Embed Size (px)
Citation preview
Pasos Configuración de VPN sitio a sitio
1. Crear las políticas IKEIKE es un protocolo que define el método de intercambio de claves sobre IP en una primera fase de negociación segura.La política IKE controla la autenticación, el algoritmo de encriptación y el método de intercambio de claves usado por la IKE
Habilitar IKE
SITIO_A (config) #crypto isakmp enable
Crear una política ISAKMP (Internet Security Association and Key Management Protocol).Se encarga de establecer el túnel entre las LAN remotas.ISAKMP es un protocolo criptográfico que constituye la base del protocolo de intercambio de claves IKE. Ésta política define la autenticación, los algoritmos de encriptación y la función hash utilizada para enviar tráfico de control entre los dos nodos de la VPN.
Configurar: Autenticación de claves pre-compartidas. Encriptación AES 256 (es decir una clave de 256 bits) SHA como algoritmo hash Diffie-Hellman grupo 5 (1536 bits). Tiempo de vida de 3600 segundos( Es el tiempo máximo en el que una
política de seguridad se utiliza sin necesidad de negociarla de nuevo)
SITIO_A (config) #crypto isakmp policy 10
SITIO_A (config-isakmp) #authentication pre-shareSITIO_A (config-isakmp) #encryption aes 256SITIO_A (config-isakmp) #hash shaSITIO_A (config-isakmp) #group 5 SITIO_A (config-isakmp) #lifetime 3600
SITIO_B (config) #crypto isakmp policy 10SITIO_B (config-isakmp) #authentication pre-shareSITIO_B (config-isakmp) #encryption aes 256SITIO_B (config-isakmp) #hash shaSITIO_B (config-isakmp) #group 5SITIO_B (config-isakmp) #lifetime 3600
2. Configurar claves pre compartidasConfigurar una clave en cada router que se corresponda con el otro nodo de la VPN. Las contraseñas deben coincidir para que la autenticación sea correctaLa clave es sssa y colocar las direcciones IP de la interfaz de red del router del extremo opuesto
SITIO_A (config) #crypto isakmp key sssa address 200.2.2.1SITIO_B (config) #crypto isakmp key sssa address 200.1.1.2
3. Configurar IPsec transform set IPsec transform set es un parámetro de configuración cifrada que negocian los routers para formar asociaciones de seguridad.
SITIO_A (config) #crypto ipsec transform-set MYT esp-aes 256 esp-sha-hmacSITIO_B (config) #crypto ipsec transform-set MYT esp-aes 256 esp-sha-hmac
Especificar el tiempo de seguridad asociado. Cambiar el límite de tiempo
SITIO_A (config)#crypto ipsec security-association lifetime seconds 1800SITIO_B (config)#crypto ipsec security-association lifetime seconds 1800
4. Definir una ACL para seleccionar el tráfico que se irá por la VPN
Eencriptar el tráfico procedente de la dirección de loopback de SITIO_A hasta la dirección de loopback de SITIO_B y la dirección de loopback de SITIO_B hasta la dirección de loopback de SITIO_A
SITIO_A (config) #access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.3.0 0.0.0.255SITIO_B(config) #access-list 101 permit ip 172.16.3.0 0.0.0.255 10.0.0.0 0.0.0.255
5. Crear y aplicar los mapas de encriptación
Crypto map es una asignación que asocia el tráfico que coincide con una lista de acceso (como la definida anteriormente) a un par de nodos y a diversas políticas IKE y opciones de Ipsec.
SITIO_A(config)#crypto map MAPA1 10 ipsec-isakmpSITIO_B(config)#crypto map MAPA1 10 ipsec-isakmp
Utilizar el comando match address junto al número de la lista de acceso creada para especificar qué lista de acceso definirá el tráfico a encriptar.
SITIO_A (config-crypto-map) #match address 101
Los comandos “set peer”, aplicar a la interfaz del nodo del otro extremo de la VPN. Además seleccionar el transform set MYT que se configuro.Seleccionar el comando “set pfs claves” esta clave está directamente relacionado con el tipo de módulo Diffie-Hellman seleccionado, podemos modificar el tiempo de vida de la Asociación de Seguridad.
