ESCOLA SUPERIOR DE TECNOLOGIAS E GESTÃO

Ano Letivo 2023/2024

Curso Técnico Superior Profissional em: Redes e Sistemas Informáticos

Unidade Curricular: Segurança em Redes

2º Ano/ 1º Semestre

Ficha de Trabalho nº 10

Docente: Prof. Esp. Filipe André Martins de Freitas

Configurar uma VPN de Site a Site

Topologia

1
 Segurança Ficha 10 (2023/2024)

Tabela de endereçamento

Dispositiv Máscara de
o Interface Endereço IP Sub-Rede Gateway padrão Porta do Switch

R1 G0/0/1 192.168.1.1 255.255.255.0 N/D S1 F0/5

R1
G0/0/0 10.1.1.1 255.255.255.252 N/D N/D
R2 G0/0/0 10.1.1.2 255.255.255.252 N/D N/D

R2
G0/0/1 10.2.2.2 255.255.255.252 N/D N/D
R3 G0/0/1 192.168.3.1 255.255.255.0 N/D S3 F0/5

R3
G0/0/0 10.2.2.1 255.255.255.252 N/D N/D
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0/6
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0/18
Blank Line, No additional information

Objetivos

Parte 1: Implementar as Configurações Básicas do Dispositivo

 Configurar nomes de host, endereços IP da interface e senhas de acesso.
 Configuraro protocolo de roteamento dinâmico OSPF.
Parte 2: Configurar uma VPN de Site a Site usando o Cisco IOS
 Configurar ajustes IPsec VPN no R1 e no R3.
 Verifique a configuração do IPSec VPN de site a site.
 Teste a operação IPSec VPN.

Histórico/Cenário

As VPNs podem fornecer um método seguro de transmissão de dados através de uma rede pública,
como a Internet. As conexões VPN podem ajudar a reduzir os custos associados às linhas alugadas. As
VPNs de site a site normalmente fornecem um túnel seguro (IPsec ou outro) entre uma filial e um
escritório central. Outra implementação comum da tecnologia VPN é o acesso remoto a um escritório
corporativo a partir de um local de teletrabalho, como um pequeno escritório ou escritório doméstico.
Neste laboratório, você construirá e configurará uma rede do multi-roteador, usará o Cisco IOS para
configurar um IPSec VPN do site a site, e então testará a VPN. O túnel IPsec VPN é de R1 a R3 através
do R2. OR2 atua como um pass-through e não tem conhecimento da VPN. O IPsec fornece transmissão
segura de informações confidenciais através de redes desprotegidas, como a Internet. O IPsec atua na
camada de rede e protegendo e autenticando pacotes IP entre os dispositivos IPsec participantes
(pares), tais como o Roteadores Cisco.
Nota: Os roteadores usados com laboratórios práticos são Cisco 4221 com uma versão 16.9.6 do Cisco
IOS XE (imagem universersalk9). Os switches usados nos laboratórios são Cisco Catalyst 2960+ com a
versão Cisco IOS 15.2 (7) (imagem lanbasek9). Outros roteadores, switches e versões do Cisco IOS
podem ser usados. De acordo com o modelo e a versão do Cisco IOS, os comandos disponíveis e a
saída produzida poderão variar em relação ao que é mostrado nos laboratórios. Consulte a Tabela de
resumo de interfaces dos roteadores no final do laboratório para saber quais são os identificadores de
interface corretos.

2
 Segurança Ficha 10 (2023/2024)

Nota: Antes de começar, verifique se os roteadores e os comutadores foram apagados e não têm
configurações de inicialização.

Recursos necessários

 3 Roteadores (Cisco 4221 com imagem universal da liberação 16.9.6 de Cisco XE ou

comparável com uma licença do pacote da tecnologia da segurança)
 2 switches (Cisco 2960+ com lançamento do Cisco IOS 15.2 (7) imagem lanbasek9 ou
comparável)
 2 PCs (sistema operacional Windows com um programa de emulação de terminal, como
PuTTY ou Tera Term instalado)
 Cabos de console para configurar dispositivos de rede Cisco
 Cabos ethernet conforme mostrado na topologia

Implementar as Configurações Básicas do Dispositivo

Na Parte 1, você configurará a topologia da rede e definirá as configurações básicas, como os endereços
IP da interface, roteamento dinâmico, acesso ao dispositivo e senhas.
Nota: Todas as tarefas devem ser executadas no R1, no R2, e no R3. O procedimento para o R1 é
mostrado aqui como um exemplo.

