Manual Completo CCNA Security Version 1smarttrainingllc.net/capacity-recursos-cursos/CCNA... · · 2014-11-21Laboratorio 9 Segura en Switch Cisco 24 ... El estudiante aprenderá

1

CONTENIDO

Laboratorio 1 Seguridad en Router Cisco 2

Laboratorio 2 Role Based Access 7

Laboratorio 3 Cisco SDM 10

Laboratorio 4 AAA LOCAL 14

Laboratorio 5 AAA TACACS+ 16

Laboratorio 6 Auto Secure / One Step Lock Down Router 18

Laboratorio 7 Cisco Logging 20

Laboratorio 8 Configuración de protocolo SSH 22

Laboratorio 9 Segura en Switch Cisco 24

Laboratorio 10 NAC LEAP 802.1x 27

Laboratorio 11 Lista de Acceso Estándar 29

Laboratorio 12 Lista de Acceso Extendida 31

Laboratorio 13 VPN IPSec Site to Site 33

2

LABORATORIO 1

OBJETIVO

El estudiante aprenderá los procedimientos necesarios para la configuración de un Router Cisco de forma segura.

REQUERIMIENTOS:

(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP

DIAGRAMA DE LABORATORIO

3

PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Configuración contraseñas 3. Limitar el número de intentos fallidos de conexión 4. Configuración de reloj de inactividad 5. Configuración de modo privilegiado 6. Protección de archivos del Router 7. Configuración opciones adicionales de seguridad para las conexiones virtuales 8. Configuración Banner

1) ESQUEMA DE DIRECCIONAMIENTO IP

Pod Hostname F0/0

Pod A RouterA N/A

SwitchA N/A

LaptopA N/A

2) CONFIGURACION DE CONTRASEÑAS

RouterA>enable Entra al modo privilegiado.

RouterA#configure terminal Entra al modo configuración Global.

RouterA(config)#enable secret cisco Configuración de contraseña para entra al modo configuración privilegiado.

RouterA(config)#line console 0 Entra al modo configuración Line.

RouterA(config-line)#password cisco Configuración de contraseña en el puerto console 0.

RouterA(config-line)#login Activación de la autenticación.

RouterA(config)#exit Salir al modo configuración anterior.

RouterA(config)#line aux 0 Entra al modo configuración Aux.

RouterA(config-line)#password cisco Configuración de contraseña en el puerto Auxiliar.



RouterA(config)#line vty 0 4 Entra al modo configuración Line.

RouterA(config-line)#password cisco Configuración de contraseña en los puertos VTY.


RouterA(config-line)#exit Salir al modo configuración anterior.


4

RouterA#show running Muestra en pantalla la configuración del Router residente en el memoria DRAM.


RouterA(config)#service password-encryption Comando para cifra todas las contraseñas anteriormente configuradas.


RouterA#show running Muestra en pantalla la configuración del Router residente en el memoria DRAM.

3) LIMITAR EL NUMERO DE INTENTOS FALLIDOS CONEXION


RouterA(config)#security authentication failure rate 5 log

Comando para especificar la cantidad de autenticación fallidas.. En caso que el número de intentos fallidos sea igual a 5 el Router generará un mensaje log.


4) CONFIGURACION RELOJ DE INACTIVIDAD


RouterA(config)#line con 0 Entra al modo configuración Line.

RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema.


RouterA(config)#line aux 0 Entra al modo configuración Auxiliar.

RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema.


RouterA(config)#line vty 0 4 Entra al modo configuración VTY.

RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso

5

de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema.


5) CONFIGURACION MODO PRIVILEGIADO


RouterA(config)#privilege exec level 5 debug Comando que especifica el nivel de privilegio necesario para ejecutar el comando debug. En este caso es el nivel customizado 5. Los niveles alcanzan el rango de 0-15. El nivel privilegiado 0 es el EXEC mode (modo de usuario) y el nivel privilegiado 15 es el PRIVILEG MODE (modo privilegiado). El rango 1-14 puede ser personalizado.

RouterA(config)#enable secret level 5 cisco Configuración de contraseña para entrar al modo privilegiado 5.

RouterA(config)#exit Salir al modo anterior.

RouterA#enable 5 Entra al modo privilegiado 5.

