19 5 5-packet-tracer---configure-and-verify-a-site-to-site-ipsec-vpn_pt-BR

Prévia do material em texto

© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 1 de 6 www.netacad.com 
Packet Tracer - Configurar e verificar uma VPN IPsec Site a Site 
Tabela de Endereçamento 
Dispositiv
o Interface Endereço IP 
Máscara de 
Sub-Rede Gateway padrão Porta do Switch 
R1 G0/0 192.168.1.1 255.255.255.0 N/D S1 F0/1 
R1 
S0/0/0 (DCE) 10.1.1.2 255.255.255.252 N/D N/D 
R2 G0/0 192.168.2.1 255.255.255.0 N/D S2 F0/2 
R2 S0/0/0 10.1.1.1 255.255.255.252 N/D N/D 
R2 
S0/0/1 (DCE) 10.2.2.1 255.255.255.252 N/D N/D 
R3 G0/0 192.168.3.1 255.255.255.0 N/D S3 F0/5 
R3 
S0/0/1 10.2.2.2 255.255.255.252 N/D N/D 
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0/2 
PC-B NIC 192.168.2.3 255.255.255.0 192.168.2.1 S2 F0/1 
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0/18 
Blank Line, No additional information 
Objetivos 
 Verifique a conectividade em toda a rede. 
 Configurar o R1 para apoiar um IPSec VPN de site a site com R3. 
Histórico/Cenário 
A topologia da rede mostra três roteadores. Sua tarefa é configurar o R1 e o R3 para apoiar um IPsec VPN 
de site a local quando o tráfego flui entre suas respectivas LANs. O túnel VPN IPsec vai de R1 a R3 via R2. 
R2 atua como um pass-through e não tem conhecimento da VPN. O IPsec fornece transmissão segura de 
informações confidenciais em redes desprotegidas, como a Internet. O IPsec opera na camada de rede e 
protege e autentica pacotes IP entre os dispositivos IPsec participantes (pares), tais como Roteadores Cisco. 
Parâmetros da política da fase 1 do ISAKMP 
Packet Tracer - Configurar e verificar uma VPN IPsec Site a Site 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 2 de 6 www.netacad.com 
Parâmetros R1 R3 
Método de Distribuição de 
Chave 
 
 
 
 
 
 
Manual ou ISAKMP ISAKMP ISAKMP 
Algoritmo de criptografia 
 
 
 
 
 
DES, 3DES, or AES AES 256 AES 256 
Algoritmo Hash 
 
 
 
 
MD5 ou SHA-1 SHA-1 SHA-1 
Método de autenticação 
 
 
 
Pre-shared keys or RSA pré-compartilhamento 
pré-
compartilhamento 
Troca de chave 
 
