CONTENIDO Laboratorio 1 Seguridad en Router Cisco 2 Laboratorio 2 Role Based Access 7 Laboratorio 3 Cisco SDM 10 Laboratorio 4 AAA LOCAL 14 Laboratorio 5 AAA TACACS+ 16 Laboratorio 6 Auto Secure / One Step Lock Down Router 18 Laboratorio 7 Cisco Logging 20 Laboratorio 8 Configuración de protocolo SSH 22 Laboratorio 9 Segura en Switch Cisco 24 Laboratorio 10 NAC LEAP 802.1x 27 Laboratorio 11 Lista de Acceso Estándar 29 Laboratorio 12 Lista de Acceso Extendida 31 Laboratorio 13 VPN IPSec Site to Site 33 1 LABORATORIO 1 OBJETIVO El estudiante aprenderá los procedimientos necesarios para la configuración de un Router Cisco de forma segura. REQUERIMIENTOS: (1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP DIAGRAMA DE LABORATORIO 2 PROCEDIMIENTO 1. 2. 3. 4. 5. 6. 7. 8. Esquema de direccionamiento IP Configuración contraseñas Limitar el número de intentos fallidos de conexión Configuración de reloj de inactividad Configuración de modo privilegiado Protección de archivos del Router Configuración opciones adicionales de seguridad para las conexiones virtuales Configuración Banner 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA N/A SwitchA N/A LaptopA N/A 2) CONFIGURACION DE CONTRASEÑAS RouterA>enable Entra al modo privilegiado. RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#enable secret cisco Configuración de contraseña para entra al modo configuración privilegiado. RouterA(config)#line console 0 Entra al modo configuración Line. RouterA(config-line)#password cisco Configuración de contraseña en el puerto console 0. RouterA(config-line)#login Activación de la autenticación. RouterA(config)#exit Salir al modo configuración anterior. RouterA(config)#line aux 0 Entra al modo configuración Aux. RouterA(config-line)#password cisco Configuración de contraseña en el puerto Auxiliar. RouterA(config-line)#login Activación de la autenticación. RouterA(config)#exit Salir al modo configuración anterior. RouterA(config)#line vty 0 4 Entra al modo configuración Line. RouterA(config-line)#password cisco Configuración de contraseña en los puertos VTY. RouterA(config-line)#login Activación de la autenticación. RouterA(config-line)#exit Salir al modo configuración anterior. RouterA(config)#exit Salir al modo configuración anterior. 3 RouterA#show running Muestra en pantalla la configuración del Router residente en el memoria DRAM. RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#service password-encryption Comando para cifra todas las contraseñas anteriormente configuradas. RouterA(config)#exit Salir al modo configuración anterior. RouterA#show running Muestra en pantalla la configuración del Router residente en el memoria DRAM. 3) LIMITAR EL NUMERO DE INTENTOS FALLIDOS CONEXION RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#security authentication failure Comando para especificar la cantidad de rate 5 log autenticación fallidas.. En caso que el número de intentos fallidos sea igual a 5 el Router generará un mensaje log. RouterA(config)#exit Salir al modo configuración anterior. 4) CONFIGURACION RELOJ DE INACTIVIDAD RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#line con 0 Entra al modo configuración Line. RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema. RouterA(config-line)#exit Salir al modo configuración anterior. RouterA(config)#line aux 0 Entra al modo configuración Auxiliar. RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema. RouterA(config-line)#exit Salir al modo configuración anterior. RouterA(config)#line vty 0 4 Entra al modo configuración VTY. RouterA(config-line)#exec-timeout 2 30 Comando que especifica el tiempo de inactividad que puede tener un usuario en el sistema. En caso 4 de que el tiempo de inactividad alcance 2 minutos con 30 segundos el sistema operativo automáticamente expulsa al usuario fuera del sistema. RouterA(config-line)#exit Salir al modo configuración anterior. 