6) PROTECCION DE ARCHIVOS DEL ROUTER


RouterA(config)#secure boot-image Comando que asegura la imagen del sistema operativo para que esta no sea borrada del sistema intencionalmente. (Cisco IOS Resilient Configuration)

RouterA(config)#secure boot-config Comando que asegura la configuración running-config en el sistema. De esta forma se mantiene un backup de la configuración de manera segura. (Cisco IOS Resilient Configuration)

RouterA#show secure bootset Comando utilizado verificar si tenemos activa la Cisco IOS Resilient Configuration.

6

7) CONFIGURANDO OPCIONALES ADICIONALES PARA LAS CONEXIONES VIRTUALES

Router#configure terminal Entra al modo configuración Global.

RouterA(config)#login block-for 30 attempts 5 within 10

Comando que establece el número máximo de intentos fallidos de validación. En caso que los intentos fallidos alcancen 5 intentos el sistema desactivará la validación de usuario por un periodo de 30 segundos.

RouterA(config)#login quiet-mode access-class 101

Comando que especifica la excepción al comando anteior.

RouterA(config)#login delay 3 Comando que especifica el tiempo mínimo esperado entre intentos de validación.

RouterA(config)#login on-failure log Comando que especifica la creación de una archivo para llevar un registro de los intentos fallidos de validación.

RouterA(config)#login on-success log Comando que especifica la creación de una archivo para llevar un registro de los intentos válidos de validación.

8) CONFIGURACION BANNER

RouterA(config)#banner motd #EL ACCESO A ESTE EQUIPO DE MANERA ILEGAL SERA PERSEGUIDO CON TODA LA FUERZA DE LEY

Configuración de banner.

7

LABORATORIO 2

OBJETIVO

El estudiante aprenderá el procedimiento necesario la configuración de accesso a los recursos del Cisco IOS basado en roles o perfiles de usuarios.

REQUERIMIENTOS:

(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP


8

PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Configuración de VIEW o perfiles 3. Comprobación de la configuración


Pod Hostname F0/0

Pod A RouterA N/A

SwitchA N/A

LaptopA N/A

2) CONFIGURACION DE VIEW O PERFILES

RouterA#terminal monitor Muestra en pantalla mensajes de debug, errores, notificaciones, etc.


RouterA(config)#aaa new-model Activación de AAA.


RouterA#enable view Entra al modo configuración View.


RouterA(config)#parser view HELPDESK Creación de un VIEW o Perfil.

RouterA(config-view)#secret cisco Configuración de contraseña para accesar al este perfil.

RouterA(config-view)#commands exec include all copy

Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW.

RouterA(config-view)#commands exec include traceroute


RouterA(config-view)#commands exec include ping


RouterA(config-view)#exit Salir al modo configuración anterior.

RouterA(config)#parser view SUPPORT Creación de un VIEW o Perfil.

RouterA(config-view)#secret cisco Configuración de contraseña para acceder al este perfil.

RouterA(config-view)#commands exec include show


RouterA(config-view)#exit Salir al modo configuración anterior.

9

RouterA(config)#username helpdesk view HELPDESK secret cisco

Creación de cuenta de usuario.

RouterA(config)#username support view SUPPORT secret cisco

Creación de cuenta de usuario.

RouterA(config)#exit Salir al modo configuración Privilegiado.

RouterA#exit Salir al modo configuración EXEC.

3) COMPRABACION DE LA CONFIGURACION

RouterB>enable view helpdesk Entra al modo View helpdesk.

RouterB#? Muestra los comandos que pueden ser utilizado por el modo View.

RouterB>enable view support Entra al modo View support.

RouterB#? Muestra los comandos que pueden ser utilizado por el modo View.

10

LABORATORIO 3

OBJETIVO

El estudiante aprenderá el procedimiento necesario para la instalación del software Cisco SDM.

REQUERIMIENTOS:

(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (3) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP.


PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Configuración Básica Router Cisco 3. Configuración de Servidor HTTP en Router Cisco 4. Configuración de cuenta de usuario en Router Cisco 5. Instalación de Cisco SDM en Laptop

11


Pod Hostname F0/0

Pod A RouterA N/A

SwitchA N/A

LaptopA N/A

2) CONFIGURACION DE HTTP SERVER EN ROUTER CISCO

Router>enable Entra al modo Privilegiado.

