 60
ip address [Link] [Link]
no shutdown
exit
interface vlan 80
ip address [Link] [Link]
no shutdown
exit

// Configurar los puertos troncales a utilizar

interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
interface Ethernet0/1
copy running-config startup-config
 SW-1 (Distribucin)
Caracteristicas: Switch de capa 3 y 2 / Memoria de 256 MB / 8 Puertos Ethernet
Cliente VTP, STP primario, Comunicar los switch capa de acceso con el switch de
capa Ncleo
// Asignacion de nombre al switch
hostname SW-1
// Colocar el protocolo VTP modo cliente
vtp domain CENTRAL
vtp mode transparente
vtp password utepsa
//------------------------------------ Esperar a que se coloquen las vlans (Tarda 1 a 3 min)
// Asignar un banner de bienvenida
banner motd " Acceso Solo Para Personal Autorizado "
// colocar la contrasea secreta a la consola
enable secret utepsa
// activar el servicio de encrytacion de contraseas
service password-encryption
// Asignar un usuario con todos los privilegios
username eadmin privilege 15 password utepsa
// colocar un dominio
ip domain-name [Link]
// colocar la seguridad en el puerto de consola
line console 0
password utepsa
login
// colocar seguridad para acceso remoto
line vty 0 4
transport input ssh
login local
// deshabilitar el enrutamiento dinamico
no ip routing
// configurar las interfaces
interface g0/0
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface g0/1
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface g0/2
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface g0/3
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface g1/0
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit

interface range g1/1-2

switchport trunk encapsulation dot1q
switchport mode trunk
channel-protocol pagp
channel-group 10 mode desirable
Exit
// Configurar el protocolo STP
spanning-tree vlan 1-199 priority 4086
// Guardar la configuracion en modo consola
interface Vlan88
ip address [Link] [Link]
no ip route-cache
exit
ip default-gateway [Link]

copy running-config startup-config

SW-2 (Distribucin)
Caractersticas: Switch de capa 3 y 2 / Memoria de 256 MB / 8 Puertos Ethernet
Cliente VTP, STP primario, Comunicar los switch capa de acceso con el switch de
capa Ncleo
// Asignacin de nombre al switch
hostname SW-2
// Colocar el protocolo VTP modo cliente
vtp domain CENTRAL
vtp mode transparente
vtp password utepsa
//------------------------------------ Esperar a que se coloquen las vlans (Tarda 1 a 3 min)
// Asignar un banner de bienvenida
banner motd " Acceso Solo Para Personal Autorizado "
// colocar la contrasea secreta a la consola
enable secret utepsa
// activar el servicio de encrytacion de contraseas
service password-encryption
// Asignar un usuario con todos los privilegios
username eadmin privilege 15 password utepsa
// colocar un dominio
ip domain-name [Link]
// colocar la seguridad en el puerto de consola
line console 0
password utepsa
login
// colocar seguridad para acceso remoto
line vty 0 4
transport input ssh
login local
// deshabilitar el enrutamiento dinamico
no ip routing
// configurar las interfaces
interface g0/0
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface g0/1
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface g0/2
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface g0/3
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface g1/0
switchport trunk encapsulation dot1q
switchport trunk native vlan 88
switchport mode trunk
duplex auto
exit
interface range f1/1-2
switchport trunk encapsulation dot1q
switchport mode trunk
channel-protocol pagp
channel-group 10 mode desirable
Exit
// Configurar el protocolo STP
spanning-tree vlan 1-199 priority 4086
// Guardar la configuracion en modo consola
interface Vlan88
ip address [Link] [Link]
no ip route-cache
exit
ip default-gateway [Link]

copy running-config startup-config

SW-3 (Acceso)
Caractersticas: Switch de capa 3 y 2 / Memoria de 256 MB / 8 Puertos Ethernet
Cliente VTP, STP Secundario, Comunicar los switch capa de acceso con el switch de
capa Ncleo
// Asignar nombre al switch
hostname SW-3
// Colocar el protocolo VTP modo cliente
vtp domain CENTRAL
vtp mode client
vtp password utepsa
------------------------------------ Esperar a que se coloquen las vlans (Tarda 1 a 8 min)
banner motd " Acceso Solo Para Personal Autorizado SWITCH D2"
enable secret utepsa
service password-encryption
username eadmin privilege 15 password utepsa
ip domain-name [Link]
line console 0
password utepsa
login
exit
line vty 0 4
transport input ssh
login local
exit
no ip routing
interface Ethernet0/0
switchport trunk native vlan 88
duplex auto
exit
interface Ethernet0/3
switchport trunk native vlan 88
duplex auto
exit

