Está en la página 1de 16

FILIAL - AREQUIPA

LABORATORIO
CARRERA : INGENIERIA DE SISTEMAS
ALUMNO(A):
DOCENTE:ING. OMAR VALENCIA
GALLEGOS

ASIGNATURA: TELECOMUNICACIONES
CICLO :
TURNO:
FECHA: 09-04-2015 NOTA:

CASO APLICATIVO
4.1 Diagrama de la topologa

4.2 Tabla de direccionamiento


Dispositivo
Nombre de
host

Interfaz

Direccin IP

Mscara de subred

Gateway (puerta de
salida)
predeterminada

Fa0/1

192.168.1.1

255.255.255.0

N/C

S0/0/0 (DCE)

10.1.1.1

255.255.255.252

N/C

S0/0/0

10.1.1.2

255.255.255.252

N/C

S0/0/1 (DEC)

10.2.2.2

255.255.255.252

N/A

Fa0/1

192.168.3.1

255.255.255.0

S0/0/1

10.2.2.1

255.255.255.252

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-C

NIC

192.168.3.3

255.255.255.0

192.168.3.1

R1

R2

R3

4.3 Objetivos de la aplicacin


Al completar el caso aplicativo, el usuario podr:
Parte 1: Configuracin bsica del router

Configurar los nombres de las mquinas, direcciones IP de interfaz y contraseas de


acceso.
Configurar el protocolo de enrutamiento dinmico EIGRP.

Parte 2: Configurar un Site-to-Site VPN usando IOS de Cisco


Configurar los parmetros de IPsec VPN en R1 y R3.
Verificar de sitio a sitio de configuracin VPN IPsec
Comprobar el funcionamiento de IPsec VPN

Retroalimentacin
Las VPN pueden proporcionar un mtodo seguro para transmitir datos a travs de una red
pblica, como Internet. Las conexiones VPN pueden ayudar a reducir los costes asociados a las
lneas arrendadas. Un sitio a sitio de VPN suelen proporcionar un tnel seguro (IPsec u otro) entre
una sucursal y una oficina central. Otra aplicacin comn que utiliza la tecnologa VPN es el
acceso remoto a una oficina corporativa desde una ubicacin teletrabajador como una pequea
oficina u oficina en casa.

En este caso aplicativo, se construye una red multi-router y se configuran los routers y hosts. Se
utiliza el IOS de Cisco para configurar un sitio a sitio de VPN, el IPsec y probarlo. El tnel IPsec
de VPN es del router R1 al router R3 a travs de R2. R2 acta como de paso y no tiene
conocimiento de la VPN. IPsec ofrece una transmisin segura de la informacin sensible a travs
de redes sin proteccin tales como la Internet. IPsec acta en la capa de red, la proteccin y la
autenticacin de paquetes IP entre los dispositivos de IPsec (pares), tales como los routers
participantes de Cisco.
Nota: Los comandos del router en este caso aplicativo son de un Cisco 1841 con un Cisco IOS
12,4. Otros routers y versiones de Cisco IOS se pueden utilizar. Dependiendo del modelo de
router y la versin del IOS de Cisco, los comandos disponibles y las salidas producidas podran
variar de lo que se muestra en esta caso aplicativo.
Nota: Asegrese de que los routers y los switches se hayan borrado las configuraciones de inicio.
Recursos necesarios.
3 routers (Cisco 1841 con Cisco IOS versin 12.4 (20) T1 o comparable)
2 interruptores (Cisco 2960 o comparables)
PC-A (Windows XP o Vista)
PC-C (Windows XP o Vista)
Los cables de serie y Ethernet, como se muestra en la topologa
Los cables de Rollover para configurar los routers a travs de la consola.

Observacin
Este caso aplicativo est dividido en dos partes. Cada parte puede ser administrado de forma
individual. El principal objetivo es configurar una VPN de sitio a sitio entre dos routers, utilizando la
CLI de Cisco IOS. R1 y R3 son en redes separadas y se comunican a travs de R2, que simula un
ISP. Los routers en este caso aplicativo se configuran con EIGRP, aunque no es tpico de las
redes para comunicarse con un proveedor de Internet utilizando un protocolo de enrutamiento
interior. Tambin puede utilizar rutas estticas para la comunicacin bsica entre R1 y R2 y entre
R1 y R3.