Cabeie a rede conforme mostrado na topologia.

Conecte os dispositivos conforme mostrado no diagrama de topologia e conecte o cabo conforme
necessário.

Defina as configurações básicas de cada Roteador.

a. Configure HostNames, conforme mostrado na topologia.
b. Configure os endereços IP da interface, conforme mostrado na Tabela de Endereçamento.

Desative a pesquisa de DNS.

Desative a pesquisa de DNS para evitar que o roteador tente traduzir comandos inseridos
incorretamente.
R1(config)# no ip domain lookup

Configurar o protocolo de roteamento OSPF em R1, R2e R3.

a. Em R1, use os seguintes comandos:
R1(config)# router ospf 101
R1(config-router)# network 192.168.1.0 0.0.0.255 area 0
R1(config-router)# network 10.1.1.0 0.0.0.3 area 0
b. Em R2, use os seguintes comandos:
R2(config)# router ospf 101
R2(config-router)# network 10.1.1.0 0.0.0.3 area 0
R2(config-router)# network 10.2.2.0 0.0.0.3 area 0
c. Em R3, use os seguintes comandos:

3
Segurança Ficha 10 (2023/2024)

R3(config)# router ospf 101

R3(config-router)# network 192.168.3.0 0.0.0.255 area 0
R3(config-router)# network 10.2.2.0 0.0.0.3 area 0

Defina as configurações de IP do host do PC.

a. Configurar um endereço IP estático, uma máscara de sub-rede e um gateway padrão para PC -A,
como mostradona tabela de endereçamento IP .
b. Configurar um endereço IP estático, máscara de sub-rede e gateway padrão para PC -C, como
mostradona tabela de endereçamento IP .

Verifique a conectividade de rede básica.

a. Ping do R1 à relação R3 G0/0/1 no endereço IP 192.168.3.1.
Se os pings não tiverem sucesso, solucione problemas de configurações básicas do dispositivo antes
de continuar.
b. Ping do PC-A na LAN R1 ao PC-C na LAN R3.
Se os pings não tiverem sucesso, solucione problemas de configurações básicas do dispositivo antes
de continuar.
Nota: Se você pode executar o ping do PC-A ao PC-C, você demonstrou que o protocolo de
roteamento OSPF está configurado e funcionando corretamente. Se você não pode executar o
comando ping, mas as interfaces de dispositivo estão acima e os endereços IP estão corretos, use
os comandos show runand show ip route ajudar a identificar problemas relacionados ao protocolo
de roteamento.

Configure e criptografe senhas.

Nota: As senhas nesta tarefa são ajustadas a um mínimo de 10 caracteres mas são relativamente
simples para o benefício de executar o laboratório. Senhas mais complexas são recomendadas em uma
rede de produção.
Configurar as mesmas configurações para R1 e R3.
a. Configure um comprimento mínimo de senha.
Use o comando security passwords para definir um comprimento mínimo de senha de 10
caracteres.

b. Configurar a senha secreta da possibilidade em ambos os roteadores com uma senha de

cisco12345. Use o algoritmo de hash tipo 9 (SCRYPT).

c. Crie uma conta admin01 local usando admin01pass para a senha. Use o algoritmo de hash tipo 9
(SCRYPT).

Configure a linha do console.

Configure o console para usar o banco de dados local para login. Para obter segurança adicional,
configure a linha para sair após cinco minutos de inatividade. Emita o comando logging synchronous para
evitar que as mensagens do console interrompam a entrada do comando.

4
 Segurança Ficha 10 (2023/2024)

Configure o servidor SSH.

a. Configure um nome de domínio netsec.com.

b. Configurar as chaves RSA com 2048 para o número de bits de módulo.

c. Emita o comando forçar o uso da versão 2 do SSH.

d. Configure as linhas vty em R1 e R3 para usar o banco de dados local para login. O acesso remoto ao
Roteadores só deve ser permitido usando SSH. Configure as linhas vty para fazer logout após cinco
minutos de inatividade.

Salve a configuração básica de execução para todos os três roteadores.