5) CONFIGURACION MODO PRIVILEGIADO RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#privilege exec level 5 debug Comando que especifica el nivel de privilegio necesario para ejecutar el comando debug. En este caso es el nivel customizado 5. Los niveles alcanzan el rango de 0-15. El nivel privilegiado 0 es el EXEC mode (modo de usuario) y el nivel privilegiado 15 es el PRIVILEG MODE (modo privilegiado). El rango 1-14 puede ser personalizado. RouterA(config)#enable secret level 5 cisco Configuración de contraseña para entrar al modo privilegiado 5. RouterA(config)#exit Salir al modo anterior. RouterA#enable 5 Entra al modo privilegiado 5. 6) PROTECCION DE ARCHIVOS DEL ROUTER RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#secure boot-image Comando que asegura la imagen del sistema operativo para que esta no sea borrada del sistema intencionalmente. (Cisco IOS Resilient Configuration) RouterA(config)#secure boot-config Comando que asegura la configuración runningconfig en el sistema. De esta forma se mantiene un backup de la configuración de manera segura. (Cisco IOS Resilient Configuration) RouterA#show secure bootset Comando utilizado verificar si tenemos activa la Cisco IOS Resilient Configuration. 5 7) CONFIGURANDO OPCIONALES ADICIONALES PARA LAS CONEXIONES VIRTUALES Router#configure terminal Entra al modo configuración Global. RouterA(config)#login block-for 30 attempts 5 within 10 Comando que establece el número máximo de intentos fallidos de validación. En caso que los intentos fallidos alcancen 5 intentos el sistema desactivará la validación de usuario por un periodo de 30 segundos. RouterA(config)#login quiet-mode access-class 101 Comando que especifica la excepción al comando anteior. RouterA(config)#login delay 3 Comando que especifica el tiempo mínimo esperado entre intentos de validación. RouterA(config)#login on-failure log Comando que especifica la creación de una archivo para llevar un registro de los intentos fallidos de validación. RouterA(config)#login on-success log Comando que especifica la creación de una archivo para llevar un registro de los intentos válidos de validación. 8) CONFIGURACION BANNER RouterA(config)#banner motd #EL ACCESO A ESTE EQUIPO DE MANERA ILEGAL SERA PERSEGUIDO CON TODA LA FUERZA DE LEY Configuración de banner. 6 LABORATORIO 2 OBJETIVO El estudiante aprenderá el procedimiento necesario la configuración de accesso a los recursos del Cisco IOS basado en roles o perfiles de usuarios. REQUERIMIENTOS: (1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP DIAGRAMA DE LABORATORIO 7 PROCEDIMIENTO 1. Esquema de direccionamiento IP 2. Configuración de VIEW o perfiles 3. Comprobación de la configuración 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA N/A SwitchA N/A LaptopA N/A 2) CONFIGURACION DE VIEW O PERFILES RouterA#terminal monitor Muestra en pantalla mensajes de debug, errores, notificaciones, etc. RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#aaa new-model Activación de AAA. RouterA(config)#exit Salir al modo configuración anterior. RouterA#enable view Entra al modo configuración View. RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#parser view HELPDESK Creación de un VIEW o Perfil. RouterA(config-view)#secret cisco Configuración de contraseña para accesar al este perfil. RouterA(config-view)#commands exec include all copy Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW. RouterA(config-view)#commands exec include traceroute Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW. RouterA(config-view)#commands exec include ping Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW. RouterA(config-view)#exit Salir al modo configuración anterior. RouterA(config)#parser view SUPPORT Creación de un VIEW o Perfil. RouterA(config-view)#secret cisco Configuración de contraseña para acceder al este perfil. RouterA(config-view)#commands exec include show Lista de comandos que tendrán acceso los usuarios que pertenezcan a este VIEW. RouterA(config-view)#exit Salir al modo configuración anterior. 