Upload
dinhphuc
View
218
Download
2
Embed Size (px)
Citation preview
1
CONTENIDO
Laboratorio 1 Seguridad en Router Cisco 2
Laboratorio 2 Role Based Access 7
Laboratorio 3 Cisco SDM 10
Laboratorio 4 AAA LOCAL 14
Laboratorio 5 AAA TACACS+ 16
Laboratorio 6 Auto Secure / One Step Lock Down Router 18
Laboratorio 7 Cisco Logging 20
Laboratorio 8 Configuración de protocolo SSH 22
Laboratorio 9 Segura en Switch Cisco 24
Laboratorio 10 NAC LEAP 802.1x 27
Laboratorio 11 Lista de Acceso Estándar 29
Laboratorio 12 Lista de Acceso Extendida 31
Laboratorio 13 VPN IPSec Site to Site 33
2
LABORATORIO 1
OBJETIVO
El estudiante aprenderá los procedimientos necesarios para la configuración de un Router Cisco de forma segura.
REQUERIMIENTOS:
(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO
3
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Configuración contraseñas 3. Limitar el número de intentos fallidos de conexión 4. Configuración de reloj de inactividad 5. Configuración de modo privilegiado 6. Protección de archivos del Router 7. Configuración opciones adicionales de seguridad para las conexiones virtuales 8. Configuración Banner
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA N/A
SwitchA N/A
LaptopA N/A
2) CONFIGURACION DE CONTRASEÑAS
RouterA>enable Entra al modo privilegiado.
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#enable secret cisco Configuración de contraseña para entra al modo configuración privilegiado.
RouterA(config)#line console 0 Entra al modo configuración Line.
RouterA(config-line)#password cisco Configuración de contraseña en el puerto console 0.
RouterA(config-line)#login Activación de la autenticación.
RouterA(config)#exit Salir al modo configuración anterior.
RouterA(config)#line aux 0 Entra al modo configuración Aux.
RouterA(config-line)#password cisco Configuración de contraseña en el puerto Auxiliar.
RouterA(config-line)#login Activación de la autenticación.
RouterA(config)#exit Salir al modo configuración anterior.
RouterA(config)#line vty 0 4 Entra al modo configuración Line.
RouterA(config-line)#password cisco Configuración de contraseña en los puertos VTY.
RouterA(config-line)#login Activación de la autenticación.
RouterA(config-line)#exit Salir al modo configuración anterior.
RouterA(config)#exit Salir al modo configuración anterior.
4
RouterA#show running Muestra en pantalla la configuración del Router residente en el memoria DRAM.
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#service password-encryption Comando para cifra todas las contraseñas anteriormente configuradas.
RouterA(config)#exit Salir al modo configuración anterior.
RouterA#show running Muestra en pantalla la configuración del Router residente en el memoria DRAM.
3) LIMITAR EL NUMERO DE INTENTOS FALLIDOS CONEXION
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#security authentication failure rate 5 log
Comando para especificar la cantidad de autenticación fallidas.. En caso que el número de intentos fallidos sea igual a 5 el Router generará un mensaje log.
RouterA(config)#exit Salir al modo configuración anterior.
4) CONFIGURACION RELOJ DE INACTIVIDAD
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#line con 0 Entra al modo configuración Line.
RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema.
RouterA(config-line)#exit Salir al modo configuración anterior.
RouterA(config)#line aux 0 Entra al modo configuración Auxiliar.
RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema.
RouterA(config-line)#exit Salir al modo configuración anterior.
RouterA(config)#line vty 0 4 Entra al modo configuración VTY.
RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso
5
de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema.
RouterA(config-line)#exit Salir al modo configuración anterior.
5) CONFIGURACION MODO PRIVILEGIADO
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#privilege exec level 5 debug Comando que especifica el nivel de privilegio necesario para ejecutar el comando debug. En este caso es el nivel customizado 5. Los niveles alcanzan el rango de 0-15. El nivel privilegiado 0 es el EXEC mode (modo de usuario) y el nivel privilegiado 15 es el PRIVILEG MODE (modo privilegiado). El rango 1-14 puede ser personalizado.
RouterA(config)#enable secret level 5 cisco Configuración de contraseña para entrar al modo privilegiado 5.