Salve a configuração em execução na configuração de inicialização a partir do prompt do modo EXEC
privilegiado em R1, R2 e R3.
R1# copy running-config startup-config

Configurar uma VPN de Site a Site com Cisco IOS

Na parte 2 deste laboratório, você configurará um túnel VPN IPsec entre o R1 e o R3 que passe através
do R2. Você configurará o R1 e o R3 usando o Cisco IOS CLI. Em seguida, você analisará e testará a
configuração resultante.
Nota: Porque nenhum túnel está ainda no lugar, o PC-A deve ainda poder sibilar o PC-C. Caso contrário,
solucione o problema das configurações básicas do dispositivo antes de continuar.

Tarefa 1: Configurar ajustes do IPsec VPN no R1 e no R3.

Permita políticas IKE no R1 e no R3.

IPsec é uma estrutura aberta que permite a troca de protocolos de segurança como novas tecnologias, e
algoritmos de criptografia como eles são desenvolvidos.
Há dois elementos de configuração central na implementação de um IPsec VPN:
 Implementar parâmetros do Internet Key Exchange (IKE)
 Implementar parâmetros IPsec
a. Verifique se o IKE está apoiado e permitido.
A fase 1 de IKE define o método de troca de chaves usado para passar e validar políticas IKE entre
pares. Na fase 2 de IKE, os pares trocam e combinam políticas IPsec para a autenticação e a
criptografia do tráfego de dados.
O IKE deve ser permitido para que o IPsec funcione. IKE é permitido, à revelia, em imagens IOS com
conjuntos de recursos criptográficos. Se estiver desabilitado, você pode habilitá-lo com o comando
crypto isakmp enable. Use este comando verificar que o IOS do roteador apoia o IKE e que está
permitido.
R1(config)# crypto isakmp enable

R3(config)# crypto isakmp enable

5
Segurança Ficha 10 (2023/2024)

Nota: Se você não pode executar este comando no roteador, você deve promover à imagem IOS
que inclui os serviços criptográficos da Cisco.
b. Estabeleça uma política ISAKMP e visualize as opções disponíveis.
Para permitir a negociação IKE Fase 1, você deve criar uma política ISAKMP e configurar uma
associação de par para essa política ISAKMP. Uma política ISAKMP define os algoritmos de
autenticação e criptografia e a função hash usada para enviar tráfego de controle entre os dois
valores-limite VPN. Quando uma associação de segurança ISAKMP foi aceita pelos pares IKE, a
fase 1 de IKE foi concluída. Os parâmetros da fase 2 de IKE serão configurados mais tarde.
Emita o comando crypto isakmp policy number global configuration mode no R1 para a política 10.
R1(config)# crypto isakmp policy 10
c. Veja os vários parâmetros IKE disponíveis usando a ajuda do Cisco IOS digitando um ponto de
interrogação (?).
R1(config-isakmp)# ?
ISAKMP commands:
authentication Set authentication method for protection suite
default Set a command to its defaults
encryption Set encryption algorithm for protection suite
exit Exit from ISAKMP protection suite configuration mode
group Set the Diffie-Hellman group
hash Set hash algorithm for protection suite
lifetime Set lifetime for ISAKMP security association
no Negate a command or set its defaults

Configurar a política ISAKMP da fase 1 IKE no R1 e no R3.

Sua escolha de um algoritmo de criptografia determina como é confidencial o canal de controle entre os
valores-limite. O algoritmo de hash controla a integridade dos dados, garantindo que os dados recebidos
de um par não tenham sido adulterados em trânsito. O tipo de autenticação assegura-se de que o pacote
foi enviado e assinado pelo peer remoto. O grupo Diffie-Hellman é usado para criar uma chave secreta
compartilhada pelos pares que não foi enviada através da rede.
a. Configurar uma política ISAKMP com uma prioridade de 10. Use a chave pré-compartilhada como
o tipo de autenticação, aes 256 para o algoritmo de criptografia, sha como o algoritmo de hash e a
troca de chaves do grupo 24 Diffie-Hellman. Dê à política uma vida útil de 3600 segundos (uma
hora).
Nota: As versões mais antigas do Cisco IOS não apoiam a criptografia AES 256 e o SHA como um
algoritmo da hash. Substitua qualquer algoritmo de criptografia e hash que seu roteador suporta.
Assegure-se de que as mesmas mudanças estejam feitas no R3 a fim estar na sincronização.
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# hash sha
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 24
R1(config-isakmp)# lifetime 3600
R1(config-isakmp)# encryption aes 256
R1(config-isakmp)# end
b. Configurar a mesma política no R3.
R3(config)# crypto isakmp policy 10
R3(config-isakmp)# hash sha

6
Segurança Ficha 10 (2023/2024)

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# group 24
R3(config-isakmp)# lifetime 3600
R3(config-isakmp)# encryption aes 256
R3(config-isakmp)# end
c. Verifique a política IKE com o comando show crypto isakmp policy.
R1# show crypto isakmp policy

Global IKE policy

Protection suite of priority 10
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #24 (2048 bit, 256 bit subgroup)
lifetime: 3600 seconds, no volume limit

Configure pre-shared keys.