4.4 Desarrollo de la aplicacin

Parte 1: Configuracin bsica del router


En la Parte 1 de este caso aplicativo, se configura la topologa de red y se configuran los
parmetros bsicos, como las direcciones de interfaz IP, enrutamiento dinmico, el acceso del
dispositivo y las contraseas.
Nota: Todas las tareas deben realizarse en los routers R1, R2 y R3.

Paso 1: Cable de la red que se muestran en la topologa.


Conecte los dispositivos que se muestran en el diagrama de la topologa y el cable segn sea
necesario.
Paso 2: Configure los parmetros bsicos para cada router.
a) Configurar los nombres de host como se muestra en la topologa.
b) Configurar las direcciones IP de interfaz como se muestra en la tabla de direccionamiento IP.
c) Configurar una velocidad de reloj de las interfaces del router de serie con un cable serial DCE
adjunto.

Paso 3: Configurar el protocolo de enrutamiento EIGRP en R1, R2 y R3.


a. En R1, utilice los siguientes comandos.
R1(config)#router eigrp 101
R1(config-router)#network 192.168.1.0 0.0.0.255
R1(config-router)#network 10.1.1.0 0.0.0.3
R1(config-router)#no auto-summary
b. En R2, utilice los siguientes comandos.
R2(config)#router eigrp 101
R2(config-router)#network 10.1.1.0 0.0.0.3
R2(config-router)#network 10.2.2.0 0.0.0.3
R2(config-router)#no auto-summary
c. En R3, utilice los siguientes comandos.
R3(config)#router eigrp 101
R3(config-router)#network 192.168.3.0 0.0.0.255
R3(config-router)#network 10.2.2.0 0.0.0.3
R3(config-router)#no auto-summary

Paso 4: Configurar los ajustes IP de host PC.

a) Configurar una direccin IP esttica, mscara de subred y puerta de enlace


predeterminada para PC-A, como se muestra en la tabla de direccionamiento IP.

b) Configurar una direccin IP esttica, mscara de subred y puerta de enlace


predeterminada para PC-C, como se muestra en la tabla de direccionamiento IP.

Paso 5: Verificar la conectividad de red bsica.


a. Haga ping desde R1 a la interfaz Fa0/1 de R3 en la direccin IP 192.168.3.1.
Fueron los resultados exitosos?. S los pings no tienen xito, el problema es de
configuracin bsica en cada dispositivo, verifique antes de continuar.
b. Haga ping de la PC-A de la LAN de R1 a la PC-C de la LAN de R3.
Fueron los resultados exitosos?. S los pings no tienen xito, el problema es de
configuracin bsica de los dispositivos, verifique antes de continuar.
Nota: Si puede hacer ping desde el PC-A a PC-C, se ha demostrado que el protocolo de
enrutamiento EIGRP est configurado y funcionando correctamente. Si no puede hacer ping
pero las interfaces del dispositivo estn en marcha y las direcciones IP son correctos, utilice el
comando show run que muestra los comandos utilizados y puede ayudar a identificar los
problemas relacionados con el protocolo de enrutamiento.

Paso 6: Configurar una longitud mnima de la contrasea.


Nota: Las contraseas en este caso aplicativo se establecen en un mnimo de 10 caracteres, pero
son relativamente simples. Las contraseas ms complejas se recomienda en una red de
produccin. Utilice el comando contraseas de seguridad para establecer una longitud mnima de
contrasea de 10 caracteres.
Contraseas R1 (config) #Security min-longitud 10

Paso 7: Configurar las lneas de consola y vty bsicos


Configurar una contrasea de la consola y permitir el inicio de sesin para el router R1. Para
mayor seguridad, el comando exec-timeout hace que la lnea de sesin se cierre despus de 5
minutos de inactividad. El comando logging synchronous evita que los mensajes de la consola
interrumpan la entrada de comandos.
R1(config)#line console 0
R1(config-line)#password ppd
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous

a. Configurar la contrasea de las lineas vty para el router R1


R1(config)#line vty 0 4
R1(config-line)#password ppd
R1(config-line)#exec-timeout 5 0
R1(config-line)#login

b. Repetir estas configuraciones en los router R2 y R3.