RouterA(config)#exit Salir al modo anterior.
RouterA#enable 5 Entra al modo privilegiado 5.
6) PROTECCION DE ARCHIVOS DEL ROUTER
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#secure boot-image Comando que asegura la imagen del sistema operativo para que esta no sea borrada del sistema intencionalmente. (Cisco IOS Resilient Configuration)
RouterA(config)#secure boot-config Comando que asegura la configuración running-config en el sistema. De esta forma se mantiene un backup de la configuración de manera segura. (Cisco IOS Resilient Configuration)
RouterA#show secure bootset Comando utilizado verificar si tenemos activa la Cisco IOS Resilient Configuration.
6
7) CONFIGURANDO OPCIONALES ADICIONALES PARA LAS CONEXIONES VIRTUALES
Router#configure terminal Entra al modo configuración Global.
RouterA(config)#login block-for 30 attempts 5 within 10
Comando que establece el número máximo de intentos fallidos de validación. En caso que los intentos fallidos alcancen 5 intentos el sistema desactivará la validación de usuario por un periodo de 30 segundos.
RouterA(config)#login quiet-mode access-class 101
Comando que especifica la excepción al comando anteior.
RouterA(config)#login delay 3 Comando que especifica el tiempo mínimo esperado entre intentos de validación.
RouterA(config)#login on-failure log Comando que especifica la creación de una archivo para llevar un registro de los intentos fallidos de validación.
RouterA(config)#login on-success log Comando que especifica la creación de una archivo para llevar un registro de los intentos válidos de validación.
8) CONFIGURACION BANNER
RouterA(config)#banner motd #EL ACCESO A ESTE EQUIPO DE MANERA ILEGAL SERA PERSEGUIDO CON TODA LA FUERZA DE LEY
Configuración de banner.
7
LABORATORIO 2
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de accesso a los recursos del Cisco IOS basado en roles o perfiles de usuarios.
REQUERIMIENTOS:
(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO
8
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Configuración de VIEW o perfiles 3. Comprobación de la configuración
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA N/A
SwitchA N/A
LaptopA N/A
2) CONFIGURACION DE VIEW O PERFILES
RouterA#terminal monitor Muestra en pantalla mensajes de debug, errores, notificaciones, etc.
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#aaa new-model Activación de AAA.
RouterA(config)#exit Salir al modo configuración anterior.
RouterA#enable view Entra al modo configuración View.
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#parser view HELPDESK Creación de un VIEW o Perfil.
RouterA(config-view)#secret cisco Configuración de contraseña para accesar al este perfil.
RouterA(config-view)#commands exec include all copy
Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW.
RouterA(config-view)#commands exec include traceroute
Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW.
RouterA(config-view)#commands exec include ping
Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW.
RouterA(config-view)#exit Salir al modo configuración anterior.
RouterA(config)#parser view SUPPORT Creación de un VIEW o Perfil.
RouterA(config-view)#secret cisco Configuración de contraseña para acceder al este perfil.
RouterA(config-view)#commands exec include show
Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW.
RouterA(config-view)#exit Salir al modo configuración anterior.
9
RouterA(config)#username helpdesk view HELPDESK secret cisco
Creación de cuenta de usuario.
RouterA(config)#username support view SUPPORT secret cisco
Creación de cuenta de usuario.
RouterA(config)#exit Salir al modo configuración Privilegiado.
RouterA#exit Salir al modo configuración EXEC.
3) COMPRABACION DE LA CONFIGURACION
RouterB>enable view helpdesk Entra al modo View helpdesk.
RouterB#? Muestra los comandos que pueden ser utilizado por el modo View.
RouterB>enable view support Entra al modo View support.
RouterB#? Muestra los comandos que pueden ser utilizado por el modo View.
10
LABORATORIO 3
OBJETIVO
El estudiante aprenderá el procedimiento necesario para la instalación del software Cisco SDM.
REQUERIMIENTOS:
(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (3) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Configuración Básica Router Cisco 3. Configuración de Servidor HTTP en Router Cisco 4. Configuración de cuenta de usuario en Router Cisco 5. Instalación de Cisco SDM en Laptop
11
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA N/A
SwitchA N/A
LaptopA N/A
2) CONFIGURACION DE HTTP SERVER EN ROUTER CISCO
Router>enable Entra al modo Privilegiado.