Porque as chaves pré-compartilhadas são usadas como o método de autenticação na política IKE, uma
chave deve ser configurada em cada roteador que aponte para o outro valor-limite VPN. Essas chaves
devem corresponder para que a autenticação seja bem-sucedida. O comando global configuration mode
crypto isakmp key key-string address address é usado para inserir uma chave pré-compartilhada. Use
o endereço IP de Um ou Mais Servidores Cisco ICM NT do peer remoto, que é a interface remota que o
par usaria para rotear o tráfego ao roteador local.
Que endereços IP de Um ou Mais Servidores Cisco ICM NT você deve usar para configurar os pares
IKE, dado o diagrama de topologia e a tabela de endereçamento IP?
Digite suas respostas aqui.

a. Cada endereço IP que é usado para configurar os pares IKE é referido igualmente como o endereço
IP de Um ou Mais Servidores Cisco ICM NT do valor-limite VPN remoto. Configurar a chave pré-
compartilhada do cisco123 no roteador R1. As redes de produção devem usar uma chave complexa.
Este comando aponta para o endereço IP remoto do peer R3 G0/0/0 .
R1(config)# crypto isakmp key cisco123 address 10.2.2.1
b. Configure the pre-shared key cisco123 on router R3. O comando para R3 aponta para o endereço IP
R1 S0/0/0.
R3(config)# crypto isakmp key cisco123 address 10.1.1.1

Configurar o IPsec transform o grup e o lifetime.

a. O IPsec transforma o grupo é outro parâmetro de configuração cripto que o Roteadores negociam
para formar uma associação de segurança. Para criar um conjunto de transformação IPsec, use o
comando crypto ipsec transform-set tag onde tag é um nome configurado pelo administrador. Usar
? para ver quais parâmetros estão disponíveis.
R1(config)# crypto ipsec transform-set R1-R3 ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
ah-sha256-hmac AH-HMAC-SHA256 transform
ah-sha384-hmac AH-HMAC-SHA384 transform
ah-sha512-hmac AH-HMAC-SHA512 transform

7
Segurança Ficha 10 (2023/2024)

esp-192-aes ESP transform using AES cipher (192 bits)

esp-256-aes ESP transform using AES cipher (256 bits)
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-aes ESP transform using AES cipher
esp-gcm ESP transform using GCM cipher
esp-gmac ESP transform using GMAC cipher
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
esp-sha256-hmac ESP transform using HMAC-SHA256 auth
esp-sha384-hmac ESP transform using HMAC-SHA384 auth
esp-sha512-hmac ESP transform using HMAC-SHA512 auth

b. Em R1 e R3, crie um conjunto de transformação com etiqueta R1-R3 e use uma transformação ESP
com uma cifra AES 256 com ESP e a função hash SHA. Os conjuntos de transformação devem
combinar em ambas as extremidades da VPN.
R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
R1(cfg-crypto-trans)# exit

R3(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

R3(cfg-crypto-trans)# exit
Qual é a função do conjunto de transformação IPsec?

c. Você pode igualmente mudar a vida da associação de segurança IPsec do padrão de 3600
segundos. No R1 e no R3, defina a vida da associação de segurança IPsec a 30 minutos, ou 1800
segundos.
R1(config)# crypto ipsec security-association lifetime seconds 1800

R3(config)# crypto ipsec security-association lifetime seconds 1800

Defina tráfego interessante.

