7.1.2.4 Packet Tracer - Configuring VPNs (Optional)

Packet Tracer: Tracer: Configuración de VPN (optativo) (o ptativo) Tabla Tabla de direccionamiento Dispositivo

Interfa

Dirección IP

!"scara de subred

#ate$a% predeterminado

G0/2/0

192.168.1.1

255.255.255.0

No aplicable

S0/0/0

10.1.1.2

255.255.255.252

No aplicable

G0/2/0

192.168.2.1

255.255.255.0

No aplicable

S0/0/0

10.1.1.1

255.255.255.252

No aplicable

S0/0/1

10.2.2.1

255.255.255.252

No aplicable

G0/2/0

192.168.3.1

255.255.255.0

No aplicable

S0/0/1

10.2.2.2

255.255.255.252

No aplicable

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.2.3

255.255.255.0

192.168.2.1

PC-C

NIC

192.168.3.3

255.255.255.0

192.168.3.1

R1

R2

R3

Par"metros de pol&tica de fase ' de I*!P Par"metros Méo!o !e !i"#ib$ci%& !e cla'e"

+'

+,

Ma&$al o I*!P

ISA(MP

ISA(MP

 Al)o#i*o !e ci+#a!o ci+#a!o

D-, D-, 3S o AS

AS

AS

 Al)o#i*o a"

M5 o ./'

SA-1

SA-1

Méo!o !e a$e&icaci%&

Cla'e" p#e'ia*e&e co*pa#i!a" o +

P#e'ia*e&e co*pa#i!a"

P#e'ia*e&e co*pa#i!a"

I&e#ca*bio !e cla'e"

G#$po  ', 2 o 5

 2

 2

i!a il !e SA I(

86 00 "e)$&!o" o *e&o"

8600

8600

ci"co

ci"co

ISA(MP (e4 la'e 7SB

o" pa#*e#o" en negrita "o& negrita  "o& 'alo#e" p#e!ee#*i&a!o". o" !e*" pa#*e#o" "e !ebe& co&+i)$#a# e:pl;cia*e&e.

Par"metros de pol&tica de fase 0 de IPsec Par"metros

+'

+,

Co&<$&o !e #a&"+o#*acio&e"

PN-S=

PN-S=

No*b#e !e o" !el pee#

R3

R1

i#ecci%& IP !el pee#

10.2.2.2

10.1.1.2

Re! pa#a ci+#a#

192.168.1.0/2

192.168.3.0/2

No*b#e !e la a"i)&aci%& c#ipo)#+ica

PN-MAP

PN-MAP

"ableci*ie&o !e SA

ip"ec-i"a>*p

ip"ec-i"a>*p

1b2etivos Parte ': .abilitar las caracter&sticas de seguridad Parte 0: Configurar los par"metros de IPsec en el +' Parte ,: Configurar los par"metros de IPsec en el +, Parte 3: Verificar la VPN con IPsec

ituación & e"a aci'i!a!, co&+i)$#a# !o" #o$e#" pa#a a!*ii# $&a PN co& IP"ec !e "iio a "iio pa#a el #+ico ?$e +l$4e !e "$" #e"peci'a" AN. l #+ico !e la PN co& IP"ec pa"a a #a'é" !e o#o #o$e# ?$e &o ie&e co&oci*ie&o !e la PN. IP"ec p#opo#cio&a $&a #a&"*i"i%& "e)$#a !e la i&+o#*aci%& co&+i!e&cial a #a'é" !e #e!e" "i& p#oecci%&, co*o I&e#&e. IP"ec +$&cio&a e& la capa !e #e!, po# lo ?$e p#oe)e 4 a$e&ica lo" pa?$ee" IP e&#e lo" !i"po"ii'o" IP"ec pa#icipa&e" pee#", co*o lo" #o$e#" Ci"co.

Parte ': .abilitar las caracter&sticas de seguridad Paso ': ctivar el módulo securit%k45 Se !ebe aci'a# la lice&cia !el pa?$ee !e ec&olo);a !e "e)$#i!a! pa#a co*plea# e"a aci'i!a!. Nota: la co&#a"e@a !e lo" *o!o" C !el $"$a#io 4 C p#i'ile)ia!o e" cisco. a. *ia el co*a&!o s6o$ version e& el *o!o C !el $"$a#io o C p#i'ile)ia!o pa#a 'e#i+ica# "i "e aci'% la lice&cia !el pa?$ee !e ec&olo);a !e "e)$#i!a!. ---------------------------------------------------------------Technology Technology-package Technology-package Current Type Next reboot ----------------------------------------------------------------ipbase ipbasek9 Permanent ipbasek9 security None None None uc None None None data None None None Configuration register is 0x2102

b. e lo co&#a#io, aci'e el *%!$lo securit%k4 pa#a el "i)$ie&e a##a&?$e !el #o$e#, acepe la lice&cia, )$a#!e la co&+i)$#aci%& 4 #ei&icie.

