Resumen Comandos Ccna Security
Resumen Comandos Ccna Security
Resumen Comandos Ccna Security
2- Configurar NTP
R1(config)# ntp server 192.168.0.1
R1(config)# ntp authenticate
R1(config)# ntp trusted-key 1
R1(config)# ntp authentication-key 1 md5 NTPpa55--(PASSWOORD)
1- activacion de aaa
R1(CONFIG)# aaa new-model
R1(CONFIG)# aaa authentication login defaul local---metodo local
R1(CONFIG)# line console 0
R1(CONFIG-line)# login authentication default
1- CREAR ZONAS
R3(config)# license boot module c1900 technology-package securityk9
R3(config)# zone security IN-ZONE---(ZONA INTERNA)
R3(config-sec-zone) exit
R3(config-sec-zone)# zone security OUT-ZONE
R3(config-sec-zone)# exit
-------------------------------------------------------------------
2- Identificar tráfico utilizando una Clase - Mapa
R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any--- ACCESLIST DE MI LAN
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP(NOMBRE DEL CALLMAP)
R3(config-cmap)# match access-group 101---> MISMO NUMERO DE MI ACL
R3(config-cmap)# exit
-----------------------------------------------------------------------------
3-Crear un mapa de la política para determinar qué hacer con el tráfico coincidente.
R3(config)# policy-map type inspect IN-2-OUT-PMAP(NOMBRE DE LA POLICY)
-------------------------------------------------------------------------------
4- Especificar un tipo de clase de inspeccionar y asignación de clase de referencia EN -NET - CLASE
-MAP
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP(nombre del calss map)
R3(config-pmap-c)# inspect
R3(config-pmap-c)# exit
R3(config-pmap)# exit
-----------------------------------------------------------------------------------
5-Aplicar políticas de cortafuegos
R3(config)# zone-pair security IN-2-OUT-ZPAIR(nombre zona pariedad) source IN-ZONE destination
OUT-ZONE
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP--(nombre de la ploicy)
R3(config-sec-zone-pair)# exit
R3(config)#
------------------------------------------------------------------------------------
6-Asignar interfaces a las zonas de seguridad apropiadas .
R3(config)# interface g0/1
R3(config-if)# zone-member security IN-ZONE----el hacia mi lan
R3(config-if)# exit
R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE---el hacia internet
R3(config-if)# exit
RT(CONFIG)#line vty 0 4
RT(CONFIG-line)# login local
RT(CONFIG-line)# transpot input ssh
RT(CONFIG-line)# exec-timeout 5 0
RT(CONFIG)#line aux 0
RT(CONFIG-line)# login local
RT(CONFIG-line)# exec-timeout 5 0
-------------------------------------------------------------
R1(config)# license boot module c1900 technology-package securityk9
1941
*****CONFIGURACION DE IPS******
1- CREAR EL DIRECTORIO
R1# mkdir ipsdir
1-CONFIGURACION BASICA
S1(config)#line console 0
S1(config-line)#password ciscoconpass
S1(config-line)#exec-timeout 5 0
S1(config-line)#login
S1(config-line)#logging synchronous
S1(config)#ip domain-name ccnasecurity.com
S1(config)#username admin privilege 15 algorithm-type scrypt secret cisco12345
S1(config)#crypto key generate rsa general-keys modulus 1024
S1(config)#ip ssh time-out 90
S1(config)#ip ssh authentication-retries 2
S1(config)#line vty 0 4
S1(config-line)#privilege level 15
S1(config-line)#exec-timeout 5 0
S1(config-line)#login local
S1(config-line)#transport input ssh
S1(config-line)# exit
S1(config)#enable algorithm-type scrypt secret cisco12345
----------------------------------------------------------------------------------
2-*********SEGURIDAD DE PUERTO DEL SW*******
-------------------------------------------------------------------------------------
S1(config)#inte f0/1
S1(config-if)# switchport port-security
S1(config-if)# switchport mode acces
S1(config-if)# switchport port-security
S1(config-if)#end
s1# show port-security inte f0/1
--------------------------------------------------------------------------------------
3-*******CONFIGURACIONES MAC****************
-----------------------------------------------------------------------------------
NUMERO MAXIMO MAC POR PUERTOS
s1(config-if)#switchport port-security maximum
---------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------
4-*********** VIOLACIONES DE PUERTOS **********************
s1(config-if) switchport port-security violation(protect|restric|shutdown|shutdown vlan|)
---------------------------------------------------------------------------------------------
CONFIGURACION EN CONECCION TELEFONOS IP
---------------------------------------------------------------------------
5-********* CONFIGURACIONES TRUNK Y DHCP*******************
--------------------------------------------------------------------------
SEGURIDAD ESTABLECER LOS TRUNK EN MODO DE NO NEGOCIACION
Y CAMBIAR VLAN NATIVA en los puertos trunk
s1(config-if)# SWITCHPORT NONEGOTIATE
s1(config-if)# SWITCHPORT TRUNK NATIVE VLAN 999
-----------------------------------------------------
CONFIGURACION DE PUERTOS PROTEGIDOS LOS PUERTOS PROTEGISDOS NO
ENVIAN TRAFICO UNICASTE,BRODCAST,NI MULTICASTE A OTRO PUERTO PROTEGIDO
S1(CONFIG-IF)#switchport protected
--------------------------------------------------
PUERTOS TRUSTED Y UNTRUDTED QUE SON DE CONFIANZA PAARA EL DHCP SOLO SON DE
CONFIANZA DEL SW AL RT Y DE SW A SW NO DE SW A USER
-------------------------------------------------------------------------------
6-****** ASIGNACION DE ROOT BRIGDGE***************
----------------------------------------------------------------------
asiganbacion de un root
spanning-tree vlan 1 root primary
spanning-tree vlan 1 root secondary
spanning-tree portfast----- patra que las conecciones se mas rapida de sw apcs en las interfaces
spannig-tree bpduguad enable ------ activar bpdu guar en puerto pc coonectados al sw
r1(config)# acces-list 101 permit ip 10.0.1.0 0.0.0.255 (mi lan interna)192.168.1.0 0.0.0.255 (lan del
otro lado)-------en ambos lados
r2(config)# acces-list 102 permit ip 192.168.1.0 0.0.0.255 (mi lan interna)10.0.1.0 0.0.0.255
Configure a logical VLAN 1 interface for the inside network (192.168.1.0/24) and set the security
level to the highest setting of 100.
a. Crear una ruta por defecto " quad cero " mediante el comando de la ruta , asociarlo con la
interfaz fuera de ASA , y señalan la / 0 dirección IP R1 G0 ( 209.165.200.225 ) como el gateway de
último recurs
a. Crear objeto de red en el interior - red y asignar atributos a él utilizando la subred y los
comandos nat .
CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3 --- se permite
dmz
CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside