COMUNICACIONES II

Laboratorio N 10

VPN IPsec Site to Site CISCO

Pagina dejada en blanco por motivos de impresin
Tecsup

VPN IPsec Site to Site CISCO

OBJETIVOS
Implementar VPN en los equipos CISCO
Describir el proceso de una conexin VPN

EQUIPOS
3 Computadora.
2 ROUTER CISCO 2800
2 SWITC 3560

PROCEDIMIENTO

PARTE 1
En grupo de 3, realizaremos las conexiones respectivas, teniendo los
cables respectivos. PC REAL (A)(B)(C) representa a las PC reales de
cada participante del grupo.

Nota: Todos los cables de red son DIRECTOS.

PARTE 2 CONFIGURACION DE PARAMETROS DE CONECTIVIDAD

Configuraremos los parmetros de conectividad de los equipos de la
RED, personalcelo segn los valores de su diagrama de RED

LIMPIEZA SWITCH CISCO

1. Limpieza: Mensaje
Mensaje alal iniciar
iniciar que
que
indica
indica que
que el
el equipo
equipo est
est
limpio.
limpio. Indicar
Indicar que
que (no)
(no)
Conctese va hypeterminal de la Maquina REAL: COM1 9600 para
para iniciar
iniciar la
configuracin
la
configuracin manual.
manual.

Would you like to enter the initial configuration dialog? [yes/no]: no

RESET
> enable Realice
Realice este
este proceso
proceso dede
RESET
RESET sisi no
no apareci
apareci el
el
# erase startup-config mensaje
mensaje queque indicaba
indicaba
# reload que
que el
el equipo
equipo estaba
estaba
limpio
limpio

1
Tecsup

LIMPIEZA ROUTER CISCO

2. (RC,RS)Limpieza:
Conctese va hypeterminal de la Maquina REAL: COM1 9600
> enable
# erase nvram
# reload

Los
Los nombres
nombres de
de las
las interfaces
interfaces son
son del
del modelo
modelo
CONFIGURACION ROUTER CENTRAL de
de router
router 2800,
2800, para
para otros
otros modelos
modelos
previamente
previamente visualizar
visualizar lala informacin
informacin con
con el
el
3. (RC)Personalizando los parmetros de conectividad: comando
comando ## show
show running-config
running-config

> enable
# configure terminal

(config) # interface fastethernet 0/0

(config-if) # ip address 192.168.2.1 255.255.255.0
(config-if) # no shutdown
(config-if) # exit

(config) # interface fastethernet 0/1

(config-if) # ip address 200.0.0.1 255.255.255.0
(config-if) # no shutdown
(config-if) # exit
(config) # ip route 0.0.0.0 0.0.0.0 200.0.0.2
(config) # exit
# write Guardaremos
Guardaremos este
este
patrn
patrn bsico.
bsico.

CONFIGURACION ROUTER SUCURSAL

4. (RS)Personalizando los parmetros de conectividad:

> enable
# configure terminal

(config) # interface fastethernet 0/0

(config-if) # ip address 192.168.4.1 255.255.255.0
(config-if) # no shutdown
(config-if) # exit

(config) # interface fastethernet 0/1

(config-if) # ip address 200.0.0.2 255.255.255.0
(config-if) # no shutdown
(config-if) # exit
(config) # ip route 0.0.0.0 0.0.0.0 200.0.0.1
(config) # exit
# write

2
Tecsup

MAQUINA VIRTUAL PREPARADA I1

5. (C1) Se ha preparado una Maquina Virtual WindowsXP:
Descomprima Win7.rar
Renombre el directorio generado a C1
Active la maquina virtual.
Configure los datos de conectividad respectivos (Ver diagrama)

MAQUINA VIRTUAL PREPARADA E1

6. (E1) Se ha preparado una Maquina Virtual WindowsXP:
Descomprima Win7.rar
Renombre el directorio generado a E1
Active la maquina virtual.
Configure los datos de conectividad respectivos (Ver diagrama)

MAQUINA VIRTUAL PREPARADA SL

7. (SL) Se ha preparado una Maquina Virtual Centos SERVER:
Descomprima CENTOS4 PCC NEW.rar
Renombre el directorio generado a SL
Active la maquina virtual.