Paso 8: Cifrar contraseas de texto simple.

a. Utilice el comando service password-encryption para cifrar las contraseas de consola,


aux, y vty.
R1 (config) # service password-encryption
b. Ejecute el comando show run. Puedes leer la consola, aux, y vty? Por qu o por qu no?
No, porque las contraseas estn cifradas
c. Repetir esta configuracin en ambos routers R2 y R3.
Paso 9: Guardar la configuracin bsica de funcionamiento para los tres routers.
Guarde la configuracin activa en la configuracin de inicio desde el modo EXEC privilegiado.
R1#copy running-config startup-config

Parte 2: Configurar una VPN de sitio a sitio con Cisco IOS


En la parte 2 de este caso aplicativo, se configura un tnel VPN IPsec entre R1 y R3 que pasa a
travs de R2. Deber configurar R1 y R3 con la CLI de Cisco IOS.
Tarea 1: Configurar IPSec VPN Settings en R1 y R3
Paso 1: Verifique la conectividad de la LAN de R1 a la LAN de R3.
En esta tarea, verifique que sin tnel, el PC-A en la LAN de R1 puede hacer ping al PC-C en la
LAN de R3.

a.

Desde la PC-A, ping a la direccin IP de la PC-C 192.168.3.3.


PC-A:\>ping 192.168.3.3

Paso 2: Habilitar las polticas IKE en R1 y R3.

IPsec es un marco abierto que permite el intercambio de protocolos de seguridad como las
nuevas
tecnologas,
tales
como
los
algoritmos
de
cifrado.
Hay dos elementos de configuracin centrales hacia la implementacin de una VPN IPsec:

Implementar parmetros de Internet Key Exchange (IKE)


Implementar parmetros IPsec
a. Compruebe que IKE lo soporte y este habilitado.
Fase 1: se define el mtodo de intercambio de claves utilizado para aprobar y validar las
polticas de IKE. Fase 2, el intercambio de pares y las directivas IPsec para la autenticacin
y el cifrado del trfico de datos.
IKE debe ser habilitado para IPsec funcione. IKE est activado por defecto en las imgenes
de IOS con conjuntos de funciones criptogrficas. Si se desactiva, por alguna razn, puede
activar con el comando cripto ISAKMP enable. Utilice este comando para verificar que el
router IOS soporta IKE y que est habilitado.
R1(config)#crypto isakmp enable
R3(config)#crypto isakmp enable
Nota: Si no puede ejecutar este comando en el router, debe actualizar la imagen del IOS a
un conjunto de caractersticas que incluye los servicios criptogrficos de Cisco.
b.Establecer una poltica de seguridad en Internet Asociacin y el Protocolo de
administracin de claves (ISAKMP) y ver las opciones disponibles.
Para permitir IKE de la fase 1 de la negociacin, se debe crear una poltica de ISAKMP y
configurar una asociacin entre iguales. Una poltica ISAKMP define la funcin de
autenticacin y algoritmos de cifrado y hash utilizado para enviar el trfico de control
entre los dos puntos finales de VPN. Cuando una asociacin de seguridad ISAKMP ha
sido aceptada por los interlocutores IKE, IKE Fase 1 se ha completado. Los parmetros
del IKE de la fase 2 se configurarn despus.
Emita el comando crypto isakmp policy number del isakmp en R1 para la poltica 10.
R1(config)#crypto isakmp policy 10
c. Ver los distintos parmetros IKE disponibles utilizando Cisco IOS se puede ayudar
escribiendo un signo de interrogacin (?).
R1(config-isakmp)# ?
ISAKMP commands:
authentication Set authentication method for protection suite
default
Set a command to its defaults
encryption
Set encryption algorithm for protection suite

exit
group
hash
lifetime
no

Exit from ISAKMP protection suite configuration mode


Set the Diffie-Hellman group
Set hash algorithm for protection suite
Set lifetime for ISAKMP security association
Negate a command or set its defaults

Paso 3: Configurar los parmetros de la poltica de ISAKMP en R1 y R3.