Router#configure terminal Entra al modo configuración Global.
Router(config)#hostname RouterA Configuración de Host Name.
RouterA(config)#no ip domain-lookup Desactivación de resolución de nombres de dominio.
3) CONFIGURACION DE SERVIDOR HTTP EN ROUTER CISCO
RouterA(config)#ip http server Activación de servicio de servidor HTTP.
RouterA(config)#ip http secure-server Activación de servicio de servidor HTTP Seguro utilizando SSL.
RouterA(config)#ip http authentication local Configuración de la validación de usuario en la base de datos local del Router.
4) CONFIGURACION DE CUENTA DE USUARIO
RouterA(config)#username admin privilege 15 secret cisco
Configuración de la cuenta de usuario Admin con privilegios todos los privilegios ya que se le ha asignado el nivel 15.
12
5) INSTALACION DE CISCO SDM EN LAPTOP
A) Comenzando el proceso de instalación
B) Selección de la ruta de instalación
c) Iniciando conexión del Router Cisco
14
LABORATORIO 4
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de validación de logins utilizando AAA con la base de datos de usuarios local del Router.
REQUERIMIENTOS:
(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Configuración cuenta de usuario 3. Configuración de AAA 4. Configuración de VTY
15
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA N/A
SwitchA N/A
LaptopA N/A
2) CONFIGURACION CUENTA DE USUARIO
RouterA(config)#username admin privilege 15 secret cisco
Creación de cuenta de usuario local en Router.
3) CONFIGURACION DE SSH
RouterA(config)#aaa new-model Activación de AAA.
RouterA(config)#aaa authentication login CCNA_SECURITY local
Configuración de AAA Autenticación Local.
4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4 Entra al modo configuración Line.
RouterA(config-line)#login authentication login CCNA_SECURITY
Configuración de Logins en VTY utilizando el método de validación CCNA_SECURITY.
16
LABORATORIO 5
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de validación de logins utilizando AAA con un servidor TACACS+.
REQUERIMIENTOS:
(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP Cisco ACS 4.0 for Windows
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP
2. Configuración de AAA 3. Configuración método de validación TACACS 4. Configuración de VTY
17
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA 10.10.10.1/24
SwitchA 10.10.10.2/24
LaptopA 10.10.10.3/24
2) CONFIGURACION DE AAA
RouterA(config)#aaa new-model Activación de AAA.
RouterA(config)#aaa authentication login CCNA_SECURITY group tacacs
Configuración de AAA Autenticación Local.
3) CONFIGURACION METODO DE VALIDACION TACACS
RouterA(config)#tacacs-server host 10.10.0.3 single-connection
Configuración servidor TACACS.
RouterA(config)#tacacs-server key cisco Configuración de contraseña para establecer la conexión con el servidor TACACS.
4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4 Entra al modo configuración Line.
RouterA(config-line)#login authentication login CCNA_SECURITY
Configuración de Logins en VTY utilizando el metodo de validación CCNA_SECURITY.
18
LABORATORIO 6
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de un Router Cisco de forma segura automáticamente.
REQUERIMIENTOS:
(2) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Comando AutoSecure
19
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA 10.10.10.1/24
SwitchA 10.10.10.2/24
LaptopA 10.10.10.3/24
2) COMANDO AUTO SECURE
Router>enable
Router#auto secure
20
LABORATORIO 7
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración que la configuración de bitácora (Logging) sea enviada a un servidor Syslog central en la red.
REQUERIMIENTOS:
(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP. Kiwi Syslog Server Software 8.3.52 for Windows
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP
2. Configuración de Logging
21
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA 10.10.10.1/24
SwitchA 10.10.10.2/24
LaptopA 10.10.10.3/24
2) CONFIGURACION DE LOGGING
RouterA#terminal monitor Muestra en pantalla la salida de los comandos debug, mensajes de notificación y error.
RouterA#configure terminal Entra al modo configuración Global.
RouterA(config)#logging buffered 4096 Configuración del tamaño del buffer para guardar los log del router.
RouterA(config)#logging 10.10.10.3 Configuración de servidor Syslog para que el Router envie los logs.
