laboratorio 1

Anuncio
CONTENIDO
Laboratorio 1
Seguridad en Router Cisco
2
Laboratorio 2
Role Based Access
7
Laboratorio 3
Cisco SDM
10
Laboratorio 4
AAA LOCAL
14
Laboratorio 5
AAA TACACS+
16
Laboratorio 6
Auto Secure / One Step Lock Down Router
18
Laboratorio 7
Cisco Logging
20
Laboratorio 8
Configuración de protocolo SSH
22
Laboratorio 9
Segura en Switch Cisco
24
Laboratorio 10
NAC LEAP 802.1x
27
Laboratorio 11
Lista de Acceso Estándar
29
Laboratorio 12
Lista de Acceso Extendida
31
Laboratorio 13
VPN IPSec Site to Site
33
1
LABORATORIO 1
OBJETIVO
El estudiante aprenderá los procedimientos necesarios para la configuración de un Router Cisco
de forma segura.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO
2
PROCEDIMIENTO
1.
2.
3.
4.
5.
6.
7.
8.
Esquema de direccionamiento IP
Configuración contraseñas
Limitar el número de intentos fallidos de conexión
Configuración de reloj de inactividad
Configuración de modo privilegiado
Protección de archivos del Router
Configuración opciones adicionales de seguridad para las conexiones virtuales
Configuración Banner
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
N/A
SwitchA
N/A
LaptopA
N/A
2) CONFIGURACION DE CONTRASEÑAS
RouterA>enable
Entra al modo privilegiado.
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#enable secret cisco
Configuración de contraseña para entra al modo
configuración privilegiado.
RouterA(config)#line console 0
Entra al modo configuración Line.
RouterA(config-line)#password cisco
Configuración de contraseña en el puerto console
0.
RouterA(config-line)#login
Activación de la autenticación.
RouterA(config)#exit
Salir al modo configuración anterior.
RouterA(config)#line aux 0
Entra al modo configuración Aux.
RouterA(config-line)#password cisco
Configuración de contraseña en el puerto Auxiliar.
RouterA(config-line)#login
Activación de la autenticación.
RouterA(config)#exit
Salir al modo configuración anterior.
RouterA(config)#line vty 0 4
Entra al modo configuración Line.
RouterA(config-line)#password cisco
Configuración de contraseña en los puertos VTY.
RouterA(config-line)#login
Activación de la autenticación.
RouterA(config-line)#exit
Salir al modo configuración anterior.
RouterA(config)#exit
Salir al modo configuración anterior.
3
RouterA#show running
Muestra en pantalla la configuración del Router
residente en el memoria DRAM.
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#service password-encryption
Comando para cifra todas las contraseñas
anteriormente configuradas.
RouterA(config)#exit
Salir al modo configuración anterior.
RouterA#show running
Muestra en pantalla la configuración del Router
residente en el memoria DRAM.
3) LIMITAR EL NUMERO DE INTENTOS FALLIDOS CONEXION
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#security authentication failure Comando para especificar la cantidad de
rate 5 log
autenticación fallidas.. En caso que el número de
intentos fallidos sea igual a 5 el Router generará
un mensaje log.
RouterA(config)#exit
Salir al modo configuración anterior.
4) CONFIGURACION RELOJ DE INACTIVIDAD
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#line con 0
Entra al modo configuración Line.
RouterA(config-line)#exec-timeout 2 30
Comando que especifica el tiempo de inactividad
que puede tener un usuario en el sistema. En caso
de que el tiempo de inactividad alcance 2 minutos
con 30 segundos el sistema operativo
automáticamente expulsa al usuario fuera del
sistema.
RouterA(config-line)#exit
Salir al modo configuración anterior.
RouterA(config)#line aux 0
Entra al modo configuración Auxiliar.
