2018

CONFIGURACION DE VPN IPSEC

Para ayudar a que este ejercicio sea fácil de seguir, lo hemos dividido en dos pasos necesarios para que funcione el túnel VPN IPSec de sitio a sitio. Estos pasos son: (1) Configure ISAKMP (ISAKMP Fase 1) (2) Configure IPSec (ISAKMP Fase 2, ACL, Crypto MAP) Nuestra configuración de ejemplo es entre dos ramas de una empresa pequeña, estos son el Sitio 1 y el Sitio 2. Ambos enrutadores de sucursales se conectan a Internet y tienen una Dirección IP estática asignada por su ISP como se muestra en el diagrama:

cisco-routers-s2s-ipsec-vpn-1

El sitio 1 está configurado con una red interna de 10.10.10.0/24, mientras que el sitio 2 está configurado con la red 20.20.20.0/24. El objetivo es conectar de forma segura ambas redes LAN y permitir una comunicación completa entre ellas, sin restricciones.

CONFIGURAR ISAKMP (IKE) – (ISAKMP FASE 1)

IKE existe solo para establecer SA (Asociación de seguridad) para IPsec. Antes de que pueda hacer esto, IKE debe negociar una relación SA (una SA ISAKMP) con el par. Para comenzar, comenzaremos a trabajar en el enrutador Site 1 (R1). El primer paso es configurar una política ISAKMP Fase 1:

R1(config)#  crypto isakmp policy 1

R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400

3DES: el método de cifrado que se utilizará para la Fase 1.
MD5 – El algoritmo hash
Pre-share: use la clave precompartida como método de autenticación
Grupo 2 – Grupo Diffie-Hellman para ser utilizado
86400 – Duración de la clave de sesión. Expresado en kilobytes (después de la cantidad x de tráfico, cambie la clave) o segundos. El conjunto de valores es el valor predeterminado.
Debemos tener en cuenta que la política ISAKMP Fase 1 se define globalmente. Esto significa que si tenemos cinco sitios remotos diferentes y configuramos cinco políticas diferentes de fase 1 de ISAKMP (una para cada enrutador remoto), cuando nuestro enrutador intente negociar un túnel VPN con cada sitio, enviará las cinco políticas y usará la primera coincidencia es aceptado por ambos extremos.

A continuación, vamos a definir una clave precompartida para la autenticación con nuestro par (enrutador R2) utilizando el siguiente comando:

R1(config)# crypto isakmp key firewallcx address 1.1.1.2

La clave compartida previamente del par está configurada en firewallcx y su dirección IP pública es 1.1.1.2. Cada vez que R1 intenta establecer un túnel VPN con R2 (1.1.1.2), se utilizará esta clave precompartida.

CONFIGURE IPSEC
Para configurar IPSec necesitamos configurar lo siguiente en orden:

– Crear ACL extendida
– Crear una transformada IPSec
– Crear Crypto Map
– Aplicar mapa criptográfico a la interfaz pública

Examinemos cada uno de los pasos anteriores.

CREANDO ACL EXTENDIDO
El siguiente paso es crear una lista de acceso y definir el tráfico que queremos que pase el enrutador a través del túnel VPN. En este ejemplo, sería el tráfico de una red a la otra, 10.10.10.0/24 a 20.20.20.0/24. Las listas de acceso que definen el tráfico VPN a veces se llaman lista de acceso criptográfica o lista de acceso de tráfico interesante.

R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

CREAR LA TRANSFORMACIÓN IPSEC (POLÍTICA ISAKMP FASE 2)

El siguiente paso es crear el conjunto de transformación utilizado para proteger nuestros datos. Hemos nombrado este TS:

R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

El comando anterior define lo siguiente:

– ESP-3DES – Método de encriptación
– MD5 – Algoritmo hash

CREAR CRYPTO MAP
El mapa Crypto es el último paso de nuestra configuración y conecta la configuración definida previamente de ISAKMP e IPSec:

R1(config)# crypto map CMAP 10 ipsec-isakmp

R1(config-crypto-map)# set peer 1.1.1.2
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC

Hemos nombrado nuestro mapa criptográfico CMAP. La etiqueta ipsec-isakmp le dice al enrutador que este mapa criptográfico es un mapa criptográfico IPsec. Aunque solo hay un par declarado en este mapa criptográfico (1.1.1.2), es posible tener múltiples pares dentro de un mapa criptográfico dado.