8 RouterA(config)#username helpdesk view HELPDESK secret cisco Creación de cuenta de usuario. RouterA(config)#username support view SUPPORT secret cisco Creación de cuenta de usuario. RouterA(config)#exit Salir al modo configuración Privilegiado. RouterA#exit Salir al modo configuración EXEC. 3) COMPRABACION DE LA CONFIGURACION RouterB>enable view helpdesk Entra al modo View helpdesk. RouterB#? Muestra los comandos que pueden ser utilizado por el modo View. RouterB>enable view support Entra al modo View support. RouterB#? Muestra los comandos que pueden ser utilizado por el modo View. 9 LABORATORIO 3 OBJETIVO El estudiante aprenderá el procedimiento necesario para la instalación del software Cisco SDM. REQUERIMIENTOS: (1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (3) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP. DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. 2. 3. 4. 5. Esquema de direccionamiento IP Configuración Básica Router Cisco Configuración de Servidor HTTP en Router Cisco Configuración de cuenta de usuario en Router Cisco Instalación de Cisco SDM en Laptop 10 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA N/A SwitchA N/A LaptopA N/A 2) CONFIGURACION DE HTTP SERVER EN ROUTER CISCO Router>enable Entra al modo Privilegiado. Router#configure terminal Entra al modo configuración Global. Router(config)#hostname RouterA Configuración de Host Name. RouterA(config)#no ip domain-lookup Desactivación de resolución de nombres de dominio. 3) CONFIGURACION DE SERVIDOR HTTP EN ROUTER CISCO RouterA(config)#ip http server Activación de servicio de servidor HTTP. RouterA(config)#ip http secure-server Activación de servicio de servidor HTTP Seguro utilizando SSL. RouterA(config)#ip http authentication local Configuración de la validación de usuario en la base de datos local del Router. 4) CONFIGURACION DE CUENTA DE USUARIO RouterA(config)#username admin privilege 15 secret cisco Configuración de la cuenta de usuario Admin con privilegios todos los privilegios ya que se le ha asignado el nivel 15. 11 5) INSTALACION DE CISCO SDM EN LAPTOP A) Comenzando el proceso de instalación B) Selección de la ruta de instalación c) Iniciando conexión del Router Cisco 12 d) Utilizando Cisco SDM 13 LABORATORIO 4 OBJETIVO El estudiante aprenderá el procedimiento necesario la configuración de validación de logins utilizando AAA con la base de datos de usuarios local del Router. REQUERIMIENTOS: (1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP. DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. 2. 3. 4. Esquema de direccionamiento IP Configuración cuenta de usuario Configuración de AAA Configuración de VTY 14 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA N/A SwitchA N/A LaptopA N/A 2) CONFIGURACION CUENTA DE USUARIO RouterA(config)#username admin privilege 15 secret cisco Creación de cuenta de usuario local en Router. 3) CONFIGURACION DE SSH RouterA(config)#aaa new-model Activación de AAA. RouterA(config)#aaa authentication login CCNA_SECURITY local Configuración de AAA Autenticación Local. 4) CONFIGURACION DE VTY RouterA(config)#line vty 0 4 Entra al modo configuración Line. RouterA(config-line)#login authentication login Configuración de Logins en VTY utilizando el CCNA_SECURITY método de validación CCNA_SECURITY. 