Professional Documents
Culture Documents
VPN sitio a sitio a) Simulacin VPN sitio a sitio, utilizando Packet Tracer. b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-sitio - Realizar en el laboratorio virtual (GNS3) individualmente.
Este es el esquema donde vamos a realizar una vpn de sitio a sitio, para ello nos vamos a ir a la consola del router 1
Con el primer comando lo que vamos a hacer es crear una nueva poltica IKE, cada poltica se identifica por su nmero de prioridad, en nuestro caso vamos a ponerle la prioridad ms alta que es 1. Con el segundo comando lo que vamos a especificar es el algoritmo de cifrado que vamos a utilizar El tercer comando elegimos el algoritmo de hash que vamos a usar El cuarto comando determina el mtodo de autenticacin El quinto comando se especifica el identificador de grupo diffie-hellman El sexto comando determinamos el tiempo de vida de la asociacin de seguridad Con el sptimo comando salimos para volver al modo de configuracin global El octavo comando lo que hacemos es elegir la identidad ISAKMP que el router usara en las negociaciones IKE, pero este comando como podemos ver en la imagen no funciona y ya no podemos continuar realizando la vpn de sitio a sitio
Realizar en el laboratorio fsico por grupos de alumnos. Hicimos esta prctica siguiendo el manual
Configuraremos 1 los parametros de enrutamiento e interfaces para establecer la conectividad: R1:
Realizamos los mismos pasos de configuracin de la red en los dems routers, de acuerdo con el escenario en concreto. Bien ahora comprobamos la conectividad:
La eleccin de un algoritmo de cifrado determina la confidencialidad del canal de control entre los extremos es. El algoritmo de control controla la integridad de los datos, garantizando que los datos recibidos de un par no ha sido alterado en el trnsito. El tipo de autenticacin garantiza que el paquete fue enviado en efecto y firmada por el par remoto. El grupo de DiffieHellman se utiliza para crear una clave secreta compartida por los pares que no ha sido enviado a travs de la red. una. Configurar un tipo de autenticacin de claves pre-compartidas. El uso de encriptacin AES 256, SHA como su algoritmo de hash, y Diffie-Hellman de intercambio de claves grupo 5 de esta poltica IKE. b. Dar la poltica de un tiempo de vida de 3600 segundos (una hora). Configure la misma poltica en R3. Las versiones anteriores de Cisco IOS no admiten el cifrado AES 256 y SHA como algoritmo de hash. Sustituya cualquier algoritmo de cifrado y hashing su router soporta. Asegrese de que los mismos cambios se realizan en el otro extremo de VPN para que estn en sincrona.
En R1 y R3, cree un conjunto de transformacin con la etiqueta 50 y utiliza un protocolo de seguridad de encapsulacin (ESP) transformar con un cifrado AES 256 con ESP y la funcin SHA hash. Los conjuntos de transformacin debe coincidir.
En R1 y R3, configure la seguridad de IPsec asociacin de por vida a 30 minutos, o segundos 1800.
Cree el mapa crypto en R1, el nombre de CMAP, y utilizar 10 como el nmero de secuencia. Aparecer un mensaje despus de que el comando se emite.
Usa el comando match address access-list para especificar qu lista de acceso define
Setting a peer IP or host name is required, so set it to R3s remote VPN endpoint interface using the following command.
Codificar el conjunto de transformacin que se utilizar a este mismo nivel, utilizando el conjunto de transfor-mando conjunto de etiquetas. Ajuste el tipo de desvo secreto perfecto con el comando set pfs tipo, y tambin modificar el valor por defecto de seguridad IPsec tiempo de vida con el comando set security-association
lifetime seconds seconds:
Aplicar los mapas de las interfaces de Cifrado prr adecuadas en R1Apply los mapas de cifrado para las interfaces adecuadas en R1
Aplicar las interfaces de los mapas de las Cifrado adecuadas en R1 Apply los mapas de las interfaces de Cifrado adecuadas en R1, show crypto ipsec transform-set command muestra las polticas IPsec configuradas en la forma de los conjuntos de transformacin.
Anteriormente has usado el comando show crypto isakmp policy
Utilice el comando show crypto map para visualizar los mapas criptogrficos que se aplicarn al router
nmero de paquetes enviados a travs y la falta de asociaciones de seguridad que figuran en la parte inferior de la salida. La salida de R1 se muestra aqu.
Bien ahora accedemos con el otro equipo el 192.168.3.3 y comprobamos que se envian los protocolos TCP de la conexin, (nota: no capturamos el protocolo IPsec ya que Wireshark no permite capturarlo)
VPN de acceso remoto CISCO CCNA Security 1.1. Laboratorio Lab-8-B; VPN Acceso.remoto Realizar en el laboratorio fsico por grupos de alumnos.
Click the Configure button at the top of the CCP screen, and choose Security >Firewall > Firewall
Choose Basic Firewall and click the Launch the selected task button. On the Basic Firewall Configuration wizard screen, click Next. c. Check the Inside (Trusted) check box for FastEthernet0/1 and the Outside (Untrusted) check box for Serial0/0/1. Click Next. Click OK when the CCP launch warning for Serial0/0/1 is displayed.
In the next window, select Low Security for the security level and click Next. e. In the Summary window, click Finish. f. Click Deliver to send the commands to the router. Click OK in the Commands Delivery Status window. Click OK on the Information window. You are returned to the Edit Firewall Policy tab as shown below.