Router#configure terminal Entra al modo configuración Global.

Router(config)#hostname RouterA Configuración de Host Name.

RouterA(config)#no ip domain-lookup Desactivación de resolución de nombres de dominio.

3) CONFIGURACION DE SERVIDOR HTTP EN ROUTER CISCO

RouterA(config)#ip http server Activación de servicio de servidor HTTP.

RouterA(config)#ip http secure-server Activación de servicio de servidor HTTP Seguro utilizando SSL.

RouterA(config)#ip http authentication local Configuración de la validación de usuario en la base de datos local del Router.

4) CONFIGURACION DE CUENTA DE USUARIO

RouterA(config)#username admin privilege 15 secret cisco

Configuración de la cuenta de usuario Admin con privilegios todos los privilegios ya que se le ha asignado el nivel 15.

12

5) INSTALACION DE CISCO SDM EN LAPTOP

A) Comenzando el proceso de instalación

B) Selección de la ruta de instalación

c) Iniciando conexión del Router Cisco

13

d) Utilizando Cisco SDM

14

LABORATORIO 4

OBJETIVO

El estudiante aprenderá el procedimiento necesario la configuración de validación de logins utilizando AAA con la base de datos de usuarios local del Router.

REQUERIMIENTOS:



PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Configuración cuenta de usuario 3. Configuración de AAA 4. Configuración de VTY

15


Pod Hostname F0/0

Pod A RouterA N/A

SwitchA N/A

LaptopA N/A

2) CONFIGURACION CUENTA DE USUARIO


Creación de cuenta de usuario local en Router.

3) CONFIGURACION DE SSH


RouterA(config)#aaa authentication login CCNA_SECURITY local

Configuración de AAA Autenticación Local.

4) CONFIGURACION DE VTY


RouterA(config-line)#login authentication login CCNA_SECURITY

Configuración de Logins en VTY utilizando el método de validación CCNA_SECURITY.

16

LABORATORIO 5

OBJETIVO

El estudiante aprenderá el procedimiento necesario la configuración de validación de logins utilizando AAA con un servidor TACACS+.

REQUERIMIENTOS:

(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP Cisco ACS 4.0 for Windows


PROCEDIMIENTO

1. Esquema de direccionamiento IP

2. Configuración de AAA 3. Configuración método de validación TACACS 4. Configuración de VTY

17


Pod Hostname F0/0

Pod A RouterA 10.10.10.1/24

SwitchA 10.10.10.2/24

LaptopA 10.10.10.3/24

2) CONFIGURACION DE AAA


RouterA(config)#aaa authentication login CCNA_SECURITY group tacacs

Configuración de AAA Autenticación Local.

3) CONFIGURACION METODO DE VALIDACION TACACS

RouterA(config)#tacacs-server host 10.10.0.3 single-connection

Configuración servidor TACACS.

RouterA(config)#tacacs-server key cisco Configuración de contraseña para establecer la conexión con el servidor TACACS.



RouterA(config-line)#login authentication login CCNA_SECURITY

Configuración de Logins en VTY utilizando el metodo de validación CCNA_SECURITY.

18

LABORATORIO 6

OBJETIVO

El estudiante aprenderá el procedimiento necesario la configuración de un Router Cisco de forma segura automáticamente.

REQUERIMIENTOS:



PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Comando AutoSecure

19


Pod Hostname F0/0


SwitchA 10.10.10.2/24

LaptopA 10.10.10.3/24

2) COMANDO AUTO SECURE

Router>enable

Router#auto secure

20

LABORATORIO 7

OBJETIVO

El estudiante aprenderá el procedimiento necesario la configuración que la configuración de bitácora (Logging) sea enviada a un servidor Syslog central en la red.

REQUERIMIENTOS:

(1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP. Kiwi Syslog Server Software 8.3.52 for Windows


PROCEDIMIENTO

1. Esquema de direccionamiento IP

2. Configuración de Logging

21


Pod Hostname F0/0


SwitchA 10.10.10.2/24

LaptopA 10.10.10.3/24

2) CONFIGURACION DE LOGGING

RouterA#terminal monitor Muestra en pantalla la salida de los comandos debug, mensajes de notificación y error.


