Tecnlogo en gestin de redes de datos CGAO

CONFIGURACION DE VPN IKEV1 (SITE TO SITE) ENTRE ROUTER 2901 Y FIREWALL ASA
5510

Topologa

Tabla de direccionamiento

Mscara de Gateway
Dispositivo Interfaz Direccion IP Nameif Security Level
subred Predeterminado
G0/0 203.0.1.1 255.255.255.252 N/A N/A N/A
Router
G0/1.10 192.168.0.1 255.255.255.0 N/A N/A N/A
Outside
G0/1.20 192.168.1.1 255.255.255.0 N/A N/A N/A
E0/0 172.16.0.1 255.255.255.0 Inside 100 N/A
ASA
E0/1 203.0.1.2 255.255.255.252 Outside 0 N/A
Cliente
NIC 172.16.0.2 255.255.255.0 N/A N/A 172.16.0.1
Interno

Cliente 1 NIC 192.168.0.2 255.255.255.0 N/A N/A 192.168.0.1

Cliente 2 NIC 192.168.1.2 255.255.255.0 N/A N/A 192.168.1.1

Tabla de vlans para la asignacin de puertos en el Switch SwOut

SwOut Vlan10 Vlan20

Puertos
Asignados Fa0/1-12 Fa0/13-24

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

Situacin:
En esta actividad, se configurar un Router 2901 y un Asa 5510 para admitir una VPN con IPsec de
sitio a sitio para el trfico que fluye de sus respectivas LAN. IPsec proporciona una transmisin
segura de la informacin confidencial a travs de redes sin proteccin, como Internet. IPsec
funciona en la capa de red, por lo que protege y autentica los paquetes IP entre los dispositivos
IPsec participantes (peers), como los routers y firewall Cisco.

PARTE 1 (asignar el direccionamiento y nombre a los dispositivos)

Router

Encendemos el Router, configuramos el nombre del dispositivo y procedemos a encender

los puertos y asignar las direcciones IP dadas en la tabla de enrutamiento.
Router>
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Outside
Outside(config)#interface gigabitEthernet 0/0
Outside(config-if)#ip address 203.0.1.1 255.255.255.252
Outside(config-if)#no shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
Outside(config-if)#exit
Outside(config)#interface gigabitEthernet 0/1.10
Outside(config-subif)#encapsulation dot1Q 10
Outside(config-subif)#ip address 192.168.0.1 255.255.255.0
Outside(config-subif)#exit
Outside(config)#interface gigabitEthernet 0/1.20
Outside(config-subif)#encapsulation dot1Q 20
Outside(config-subif)#ip address 192.168.1.1 255.255.255.0
Outside(config-subif)#exit
Outside(config)#interface gigabitEthernet 0/1
Outside(config-if)#no shutdown
Outside(config-if)#exit
Firewall

Encendemos el firewall, configuramos el nombre del dispositivo y procedemos a encender

los puertos y asignar las direcciones IP dadas en la tabla de enrutamiento.
*La contrasea pedida en el firewall consiste simplemente en dar la tecla enter en la CLI
con ese paso tendremos acceso a la configuracin global del dispositivo.
ciscoasa>
ciscoasa>enable
Password: *en esta parte solo damos enter no se especifica contrasea*
ciscoasa#configure terminal
ciscoasa(config)#hostname ASA

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

A continuacin se va a especificar las zonas de seguridad en las interfaces ethernet del

firewall asignando el nameif y el security-level en ellas, con el fin de delimitar las
zonas de seguridad.

ASA(config)#interface ethernet 0/0

ASA(config-if)#ip address 172.16.0.1 255.255.255.0
ASA(config-if)#nameif inside
ASA(config-if)#security-level 100
ASA(config-if)#no shutdown
ASA(config-if)#exit
ASA(config)#interface ethernet 0/1
ASA(config-if)#ip address 203.0.1.2 255.255.255.252
ASA(config-if)#nameif outside
ASA(config-if)#security-level 0
ASA(config-if)#no shutdown
ASA(config-if)#exit

Cliente Interno, Cliente 1 y Cliente 2

Para asignar una direccin IP a un pc de forma esttica se procede a hacer los siguientes
pasos

1. Se busca el icono de red en la barra de tareas del escritorio y luego con click
derecho se abre el submen y se ingresa al centro de redes y recursos
compartidos

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

2. Se ingresa a la opcin cambiar configuracin del adaptador.

3. En esta ventana se ubica el puntero del mouse sobre la opcin de Cable de Red a
continuacin click derecho y luego a la opcin propiedades

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

4. Despus se va a ver una ventana emergente se busca la opcin de habilitar el

protocolo de internet versin 4 (TCP/IPv4) se selecciona y luego se entra a la
opcin propiedades.