RouterA(config-line)#exec-timeout 2 30
Comando que especifica el tiempo de inactividad
que puede tener un usuario en el sistema. En caso
de que el tiempo de inactividad alcance 2 minutos
con 30 segundos el sistema operativo
automáticamente expulsa al usuario fuera del
sistema.
RouterA(config-line)#exit
Salir al modo configuración anterior.
RouterA(config)#line vty 0 4
Entra al modo configuración VTY.
RouterA(config-line)#exec-timeout 2 30
Comando que especifica el tiempo de inactividad
que puede tener un usuario en el sistema. En caso
4
de que el tiempo de inactividad alcance 2 minutos
con 30 segundos el sistema operativo
automáticamente expulsa al usuario fuera del
sistema.
RouterA(config-line)#exit
Salir al modo configuración anterior.
5) CONFIGURACION MODO PRIVILEGIADO
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#privilege exec level 5 debug
Comando que especifica el nivel de privilegio
necesario para ejecutar el comando debug. En este
caso es el nivel customizado 5. Los niveles
alcanzan el rango de 0-15. El nivel privilegiado 0
es el EXEC mode (modo de usuario) y el nivel
privilegiado 15 es el PRIVILEG MODE (modo
privilegiado). El rango 1-14 puede ser
personalizado.
RouterA(config)#enable secret level 5 cisco
Configuración de contraseña para entrar al modo
privilegiado 5.
RouterA(config)#exit
Salir al modo anterior.
RouterA#enable 5
Entra al modo privilegiado 5.
6) PROTECCION DE ARCHIVOS DEL ROUTER
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#secure boot-image
Comando que asegura la imagen del sistema
operativo para que esta no sea borrada del sistema
intencionalmente. (Cisco IOS Resilient
Configuration)
RouterA(config)#secure boot-config
Comando que asegura la configuración runningconfig en el sistema. De esta forma se mantiene
un backup de la configuración de manera segura.
(Cisco IOS Resilient Configuration)
RouterA#show secure bootset
Comando utilizado verificar si tenemos activa la
Cisco IOS Resilient Configuration.
5
7) CONFIGURANDO OPCIONALES ADICIONALES PARA LAS CONEXIONES
VIRTUALES
Router#configure terminal
Entra al modo configuración Global.
RouterA(config)#login block-for 30 attempts 5
within 10
Comando que establece el número máximo de
intentos fallidos de validación. En caso que los
intentos fallidos alcancen 5 intentos el sistema
desactivará la validación de usuario por un
periodo de 30 segundos.
RouterA(config)#login quiet-mode access-class
101
Comando que especifica la excepción al comando
anteior.
RouterA(config)#login delay 3
Comando que especifica el tiempo mínimo
esperado entre intentos de validación.
RouterA(config)#login on-failure log
Comando que especifica la creación de una
archivo para llevar un registro de los intentos
fallidos de validación.
RouterA(config)#login on-success log
Comando que especifica la creación de una
archivo para llevar un registro de los intentos
válidos de validación.
8) CONFIGURACION BANNER
RouterA(config)#banner motd #EL ACCESO A
ESTE EQUIPO DE MANERA ILEGAL SERA
PERSEGUIDO CON TODA LA FUERZA DE
LEY
Configuración de banner.
6
LABORATORIO 2
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de accesso a los recursos
del Cisco IOS basado en roles o perfiles de usuarios.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO
7
PROCEDIMIENTO
1. Esquema de direccionamiento IP
2. Configuración de VIEW o perfiles
3. Comprobación de la configuración
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
N/A
SwitchA
N/A
LaptopA
N/A
2) CONFIGURACION DE VIEW O PERFILES
RouterA#terminal monitor
Muestra en pantalla mensajes de debug, errores,
notificaciones, etc.
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#aaa new-model
Activación de AAA.
RouterA(config)#exit
Salir al modo configuración anterior.
RouterA#enable view
Entra al modo configuración View.
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#parser view HELPDESK
Creación de un VIEW o Perfil.