15 LABORATORIO 5 OBJETIVO El estudiante aprenderá el procedimiento necesario la configuración de validación de logins utilizando AAA con un servidor TACACS+. REQUERIMIENTOS: (1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP Cisco ACS 4.0 for Windows DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. Esquema de direccionamiento IP 2. Configuración de AAA 3. Configuración método de validación TACACS 4. Configuración de VTY 16 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA 10.10.10.1/24 SwitchA 10.10.10.2/24 LaptopA 10.10.10.3/24 2) CONFIGURACION DE AAA RouterA(config)#aaa new-model Activación de AAA. RouterA(config)#aaa authentication login CCNA_SECURITY group tacacs Configuración de AAA Autenticación Local. 3) CONFIGURACION METODO DE VALIDACION TACACS RouterA(config)#tacacs-server host 10.10.0.3 single-connection Configuración servidor TACACS. RouterA(config)#tacacs-server key cisco Configuración de contraseña para establecer la conexión con el servidor TACACS. 4) CONFIGURACION DE VTY RouterA(config)#line vty 0 4 Entra al modo configuración Line. RouterA(config-line)#login authentication login Configuración de Logins en VTY utilizando el CCNA_SECURITY metodo de validación CCNA_SECURITY. 17 LABORATORIO 6 OBJETIVO El estudiante aprenderá el procedimiento necesario la configuración de un Router Cisco de forma segura automáticamente. REQUERIMIENTOS: (2) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP. DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. Esquema de direccionamiento IP 2. Comando AutoSecure 18 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA 10.10.10.1/24 SwitchA 10.10.10.2/24 LaptopA 10.10.10.3/24 2) COMANDO AUTO SECURE Router>enable Router#auto secure 19 LABORATORIO 7 OBJETIVO El estudiante aprenderá el procedimiento necesario la configuración que la configuración de bitácora (Logging) sea enviada a un servidor Syslog central en la red. REQUERIMIENTOS: (1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP. Kiwi Syslog Server Software 8.3.52 for Windows DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. Esquema de direccionamiento IP 2. Configuración de Logging 20 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA 10.10.10.1/24 SwitchA 10.10.10.2/24 LaptopA 10.10.10.3/24 2) CONFIGURACION DE LOGGING RouterA#terminal monitor Muestra en pantalla la salida de los comandos debug, mensajes de notificación y error. RouterA#configure terminal Entra al modo configuración Global. RouterA(config)#logging buffered 4096 Configuración del tamaño del buffer para guardar los log del router. RouterA(config)#logging 10.10.10.3 Configuración de servidor Syslog para que el Router envie los logs. RouterA(config)#logging trap 7 Configuración del Nivel 7 de mensajes Syslog. RouterA#show log Muestra los logs guardados en el buffer en pantalla. 21 LABORATORIO 8 OBJETIVO El estudiante aprenderá el procedimiento necesario la configuración de SSH como protocolo de acceso remoto a los Routers. REQUERIMIENTOS: (1) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP. DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. 2. 3. 4. 5. 6. Esquema de direccionamiento IP Configuración de cuenta de usuario Configuración de SSH Configuración de VTY Configuración opcional de SSH Mostrar información de SSH 22 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA 10.10.10.1/24 SwitchA 10.10.10.2/24 LaptopA 10.10.10.3/24 2) CONFIGURACION CUENTA DE USUARIO RouterA(config)#username admin privilege 15 secret cisco Creación de cuenta de usuario local en Router. 