Академический Документы
Профессиональный Документы
Культура Документы
Tabla de Direcciones IP
Objetivos
Parte 1: Realizar la Configuracin Bsica del Router
Configurar host name, direccin IP de interfaces, y passwords de acceso.
Configurar enrutamiento esttico.
Parte 2: Configurar VPN de Acceso Remoto
Configurar firewall basado en zona (ZBF) on R3 usando SDM.
Configure el Router R3 para el soporte Cisco Easy VPN Server usando SDM.
Configurar el Cliente VPN de Cisco en PC-A and conectarse a R3.
Verificar la configuracin.
Antecedentes.
Las VPN pueden proporcionar un mtodo seguro para transmitir datos a travs de una red pblica como
Internet. Una aplicacin comn de VPN se utiliza para el acceso remoto a una oficina corporativa de una
ubicacin teletrabajadores como una pequea oficina o oficina en casa (SOHO).
En esta prctica, construir una red multi-router y configurara los routers y hosts. Configura un acceso
remoto IPSec que simulara la conexin VPN entre un equipo cliente y la red de la empresa. Se comienza
con SDM para configurar un firewall basado en zonificado (ZBF) para prevenir conexiones desde fuera de
la red corporativa. Tambin se utiliza SDM para configurar Cisco Easy VPN Server en el router gateway
corporativo. A continuacin, se configurara el cliente VPN de Cisco en un host y se conectara a la red
corporativa a travs de una simulacin de enrutador del ISP.
El cliente VPN de Cisco permite a las organizaciones establecer conexiones de extremo a extremo,
encriptar tuneles VPN (IPsec) para realizar una conexin segura para usuarios mviles o trabajadores a
distancia. Es compatible con Cisco Easy VPN, que permite que el cliente reciba las polticas de seguridad
en un tunnel VPN conexin desde el sitio central al dispositivo VPN (Cisco Easy VPN Server), minimizando
los requisitos de configuracin en la ubicacin remota. Easy VPN es una solucin escalable para
implementaciones de acceso remoto, lo cual resulta factible para no configurar de forma individual las
polticas de mltiples PC remotos.
Router R1 representa un sitio remoto, y R3 representa la sede corporativa. Host PC-A simula un empleado
que se conecta desde su casa o una pequea oficina a travs de Internet. El router R2 simula un router de
Internet ISP y acta como una pasarela sin conocimiento de la conexin VPN que lo atraviesa.
Nota: Los comandos y salidas proporcionados en este laboratorio son de un Cisco 1841 con Cisco IOS
versin 12.4 (20) T (con imagen Advanced IP). Otros routers y versiones de Cisco IOS se pueden utilizar.
Ver la interfaz grfica del router que figura al final del laboratorio para determinar qu identificadores de
interfaz para usar segn el equipo en el laboratorio. Dependiendo del modelo de router y la versin de
Cisco IOS, los comandos disponibles y las salidas que se muestran pueden ser diferentes a los que se
muestra en esta prctica.
Nota: Asegrese de que los routers y switches han sido borrados y no tienen configuraciones de inicio.
Recursos Requeridos
3 routers Cisco 1841 con Cisco IOS Release 12.4(20)T1 or comparable (2 routers con SDM 2.5
instalado)
2 switches (Cisco 2960 o comparable)
PC-A - Windows XP o Vista (with Cisco VPN Client)
PC-C (Windows XP o Vista)
Cables Serial y Ethernet como se muestra en la topologa
Cable Rollover para configurar los routers va consola
d. Deshabilitar bsqueda de DNS para evitar que el router trate de traducir los comandos incorrectos como
si fueran nombres de host.
R1(config)#no ip domain-lookup
Paso 11: Guarde la configuracin bsica running configuration para los tres routers.
Guarde la configuracin actual de la configuracin en la configuracin de inicio desde el modo EXEC
privilegiado.
R1#copy running-config startup-config
b. Seleccione Basic Firewall y de click en el botn Launch the selected task. En la pantalla del asistente
de la configuracin Basic Firewall haga click en el botn Next.
c. Definir la interfaz inside (trusted) casilla de verificacin para FastEthernet0 / 1 e interfaz Outside
(untrusted) casilla de verificacin para Serial0/0/1. Haga clic en el botn Next. Haga clic en Aceptar
cuando la advertencia de iniciar SDM en Serial0/0/1 se muestra.
d. En la siguiente ventana, selecione Low Security para el nivel de seguridad y haga clic en Next.
e. En la ventana resumen, clic Finish.
f. Haga clic en Delivery para enviar los comandos al router. Haga clic en OK en la ventana de comandos
de estado de entrega. En la ventana de informacin de Clic en OK. Volver a la ficha Edicin de firewall
como se muestra a continuacin.
Tarea 3: Use el asistente para VPN de SDM, para Configurar el servidor Easy VPN
Paso 1: Iniciar el asistente Easy VPN Server y configure el servicio AAA.
a. De Clic en el botn Configure en la parte superior de la pantalla de inicio de SDM. De Clic en la opcin
VPN del panel tareas para activar la pagina de configuracin de VPN.
b. Seleccione Easy VPN Server desde la pantalla principal VPN, y de clic en el botn Launch Easy VPN
Server Wizard.
c. El asistente de Easy VPN Server comprueba la configuracin del router para ver si AAA est habilitado.