SITIO_A (config-crypto-map) #set peer 200.2.2.1SITIO_A (config-crypto-map) #set pfs group5SITIO_A (config-crypto-map) #set transform-set MYTSITIO_A (config-crypto-map) #set security-association lifetime seconds 900SITIO_A (config)#crypto map MAPA1 10 ipsec-isakmp
SITIO_B (config-crypto-map) #match address 101SITIO_B (config-crypto-map) #set peer 200.1.1.1SITIO_B (config-crypto-map) #set pfs group5SITIO_B (config-crypto-map) #set transform-set MYTSITIO_B (config-crypto-map) #set security-association lifetime seconds 900SITIO_B (config) #crypto map MAPA1 10 ipsec-isakmp
6. Aplicar los mapas a las interfaces
SITIO_A (config) #interface se1/0 SITIO_A (config-if) #crypto map MAPA1
SITIO_B (config) #interface se1/0 SITIO_B (config-if) #crypto map MAPA1
7. Verificar la configuración
show crypto isakmp policy muestra las políticas ISAKMP configuradas en el router
Show crypto ipsec transform set muestra por pantalla las políticas IPsec configuradas en los transform sets.Show crypto map muestra los mapas de cifrado que se han aplicado al router.
8. Verificar operación ipsec.Show crypto isakmp sa muestra asociaciones de seguridad IKE. Todavía no existen estas asociaciones seguridad IKE todavía. Esta información de salida se verá modificada en cuanto se comience a enviar tráfico. Show crypto ipsec sa muestra las asociaciones de seguridad. Visualizamos la ausencia, de paquetes enviados a través y asociaciones de seguridad.
9. interpretar eventos de depuración.
La fase 1 de IKE (ISAKMP) negociará el canal seguro entre los nodos, autenticará a su vecino si tiene la clave secreta correcta, y autenticará el nodo remoto a través del canal seguro. El resultado es una asociación de seguridad ISAKMP bidireccional. Los intercambios son de entrada/salida, por lo que cada evento se guarda en la depuración como un evento de entrada desde cada router local hasta el router remoto SITIO_A#debug crypto isakmp*Crypto ISAKMP debugging is onSITIO_A #debug crypto ipsec*Crypto IPSEC debugging is on
Enviar un ping extendido desde la dirección de loopback de SITIO_A hasta la dirección de loopback de SITIO_B y visualizar la depuración de la salida de ambos routers. Muestra tanto la negociación ISAKMP como el establecimiento de la asociación de seguridad IPsec.
SITIO_A # pingProtocol [ip]:Target IP address: 10.1.1.1Repeat count [5]:Datagram size [100]:Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 172.16.3.1Type of service [0]:Set DF bit in IP header? [no]:Validate reply data? [no]:Data pattern [0xABCD]:Loose, String, Record, Timestamp, Verbose [none]:Sweep range of sizes [n]:
Cancelar la instrucción de depuración
SITIO_A# undebug allAll possible debugging has been turned off
Verificar que los paquetes generados desde una LAN a la otra se estén cifrando con Ipsec
SITIO_A# Show crypto ipsec sa
![Configuración conexión VPN - Inicio · Configuración conexión VPN [Escriba texto] Página 6 Paso 6. Indicar su nombre de usuario y contraseña específica para la VPN. El nombre](https://img.pdfslide.tips/doc/110x75/5e8e3a7f585f475a9f2d5ae5/configuracin-conexin-vpn-configuracin-conexin-vpn-escriba-texto-pgina.jpg)
![Configuración conexión VPN · Configuración conexión VPN [Escriba texto] Página 8 Si ha llegado hasta aquí, usted ya esta conectado a la VPN de la SEN. La conexión ya está](https://img.pdfslide.tips/doc/110x75/5f0f50e67e708231d4438e6e/configuracin-conexin-configuracin-conexin-vpn-escriba-texto-pgina-8.jpg)
