Certificación Internacional

Nuestros Cursos de Certificación


Certificación CCNA


Cisco Certified Network Associate (CCNA) Routing and Switching es un programa de certificación para ingenieros de redes principiantes que ayuda a maximizar su inversión en conocimiento de redes críticas y aumentar el valor de la red de su empleador.

CCNA Security


Con una certificación CCNA Security, un profesional de la red demuestra las habilidades requeridas para desarrollar una infraestructura de seguridad, reconocer amenazas y vulnerabilidades a las redes, y
mitigar las amenazas de seguridad.

CCNA Datacenter

La certificación CCNA Data Center es un programa de entrenamiento y certificación centrado en el rol del trabajo que le permite maximizar su
invertir en su educación e incrementar el valor de la red de su centro de datos.

CCNA Video

Esta certificación es un programa de entrenamiento centrado en el puesto de trabajo para vídeo y
productos de colaboración. Aprenderá a implementar puntos finales de vídeo, configurar nuevos usuarios y operar soluciones de vídeo en red.

CCNA Wireless

Esta certificación valida las habilidades del candidato en la configuración, implementación y soporte de LAN inalámbricas, específicamente aquellas redes que usan equipos de Cisco.

CCNA Provider Operations

Está diseñado para Introducir al personal de nivel inicial en el entorno de operaciones de la red del proveedor de servicios, mediante procesos, herramientas de orientación y métodos de gestión que permite a los estudiantes practicar los roles de trabajo principales.

2500

Clientes Satisfechos

550

Proyectos finalizados

90%

Crecimiento del negocio

1350

Coffee break

Nuestros cursos online

Infórmate acerca de nuestros Cursos


Curso CCNA

Cisco System Inc.®, líder mundial en conectividad de redes, brinda soluciones de gran efectividad.

Feedback de nuestros clientes

Lo que nuestros clientes dicen


Las últimas entradas de nuestro blog

Noticias y Actualizaciones


CONFIGURACION DE VPN IPSEC

Para ayudar a que este ejercicio sea fácil de seguir, lo hemos dividido en dos pasos necesarios para que funcione el túnel VPN IPSec de sitio a sitio. Estos pasos son: (1) Configure ISAKMP (ISAKMP Fase 1) (2) Configure IPSec (ISAKMP Fase 2, ACL, Crypto MAP) Nuestra configuración de ejemplo es entre dos ramas de una empresa pequeña, estos son el Sitio 1 y el Sitio 2. Ambos enrutadores de sucursales se conectan a Internet y tienen una Dirección IP estática asignada por su ISP como se muestra en el diagrama:

cisco-routers-s2s-ipsec-vpn-1

El sitio 1 está configurado con una red interna de 10.10.10.0/24, mientras que el sitio 2 está configurado con la red 20.20.20.0/24. El objetivo es conectar de forma segura ambas redes LAN y permitir una comunicación completa entre ellas, sin restricciones.

CONFIGURAR ISAKMP (IKE) – (ISAKMP FASE 1)

IKE existe solo para establecer SA (Asociación de seguridad) para IPsec. Antes de que pueda hacer esto, IKE debe negociar una relación SA (una SA ISAKMP) con el par. Para comenzar, comenzaremos a trabajar en el enrutador Site 1 (R1). El primer paso es configurar una política ISAKMP Fase 1:

R1(config)#  crypto isakmp policy 1

R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400

3DES: el método de cifrado que se utilizará para la Fase 1.
MD5 – El algoritmo hash
Pre-share: use la clave precompartida como método de autenticación
Grupo 2 – Grupo Diffie-Hellman para ser utilizado
86400 – Duración de la clave de sesión. Expresado en kilobytes (después de la cantidad x de tráfico, cambie la clave) o segundos. El conjunto de valores es el valor predeterminado.
Debemos tener en cuenta que la política ISAKMP Fase 1 se define globalmente. Esto significa que si tenemos cinco sitios remotos diferentes y configuramos cinco políticas diferentes de fase 1 de ISAKMP (una para cada enrutador remoto), cuando nuestro enrutador intente negociar un túnel VPN con cada sitio, enviará las cinco políticas y usará la primera coincidencia es aceptado por ambos extremos.

A continuación, vamos a definir una clave precompartida para la autenticación con nuestro par (enrutador R2) utilizando el siguiente comando:

R1(config)# crypto isakmp key firewallcx address 1.1.1.2

La clave compartida previamente del par está configurada en firewallcx y su dirección IP pública es 1.1.1.2. Cada vez que R1 intenta establecer un túnel VPN con R2 (1.1.1.2), se utilizará esta clave precompartida.

CONFIGURE IPSEC
Para configurar IPSec necesitamos configurar lo siguiente en orden:

– Crear ACL extendida
– Crear una transformada IPSec
– Crear Crypto Map
– Aplicar mapa criptográfico a la interfaz pública

Examinemos cada uno de los pasos anteriores.