Si AAA no est habilitada, la ventana Habilitar AAA muestra. AAA debe estar habilitado en el router antes
de que comience la Configuracin del servidor Easy VPN. Haga clic en S para continuar con la
configuracin.
d. Cuando se le solicite enviar la configuracin al router, haga clic en Delivery.
e. En la ventana de comandos de estado de entrega, click OK. Cuando el mensage AAA has been
successfully enabled on the router sea desplegado de clic en OK.
f. Cuando regrese a la ventana del asistente Easy VPN Server de clic en Next.
g. Ahora que AAA esta habilitado, puede iniciar el asistente Easy VPN Server haciendo clic en el botn
Launch Easy VPN Server del asistente. Lea las descripciones de las tareas que el asistente le guiar.
Donde busca el router las cuentas de usuario y contraseas para autenticar a los usuarios remotos
cuando intentan iniciar una sesin VPN?
_______________________________________________________________________________
b. De Clic en el boton Add User Credentials. En la ventana User Accounts, puede ver los usuarios
definidos actualmente o agregar nuevos usuarios.
Cul es el nombre del usuario que est definido actualmente y cul es el nivel de privilegios de usuario?
______________
Cmo se ha definido por el usuario? ___________________________________________________
c. En la ventana User Accounts, de clic en el boton Add para agregar otros usuarioser. Agregue el usuario
VPNuser1 con password VPNuser1pass. Active el check para la encriptacion de password usando el
algoritmo de hash MD5. Dejar el nivel de privilegio en 1.
Cul es el rango de nivel de privilegio que se puede configurar para un usuario?
__________________________________________________________
d. De Clic en el botn OK para aceptar el registro de VPNuser1, y despus de clic en el botn OK para
cerrar la ventana User Accounts.
10
c. En la ventana Add Group Policy, introduzca VPN-Access como el nombre para este grupo. Introduzca
la nueva clave pre compartida (preshared key) como cisco12345 y vuelva a repetirla.
d. Deje marcada la casilla Pool Information e introduzca una direccin de inicio de la 192.168.3.100, una
direccin final 192.168.3.150 y una mscara subred 255.255.255.0.
e. Introduzca 50 para el nmero mximo de conexiones permitidas (Maximum Connections Allowed).
f. De Clic en el botn OK para aceptar.
g. SDM muestra un mensaje de advertencia que indica que las direcciones IP en el pool y la direccin IP de
la interfaz FastEthernet0 / 1 se encuentran en la misma subred. Haga clic en Yes para continuar.
h. Cuando regresa a la ventana Group Authorization, marque la casilla Configure Idle Timer e introduzca
una hora (1). Esto desconecta a los usuarios, si no hay actividad durante una hora y permite que otros se
conecten.
De Clic en el botn Next para continuar.
i. Cuando la ventana Cisco Tunneling Control Protocol (cTCP) sea desplegada, no habilite cTCP. De Clic
en el botn Next para continuar.
11
j. Cuando la ventana Easy VPN Server Passthrough Configuration sea desplegada, asegrese de que la
casilla Action Modify este seleccionada. Esta opcin permite a SDM modificar la configuracin de firewall
en S0/0/1 para permitir el trfico VPN IPsec para llegar a la LAN interna. De Clic en el botn OK, para
continuar.
Paso 8: Revise
a. Desplcese por los comandos que SDM enviar al router. No marque la casilla de verificacin test the
VPN. De Clic en botn Finish.
b. Cuando se le solicite enviar la configuracin al router, de clic en Deliver.
12
Tarea 4: Use el cliente VPN de Cisco para probar el Acceso Remoto por VPN
Paso 1: (Opcional) Instalar el cliente VPN Cisco en la PC-A.
Paso 2: Configure la PC-A como un cliente VPN para acceder al servidor VPN desde R1.
a. Iniciar el cliente VPN de cisco y selecione Connection Entries > New, o de clic en el icono New con el
signo rojo mas(+) en el.
13
b. Introduce la siguiente informacin para definir la entrada de conexin nueva. De Clic en el botn Save
cuando haya terminado.
Connection Entry: VPN-R3
Description: Conexin a Red Interna de R3
Host: 10.2.2.1 (Direccin IP de la interfaz S0/0/1 del router R3)
Group Authentication Name: VPN-Access (definido en el pool de direcciones configurado en la Tarea 2)
Password: cisco12345 (pre-shared key configurado en la Tarea 2)
Confirm Password: cisco12345
Nota: El nombre de autenticacin de grupo y la contrasea distinguen entre maysculas y minsculas y
debe coincidir con las creadas en el servidor VPN.
Paso 3: Prueba
En el paso anterior, se ha creado una entrada de conexin VPN en el cliente VPN del equipo PC-A, pero
no lo ha activado, asi el tnel VPN no ha sido probado.
Abra una sesin de comandos en la PC-A y haga ping a la direccin IP PC-C con 192.168.3.3 en la LAN de
R3. Tienen xito los ping? Por que si, o porque no?
_______________________________________________________________________________
_______________________________________________________________________________
14
15