VPN Capitulo7

CAPITULO VII: GUIA DE USUARIO PARA CONFIGURAR

IPSEC Y MPLS EN DOS ROUTER CISCO, Y CREAR UNA

VPN EN INTERNET, PARA LAS EMPRESAS.

Este documento tiene como propósito presentar una guía de

configuración de IPSec y MPLS en dos router cisco, para que

facilite a las empresas la implementación de cada uno de los

protocolos según la necesidad que estas tengan.

También se pretende presentar una guía técnica para fines

académicos, para aumentar el conocimiento científico de los

estudiantes en el área de informática.

Esta guía contiene los pasos a seguir para la configuración de

IPSec y MPLS, lo cual se recomienda tener conocimientos

teóricos y prácticos sobre router cisco, para la debida

interpretación de esta.

Así mismo se recomienda a las empresas que utilicen esta

guía, que no es absoluta ni única ya que puede variar su

contenido de acuerdo a las necesidades técnicas de las

empresas, por lo que se puede enriquecer o contrastar con

otras guías de configuración, como los que proporciona cisco

www.cisco.com.

7.1.- CONFIGURACIÓN DE IPSEC ENTRE DOS ROUTER

CISCO Y UNA VPN EN INTERNET.

CONTENIDO

7.1.1- INTRODUCCIÓN.

7.1.2- PRERREQUISITOS.

7.1.3- COMPONENTES DE USO.

7.1.4- DESCRIPCIÓN

7.1.5- DIAGRAMA DE RED.

7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN

MIGUEL.

7.1.7- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN

SALVADOR.

7.1.8- CONSOLA HYPER TERMINAL DE WINDOWS.

7.1.9- CONFIGURACIÓN IPSEC ROUTER 2610 SAN MIGUEL.

7.1.10- CONFIGURACIÓN IPSEC ROUTER 3604 SAN SALVADOR.

7.1.11- VERIFICACIÓN ANTES DE TRANSMITIR PAQUETES DE

INFORMACION POR LA VPN.

7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR.

7.1.13- VERIFICACIÓN DESPUES DE TRANSMITIR PAQUETES DE

INFORMACION POR LA VPN.

7.1.14- DESCRIPCION DE COMANDOS UTILIZADOS EN LA

CONFIGURACIÓN DE IPSEC.


El siguiente documento describe la configuración de IPSec,

entre una LAN-to-LAN creando un túnel por medio de una

VPN, desde San Salvador hasta San Miguel utilizando

Internet.


- Conocimientos básicos de routers cisco.

- Ruteo estático.


- 3 Computadoras con Windows XP.

- 1 Computadora con Linux (Puede ser otro SO).

- 1 Hub.

- 1 Modem US Robotic.

- 1 Router 2610 con Puerto Ethernet 0/0, Serial Wic/2T

y Software Cisco IOS Versión 12.2 (31).

- 1 Router 3604 con Puerto Ethernet 0/3 u otro,

Software Cisco IOS Versión 12.2 (31).

- 4 Cables UTP categoría 5.

- 1 Enlace Conmutado.

- 1 Enlace Dedicado.

- 2 Acceso a Internet.

7.1.4- DESCRIPCIÓN

- IPSec:

Es un grupo de extensiones de la familia de protocolos

IP, que provee servicios criptográficos de seguridad.

Creado por IETF (Internet Engineering Task Force)

Organización encargada del estudio de problemas

técnicos relacionados con Internet.

- Router:

Es un dispositivo dentro de la red usando comúnmente

para la conmutación o ruteo de paquetes. Esta

conmutación el router la realiza tomando decisiones en

base a su configuración para redes.


El presente diagrama muestra la ubicación de los equipos

físicamente y las direcciones IP de cada uno de los puntos de

la red que representa la parte lógica para poder configurar el

protocolo IPSec.

Figura 7.1 Diagrama de red IPSec.

LAN 2

7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (tcp/ip),

san miguel.

