Beruflich Dokumente
Kultur Dokumente
LABORATORIO
CARRERA : INGENIERIA DE SISTEMAS
ALUMNO(A):
DOCENTE:ING. OMAR VALENCIA
GALLEGOS
ASIGNATURA: TELECOMUNICACIONES
CICLO :
TURNO:
FECHA: 09-04-2015 NOTA:
CASO APLICATIVO
4.1 Diagrama de la topologa
Interfaz
Direccin IP
Mscara de subred
Gateway (puerta de
salida)
predeterminada
Fa0/1
192.168.1.1
255.255.255.0
N/C
S0/0/0 (DCE)
10.1.1.1
255.255.255.252
N/C
S0/0/0
10.1.1.2
255.255.255.252
N/C
S0/0/1 (DEC)
10.2.2.2
255.255.255.252
N/A
Fa0/1
192.168.3.1
255.255.255.0
S0/0/1
10.2.2.1
255.255.255.252
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
R1
R2
R3
Retroalimentacin
Las VPN pueden proporcionar un mtodo seguro para transmitir datos a travs de una red
pblica, como Internet. Las conexiones VPN pueden ayudar a reducir los costes asociados a las
lneas arrendadas. Un sitio a sitio de VPN suelen proporcionar un tnel seguro (IPsec u otro) entre
una sucursal y una oficina central. Otra aplicacin comn que utiliza la tecnologa VPN es el
acceso remoto a una oficina corporativa desde una ubicacin teletrabajador como una pequea
oficina u oficina en casa.
En este caso aplicativo, se construye una red multi-router y se configuran los routers y hosts. Se
utiliza el IOS de Cisco para configurar un sitio a sitio de VPN, el IPsec y probarlo. El tnel IPsec
de VPN es del router R1 al router R3 a travs de R2. R2 acta como de paso y no tiene
conocimiento de la VPN. IPsec ofrece una transmisin segura de la informacin sensible a travs
de redes sin proteccin tales como la Internet. IPsec acta en la capa de red, la proteccin y la
autenticacin de paquetes IP entre los dispositivos de IPsec (pares), tales como los routers
participantes de Cisco.
Nota: Los comandos del router en este caso aplicativo son de un Cisco 1841 con un Cisco IOS
12,4. Otros routers y versiones de Cisco IOS se pueden utilizar. Dependiendo del modelo de
router y la versin del IOS de Cisco, los comandos disponibles y las salidas producidas podran
variar de lo que se muestra en esta caso aplicativo.
Nota: Asegrese de que los routers y los switches se hayan borrado las configuraciones de inicio.
Recursos necesarios.
3 routers (Cisco 1841 con Cisco IOS versin 12.4 (20) T1 o comparable)
2 interruptores (Cisco 2960 o comparables)
PC-A (Windows XP o Vista)
PC-C (Windows XP o Vista)
Los cables de serie y Ethernet, como se muestra en la topologa
Los cables de Rollover para configurar los routers a travs de la consola.
Observacin
Este caso aplicativo est dividido en dos partes. Cada parte puede ser administrado de forma
individual. El principal objetivo es configurar una VPN de sitio a sitio entre dos routers, utilizando la
CLI de Cisco IOS. R1 y R3 son en redes separadas y se comunican a travs de R2, que simula un
ISP. Los routers en este caso aplicativo se configuran con EIGRP, aunque no es tpico de las
redes para comunicarse con un proveedor de Internet utilizando un protocolo de enrutamiento
interior. Tambin puede utilizar rutas estticas para la comunicacin bsica entre R1 y R2 y entre
R1 y R3.
a.
IPsec es un marco abierto que permite el intercambio de protocolos de seguridad como las
nuevas
tecnologas,
tales
como
los
algoritmos
de
cifrado.
Hay dos elementos de configuracin centrales hacia la implementacin de una VPN IPsec:
exit
group
hash
lifetime
no
authentication method:
Pre-Shared Key
Diffie-Hellman group:
#5 (1536 bit)
lifetime:
a) Dado que las claves previamente compartidas se utilizan como mtodo de autenticacin en
la poltica IKE, configure una clave en cada router que apunta a la otra terminal VPN. Estas
claves deben coincidir para la autenticacin tenga xito. El comando de configuracin global
crypto isakmp key key-string address address se utiliza para introducir una clave precompartida. Utilice la direccin IP del interlocutor remoto, la interfaz remota para enrutar el
trfico al router local.
Qu direcciones IP se debe utilizar para configurar los interlocutores IKE, dado el diagrama
de topologa y la tabla de direccionamiento IP?
Las direcciones IP deben ser R1 S0/0/0 direccin IP 10.1.1.1 y R3 S0/0/1 direccin IP
10.2.2.1 porque estas son las direcciones que se utilizan para enviar trfico normal entre R1
y R3.
b)
Cada direccin IP que se utiliza para configurar los pares IKE tambin se conoce como la
direccin IP del punto final de VPN remoto. Configurar la clave pre-compartida de cisco123
en el router R1 con el siguiente comando. Las redes de produccin deben utilizar una clave
compleja. Este comando seala la distancia entre pares R3 S0/0/1 direccin IP.