interface Ethernet0/1
switchport mode access
switchport access vlan 10
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
duplex auto
exit
interface Ethernet0/2
switchport mode access
switchport access vlan 20
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky

duplex auto
exit

interface Vlan1
no ip address
no ip route-cache
shutdown
exit
interface Vlan88
ip address [Link] [Link]
no ip route-cache
exit
// Configurar el protocolo STP
spanning-tree vlan 1-199 priority 4086
// Guardar la configuracion en modo consola
copy running-config startup-config
 SW-4 (Acceso)
Caractersticas: Switch de capa 3 y 2 / Memoria de 256 MB / 8 Puertos Ethernet
Cliente VTP, STP Secundario, Comunicar los switch capa de acceso con el switch de
capa Ncleo
// Asignar nombre al switch
hostname SW-4
// Colocar el protocolo VTP modo cliente
vtp domain CENTRAL
vtp mode client
vtp password utepsa
------------------------------------ Esperar a que se coloquen las vlans (Tarda 1 a 8 min)
banner motd " Acceso Solo Para Personal Autorizado SWITCH D2"
enable secret utepsa
service password-encryption
username eadmin privilege 15 password utepsa
ip domain-name [Link]
line console 0
password utepsa
login
exit
line vty 0 4
transport input ssh
login local
exit
no ip routing
interface Ethernet0/0
switchport trunk native vlan 88
duplex auto
exit
interface Ethernet0/3
switchport trunk native vlan 88
duplex auto
exit

interface Ethernet0/1
switchport mode access
switchport access vlan 30
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky

duplex auto
exit
interface Vlan1
no ip address
no ip route-cache
shutdown
exit
interface Vlan88
ip address [Link] [Link]
no ip route-cache
exit
ip default-gateway [Link]
spanning-tree vlan 1 priority 4096
Exit
// Configurar el protocolo STP
spanning-tree vlan 1-199 priority 4086
// Guardar la configuracion en modo consola
copy running-config startup-config

SW-5 (Acceso)
Caractersticas: Switch de capa 3 y 2 / Memoria de 256 MB / 8 Puertos Ethernet
Cliente VTP, STP Secundario, Comunicar los switch capa de acceso con el switch de
capa Ncleo
// Asignar nombre al switch
hostname SW-5
// Colocar el protocolo VTP modo cliente
vtp domain CENTRAL
vtp mode client
vtp password utepsa
------------------------------------ Esperar a que se coloquen las vlans (Tarda 1 a 8 min)
banner motd " Acceso Solo Para Personal Autorizado SWITCH D2"
enable secret utepsa
service password-encryption
username eadmin privilege 15 password utepsa
ip domain-name [Link]
line console 0
password utepsa
login
exit
line vty 0 4
transport input ssh
login local
exit
no ip routing
interface Ethernet0/0
switchport trunk native vlan 88
duplex auto
exit
interface Ethernet0/2
switchport trunk native vlan 88
duplex auto
exit

interface Ethernet0/1
switchport mode access
switchport access vlan 40
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
duplex auto
exit
interface Vlan1
no ip address
no ip route-cache
shutdown
exit
interface Vlan88
ip address [Link] [Link]
no ip route-cache
exit
ip default-gateway [Link]
spanning-tree vlan 1 priority 4096
Exit
// Configurar el protocolo STP
spanning-tree vlan 1-199 priority 4086
// Guardar la configuracion en modo consola
copy running-config startup-config

SW-6 (Acceso)
Caractersticas: Switch de capa 3 y 2 / Memoria de 256 MB / 8 Puertos Ethernet
Cliente VTP, STP Secundario, Comunicar los switch capa de acceso con el switch de
capa Ncleo
// Asignar nombre al switch
hostname SW-6
// Colocar el protocolo VTP modo cliente
vtp domain CENTRAL
vtp mode client
vtp password utepsa
------------------------------------ Esperar a que se coloquen las vlans (Tarda 1 a 8 min)
banner motd " Acceso Solo Para Personal Autorizado SWITCH D2"
enable secret utepsa
service password-encryption
username eadmin privilege 15 password utepsa
ip domain-name [Link]
line console 0
password utepsa
login
exit
line vty 0 4
transport input ssh
login local
exit
no ip routing
interface Ethernet0/0
switchport trunk native vlan 88
duplex auto
exit
interface Ethernet0/3
switchport trunk native vlan 88
duplex auto
exit

interface g0/1
switchport mode access
switchport access vlan 50
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
duplex auto
exit
interface g0/2
switchport mode access
switchport access vlan 60
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
duplex auto
exit
interface Vlan1
no ip address
no ip route-cache
shutdown
exit
interface Vlan88
ip address [Link] [Link]
no ip route-cache
exit
// Configurar el protocolo STP
spanning-tree vlan 1-199 priority 4086
// Guardar la configuracion en modo consola
copy running-config startup-config