Se configura las propiedades del protocolo de Internet

(TCP/IP) la computadora que esta en la LAN1 San Miguel,

tomando en cuenta las direcciones IP asignadas a este nodo

de la red y poder establecer la conexión hacia el otro punto

de la red.

Se colocan las siguientes propiedades como aparecen en la

figura 7.2.

Figura 7.2 Propiedades del protocolo de Internet (TCP/IP) S.M.

7.1.7- PROPIEDADES DEL PROTOCOLO INTERNET

(TCP/IP), SAN SALVADOR.


(TCP/IP) la computadora que esta en la LAN 2 San Salvador,



de la red.


figura 7.3.

Figura 7.3 Propiedades del protocolo de Internet (TCP/IP) S.S.

7.1.8- CONSOLA HYPER TERMINAL de WINDOWS.

Cuando esta conectado todo el Hardware, se utiliza la

consola Hyper Terminal de Windows que es la aplicación por

medio de la cual se ingresa a la consola de configuración del

Router Cisco, Inicio / Todos los programas / Accesorios

/ Comunicaciones / Hyper Terminal, ver Figura 7.4.

Figura 7.4 Ingreso al Hyper Terminal de Windows.

Aparece la figura 7.5 donde se selecciona el puerto COM1,

esto significa que se conecta utilizando este para ingresar a

la consola del router.

Luego se colocan las siguientes propiedades tal como

aparecen en la figura 7.6

Figura 7.5 Conectar al COM1.

De esta forma se ingresa a la consola del router cisco, para

realizar la configuración correspondiente a IPSec, aplicando

las técnicas de encriptación con cada uno de los comandos,

de una forma lógica y ordenada. Luego pasa a la consola el

Router Cisco.

Figura 7.6 Consola Hyper Terminal de Windows.

7.1.9- CONFIGURACIÓN IPSEC ROUTER 2610 SAN

MIGUEL.

La presente configuración corresponde al Router Cisco 2610,

en el cual se procede a configurar IPSec, tomando en cuenta

la conexión lógica de la red y los respectivos comandos.

Las línea en negrita representan la configuración del router y

las líneas que tienen antepuesta las “//” representan los

comentario de los bloque de configuración.

Consola – IPSec - Router 2610

Cisco 2610 IOS Versión 12.2.(31) //Prompt del router donde se digitan los comandos. SanMiguel# Building configuration... Current configuration : 2254 bytes ! Version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SanMiguel ! ! memory-size iomem 10 ip subnet-zero ip cef ! ! ip name-server 66.119.93.4

! // INICIA LA CONFIGURACIÓN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las políticas de máxima prioridad y que coincidan //en ambos lados, es decir con el router de San Salvador, en //este caso la prioridad es 10 (hash md5 y con autenticación) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To-//LAN para su respectiva negociación. crypto isakmp key TesisSM address 66.119.92.145 ! // Se crea la fase para la autenticación y encriptación de la //información. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. ! crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el túnel. crypto map VPN local-address Dialer2 // Se crea el mapa de encriptación. crypto map VPN 10 ipsec-isakmp // Se especifica la ip del peer (Túnel ipsec). set peer 66.119.92.145 // Se aplica el tipo de transformación para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110

// Script para realizar el marcado por medio del MODEM. chat-script Dialout ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c // Init String para la configuración del MODEM. modemcap entry MY_MODEM:MSC=&F1S0=1 call rsvp-sync ! ! // Túnel IP hacia San Salvador interface Tunnel2 description TUNEL HACIA SAN SALVADOR TELEFONICA ip unnumbered Dialer2 tunnel source Dialer2 tunnel destination 66.119.92.145 // Se aplica la encriptación ipsec a la interfaz. crypto map VPN ! interface Ethernet0/0 ip address 20.0.20.1 255.255.255.0 full-duplex ! interface Serial0/0 no ip address shutdown ! // Interfaz serial conectada a modem asíncrono. interface Serial0/1 physical-layer async no ip address encapsulation ppp dialer in-band dialer rotary-group 2 async default routing async mode dedicated