APLICA CRYPTO MAP A LA INTERFAZ PÚBLICA
El último paso es aplicar el mapa criptográfico a la interfaz saliente del enrutador. Aquí, la interfaz de salida es FastEthernet 0/1.

R1(config)# interface FastEthernet0/1
R1(config- if)# crypto map CMAP

Tenga en cuenta que puede asignar solo un mapa criptográfico a una interfaz.

Tan pronto como apliquemos crypto map en la interfaz, recibimos un mensaje del enrutador que confirma que isakmp está activado: “ISAKMP está activado”.

En este punto, hemos completado la configuración VPN IPSec en el enrutador del Sitio 1.

Ahora nos movemos al enrutador Site 2 para completar la configuración de VPN. La configuración del enrutador 2 es idéntica, con la única diferencia de las direcciones IP y las listas de acceso del mismo nivel:

R2(config)# crypto isakmp policy 1

R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2

R2(config-isakmp)# lifetime 86400

 

R2(config)# crypto isakmp key firewallcx address 1.1.1.1
R2(config)# ip access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

 

R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set transform-set TS

R2(config-crypto-map)# match address VPN-TRAFFIC

 

R2(config)# interface FastEthernet0/1
R2(config- if)# crypto map CMAP

TRADUCCIÓN DE DIRECCIÓN DE RED (NAT) Y TÚNELES VPN IPSEC
La traducción de direcciones de red (NAT) es más probable que esté configurada para proporcionar acceso a Internet a los hosts internos. Al configurar un túnel VPN de sitio a sitio, es imperativo instruir al enrutador para que no realice NAT (denegar NAT) en paquetes destinados a la (s) red (es) VPN remota (s).

Esto se hace fácilmente insertando una declaración de denegación al comienzo de las listas de acceso NAT como se muestra a continuación:

Para el enrutador del Sitio 1:

R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R1(config)# access-list 100 remark -=[Define NAT Service]=-
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 remark
Para el enrutador del Sitio 2:

R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R2(config)# access-list 100 remark -=[Define NAT Service]=-
R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0  0.0.0.255
R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any
R2(config)# access-list 100 remark

LLEVANDO A CABO Y VERIFICANDO EL TÚNEL DE VPN

En este punto, hemos completado nuestra configuración y el Túnel VPN está listo para ser abordado. Para iniciar el túnel VPN, necesitamos forzar un paquete para que atraviese la VPN y esto puede lograrse haciendo ping de un enrutador a otro:

R1# ping 20.20.20.1 source fastethernet0/0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms

El primer ping recibió un tiempo de espera, pero el resto recibió una respuesta, como se esperaba. El tiempo requerido para abrir el túnel VPN a veces es un poco más de 2 segundos, lo que hace que el primer ping expire.

Para verificar el túnel VPN, use el comando show crypto session:

R1# show crypto session

Crypto session current status
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 1.1.1.2 port 500
  IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active
  IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
        Active SAs: 2, origin: crypto map
Please follow and like us:

Certificaciones Cisco

Las Certificaciones Cisco son universalmente reconocidas como un estándard de la industria para diseño y soporte de redes, garantizando altos niveles de conocimientos y credibilidad.

Desde tecnologías básicas de redes hasta áreas más específicas y de tecnología avanzada tales como seguridad, redes inalámbricas y telefonía IP, las Certificaciones Cisco y certificaciones de Especialista Calificado Cisco validan los conocimientos y habilidades, proporcionando pruebas tangibles de logros profesionales e incrementando las oportunidades de satisfacción y ascenso en la vida profesional.

Please follow and like us:

¿Por qué estudiar en Ciscoks?

 

Instructores certificados y reconocidos internacionalmente. Entrega de software de simulación en formato digital según el curso. Entrega de material de consulta digital y vídeo de los cursos. Plataforma Moodle para el desarrollo de tareas y actividades de clase. Entrega de preguntas tipo para la certificación internacional en el curso que elija.

Please follow and like us:

Escríbenos
Facebook
Google+
http://www.ciscoks.com/2018">
Twitter