CREANDO ACL EXTENDIDO
El siguiente paso es crear una lista de acceso y definir el tráfico que queremos que pase el enrutador a través del túnel VPN. En este ejemplo, sería el tráfico de una red a la otra, 10.10.10.0/24 a 20.20.20.0/24. Las listas de acceso que definen el tráfico VPN a veces se llaman lista de acceso criptográfica o lista de acceso de tráfico interesante.

R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

CREAR LA TRANSFORMACIÓN IPSEC (POLÍTICA ISAKMP FASE 2)

El siguiente paso es crear el conjunto de transformación utilizado para proteger nuestros datos. Hemos nombrado este TS:

R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

El comando anterior define lo siguiente:

– ESP-3DES – Método de encriptación
– MD5 – Algoritmo hash

CREAR CRYPTO MAP
El mapa Crypto es el último paso de nuestra configuración y conecta la configuración definida previamente de ISAKMP e IPSec:

R1(config)# crypto map CMAP 10 ipsec-isakmp

R1(config-crypto-map)# set peer 1.1.1.2
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC

Hemos nombrado nuestro mapa criptográfico CMAP. La etiqueta ipsec-isakmp le dice al enrutador que este mapa criptográfico es un mapa criptográfico IPsec. Aunque solo hay un par declarado en este mapa criptográfico (1.1.1.2), es posible tener múltiples pares dentro de un mapa criptográfico dado.

APLICA CRYPTO MAP A LA INTERFAZ PÚBLICA
El último paso es aplicar el mapa criptográfico a la interfaz saliente del enrutador. Aquí, la interfaz de salida es FastEthernet 0/1.

R1(config)# interface FastEthernet0/1
R1(config- if)# crypto map CMAP

Tenga en cuenta que puede asignar solo un mapa criptográfico a una interfaz.

Tan pronto como apliquemos crypto map en la interfaz, recibimos un mensaje del enrutador que confirma que isakmp está activado: “ISAKMP está activado”.

En este punto, hemos completado la configuración VPN IPSec en el enrutador del Sitio 1.

Ahora nos movemos al enrutador Site 2 para completar la configuración de VPN. La configuración del enrutador 2 es idéntica, con la única diferencia de las direcciones IP y las listas de acceso del mismo nivel:

R2(config)# crypto isakmp policy 1

R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2

R2(config-isakmp)# lifetime 86400

 

R2(config)# crypto isakmp key firewallcx address 1.1.1.1
R2(config)# ip access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

 

R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set transform-set TS

R2(config-crypto-map)# match address VPN-TRAFFIC

 

R2(config)# interface FastEthernet0/1
R2(config- if)# crypto map CMAP

TRADUCCIÓN DE DIRECCIÓN DE RED (NAT) Y TÚNELES VPN IPSEC
La traducción de direcciones de red (NAT) es más probable que esté configurada para proporcionar acceso a Internet a los hosts internos. Al configurar un túnel VPN de sitio a sitio, es imperativo instruir al enrutador para que no realice NAT (denegar NAT) en paquetes destinados a la (s) red (es) VPN remota (s).

Esto se hace fácilmente insertando una declaración de denegación al comienzo de las listas de acceso NAT como se muestra a continuación:

Para el enrutador del Sitio 1:

R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R1(config)# access-list 100 remark -=[Define NAT Service]=-
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 remark
Para el enrutador del Sitio 2:

R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R2(config)# access-list 100 remark -=[Define NAT Service]=-
R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0  0.0.0.255
R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any
R2(config)# access-list 100 remark

LLEVANDO A CABO Y VERIFICANDO EL TÚNEL DE VPN

En este punto, hemos completado nuestra configuración y el Túnel VPN está listo para ser abordado. Para iniciar el túnel VPN, necesitamos forzar un paquete para que atraviese la VPN y esto puede lograrse haciendo ping de un enrutador a otro:

R1# ping 20.20.20.1 source fastethernet0/0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms

El primer ping recibió un tiempo de espera, pero el resto recibió una respuesta, como se esperaba. El tiempo requerido para abrir el túnel VPN a veces es un poco más de 2 segundos, lo que hace que el primer ping expire.

Para verificar el túnel VPN, use el comando show crypto session:

R1# show crypto session

Crypto session current status
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 1.1.1.2 port 500
  IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active
  IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
        Active SAs: 2, origin: crypto map

Certificaciones Cisco

Las Certificaciones Cisco son universalmente reconocidas como un estándard de la industria para diseño y soporte de redes, garantizando altos niveles de conocimientos y credibilidad.

Desde tecnologías básicas de redes hasta áreas más específicas y de tecnología avanzada tales como seguridad, redes inalámbricas y telefonía IP, las Certificaciones Cisco y certificaciones de Especialista Calificado Cisco validan los conocimientos y habilidades, proporcionando pruebas tangibles de logros profesionales e incrementando las oportunidades de satisfacción y ascenso en la vida profesional.


Escríbenos
Facebook
Google+
http://www.ciscoks.com">
Twitter