Nota: Si aparece nuevo dispositivo detectado, seleccionar:

<Ninguna modificacin>

Login: root
Password: tecsup

Personalizar la conectividad:

IP

# vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
Personalice
Personalice con
con sus
sus propios
propios
ONBOOT=yes datos
datos de
de conectividad
conectividad yy queque los
los
BOOTPROTO=static archivos
archivos tenga
tenga la la estructura
estructura
IPADDR=192.168.2.6 indicada,
indicada, si
si existiera
existiera otras
otras lneas
lneas
NETMASK=255.255.255.0 borrar
borrar

PUERTA DE ENLACE Y NOMBRE

# vi /etc/sysconfig/network

NETWORKING=yes
HOSTNAME=SL.empresa.com.pe
GATEWAY= 192.168.2.1

# vi /etc/hosts

127.0.0.1 localhost.localdomain localhost

192.168.2.6 SL.empresa.com.pe SL

RESOLUCION

# vi /etc/resolv.conf

3
Tecsup

search localdomain

Reiniciar el Servicio: # service network restart

PRUEBAS
8. Realice las pruebas:

EQUIPO ACCIONES RESULTADO

C1 PING 192.168.2.6 (CENTRAL) (ON)
(SUCURSAL)

PARTE 3 SERVICIOS
Tomaremos como referencia al Servicio Telnet, para establecer una
comunicacin entre la sucursal y Central. Al conseguir la conexin
asumiremos que todo tipo de Aplicacin a instalarse en el Central ser
accedido por la Sucursal.

SERVICIO TELNET
9. (SL) Procesos:

HABILITAR TELNET
El TELNET por defecto esta desactivado:
telnet

Active los cambios:

# service xinetd restart

PUERTO ACTIVO
Compruebe que el puerto 23 este activo:
# netstat a -n | grep tcp

CUENTA DE USUARIO
Genere la siguiente cuenta:

usuario Password
benito tecsup

Esta cuenta sera usada para

# adduser benito el acceso a Telnet

# passwd benito

4
Tecsup

5
 Tecsup

CONFIGURACION CLIENTE
10. (C1) Activando PUTTY: Direccin IP del Servidor a
conectarse
GENERANDO UN PERFIL * Indique la IP de su SERVER:
192.168.2.6
1

Servicio a Conectarse
Al seleccionar el tipo de
servicio,
2 automticamente campo
de (port) variara
3

Etiqueta del perfil a

guardar la configuracin
Putty permite guardar
4 varios perfiles de esta
forma la prxima vez no
necesita estar indicando la
Cierre el PUTTY Guardando el
Perfil
Ip del Servidor. Carga el
Perfil y se conecta Listo

CONEXION
11. (C1) Activando el perfil:
Active el PUTTY.
Cargue su PERFIL:

CONSOLA REMOTA

YA
ingrese
al
Clave: Telnet.
tecsup

Cierre el PUTTY
PARTE 4 PORT MIRROR
Habilitaremos el soporte de PORT MIRROR en el punto que esta conectado
el ESPIA para permitirle recibir una copia del trafico que esta
circulando en la RED publica.

CONFIGURANDO
12. Realizarlo en el SWITCH de la CENTRAL
donde esta conectado la PC del ESPIA:

Los
Los nombres
nombres dede las
las
interfaces
interfaces son
son
referenciales
referenciales

#Interface
monitor session 1 source interface gigabitethernet 0/12 donde esta
monitor session 1 destination interface gigabitethernet 0/10 conectado el
Router
Central
#Interface
donde esta
6 conectado el
Espia
 Tecsup

PARTE 5 MONITOREO DE CONEXIONES

Comprobaremos que en el transito de la informacin sin VPN la
informacin es transparente pudiendo ser capturada y visualizada.
Tomaremos como referencia una conexin Telnet para la captura de
datos.