3) CONFIGURACION DE SSH RouterA(config)#ip domain-name cisco.com Configuración de nombre de dominio. Esta opción es importante ya que el protocolo SSH generará una llave de encriptación pública y ésta se generara usando datos del Router tales como el nombre de dominio. RouterA(config)#crypto key generate rsa Generación de llave criptográfica utilizando el algoritmo asimétrico RSA. 4) CONFIGURACION DE VTY RouterA(config)#line vty 0 4 Entra al modo configuración Line. RouterA(config-line)#login local Configuración de Login con la validación de usuario en la base de datos local del Router. RouterA(config-line)#transport input ssh Configuración de SSH en los VTY. 5) CONFIGURACION OPCIONAL DE SSH RouterA(config)#ip ssh version 2 Configuración de SSH versión 2. RouterA(config)#ip ssh time-out 120 Configuración de IDLE para 120 segundos. RouterA(config)#ip ssh authentication-retries 1 Configuración del número de intentos permitidos para entrar al Router via SSH. 6) MOSTRAR CONFIGURACION SSH RouterA#show ip ssh Muestra en pantalla información de SSH. 23 LABORATORIO 9 OBJETIVO El estudiante aprenderá el procedimiento necesario la configuración segura de dispositivos de Capa 2 (Switching). REQUERIMIENTOS: (2) Cisco Router 1760 (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (1) PC IBM o compatible Sistema operativo Windows XP. DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. 2. 3. 4. 5. Esquema de direccionamiento IP Previniendo VLAN Hopping Previniendo Ataques STP Previniendo Ataques DHCP Server Spoofing Previniendo Ataques CAM Table Overflow y MAC Address Spoofing (port-security) 24 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA 10.10.10.1/24 SwitchA 10.10.10.2/24 LaptopA 10.10.10.3/24 2) PREVINIENDO VLAN HOPPPING (SWITCH SPOOFING) Switch>enable Entra al modo Privilegiado. Switch#configure terminal Entra al modo configuración Global. Switch(config)#interface f0/24 Entra al modo configuración de interfase. Switch(config-if)#switchport mode access Configuración de puerto en modo Access. Switch(config-if)#exit Salir al modo configuración anterior. Switch(config)#interface f0/23 Entra al modo configuración interfase. Switch(config-if)#switchport mode trunk Configuración de puerto en modo Trunk. Switch(config-if)#switchport trunk encapsulation dot1 Configuración de encapsulación 802.1q. Switch(config-if)#switchport nonegotiate Parámetro para deshabilitar el envío de tramas DTP en el puerto. Switch(config-if)#switchport trunk native vlan 400 Configuración de VLAN NATIVA en la VLAN 400. 3) PREVINIENDO ATAQUES STP (ROOT GUARD) Switch>enable Entra al modo Privilegiado. Switch#configure terminal Entra al modo configuración Global. Switch(config)#interface f0/1 Entra al modo configuración interfase. Switch(config-if)#spanning-tree guard root Configura el puerto para que en caso de que se reciba alguna trama DPDU el puerto se pone en modo root-inconsistent. Mientras este puerto esta en modo root-inconsistent el usuario no puede enviar ni recibir información. Switch(config)#interface f0/2 Entra al modo configuración interfase. Switch(config-if)#spanning-tree portfast bpduguard Configura el puerto en modo Port-Fast. En caso que el puerto reciba alguna trama BPDU el puerto de deshabilita automáticamente. 25 4) PREVINIENDO ATAQUES DHCPD SERVER SPOOFING Switch>enable Entra al modo privilegiado. Switch#configure terminal Entra al modo configuración Global. Switch(config)#ip dhcp snooping Comando para la activación de ip dhcp snooping con el fin de prevenir la instalación de servidores DHCP ilegítimos. Switch(config)#interface f0/4 Entra al modo configuración interfase. Switch(config-if)#ip dhcp snooping trust Configuración de interfase como CONFIABLE para recibir paquetes DHCPOFFER, DHCPPACK. Switch(config-if)#exit Salir al modo configuración anterior. Switch(config)#interface f0/5 Entra al modo conifguración interfase. Switch(config-if)#ip dhcp snooping limit rate 3 Configuración para limitar el número de mensajes DHCP que pueden ser enviados por segundo. 