Click Deliver to send the commands to the router. Click OK in the Commands Delivery Status window. Click OK on the Information window. You are returned to the Edit Firewall Policy tab as shown below
firewall functionality.
a. From PC-C, ping the R2 interface S0/0/1 at IP address 10.2.2.2.
Click the Configure button at the top of the CCP home screen. Choose Security > VPN > Easy VPN Server. b. Click on the Launch Easy VPN Server Wizard button.
Select the interface on which the client connections terminate. Click the Unnumbered to radio button and select the Serial0/0/1 interface from the pull-down menu. b. Choose Pre-shared Keys for the authentication type and click Nextto continue.
In the IKE Proposals window, the default IKE proposal is used for R3.
In the Group Authorization and Group Policy Lookup window, choose the Local option
In the User Authentication (XAuth) window, you can select where user credentials will be configured. You can select an external server, such as a RADIUS server, a local database, or both. Check the Enable User Authentication check box and accept the default of Local Only
In the User Accounts window, click the Add button to add another user. Enter the username VPNuser1 with a password of VPNuser1pass. Select the check box for encrypting the password using the MD5 hash algorithm. Leavetheprivilegelevel at 1.
Click Add to create a group policy. c. In the Add Group Policy window, enter VPN-Access as the name of this group. Enter a new pre-shared key of cisco12345 and then re-enter it. d. Leave the Pool Information box checked and enter a starting address of 192.168.3.100, an ending address of 192.168.3.150, and a subnet mask of 255.255.255.0. e. Enter 50 for the Maximum Connections Allowed. f. Click OK to accept the entries
When you return to the Group Authorization window, check the Configure Idle Timer check box and enter one hour (1). This disconnects idle users if there is no activity for one hour and allows others to connect. Click Next to continue. i. When the Cisco Tunneling Control Protocol (cTCP) window displays, do not enable cTCP. ClickNexttocontinue.
No check
When the Easy VPN Server Passthrough Configuration window displays, make sure that the Action Modify check box is checked. This option allows CCP to modify the firewall on S0/0/1 to allow IPsec VPN traffic to reach the internal LAN. ClickOK tocontinue
Scroll through the commands that CCP will send to the router. Do not check the check box to test the VPN. Click Finish. b. When prompted to deliver the configuration to the router, click Deliver.
You are returned to the main VPN window with the Edit Easy VPN Server tab selected. Click the Test VPN Server button in the lower right corner of the screen. b. In the VPN Troubleshooting window, click the Start button. Your screen should look similar to the one below. Click OK to close the information window. ClickClosetoexitthe VPN Troubleshootingwindow.
CLIENTE
Start the Cisco VPN Client and choose Connection Entries > New, or click the New icon with the red plus sign (+) on it. Enter the following information to define the new connection entry. Click Save when you are finished. Connection Entry: VPN-R3 Description: Connection to R3 internal network Host: 10.2.2.1 (IP address of the R3 S0/0/1 interface) Group Authentication Name: VPN-Access (defines the address pool configured in Task 2) Password: cisco12345 (pre-shared key configured in Task 2) Confirm Password: cisco12345
Select the newly created connection VPN-R3 and click the Connect icon. You can also double-click the connection entry. Enter the previously created username VPNuser1 in the VPN Client User Authentication dialog box and enter the password VPNuser1pass. Click OK to continue. The VPN Client window minimizes to a lock icon in the tools tray of the taskbar. When the lock is closed, the VPN tunnel is up. When it is open, the VPN connection is down.
Comprobamos la conectividad
VPN sobre red local a) Instalacin de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server. Windows 2003 Server Aadimos 2 tarjetas de red, una en modo puente y otra en en red interna. Modo puente
Red interna
Windows XP
En conexiones de red, creamos una nueva conexin de red.
Pulsamos siguiente
Finalizamos el asistente
Configuramos el fichero /etc/ppp/chap-secrets. Donde usuario es el nombre del usuario, Ubuntu es el nombre del servidor VPN, clave es la contrasea del usuario y el * significa que admite todas las direcciones IP.
Crear
d) Configurar el router Linksys RV200 como un servidor VPN sobre red local. Utiliza el simulador http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm
Nos vamos a la pestaa vpn client Access ponemos el nombre de usuario y la contrasea, le damos add/save
Nos saldr esta pantalla y pondremos la direccin ip y la submascara y le daremos a save settings para guardar los cambios Cuando tenemos esto configurado ya nos tenemos que ir a un cliente y configurarlo para poder conectarnos
Configurar el router Linksys RV042 como un servidor VPN sobre red local. Utiliza primero el simulador para practicar: http://ui.linksys.com/files/RV042/1.2.3/home.htm Nos vamos a vpn y le damos a client to Gateway, marcamos la opcin de tunnel y le ponemos un nombre como vemos en la imagen y en la interface le dejamos la WAN1
En el desplegable vamos a seleccionar la opcin de solo ip y nos saldr la direccin ip que tengamos configurada en nuestro router, luego pondremos la direccin ip con la que va a tener nuestra subred y la mscara, luego volvemos a seleccionar solo ip y ponemos la direccin ip del equipo con el que vamos a hacer la vpn
En esta parte lo que podemos ver son configuraciones de seguridad que las dejaremos como vienen en la imagen y le daremos a save settings para guardar los cambios. Ahora nos iremos al cliente y configuraremos el software necesario para podernos conectar.