RouterA(config)#logging buffered 4096 Configuración del tamaño del buffer para guardar los log del router.

RouterA(config)#logging 10.10.10.3 Configuración de servidor Syslog para que el Router envie los logs.

RouterA(config)#logging trap 7 Configuración del Nivel 7 de mensajes Syslog.

RouterA#show log Muestra los logs guardados en el buffer en pantalla.

22

LABORATORIO 8

OBJETIVO

El estudiante aprenderá el procedimiento necesario la configuración de SSH como protocolo de acceso remoto a los Routers.

REQUERIMIENTOS:



PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Configuración de cuenta de usuario 3. Configuración de SSH 4. Configuración de VTY 5. Configuración opcional de SSH 6. Mostrar información de SSH

23


Pod Hostname F0/0


SwitchA 10.10.10.2/24

LaptopA 10.10.10.3/24

2) CONFIGURACION CUENTA DE USUARIO


Creación de cuenta de usuario local en Router.

3) CONFIGURACION DE SSH

RouterA(config)#ip domain-name cisco.com Configuración de nombre de dominio. Esta opción es importante ya que el protocolo SSH generará una llave de encriptación pública y ésta se generara usando datos del Router tales como el nombre de dominio.

RouterA(config)#crypto key generate rsa Generación de llave criptográfica utilizando el algoritmo asimétrico RSA.



RouterA(config-line)#login local Configuración de Login con la validación de usuario en la base de datos local del Router.

RouterA(config-line)#transport input ssh Configuración de SSH en los VTY.

5) CONFIGURACION OPCIONAL DE SSH

RouterA(config)#ip ssh version 2 Configuración de SSH versión 2.

RouterA(config)#ip ssh time-out 120 Configuración de IDLE para 120 segundos.

RouterA(config)#ip ssh authentication-retries 1 Configuración del número de intentos permitidos para entrar al Router via SSH.

6) MOSTRAR CONFIGURACION SSH

RouterA#show ip ssh Muestra en pantalla información de SSH.

24

LABORATORIO 9

OBJETIVO

El estudiante aprenderá el procedimiento necesario la configuración segura de dispositivos de Capa 2 (Switching).

REQUERIMIENTOS:



PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Previniendo VLAN Hopping 3. Previniendo Ataques STP 4. Previniendo Ataques DHCP Server Spoofing 5. Previniendo Ataques CAM Table Overflow y MAC Address Spoofing (port-security)

25


Pod Hostname F0/0


SwitchA 10.10.10.2/24

LaptopA 10.10.10.3/24

2) PREVINIENDO VLAN HOPPPING (SWITCH SPOOFING)

Switch>enable Entra al modo Privilegiado.

Switch#configure terminal Entra al modo configuración Global.

Switch(config)#interface f0/24 Entra al modo configuración de interfase.

Switch(config-if)#switchport mode access Configuración de puerto en modo Access.

Switch(config-if)#exit Salir al modo configuración anterior.

Switch(config)#interface f0/23 Entra al modo configuración interfase.

Switch(config-if)#switchport mode trunk Configuración de puerto en modo Trunk.

Switch(config-if)#switchport trunk encapsulation dot1

Configuración de encapsulación 802.1q.

Switch(config-if)#switchport nonegotiate Parámetro para deshabilitar el envío de tramas DTP en el puerto.

Switch(config-if)#switchport trunk native vlan 400

Configuración de VLAN NATIVA en la VLAN 400.

3) PREVINIENDO ATAQUES STP (ROOT GUARD)




Switch(config-if)#spanning-tree guard root Configura el puerto para que en caso de que se reciba alguna trama DPDU el puerto se pone en modo root-inconsistent. Mientras este puerto esta en modo root-inconsistent el usuario no puede enviar ni recibir información.


Switch(config-if)#spanning-tree portfast bpduguard

Configura el puerto en modo Port-Fast. En caso que el puerto reciba alguna trama BPDU el puerto de deshabilita automáticamente.

26

4) PREVINIENDO ATAQUES DHCPD SERVER SPOOFING

Switch>enable Entra al modo privilegiado.


Switch(config)#ip dhcp snooping Comando para la activación de ip dhcp snooping con el fin de prevenir la instalación de servidores DHCP ilegítimos.


