Professional Documents
Culture Documents
Capítulo 7 Lab 7-1, Configure Enrutamiento en Instalaciones A La Oficina Sucursal
Capítulo 7 Lab 7-1, Configure Enrutamiento en Instalaciones A La Oficina Sucursal
Objectives
Configura NAT.
Configura una VPN IPsec.
Configura un tnel GRE sobre IPsec.
Habilita protocolo de enrutamiento dinmico sobre un tnel GRE.
Verifica la configuracin y operacin usando comandos show y debug.
Branch (R1)
hostname Branch
!
interface Loopback1
description Branch LAN
All contents are Copyright 19922010 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 of 15
CCNPv6 ROUTE
foreach address {
209.165.200.241
209.165.202.129
209.165.200.226
} { ping $address}
El ping falla debido a que los routers Branch y HQ requieren una ruta por defecto al router al router ISP.
d. Configure una ruta por defecto al ISP en los routers Branch y HQ.
Branch(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.241
foreach address {
209.165.200.241
209.165.202.129
209.165.200.226
+>} { ping $address}
foreach address {
209.165.200.241
209.165.202.129
209.165.200.226
} { ping $address source 192.168.1.1}
exit
!
ip nat pool BRANCH-NAT-POOL 209.165.200.249 209.165.200.254 prefix-length 29
!
ip nat inside source list BRANCH-NAT-ACL pool BRANCH-NAT-POOL
!
interface Loopback 1
ip nat inside
exit
!
interface Serial0/0/1
ip nat outside
end
b. En el router HQ, la ACL NAT debe identificar las LANS 10.10.10.0 y 10.10.20.0. El pool NAT pool debe
identificar las direcciones 209.165.200.232 /29. La interfaz LAN debe ser identificada como una interfaz
NAT interna, y la interfaz Internet debe ser identificada como una interfaz NAT externa.
El servidor email con direccin IP privada 10.10.20.238 ser asignada estticamente a la ltima direccin
IP pblica del pool NAT, 209.165.200.238. La interfaz loopback 0 en HQ simula este servidor.
Nota: De Nuevo la ACL NAT deniega las direcciones pblicas de LAN HQ de ser traducidas cuando
estn intentando conectar a la LAN de Branch la cual ser requerida cuando la VPN IPsec es
configurada.
HQ Router
interface Loopback 0
description direccion del servidor email de HQ
ip add 10.10.20.238 255.255.255.0
!
ip nat pool HQ-NAT-POOL 209.165.200.233 209.165.200.237 prefix-length 29
ip nat inside source list HQ-NAT-ACL pool HQ-NAT-POOL
ip nat inside source static 10.10.20.238 209.165.200.238
!
ip access-list extended HQ-NAT-ACL
remark No traduce HQ LAN a direcciones Branch LAN
deny ip 10.10.0.0 0.0.255.255 192.168.1.0 0.0.0.255
remark Traduce Local LAN a todos los otros destinos de Internet
permit ip 10.10.0.0 0.0.255.255 any
exit
!
interface Loopback 0
ip nat inside
!
interface Loopback 1
ip nat inside
!
interface Serial0/0/1
ip nat outside
end
c. Verifica configuracin NAT usando los comandos show ip nat statistics y show ip nat translations.
Branch# show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 0, occurred 00:018:28 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
Loopback1
Hits: 0 Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list BRANCH-NAT-ACL pool BRANCH-NAT-POOL refcount 0
pool BRANCH-NAT-POOL: netmask 255.255.255.248
start 209.165.200.249 end 209.165.200.254
type generic, total addresses 6, allocated 0 (0%), misses 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
La salida del comando show ip nat translations confirma que no hay traducciones NAT:
Branch# show ip nat translations
foreach address {
209.165.200.241
209.165.202.129
209.165.200.226
209.165.200.238
} { ping $address source 192.168.1.1}
e. Verifica que NAT est ocurriendo usando los comandos show ip nat statistics y show ip nat
translations.