RouterA(config-view)#secret cisco
Configuración de contraseña para accesar al este
perfil.
RouterA(config-view)#commands exec include
all copy
Lista de comandos que tendrán acceso los
usuarios que pertenezcan a este VIEW.
RouterA(config-view)#commands exec include
traceroute
Lista de comandos que tendrán acceso los
usuarios que pertenezcan a este VIEW.
RouterA(config-view)#commands exec include
ping
Lista de comandos que tendrán acceso los
usuarios que pertenezcan a este VIEW.
RouterA(config-view)#exit
Salir al modo configuración anterior.
RouterA(config)#parser view SUPPORT
Creación de un VIEW o Perfil.
RouterA(config-view)#secret cisco
Configuración de contraseña para acceder al este
perfil.
RouterA(config-view)#commands exec include
show
Lista de comandos que tendrán acceso los
usuarios que pertenezcan a este VIEW.
RouterA(config-view)#exit
Salir al modo configuración anterior.
8
RouterA(config)#username helpdesk view
HELPDESK secret cisco
Creación de cuenta de usuario.
RouterA(config)#username support view
SUPPORT secret cisco
Creación de cuenta de usuario.
RouterA(config)#exit
Salir al modo configuración Privilegiado.
RouterA#exit
Salir al modo configuración EXEC.
3) COMPRABACION DE LA CONFIGURACION
RouterB>enable view helpdesk
Entra al modo View helpdesk.
RouterB#?
Muestra los comandos que pueden ser utilizado
por el modo View.
RouterB>enable view support
Entra al modo View support.
RouterB#?
Muestra los comandos que pueden ser utilizado
por el modo View.
9
LABORATORIO 3
OBJETIVO
El estudiante aprenderá el procedimiento necesario para la instalación del software Cisco SDM.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(3) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
5.
Esquema de direccionamiento IP
Configuración Básica Router Cisco
Configuración de Servidor HTTP en Router Cisco
Configuración de cuenta de usuario en Router Cisco
Instalación de Cisco SDM en Laptop
10
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
N/A
SwitchA
N/A
LaptopA
N/A
2) CONFIGURACION DE HTTP SERVER EN ROUTER CISCO
Router>enable
Entra al modo Privilegiado.
Router#configure terminal
Entra al modo configuración Global.
Router(config)#hostname RouterA
Configuración de Host Name.
RouterA(config)#no ip domain-lookup
Desactivación de resolución de nombres de
dominio.
3) CONFIGURACION DE SERVIDOR HTTP EN ROUTER CISCO
RouterA(config)#ip http server
Activación de servicio de servidor HTTP.
RouterA(config)#ip http secure-server
Activación de servicio de servidor HTTP Seguro
utilizando SSL.
RouterA(config)#ip http authentication local
Configuración de la validación de usuario en la
base de datos local del Router.
4) CONFIGURACION DE CUENTA DE USUARIO
RouterA(config)#username admin privilege 15
secret cisco
Configuración de la cuenta de usuario Admin con
privilegios todos los privilegios ya que se le ha
asignado el nivel 15.
11
5) INSTALACION DE CISCO SDM EN LAPTOP
A) Comenzando el proceso de instalación
B) Selección de la ruta de instalación
c) Iniciando conexión del Router Cisco
12
d) Utilizando Cisco SDM
13
LABORATORIO 4
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de validación de logins
utilizando AAA con la base de datos de usuarios local del Router.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
Esquema de direccionamiento IP
Configuración cuenta de usuario
Configuración de AAA
Configuración de VTY
14
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
N/A
SwitchA
N/A
LaptopA
N/A
2) CONFIGURACION CUENTA DE USUARIO
RouterA(config)#username admin privilege 15
secret cisco
Creación de cuenta de usuario local en Router.
3) CONFIGURACION DE SSH
RouterA(config)#aaa new-model
Activación de AAA.