R1(config)#crypto isakmp key cisco123 address 10.2.2.1
transformacin IPsec, utilice el comando crypto ipsec transform-set tag parameters. Use ?
para ver qu parmetros estn disponibles.
R1(config)#crypto ipsec transform-set 50 ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes
esp-des
esp-seal
c)Cul
d) Tambin puede cambiar los tiempos de vida asociacin de seguridad IPsec desde el
default de 3600 segundos, o 4.608.000 kilobytes, lo que ocurra primero. En R1 y R3,
configure la asociacin de seguridad IPsec de tiempo de vida a 30 minutos, o 1800
segundos.
R1(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto ipsec security-association lifetime seconds 1800
a)
Para hacer uso de la encriptacin IPsec con el VPN, es necesario definir listas de acceso
extendidas para decirle al enrutador el trfico a cifrar. Un paquete que est permitido por una
lista de acceso, utilizado para definir el trfico IPsec est cifrado si la sesin de IPsec est
configurada correctamente. Un paquete que es negado por una de estas listas de acceso no
se cae, pero envi sin cifrar. Tambin, al igual que cualquier otra lista de acceso, hay un
rechazo implcito al final, lo que, en este caso, significa la accin por defecto es no cifrar el
trfico. Si no hay una asociacin de seguridad IPsec configurada correctamente, no hay
trfico cifrado, y el trfico se reenva sin cifrar.
b) En este escenario, el trfico que desea encriptar es el trfico que va desde la Ethernet de la
LAN de R1 a la Ethernet de la LAN de R3, o viceversa. Estas listas de acceso se utilizan de
salida en las interfaces de punto final de la VPN y deben reflejar el uno al otro.
c) Configure el trfico ACL IPsec de VPN en R1
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
c) Utilice el comando access-list para especificar que el acceso de la lista, define que el trfico a
cifrar.
R1(config-crypto-map)#match address 101
d) Para
ver la lista de posibles comandos set que se puede hacer en un mapa criptogrfico,
utilice la funcin de ayuda.
R1(config-crypto-map)#set ?
Identity
Identity restriction.
Ip
isakmp-profile
nat
peer
pfs
e)Se requiere establecer una IP o nombre de host de pares, lo que debe ajustar a la interfaz de
punto final de VPN remoto de R3 con el siguiente comando.
R1(config-crypto-map)#set peer 10.2.2.1
f) Codificar el conjunto de transformacin para ser utilizado con este par, usando el comando
set transform-set tag. Establecer el tipo de secreto de reenvo perfecto con el comando set
pfs type, y tambin modificar la asociacin de seguridad de por vida por defecto de IPsec con
el comando set security-association lifetime seconds seconds.
R1(config-crypto-map)#set pfs group5
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#exit
g)
h) El ltimo paso es la aplicacin de los mapas para interfaces. Tenga en cuenta que no se
establecern las asociaciones de seguridad (SA) hasta que el mapa criptogrfico haya sido
activado por el trfico interesante. El router generar una notificacin de que Crypto es de
ahora.
i)
a) Anteriormente,
a)
a)
b)
Haga ping desde R1 a la interfaz S0/0/1 de R3 de la direccin IP 10.2.2.1. Los pings son
exitosos? Si
Emita el comando show crypto isakmp sa. Fue una SA entre R1 y R3? No.
c)
d)
e)
Haga ping desde R1 a la direccin 192.168.3.1 IP de la interfaz FA0/1 de R3. Los pings son
exitosos? Si
Emita el comando show crypto isakmp sa. Fue una SA que se cre para estos pings?
Por qu o por qu no? Sin SA fue creada. La direccin de origen de ambos pings era la
direccin R1 S0/0/0 de 10.1.1.1. En el primer caso, la direccin de destino era 10.2.2.1. En
el segundo caso, la direccin de destino era 192.168.3.1. Esto no es "interesante" de
trfico. El ACL 101 que est asociado con el mapa crypto para R1 define trfico interesante
como paquetes de IP de la red 192.168.1.0/24 a la red 192.168.3.0/24.
Emita los paquetes EIGRP con el comando debug. Usted debe ver los paquetes de saludo
EIGRP que pasan entre R1 y R3.
R1#debug eigrp packets
EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB,
SIAQUERY, SIAREPLY)
R1#
*Jan 29 16:05:41.243: EIGRP: Received HELLO on Serial0/0/0 nbr 10.1.1.2
*Jan 29 16:05:41.243: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 pe
erQ un/rely 0/0
*Jan 29 16:05:41.887: EIGRP: Sending HELLO on Serial0/0/0
*Jan 29 16:05:41.887: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
R1#
*Jan 29 16:05:43.143: EIGRP: Sending HELLO on FastEthernet0/1
*Jan 29 16:05:43.143: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
R1#