Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Cómo Configurar VPN IPSec Site

    Încărcat de

    Roberth Chopitea
    16 vizualizări5 pagini
    ipsec

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    DOCX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    ipsec

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    16 vizualizări5 pagini

    Cómo Configurar VPN IPSec Site

    Încărcat de

    Roberth Chopitea
    ipsec

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 5

    Cmo Configurar VPN IPSec Site-to-Site en Cisco

    Router

    En el artculo de hoy vamos a explicar cmo configurar una VPN (Virtual


    Private Network) Site To Site en Cisco IOS.

    Primeramente, qu es un VPN?
    Una VPN es una conexin virtual entre dos dispositivos que permite el
    envo de informacin de manera segura a travs de un medio inseguro
    como lo es Internet.
    Con una VPN podemos desarrollar toda una infraestructura de red WAN (Wide
    Area Network) de forma ms rpida y econmica en comparacin con la
    contratacin del servicio de lnea de fijas Frame Relay, ATM u otro tipo de
    tecnologas.
    Nuestra configuracin de VPN Site to Site es realizada utilizando el
    protocolo IPSec (Internet Protocol Security).

    IPSec es un protocolo de capa 3 del modelo OSI que permite


    desarrollar VPNs brindando las siguientes ventajas:
    Confidentiality

    Data integrity

    Authentication
    Confidentiality (confidencialidad) significa que la informacin enviada a
    travs del VPN no podr ser leda por un usuario o dispositivo tercero que
    no participe en la comunicacin. En otras palabras, la informacin enviada
    por la VPN no podr se accedida por ninguna entidad no autorizada. La
    confidencialidad se logra en la prctica a travs de la implementacin de
    tcnicas de cifrado de datos. Para los no entendidos en la materia, el cifrado de
    informacin logra convertir un texto original en un formato no entendible (texto
    cifrado) para todo aquel que no conozca: (1) el algoritmo de cifrado y (2) la
    llave secreta. En IPSec podemos implementar cifrado de datos utilizando
    algoritmos simtricos tales como 3DES y AES.
    Data integrity (Integridad de la informacin) significa que la informacin
    enviada entre dos dispositivos en una VPN debe de llegar tal cual fue
    enviada por el dispositivo emisor. En otras palabras, IPSec garantiza que la
    informacin, mientras est en trnsito, no ser modificada nivalterada. La
    integridad de la informacin en la prctica se logra a travs de la
    implementacin de tcnicas de Hashing. Un Hash es una funcin matemtica
    que no tiene inversa, por lo tanto, va partir del resultado no es posible
    matemticamente hablando conseguir la informacin original.
    En IPSec podemos implementar Hashing utilizando algoritmos tales
    como MD5, SHA-1 y SHA-2.
    Authentication (Autenticacin) consiste en establecer mecanismos de
    seguridad para validar la identidad de los dispositivos envueltos en la
    transmisin de informacin a travs de una VPN. En IPSec tenemos la
    opcin utilizar diferentes mecanismos de autenticacin como son: (1) Pre-share
    Key y (2) Digital Signature.
    En la prctica, la implementacin de IPSec como protocolo de VPN no es
    muy user-friendly. Requiere a priori un entendimiento muy detallado por parte
    del ingeniero de la intrngulis tcnica de este protocolo que, de por s, es
    complejo.

    Una VPN IPSec requiere del establecimiento de dos tneles. El primero


    llamado IKE Phase 1 (Internet Key Exchange Fase 1) quees utilizado para que
    los routers se comuniquen directamente entre ellos. Este tnel no es utilizado
    para el envo de paquetes IP de los usuarios, sino ms bien, para el
    intercambio informacin de control. Para que el tnel IKE Phase 1 pueda
    establecerse con xito, ambos routers deben de estar de acuerdo en las
    siguientes variables:
    Hash algorithm

    Encryption algorithm

    Diffie-Hellman DH group

    Authentication method

    Lifetime

    Despus que ambos routers agotan con xito la primera fase del IPSec IKE
    Phase 1 , s y solo s se establece la segunda fase IKE Phase 2 donde
    se establece el tnel por donde viaja la informacin de los usuarios de manera
    encriptada.