RouterA(config)#aaa authentication login
CCNA_SECURITY local
Configuración de AAA Autenticación Local.
4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4
Entra al modo configuración Line.
RouterA(config-line)#login authentication login Configuración de Logins en VTY utilizando el
CCNA_SECURITY
método de validación CCNA_SECURITY.
15
LABORATORIO 5
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de validación de logins
utilizando AAA con un servidor TACACS+.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP
Cisco ACS 4.0 for Windows
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de
direccionamiento IP
2. Configuración de AAA
3. Configuración método de validación TACACS
4. Configuración de VTY
16
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) CONFIGURACION DE AAA
RouterA(config)#aaa new-model
Activación de AAA.
RouterA(config)#aaa authentication login
CCNA_SECURITY group tacacs
Configuración de AAA Autenticación Local.
3) CONFIGURACION METODO DE VALIDACION TACACS
RouterA(config)#tacacs-server host 10.10.0.3
single-connection
Configuración servidor TACACS.
RouterA(config)#tacacs-server key cisco
Configuración de contraseña para establecer la
conexión con el servidor TACACS.
4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4
Entra al modo configuración Line.
RouterA(config-line)#login authentication login Configuración de Logins en VTY utilizando el
CCNA_SECURITY
metodo de validación CCNA_SECURITY.
17
LABORATORIO 6
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de un Router Cisco de
forma segura automáticamente.
REQUERIMIENTOS:
(2) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de direccionamiento IP
2. Comando AutoSecure
18
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) COMANDO AUTO SECURE
Router>enable
Router#auto secure
19
LABORATORIO 7
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración que la configuración de
bitácora (Logging) sea enviada a un servidor Syslog central en la red.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
Kiwi Syslog Server Software 8.3.52 for Windows
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1. Esquema de
direccionamiento IP
2. Configuración de Logging
20
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) CONFIGURACION DE LOGGING
RouterA#terminal monitor
Muestra en pantalla la salida de los comandos
debug, mensajes de notificación y error.
RouterA#configure terminal
Entra al modo configuración Global.
RouterA(config)#logging buffered 4096
Configuración del tamaño del buffer para guardar
los log del router.
RouterA(config)#logging 10.10.10.3
Configuración de servidor Syslog para que el
Router envie los logs.
RouterA(config)#logging trap 7
Configuración del Nivel 7 de mensajes Syslog.
RouterA#show log
Muestra los logs guardados en el buffer en
pantalla.
21
LABORATORIO 8
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración de SSH como protocolo de
acceso remoto a los Routers.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
5.
6.
Esquema de direccionamiento IP
Configuración de cuenta de usuario
Configuración de SSH
Configuración de VTY
Configuración opcional de SSH
Mostrar información de SSH
22
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) CONFIGURACION CUENTA DE USUARIO
RouterA(config)#username admin privilege 15
secret cisco
Creación de cuenta de usuario local en Router.
3) CONFIGURACION DE SSH
RouterA(config)#ip domain-name cisco.com
Configuración de nombre de dominio. Esta opción
es importante ya que el protocolo SSH generará
una llave de encriptación pública y ésta se
generara usando datos del Router tales como el
nombre de dominio.
RouterA(config)#crypto key generate rsa
Generación de llave criptográfica utilizando el
algoritmo asimétrico RSA.
4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4
Entra al modo configuración Line.
RouterA(config-line)#login local
Configuración de Login con la validación de
usuario en la base de datos local del Router.
RouterA(config-line)#transport input ssh
Configuración de SSH en los VTY.
5) CONFIGURACION OPCIONAL DE SSH
RouterA(config)#ip ssh version 2
Configuración de SSH versión 2.
RouterA(config)#ip ssh time-out 120
Configuración de IDLE para 120 segundos.
RouterA(config)#ip ssh authentication-retries 1 Configuración del número de intentos permitidos
para entrar al Router via SSH.
6) MOSTRAR CONFIGURACION SSH
RouterA#show ip ssh
Muestra en pantalla información de SSH.
