CCNA Security PT Practice SBA - dbritos2003

A few things to keep in mind while completing this activity:

1. Do not use the browser Back button or close or reload any Exam windows during the exam. 2. Do not close Packet Tracer when you are done. It will close automatically. 3. Click the Submit Assessment button to submit your work.

Introduction
In this practice Packet Tracer Skills Based Assessment, you will: configure basic device hardening and secure network management configure a CBAC firewall to implement security policies configure devices to protect against STP attacks and to enable broadcast storm control configure port security and disable unused switch ports configure an IOS IPS configure a ZPF to implement security policies configure a site-to-site IPsec VPN

Addressing Table
Device Interface S0/0/0 Internet S0/0/1 S0/1/0 Fa0/0 S0/0/0 Fa0/0 CORP IP Address 209.165.200.225 192.31.7.1 198.133.219.1 192.135.250.1 209.165.200.226 10.1.1.254 Subnet Mask 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.224 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.224 255.255.255.224 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.224 Gateway n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a 192.135.250.1 192.31.7.62 192.31.7.62 172.16.25.254 10.1.1.254 10.1.1.254 172.16.10.254 172.16.10.254 172.16.25.254 198.133.219.62 DNS server n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a 192.135.250.5 192.135.250.5 10.1.1.5 192.135.250.5 10.1.1.5 10.1.1.5 10.1.1.5 10.1.1.5 192.135.250.5

Fa0/1.10 172.16.10.254 Fa0/1.25 172.16.25.254 Fa0/1.99 172.16.99.254 S0/0/0 Fa0/0 S0/0/0 Fa0/0 NIC NIC NIC NIC NIC NIC NIC NIC NIC NIC 198.133.219.2 198.133.219.62 192.31.7.2 192.31.7.62 192.135.250.5 192.31.7.35 192.31.7.33 172.16.25.2 10.1.1.5 10.1.1.2 172.16.10.5 172.16.10.10 172.16.25.5 198.133.219.35

Branch External Public Svr External Web Svr External PC NTP/Syslog Svr DMZ DNS Svr DMZ Web Svr PC0 PC1 Net Admin Admin PC

Note: Appropriate verification procedures should be taken after each configuration task to ensure that it has been properly implemented.

Step 1: Configure Basic Device Hardening for the CORP Router.

a. Configure the CORP router to only accept passwords with a minimum length of 10 characters. b. Configure an encrypted privileged level password of ciscoclass. c. Enable password encryption for all clear text passwords in the configuration file. d. Configure the console port and all vty lines with the following requirements: Note: CORP is already configured with the username CORPADMIN and the secret password ciscoccnas. use the local database for login disconnect after being idle for 20 minutes

e. Disable the CDP protocol only on the link to the Internet router.

Step 2: Configure Secure Network Management for the CORP Router.

a. Enable the CORP router: as an NTP client to the NTP/Syslog server to update the router calendar (hardware clock) from the NTP time source to timestamp log messages to send logging messages to the NTP/Syslog server Note: CORP is already configured with the username SSHAccess and the secret password ciscosshaccess. domain name is theccnas.com RSA encryption key pair using a modulus of 1024 SSH version 2, timeout of 90 seconds, and 2 authentication retries all vty lines accept only SSH connections AAA authentication using the local database as the default for console line and vty lines access

b. Configure the CORP router to accept SSH connections. Use the following guidelines:

c. Configure the CORP router with AAA authentication and verify its functionality:

Step 3: Configure Device Hardening for Switch1.

a. Access Switch1 with username CORPADMIN, password ciscoccnas, and the enable secret password of ciscoclass. b. Enable storm control for broadcasts on FastEthernet 0/24 with a 50 percent rising suppression level. c. Configure Switch1 to protect against STP attacks. Configure PortFast on FastEthernet ports 0/1 to 0/23. Enable BPDU guard on FastEthernet ports 0/1 to 0/23. Set the maximum number of learned MAC addresses to 2 on FastEthernet ports 0/1 to 0/23. Allow the MAC address to be learned dynamically and to shutdown the port if a violation occurs. Disable unused ports (Fa0/2-5, Fa0/7-10, Fa0/13-23).

d. Configure port security and disable unused ports.