! // Interfaz virtual para el acceso telefónico a Internet. interface Dialer2 ip address negotiated encapsulation ppp dialer in-band dialer idle-timeout 900 // Numero de acceso telefónico a Marcar por el router. dialer string 22111111 dialer hold-queue 10 dialer load-threshold 1 either dialer-group 2 ppp authentication chap pap callin ppp chap hostname tsm@internet ppp chap password 0 internet ppp pap sent-username tsm@internet password 0 internet ppp multilink bap ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 // Ruta estática para la red 30.0.30.0 ip route 30.0.30.0 255.255.255.0 Tunnel2 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN. access-list 110 permit ip 20.0.20.0 0.0.0.255 10.0.10.0 0.0.0.255 access-list 110 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip any any dialer-list 2 protocol ip permit no cdp run ! dial-peer cor custom ! ! line con 0

line 2 // Linea 2, configuración directa con el MODEM. script dialer Dialout modem InOut modem autoconfigure type MY_MODEM transport input all speed 57600 flowcontrol hardware line aux 0 exec-timeout 0 0 transport output none line vty 0 4 login ! End

//Cuando se finaliza la configuración del router, es importante //guardar los cambios realizados con el comando write.

7.1.10- CONFIGURACIÓN IPSEC ROUTER 3604 SAN

SALVADOR.

La siguiente configuración, se realizo en un router Cisco

3604, donde se ejecutan los comandos correspondientes a

IPSec.





Cisco 3604 IOS Versión 12.2.(31) //Prompt del router donde se digitan los comandos. REDIP# Building configuration... Current configuration : 4174 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname REDIP ! aaa new-model aaa authentication login default local aaa authentication ppp default local enable secret 5 $1$XUyx$r3JYNZKhBNcOU4xhwGhQs0 ! ip subnet-zero ip cef

! ! ip name-server 66.119.93.4 ip name-server 66.119.95.4 ! // INICIA LA CONFIGURACIÓN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las políticas de máxima prioridad y que coincidan //en ambos lados, es decir con el router de San Miguel, en //este caso la prioridad es 10 (hash md5 y con autenticación por //clave simétrica compartida) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To-//LAN para su respectiva negociación. crypto isakmp key TesisSM address 66.249.197.20 ! // Se crea la fase para la autenticación y encriptación de la //información. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el túnel. crypto map VPN local-address FastEthernet3/0 // Se crea el mapa a aplicar en la interfaz (crypto map). crypto map VPN 10 ipsec-isakmp // Establece el punto remoto de la VPN set peer 66.249.197.20

// Se aplica el tipo de transformación para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110 ! no call rsvp-sync ! // Túnel IP hacia Router San Miguel. interface Tunnel2 description TUNEL HACIA SAN MIGUEL ip unnumbered FastEthernet3/0 tunnel source FastEthernet3/0 tunnel destination 66.249.197.20 // Se aplica la encriptación ipsec a la interfaz. crypto map VPN ! // LAN de servidor TFP linux para las pruebas. interface FastEthernet1/0 description Conexion Servidor Linux ip address 30.0.30.1 255.255.255.0 duplex auto speed auto ! ! interface FastEthernet3/0 description Conexion Routers de Acceso ip address 66.119.92.145 255.255.255.224 ip nat outside duplex auto speed auto ! no ip classless // Ruta estática para la red 20.0.20.0

ip route 20.0.20.0 255.255.255.0 tunnel2

ip route 66.249.197.20 255.255.255.255 66.119.92.133 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN. access-list 110 permit ip 30.0.30.0 0.0.0.255 20.0.20.0 0.0.0.255

access-list 110 permit ip 10.0.10.0 0.0.0.255 20.0.20.0 0.0.0.255 line con 0 password 7 111B1C011E02 line aux 0 line vty 0 4 password 7 071D24484719 End //Cuando se finaliza de hacer los cambios de la configuración del //router, se recomiendo guardar los cambios con el comando //write.