Switch(config-if)#ip dhcp snooping trust Configuración de interfase como CONFIABLE para recibir paquetes DHCPOFFER, DHCPPACK.


Switch(config)#interface f0/5 Entra al modo conifguración interfase.

Switch(config-if)#ip dhcp snooping limit rate 3 Configuración para limitar el número de mensajes DHCP que pueden ser enviados por segundo.

5) PREVINIENDO ATAQUES CAM TABLE OVERFLOW Y MAC ADDRESS SPOOFING




Switch(config-if)#switchport mode access Configuración de puerto en modo ACCESS.

Switch(config-if)#switchport port-security Activación de Port-Security en el puerto.

Switch(config-if)#switchport port-security maximum 1

Configuración que permite sólo una dirección MAC en la interfase.

Switch(config-if)#switchport port-security violation shutdown

Configuración que desactiva la interfase en caso de que sean reconocidas dos o más direcciones MAC en la interfase.

Switch(config-if)#switchport port-security mac-address sticky

Configuración para grabar las direcciones MAC registradas por la interfase en la running-configuration.


Switch(config)#exit Salir al modo configuración anterior.

Switch#show port-security Muestra información sobre los puertos que tiene activo Port-Security.

Switch#show port-security address Muestra información sobre los puertos que tiene activo Port-Security.

27

LABORATORIO 10

OBJETIVO

El estudiante aprenderá el procedimiento necesario para la configuración de NAC (Network Access Control) a nivel de Switch.

REQUERIMIENTOS:

(1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (2) PC IBM o compatible Sistema operativo Windows XP Cisco ACS for Windows


PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Configuración de AAA 3. Configuración de Switch para validación de acceso via Radius 4. Activación global en Switch de validación dot1x 5. Configuración de puertos del Switch 6. Mostrar en pantalla configuración dot1x

28


Pod Hostname F0/0


SwitchA 10.10.10.2/24

LaptopA 10.10.10.3/24

2) CONFIGURACION DE AAA

SwitchA>enable Entra al modo Privilegiado.

SwitchA#configure terminal Entra al modo configuración Global.

SwitchA(config)#aaa new-model Activación de AAA.

SwitchA(config)#aaa authentication dot1x CCNA_SECURITY gorup radius

Configuración de validación AAA del tipo dot1x utilizando servidores Radius.

3) CONFIGURACION DE SWITCH PARA VALIDACION DE ACCESO VIA RADIUS

SwitchA(config)#radius-server host 10.10.0.5 Configuración de servidor de validación Radius.

SwitchA(config)#radius-server key cisco Configuración de contraseña para la comunicación entre el Switch y el servidor Radius.

4) ACTIVACION GLOBAL EN EL SWITCH DE VALIDACION DOT1X

SwitchA(config)#dot1x system-auth-control Activación del la validación Dot1x.

SwitchA(config)#guest-vlan supplicant Activación de gues-vlan en caso de la validación de usuario no sea exitosa.

5) CONFIGURACION DE PUERTOS DEL SWITCH

SwitchA(config)#int range 1-12 Entra al modo configuración interfase.

SwitchA(config-if)#switchport mode access Configuración de puerto en modo acceso.

SwitchA(config-if)#dot1x port-control Configuración de dot1x.

6) MOSTRAR EN PANTALLA CONFIGURACION DOT1X

SwitchA#show dot1x Muestra en pantalla información sobre dot1x.

SwitchA#show aaa server Muestra en pantalla información sobre los servidor AAA configurados.

SwitchA#debug aaa authentication Despliega en pantalla en tiempo real información referente al proceso de validación de usuarios.

29

LABORATORIO 11

OBJETIVO

El estudiante aprenderá los comandos y procedimientos necesarios para la configuración de Listas de Acceso Estándar.

REQUERIMIENTOS:

(2) Cisco Router 2501 (1) Rollover Cable (1) PC IBM o compatible Sistema operativo Windows o Linux.


PROCEDIMIENTO

1. Esquema de direccionamiento IP. 2. Configuración de Lista de Acceso Estandar. 3. Configuración de Lista de Acceso en interfase correspondiente. 4. Comprobacion de la práctica.