Para fazer uso da criptografia IPsec com o VPN, é necessário definir listas de acesso estendidas para
dizer ao roteador que tráfego criptografar. Um pacote permitido por uma lista de acessos usada para
definir o tráfego IPsec é criptografado se a sessão de IPsec estiver configurada corretamente. Um pacote
que seja negado pela lista de acesso IPsec não é deixado cair. Ele é enviado sem criptografia. Também,
como qualquer outra lista de acessos, há uma negação implícita na extremidade, o que significa que a
ação padrão é não criptografar o tráfego. Se não há nenhuma associação de segurança IPsec
configurada corretamente, nenhum tráfego é cifrado e o tráfego é encaminhado unencrypted.
Nesta cenário, da perspectiva do R1, o tráfego que você quer criptografar é o tráfego que vai do Ethernet
LAN do R1ao Ethernet LAN do R3 ou vice-versa da perspectiva do R3. Essas listas de acesso são
usadas de saída nas interfaces de endpoint VPN e devem espelhar entre si.
a. Configurar o tráfego interessante do IPsec VPN ACL no R1.
R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0
0.0.0.255
b. Configurar o tráfego interessante do IPsec VPN ACL no R3.

8
Segurança Ficha 10 (2023/2024)

R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0

0.0.0.255

Pergunta:
O IPsec avalia se as listas de acesso são espelhadas como uma exigência para negociar sua
associação de segurança?
Digite suas respostas aqui.

Crie e aplique um mapa de criptografia.

Um mapa de criptografia associa o tráfego que combina uma lista de acessos a um par e várias
configurações IKE e IPsec. Depois que o mapa de criptografia é criado, ele pode ser aplicado a uma ou
várias relações. As relações às quais é aplicado devem ser aquelas que enfrentam o peer IPsec.
Para criar um mapa de criptografia, use o <name> <sequence-num> <type> comando crypto map no
modo de configuração global para incorporar o modo de configuração do mapa de criptografia para esse
número de seqüência. Múltiplas instruções de mapa de criptografia podem pertencer ao mesmo mapa de
criptografia e são avaliadas em ordem numérica ascendente. Incorpore o modo de configuração do mapa
cripto no R1. Use um tipo de ipsec-isakmp, que significa que o IKE é usado para estabelecer associações
de segurança IPsec.
a. Crie o mapa de criptografia no R1, nomeie-o CMAP, e use 10 como o número de seqüência. Uma
mensagem é exibida após o comando ser emitido.
R1(config)# crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
% NOTE: This new crypto map will remain disabled until a peer

b. Use o comando match address <access-list> para especificar qual lista de acesso define qual
tráfego criptografar.
R1(config-crypto-map)# match address 101
c. Para ver a lista de possíveis comandos set que você pode fazer com um mapa de criptografia, use a
função de ajuda.
R1(config-crypto-map)# set ?
identity Identity restriction.
ip Interface Internet Protocol config commands
isakmp-profile Specify isakmp Profile
nat Set NAT translation
peer Allowed Encryption/Decryption peer.
pfs Specify pfs settings
reverse-route Reverse Route Injection.
security-association Security association parameters
transform-set Specify list of transform sets in priority order

d. É necessário definir um IP de peer ou nome de host. Defina-o para a interface de endpoint VPN
remota do R3 usando o seguinte comando.
R1(config-crypto-map)# set peer 10.2.2.1
e. Use o comando set transform-set tag para codificar o conjunto de transformação a ser usado com
este par. Defina o tipo de sigilo de encaminhamento perfeito usando o comando set pfs type e
modifique o tempo de vida da associação de segurança IPsec padrão com o comando set security-
association lifetime seconds seconds .
R1(config-crypto-map)# set pfs group24
9
Segurança Ficha 10 (2023/2024)

R1(config-crypto-map)# set transform-set R1-R3

R1(config-crypto-map)# set security-association lifetime seconds 900
R1(config-crypto-map)# exit
f. Crie um mapa de criptografia correspondente espelhado no R3.
R3(config)# crypto map CMAP 10 ipsec-isakmp
R3(config-crypto-map)# match address 101
R3(config-crypto-map)# set peer 10.1.1.1
R3(config-crypto-map)# set pfs group24
R3(config-crypto-map)# set transform-set R1-R3
R3(config-crypto-map)# set security-association lifetime seconds 900
R3(config-crypto-map)# exit
g. Aplique os mapas de criptografia às relações apropriadas no R1 e no R3.
nota: . O roteador gera uma notificação de que a criptografia está agora ligada. Contudo, as SAs não
são estabelecidas até que o mapa cripto tenha sido ativado pelo tráfego interessante
R1(config)# interface G0/0/0
R1(config-if)# crypto map CMAP
*Jan 28 04:09:09.150: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config)# end

R3(config)# interface G0/0/1

R3(config-if)# crypto map CMAP
*Jan 28 04:10:54.138: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R3(config)# end

Tarefa 2: Verifique a configuração do IPSec VPN de Site a Site.