PAQUETE
13. (E1) Nombre del paquetes:

wireshark Info: www.wireshark.org

Nota: El Software se encuentra en el directorio de las maquinas

virtuales. Arrstrelo a escritorio de la maquina VIRTUAL E1.

INSTALACION
Ejecute el proceso de instalacin. Acepte por defecto las opciones.
ACTIVANDO
Cargue el WIRESHARK:
LIMPIEZA
14. Cierre toda conexin de PUTTY con el SERVIDOR.

INICIANDO CAPTURA
15. (E1) Procesos:

Seleccionando las opciones para CAPTURA 1

Interface a monitorear
* Seleccione la interface (VMware
Accelerated AMD PCNet)

2 Opciones para mostrar la

informacin:
Update List: Actualiza
Modo que constantemente segn va
captura todo capturando.
trafico que Automatic Scrolling: Va
pasa por la mostrando las ltimas
interface de capturas.
Red. Con Hide Info: Ocultar pantalla
destino a de estadsticas de captura
cualquiera

Resolucin de capturas:
Enable MAC: Traduce la Mac
a los nombres de los
fabricantes de Tarjeta de Red.
Enable network: Traduce la
informacin de la IP por
nombre.
Enable Transport: Traduce
el Puerto por su nombre

Iniciar la
3 captura
7
 Tecsup

Capturando
Capturando informacion.
informacion. Observar
Observar que
que siempre
siempre en
en la
la red
red
se
se esta
esta transmitiendo
transmitiendo diversa
diversa informacion
informacion (broadcast,
(broadcast,
anuncios,
anuncios, busqueda
busqueda
)
)
4

Esperare a
que alguien se
conecte a un
Servicio

CONEXION
16. (C1) Procesos:

Conectese con el CLIENTE (PUTTY) al Servicio TELNET:

Voy a
conectarme a
mi servicio TELNET
Telnet

Clave: Llego la
tecsup comida,
Ejecutand capturando
o un
comando

DETENIENDO CAPTURA
17. (E1) Procesos:

Deteniendo la
captura
*Clic

Observara que el
Sniffer ha ido
capturando los
paquetes

Nota: Si no obtiene paquetes Telnet, parecido a lo visualizado,

cierre el PUTTY y el SNIFFER y vuelva a realizar la captura.

8
 Tecsup

Revisare
ANALIZANDO los paquetes
18. (E1) Conociendo la estructura de la herramienta: (comida)

Numero de secuencia de la captura

La informacin es referencial no se
Tipo de
guie por este nmero usted puede IP Origen o contenido
tener otra secuencia Mac Origen IP Destino o Nombre del
Mac Destino protocolo

Cada lnea
representa un
1 paquete capturado
Las *Ubquese en el
ventanas primer paquete
puede TELNET
ampliarse y
reducirse.
Al ubicarse
entre las Estructura de
lneas composicin de
capas de cada
paquete
Visualizando
2
datos
*Clic.
Cambiara de Representacin
(+) a (.) hexadecimal del
paquete

VISUALIZANDO DATOS
19. (E1) Construyendo informacin: Son paquetes
TELNET
LOGIN visualizare la
data enviada..
Buscando la cuenta de Login:
Desplazase
Desplazase entre
entrela
la captura
captura centrandose
centrandose en
enlos
los
paquetes
paquetes de
de PROTOCOL
PROTOCOL(TELNET).
(TELNET). YY observe
observe en
en el
el
cuadro
cuadro de
de (composicion
(composicion dede capas)
capas)enen alguno
algunodede los
los
paquetes
paquetes TELNET
TELNET debedebe de
de encontrar
encontrar la Data: b
la Data: b

Encontr la
primera letra (b)
de la cuenta de
usuario..

9
 Tecsup

Buscando las siguientes letras:

seguir
buscando
por las otras
letras, ya
encontr la
segunda
letra (e) de
la cuenta de
usuario..