1!config"# license boot module c2900 technology-package securityk9 1!config"# end  1# copy running-config startup-config 1# reload 

c. 7&a 'e +i&alia!a la #eca#)a, '$el'a a e*ii# el co*a&!o s6o$ version pa#a 'e#i+ica# "i "e aci'% la lice&cia !el pa?$ee !e ec&olo);a !e "e)$#i!a!. Technology Package $icense %nformation for &odule'(c2900( ---------------------------------------------------------------Technology Technology-package Technology-package Current Type Next reboot ----------------------------------------------------------------ipbase ipbasek9 Permanent ipbasek9 security securityk9 )*aluation securityk9 uc None None None data None None None

!. Repia lo" pa"o" 1a a 1c co& el +,.

Parte 0: Configurar los par"metros de IPsec en el +' Paso ': Probar la conectividad5 a)a pi&) !e la PC/ a la PC/C.

Paso 0: Identificar el tr"fico interesante en el +'5 Co&+i)$#e la AC 110 pa#a i!e&i+ica# co*o i&e#e"a&e el #+ico p#o'e&ie&e !e la AN e& el +' a la AN e& el +,. "e #+ico i&e#e"a&e aci'a la PN co& IP"ec pa#a ?$e "e i*ple*e&e ca!a 'e ?$e a4a #+ico e&#e la" AN !e lo" #o$e#" +' 4 +,. l #e"o !el #+ico ?$e "e o#i)i&a e& la" AN &o "e ci+#a. Rec$e#!e ?$e !ebi!o a la i&"#$cci%& i*pl;cia !e&4 a&4, &o a4 &ece"i!a! !e a)#e)a# !ica i&"#$cci%& a la li"a.

1!config"# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

Paso ,: Configurar las propiedades de la fase ' de I*!P en el +'5 Co&+i)$#e la" p#opie!a!e" !e la pol;ica c#ipo)#+ica ISA(MP '7 e& el +' <$&o co& la cla'e c#ipo)#+ica co*pa#i!a cisco. Co&"$le la abla !e la +a"e 1 !e ISA(MP pa#a 'e# lo" pa#*e#o" e"pec;+ico" ?$e "e !ebe& co&+i)$#a#. No e" &ece"a#io ?$e "e co&+i)$#e& lo" 'alo#e" p#e!ee#*i&a!o", po# lo ?$e "olo "e !ebe& co&+i)$#a# el ci+#a!o, el *éo!o !e i&e#ca*bio !e cla'e" 4 el *éo!o .

1!config"# crypto 1!config-isakmp"# 1!config-isakmp"# 1!config-isakmp"# 1!config-isakmp"# 1!config"# crypto

isakmp policy 10 encryption aes authentication pre-share group 2 eit isakmp key cisco address 10.2.2.2

Paso 3: Configurar las propiedades de la fase 0 de I*!P en el +'5 C#ee el co&<$&o !e #a&"+o#*acio&e" VPN/-T pa#a $"a# esp/,des 4 esp/s6a/6mac. A co&i&$aci%&, c#ee la a"i)&aci%& c#ipo)#+ica VPN/!P ?$e 'i&c$la o!o" lo" pa#*e#o" !e la +a"e 2. 7"e el &*e#o !e "ec$e&cia '7 e i!e&i+;?$elo co*o $&a a"i)&aci%&ipsec/isakmp.

1!config"# crypto ipsec transform-set !"#-$%& esp-3des esp-sha-hmac 1!config"# crypto map !"#-'(" 10 ipsec-isakmp 1!config-crypto-map"# description !"# connection to )3 1!config-crypto-map"# set peer 10.2.2.2 1!config-crypto-map"# set transform-set !"#-$%& 1!config-crypto-map"#  match address 110 1!config-crypto-map"# eit

Paso 8: Configurar la asignación criptogr"fica en la interfa de salida5 Po# li*o, 'i&c$le la a"i)&aci%& c#ipo)#+ica VPN/!P a la i&e#+a !e "ali!a Se#ial 0/0/0. Nota: e"a aci'i!a! &o "e cali+ica.

1!config"# interface $0*0*0 1!config-if"# crypto map !"#-'("

Parte ,: Configurar los par"metros de IPsec en el +, Paso ': Configurar el router +, para admitir una VPN de sitio a sitio con el +'5  Ao#a co&+i)$#e lo" pa#*e#o" #ec;p#oco" e& el +,. Co&+i)$#e la AC ''7 pa#a i!e&i+ica# co*o i&e#e"a&e el #+ico p#o'e&ie&e !e la AN e& el +, a la AN e& el +'.

+!config"# access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Paso 0: Configurar las propiedades de la fase ' de I*!P en el +,5 Co&+i)$#e la" p#opie!a!e" !e la pol;ica c#ipo)#+ica ISA(MP '7 e& el +, <$&o co& la cla'e c#ipo)#+ica co*pa#i!a cisco.