Pod Hostname Ethernet IP Serial/0 IP Serial/1 IP Loopback0 IP

Loopback1 IP


1.1.1.1/24 2.2.2.2/24

RouterB 10.10.0.2/24

3.3.3.3/24 4.4.4.4/24

2) CONFIGURACION DE LISTA DE ACCESO.

RouterA#configure terminal Entra al modo configuración global.

RouterA(config)#access-list 10 deny ip 3.3.3.3 0.0.0.0

Confguración de Access-List Extendida.

30

3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE

RouterA(config)#int s0 Entra al modo configuración interfase.

RouterA(config-if)#ip access-group 101 out Activación de Access-List en la interfase correspondiente.

4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101

RouterB#ping 1.1.1.1 Comprobación de conectividad a nivel de Capa 3.

31

LABORATORIO 12

OBJETIVO

El estudiante aprenderá los comandos y procedimientos necesarios para la configuración de Listas de Acceso Extendidas.

REQUERIMIENTOS:

(2) Cisco Router 2501 (1) Rollover Cable (1) PC IBM o compatible Sistema operativo Windows o Linux.


PROCEDIMIENTO

1. Esquema de direccionamiento IP. 2. Configuración de Lista de Acceso Extendida. 3. Configuración de Lista de Acceso en interfase correspondiente. 4. Comprobación de la práctica.


Pod Hostname Ethernet IP Serial/0 IP Serial/1 IP Loopback0 IP

Loopback1 IP


1.1.1.1/24 2.2.2.2/24

RouterB 10.10.0.2/24

3.3.3.3/24 4.4.4.4/24

2) CONFIGURACION DE LISTA DE ACCESO.

RouterB#configure terminal Entra al modo configuración global.

RouterB(config)#access-list 101 deny ip 3.3.3.3 0.0.0.0 1.1.1.1 0.0.0.0

Confguración de Access-List Extendida.

32

3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE

RouterB(config)#int s0 Entra al modo configuración interfase.

RouterB(config-if)#ip access-group 101 in Activación de Access-List en la interfase correspondiente.

4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101

RouterB#ping 1.1.1.1 Comprobación de conectividad a nivel de Capa 3.

33

LABORATORIO 13

OBJETIVO

El estudiante aprenderá el procedimiento necesario configuración de una conexión VPN Site to Site utilizando el protocolo IPSEC a través de la línea de comandos.

REQUERIMIENTOS:

(2) Cisco Router 1760 (2) Patch Cord Cable (1) V.35 Serial Cable (1) PC IBM o compatible Sistema operativo Windows XP


PROCEDIMIENTO

1. Esquema de direccionamiento IP 2. Configuración de IKE FASE 1 (ISAKMP) 3. Configuración de IKE FASE 2 (IPSEC) 4. Aplicar la configuración a la interfase 5. Verificación de la conexión VPN


Pod Hostname Interfase F0/0 Interfase S0/0

Pod A RouterA 10.1.1.1/24 172.30.2.1/24

RouterB 192.168.0.1/24 172.30.2.2/24

34

2) CONFIGURACION DE IKE FASE 1 (ISAKMP)

RouterA(config)#crypto isakmp policy 1 Creación de un objeto para la configuración de políticas ISAKMP.

RouterA(config-isakmp)#hash sha Configuración de Hash.

RouterA(config-isakmp)#group 2 Configuración de nivel de encriptación del protocolo Diffie-Hellman.

RouterA(config-isakmp)#lifetime 86400 Tiempo límete del SA. Cuando el reloj es cero los Router vuelven a renegociar las llaves para establecer una nueva SA.

RouterA(config-isakmp)#authentication pre-share

Tipo de validación.

RouterA(config-isakmp)#encrytion aes 128 Algoritmo de encriptación que se utiliza para el cifrado de la información.

RouterA(config-isakmp)#exit Salir al modo configuración anterior.

RouterA(config)#crypto isakmp key cisco address 172.30.2.2

Configuración de la llave para la validación de IPSEC. El router del otro extremo debe de tener la misma llave.

RouterB(config)#crypto isakmp policy 1 Creación de un objeto para la configuración de políticas ISAKMP.

RouterB(config-isakmp)#hash sha Configuración de Hash.