Branch# show ip nat statistics
Total active translations: 5 (0 static, 5 dynamic; 4 extended)
Peak translations: 5, occurred 00:00:12 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
Loopback1
Hits: 40 Misses: 0
CEF Translated packets: 20, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list BRANCH-NAT-ACL pool BRANCH-NAT-POOL refcount 5
pool BRANCH-NAT-POOL: netmask 255.255.255.248
start 209.165.200.249 end 209.165.200.254
type generic, total addresses 6, allocated 1 (16%), misses 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Branch#
Branch# show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 209.165.200.249:9 192.168.1.1:9 209.165.200.241:9 209.165.200.241:9
icmp 209.165.200.249:10 192.168.1.1:10 209.165.202.129:10 209.165.202.129:10
icmp 209.165.200.249:11 192.168.1.1:11 209.165.200.226:11 209.165.200.226:11
icmp 209.165.200.249:12 192.168.1.1:12 209.165.200.238:12 209.165.200.238:12
--- 209.165.200.249 192.168.1.1 --- ---
Branch#
Como se esperaba, el trfico de LAN Branch yendo a la LAN de HQ no es traducida por NAT.
Trfico originado en la LAN de Branch yendo a la Internet es traducido, mientras el trfico originado en la
LAN de Branch a la LAN de HQ no es traducida. Sin embargo, este trfico debera ser protegido cuando
atraviesa la Internet pblica. Para resolver este problema, una VPN IPsec sera configurada despus.
Paso 3: Implementa una VPN IPsec entre los sitios Branch y HQ.
Una VPN IPsec puede asegurar y proteger todo el trfico IP unicast dentro de ella. IPsec no puede reenviar
trfico multicast o broadcast, lo cual significa que no puede soportar un protocolo de gateway interior como
EIGRP y OSPF.
Para este lab, asume que el equipo de seguridad de la red a provisto una configuracin VPN IPsec bsica
con la cual probar tu diseo de red.
La poltica ISAKMP identifica los parmetros se seguridad especficos para el intercambio de clave
inicial.
Los detalles IPsec definen cmo los paquetes IP son encapsulados.
La informacin de tnel VPN es identificada en una crypto map nombrada, la cual combina las
polticas ISAKMP, detalle de paquete IPsec, las direcciones par, y la crypto ACL.
La crypto ACL identifica el trfico que gatillar el tnel para activarlo. Este componente, a veces,
debe ser ajustado cuando es implementado junto con otros servicios como NAT y GRE.
La crypto map es entonces aplicada a la interfaz tnel.
Branch Router
crypto isakmp policy 1
encryption aes
authentication pre-share
group 2
crypto isakmp key cisco123 address 209.165.200.226
!
crypto ipsec transform-set HQ-VPN esp-3des esp-sha-hmac
!
crypto map HQ-MAP 10 ipsec-isakmp
set peer 209.165.200.226
set transform-set HQ-VPN
match address HQ-VPN-ACL
!
ip access-list extended HQ-VPN-ACL
remark Branch to HQ traffic to trigger VPN
permit ip 192.168.1.0 0.0.0.255 10.10.0.0 0.0.255.255
!
interface Serial0/0/1
crypto map HQ-MAP
end
HQ Router
crypto isakmp policy 1
encryption aes
authentication pre-share
group 2
crypto isakmp key cisco123 address 209.165.200.242
!
crypto ipsec transform-set Branch-VPN esp-3des esp-sha-hmac
!
crypto map Branch-MAP 10 ipsec-isakmp
set peer 209.165.200.242
set transform-set Branch-VPN
match address Branch-VPN-ACL
!
ip access-list extended Branch-VPN-ACL
remark HQ to Branch traffic to trigger VPN
permit ip 10.10.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
interface Serial0/0/1
crypto map Branch-MAP
end
Nota que las crypto ACLs son referenciadas a las direcciones IP pblicas y no a las direcciones IP
privadas. Esto es debido a que el crypto map aplica al trfico despus de que NAT realmente haya
tomado lugar. Otra alternativa sera la de eximir el trfico site-to-site del pool de traducciones NAT y tener
el disparador crypto ACLs basado en direcciones privadas en lugar del pool de direcciones pblicas.
a. Usa el comando show crypto session detail en el router Branch para verificar la configuracin
complete de la VPN IPsec.
Branch# show crypto session detail
Interface: Serial0/0/1
Session status: DOWN
Peer: 209.165.200.226 port 500 fvrf: (none) ivrf: (none)
Desc: (none)
Phase1_id: (none)
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 10.10.0.0/255.255.0.0
Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
Branch#
El tnel est cado debido a que el trfico identificado en el IPSEC FLOW an no ha sido procesado.