RouterA(config)#logging trap 7 Configuración del Nivel 7 de mensajes Syslog.
RouterA#show log Muestra los logs guardados en el buffer en pantalla.
22
LABORATORIO 8
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de SSH como protocolo de acceso remoto a los Routers.
REQUERIMIENTOS:
(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Configuración de cuenta de usuario 3. Configuración de SSH 4. Configuración de VTY 5. Configuración opcional de SSH 6. Mostrar información de SSH
23
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA 10.10.10.1/24
SwitchA 10.10.10.2/24
LaptopA 10.10.10.3/24
2) CONFIGURACION CUENTA DE USUARIO
RouterA(config)#username admin privilege 15 secret cisco
Creación de cuenta de usuario local en Router.
3) CONFIGURACION DE SSH
RouterA(config)#ip domain-name cisco.com Configuración de nombre de dominio. Esta opción es importante ya que el protocolo SSH generará una llave de encriptación pública y ésta se generara usando datos del Router tales como el nombre de dominio.
RouterA(config)#crypto key generate rsa Generación de llave criptográfica utilizando el algoritmo asimétrico RSA.
4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4 Entra al modo configuración Line.
RouterA(config-line)#login local Configuración de Login con la validación de usuario en la base de datos local del Router.
RouterA(config-line)#transport input ssh Configuración de SSH en los VTY.
5) CONFIGURACION OPCIONAL DE SSH
RouterA(config)#ip ssh version 2 Configuración de SSH versión 2.
RouterA(config)#ip ssh time-out 120 Configuración de IDLE para 120 segundos.
RouterA(config)#ip ssh authentication-retries 1 Configuración del número de intentos permitidos para entrar al Router via SSH.
6) MOSTRAR CONFIGURACION SSH
RouterA#show ip ssh Muestra en pantalla información de SSH.
24
LABORATORIO 9
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración segura de dispositivos de Capa 2 (Switching).
REQUERIMIENTOS:
(2) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Previniendo VLAN Hopping 3. Previniendo Ataques STP 4. Previniendo Ataques DHCP Server Spoofing 5. Previniendo Ataques CAM Table Overflow y MAC Address Spoofing (port-security)
25
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA 10.10.10.1/24
SwitchA 10.10.10.2/24
LaptopA 10.10.10.3/24
2) PREVINIENDO VLAN HOPPPING (SWITCH SPOOFING)
Switch>enable Entra al modo Privilegiado.
Switch#configure terminal Entra al modo configuración Global.
Switch(config)#interface f0/24 Entra al modo configuración de interfase.
Switch(config-if)#switchport mode access Configuración de puerto en modo Access.
Switch(config-if)#exit Salir al modo configuración anterior.
Switch(config)#interface f0/23 Entra al modo configuración interfase.
Switch(config-if)#switchport mode trunk Configuración de puerto en modo Trunk.
Switch(config-if)#switchport trunk encapsulation dot1
Configuración de encapsulación 802.1q.
Switch(config-if)#switchport nonegotiate Parámetro para deshabilitar el envío de tramas DTP en el puerto.
Switch(config-if)#switchport trunk native vlan 400
Configuración de VLAN NATIVA en la VLAN 400.
3) PREVINIENDO ATAQUES STP (ROOT GUARD)
Switch>enable Entra al modo Privilegiado.
Switch#configure terminal Entra al modo configuración Global.
Switch(config)#interface f0/1 Entra al modo configuración interfase.
Switch(config-if)#spanning-tree guard root Configura el puerto para que en caso de que se reciba alguna trama DPDU el puerto se pone en modo root-inconsistent. Mientras este puerto esta en modo root-inconsistent el usuario no puede enviar ni recibir información.
Switch(config)#interface f0/2 Entra al modo configuración interfase.
Switch(config-if)#spanning-tree portfast bpduguard
Configura el puerto en modo Port-Fast. En caso que el puerto reciba alguna trama BPDU el puerto de deshabilita automáticamente.
26
4) PREVINIENDO ATAQUES DHCPD SERVER SPOOFING
Switch>enable Entra al modo privilegiado.
Switch#configure terminal Entra al modo configuración Global.