5) PREVINIENDO ATAQUES CAM TABLE OVERFLOW Y MAC ADDRESS SPOOFING Switch>enable Entra al modo Privilegiado. Switch#configure terminal Entra al modo configuración Global. Switch(config)#interface f0/5 Entra al modo configuración interfase. Switch(config-if)#switchport mode access Configuración de puerto en modo ACCESS. Switch(config-if)#switchport port-security Activación de Port-Security en el puerto. Switch(config-if)#switchport port-security maximum 1 Configuración que permite sólo una dirección MAC en la interfase. Switch(config-if)#switchport port-security violation shutdown Configuración que desactiva la interfase en caso de que sean reconocidas dos o más direcciones MAC en la interfase. Switch(config-if)#switchport port-security mac- Configuración para grabar las direcciones MAC address sticky registradas por la interfase en la runningconfiguration. Switch(config-if)#exit Salir al modo configuración anterior. Switch(config)#exit Salir al modo configuración anterior. Switch#show port-security Muestra información sobre los puertos que tiene activo Port-Security. Switch#show port-security address Muestra información sobre los puertos que tiene activo Port-Security. 26 LABORATORIO 10 OBJETIVO El estudiante aprenderá el procedimiento necesario para la configuración de NAC (Network Access Control) a nivel de Switch. REQUERIMIENTOS: (1) Cisco Catalyst Switch 2950 (2) Patch Cord straight-through (2) PC IBM o compatible Sistema operativo Windows XP Cisco ACS for Windows DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. 2. 3. 4. 5. 6. Esquema de direccionamiento IP Configuración de AAA Configuración de Switch para validación de acceso via Radius Activación global en Switch de validación dot1x Configuración de puertos del Switch Mostrar en pantalla configuración dot1x 27 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname F0/0 Pod A RouterA 10.10.10.1/24 SwitchA 10.10.10.2/24 LaptopA 10.10.10.3/24 2) CONFIGURACION DE AAA SwitchA>enable Entra al modo Privilegiado. SwitchA#configure terminal Entra al modo configuración Global. SwitchA(config)#aaa new-model Activación de AAA. SwitchA(config)#aaa authentication dot1x CCNA_SECURITY gorup radius Configuración de validación AAA del tipo dot1x utilizando servidores Radius. 3) CONFIGURACION DE SWITCH PARA VALIDACION DE ACCESO VIA RADIUS SwitchA(config)#radius-server host 10.10.0.5 Configuración de servidor de validación Radius. SwitchA(config)#radius-server key cisco Configuración de contraseña para la comunicación entre el Switch y el servidor Radius. 4) ACTIVACION GLOBAL EN EL SWITCH DE VALIDACION DOT1X SwitchA(config)#dot1x system-auth-control Activación del la validación Dot1x. SwitchA(config)#guest-vlan supplicant Activación de gues-vlan en caso de la validación de usuario no sea exitosa. 5) CONFIGURACION DE PUERTOS DEL SWITCH SwitchA(config)#int range 1-12 Entra al modo configuración interfase. SwitchA(config-if)#switchport mode access Configuración de puerto en modo acceso. SwitchA(config-if)#dot1x port-control Configuración de dot1x. 6) MOSTRAR EN PANTALLA CONFIGURACION DOT1X SwitchA#show dot1x Muestra en pantalla información sobre dot1x. SwitchA#show aaa server Muestra en pantalla información sobre los servidor AAA configurados. SwitchA#debug aaa authentication Despliega en pantalla en tiempo real información referente al proceso de validación de usuarios. 28 LABORATORIO 11 OBJETIVO El estudiante aprenderá los comandos y procedimientos necesarios para la configuración de Listas de Acceso Estándar. REQUERIMIENTOS: (2) Cisco Router 2501 (1) Rollover Cable (1) PC IBM o compatible Sistema operativo Windows o Linux. DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. 2. 3. 