Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONFIGURACION DE VPN IKEV1 (SITE TO SITE) ENTRE ROUTER 2901 Y FIREWALL ASA
5510
Topologa
Tabla de direccionamiento
Mscara de Gateway
Dispositivo Interfaz Direccion IP Nameif Security Level
subred Predeterminado
G0/0 203.0.1.1 255.255.255.252 N/A N/A N/A
Router
G0/1.10 192.168.0.1 255.255.255.0 N/A N/A N/A
Outside
G0/1.20 192.168.1.1 255.255.255.0 N/A N/A N/A
E0/0 172.16.0.1 255.255.255.0 Inside 100 N/A
ASA
E0/1 203.0.1.2 255.255.255.252 Outside 0 N/A
Cliente
NIC 172.16.0.2 255.255.255.0 N/A N/A 172.16.0.1
Interno
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
Situacin:
En esta actividad, se configurar un Router 2901 y un Asa 5510 para admitir una VPN con IPsec de
sitio a sitio para el trfico que fluye de sus respectivas LAN. IPsec proporciona una transmisin
segura de la informacin confidencial a travs de redes sin proteccin, como Internet. IPsec
funciona en la capa de red, por lo que protege y autentica los paquetes IP entre los dispositivos
IPsec participantes (peers), como los routers y firewall Cisco.
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
Para asignar una direccin IP a un pc de forma esttica se procede a hacer los siguientes
pasos
1. Se busca el icono de red en la barra de tareas del escritorio y luego con click
derecho se abre el submen y se ingresa al centro de redes y recursos
compartidos
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
3. En esta ventana se ubica el puntero del mouse sobre la opcin de Cable de Red a
continuacin click derecho y luego a la opcin propiedades
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
CLIENTE INTERNO
CLIENTE 1
CLIENTE 2
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
Switch
Switch>
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SwOut
SwOut(config)#vlan 10
SwOut(config-vlan)#name Vlan10
SwOut(config-vlan)#exit
SwOut(config)#vlan 20
SwOut(config-vlan)#name Vlan20
SwOut(config-vlan)#exit
SwOut(config)#interface range fastEthernet 0/1-12
SwOut(config-if-range)#switchport access vlan 10
SwOut(config-if-range)#exit
SwOut(config)#int range fastEthernet 0/13-24
SwOut(config-if-range)#switchport access vlan 20
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
SwOut(config-if-range)#exit
SwOut(config)#interface gigabitEthernet 0/1
SwOut(config-if)#switchport mode trunk
SwOut(config-if)#exit
FIREWALL.
A continuacin se realizara un enrutamiento esttico para la red, que permita que los
clientes 1 y 2 puedan realizar solicitudes ping hasta la direccin del puerto E0/1 en el
Firewall
Configure la ACL vpn para identificar como interesante el trfico proveniente de la LAN
en el Firewall a la LAN en el Router Outside. Este trfico interesante activa la VPN con
IPsec para que se implemente cada vez que haya trfico entre las LAN del Firewall y el
Router.
Nota: el trfico interesante que vamos a utilizar en el tnel IPsec va a hacer el del
cliente 1, el cliente 2 no se incluir.
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
ROUTER.
Nota: las palabras subrayadas son de libre eleccin pero deben coincidir en las dos partes
donde estn referenciadas, adems se cita el nmero de la VPN que lleva el trfico
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
interesante hacia el firewall as como la direccin IP del firewall ala que va apuntada la
VPN la cual se debe escribir en el campo del comando set peer
interface: GigabitEthernet0/0
Crypto map tag: vpnmap, local addr 203.0.1.1
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
interface: GigabitEthernet0/0
Crypto map tag: vpnmap, local addr 203.0.1.1
Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO
5. Verificar el tnel.
En el Router Outside, vuelva a emitir el comando show crypto ipsec sa. Por ltimo,
observe que la cantidad de paquetes no cambi, lo que verifica que el trfico no
interesante no est cifrado ni tiene paso hacia la LAN interna del firewall, lo que
significa que el firewall est bloqueando el paso entre zonas de seguridad y los
paquetes ICMP no van a alcanzar el cliente interno.
Jorman Rodrguez