Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 12 vistas

    Practica 04

    Cargado por

    escobarkenny186

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Practica 04

    Cargado por

    escobarkenny186
    12 vistas5 páginas

    Título original

    PRACTICA 04

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    12 vistas5 páginas

    Practica 04

    Cargado por

    escobarkenny186

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 5

    SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL

    ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN

    PRÁCTICA 03
    CONFIGURAR Y VERIFICAR UNA VPN IPSEC DE SITIO A SITIO
    TOPOLOGIA:

    ESCENARIO:
    La topología de la red muestra tres routers. Configurar R1 y R3 para admitir una VPN IPsec de sitio a sitio cuando el tráfico
    fluye entre sus respectivas LAN. El túnel VPN IPsec va del R1 al R3 a través del R2. R2 actúa como transferencia y no
    tiene conocimiento de la VPN. IPsec proporciona una transmisión segura de información confidencial a través de redes no
    protegidas, como Internet. IPsec opera en la capa de red y protege y autentica paquetes IP entre dispositivos IPsec
    participantes (pares), como los enrutadores Cisco.
    Parámetros de política de la Fase 1 de ISAKMP

    Parámetros de política IPsec fase 2

    TABLA DE DIRECCIONAMIENTO:

    Mauro Raúl Chilquillo Rebatta <[email protected]> 1


    SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL
    ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN

    Configuración inicial:
    Configurar el nombre en cada router y desactivar la búsqueda de DNS y sincronizar la línea de consola para evitar que los
    mensajes de actualización corten los comandos digitados.
    Direccionamiento IP:
    Configurar el direccionamiento IP en los routers R1, R2 y R3 (considerar el valor de clock rate en 128000) y en los
    dispositivos finales.
    Enrutamiento OSPF:
    Configurar enrutamiento OSPFv2 usando 101 como ID de proceso, considerar el área 0 y los id de routers 1.1.1.1, 2.2.2.2,
    3.3.3.3. Además, en R1 y R3 configurar G0/1 como interfaces pasivas.
    router ospf 101
    router-id 1.1.1.1
    passive-interface GigabitEthernet0/1
    network 192.168.1.0 0.0.0.255 area 0
    network 10.1.1.0 0.0.0.3 area 0
    Probar la conectividad.
    Ping desde la PC-A a la PC-B.
    Ping desde la PC-A a la PC-C.
    Ping desde la PC-B a la PC-C.
    Configurar las contraseñas de accesos en los routers
    • Contraseña para la línea de la consola: ciscoconpa55
    • Contraseña para líneas vty: ciscovtypa55
    • Contraseña de enable: ciscoenpa55
    • Nombre de usuario y contraseña SSH: SSAdmin | ciscosshpa55
    CONFIGURACIÓN DE SSH EN TODOS LOS ROUTERS
    Configurar el nombre de dominio y la clave de cifrado para su uso con SSH.
    a) Configurar un nombre de dominio.
    Configurar un nombre de dominio de ccnasecurity.com en R3.
    R3(config)# ip domain-name networksecurity.com
    b) Configurar usuarios para iniciar sesión en el servidor SSH en R3.
    Crear un ID de usuario de SSHadmin y una contraseña secreta de ciscosshpa55.
    R3(config)# username SSHadmin secret ciscosshpa55
    c) Configurar las líneas vty entrantes.
    Utilizar las cuentas de usuario locales para la entrada obligatoria y validación. Aceptar sólo las conexiones SSH.
    R3(config)# line vty 0 4
    R3(config-line)# login local
    R3(config-line)# transport input ssh
    d) Generar el par de claves de cifrado RSA para R3.
    Mauro Raúl Chilquillo Rebatta <[email protected]> 2
    SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL
    ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN

    El router utiliza el par de claves RSA para la autenticación y el cifrado de los datos transmitidos SSH. Configurar las claves
    RSA con un módulo de 1024.
    R3(config)# crypto key generate rsa
    e) Verificar la configuración SSH.
    PC> ssh -l SSHadmin 192.168.3.1
    CONFIGURAR LOS PARÁMETROS DE IPSEC EN R1
    Pruebe la conectividad.
    Hacer ping desde PC-A a PC-C. Todos los dispositivos están configurados con enrutamiento. Por lo tanto, el ping debería
    tener éxito.
    Habilite el paquete de tecnología de seguridad.
    a) En R1, emitir el comando show version para ver la información de licencia del paquete de tecnología de seguridad.
    b) Si el paquete de tecnología de seguridad no se ha habilitado, utilice el siguiente comando para habilitar el paquete.

    c) Acepte el acuerdo de licencia de usuario final.


    d) Guarde la configuración en ejecución y vuelva a cargar el router para habilitar la licencia de seguridad.
    e) Utilizar el comando show version nuevamente para verificar que securityk9 aparece en los paquetes de tecnología
    actuales.
    Identificar tráfico interesante en R1.
    Configurar ACL 110 para identificar el tráfico interesante de la LAN en R1a la LAN en R3. Este tráfico interesante activará
    la implementación de la VPN IPsec cuando haya tráfico entre la red LAN de R1 a la red LAN de R3. El resto del tráfico
    procedente de las LAN no se cifrará. Por la regla implícita de denegar todo, no es necesario digitar deny ip any any.