23
LABORATORIO 9
OBJETIVO
El estudiante aprenderá el procedimiento necesario la configuración segura de dispositivos de
Capa 2 (Switching).
REQUERIMIENTOS:
(2) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
5.
Esquema de direccionamiento IP
Previniendo VLAN Hopping
Previniendo Ataques STP
Previniendo Ataques DHCP Server Spoofing
Previniendo Ataques CAM Table Overflow y MAC Address Spoofing (port-security)
24
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) PREVINIENDO VLAN HOPPPING (SWITCH SPOOFING)
Switch>enable
Entra al modo Privilegiado.
Switch#configure terminal
Entra al modo configuración Global.
Switch(config)#interface f0/24
Entra al modo configuración de interfase.
Switch(config-if)#switchport mode access
Configuración de puerto en modo Access.
Switch(config-if)#exit
Salir al modo configuración anterior.
Switch(config)#interface f0/23
Entra al modo configuración interfase.
Switch(config-if)#switchport mode trunk
Configuración de puerto en modo Trunk.
Switch(config-if)#switchport trunk
encapsulation dot1
Configuración de encapsulación 802.1q.
Switch(config-if)#switchport nonegotiate
Parámetro para deshabilitar el envío de tramas
DTP en el puerto.
Switch(config-if)#switchport trunk native vlan
400
Configuración de VLAN NATIVA en la VLAN
400.
3) PREVINIENDO ATAQUES STP (ROOT GUARD)
Switch>enable
Entra al modo Privilegiado.
Switch#configure terminal
Entra al modo configuración Global.
Switch(config)#interface f0/1
Entra al modo configuración interfase.
Switch(config-if)#spanning-tree guard root
Configura el puerto para que en caso de que se
reciba alguna trama DPDU el puerto se pone en
modo root-inconsistent. Mientras este puerto esta
en modo root-inconsistent el usuario no puede
enviar ni recibir información.
Switch(config)#interface f0/2
Entra al modo configuración interfase.
Switch(config-if)#spanning-tree portfast
bpduguard
Configura el puerto en modo Port-Fast. En caso
que el puerto reciba alguna trama BPDU el puerto
de deshabilita automáticamente.
25
4) PREVINIENDO ATAQUES DHCPD SERVER SPOOFING
Switch>enable
Entra al modo privilegiado.
Switch#configure terminal
Entra al modo configuración Global.
Switch(config)#ip dhcp snooping
Comando para la activación de ip dhcp snooping
con el fin de prevenir la instalación de servidores
DHCP ilegítimos.
Switch(config)#interface f0/4
Entra al modo configuración interfase.
Switch(config-if)#ip dhcp snooping trust
Configuración de interfase como CONFIABLE
para recibir paquetes DHCPOFFER,
DHCPPACK.
Switch(config-if)#exit
Salir al modo configuración anterior.
Switch(config)#interface f0/5
Entra al modo conifguración interfase.
Switch(config-if)#ip dhcp snooping limit rate 3
Configuración para limitar el número de mensajes
DHCP que pueden ser enviados por segundo.
5) PREVINIENDO ATAQUES CAM TABLE OVERFLOW Y MAC ADDRESS SPOOFING
Switch>enable
Entra al modo Privilegiado.
Switch#configure terminal
Entra al modo configuración Global.
Switch(config)#interface f0/5
Entra al modo configuración interfase.
Switch(config-if)#switchport mode access
Configuración de puerto en modo ACCESS.
Switch(config-if)#switchport port-security
Activación de Port-Security en el puerto.
Switch(config-if)#switchport port-security
maximum 1
Configuración que permite sólo una dirección
MAC en la interfase.
Switch(config-if)#switchport port-security
violation shutdown
Configuración que desactiva la interfase en caso
de que sean reconocidas dos o más direcciones
MAC en la interfase.