Su eleccin de un algoritmo de cifrado determina la forma confidencial del canal de control entre
los puntos extremos. La integridad de los datos es controlada por el algoritmo de hash, lo que
garantiza que los datos recibidos de un compaero no ha sido manipulado en el trnsito. El tipo
de autenticacin asegura que el paquete fue enviado de hecho y firmado por el par remoto. El
grupo Diffie-Hellman se utiliza para crear una clave secreta compartida por los compaeros que
no han sido enviados a travs de la red.
a) Configurar un tipo de autenticacin de claves previamente compartidas. Usar encriptacin
AES 256, SHA como su algoritmo de hash, y Diffie-Hellman grupo 5 de intercambio de claves
de esta poltica IKE.
b) Utilice como poltica un tiempo de vida de 3600 segundos (una hora). Configure la misma
poltica en R3. Las versiones anteriores de Cisco IOS no admiten el cifrado AES 256 y SHA
como algoritmo de hash.
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#end
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#end

c) Verifique la poltica IKE con el mandato show crypto isakmp policy


R1#show crypto isakmp policy

Global IKE policy


Protection suite of priority 10
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm:

Secure Hash Standard

authentication method:

Pre-Shared Key

Diffie-Hellman group:

#5 (1536 bit)

lifetime:

3600 seconds, no volume limit

Paso 4: Configure las claves pre-compartidas.

a) Dado que las claves previamente compartidas se utilizan como mtodo de autenticacin en
la poltica IKE, configure una clave en cada router que apunta a la otra terminal VPN. Estas
claves deben coincidir para la autenticacin tenga xito. El comando de configuracin global
crypto isakmp key key-string address address se utiliza para introducir una clave precompartida. Utilice la direccin IP del interlocutor remoto, la interfaz remota para enrutar el
trfico al router local.
Qu direcciones IP se debe utilizar para configurar los interlocutores IKE, dado el diagrama
de topologa y la tabla de direccionamiento IP?
Las direcciones IP deben ser R1 S0/0/0 direccin IP 10.1.1.1 y R3 S0/0/1 direccin IP
10.2.2.1 porque estas son las direcciones que se utilizan para enviar trfico normal entre R1
y R3.

b)

Cada direccin IP que se utiliza para configurar los pares IKE tambin se conoce como la
direccin IP del punto final de VPN remoto. Configurar la clave pre-compartida de cisco123
en el router R1 con el siguiente comando. Las redes de produccin deben utilizar una clave
compleja. Este comando seala la distancia entre pares R3 S0/0/1 direccin IP.
R1(config)#crypto isakmp key cisco123 address 10.2.2.1

c) El comando para R3 seala el R1 S0/0/0 direccin IP. Configurar la clave pre-compartida en


el router R1 con el siguiente comando.
R3(config)#crypto isakmp key cisco123 address 10.1.1.1

Paso 5: Configurar el IPsec.

a) El conjunto de transformacin del IPSec

es otro parmetro de configuracin de cifrado que


los routers negocian para formar una asociacin de seguridad. Para crear un conjunto de

transformacin IPsec, utilice el comando crypto ipsec transform-set tag parameters. Use ?
para ver qu parmetros estn disponibles.
R1(config)#crypto ipsec transform-set 50 ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes

ESP transform using AES cipher

esp-des

ESP transform using DES cipher (56 bits)

esp-md5-hmac ESP transform using HMAC-MD5 auth


esp-null

ESP transform w/o cipher

esp-seal

ESP transform using SEAL cipher (160 bits)

esp-sha-hmac ESP transform using HMAC-SHA auth

b) En R1 y R3, cree un conjunto de transformacin con la etiqueta 50 y utilice un protocolo de


seguridad encapsuladora (ESP) para transformar con un cifrado AES de 256 con el ESP y
la funcin hash SHA. Los conjuntos de transformar deben coincidir.
R1(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
R1(cfg-crypto-trans)#exit
R3(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
R3(cfg-crypto-trans)#exit

c)Cul

es la funcin de la IPsec del conjunto de transformacin? El conjunto de


transformacin IPsec especifica los algoritmos criptogrficos y funciones (transformadas)
que un router emplea en los paquetes de datos reales enviados por el tnel IPsec. Estos
algoritmos incluyen el cifrado, la encapsulacin, la autenticacin y servicios de integridad
de datos que se puede aplicar al IPsec.