Verifique a configuração de IPsec no R1 e no R3.

a. Anteriormente, você usou o comando show crypto isakmp policy exibir as políticas ISAKMP
configuradas no roteador. O comando show crypto ipsec transform-set indica as políticas de IPsec
configuradas na forma dos conjuntos de transformação.
R1#show crypto ipsec transform-set
Transform set AES_GCM_256: { esp-gcm 256 }
will negotiate = { Transport, },

Transform set AES_CBC_256_HMAC_SHA1: { esp-256-aes esp-sha-hmac }

will negotiate = { Transport, },

Transform set AES_CBC_128_HMAC_SHA1: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

Transform set default: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

Transform set R1-R3: { esp-256-aes esp-sha-hmac }

will negotiate = { Tunnel, },

10
Segurança Ficha 10 (2023/2024)

R3# show crypto ipsec transform-set

Transform set AES_GCM_256: { esp-gcm 256 }
will negotiate = { Transport, },

Transform set AES_CBC_256_HMAC_SHA1: { esp-256-aes esp-sha-hmac }

will negotiate = { Transport, },

Transform set AES_CBC_128_HMAC_SHA1: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

Transform set default: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

Transform set R1-R3: { esp-256-aes esp-sha-hmac }

will negotiate = { Tunnel, },

a. Use o comando show crypto map indicar os mapas de criptografia que serão aplicados ao roteador.
R1# show crypto map
Crypto Map IPv4 "CMAP" 10 ipsec-isakmp
Peer = 10.2.2.1
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Current peer: 10.2.2.1
Security association lifetime: 4608000 kilobytes/900 seconds
Responder-Only (Y/N): N
PFS (Y/N): Y
DH group: group24
Mixed-mode : Disabled
Transform sets={
R1-R3: {esp-256-aes esp-sha-hmac},
}
Interfaces using crypto map CMAP:
GigabitetherNet0/0

R3# show crypto map

Crypto Map IPv4 "CMAP" 10 ipsec-isakmp
Peer = 10.1.1.1
Extended IP access list 101
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
Current peer: 10.1.1.1
Security association lifetime: 4608000 kilobytes/900 seconds
Responder-Only (Y/N): N
PFS (Y/N): Y
Grupo DH: group24
Mixed-mode : Disabled
Transform sets={
R1-R3: {esp-256-aes esp-sha-hmac},
}
Interfaces using crypto map CMAP:

11
Segurança Ficha 10 (2023/2024)

GigabitetherNet0/0

Nota: A saída destes comandos show não muda se o tráfego interessante atravessa a conexão.
Você testa vários tipos de tráfego na próxima tarefa.

Tarefa 3: Verifique a operação IPsec VPN.

Exibir associações de segurança ISAKMP.

O comando show crypto isakmp sa revela que nenhum SAs IKE existe ainda. Quando o tráfego
interessante é enviado, esta saída de comando mudará.
R1# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status

IPv6 Crypto ISAKMP SA

Exibir associações de segurança IPsec.

O comando show crypto ipsec sa mostra o SA não utilizado entre R1 e R3.
Nota: O número de pacotes enviados através é zero, e há uma falta de todas as associações de
segurança alistadas para a parte inferior da saída. A saída para R1 é mostrada aqui.
R1# show crypto ipsec sa

interface: Gigabitethernet0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 porta 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1

plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb
GigabitEthernet0/0/0
current outbound spi: 0x0(0)
current outbound spi: 0x0(0)

inbound esp sas:

inbound ah sas:

inbound pcp sas:

12
Segurança Ficha 10 (2023/2024)

outbound esp sas:

outbound ah sas

outbound pcp sas:

Pergunta:
Por que nenhum SAs foi negociado?
Digite suas respostas aqui.

Gere algum tráfego de teste desinteressante e observe os resultados.

a. Ping do R1 ao endereço IP 10.2.2.1da interface R3 G0/0/0. Esses pings devem ser bem-sucedidos.
b. Emita o comando show crypto isakmp sa.
c. Ping do R1 ao endereço IP de Um ou Mais Servidores Cisco ICM NT da interface R3
G0/0/1192.168.3.1. Esses pings devem ser bem-sucedidos.
d. Emita o comando show crypto isakmp sa outra vez.