Switch(config-if)#switchport port-security mac- Configuración para grabar las direcciones MAC
address sticky
registradas por la interfase en la runningconfiguration.
Switch(config-if)#exit
Salir al modo configuración anterior.
Switch(config)#exit
Salir al modo configuración anterior.
Switch#show port-security
Muestra información sobre los puertos que tiene
activo Port-Security.
Switch#show port-security address
Muestra información sobre los puertos que tiene
activo Port-Security.
26
LABORATORIO 10
OBJETIVO
El estudiante aprenderá el procedimiento necesario para la configuración de NAC (Network
Access Control) a nivel de Switch.
REQUERIMIENTOS:
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(2) PC IBM o compatible
Sistema operativo Windows XP
Cisco ACS for Windows
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
5.
6.
Esquema de direccionamiento IP
Configuración de AAA
Configuración de Switch para validación de acceso via Radius
Activación global en Switch de validación dot1x
Configuración de puertos del Switch
Mostrar en pantalla configuración dot1x
27
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) CONFIGURACION DE AAA
SwitchA>enable
Entra al modo Privilegiado.
SwitchA#configure terminal
Entra al modo configuración Global.
SwitchA(config)#aaa new-model
Activación de AAA.
SwitchA(config)#aaa authentication dot1x
CCNA_SECURITY gorup radius
Configuración de validación AAA del tipo dot1x
utilizando servidores Radius.
3) CONFIGURACION DE SWITCH PARA VALIDACION DE ACCESO VIA RADIUS
SwitchA(config)#radius-server host 10.10.0.5
Configuración de servidor de validación Radius.
SwitchA(config)#radius-server key cisco
Configuración de contraseña para la comunicación
entre el Switch y el servidor Radius.
4) ACTIVACION GLOBAL EN EL SWITCH DE VALIDACION DOT1X
SwitchA(config)#dot1x system-auth-control
Activación del la validación Dot1x.
SwitchA(config)#guest-vlan supplicant
Activación de gues-vlan en caso de la validación
de usuario no sea exitosa.
5) CONFIGURACION DE PUERTOS DEL SWITCH
SwitchA(config)#int range 1-12
Entra al modo configuración interfase.
SwitchA(config-if)#switchport mode access
Configuración de puerto en modo acceso.
SwitchA(config-if)#dot1x port-control
Configuración de dot1x.
6) MOSTRAR EN PANTALLA CONFIGURACION DOT1X
SwitchA#show dot1x
Muestra en pantalla información sobre dot1x.
SwitchA#show aaa server
Muestra en pantalla información sobre los
servidor AAA configurados.
SwitchA#debug aaa authentication
Despliega en pantalla en tiempo real información
referente al proceso de validación de usuarios.
28
LABORATORIO 11
OBJETIVO
El estudiante aprenderá los comandos y procedimientos necesarios para la configuración de
Listas de Acceso Estándar.
REQUERIMIENTOS:
(2) Cisco Router 2501
(1) Rollover Cable
(1) PC IBM o compatible
Sistema operativo Windows o Linux.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
Esquema de direccionamiento IP.
Configuración de Lista de Acceso Estandar.
Configuración de Lista de Acceso en interfase correspondiente.
Comprobacion de la práctica.
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
Pod A
RouterA
RouterB
Ethernet IP
Serial/0 IP
Serial/1 IP
Loopback0
IP
Loopback1
IP
10.10.0.1/24
1.1.1.1/24
2.2.2.2/24
10.10.0.2/24
3.3.3.3/24
4.4.4.4/24
2) CONFIGURACION DE LISTA DE ACCESO.
RouterA#configure terminal
Entra al modo configuración global.
RouterA(config)#access-list 10 deny ip 3.3.3.3
0.0.0.0
Confguración de Access-List Extendida.
29
3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE
RouterA(config)#int s0
Entra al modo configuración interfase.
RouterA(config-if)#ip access-group 101 out
Activación de Access-List en la interfase
correspondiente.