Esta vez el 80% de los pings fueron exitosos. Esto es tpico debido a que el tnel VPN requiere algunos
segundos para negociar los parmetros de seguridad especificadas en el crypto map.
c. Muestra los detalles del tnel VPN de nuevo.
Branch# show crypto session detail
Crypto session current status
Interface: Serial0/0/1
Uptime: 00:00:10
Session status: UP-ACTIVE
Peer: 209.165.200.226 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 209.165.200.226
Desc: (none)
IKE SA: local 209.165.200.242/500 remote 209.165.200.226/500 Active
Capabilities:(none) connid:1001 lifetime:23:59:49
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 10.10.0.0/255.255.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 4 drop 0 life (KB/Sec) 4430126/3589
Outbound: #pkts enc'ed 4 drop 1 life (KB/Sec) 4430126/3589
Branch#
El tnel VPN se activ como el estado de la sesin UP-ACTIVE lo indica. Tambin nota que la
declaracin permit est referenciando a la direccin privada definida en la crypto ACL y que encripta y
desencripta cuatro paquetes, con slo un paquetes descartado (drop), debido a la negociacin IPsec.
d. Antes de proceder, deshabilita manualmente el tnel VPN IPsec VPN usando los comandos clear crypto
isakmp y clear crypto sa en el router Branch.
HQ Router
interface Tunnel0
ip address 172.16.100.1 255.255.255.252
tunnel source 209.165.200.226
tunnel destination 209.165.200.242
El estado de la interfaz tnel se active en ambos routers.
%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
b. Verifica el estado de la interfaz tnel con el comando show interface tunnel 0.
Branch# show interfaces tunnel 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 172.16.100.2/30
MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 209.165.200.242, destination 209.165.200.226
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tambin nota que el encapsulamiento y protocolo de transporte tnel es GRE/IP.
c. Verifica conectividad a travs del tnel.
Branch# ping 172.16.100.1
Interface: Serial0/0/1
Branch#
La VPN IPsec est cada debido a que el trfico tnel no ha sido identificado con la crypto ACL.
e. Para resolver este problema, reemplaza la crypto ACL para hacer el trfico GRE interesante en los
routers Branch y HQ.
Branch Router
no ip access-list extended HQ-VPN-ACL
ip access-list extended HQ-VPN-ACL
remark HQ to Branch GRE traffic to trigger VPN
permit gre host 209.165.200.242 host 209.165.200.226
HQ Router
no ip access-list extended Branch-VPN-ACL
ip access-list extended Branch-VPN-ACL
remark Branch to HQ GRE traffic to trigger VPN
permit gre host 209.165.200.226 host 209.165.200.242
Interface: Serial0/0/1
Uptime: 00:00:05
Session status: UP-ACTIVE
Peer: 209.165.200.226 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 209.165.200.226
Desc: (none)
IKE SA: local 209.165.200.242/500 remote 209.165.200.226/500 Active
Capabilities:(none) connid:1003 lifetime:23:59:54
IPSEC FLOW: permit 47 host 209.165.200.242 host 209.165.200.226
<output omitted>
HQ Router
router eigrp 1
network 10.10.0.0 0.0.255.255
network 172.16.100.0 0.0.0.3
Un mensaje de adyacencia de vecindad EIGRP debera aparecer de inmediato.
%DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.100.2 (Tunnel0) is up: new
adjacency
<output omitted>
Interface: Serial0/0/1
Uptime: 00:02:36
Session status: UP-ACTIVE
Peer: 209.165.200.226 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 209.165.200.226
Desc: (none)
IKE SA: local 209.165.200.242/500 remote 209.165.200.226/500 Active
Capabilities:(none) connid:1002 lifetime:23:57:23
IPSEC FLOW: permit 47 host 209.165.200.242 host 209.165.200.226
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 18 drop 0 life (KB/Sec) 4436519/3443
Outbound: #pkts enc'ed 21 drop 1 life (KB/Sec) 4436519/3443
Interface: Serial0/0/1
Uptime: 00:03:15
Session status: UP-ACTIVE
Los pings son exitosos, pero nota que los contadores de paquetes han incrementado por ms de 5
paquetes ping. La razn es debido a que EIGRP tambin intercambia paquetes hello y por lo tanto
incrementa los contadores.
n. Traza la ruta que siguen los paquetes desde la LAN de Branch LAN al servidor de email usando la
direccin IP privada.
Branch# trace 10.10.20.238 source 192.168.1.1