Switch(config)#ip dhcp snooping Comando para la activación de ip dhcp snooping con el fin de prevenir la instalación de servidores DHCP ilegítimos.
Switch(config)#interface f0/4 Entra al modo configuración interfase.
Switch(config-if)#ip dhcp snooping trust Configuración de interfase como CONFIABLE para recibir paquetes DHCPOFFER, DHCPPACK.
Switch(config-if)#exit Salir al modo configuración anterior.
Switch(config)#interface f0/5 Entra al modo conifguración interfase.
Switch(config-if)#ip dhcp snooping limit rate 3 Configuración para limitar el número de mensajes DHCP que pueden ser enviados por segundo.
5) PREVINIENDO ATAQUES CAM TABLE OVERFLOW Y MAC ADDRESS SPOOFING
Switch>enable Entra al modo Privilegiado.
Switch#configure terminal Entra al modo configuración Global.
Switch(config)#interface f0/5 Entra al modo configuración interfase.
Switch(config-if)#switchport mode access Configuración de puerto en modo ACCESS.
Switch(config-if)#switchport port-security Activación de Port-Security en el puerto.
Switch(config-if)#switchport port-security maximum 1
Configuración que permite sólo una dirección MAC en la interfase.
Switch(config-if)#switchport port-security violation shutdown
Configuración que desactiva la interfase en caso de que sean reconocidas dos o más direcciones MAC en la interfase.
Switch(config-if)#switchport port-security mac-address sticky
Configuración para grabar las direcciones MAC registradas por la interfase en la running-configuration.
Switch(config-if)#exit Salir al modo configuración anterior.
Switch(config)#exit Salir al modo configuración anterior.
Switch#show port-security Muestra información sobre los puertos que tiene activo Port-Security.
Switch#show port-security address Muestra información sobre los puertos que tiene activo Port-Security.
27
LABORATORIO 10
OBJETIVO
El estudiante aprenderá el procedimiento necesario para la configuración de NAC (Network Access Control) a nivel de Switch.
REQUERIMIENTOS:
(1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (2) PC IBM o compatible Sistema operativo Windows XP Cisco ACS for Windows
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Configuración de AAA 3. Configuración de Switch para validación de acceso via Radius 4. Activación global en Switch de validación dot1x 5. Configuración de puertos del Switch 6. Mostrar en pantalla configuración dot1x
28
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname F0/0
Pod A RouterA 10.10.10.1/24
SwitchA 10.10.10.2/24
LaptopA 10.10.10.3/24
2) CONFIGURACION DE AAA
SwitchA>enable Entra al modo Privilegiado.
SwitchA#configure terminal Entra al modo configuración Global.
SwitchA(config)#aaa new-model Activación de AAA.
SwitchA(config)#aaa authentication dot1x CCNA_SECURITY gorup radius
Configuración de validación AAA del tipo dot1x utilizando servidores Radius.
3) CONFIGURACION DE SWITCH PARA VALIDACION DE ACCESO VIA RADIUS
SwitchA(config)#radius-server host 10.10.0.5 Configuración de servidor de validación Radius.
SwitchA(config)#radius-server key cisco Configuración de contraseña para la comunicación entre el Switch y el servidor Radius.
4) ACTIVACION GLOBAL EN EL SWITCH DE VALIDACION DOT1X
SwitchA(config)#dot1x system-auth-control Activación del la validación Dot1x.
SwitchA(config)#guest-vlan supplicant Activación de gues-vlan en caso de la validación de usuario no sea exitosa.
5) CONFIGURACION DE PUERTOS DEL SWITCH
SwitchA(config)#int range 1-12 Entra al modo configuración interfase.
SwitchA(config-if)#switchport mode access Configuración de puerto en modo acceso.
SwitchA(config-if)#dot1x port-control Configuración de dot1x.
6) MOSTRAR EN PANTALLA CONFIGURACION DOT1X
SwitchA#show dot1x Muestra en pantalla información sobre dot1x.
SwitchA#show aaa server Muestra en pantalla información sobre los servidor AAA configurados.
SwitchA#debug aaa authentication Despliega en pantalla en tiempo real información referente al proceso de validación de usuarios.
29
LABORATORIO 11
OBJETIVO
El estudiante aprenderá los comandos y procedimientos necesarios para la configuración de Listas de Acceso Estándar.