Pergunta:
Foi criada uma SA para esses pings? Explique.
Digite suas respostas aqui.

e. Emita o comando debug ip ospf hello. Você deve ver pacotes de saudação OSPF passando entre
R1 e R3.
R1# debug ip ospf hello
OSPF hello events debugging is on
R1#
*Apr 7 18:04:46.467: OSPF: Send hello to 224.0.0.5 area 0 on GigabitEthernet0/1
from 192.168.1.1
*Apr 7 18:04:50.055: OSPF: Send hello to 224.0.0.5 area 0 on Serial0/0/0 from
10.1.1.1
*Apr 7 18:04:52.463: OSPF: Rcv hello from 10.2.2.2 area 0 from Serial0/0/0 10.1.1.2
*Apr 7 18:04:52.463: OSPF: End of hello processing
*Apr 7 18:04:55.675: OSPF: Send hello to 224.0.0.5 area 0 on GigabitEthernet0/1
from 192.168.1.1
*Apr 7 18:04:59.387: OSPF: Send hello to 224.0.0.5 area 0 on Serial0/0/0 from
10.1.1.1
*Apr 7 18:05:02.431: OSPF: Rcv hello from 10.2.2.2 area 0 from Serial0/0/0 10.1.1.2
*Apr 7 18:05:02.431: OSPF: End of hello processing

f. Desligue a depuração com o comando no debug ip ospf hello ou undebug all .

g. Reemita o comando show crypto isakmp sa .

Pergunta:
Um SA foi criado entre R1 e R3? Explique.

13
Segurança Ficha 10 (2023/2024)

Gere algum tráfego de teste interessante e observe os resultados.

a. Use um ping estendido do R1 ao endereço IP de Um ou Mais Servidores Cisco ICM NT da interface
R3 G0/1192.168.3.1. ping estendido permite que você controle o endereço de origem dos pacotes.
Responda como mostrado no exemplo a seguir. Pressione Enter para aceitar os padrões, exceto
onde uma resposta específica é indicada.
Nota: Você pode igualmente sibilar do PC-A ao PC-C para gerar o tráfego interessante.
R1# ping 192.168.3.1 source 192.168.1.1
Digite seqüência de escape para abortar.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
..!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/2 ms

h. Emita novamente o comando show crypto isakmp sa.

R1# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.2.2.1 10.1.1.1 QM_IDLE 1001 ATIVO

IPv6 Crypto ISAKMP SA

Perguntas:
Por que um SA foi criado entre R1 e R3 desta vez?
Digite suas respostas aqui.

Quais são os valores-limite do túnel VPN IPsec?

Digite suas respostas aqui.

i. Ping do PC-A ao PC-C e emita então o comando show crypto ipsec sa.

Pergunta:
Quantos pacotes foram transformados entre R1 e R3?
Digite suas respostas aqui.

R1# show crypto ipsec sa

interface: Gigabitethernet0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 porta 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 12, #pkts criptografar: 12, #pkts resumo: 12

14
Segurança Ficha 10 (2023/2024)

#pkts decaps: 8, #pkts descriptografar: 8, #pkts verificar: 8

#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1

plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb
GigabitEthernet0/0/0
current outbound spi: 0x95B6C7B5(2511783861)
PFS (Y/N): Y, Grupo DH: group24

inbound esp sas:

spi: 0x1EBD4016 (515719190)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: ESG:1, sibling_flags FFFFFF80004048, crypto map:
CMAP
sa timing: remaining key lifetime (k/sec): (4607999/671)
sa timing: remaining key lifetime (k/sec): (4607999/671)
replay detection support: Y
Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x95B6C7B5 (2511783861)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: ESG:2, sibling_flags FFFFFFFF80004048, crypto map:
CMAP
sa timing: remaining key lifetime (k/sec): (4607999/671)
sa timing: remaining key lifetime (k/sec): (4607999/671)
replay detection support: Y
Status: ACTIVE(ACTIVE)

outbound ah sas

outbound pcp sas:

j. O exemplo anterior usou pings para gerar tráfego interessante.

Pergunta:
Que outros tipos de tráfego resultariam em uma formação de SA e estabelecimento de túneis?
Digite suas respostas aqui.

15
Segurança Ficha 10 (2023/2024)

Reflexão

O tráfego no link Gigabit Ethernet entre PC-A e a relação R1 G0/0 seria cifrado pelo túnel IPsec VPN do
site a local? Explique.
Digite suas respostas aqui.

16