4. Esquema de direccionamiento IP. Configuración de Lista de Acceso Estandar. Configuración de Lista de Acceso en interfase correspondiente. Comprobacion de la práctica. 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname Pod A RouterA RouterB Ethernet IP Serial/0 IP Serial/1 IP Loopback0 IP Loopback1 IP 10.10.0.1/24 1.1.1.1/24 2.2.2.2/24 10.10.0.2/24 3.3.3.3/24 4.4.4.4/24 2) CONFIGURACION DE LISTA DE ACCESO. RouterA#configure terminal Entra al modo configuración global. RouterA(config)#access-list 10 deny ip 3.3.3.3 0.0.0.0 Confguración de Access-List Extendida. 29 3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE RouterA(config)#int s0 Entra al modo configuración interfase. RouterA(config-if)#ip access-group 101 out Activación de Access-List en la interfase correspondiente. 4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101 RouterB#ping 1.1.1.1 Comprobación de conectividad a nivel de Capa 3. 30 LABORATORIO 12 OBJETIVO El estudiante aprenderá los comandos y procedimientos necesarios para la configuración de Listas de Acceso Extendidas. REQUERIMIENTOS: (2) Cisco Router 2501 (1) Rollover Cable (1) PC IBM o compatible Sistema operativo Windows o Linux. DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. 2. 3. 4. Esquema de direccionamiento IP. Configuración de Lista de Acceso Extendida. Configuración de Lista de Acceso en interfase correspondiente. Comprobación de la práctica. 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname Pod A RouterA RouterB Ethernet IP Serial/0 IP Serial/1 IP Loopback0 IP Loopback1 IP 10.10.0.1/24 1.1.1.1/24 2.2.2.2/24 10.10.0.2/24 3.3.3.3/24 4.4.4.4/24 2) CONFIGURACION DE LISTA DE ACCESO. RouterB#configure terminal Entra al modo configuración global. RouterB(config)#access-list 101 deny ip 3.3.3.3 0.0.0.0 1.1.1.1 0.0.0.0 Confguración de Access-List Extendida. 31 3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE RouterB(config)#int s0 Entra al modo configuración interfase. RouterB(config-if)#ip access-group 101 in Activación de Access-List en la interfase correspondiente. 4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101 RouterB#ping 1.1.1.1 Comprobación de conectividad a nivel de Capa 3. 32 LABORATORIO 13 OBJETIVO El estudiante aprenderá el procedimiento necesario configuración de una conexión VPN Site to Site utilizando el protocolo IPSEC a través de la línea de comandos. REQUERIMIENTOS: (2) Cisco Router 1760 (2) Patch Cord Cable (1) V.35 Serial Cable (1) PC IBM o compatible Sistema operativo Windows XP DIAGRAMA DE LABORATORIO PROCEDIMIENTO 1. 2. 3. 4. 5. Esquema de direccionamiento IP Configuración de IKE FASE 1 (ISAKMP) Configuración de IKE FASE 2 (IPSEC) Aplicar la configuración a la interfase Verificación de la conexión VPN 1) ESQUEMA DE DIRECCIONAMIENTO IP Pod Hostname Interfase F0/0 Interfase S0/0 Pod A RouterA 10.1.1.1/24 172.30.2.1/24 RouterB 192.168.0.1/24 172.30.2.2/24 33 2) CONFIGURACION DE IKE FASE 1 (ISAKMP) RouterA(config)#crypto isakmp policy 1 Creación de un objeto para la configuración de políticas ISAKMP. RouterA(config-isakmp)#hash sha Configuración de Hash. RouterA(config-isakmp)#group 2 Configuración de nivel de encriptación del protocolo Diffie-Hellman. RouterA(config-isakmp)#lifetime 86400 Tiempo límete del SA. Cuando el reloj es cero los Router vuelven a renegociar las llaves para establecer una nueva SA. RouterA(config-isakmp)#authentication preshare Tipo de validación. RouterA(config-isakmp)#encrytion aes 128 Algoritmo de encriptación que se utiliza para el cifrado de la información. RouterA(config-isakmp)#exit Salir al modo configuración anterior. RouterA(config)#crypto isakmp key cisco address 172.30.2.2 Configuración de la llave para la validación de IPSEC. El router del otro extremo debe de tener la misma llave. RouterB(config)#crypto isakmp policy 1 Creación de un