Step 4: Configure an IOS IPS on the CORP Router.

a. On the CORP router, create a directory in flash named ipsdir. b. Configure the IPS signature storage location to be flash:ipsdir. c. Create an IPS rule named corpips. d. Configure the IOS IPS to use the signature categories. Retire the all signature category and unretire the ios_ips basic category. e. Apply the IPS rule to the Fa0/0 interface. f. Modify the ios_ips basic category. Unretire the echo request signature (signature 2004, subsig 0); enable the signature; modify the signature event-action to produce an alert and to deny packets that match the signature.

g. Verify that IPS is working properly. Net Admin in the internal network cannot ping DMZ Web Svr. DMZ Web Svr, however, can ping Net Admin.

Step 5: Configure ACLs and CBAC on the CORP Router to Implement the Security Policy.
a. Create ACL 12 to implement the security policy regarding the access to the vty lines: Only users connecting from Net Admin and Admin PC are allowed access to the vty lines. b. Create, apply, and verify an extended named ACL (named DMZFIREWALL) to filter incoming traffic to the DMZ. The ACL should be created in the order specified in the following guidelines (Please note, the order of ACL statements is significant only because of the scoring need in Packet Tracer.): 1. HTTP traffic is allowed to DMZ Web Svr. 2. DNS traffic (both TCP and UDP) is allowed to DMZ DNS Svr. 3. All traffic from 172.16.25.0/24 is allowed to enter the DMZ. 4. FTP traffic from the Branch administrator workstations in the subnet of 198.133.219.32/27 is allowed to DMZ Web Svr. c. To verify the DMZFIREWALL ACL, complete the following tests: Admin PC in the branch office can access the URL http://www.theccnas.com; Admin PC can open an FTP session to the DMZ Web Svr with the username ciscoand the password cisco; Net Admin can open an FTP session to the DMZ Web Svr with the username cisco and the password cisco; and PC1 cannot open an FTP session to the DMZ Web Svr.

d. Create, apply, and verify an extended named ACL (named INCORP) to control access from the Internet into the CORP router. The ACL should be created in the order specified in the following guidelines (Please note, the order of ACL statements is significant only because of the scoring need in Packet Tracer.): 1. Allow HTTP traffic to the DMZ Web Svr. 2. Allow DNS traffic (both TCP and UDP) to the DMZ DNS Svr. 3. Allow SSH traffic from the Branch Office administrator workstation to the Serial 0/0/0 interface on the CORP router. 4. Allow IP traffic from the Branch router serial interface into the CORP router serial interface. 5. Allow IP traffic from the Branch Office LAN to the public IP address range that is assigned to the CORP site (209.165.200.240/28). e. To verify the INCORP ACL, complete the following tests: Admin PC in the branch office can access the URL http://www.theccnas.com; Admin PC can establish an SSH connection to the CORP router (209.165.200.226) with the username SSHAccess and password ciscosshaccess; and External PC cannot establish an SSH connection to the CORP router (209.165.200.226).

f. Create and apply a CBAC inspection rule (named INTOCORP) to inspect ICMP, TCP, and UDP traffic between the CORP internal network and any other network. g. Enable CBAC audit messages to be sent to the syslog server. h. Verify the CBAC firewall configuration. PC1 can access the External Web Svr (www.externalone.com). PC1 can establish an SSH connection to the External router with usernameSSHadmin and password ciscosshpa55. Admin PC in the Branch office can establish an SSH connection to the CORP router with the username SSHAccess and password ciscosshaccess.

Step 6: Configure a Zone-Based Policy Firewall on the Branch Router.

a. Access the Branch router with username CORPADMIN, password ciscoccnas and the enable secret password of ciscoclass. b. On the Branch router, create the firewall zones. Create an internal zone named BR-IN-ZONE.

