Laboratorio práctico 8.3.4.4 Configuración y prueba del cliente VPN Dispositivo Nombre de Host FastEthernet 0/0 o dirección IP de NIC Dirección IP de FastEthernet 0/1 Gateway predeterminado Contraseña secreta de enable Router 1 VPN 10.10.10.1 /29 192.168.2.99 /24 class cisco Switch 1 S1 Host 1 PC1 10.10.10.2 /29 10.10.10.1 Host 2 PC2 192.168.2.6 /24 192.168.2.99 Contraseña de enable, de VTY y de consola Este documento es información pública de Cisco. Página 1 de 8
Objetivos Configurar parámetros básicos del router usando IOS. Configurar un cliente VPN para el acceso remoto. Configurar la red interna. Verificar el establecimiento del túnel VPN entre el cliente y el servidor. Verificar el acceso del cliente VPN a los recursos de la red interna. Objetivo del examen de certificación CCNA 640-802 Esta práctica de laboratorio contiene las habilidades relacionadas con el siguiente objetivo del examen de certificación CCNA: Describir la tecnología VPN (incluidos: importancia, beneficios, papel, impacto, componentes). Resultados esperados y criterios de éxito Antes de comenzar con esta práctica de laboratorio, lea las tareas que debe realizar. Cuál cree que será el resultado después de realizar estas tareas? Cuál es la importancia de la capacidad de implementar una tecnología VPN en el diseño y prototipo de redes? Información básica / Preparación En esta práctica de laboratorio, se configura un cliente VPN para simular acceso remoto a los recursos de la LAN internos de la red del estadio a través de un servidor VPN. Antes de comenzar esta práctica de laboratorio, se debe completar la 8.3.4.3 para configurar el servidor VPN 1841 usando la interfaz de usuario gráfica SDM y el asistente del servidor EasyVPN. Se prueba el acceso del cliente VPN remoto de acuerdo con el plan de prueba previamente descrito en la práctica de laboratorio 8.3.2. NOTA: Incluso si el equipo no está disponible para llevar a cabo esta práctica de laboratorio, los estudiantes deben leerla detenidamente para comprender mejor cómo funcionan las VPN. Se necesitan los siguientes recursos: Router 1841 Cisco con 2 interfaces routeadas Fast Ethernet y lo siguiente: Imagen del IOS Advanced IP Services IOS 12.4 Módulo de red privada virtual (VPN) SDM versión 2.4 instalado Módulo de complemento con switch de 4 puertos (se puede sustituir un hub o switch externo) Equipo con Windows XP para usar con la configuración de EasyVPN del SDM y para funcionar como cliente VPN con lo siguiente: Internet Explorer 5.5 o superior Este documento es información pública de Cisco. Página 2 de 8
SUN Java Runtime Environment (JRE) versión 1.4.2_05 o posterior (o Java Virtual Machine (JVM) 5.0.0.3810) Cliente de Cisco VPN instalado Equipo con Windows XP u otro para que funcione como host interno (el uso de Discovery CD Server es opcional pero la dirección para la red interna debe coincidir con la dirección 172.16.1.1/16 del servidor) Cable de consola con adaptador de DB-9 a RJ-45 Acceso al indicador y configuración de TCP/IP de la red de la PC Cableado como se muestra en la topología y se describe en el plan de prueba de la práctica de laboratorio 8.3.2 Tarea 1: Construir la red y configurar los dispositivos para el acceso SDM Paso 1: Conectar las PC y los dispositivos tal como aparece en el diagrama de topología a. b. c. a. b. c. La interfaz del router VPN interna Fa0/1 se puede conectar al switch Ethernet 1841 integrado, si hay uno instalado, o se puede conectar a un hub o switch autónomo. No es necesario configurar el switch. Si se usa un switch autónomo externo, borre el archivo de configuración inicial y elimine el archivo vlan.dat. Ejecute el comando reload o apague y encienda el switch para borrar todas las configuraciones anteriores. Conecte el host PC2 al mismo switch (hub/switch 1841 integrado o autónomo) que la interfaz Fa0/1 del router. Configure la dirección IP como se muestra en la tabla del diagrama de topología. Paso 2: Configurar el router como servidor VPN El host PC1 se conecta al puerto de la consola del router para la configuración básica del IOS y se conecta a través del puerto Fa0/0 del router para la configuración de EasyVPN del SDM. Consulte la práctica de laboratorio 8.3.4.3 para ver la configuración de la PC para que acceda al GUI del SDM del router. Después de configurar el router como servidor VPN, el host PC1 funciona como cliente VPN. Consulte la práctica de laboratorio 8.3.4.3 para obtener instrucciones sobre la configuración del router 1841 como servidor VPN usando comandos IOS y SDM. Asegúrese de borrar el archivo de configuración inicial y ejecutar el comando reload para borrar todas las configuraciones anteriores. Asigne una dirección IP LAN interna a la interfaz Fa0/1 del servidor VPN para que funcione como gateway de hosts internos. VPN(config)#interface FastEthernet0/1 VPN(config-if)#ip address 192.168.2.99 255.255.255.0 VPN(config-if)#no shutdown Tarea 2: Configurar el cliente VPN Paso 1: Instalar el cliente VPN Cisco Si no se encuentra instalado, instale el software Cisco VPN Client en el host PC1. Si no cuenta con el software Cisco VPN Client o no está seguro del proceso, comuníquese con su instructor. Este documento es información pública de Cisco. Página 3 de 8