CENTRAL (Asa)
Caractersticas: Dispositivo de Firewall, protege las amenazas externas e inspecciona
los paquetes antes de renviarlos, tambin cumple la funcin de protocolo virtual
(VPN)
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address [Link] [Link]
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address [Link] [Link]
!
crypto ikev1 policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
!
crypto ikev1 enable outside
tunnel-group [Link] type ipsec-l2l
tunnel-group [Link] ipsec-attributes
ikev1 pre-shared-key utepsa
!
object-group network local-network
network-object [Link] [Link]
object-group network remote-network
network-object [Link] [Link]
!
access-list asa-router-vpn extended permit ip object-group local-network
object-group remote-network
!
nat (inside,outside) source static local-network local-network destination
static remote-network remote-network no-proxy-arp route-lookup
!
crypto ipsec ikev1 transform-set ESP-AES-SHA esp-aes esp-sha-hmac
!
crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer [Link]
crypto map outside_map 10 set ikev1 transform-set ESP-AES-SHA
crypto map outside_map interface outside
 SUCURSAL (Asa)
Caractersticas: Dispositivo de Firewall, protege las amenazas externas e inspecciona
los paquetes antes de renviarlos, tambin cumple la funcin de protocolo virtual
(VPN)
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address [Link] [Link]
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address [Link] [Link]
!
crypto ikev1 policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
!
crypto ikev1 enable outside
tunnel-group [Link] type ipsec-l2l
tunnel-group 10.10.11.1ipsec-attributes
ikev1 pre-shared-key utepsa
!
object-group network local-network
network-object [Link] [Link]
object-group network remote-network
network-object [Link] [Link]
!
access-list asa-router-vpn extended permit ip object-group local-network
object-group remote-network
!
nat (inside,outside) source static local-network local-network destination
static remote-network remote-network no-proxy-arp route-lookup
!
crypto ipsec ikev1 transform-set ESP-AES-SHA esp-aes esp-sha-hmac
!
crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer [Link]
crypto map outside_map 10 set ikev1 transform-set ESP-AES-SHA
crypto map outside_map interface outside

Investigacion Anexada

Switch Layer 2 serie Cisco Catalyst 2960-X

Modelos de la serie 2960-X

Los interruptores de la serie 2960-X y XR incluyen configuraciones para adaptarse a

cualquier red empresarial.

Caractersticas

Simple / Sencillo

Automatice la instalacin del software para el despliegue sin contacto. Configure los

puertos automticamente en funcin del tipo de dispositivo. Diagnostique de forma

proactiva y remedie los problemas de hardware y software con Cisco Smart Call Home.

Smart / Inteligente

Consumir menos energa con el modo de hibernacin de conmutador. Reduzca la

interrupcin del trfico debido a la redundancia del plano de control a travs de los

conmutadores FlexStack-Plus. Obtenga visibilidad y control de las aplicaciones con

NetFlow Lite para priorizar las aplicaciones.

Highly secure / Muy seguro

El 2960-X utiliza 802.1X para el control de acceso basado en puerto. Habilite el control de

acceso escalable y dinmico basado en roles con Cisco TrustSec Technology. Proteja contra

el robo de direcciones IPv6 y ataques maliciosos con IPv6 First Hop Security.

Servicios

Utilice los servicios de Cisco para aumentar la eficiencia operativa, reducir los costos de

soporte y mejorar la gestin del riesgo de disponibilidad.