Siga buscando hasta completar la palabra del Login: benito

PASSWORD
Buscando el PASSWORD:

Segn mis estudios

de redes, el
password de Telnet
viaja sin
encriptar .. lo
ubicare..

Ya encontr dos
letras (t)(e)..
Seguir
buscando, tengo
tiempo

Siga buscando hasta completar la palabra del PASSWORD: tecsup

Ya fue,
tengo el
login y el
password

10
 Tecsup

CONSTRUYENDO DATOS
20. (E1) Construyendo informacin: Ubiquese
Ubiquese en
enel
el
Primer
Primer paquete
paquete de
de
Protocol
ProtocolTELNET
TELNET
*Clic
*Clic derecho
derecho

1
2
Opcin
Opcinque
que construye
construye toda
todala
la
informacin
informacintransmitida
transmitida del
del
protocolo
protocoloelegido
elegido
*Clic
*Clic

Visualizando toda la informacion transmitida via TELNET

Observara
Observaradiversos
diversos caracteres
caracteres yy en
en algunos
algunos casos
casos
observara
observara que
que los
los caracteres
caracteresse
se repite
repite debido
debido aa que
que Ya tengo los
muestra
muestralos
los caracteres
caracteresenviados
enviados yy recibidos
recibidos datos de Login y
sus acciones

Nota: Cualquier aplicaciones que no incluya niveles de

criptografa, ser posible la visualizacin de la informacin en
forma transparente como el caso del Telnet.

Que otra aplicaciones opina que puede obtenerse datos?

ESTRUCTURA DEL PAQUETE

21. (E1) De un paquete que tenga como origen la IP del CLIENTE, complete los
campos de la composicin: Esta
Estainformacin
informacin
no
noservir
servircomo
como
referencia
referenciapara
paraver
ver
que
que cambios
cambios
sucede
sucede en
enla
la
composicin
composicin del
del
paquete
paquete luego
luegoal
al
1
aplicar
aplicarVPN
VPN

Va
Vaal
al campo
campo
(PROTO)
(PROTO)

COMPOSICIO IP ORIGEN IP DESTINO PROTO PUERTO PUERTO APLICACION

N ORIGEN DESTINO
TCP TELNET

11
 Tecsup

CAPAS
INTERNET TRANSPORTE APLICACIO
PARTE 6 HABILITAR SOPORTE DE IPSEC (VPN) EN ROUTER CISCO N
Configuraremos entre la Sucursal y Central una conexin VPN. Que nos
garantizara que todo trfico que circula entre la Sucursal y Central
estar encriptado. Usaremos el protocolo de VPN llamado IPSEC. En la
configuracin en general existe 2 Bloques a configurar: Configuracin
de las polticas del IKE (ISAKMP) y del TUNEL

REALIZAR LOS PASOS EN AMBOS ROUTERS (RC,RS)

PARAMETROS DE ISAKMP
22. (RC,RS) Estableciendo parmetros de criptografa del protocolo ISAKMP para
que transmita en forma segura la informacion de la clave y la negociacion de los
algoritmos del Tunel.
# que define la
prioridad si hubiera
crypto isakmp policy 1 otros perfiles de
Algoritmo
ISAKMP
de encryption des
encriptaci hash md5
n
authentication pre-share
En
En forma
forma simblica
simblica alal Algoritmo
existir
existir una
una tabulacin
tabulacin de integridad
indica
indica que
que esta
esta dentro
dentro (hash)
de Mtodo de
de una
una seccin
seccin autentificacin entre
Nota:
Nota: Para
Para salir
salir de
de una
una los nodos
seccin
seccin use
use el
el comando
comando Preshare: Clave en
(exit)
(exit) comn que ambos
nodos deben conocer
Para conocer que otros algoritmos soporta el Cisco, visualizelo alcanzando el
parametro de consulta (?) al comando:

La
La diferencia
diferencia
esta
esta en
en su
su
confiabilidad
confiabilidad yy el
el
consumo
consumo de de
recursos
recursos

rsa: Es el
mtodo
usado
llaves
publicas y
privadas
LLAVE A COMPARTIR
23. (RC,RS) Al usar la autentificacin PRE-SHARE debemos de establecer una llave
en comun que es representado por una cadena de texto y que ambos nodos
(router) deben de registrarlo:
Reemplace con la informacin que corresponda
segn que Router este configurando
Caso: Si esta configurando el router central (RC)
deber de colocar la IP pblica del Router
sucursal (RS) que es 200.0.0.2 sin los
corchetes.

crypto isakmp key prueba123 address [IP_PUBLICO_DEL_OTRO_ROUTER]

12
Tecsup

Cadena que
ALGORITMOS DEL TUNEL IPSEC representa la
llave
24. (RC,RS) Estableciendo parmetros de criptografa del protocolo IPSEC para que
ser usados por los protocolos (AH) y (ESP) para que transmitan en forma segura
la informacion de los datos por el Tunel:

Algoritmo de Algoritmo de
integridad a encriptacin a usar
usar la la cabecera (esp)
cabecera (ah) para los datos

crypto ipsec transform-set tunel ah-md5-hmac esp-des esp-md5-hmac

Asignando el Algoritmo de
nombre tunel integridad a usar la
al TUNEL cabecera (esp) para
los datos

Para conocer que otros algoritmos que soporta el Cisco en IPSEC. Visualizelo
alcanzando el parametro de consulta (?) al comando:

POLITICAS DE ACCESO
25. (RC,RS) Para autorizar que redes pasaran por el Tunel, se debe de definir un
lista de acceso que informe las redes lan de los routers comunicarse:

Reemplazar con la informacin del valor de la RED

LOCAL del ROUTER y mascara segn que router este
configurando
Caso: Si esta configurando el router central (RC) la
informacin a reemplazar ser: 192.168.2.0
0.0.0.255 (Se usa mascara invertida)

access-list 101 permit ip [LAN_LOCAL] [mascara] [LAN_REMOTA] [mascara]

# de access-
list que indica Caso: Si esta configurando el
que es del tipo router central (RC) la informacin
extendido a reemplazar ser: 192.168.4.0
0.0.0.255

13
Tecsup

INTERFACE A USAR
26. (RC,RS) Definir que interface fsica del Router se usara para construir el Tunel:
Nombre de la interface fsica del Router del
lado Publico, donde se armara el Tunel
Caso: Segn la configuracin realizada en el
route, el nombre de la interface fsica del lado
publico a informar es: fasethernet 0/1

crypto map perfil local-address [NOMBRE_INTERFACE_PUBLICA]

Definiendo un nombre de
etiqueta a asociar a la
interface fsica en donde se
habilitara el Tunel

DEFINIENDO UN PERFIL
27. (RC,RS) Hasta el momento hemos ido declarando informacion del VPN,
asociandolos algunos nombres de etiquetas pero todavia no se encuentran
activos. Para activarlos antes tenemos que definir un perfil y en este perfil
asociar la informacion declaradas. Para luego aplicar el perfil en una interface:

Asociando al nombre de la
etiqueta definida en el paso
( INTERFACE A USAR) # de secuencia. til si
hubiera ms perfiles. El
de menor # tiene la
prioridad alta

crypto map perfil 1 ipsec-isakmp Caso: Si esta

set peer [IP_PUBLICA_DEL_OTRO_ROUTER]
set transform-set tunel
match address 101
# de poltica definida
en el paso (POLITICAS
DE ACCESO)
configurando el
router central (RC)
deber de colocar la
IP pblica del Router
sucursal (RS) que es
200.0.0.2 sin los
corchetes
Tnel a usar. Indicando la
etiqueta definida en el paso
(ALGORITMOS DEL TUNEL
IPSEC)