Paso 2: Configurar la PC como cliente VPN para acceder al servidor VPN a. Inicie Cisco VPN Client y seleccione Connection Entries > New (Entradas de conexión > Nueva). b. Introduzca la siguiente información para definir la nueva entrada de conexión. Haga clic en Save (Guardar) cuando haya finalizado. Connection Entry (Entrada de conexión): VPN Descripción: Connection to Stadium network (Conexión a la red del estadio) Host: 10.10.10.1 Group Authentication Name (Nombre de autenticación de grupo): VPN (configurado en la práctica de laboratorio 8.3.4.3) Contraseña: cisco (configurada en la práctica de laboratorio 8.3.4.3) Confirm Password (Confirmar contraseña): cisco NOTA: El nombre y la contraseña distinguen entre mayúsculas y minúsculas y deben coincidir con los creados en el servidor VPN. Este documento es información pública de Cisco. Página 4 de 8
c. Seleccione la conexión recientemente creada y haga clic en Connect (Conectar). d. Introduzca el nombre de usuario admin creado anteriormente en el router VPN e introduzca la contraseña cisco123. Haga clic en OK (Aceptar) para continuar. Se minimiza la ventana VPN Client en un icono en la bandeja de herramientas de la barra de tareas. Este documento es información pública de Cisco. Página 5 de 8
Tarea 3: Verificar el túnel VPN entre el cliente, el servidor y la red interna Realice la prueba como se describe en la práctica de laboratorio 8.3.2 Prueba 2 del plan de prueba de conectividad de la VPN y como se describe aquí. Paso 1: Controlar las estadísticas del túnel Abra el icono VPN Client y haga clic en el menú Status (Estado) y luego en la opción Statistics (Estadísticas) para visualizar la ficha Tunnel Details (Detalles del túnel). Cuál es la dirección IP del cliente que se obtiene del servidor VPN? Cuál es la dirección del servidor VPN? Cuántos paquetes se han encriptado? Qué tipo de método de encriptación se usa? Qué autenticación se usa? Paso 2: Abrir una ventana de indicador de comando y verificar la conexión VPN Haga clic en Start > Run (Inicio > Ejecutar), escriba cmd y presione Enter. Use el comando ipconfig /all para ver las conexiones de red que están actualmente en uso. C:\>ipconfig /all Windows IP Configuration Host Name............ : PC1 Primary Dns Suffix....... : Node Type............ : Hybrid IP Routing Enabled........ : No WINS Proxy Enabled........ : No Ethernet adapter Local Area Connection 1: Este documento es información pública de Cisco. Página 6 de 8
Connection-specific DNS Suffix. : Description........... : Intel(R) PRO/100 VE Network Connection Physical Address......... : 00-07-E9-63-CE-53 Dhcp Enabled........... : No IP Address............ : 10.10.10.2 Subnet Mask........... : 255.255.255.248 Default Gateway......... : 10.10.10.1 Ethernet adapter Local Area Connection 2: Connection-specific DNS Suffix. : Description........... : Cisco Systems VPN Adapter Physical Address......... : 00-05-9A-3C-78-00 Dhcp Enabled........... : No IP Address............ : 192.168.2.3 Subnet Mask........... : 255.255.255.0 Default Gateway......... : 192.168.2.4 Cuál es la configuración de IP para la primera conexión de área local? Dirección IP: Máscara de subred: Gateway predeterminado: Descripción: Cuál es la configuración de IP para la segunda conexión de área local? Dirección IP: Máscara de subred: Gateway predeterminado: Descripción: Paso 3: Probar la conectividad entre el cliente VPN remoto y la red interna del estadio Haga ping desde el host PC1 externo (remoto) al host PC2 (dirección IP 192.168.2.6) en la red interna del estadio para simular acceso a recursos internos. Los pings son exitosos? Si no lo son, realice la resolución de problemas hasta que lo sean. C:\>ping 192.168.2.6 Pinging 192.168.2.6 with 32 bytes of data: Reply from 192.168.2.6: bytes=32 time=1ms TTL=64 Reply from 192.168.2.6: bytes=32 time<1ms TTL=64 Reply from 192.168.2.6: bytes=32 time<1ms TTL=64 Reply from 192.168.2.6: bytes=32 time<1ms TTL=64 Ping statistics for 192.168.2.6: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 1ms, Average = 0ms Este documento es información pública de Cisco. Página 7 de 8
Tarea 4: Reflexión Por qué la VPN es una buena opción para usuarios remotos? Qué sucede si el cliente VPN que establece el túnel de protocolo o encriptación no coincide con el servidor VPN? Este documento es información pública de Cisco. Página 8 de 8