Implementación completa de una Zona Desmilitarizada (DMZ) utilizando Cisco Packet Tracer. Este laboratorio demuestra la configuración de seguridad de redes mediante la separación de zonas, control de tráfico con ACLs y exposición controlada de servicios públicos.
- ✅ Segmentar la red en tres zonas distintas: LAN Interna, DMZ y Red Externa
- ✅ Implementar NAT estático para servicios públicos
- ✅ Configurar Access Control Lists (ACLs) para control granular de tráfico
- ✅ Garantizar acceso web controlado desde Internet sin comprometer la seguridad interna
- ✅ Aislar completamente la DMZ de la red interna corporativa
- Router Central: Cisco ISR 2911 (
Router_FW) - Switches: Cisco 2960 (SW_Internal, SW_DMZ, SW_External)
- Dispositivos Finales:
PC_Internal(192.168.1.10) - Usuario red LANServer-PT Web_DMZ(192.168.2.10) - Servidor web en DMZPC_External(192.168.3.10) - Usuario externo (Internet)
| Zona | Red | Gateway | Descripción |
|---|---|---|---|
| LAN Interna | 192.168.1.0/24 | 192.168.1.1 | Red corporativa privada |
| DMZ | 192.168.2.0/24 | 192.168.2.1 | Zona de servicios públicos |
| Externa | 192.168.3.0/24 | 192.168.3.1 | Simulación de Internet |
- ACL 100: Control de tráfico desde Internet hacia DMZ
- ACL 101: Bloqueo estricto de DMZ hacia red interna
- NAT Estático: Mapeo 192.168.2.10 → 192.168.3.1
- Exposición controlada del servidor web DMZ
- HTTP/HTTPS: Servidor web en DMZ
- Stateful Filtering: Conexiones TCP establecidas
- PC_External → Web_DMZ: Acceso HTTP exitoso ✅
- PC_Internal → Web_DMZ: Acceso completo a servicios DMZ ✅
- NAT Estático: Servidor web accesible desde Internet ✅
- DMZ → LAN: Acceso completamente bloqueado ❌
- Internet → LAN: Acceso directo denegado ❌
- ICMP desde Internet: Bloqueado por políticas de seguridad ❌
DMZ-Cisco-Lab/
├── README.md # Este archivo
├── packet-tracer/
│ └── DMZ-Lab.pkt # Archivo principal del laboratorio
├── docs/
│ ├── configuracion-comandos.md # Comandos utilizados
│ └── pruebas-validacion.md # Documentación de pruebas
└── scripts/
└── router-config.txt # Configuración del router
- Cisco Packet Tracer (versión 8.0 o superior)
- Conocimientos básicos de redes TCP/IP
- Familiaridad con comandos Cisco IOS
- Descargar el archivo
DMZ-Lab.pkt - Abrir en Cisco Packet Tracer
- Revisar la configuración implementada
- Ejecutar las pruebas de validación
- Experimentar con modificaciones de ACLs
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
ip nat inside source static 192.168.2.10 192.168.3.1
interface GigabitEthernet0/1
ip nat inside
access-list 101 permit tcp any any established
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
| Origen | Destino | Protocolo | Resultado Esperado |
|---|---|---|---|
| PC_External | Web_DMZ (HTTP) | TCP 80 | ✅ Éxito |
| PC_External | Router (PING) | ICMP | ❌ Bloqueado |
| PC_Internal | Web_DMZ (HTTP) | TCP 80 | ✅ Éxito |
| Web_DMZ | PC_Internal (PING) | ICMP | ❌ Bloqueado |
- La importancia de limpiar configuraciones conflictivas
- Análisis metódico de problemas de conectividad
- Uso de comandos de verificación (
show access-lists,show ip nat translations)
- Implementación del principio de menor privilegio
- Stateful filtering para conexiones TCP establecidas
- Separación efectiva entre zonas de seguridad
- Configuración avanzada de NAT estático
- Diseño de ACLs granulares
- Segmentación de red para múltiples zonas
#CiscoPacketTracer #NetworkSecurity #DMZ #ACL #NAT #Firewall #CyberSecurity #NetworkEngineering #CCNA #Lab
¿Tienes preguntas sobre este laboratorio? ¡No dudes en contactarme!
⭐ Si este laboratorio te fue útil, no olvides darle una estrella al repositorio ⭐
Desarrollado con 💻 y ☕ para la comunidad de Network Security