APLICANDO PERFIL A INTERFACE

28. (RC,RS) El perfil definido anteriormente ahora lo aplicaremos en una interface
para que se arme el Tnel:
Nombre de la interface fsica del Router del
lado Publico, donde se armara el Tnel
Caso: Segn la configuracin realizada en el
route, el nombre de la interface fsica a
informar es: fasethernet 0/1

interface [NOMBRE_INTERFACE_PUBLICA_ROUTER]
crypto map perfil

Etiqueta del perfil

definida en el paso
(DEFINIENDO PERFIL)

14
 Tecsup

RESUMEN
29. (RC,RS) En forma resumida hemos aplicado la siguiente estructura que podr
visualizarlo en la configuracin del ROUTER con el comando:

# show running-config Al
Al visualizar
visualizar la
la configuracin,
configuracin, no
no
aparecer
aparecer este
este comando
comando debido
debido aa
que
que por
por defecto
defecto asume
asume
internamente
internamente el el algoritmo
algoritmo DES
DES
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share

crypto isakmp key prueba123 address [IP_PUBLICO_DEL_OTRO_ROUTER]

crypto ipsec transform-set tunel ah-md5-hmac esp-des esp-md5-hmac

access-list 101 permit ip [LAN_LOCAL] [mascara] [LAN_REMOTA] [mascara]

crypto map perfil local-address [NOMBRE_INTERFACE_PUBLICA]

crypto map perfil 1 ipsec-isakmp

set peer [IP_PUBLICA_DEL_OTRO_ROUTER]
set transform-set tunel
match address 101

interface [NOMBRE_INTERFACE_PUBLICA_ROUTER]
crypto map perfil

Nota: Compruebe a detalle que este toda la informacion

configurada del VPN en los ROUTER para evitar percances en la
conexin VPN.
Si
Si por
por casualidad
casualidad al al realizar
realizar ping
ping oo telnet
telnet
no
no responde
responde aa la
la primera
primera vezvez vuelva
vuelva aa
intentarlo
intentarlo una
una vez
vez mas.
mas. Alguna
Alguna veces
veces
PRUEBAS sucede
sucede debido
debido aa que
que elel Tunel
Tunel esta
esta
30. (C1) Procesos: armndose
armndose automaticamente
automaticamente

EQUIPO ACCIONES RESULTADO

C1 PING 192.168.2.6 (CENTRAL) (ON)
(SUCURSAL)

Conectese con el CLIENTE (PUTTY) al Servicio TELNET (CENTRAL):

TELNET

Clave: tecsup

Ejecutando
un comando

Observa algun cambio de configuracion a realizar en las PC de

los Clientes?

15
Tecsup

EVENTOS
31. (RA) Procesos:

Visualizando establecimiento de ISAKMP

# show crypto isakmp sa

Visualizando establecimiento del IPSEC

# show crypto ipsec sa

16
 Tecsup

PARTE 7 MONITOREO DE LAS CONEXIONES CON VPN

Al estar habilitado un Tnel de VPN debe de garantizarnos que todo
trfico que se transmita entre la Sucursal y Central debe estar
encriptado. Y si hubiera una captura deber de visualizar los datos en
formato encriptado.

LIMPIEZA
32. Cierre toda conexin de PUTTY TELNET con el SERVIDOR.

INICIANDO CAPTURA
33. (E1) Procesos:
Cierre toda ventana de WIRESHARK.
1
Vuelva abrir el sniffer WIRESHARK.
Seleccionando las opciones para CAPTURA:

Interface a monitorear
* Seleccione la interface (VMware Accelerated
AMD PCNet)

Modo que 2
captura todo
trafico que pasa
por la interface
de Red. Con
destino a
cualquiera

<START>
CONEXION Llego la
34. (C1) Procesos: comida,
capturando
Conectese con el CLIENTE (PUTTY) al
Servicio TELNET:
Clave: tecsup

DETENIENDO CAPTURA
35. (E1) Procesos:
Deteniendo la captura
*Clic

Observara que el
Sniffer ha ido
capturando los
paquetes

Nota: Si no obtiene paquetes ESP, parecido a lo visualizado,

cierre el PUTTY y el SNIFFER y vuelva a realizar la captura.