5. En la ventana emergente se selecciona la opcin usar la siguiente direccin IP y

luego se introduce las direcciones IP especificadas en la tabla de direccionamiento;

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

acabado ese procedimiento se da en la opcin aceptar y con eso finaliza la

configuracin.
NOTA: el procedimiento para asignar las direcciones IP en Cliente Interno, Cliente 1
y finalmente Cliente 2 es el mismo, hay que tener en cuenta que las direcciones IP
son diferentes para los tres computadores.

CLIENTE INTERNO

CLIENTE 1

CLIENTE 2

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

Switch

Encendemos el Switch, configuramos el nombre del dispositivo y procedemos a encender

los puertos y asignarlos a su vlan propuesta previamente en la tabla.
NOTA: el computador cliente 1 debe estar conectado a un puerto de Switch entre 1 y 12,
as como el cliente 2 debe estar conectado entre los puertos 13 y 24; el Router debe estar
conectado al puerto G0/1 del Switch.

Switch>
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SwOut
SwOut(config)#vlan 10
SwOut(config-vlan)#name Vlan10
SwOut(config-vlan)#exit
SwOut(config)#vlan 20
SwOut(config-vlan)#name Vlan20
SwOut(config-vlan)#exit
SwOut(config)#interface range fastEthernet 0/1-12
SwOut(config-if-range)#switchport access vlan 10
SwOut(config-if-range)#exit
SwOut(config)#int range fastEthernet 0/13-24
SwOut(config-if-range)#switchport access vlan 20

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

SwOut(config-if-range)#exit
SwOut(config)#interface gigabitEthernet 0/1
SwOut(config-if)#switchport mode trunk
SwOut(config-if)#exit

PARTE 2 (Configuracin de la VPN IKEV1)

NOTA: antes de realizar las configuraciones se recomienda apagar el firewall de los

equipos y desactivar cualquier configuracin de proxy en la red.

FIREWALL.

1. Configuracin de rutas por defecto en el dispositivo.

A continuacin se realizara un enrutamiento esttico para la red, que permita que los
clientes 1 y 2 puedan realizar solicitudes ping hasta la direccin del puerto E0/1 en el
Firewall

ASA(config)#route outside 192.168.0.0 255.255.255.0 203.0.1.1

ASA(config)#route outside 192.168.1.0 255.255.255.0 203.0.1.1

2. Identificar el trfico interesante en el Firewall.

Configure la ACL vpn para identificar como interesante el trfico proveniente de la LAN
en el Firewall a la LAN en el Router Outside. Este trfico interesante activa la VPN con
IPsec para que se implemente cada vez que haya trfico entre las LAN del Firewall y el
Router.
Nota: el trfico interesante que vamos a utilizar en el tnel IPsec va a hacer el del
cliente 1, el cliente 2 no se incluir.

ASA(config)#access-list vpn extended permit ip 172.16.0.0 255.255.255.0

192.168.0.0 255.255.255.0

3. Configurar las propiedades de la fase 1 del Ikev1 en el Firewall.

A continuacin se realizara las configuraciones de las polticas criptogrficas de la vpn
en el firewall.
Nota: los valores de esta configuracin deben ser similares a los del Router.

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

ASA(config)#crypto ikev1 policy 1

ASA(config-ikev1-policy)#authentication pre-share
ASA(config-ikev1-policy)#encryption 3des
ASA(config-ikev1-policy)#lifetime 86400
ASA(config-ikev1-policy)#hash md5
ASA(config-ikev1-policy)#group 2

4. Configurar las propiedades de la fase 2 de Ikev1 en el Firewall y encienda la VPN.

Cree el conjunto de transformaciones VPN-SET para usar esp-3des y esp-md5-hmac. A
continuacin, cree la asignacin criptogrfica CRYPTO MAP que vincula todos los
parmetros de la fase 2; adems configure los comandos del TUNNEL-GROUP donde
se especifica la contrasea de la VPN en los dispositivos.

ASA(config)#crypto ikev1 enable outside

ASA(config)#crypto ipsec ikev1 transform-set Ikev1 esp-3des esp-md5-hmac

Nota: la palabra subrayada indica que el nombre es aleatorio, lo define el administrador

de red pero debe coincidir en la referencia en la configuracin del CRYPTO MAP; la palabra
tachada corresponde a la contrasea que se va a asignar a la VPN, en los dos dispositivos
debe coincidir.

ASA(config)#tunnel-group 203.0.1.1 type ipsec-l2l

ASA(config)#tunnel-group 203.0.1.1 ipsec-attributes
ASA(config-tunnel-ipsec)#ikev1 pre-shared-key cisco
ASA(config-tunnel-ipsec)#exit

Nota: a continuacin se realizara la configuracin del comando crypto map aqu se

referenciara la ACL que lleva el trfico interesante as como el set peer que va a hacer la
direccin hacia la cual va dirigido el trfico de la ACL y como se especificaba
anteriormente se colocara el mismo nombre del conjunto de transformaciones.
Despus de ese procedimiento se realizara el encendido de la VPN en la interfaz Outside
del firewall.