    Entonces teniendo como trasfondo la


    informacin anterior, vamos a explicar cmo
    podemos configurar una VPN Site to Site entre
    dos routers Cisco utilizando IPSec.
    Para hacer el proceso de configuracin un poco ms fcil de entender, vamos
    a dividir el proceso de configuracin en dos etapas: (1) ISAKMP 1; (2) ISAKMP
    2 tanto para R1 como para R2. A los tneles IKE tambin se les llama ISAKMP.

    Vamos a comenzar con la configuracin de R1.

    IKE ISAKMP Phase 1


    Paso 1: configuracin de ISAKMP Policy.
    R1(config)#crypto isakmp policy 1
    R1(config-isakmp)#encr 3des
    R1(config-isakmp)#hash md5
    R1(config-isakmp)#authentication pre-share
    R1(config-isakmp)#group 2
    R1(config-isakmp)#lifetime 86400

    Paso 2: definir la contrasea a utilizar entre los R1 y R2 como


    pre-share key.

    R1(config)#crypto isakmp key cisco address 1.1.1.2

    Paso 3: configuracin de ACL


    R1(config)# ip Access-list extended VPN-TRAFFIC
    R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255
    20.20.20.0 0.0.0.255

    IKE ISAKMP Phase 2


    Paso 4: configurando IPSec Transform
    R1(config)# crypto ipsec transform-set TS esp-3des esp-md5hmac

    Paso 5: configuracin de CRYPTO MAP


    R1(config)# crypto map CMAP 10 ipsec-isakmp
    R1(config-crypto-map)#set peer 1.1.1.2
    R1(config-crypto-map)#set transform-set TS
    R1(config-crypto-map)#match address VPN-TRAFFIC

    Paso 6: aplicando Crypto MAP a una interface pblica


    R1(config)# interface Fastethernet 0/1
    R1(config-if)#crypto map CMAP
    El mismo procedimiento de configuracin que aplicamos a R1 lo hacemos
    en R2 con ciertas modificaciones en cuanto a las direcciones IP.
    Vamos a comenzar con la configuracin de R2.

    IKE ISAKMP Phase 1


    Paso 1: configuracin de ISAKMP Policy.
    R2(config)#crypto isakmp policy 1
    R2(config-isakmp)#encr 3des
    R2(config-isakmp)#hash md5
    R2(config-isakmp)#authentication pre-share
    R2(config-isakmp)#group 2
    R2(config-isakmp)#lifetime 86400

    Paso 2: definir la contrasea a utilizer entre los R1 y R2 como


    pre-share key.
    R2(config)#crypto isakmp key cisco address 1.1.1.1

    Paso 3: configuracin de ACL


    R2(config)# ip Access-list extended VPN-TRAFFIC

    R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255


    10.10.10.0 0.0.0.255

    IKE ISAKMP Phase 2


    Paso 4: configurando IPSec Transform

    R2(config)# crypto ipsec transform-set TS esp-3des esp-md5hmac

    Paso 5: configuracin de CRYPTO MAP


    R2(config)# crypto map CMAP 10 ipsec-isakmp
    R2(config-crypto-map)#set peer 1.1.1.1
    R2(config-crypto-map)#set transform-set TS
    R2(config-crypto-map)#match address VPN-TRAFFIC

    Paso 6: aplicando Crypto MAP a una interface pblica


    R2(config)# interface Fastethernet 0/1
    R2(config-if)#crypto map CMAP
    Al aplicar esta configuracin en R1 y R2 una VPN IPSec debe de funcionar
    perfectamente. Para comprobar que los paquetes IP provenientes de ambas
    redes LAN se envan a travs del VPN debemos de ejecutar los siguientes
    comandos.
    R1#ping 20.20.20.1 source FastEthernet 0/0
    R1#show crypto session
    Ahora en R2:
    R2#ping 10.10.10.1 source FastEthernet 0/0
    R2#show crypto session

    S-ar putea să vă placă și