d) Tambin puede cambiar los tiempos de vida asociacin de seguridad IPsec desde el
default de 3600 segundos, o 4.608.000 kilobytes, lo que ocurra primero. En R1 y R3,
configure la asociacin de seguridad IPsec de tiempo de vida a 30 minutos, o 1800
segundos.
R1(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto ipsec security-association lifetime seconds 1800

Paso 6: Definir las listas de acceso.

a)

Para hacer uso de la encriptacin IPsec con el VPN, es necesario definir listas de acceso
extendidas para decirle al enrutador el trfico a cifrar. Un paquete que est permitido por una
lista de acceso, utilizado para definir el trfico IPsec est cifrado si la sesin de IPsec est
configurada correctamente. Un paquete que es negado por una de estas listas de acceso no
se cae, pero envi sin cifrar. Tambin, al igual que cualquier otra lista de acceso, hay un
rechazo implcito al final, lo que, en este caso, significa la accin por defecto es no cifrar el
trfico. Si no hay una asociacin de seguridad IPsec configurada correctamente, no hay
trfico cifrado, y el trfico se reenva sin cifrar.

b) En este escenario, el trfico que desea encriptar es el trfico que va desde la Ethernet de la
LAN de R1 a la Ethernet de la LAN de R3, o viceversa. Estas listas de acceso se utilizan de
salida en las interfaces de punto final de la VPN y deben reflejar el uno al otro.
c) Configure el trfico ACL IPsec de VPN en R1
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

d) Configure el trfico ACL IPsec de VPN en R3.


R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Paso 7: Crear y aplicar un mapa criptogrfico.


Despus de crear el mapa criptogrfico, se puede aplicar a una o ms interfaces. Las interfaces
que se aplica deben ser los que se enfrenta el mismo nivel de IPsec.
a) Para crear un mapa de cifrado, utilice el comando crypto map name sequence-num type para
entrar en el modo de configuracin de mapa criptogrfico para ese nmero de secuencia.
Mltiples declaraciones del mapa criptogrfico pueden pertenecer al mismo mapa
criptogrfico y se evalan en orden numrico ascendente. Introduzca el modo de
configuracin de mapa criptogrfico en R1. Utilice un tipo de ipsec-ISAKMP, lo que significa
IKE se utiliza para establecer asociaciones de seguridad IPsec.

b) Crear el mapa criptogrfico en R1, nombrarlo CMAP, y utilizar 10 como el nmero de


secuencia. Aparecer un mensaje despus de que se emiti la orden.
R1(config)#crypto map CMAP 10 ipsec-isakmp

c) Utilice el comando access-list para especificar que el acceso de la lista, define que el trfico a
cifrar.
R1(config-crypto-map)#match address 101

d) Para

ver la lista de posibles comandos set que se puede hacer en un mapa criptogrfico,
utilice la funcin de ayuda.
R1(config-crypto-map)#set ?
Identity

Identity restriction.

Ip

Interface Internet Protocol config commands

isakmp-profile

Specify isakmp Profile

nat

Set NAT translation

peer

Allowed Encryption/Decryption peer.

pfs

Specify pfs settings

security-association Security association parameters


transform-set

Specify list of transform sets in priority order

e)Se requiere establecer una IP o nombre de host de pares, lo que debe ajustar a la interfaz de
punto final de VPN remoto de R3 con el siguiente comando.
R1(config-crypto-map)#set peer 10.2.2.1

f) Codificar el conjunto de transformacin para ser utilizado con este par, usando el comando
set transform-set tag. Establecer el tipo de secreto de reenvo perfecto con el comando set
pfs type, y tambin modificar la asociacin de seguridad de por vida por defecto de IPsec con
el comando set security-association lifetime seconds seconds.
R1(config-crypto-map)#set pfs group5
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#exit

g)

Crear un mapa criptogrfico en R3.


R3(config)#crypto map CMAP 10 ipsec-isakmp
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#set peer 10.1.1.1
R3(config-crypto-map)#set pfs group5
R3(config-crypto-map)#set transform-set 50

R3(config-crypto-map)#set security-association lifetime seconds 900


R3(config-crypto-map)#exit

h) El ltimo paso es la aplicacin de los mapas para interfaces. Tenga en cuenta que no se
establecern las asociaciones de seguridad (SA) hasta que el mapa criptogrfico haya sido
activado por el trfico interesante. El router generar una notificacin de que Crypto es de
ahora.

i)

Aplicar los mapas criptogrficos a las interfaces apropiadas en R1 y R3.