4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101
RouterB#ping 1.1.1.1
Comprobación de conectividad a nivel de Capa 3.
30
LABORATORIO 12
OBJETIVO
El estudiante aprenderá los comandos y procedimientos necesarios para la configuración de
Listas de Acceso Extendidas.
REQUERIMIENTOS:
(2) Cisco Router 2501
(1) Rollover Cable
(1) PC IBM o compatible
Sistema operativo Windows o Linux.
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
Esquema de direccionamiento IP.
Configuración de Lista de Acceso Extendida.
Configuración de Lista de Acceso en interfase correspondiente.
Comprobación de la práctica.
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
Pod A
RouterA
RouterB
Ethernet IP
Serial/0 IP
Serial/1 IP
Loopback0
IP
Loopback1
IP
10.10.0.1/24
1.1.1.1/24
2.2.2.2/24
10.10.0.2/24
3.3.3.3/24
4.4.4.4/24
2) CONFIGURACION DE LISTA DE ACCESO.
RouterB#configure terminal
Entra al modo configuración global.
RouterB(config)#access-list 101 deny ip 3.3.3.3
0.0.0.0 1.1.1.1 0.0.0.0
Confguración de Access-List Extendida.
31
3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE
RouterB(config)#int s0
Entra al modo configuración interfase.
RouterB(config-if)#ip access-group 101 in
Activación de Access-List en la interfase
correspondiente.
4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101
RouterB#ping 1.1.1.1
Comprobación de conectividad a nivel de Capa 3.
32
LABORATORIO 13
OBJETIVO
El estudiante aprenderá el procedimiento necesario configuración de una conexión VPN Site to
Site utilizando el protocolo IPSEC a través de la línea de comandos.
REQUERIMIENTOS:
(2) Cisco Router 1760
(2) Patch Cord Cable
(1) V.35 Serial Cable
(1) PC IBM o compatible
Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
5.
Esquema de direccionamiento IP
Configuración de IKE FASE 1 (ISAKMP)
Configuración de IKE FASE 2 (IPSEC)
Aplicar la configuración a la interfase
Verificación de la conexión VPN
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
Interfase F0/0
Interfase S0/0
Pod A
RouterA
10.1.1.1/24
172.30.2.1/24
RouterB
192.168.0.1/24
172.30.2.2/24
33
2) CONFIGURACION DE IKE FASE 1 (ISAKMP)
RouterA(config)#crypto isakmp policy 1
Creación de un objeto para la configuración de
políticas ISAKMP.
RouterA(config-isakmp)#hash sha
Configuración de Hash.
RouterA(config-isakmp)#group 2
Configuración de nivel de encriptación del
protocolo Diffie-Hellman.
RouterA(config-isakmp)#lifetime 86400
Tiempo límete del SA. Cuando el reloj es cero los
Router vuelven a renegociar las llaves para
establecer una nueva SA.
RouterA(config-isakmp)#authentication preshare
Tipo de validación.
RouterA(config-isakmp)#encrytion aes 128
Algoritmo de encriptación que se utiliza para el
cifrado de la información.
RouterA(config-isakmp)#exit
Salir al modo configuración anterior.
RouterA(config)#crypto isakmp key cisco
address 172.30.2.2
Configuración de la llave para la validación de
IPSEC. El router del otro extremo debe de tener la
misma llave.
RouterB(config)#crypto isakmp policy 1
Creación de un objeto para la configuración de
políticas ISAKMP.
RouterB(config-isakmp)#hash sha
Configuración de Hash.
RouterB(config-isakmp)#group 2
Configuración de nivel de encriptación del
protocolo Diffie-Hellman.
RouterB(config-isakmp)#lifetime 86400
Tiempo límete del SA. Cuando el reloj es cero los
Router vuelven a renegociar las llaves para
establecer una nueva SA.