RouterB(config-isakmp)#group 2 Configuración de nivel de encriptación del protocolo Diffie-Hellman.

RouterB(config-isakmp)#lifetime 86400 Tiempo límete del SA. Cuando el reloj es cero los Router vuelven a renegociar las llaves para establecer una nueva SA.

RouterB(config-isakmp)#authentication pre-share

Tipo de validación.

RouterA(config-isakmp)#encrytion aes 128 Algoritmo de encriptación que se utiliza para el cifrado de la información.

RouterB(config-isakmp)#exit Salir al modo configuración anterior.

RouterB(config)#crypto isakmp key cisco Configuración de la llave para la validación de

35

address 172.30.2.1 IPSEC. El router del otro extremo debe de tener la misma llave.

3) CONFIGURACION DE IKE FASE 2 (IPSEC)

RouterA(config)#crypto ipsec transform-set MYSET esp-aes esp-sha

Configuración de los algoritmos de encriptación a negociar durantes el establecimiento del SA.

RouterA(cfg-crypto-trans)#exit Salir al modo configuración anterior.

RouterA(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255

Lista de acceso.

RouterA(config)#crypto map ROUTERA_TO_ROUTERB 1 ipsec-isakmp

Configuración de Crypto MAP.

RouterA(config-crypto-map)#set peer 172.30.2.2 Especifica la dirección IP del Router con el cual se va a establecer conexión.

RouterA(config-crypto-map)#set transform-set MYSET

Especifica el transform-set a utilizar durante la conexión.

RouterA(config-crypto-map)#match address 101

Especifica la lista de acceso que establecerá el trafico que cruzará a través del túnel VPN.

RouterA(config-crypto-map)#exit Salir al modo configuración anterior.

RouterB(config)#crypto ipsec transform-set MYSET esp-aes esp-sha

Configuración de los algoritmos de encriptación a negociar durantes el establecimiento del SA.

RouterB(cfg-crypto-trans)#exit Salir al modo configuración anterior.

RouterA(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255

Lista de acceso.

RouterA(config)#crypto map ROUTERB_TO_ROUTERA 1 ipsec-isakmp

Configuración de Crypto MAP.

RouterA(config-crypto-map)#set peer 172.30.2.1 Especifica la dirección IP del Router con el cual se va a establecer conexión.

36

RouterA(config-crypto-map)#set transform-set MYSET

Especifica el transform-set a utilizar durante la conexión.

RouterA(config-crypto-map)#match address 101

Especifica la lista de acceso que establecerá el trafico que cruzará a través del túnel VPN.

RouterA(config-crypto-map)#exit Salir al modo configuración anterior.

4) APLICAR LA CONFIGURACION A LA INTERFASE

RouterA(config)#interface s0/0 Entra al modo configuración interfase.

RouterA(config-if)#crypto map ROUTERA_TO_ROUTERB

Aplica el Cryto Map Armadillo en la interfase.

RouterA(config-if)#exit Salir al modo configuración anterior.

RouterA(config)#ip route 192.168.0.0 255.255.255.0 172.30.2.2

Configuración de ruta por defecto.

RouterB(config)#interface s0/0 Entra al modo configuración interfase.

RouterB(config-if)#crypto map ROUTERB_TO_ROUTERA

Aplica el Cryto Map Armadillo en la interfase.

RouterB(config-if)#exit Salir al modo configuración anterior.

RouterB(config)#ip route 10.1.1.0 255.255.255.0 172.30.2.1

Configuración de ruta por defecto.

5) VERIFICACION DE LA CONEXION VPN

RouterA#ping (extendido) Ping extendido.

Target IP address: 192.168.0.1 Dirección IP destinado del paquete.

Source address of interface: 10.1.1.1 Dirección IP origen del paquete.

RouterA#show cryto engine connections active Muestra las conección activas a través del VPN.

RouterA#show cryto session Muestra las session IPSec activas en el Router.

37

RouterB#show cryto engine connections active Muestra las conección activas a través del VPN.

RouterB#show cryto session Muestra las session IPSec activas en el Router.

Documents

Manual Completo CCNA Security Version 1smarttrainingllc.net/capacity-recursos-cursos/CCNA... · · 2014-11-21Laboratorio 9 Segura en Switch Cisco 24 ... El estudiante aprenderá