Cisco ASA 5520 Dispositivo de seguridad adaptable

Caractersticas y capacidades

Proteccin contra amenazas slida y multicapa

Los firewalls de ltima generacin Cisco ASA de la serie 5500-X permiten equilibrar la

eficacia de la seguridad con la productividad. Esta solucin ofrece la combinacin de

stateful firewall ms utilizado de la industria con una completa gama de servicios de

seguridad de red de ltima generacin, que incluye:

Visibilidad y control granular

Seguridad web slida in-situ o en la nube

Sistema de prevencin de intrusiones (IPS) lder de la industria para disfrutar de

proteccin frente a amenazas conocidas

Completa proteccin contra amenazas y malware avanzado

El firewall ASA ms utilizado en el mundo con acceso remoto sumamente seguro

Cisco AnyConnect

Cisco ofrece el primer firewall de ltima generacin de la industria orientado hacia las

amenazas: Cisco ASA con FirePOWER Services disponible en los dispositivos de

seguridad adaptativa Cisco ASA 5500-X y ASA 5585-X. Con esta solucin usted obtiene la

contrastada proteccin del firewall Cisco ASA combinada con la proteccin contra

amenazas y malware avanzado Sourcefire lder de la industria en un solo dispositivo.

Proteja su empresa con una visibilidad superior y una defensa orientada hacia las amenazas

sumamente eficaz durante todo el ciclo de ataque. Proporciona una completa visibilidad,

menores costes y complejidad, y proteccin en tiempo real contra malware y amenazas

emergentes.

Configuraciones Adicionales

Root guard

Este mecanismo controla donde podemos encontrar y conectar un switch candidato a

asumir el rol de switch raz dentro de la topologa de Spanning Tree.

El switch aprende el 'Bridge ID' del switch raz, si otro switch advierte un BPDU superior

(BPDU con mejor 'Bridge ID') en un puerto con Root guard habilitado, el switch local no

permitir que el otro switch se convierta en el switch raz. El puerto se colocara en estado

'root-inconsistent', en este estado el puerto no podr enviar ni recibir datos, solo paquetes

BPDU's podrn pasar por este puerto.

Para configurar este mecanismo, nos tenemos que colocar a nivel de la interfaz y aplicar el

siguiente comando:

Switch(config-if)#spanning-tree guard root

Este comando habilitar el mecanismo root guard en la interfaz donde estemos colocados.

BPDU guard

Este mecanismo protege puertos del switch donde tenemos habilitada la opcin portfast'.

Portfast es la funcin que se habilita en puertos del switch que estn conectados a PC,
servers, ip phones e impresoras para que los puertos empiecen a transmitir paquetes de

manera inmediata cuando se habiliten dichos puertos.

Cabe mencionar que cuando se habilita un puerto con la funcin 'Portfast', esto no significa

que Spanning Tree se deshabilitara en el puerto. Es aqu donde entra en accin el

mecanismo BPDU guard, si un BPDU es recibido en un puerto con BPDU guard

habilitado, el puerto se colocara en estado 'error-disabled' y el puerto se apagara. Este

puerto se tendr que habilitar de forma manual.

Un par de datos interesantes del BPDU guard, el BPDU guard no evitar loops en la

topologa si un hub se conecta al puerto donde se tiene habilitado BPDU guard. BPDU

guard no deber ser habilitado en puertos que se conectan a otros switches.

Para configurar este mecanismo en los switches existen 2 opciones, configurar el

mecanismo de manera global en el switch y de manera individual por interfaz del switch.

Configuracin global la funcin se habilitar en los puertos que estn configurados con la

opcin Portfast:

Switch(config)#spanning-tree portfast bpduguard default

Configuracin por interfaz:

Switch(config)#spanning-tree bpduguard enable

Configuracin de DTP

DTP se habilita automticamente en un puerto del switch cuando se configura un modo de

trunking adecuado en dicho puerto. Para ello el administrador debe ejecutar el comando

switchport mode adecuado al configurar el puerto: switchport mode {access | trunk |

dynamic auto | dynamic desirable}. Con el comando switchport nonegotiate se desactiva

DTP.

Su funcin es gestionar de forma dinmica la configuracin del enlace troncal al conectar

dos switches, introduciendo los comandos del IOS (sistema operativo de los switches y

routers Cisco) en la configuracin del dispositivo (running-config) de forma automtica sin

que el administrador intervenga.

Esto implica que si estamos configurando un puerto de un switch Cisco para DTP, el puerto

del otro lado del enlace tambin debe tener DTP habilitado para que el enlace quede

configurado correctamente.

La combinacin de los modos asignados a los puertos define cul va a ser el estado final del

enlace asociado a stos:

'access', es decir, pasarn las tramas de una nica VLAN y no necesitaremos etiquetarlas.

'trunking', es decir, pasarn las tramas de todas las VLAN permitidas etiquetndolas

adecuadamente

Para configurar este mecanismo, nos tenemos que colocar a nivel de la interfaz y aplicar el

siguiente comando:

Switch(config-if)#switchport mode access

Switch(config-if)#switchport nonegociate