objeto para la configuración de políticas ISAKMP. RouterB(config-isakmp)#hash sha Configuración de Hash. RouterB(config-isakmp)#group 2 Configuración de nivel de encriptación del protocolo Diffie-Hellman. RouterB(config-isakmp)#lifetime 86400 Tiempo límete del SA. Cuando el reloj es cero los Router vuelven a renegociar las llaves para establecer una nueva SA. RouterB(config-isakmp)#authentication preshare Tipo de validación. RouterA(config-isakmp)#encrytion aes 128 Algoritmo de encriptación que se utiliza para el cifrado de la información. RouterB(config-isakmp)#exit Salir al modo configuración anterior. RouterB(config)#crypto isakmp key cisco Configuración de la llave para la validación de 34 address 172.30.2.1 IPSEC. El router del otro extremo debe de tener la misma llave. 3) CONFIGURACION DE IKE FASE 2 (IPSEC) RouterA(config)#crypto ipsec transform-set MYSET esp-aes esp-sha Configuración de los algoritmos de encriptación a negociar durantes el establecimiento del SA. RouterA(cfg-crypto-trans)#exit Salir al modo configuración anterior. RouterA(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255 Lista de acceso. RouterA(config)#crypto map ROUTERA_TO_ROUTERB 1 ipsec-isakmp Configuración de Crypto MAP. RouterA(config-crypto-map)#set peer 172.30.2.2 Especifica la dirección IP del Router con el cual se va a establecer conexión. RouterA(config-crypto-map)#set transform-set MYSET Especifica el transform-set a utilizar durante la conexión. RouterA(config-crypto-map)#match address 101 Especifica la lista de acceso que establecerá el trafico que cruzará a través del túnel VPN. RouterA(config-crypto-map)#exit Salir al modo configuración anterior. RouterB(config)#crypto ipsec transform-set MYSET esp-aes esp-sha Configuración de los algoritmos de encriptación a negociar durantes el establecimiento del SA. RouterB(cfg-crypto-trans)#exit Salir al modo configuración anterior. RouterA(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255 Lista de acceso. RouterA(config)#crypto map ROUTERB_TO_ROUTERA 1 ipsec-isakmp Configuración de Crypto MAP. RouterA(config-crypto-map)#set peer 172.30.2.1 Especifica la dirección IP del Router con el cual se va a establecer conexión. 35 RouterA(config-crypto-map)#set transform-set MYSET Especifica el transform-set a utilizar durante la conexión. RouterA(config-crypto-map)#match address 101 Especifica la lista de acceso que establecerá el trafico que cruzará a través del túnel VPN. RouterA(config-crypto-map)#exit Salir al modo configuración anterior. 4) APLICAR LA CONFIGURACION A LA INTERFASE RouterA(config)#interface s0/0 Entra al modo configuración interfase. RouterA(config-if)#crypto map ROUTERA_TO_ROUTERB Aplica el Cryto Map Armadillo en la interfase. RouterA(config-if)#exit Salir al modo configuración anterior. RouterA(config)#ip route 192.168.0.0 255.255.255.0 172.30.2.2 Configuración de ruta por defecto. RouterB(config)#interface s0/0 Entra al modo configuración interfase. RouterB(config-if)#crypto map ROUTERB_TO_ROUTERA Aplica el Cryto Map Armadillo en la interfase. RouterB(config-if)#exit Salir al modo configuración anterior. RouterB(config)#ip route 10.1.1.0 255.255.255.0 Configuración de ruta por defecto. 172.30.2.1 5) VERIFICACION DE LA CONEXION VPN RouterA#ping (extendido) Ping extendido. Target IP address: 192.168.0.1 Dirección IP destinado del paquete. Source address of interface: 10.1.1.1 Dirección IP origen del paquete. RouterA#show cryto engine connections active Muestra las conección activas a través del VPN. RouterA#show cryto session Muestra las session IPSec activas en el Router. 36 RouterB#show cryto engine connections active Muestra las conección activas a través del VPN. RouterB#show cryto session Muestra las session IPSec activas en el Router. 37