Create an external zone named BR-OUT-ZONE. Create an ACL (ACL 110) to permit all protocols from the 198.133.219.32/27 network to any destination. Create a class map using the option of class map type inspect with the match-all keyword. Match the ACL 110 and name the class map BR-IN-CLASS-MAP. Create a policy map named BR-IN-OUT-PMAP. Use the BR-IN-CLASS-MAP class map. Specify the action of inspect for this policy map. Create a pair of zones named IN-OUT-ZPAIR with the source as BR-IN-ZONE and destination as BR-OUT-ZONE. Specify the policy map BR-IN-OUT-PMAP for handling the traffic between the two zones. Assign interfaces to the appropriate security zones. The Admin PC in the Branch office can access the URLs http://www.theccnas.com and http://www.externalone.com. The Admin PC in the Branch office can ping the External PC (192.31.7.33). External PC cannot ping the Admin PC in the Branch office (198.133.219.35). The Admin PC in Branch office can establish an SSH connection to the CORP router with the username SSHAccess and password ciscosshaccess. If you get the Corp> prompt, then your configuration is correct.

c. Define a traffic class and access list.

d. Specify firewall policies.

e. Apply the firewall.

f. Verify the ZPF configuration.

Step 7: Configure a Site-to-Site IPsec VPN between the CORP router and the Branch Router.
The following tables list the parameters for the ISAKMP Phase 1 Policy and IPsec Phase 2 Policy: ISAKMP Phase 1 Policy Parameters Key Distribution Method ISAKMP Encryption Algorithm Number of Bits Hash Algorithm Authentication Method Key Exchange IKE SA Lifetime ISAKMP Key AES 256 SHA-1 Pre-share DH 2 86400 Vpnpass101 Parameters Transform Set Name Transform Set Peer Host Name Peer IP Address Encrypted Network Crypto Map Name SA Establishment ISAKMP Phase 2 Policy Parameters CORP Router VPN-SET esp-3des esp-sha-hmac Branch 198.133.219.2 209.165.200.240/28 VPN-MAP ipsec-isakmp Branch Router VPN-SET esp-3des esp-sha-hmac CORP 209.165.200.226 198.133.219.32/27 VPN-MAP ipsec-isakmp

a. Configure an ACL (ACL 120) on the CORP router to identify the interesting traffic. The interesting traffic is all IP traffic between the two LANs (209.165.200.240/28 and 198.133.219.32/27). b. Configure the ISAKMP Phase 1 properties on the CORP router. The crypto ISAKMP policy is 10. Refer to theISAKMP Phase 1 Policy Parameters Table for the specific details needed. c. Configure the ISAKMP Phase 2 properties on the CORP router. Refer to the ISAKMP Phase 2 Policy Parameters Table for the specific details needed. d. Bind the VPN-MAP crypto map to the outgoing interface. e. Configure IPsec parameters on the Branch router using the same parameters as on the CORP router. Note that interesting traffic is defined as the IP traffic from the two LANs. f. Save the running-config, then reload both CORP and Branch routers. g. Verify the VPN configuration by conducting an FTP session with the username cisco and the password cisco from the Admin PC to the DMZ Web Svr. On the Branch router, check that the packets are encrypted. To exit the FTP session, type quit.

CCNA Practice PT SBA

Algunas cosas a tener en cuenta al completar esta actividad: 1. No utilice el botn Atrs del navegador o cerrar cualquier ventana o volver a cargar el examen durante el examen. 2. No cierre el Packet Tracer cuando haya terminado. Se cerrar automticamente. 3. Haga clic en el botn Aceptar para aceptar la evaluacin de su trabajo.

Introduccin
En este paquete trazador prctica basada en las aptitudes de evaluacin, usted: configurar el dispositivo bsico de endurecimiento y de gestin de red segura configurar un firewall CBAC para implementar polticas de seguridad configurar dispositivos de proteccin contra ataques STP y para permitir el control de tormentas de difusin Configurar la seguridad de puertos y desactivar los puertos no utilizados interruptor configurar un IOS IPS configurar una ZPF para implementar polticas de seguridad

 configurar un sitio a sitio VPN IPsec

Tabla de direccionamiento
Device Interface S0/0/0 Internet S0/0/1 S0/1/0 Fa0/0 S0/0/0 Fa0/0 CORP IP Address 209.165.200.225 192.31.7.1 198.133.219.1 192.135.250.1 209.165.200.226 10.1.1.254 Subnet Mask 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.224 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.224 255.255.255.224 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.224 Gateway n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a 192.135.250.1 192.31.7.62 192.31.7.62 172.16.25.254 10.1.1.254 10.1.1.254 172.16.10.254 172.16.10.254 172.16.25.254 198.133.219.62 DNS server n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a n/a 192.135.250.5 192.135.250.5 10.1.1.5 192.135.250.5 10.1.1.5 10.1.1.5 10.1.1.5 10.1.1.5 192.135.250.5