    Configurar la política isakmp de ike fase 1 en r1.


    Configurar crypto ISAKMP policy 10 en R1 junto con la clave criptográfica compartida vpnpa55. No es necesario
    configurar los valores predeterminados. Por lo tanto, sólo se deben configurar el método de cifrado, el método de
    intercambio de claves y el método DH.
    Nota: El grupo DH más alto actualmente admitido por Packet Tracer es el grupo 5. En una red de producción,
    configuraría al menos DH 24.

    Configure la política ipsec de ike fase 2 en r1.


    a) Cree el conjunto de transformación VPN-SET para usar esp-aes y esp-sha-hmac.

    b) Cree el mapa criptográfico VPN-MAP que une todos los parámetros de la Fase 2. Utilice el número de secuencia 10 e
    identifíquelo como un mapa ipsec-isakmp.

    Mauro Raúl Chilquillo Rebatta <[email protected]> 3


    SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL
    ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN

    Configure el mapa criptográfico en la interfaz saliente.


    Enlazar el mapa criptográfico VPN-MAP a la interfaz Serial 0/0/0 saliente.

    CONFIGURAR LOS PARÁMETROS DE IPSEC EN R3


    Habilite el paquete de tecnología de seguridad.
    a) En R3, emitir el comando show version para ver la información de licencia del paquete de tecnología de seguridad.
    b) Si el paquete de tecnología de seguridad no se ha habilitado, utilice el siguiente comando para habilitar el paquete.

    c) Acepte el acuerdo de licencia de usuario final.


    d) Guarde la configuración en ejecución y vuelva a cargar el router para habilitar la licencia de seguridad.
    e) Utilizar el comando show version nuevamente para verificar que securityk9 aparece en los paquetes de tecnología
    actuales.
    Configure el router R3 para admitir una VPN de sitio a sitio con R1.
    Configurar parámetros alternativos en R3. Configure ACL 110 identificando el tráfico interesante de la LAN en R3 a la LAN
    en R1.

    Configurar las propiedades ISAKMP de IKE Fase 1 en R3


    Configurar crypto ISAKMP policy 10 en R3 junto con la clave criptográfica compartida vpnpa55.

    Configurar la política IPsec de IKE Fase 2 en R3


    a) Cree el conjunto de transformación VPN-SET para usar esp-aes y esp-sha-hmac.

    b) Cree el mapa criptográfico VPN-MAP que une todos los parámetros de la Fase 2. Utilice el número de secuencia 10 e
    identifíquelo como un mapa ipsec-isakmp

    Configure el mapa criptográfico en la interfaz saliente


    Enlazar el mapa criptográfico VPN-MAP a la interfaz Serial 0/0/1 saliente.

    VERIFICAR LA VPN IPSEC


    Verifique el túnel antes de que haya tráfico interesante.
    Emitir el comando show crypto ipsec sa en R1. Observe que la cantidad de paquetes encapsulados, cifrados,
    desencapsulados y descifrados están todos configurados en 0.

    Mauro Raúl Chilquillo Rebatta <[email protected]> 4


    SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL
    ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN

    Crea tráfico interesante


    Ping de PC-C a PC-A.
    Verifique el túnel después de un tráfico interesante
    En R1, volver emitir el comando show crypto ipsec sa. Observe que la cantidad de paquetes es superior a 0, lo que indica
    que el túnel VPN IPsec está funcionando.
    Cree tráfico poco interesante
    Ping de PC-B a PC-A. Nota: Emitir un ping desde R1 a PC-C o de R3 a PC-A. No es tráfico interesante.
    Verificar el túnel
    En R1, reemitir el comando show crypto ipsec sa. Observe que la cantidad de paquetes no ha cambiado, lo que verifica
    que el tráfico poco interesante no esté cifrado.
    RESOLVER:
    Tomando como referencia las configuraciones del ejercicio anterior realizar la configuración del túnel VPN mostrado en la
    topología. (Elaborar un nuevo esquema de direccionamiento)

    Mauro Raúl Chilquillo Rebatta <[email protected]> 5

    También podría gustarte