RouterB(config-isakmp)#authentication preshare
Tipo de validación.
RouterA(config-isakmp)#encrytion aes 128
Algoritmo de encriptación que se utiliza para el
cifrado de la información.
RouterB(config-isakmp)#exit
Salir al modo configuración anterior.
RouterB(config)#crypto isakmp key cisco
Configuración de la llave para la validación de
34
address 172.30.2.1
IPSEC. El router del otro extremo debe de tener la
misma llave.
3) CONFIGURACION DE IKE FASE 2 (IPSEC)
RouterA(config)#crypto ipsec transform-set
MYSET esp-aes esp-sha
Configuración de los algoritmos de encriptación a
negociar durantes el establecimiento del SA.
RouterA(cfg-crypto-trans)#exit
Salir al modo configuración anterior.
RouterA(config)#access-list 101 permit ip
10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
Lista de acceso.
RouterA(config)#crypto map
ROUTERA_TO_ROUTERB 1 ipsec-isakmp
Configuración de Crypto MAP.
RouterA(config-crypto-map)#set peer 172.30.2.2 Especifica la dirección IP del Router con el cual
se va a establecer conexión.
RouterA(config-crypto-map)#set transform-set
MYSET
Especifica el transform-set a utilizar durante la
conexión.
RouterA(config-crypto-map)#match address 101 Especifica la lista de acceso que establecerá el
trafico que cruzará a través del túnel VPN.
RouterA(config-crypto-map)#exit
Salir al modo configuración anterior.
RouterB(config)#crypto ipsec transform-set
MYSET esp-aes esp-sha
Configuración de los algoritmos de encriptación a
negociar durantes el establecimiento del SA.
RouterB(cfg-crypto-trans)#exit
Salir al modo configuración anterior.
RouterA(config)#access-list 101 permit ip
192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255
Lista de acceso.
RouterA(config)#crypto map
ROUTERB_TO_ROUTERA 1 ipsec-isakmp
Configuración de Crypto MAP.
RouterA(config-crypto-map)#set peer 172.30.2.1 Especifica la dirección IP del Router con el cual
se va a establecer conexión.
35
RouterA(config-crypto-map)#set transform-set
MYSET
Especifica el transform-set a utilizar durante la
conexión.
RouterA(config-crypto-map)#match address 101 Especifica la lista de acceso que establecerá el
trafico que cruzará a través del túnel VPN.
RouterA(config-crypto-map)#exit
Salir al modo configuración anterior.
4) APLICAR LA CONFIGURACION A LA INTERFASE
RouterA(config)#interface s0/0
Entra al modo configuración interfase.
RouterA(config-if)#crypto map
ROUTERA_TO_ROUTERB
Aplica el Cryto Map Armadillo en la interfase.
RouterA(config-if)#exit
Salir al modo configuración anterior.
RouterA(config)#ip route 192.168.0.0
255.255.255.0 172.30.2.2
Configuración de ruta por defecto.
RouterB(config)#interface s0/0
Entra al modo configuración interfase.
RouterB(config-if)#crypto map
ROUTERB_TO_ROUTERA
Aplica el Cryto Map Armadillo en la interfase.
RouterB(config-if)#exit
Salir al modo configuración anterior.
RouterB(config)#ip route 10.1.1.0 255.255.255.0 Configuración de ruta por defecto.
172.30.2.1
5) VERIFICACION DE LA CONEXION VPN
RouterA#ping (extendido)
Ping extendido.
Target IP address: 192.168.0.1
Dirección IP destinado del paquete.
Source address of interface: 10.1.1.1
Dirección IP origen del paquete.
RouterA#show cryto engine connections active
Muestra las conección activas a través del VPN.
RouterA#show cryto session
Muestra las session IPSec activas en el Router.
36
RouterB#show cryto engine connections active
Muestra las conección activas a través del VPN.
RouterB#show cryto session
Muestra las session IPSec activas en el Router.
37
Descargar