Fa0/1.10 172.16.10.254 Fa0/1.25 172.16.25.254 Fa0/1.99 172.16.99.254 S0/0/0 Fa0/0 S0/0/0 Fa0/0 NIC NIC NIC NIC NIC NIC NIC NIC NIC NIC 198.133.219.2 198.133.219.62 192.31.7.2 192.31.7.62 192.135.250.5 192.31.7.35 192.31.7.33 172.16.25.2 10.1.1.5 10.1.1.2 172.16.10.5 172.16.10.10 172.16.25.5 198.133.219.35

Branch External Public Svr External Web Svr External PC NTP/Syslog Svr DMZ DNS Svr DMZ Web Svr PC0 PC1 Net Admin Admin PC

Nota: Los procedimientos de verificacin adecuadas se deben tomar despus de cada tarea de configuracin para asegurarse de que se ha aplicado adecuadamente.

Paso 1: Configuracin bsica de dispositivos de endurecimiento para el router CORP.

a. Configurar el router CORP slo acepta contraseas con una longitud mnima de 10 caracteres. b. Configurar una contrasea cifrada nivel privilegiado de ciscoclass. c. Habilitar el cifrado de la contrasea para todas las contraseas en texto claro en el archivo de configuracin. d. Configurar el puerto de la consola y todas las lneas vty con los siguientes requisitos: Nota: CORP ya est configurado con el nombre de usuario y la CORPADMIN ciscoccnas contrasea secreta. El uso de la base de datos local para iniciar sesin desconectar tras estar inactivo durante 20 minutos e. Desactivar el protocolo CDP slo en el enlace con el router de Internet.

Paso 2: configuracin de administracin de red segura para el router CORP.

a. Activar el router CORP: como un cliente NTP con el servidor NTP / Syslog Para actualizar el calendario router (reloj de hardware) de la fuente de tiempo NTP a los mensajes de registro de marca de tiempo enviar mensajes de registro al servidor NTP / Syslog b. Configurar el router para que acepte conexiones CORP SSH. Use las siguientes pautas:

Nota: CORP ya est configurado con el nombre de usuario y la SSHAccess password ciscosshaccess secreto. El nombre de dominio es theccnas.com La encriptacin RSA par de claves con un mdulo de 1024 SSH versin 2, tiempo de espera de 90 segundos, y dos intentos de autenticacin todas las lneas vty slo aceptan conexiones SSH c. Configurar el router CORP con autenticacin AAA y verificar su funcionalidad: Autenticacin de AAA con la base de datos local, el valor por defecto para la lnea de la consola y el acceso vty lneas

Paso 3: Configurar dispositivos de endurecimiento de Switch1.

a. Acceso Switch1 con nombre de usuario CORPADMIN, ciscoccnas contrasea, y la contrasea secreta de ciscoclass. b. Activar el control de tormentas de emisiones de FastEthernet 0 / 24 con un nivel de supresin de 50 por ciento de aumento. c. Configure el Switch1 para proteger contra los ataques de STP. Configurar PortFast en los puertos FastEthernet 0 / 1 a 0 / 23. Activar proteccin BPDU en puertos FastEthernet 0 / 1 a 0 / 23. d. Configurar la seguridad de puertos y desactivar los puertos no utilizados. Establecer el nmero mximo de direcciones MAC aprendidas a 2 en los puertos FastEthernet 0 / 1 a 0 / 23. Permitir que la direccin MAC que hay que aprender de forma dinmica y cerrar el puerto si se produce una violacin. Desactivar los puertos no utilizados (Fa0/2-5, Fa0/7-10, Fa0/13-23).