REQUERIMIENTOS:
(2) Cisco Router 2501 (1) Rollover Cable (1) PC IBM o compatible Sistema operativo Windows o Linux.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP. 2. Configuración de Lista de Acceso Estandar. 3. Configuración de Lista de Acceso en interfase correspondiente. 4. Comprobacion de la práctica.
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname Ethernet IP Serial/0 IP Serial/1 IP Loopback0 IP
Loopback1 IP
Pod A RouterA 10.10.0.1/24
1.1.1.1/24 2.2.2.2/24
RouterB 10.10.0.2/24
3.3.3.3/24 4.4.4.4/24
2) CONFIGURACION DE LISTA DE ACCESO.
RouterA#configure terminal Entra al modo configuración global.
RouterA(config)#access-list 10 deny ip 3.3.3.3 0.0.0.0
Confguración de Access-List Extendida.
30
3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE
RouterA(config)#int s0 Entra al modo configuración interfase.
RouterA(config-if)#ip access-group 101 out Activación de Access-List en la interfase correspondiente.
4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101
RouterB#ping 1.1.1.1 Comprobación de conectividad a nivel de Capa 3.
31
LABORATORIO 12
OBJETIVO
El estudiante aprenderá los comandos y procedimientos necesarios para la configuración de Listas de Acceso Extendidas.
REQUERIMIENTOS:
(2) Cisco Router 2501 (1) Rollover Cable (1) PC IBM o compatible Sistema operativo Windows o Linux.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP. 2. Configuración de Lista de Acceso Extendida. 3. Configuración de Lista de Acceso en interfase correspondiente. 4. Comprobación de la práctica.
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname Ethernet IP Serial/0 IP Serial/1 IP Loopback0 IP
Loopback1 IP
Pod A RouterA 10.10.0.1/24
1.1.1.1/24 2.2.2.2/24
RouterB 10.10.0.2/24
3.3.3.3/24 4.4.4.4/24
2) CONFIGURACION DE LISTA DE ACCESO.
RouterB#configure terminal Entra al modo configuración global.
RouterB(config)#access-list 101 deny ip 3.3.3.3 0.0.0.0 1.1.1.1 0.0.0.0
Confguración de Access-List Extendida.
32
3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE
RouterB(config)#int s0 Entra al modo configuración interfase.
RouterB(config-if)#ip access-group 101 in Activación de Access-List en la interfase correspondiente.
4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101
RouterB#ping 1.1.1.1 Comprobación de conectividad a nivel de Capa 3.
33
LABORATORIO 13
OBJETIVO
El estudiante aprenderá el procedimiento necesario configuración de una conexión VPN Site to Site utilizando el protocolo IPSEC a través de la línea de comandos.
REQUERIMIENTOS:
(2) Cisco Router 1760 (2) Patch Cord Cable (1) V.35 Serial Cable (1) PC IBM o compatible Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP 2. Configuración de IKE FASE 1 (ISAKMP) 3. Configuración de IKE FASE 2 (IPSEC) 4. Aplicar la configuración a la interfase 5. Verificación de la conexión VPN
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod Hostname Interfase F0/0 Interfase S0/0
Pod A RouterA 10.1.1.1/24 172.30.2.1/24
RouterB 192.168.0.1/24 172.30.2.2/24
34
2) CONFIGURACION DE IKE FASE 1 (ISAKMP)
RouterA(config)#crypto isakmp policy 1 Creación de un objeto para la configuración de políticas ISAKMP.
RouterA(config-isakmp)#hash sha Configuración de Hash.
RouterA(config-isakmp)#group 2 Configuración de nivel de encriptación del protocolo Diffie-Hellman.
RouterA(config-isakmp)#lifetime 86400 Tiempo límete del SA. Cuando el reloj es cero los Router vuelven a renegociar las llaves para establecer una nueva SA.
RouterA(config-isakmp)#authentication pre-share
Tipo de validación.
RouterA(config-isakmp)#encrytion aes 128 Algoritmo de encriptación que se utiliza para el cifrado de la información.
RouterA(config-isakmp)#exit Salir al modo configuración anterior.