ASA(config)#crypto map ikev1-map 1 match address vpn

ASA(config)#crypto map ikev1-map 1 set peer 203.0.1.1
ASA(config)#crypto map ikev1-map 1 set ikev1 transform-set ikev1
ASA(config)#crypto map ikev1-map interface outside
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

ROUTER.

1. Configuracin de rutas por defecto en el dispositivo.

A continuacin se realizara configuracin de rutas estticas en el Router para
poder acceder a la LAN interna del firewall.

Outside(config)#ip route 172.16.0.0 255.255.255.0 203.0.1.2

2. Identificar el trfico interesante en el Router Outside.

Configure la ACL 110 para identificar como interesante el trfico proveniente de la
LAN en el Router Outside a la LAN en el Firewall. Este trfico interesante activa la
VPN con IPsec para que se implemente cada vez que haya trfico entre las LAN del
firewall y el Router

Outside(config)#access-list 110 permit ip 192.168.0.0 0.0.0.255

172.16.0.0 0.0.0.255

3. Configurar las propiedades de la fase 1 de ISAKMP en el Router Outside.

Configure las propiedades de la poltica criptogrfica ISAKMP 1 en el Router
Outside junto con la clave criptogrfica compartido cisco.

Outside(config)#crypto isakmp policy 1

Outside(config-isakmp)#encryption 3des
Outside(config-isakmp)#lifetime 86400
Outside(config-isakmp)#hash md5
Outside(config-isakmp)#group 2
Outside(config-isakmp)#authentication pre-share
Outside(config-isakmp)#exit

Nota: a continuacin se realiza la colocacin de clave que se asign previamente en el

firewall estas deben coincidir adems se asigna la direccin hacia donde apunta el trfico
interesante.

Outside(config)#crypto isakmp key cisco address 203.0.1.2

4. Configurar las propiedades de la fase 2 de ISAKMP en el Router Outside.

Cree el conjunto de transformaciones VPN-SET para usar esp-3des y esp-md5-
hmac. A continuacin, cree la asignacin criptogrfica vpnmap que vincula todos
los parmetros de la fase 2. Use el nmero de secuencia 1 e identifquelo como
una asignacin ipsec-isakmp

Nota: las palabras subrayadas son de libre eleccin pero deben coincidir en las dos partes
donde estn referenciadas, adems se cita el nmero de la VPN que lleva el trfico

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

interesante hacia el firewall as como la direccin IP del firewall ala que va apuntada la
VPN la cual se debe escribir en el campo del comando set peer

Outside(config)#crypto ipsec transform-set ikev1 esp-3des esp-md5-hmac

Outside(config)#crypto map vpnmap 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Outside(config-crypto-map)#set peer 203.0.1.2
Outside(config-crypto-map)#set transform-set ikev1
Outside(config-crypto-map)#match address 110
Outside(config-crypto-map)#exit

5. Configurar la asignacin criptogrfica en la interfaz de salida.

Por ltimo, vincule la asignacin criptogrfica VPN-MAP a la interfaz de salida
GigabitEthernet 0/0.

Outside(config)#interface gigabitEthernet 0/0

Outside(config-if)#crypto map vpnmap
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Outside(config-if)#exit

PARTE 3 (Verificar la VPN con IPsec)

1. Verificar el tnel antes del trfico interesante.

Emita el comando show crypto ipsec sa en el Router Outside. Observe que la
cantidad de paquetes encapsulados, cifrados, desencapsulados y descifrados se
establece en 0.

Outside#show crypto ipsec sa

interface: GigabitEthernet0/0
Crypto map tag: vpnmap, local addr 203.0.1.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
current_peer 203.0.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 203.0.1.1, remote crypto endpt.:203.0.1.2

path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x0(0)

2. Crear el trfico interesante.

Haga ping de Cliente 1 a Cliente Interno.

3. Verificar el tnel despus del trfico interesante.

En el R1, vuelva a emitir el comando show crypto ipsec sa. Ahora observe que la
cantidad de paquetes es superior a 0, lo que indica que el tnel VPN con IPsec
funciona.

Outside#show crypto ipsec sa

interface: GigabitEthernet0/0
Crypto map tag: vpnmap, local addr 203.0.1.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
current_peer 203.0.1.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 0
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 203.0.1.1, remote crypto endpt.:203.0.1.2

path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x33E323E7(870523879)

Jorman Rodrguez
Tecnlogo en gestin de redes de datos CGAO

4. Crear el trfico no interesante.

Haga ping del Cliente 2 al Cliente Interno.

5. Verificar el tnel.
En el Router Outside, vuelva a emitir el comando show crypto ipsec sa. Por ltimo,
observe que la cantidad de paquetes no cambi, lo que verifica que el trfico no
interesante no est cifrado ni tiene paso hacia la LAN interna del firewall, lo que
significa que el firewall est bloqueando el paso entre zonas de seguridad y los
paquetes ICMP no van a alcanzar el cliente interno.

Jorman Rodrguez