Paso 4: Configuracin de un IPS IOS en el router CORP.

a. En el router CORP, cree un directorio en flash llamado ipsdir. b. Configure la firma IPS ubicacin de almacenamiento sea flash: ipsdir. c. Crear una regla de IPS llamado corpips. d. Configurar el IOS IPS de utilizar las categoras de la firma. Retirarse de la categora de la firma y todos los unretire la categora bsica ios_ips. e. Aplique la regla de IPS a la interfaz Fa0 / 0. f. Modificar la categora bsica ios_ips. Unretire la firma de solicitud de eco (la firma de 2004, subsig 0), permitir a la firma; modificar la firma en eventos de accin para generar una alerta y negar los paquetes que coinciden con la firma. g. Verifique que el IPS est funcionando correctamente. Net Admin en la red interna no puede hacer ping DMZ Web Svr. DMZ Web Svr, sin embargo, puede hacer ping Net Admin.

Paso 5: Configurar ACLs y CBAC en el router CORP para implementar la poltica de seguridad.
a. Crear ACL de 12 a poner en prctica la poltica de seguridad en el acceso a las lneas vty: Slo los usuarios se conectan desde Net Admin y Admin PC se permite el acceso a las lneas vty. b. Crear, aplicar y verificar una ACL extendida llamada (llamada DMZFIREWALL) para filtrar el trfico de entrada a la DMZ. La ACL se deben crear en el orden especificado en las siguientes pautas (Tenga en cuenta que el orden de sentencias de la ACL es importante slo por la necesidad de anotar en el Packet Tracer.) 1. Trfico HTTP se permite DMZ Svr Web. 2. El trfico de DNS (TCP y UDP) se le permite DMZ DNS Svr. 3. Todo el trfico de 172.16.25.0/24 se le permite entrar en la zona de distensin. 4. El trfico FTP desde las estaciones de trabajo Rama administrador de la subred de 198.133.219.32/27 se permite DMZ Web Svr. c. Para verificar la ACL DMZFIREWALL, completa los siguientes exmenes: PC Administracin de la sucursal se puede acceder a la URL http://www.theccnas.com; PC El administrador puede abrir una sesin FTP con el Svr DMZ Web con el nombre de usuario ciscoand la contrasea cisco; Net Admin puede abrir una sesin FTP con el Svr DMZ Web con el nombre de usuario cisco y la contrasea cisco, y PC1 no puede abrir una sesin FTP con el Svr DMZ Web. d. Crear, aplicar y verificar una ACL extendida llamada (llamada Incorp) para controlar el acceso de Internet en el router CORP. La ACL se deben crear en el orden especificado en las siguientes pautas (Tenga en cuenta que el orden de sentencias de la ACL es importante slo por la necesidad de anotar en el Packet Tracer.) 1. Permitir el trfico HTTP a la DMZ Svr Web. 2. Permitir el trfico DNS (TCP y UDP) a la DMZ Svr DNS. 3. Permitir el trfico SSH desde el puesto de administrador de la Oficina Sucursal de la interfaz Serial 0/0/0 en el router CORP. 4. Permitir que el trfico IP de la interfaz del router Rama de serie en la interfaz del router CORP serie. 5. Permitir que el trfico IP de la LAN a la sucursal del rango de direcciones IP pblicas que se asigna al sitio CORP (209.165.200.240/28). e. Para verificar la ACL Incorp, completa los siguientes exmenes: PC Administracin de la sucursal se puede acceder a la URL http://www.theccnas.com;

 PC administrador puede establecer una conexin SSH al router CORP (209.165.200.226), con el SSHAccess nombre de usuario y contrasea ciscosshaccess, y PC externos no pueden establecer una conexin SSH al router CORP (209.165.200.226). f. Crear y aplicar una regla de inspeccin CBAC (llamado INTOCORP) para inspeccionar ICMP, TCP y UDP el trfico entre la red interna CORP y cualquier otra red. g. Activar los mensajes de CBAC de auditora que se envan al servidor syslog. h. Verifique la configuracin del firewall CBAC. PC1 puede acceder a la Web externa Svr (www.externalone.com). PC1 puede establecer una conexin SSH al router externo con usernameSSHadmin y contrasea ciscosshpa55. PC Administracin de la sucursal se puede establecer una conexin SSH al router CORP con el SSHAccess nombre de usuario y contrasea ciscosshaccess.

