La VLAN de servicios no tienen interfaz SVI, se propaga al firewall. Esa VLAN va a una interfaz gigabit con encapsulamiento de VLAN de servicios, el switch multicapa no la enruta, la deja pasar hasta el firewall. El control de la VLAN de servicios se hace en el firewall. La Vlan de servicios esta conectada a nivel de capa 3 al firewall. Fisicamente cuando se piensa en las VLANS de administración y gestión se piensa que vienen por dos sitios diferentes, pero en este caso vienen por el mismo cable y se inyectan en el switch multicapa, donde se crean 2 vlans. A nivel 3 no se crea nada. A nivel lógico la subred de servicios está conectada al firewall (Lo que sería una DMZ).

Sobre los ACL: Las ACL SOLO aplican a interfaces de CAPA 3 como los routers (Si no tienen subinterfaces) y en los switches (Interfaces enrutadas o svis). OJO esto no se puede aplicar a troncales (capa 2). (Mucho ojo, puede caer en el examen y si se mete la pata un 0)

El nivel de servicios (Capa 3) se conecta a una subinterfaz del firewall (G0/0.X) siendo la X la Vlan de servicios. La máquina de servicios tiene que ser trasladada al firewall. Dicha máquina entra por el Switch Multicapa, por el cual entra la VLAN de administración (Con una máquina virtual de administración) y la VLAN de servicios que se transporta a nivel de capa 2 hasta el firewall. A nivel de interface VLAN el switch multicapa debe tener Interface VLAN de administración pero NO de servicios. En resumidascuentas, la VM de servicios se conecta por la Vlan de servicios por el switch multicapa y este la pasa al FireWall.

Primero se necesita Apache para montar el servicio Web:

sudo apt install apache2

Tras eso se debe configurar apache creando el archivo “redesMunics.conf” /etc/apache2/sites-avaliable, donde estableceremos la configuración para http (puerto 80) y https (puerto 443), que necesitará de certificado SSL.

<VirtualHost *:80>
  ServerName munics
  DocumentRoot /var/www/html
</VirtualHost>
 
<VirtualHost *:443>
  ServerName munics
  DocumentRoot /var/www/html
 
  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/ssl1.crt
  SSLCertificateKeyFile /etc/ssl/private/ssl1.key
</VirtualHost>

Para habilitar SSL utilizamos “a2enmod” con los siguientes comandos:

sudo a2enmod ssl
sudo systemctl restart apache2

Tras eso debemos aplicar la configuración (desde el directorio /etc/apache2/sites-avaliable) con los siguientes comandos:

sudo a2ensite redesMunics.conf
sudo systemctl restart apache2

Se debe usar una ACL estándar para bloquear tráfico procedente de IPs no permitidas o no validas. Se deben prohibir:

• Direcciones privadas
• Direcciones de enlace local
• Direcciones de multicast
• Direcciones de broadcast
• Direcciones que nunca puedan ser de origen (ej. 127.0.0.0/8)
• Direcciones potencialmente peligrosas

Las ACL se deben configurar en el CPE ya que son la primera medida de seguridad. En el FW se deben configurar ACL extendidas y complementarlas con CBAC. En el DL-SW se deben usar ACL extendidas.