+!config"# crypto +!config-isakmp"# +!config-isakmp"# +!config-isakmp"# +!config-isakmp"# +!config"# crypto

isakmp policy 10 encryption aes authentication pre-share group 2 eit isakmp key cisco address 10.1.1.2

Paso ,: Configurar las propiedades de la fase 0 de I*!P en el +'5 Co*o io e& el +', c#ee el co&<$&o !e #a&"+o#*acio&e" VPN/-T pa#a $"a# esp/,des 4 esp/s6a/ 6mac. A co&i&$aci%&, c#ee la a"i)&aci%& c#ipo)#+ica VPN/!P ?$e 'i&c$la o!o" lo" pa#*e#o" !e la +a"e 2. 7"e el &*e#o !e "ec$e&cia '7 e i!e&i+;?$elo co*o $&a a"i)&aci%& ipsec/isakmp.

+!config"# crypto ipsec transform-set !"#-$%& esp-3des esp-sha-hmac +!config"# crypto map !"#-'(" 10 ipsec-isakmp +!config-crypto-map"# description !"# connection to )1 +!config-crypto-map"# set peer 10.1.1.2 +!config-crypto-map"# set transform-set !"#-$%& +!config-crypto-map"#  match address 110 +!config-crypto-map"# eit

Paso 3: Configurar la asignación criptogr"fica en la interfa de salida5 Po# li*o, 'i&c$le la a"i)&aci%& c#ipo)#+ica VPN/!P a la i&e#+a !e "ali!a Se#ial 0/0/1. Nota: e"a aci'i!a! &o "e cali+ica.

+!config"# interface $0*0*1 +!config-if"# crypto map !"#-'("

Parte 3: Verificar la VPN con IPsec Paso ': Verificar el t9nel antes del tr"fico interesante5 *ia el co*a&!o s6o$ cr%pto ipsec sa e& el +'. b"e#'e ?$e la ca&i!a! !e pa?$ee" e&cap"$la!o", ci+#a!o", !e"e&cap"$la!o" 4 !e"ci+#a!o" "e e"ablece e& 0.

1# sho+ crypto ipsec sa interface' ,erial000 Crypto map tag' .PN-&/P local addr 10112 protected *rf' !none" local ident !addrmaskprotport"' !1921310244244244000" remote ident !addrmaskprotport"' !19213+0244244244000" current5peer 10222 port 400 P)&%T flags67origin5is5acl8 #pkts encaps' 0 #pkts encrypt' 0 #pkts digest' 0 #pkts decaps' 0 #pkts decrypt' 0 #pkts *erify' 0 #pkts compressed' 0 #pkts decompressed' 0 #pkts not compressed' 0 #pkts compr failed' 0 #pkts not decompressed' 0 #pkts decompress failed' 0 #send errors 0 #rec* errors 0 local crypto endpt' 10112 remote crypto endpt'10222 path mtu 1400 ip mtu 1400 ip mtu idb ,erial000 current outbound spi' 0x0!0" 6:: p6::;

Paso 0: Crear el tr"fico interesante5 a)a pi&) !e la PC/ a la PC/C.

Paso ,: Verificar el t9nel despus del tr"fico interesante5 & el +', '$el'a a e*ii# el co*a&!o s6o$ cr%pto ipsec sa . Ao#a ob"e#'e ?$e la ca&i!a! !e pa?$ee" e" "$pe#io# a 0, lo ?$e i&!ica ?$e el &el PN co& IP"ec +$&cio&a. 1# sho+ crypto ipsec sa interface' ,erial000 Crypto map tag' .PN-&/P local addr 10112 protected *rf' !none" local ident !addrmaskprotport"' !1921310244244244000" remote ident !addrmaskprotport"' !19213+0244244244000" current5peer 10222 port 400 P)&%T flags67origin5is5acl8 #pkts encaps' + #pkts encrypt' + #pkts digest' 0 #pkts decaps' + #pkts decrypt' + #pkts *erify' 0 #pkts compressed' 0 #pkts decompressed' 0 #pkts not compressed' 0 #pkts compr failed' 0 #pkts not decompressed' 0 #pkts decompress failed' 0 #send errors 1 #rec* errors 0 local crypto endpt' 10112 remote crypto endpt'10222 path mtu 1400 ip mtu 1400 ip mtu idb ,erial000 current outbound spi' 0x0/<99<1!1=243+2++" 6:: p6::;

Paso 3: Crear el tr"fico no interesante5 a)a pi&) !e la PC/ a la PC/;.

Paso 8: Verificar el t9nel5 & el +', '$el'a a e*ii# el co*a&!o s6o$ cr%pto ipsec sa . Po# li*o, ob"e#'e ?$e la ca&i!a! !e pa?$ee" &o ca*bi%, lo ?$e 'e#i+ica ?$e el #+ico &o i&e#e"a&e &o e" ci+#a!o.