R1(config)#interface S0/0/0
R1(config-if)#crypto map CMAP
R1(config)#end
R3(config)#interface S0/0/1
R3(config-if)#crypto map CMAP
R3(config)#end

Tarea 2: Verificar Site-to-Site de la configuracin VPN IPsec


Paso 1: Verifique la configuracin de IPsec en R1 y R3.

a) Anteriormente,

ha utilizado el mandato show crypto isakmp policy para mostrar las


polticas ISAKMP configurados en el router. Del mismo modo, el comando show crypto
ipsec transform-set muestra las directivas IPsec configurados en forma de los conjuntos
de transformacin.
R1#show crypto ipsec transform-set
Transform set 50: { esp-256-aes esp-sha-hmac }
will negotiate = { Tunnel, },
Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }
will negotiate = { Transport, },
Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }
will negotiate = { Transport, },

R3#show crypto ipsec transform-set


Transform set 50: { esp-256-aes esp-sha-hmac }
will negotiate = { Tunnel, },

Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }


will negotiate = { Transport, },
Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }
will negotiate = { Transport, },
b) Utilice el comando show crypto map para mostrar los mapas criptogrficos que se
aplicarn al router.
R1#show crypto map
Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.2.2.1
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Current peer: 10.2.2.1
Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/0
R3#show crypto map
Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.1.1.1
Extended IP access list 101
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
Current peer: 10.1.1.1
Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/1

Nota: La salida de estos comandos show no cambia si el trfico va a travs de la conexin.

Tarea 3: Verificar la operacin del IPsec VPN


Paso 1: Visualice las asociaciones de seguridad de ISAKMP.
El comando show crypto isakmp sa revela que an existe ninguna IKE SA. Cuando se enva
trfico interesante, esta salida comando cambiar.

R1#show crypto isakmp sa


Paso 2: Muestra las asociaciones de seguridad IPsec.

a)

El comando crypto ipsec sa muestra la SA no utilizado entre R1 y R3. Tenga en cuenta el


nmero de paquetes enviados y la falta de asociaciones de seguridad que figuran hacia la
parte inferior de la salida. La salida para R1 se muestra aqu.

R1#show crypto ipsec sa


interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x0(0)
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Paso 3: Generar un cierto trfico de prueba sin inters y observar los resultados.

a)
b)

Haga ping desde R1 a la interfaz S0/0/1 de R3 de la direccin IP 10.2.2.1. Los pings son
exitosos? Si
Emita el comando show crypto isakmp sa. Fue una SA entre R1 y R3? No.

c)
d)

e)

Haga ping desde R1 a la direccin 192.168.3.1 IP de la interfaz FA0/1 de R3. Los pings son
exitosos? Si
Emita el comando show crypto isakmp sa. Fue una SA que se cre para estos pings?
Por qu o por qu no? Sin SA fue creada. La direccin de origen de ambos pings era la
direccin R1 S0/0/0 de 10.1.1.1. En el primer caso, la direccin de destino era 10.2.2.1. En
el segundo caso, la direccin de destino era 192.168.3.1. Esto no es "interesante" de
trfico. El ACL 101 que est asociado con el mapa crypto para R1 define trfico interesante
como paquetes de IP de la red 192.168.1.0/24 a la red 192.168.3.0/24.
Emita los paquetes EIGRP con el comando debug. Usted debe ver los paquetes de saludo
EIGRP que pasan entre R1 y R3.
R1#debug eigrp packets
EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB,
SIAQUERY, SIAREPLY)
R1#
*Jan 29 16:05:41.243: EIGRP: Received HELLO on Serial0/0/0 nbr 10.1.1.2
*Jan 29 16:05:41.243: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 pe
erQ un/rely 0/0
*Jan 29 16:05:41.887: EIGRP: Sending HELLO on Serial0/0/0
*Jan 29 16:05:41.887: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
R1#
*Jan 29 16:05:43.143: EIGRP: Sending HELLO on FastEthernet0/1
*Jan 29 16:05:43.143: AS 101, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
R1#