RouterA(config)#crypto isakmp key cisco address 172.30.2.2
Configuración de la llave para la validación de IPSEC. El router del otro extremo debe de tener la misma llave.
RouterB(config)#crypto isakmp policy 1 Creación de un objeto para la configuración de políticas ISAKMP.
RouterB(config-isakmp)#hash sha Configuración de Hash.
RouterB(config-isakmp)#group 2 Configuración de nivel de encriptación del protocolo Diffie-Hellman.
RouterB(config-isakmp)#lifetime 86400 Tiempo límete del SA. Cuando el reloj es cero los Router vuelven a renegociar las llaves para establecer una nueva SA.
RouterB(config-isakmp)#authentication pre-share
Tipo de validación.
RouterA(config-isakmp)#encrytion aes 128 Algoritmo de encriptación que se utiliza para el cifrado de la información.
RouterB(config-isakmp)#exit Salir al modo configuración anterior.
RouterB(config)#crypto isakmp key cisco Configuración de la llave para la validación de
35
address 172.30.2.1 IPSEC. El router del otro extremo debe de tener la misma llave.
3) CONFIGURACION DE IKE FASE 2 (IPSEC)
RouterA(config)#crypto ipsec transform-set MYSET esp-aes esp-sha
Configuración de los algoritmos de encriptación a negociar durantes el establecimiento del SA.
RouterA(cfg-crypto-trans)#exit Salir al modo configuración anterior.
RouterA(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
Lista de acceso.
RouterA(config)#crypto map ROUTERA_TO_ROUTERB 1 ipsec-isakmp
Configuración de Crypto MAP.
RouterA(config-crypto-map)#set peer 172.30.2.2 Especifica la dirección IP del Router con el cual se va a establecer conexión.
RouterA(config-crypto-map)#set transform-set MYSET
Especifica el transform-set a utilizar durante la conexión.
RouterA(config-crypto-map)#match address 101
Especifica la lista de acceso que establecerá el trafico que cruzará a través del túnel VPN.
RouterA(config-crypto-map)#exit Salir al modo configuración anterior.
RouterB(config)#crypto ipsec transform-set MYSET esp-aes esp-sha
Configuración de los algoritmos de encriptación a negociar durantes el establecimiento del SA.
RouterB(cfg-crypto-trans)#exit Salir al modo configuración anterior.
RouterA(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255
Lista de acceso.
RouterA(config)#crypto map ROUTERB_TO_ROUTERA 1 ipsec-isakmp
Configuración de Crypto MAP.
RouterA(config-crypto-map)#set peer 172.30.2.1 Especifica la dirección IP del Router con el cual se va a establecer conexión.
36
RouterA(config-crypto-map)#set transform-set MYSET
Especifica el transform-set a utilizar durante la conexión.
RouterA(config-crypto-map)#match address 101
Especifica la lista de acceso que establecerá el trafico que cruzará a través del túnel VPN.
RouterA(config-crypto-map)#exit Salir al modo configuración anterior.
4) APLICAR LA CONFIGURACION A LA INTERFASE
RouterA(config)#interface s0/0 Entra al modo configuración interfase.
RouterA(config-if)#crypto map ROUTERA_TO_ROUTERB
Aplica el Cryto Map Armadillo en la interfase.
RouterA(config-if)#exit Salir al modo configuración anterior.
RouterA(config)#ip route 192.168.0.0 255.255.255.0 172.30.2.2
Configuración de ruta por defecto.
RouterB(config)#interface s0/0 Entra al modo configuración interfase.
RouterB(config-if)#crypto map ROUTERB_TO_ROUTERA
Aplica el Cryto Map Armadillo en la interfase.
RouterB(config-if)#exit Salir al modo configuración anterior.
RouterB(config)#ip route 10.1.1.0 255.255.255.0 172.30.2.1
Configuración de ruta por defecto.
5) VERIFICACION DE LA CONEXION VPN
RouterA#ping (extendido) Ping extendido.
Target IP address: 192.168.0.1 Dirección IP destinado del paquete.
Source address of interface: 10.1.1.1 Dirección IP origen del paquete.
RouterA#show cryto engine connections active Muestra las conección activas a través del VPN.
RouterA#show cryto session Muestra las session IPSec activas en el Router.