DH Grupo 1, 2 ou 5 DH 5 DH 5 
Vida útil da IKE SA 86400 segundos ou menos 86400 86400 
Chave ISAKMP vpnpa55 vpnpa55 
Blank Line, No additional information 
Nota: Os parâmetros em negrito são padrões. Somente parâmetros não negrito precisam ser configurados 
explicitamente. 
Parâmetros da política da fase 2 IPsec 
Parâmetros R1 R3 
Transform Set Name VPN-SET VPN-SET 
ESP Transform Encryption esp-aes esp-aes 
ESP Transform Authentication esp-sha-hmac esp-sha-hmac 
Packet Tracer - Configurar e verificar uma VPN IPsec Site a Site 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 3 de 6 www.netacad.com 
Parâmetros R1 R3 
Peer IP Address 10.2.2.2 10.1.1.2 
O tráfego a ser criptografado 
access-list 110 (source 
192.168.1.0 dest 192.168.3.0) 
access-list 110 (source 
192.168.3.0 dest 192.168.1.0) 
Crypto Map Name VPN-MAPA VPN-MAP 
Estabelecimento SA ipsec-isakmp ipsec-isakmp 
Linha em branco, sem informações adicionais 
Os roteadores foram pré-configurados com o seguinte: 
• Senha para a linha de console: ciscoconpa55 
• Senha para linhas vty: ciscovtypa55 
• Senha do enable: ciscoenpa55 
• Nome de usuário e senha SSH: SSHAdmin / ciscosshpa55 
• OSPF 101 
Instruções 
Parte 1: Configurar parâmetros IPsec no R1 
Etapa 1: Teste a conectividade. 
Ping do PC-A ao PC-C. Todos os dispositivos são configurados com roteamento. Portanto, o ping deve ser 
bem-sucedido. 
Etapa 2: Ative o pacote de tecnologia de segurança. 
a. No R1, emita o comando show version ver a informação da licença do pacote da tecnologia de 
segurança. 
b. Se o pacote de Tecnologia de Segurança não tiver sido ativado, use o seguinte comando para ativar o 
pacote. 
R1(config)# license boot module c1900 technology-package securityk9 
c. Aceite o contrato de licença do usuário final. 
d. Salve a executar-configuração e recarregue o roteador para permitir a licença de segurança. 
e. Use o comando show version novamente verificar se o securityk9 está alistado sob os pacotes atuais 
da tecnologia. 
Etapa 3: Identifique o tráfego interessante no R1. 
Configurar o ACL 110 para identificar o tráfego da LAN no R1 ao LAN no R3 como interessante. Este tráfego 
interessante provocará o IPsec VPN a ser executado quando há tráfego entre o R1 a R3 LANs. Todo o 
tráfego restante originado das LANs não será cifrado. Devido à negação implícita tudo, não há necessidade 
de configurar um negar ip qualquer instrução. 
R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 
0.0.0.255 
Packet Tracer - Configurar e verificar uma VPN IPsec Site a Site 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 4 de 6 www.netacad.com 
Etapa 4: Configure the IKE Phase 1 ISAKMP policy on R1. 
Configurar as propriedades criptográficas da política 10 de ISAKMP no R1 junto com a chave cripto 
compartilhada vpnpa55. Os valores padrão não precisam ser configurados. Portanto, somente o método de 
criptografia, o método de troca de chaves e o método DH devem ser configurados. 
Nota: O grupo o mais alto DH apoiado atualmente pelo Packet Tracer é grupo 5. Em uma rede de produção, 
você configuraria pelo menos o DH 24. 
R1(config)# crypto isakmp policy 10 
R1(config-isakmp)# encryption aes 256 
R1(config-isakmp)# authentication pre-share 
R1(config-isakmp)# group 5 
R1(config-isakmp)# exit 
R1(config)# crypto isakmp key vpnpa55 address 10.2.2.2 
Etapa 5: Configurar a política do IPsec da fase 2 IKE no R1. 
a. Crie o VPN-SET transform-set para usar esp-aes e esp-sha-hmac. 
R1(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac 
b. Crie o mapa de criptografia VPN-MAP que liga todos os parâmetros da fase 2 junto. Use o número de 
sequência 10 e identifique-o como um mapa ipsec-isakmp. 
R1(config)# crypto map VPN-MAP 10 ipsec-isakmp 
R1(config-crypto-map)# description VPN connection to R3 
R1(config-crypto-map)# set peer 10.2.2.2 
R1(config-crypto-map)# set transform-set VPN-SET 
R1(config-crypto-map)# match address 110 
R1(config-crypto-map)# exit 
Etapa 6: Configurar o mapa de criptografia na interface de saída. 
Ligue o mapa cripto VPN-MAP à relação de saída Serial 0/0/0. 
R1(config)# interface s0/0/0 
R1(config-if)# crypto map VPN-MAP 
Parte 2: Configurar parâmetros IPsec no R3 
Etapa 1: Ative o pacote de tecnologia de segurança. 
a. No R3, emita o comando show version verificar se a informação da licença do pacote da tecnologia de 
segurança foi permitida. 
b. Se o pacote de tecnologia de segurança não tiver sido permitido, habilite o pacote e recarregue o R3. 
Etapa 2: Configurar o roteador R3 para apoiar uma VPN de site a site com R1. 
Configurar parâmetros alternativos no R3. Configurar o ACL 110 que identifica o tráfego da LAN no R3 ao 
LAN no R1 como interessante. 
R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 
0.0.0.255 
Packet Tracer - Configurar e verificar uma VPN IPsec Site a Site 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 5 de 6 www.netacad.com 
Etapa 3: Configurar as propriedades ISAKMP da fase 1 IKE no R3. 
Configurar as propriedades criptográficas da política 10 de ISAKMP no R3 junto com a chave cripto 
compartilhada vpnpa55. 
R3(config)# crypto isakmp policy 10 
R3(config-isakmp)# encryption aes 256 
R3(config-isakmp)# authentication pre-share 
R3(config-isakmp)# group 5 
R3(config-isakmp)# exit 
R3(config)# crypto isakmp key vpnpa55 address 10.1.1.2 
Etapa 4: Configurar a política do IPsec da fase 2 IKE no R3. 
a. Crie o VPN-SET transform-set para usar esp-aes e esp-sha-hmac. 
R3(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac 
b. Crie o mapa de criptografia VPN-MAP que liga todos os parâmetros da fase 2 junto. Use o númerode 
sequência 10 e identifique-o como um mapa ipsec-isakmp. 
R3(config)# crypto map VPN-MAP 10 ipsec-isakmp 
R3(config-crypto-map)# description VPN connection to R1 
R3(config-crypto-map)# description VPN connection to R1 
R3(config-crypto-map)# set transform-set VPN-SET 
R3(config-crypto-map)# match address 110 
R3(config-crypto-map)# exit 
Etapa 5: Configurar o mapa de criptografia na interface de saída. 
Ligue o mapa cripto VPN-MAP à relação de saída Serial 0/0/1. Nota: isso não é avaiado. 
R3(config)# interface s0/0/1 
R3(config-if)# crypto map VPN-MAP 
Parte 3: Verifique o IPSec VPN 
Etapa 1: Verifique o túnel antes do tráfego interessante. 
Emita o comando show crypto ipsec sa no R1. Observe que o número de pacotes encapsulados, 
criptografados, decapsulados e descriptografados são todos ajustados a 0. 
Etapa 2: Crie tráfego interessante. 
Ping PC-C de PC-A. 
Etapa 3: Verifique o túnel após o tráfego interessante. 
Em R1, emita novamente o comando show crypto ipsec sa. Observe que o número de pacotes é mais de 0, 
o que indica que o túnel IPsec VPN está funcionando. 
Etapa 4: Crie tráfego desinteressante. 
Ping PC-B a partir do PC-A. Nota: Emitir um ping do roteador R1 ao PC-C ou ao R3 ao PC-A não é tráfego 
interessante. 
Packet Tracer - Configurar e verificar uma VPN IPsec Site a Site 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 6 de 6 www.netacad.com 
Etapa 5: Verifique o túnel. 
Em R1, emita novamente o comando show crypto ipsec sa. Observe que o número de pacotes não 
mudou, o que verifica que o tráfego desinteressante não está cifrado. 
Etapa 6: Verifique os resultados. 
O percentual de conclusão deve ser 100%. Clique em Verificar resultados para ver o feedback e a 
verificação de quais componentes necessários foram concluídos.