CCNA Security, Laboratorio de VPN mediante SDM

Clase: 21/7/2010 Instructor: Ernesto Vilarrasa

 

Escenario: por cuestiones de tiempo y practicidad, buscamos un escenario simple,

realizado con GNS3 en dos PC con dos placas de red cada una, eth2 para la red WAN  

( 10.0.0.0 /30 ) y eth3 para la red local ( 192.168.X.0 /24 )

 

 

Quedando de la siguiente manera:

 

Nos conectamos desde un PC con SDM a 192.168.3.251:

 

    

Ingresamos a Configure -> VPN, seleccionamos VPN Site-to-Site

y hacemos ckick en:  Launch the selected task:

 

 

Aquí seleccionamos Quick setup, que configurará el túnel con elementos por default:

 

 

Si hacemos click en View Defaults:

 

                       

 

Avanzamos y se nos solicita un par de parámetros:

 

El primer punto es la interfaz WAN donde se originará el túnel.

El siguiente parámetro es el peer ( direción IP )

La clave precompartida, en este caso fué: P4ssW0rD , común para ambos peers.

El siguiente paso es la ACL que enviará por el túnel tráfico determinado ( o interesante ),

recordemos que las ACL extendidas tienen origen ( aquí Fa0/0, equivalente a 192.168.3.0 )

y destino ( 192.168.4.0 /24 )

 

 

Luego seleccionamos Siguiente, se nos muestra un resúmen:

 

 

Luego seleccionamos Finalizar, se nos informa que los comandos son enviados al router:

 

              

 

Veremos que el túnel esta DOWN, hasta que el peer sea configurado:

 

 

Podemos realizar un test del mismo, pero aún quedará en estado DOWN:

 

 

Debemos generar tráfico interesante para enviar por el túnel:

 

Desde la PC 192.168.4.200:

 

C:\ >ping 192.168.3.251

 

Haciendo ping a 192.168.4.251 con 32 bytes de datos:

 

Respuesta desde 192.168.4.251: bytes=32 tiempo=46ms TTL=64

Respuesta desde 192.168.4.251: bytes=32 tiempo=67ms TTL=64

Respuesta desde 192.168.4.251: bytes=32 tiempo=91ms TTL=64

Respuesta desde 192.168.4.251: bytes=32 tiempo=2ms TTL=64

 

Estadísticas de ping para 192.168.4.251:

    Paquetes: enviados = 4, recibidos = 4, perdidos = 0

    (0% perdidos),

Tiempos aproximados de ida y vuelta en milisegundos:

    Mínimo = 2ms, Máximo = 91ms, Media = 51ms

 

Ahora verificamos el estado del túnel:

 

 

Esta pantalla corresponde al comando # show crypto ipsec sa, donde vemos la cantidad de

paquetes encriptados, verificador contra el hash, etc...

 

Comandos IOS equivalentes generados por SDM:

 

Router#sh runn

Building configuration...

 

---resumido---

!

crypto isakmp policy 1

 encr 3des

 authentication pre-share

 group 2

crypto isakmp key P4ssW0rD address 10.0.0.1

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

crypto map SDM_CMAP_1 1 ipsec-isakmp

 description Tunnel to 10.0.0.1

 set peer 10.0.0.1

 set transform-set ESP-3DES-SHA

 match address 100

!

!

!

interface FastEthernet0/0

 ip address 192.168.3.251 255.255.255.0

!

interface FastEthernet0/1

 ip address 10.0.0.2 255.255.255.252

 crypto map SDM_CMAP_1

!

ip route 192.168.4.0 255.255.255.0 FastEhernet1/0

!

ip http server

!

access-list 100 remark SDM_ACL Category=4

access-list 100 remark IPSec Rule

access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255

!

end

 

Router# go home!

 

 

 

 

 

 

 

(2010) Tales to sleep from Ernesto’s uncle

Rosario, Argentina