17
 Tecsup

ANALIZANDO CAPTURA AH, ESP

36. (E1) Procesos:

TIPO DE PAQUETES
Visualize que no aparece paquetes con protocolo TELNET. Toda informacion
esta siendo transmitida en forma encriptada dentro del paquete ESP:

COMPOSICION
De la informacion armamos una estructura de un paquete, segn el modelo
de TCP/IP obtendriamos: El paquete de IPSEC llega hasta el
nivel de RED (INTERNET) no hay los
otros protocolos

IP ORIGEN IP DESTINO AH ESP PROTO PUERTO PUERTO APLICACION

ORIGEN DESTINO
COMPOSICIO
200.0.0.2 200.0.0.1 AH ESP
N

CAPAS INTERNET TRANSPORTE APLICACIO

N
En comparacion con una aplicacin sin VPN que diferencia
observa en la composicion?

DATOS ENCRIPTADO
Visualizando la informacion de los protocolos del IPSEC (AH) y (ESP). Como
se observa la data esta codificada:

Informacin
Informacin esta
esta
viajando
viajando encriptado
encriptado

18
 Tecsup

CAPTURA ISAKMP
Los paquetes de ISAKMP cumple la funcin autentificar a los nodos y
de negociar el protocolo a usar (IPSEC) con los algoritmos a usar en
el Tnel. Esto paquetes se transmite al iniciar la negociacin del
Tnel. Entonces esto requiere que realicemos la captura desde el
inicio de la negociacin.

37. Procesos:

CERRAR CONEXIONES
(C1) Cierre toda conexin de TELNET de la SUCURSAL con la CENTRAL.
INICIAR CAPTURA
(E1) Cierre el Wireshark y vuelva a abrirlo e inciando la captura.
ROUTER
(RC,RS) Guarde la configuraciones y reinicie :
# write
# reload

(RC,RS) Espere que los ROUTER terminen de cargar hasta que tenga ingreso
a la consola.

PRUEBA DE CONEXION
(C1) Conectese con el CLIENTE (PUTTY) al Servicio TELNET (CENTRAL):
TELNET Si
Si no
no se
se conecta
conecta aa
la
la primera
primera vez,
vez,
vuelva
vuelva aa intentar
intentar
una
una vez
vez mas.
mas.

Clave: tecsup

Ejecutando
un comando

DETENGA LA CAPTURA
(E1) Detenga la captura del WireShark (Sniffer):

Observara
que el
Sniffer ha
ido
capturando
los
paquetes

Nota: Si no obtiene paquetes ISAKMP, parecido a lo visualizado,

vuelva a realizar los procesos anteriores.

19
 Tecsup

ANALIZANDO CAPTURA ISAKMP

38. (E1) Procesos:

COMPOSICION
Ubique un paquete ISAKMP
Ubiquese
Ubiquese en
en el
el
Primer
Primer paquete
paquete 1
ISAKMP
ISAKMP que
que
tenga
tenga como
como
origen
origen
200.0.0.2
200.0.0.2

De la informacion complete la composicion del paquete:

IP ORIGEN IP DESTINO PROTO PUERTO PUERTO APLICACION

ORIGEN DESTINO
COMPOSICIO
N

CAPAS INTERNET TRANSPORTE APLICACIO

N

NEGOCIACION
Visualizando la informacion de los algoritmos y el tipo de autentificacion a
usar en el canal del ISAKMP:

Visualizando
Visualizando la
la
informacin
informacin de
de los
los
algoritmos
algoritmos de
de
encriptacin,
encriptacin, hash
hash yy
el
el tipo
tipo de
de
autentificacin
autentificacin de
de
llave
llave compartida
compartida
(PSK)
(PSK)

Ingrese
Ingrese aa los
los
niveles
niveles hasta
hasta
encontrar
encontrar este
este nivel
nivel
ee ingresar
ingresar

Ok. Hemos
comprobando el
proceso de la
comunicacin de
una VPN IPSEC
20
Tecsup

TECSUP
GD

21