Paso 6: configurar un firewall de poltica basado en las zonas en el router Branch.

a. Poder acceder al router con nombre de usuario CORPADMIN, ciscoccnas contrasea y la contrasea secreta de ciscoclass. b. En el router Branch, crear las zonas de cortafuegos. Crear una zona interna denominada BR-IN-ZONE. Crear una zona externa llamada BR-OUT-ZONE. c. Definir una clase de trfico y la lista de acceso. Crear una ACL (ACL 110) para permitir que todos los protocolos de la red 198.133.219.32/27 a cualquier destino. Crear un mapa de clase utilizando la opcin de tipo de clase mapa inspeccionar con el partido-allkeyword. Coincidir con la ACL 110 y el nombre del mapa de clase BR EN SU CLASE-MAP. d. Especificar las polticas de firewall. Crear un mapa de la poltica llamada BR-IN-OUT-PMAP. Usa el mapa BR EN SU CLASE-MAP clase. Especificar la accin de la inspeccin de este mapa de la poltica. e. Aplicar el firewall. Crear un par de nombres de zonas IN-OUT-ZPAIR con la fuente como BR-IN-ZONE y destino BR-OUT-ZONE. Especificar la Poltica de privacidad Mapa BR-IN-OUT-PMAP para el manejo del trfico entre las dos zonas. Asignacin de interfaces a las zonas de seguridad apropiadas. f. Verifique la configuracin ZPF. El equipo de administracin de la sucursal se puede acceder a la URL http://www.theccnas.com y http://www.externalone.com. El equipo de administracin de la sucursal puede hacer ping al PC externo (192.31.7.33). PC externo no puede hacer ping al PC de administracin de la sucursal (198.133.219.35). El equipo de administracin en la oficina sucursal puede establecer una conexin SSH al router CORP con el SSHAccess nombre de usuario y contrasea ciscosshaccess. Si usted recibe el Cuerpo> en la pantalla, su configuracin es correcta.

Paso 7:

Configuracin de un sitio a sitio IPsec VPN entre el router y el router CORP Branch. Las siguientes tablas muestran los parmetros de la Fase 1 de ISAKMP Poltica y IPsec Fase 2:

ISAKMP Phase 1 Policy Parameters Key Distribution Method ISAKMP Encryption Algorithm Number of Bits Hash Algorithm Authentication Method Key Exchange IKE SA Lifetime ISAKMP Key AES 256 SHA-1 Pre-share DH 2 86400 Vpnpass101 Parameters

ISAKMP Phase 2 Policy Parameters CORP Router VPN-SET esp-3des esp-sha-hmac Branch 198.133.219.2 209.165.200.240/28 VPN-MAP ipsec-isakmp Branch Router VPN-SET esp-3des esp-sha-hmac CORP 209.165.200.226 198.133.219.32/27 VPN-MAP ipsec-isakmp

Transform Set Name Transform Set Peer Host Name Peer IP Address Encrypted Network Crypto Map Name SA Establishment

a. Configurar una ACL (ACL 120) en el router CORP para identificar el trfico interesante. El trfico interesante es que todo el trfico IP entre las dos LAN (209.165.200.240/28 y 198.133.219.32/27). b. Configure la fase 1 de ISAKMP propiedades en el router CORP. La poltica de cripto ISAKMP es de 10. Se refieren a la fase 1 theISAKMP Poltica tabla de parmetros para los detalles especficos necesarios. c. Configure la fase de ISAKMP 2 propiedades en el router CORP. Se refieren a la Fase 2 ISAKMP Poltica de los parmetros de la tabla para los detalles especficos necesarios. d. Obligar a la VPN-MAP cripto mapa de la interfaz de salida. e. Configurar los parmetros de IPsec en el router BRANCH utilizando los mismos parmetros que en el router CORP. Tenga en cuenta que el trfico interesante es definido como el trfico IP de las dos LAN. f. Guarde el running-config, vuelva a cargar tanto CORP y routers de sucursal. g. Verifique la configuracin de VPN mediante la realizacin de una sesin FTP con el nombre de usuario cisco y la contrasea cisco de la PC de administracin para el SVR DMZ Web. En el router Branch, comprobar que los paquetes estn encriptados. Para salir de la sesin de FTP, escriba quit.