Cuando se finaliza la configuración de los dos router es

importante verificar la conexión del túnel con y sin tráfico de

datos, esto permite evaluar cuantos paquetes han sido

encapsulados y encriptados por IPSec.

7.1.11- VERIFICACIÓN ANTES DE TRANSMITIR

PAQUETES DE INFORMACION POR LA VPN.

Cuando ha finalizado la configuración de los dos Router, se

procede a comprobar la configuración de IPSec con el

siguiente comando show crypto ipsec sa este muestra el

número de paquetes que han sido transmitidos por la VPN y

si existe la encriptación, autenticación y integridad de los

paquetes, en la siguiente verificación no se ha transmitido

trafico por el túnel VPN des un punto local hasta el punto

remoto o viceversa, como se observa a continuación los

paquetes encapsulados y encriptados son “0”, es decir

porque no ha transmitido ningún paquete por la VPN.


SanMiguel#show crypto ipsec sa

local ident (addr/mask/prot/port): (30.0.30.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (20.0.20.0/255.255.255.0/0/0) current_peer: 66.249.197.20 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 66.119.92.145, remote crypto endpt.: 66.249.197.20 path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2 current outbound spi: 0 inbound esp sas: inbound ah sas:

inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:

Se observan las siguientes líneas estadísticas, en las cuales

registran “0” paquetes transmitidos.

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0

También se visualiza la encriptación que se aplica desde el

punto local hasta el punto remoto, establecido por el túnel

virtual con las direcciones publicas 66.119.92.145 (San

Salvador) y 66.249.197.20 (San Miguel).

También se puede revisar la conexión desde un punto a otro

y viceversa en los siguientes numerales.

7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN

SALVADOR.

Ping es un mensaje transmitido por un programa Packet

Internet Groper. También es enviado desde un nodo a la

dirección IP de una computadora de red para determinar si

ese nodo está disponible para enviar y recibir transmisiones.

En la figura 7.7, se da ping desde la PC que esta en San

Miguel (20.0.20.2) al servidor de archivos que este en San

Salvador (30.0.30.2) y aparece la siguiente ventana:

Esto quiere decir que ya existe la conexión entre un nodo de

la red y otro, la cual se realiza por medio de Internet.

La figura 7.7 muestra cuantos paquetes fueron enviados y si

hay una conexión estable, ya que algunas veces hay perdida

de conexión.

7.1.13- VERIFICACIÓN DESPUES DE TRANSMITIR

PAQUETES DE INFORMACION POR LA VPN.

En este caso ya se estableció la conexión con el túnel IPSec y

se ejecuta el mismo comando show crypto ipsec sa para

revisar si a registrado paquetes en la VPN, se realizo una

Figura 7.7 Ping desde PC San Miguel a CP San Salvador.

transferencia de archivos para verificar el número de

paquetes enviados hasta el punto remoto que esta en San

Salvador. Como se visualiza a continuación ya existen

paquetes registrados por el túnel VPN, encapsulados,

encriptados (499) y desencapsulados y desencriptados (498),

como se puede observar a continuación.


SanMiguel#show crypto ipsec sa

// Muestra el túnel virtual Tunnel2, con sus respectivas ip de

//origen y destino

interface: Tunnel2

Crypto map tag: VPN, local addr. 66.249.197.20

local ident (addr/mask/prot/port):

(20.0.20.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port):

(30.0.30.0/255.255.255.0/0/0)

current_peer: 66.119.92.145

PERMIT, flags={origin_is_acl,}

//Muestra el número de paquetes que son encapsulados y

//encriptados.



#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0, #pkts

decompress failed: 0

#send errors 4, #recv errors 0

local crypto endpt.: 66.249.197.20, remote crypto endpt.:

66.119.92.145

path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2

current outbound spi: 1A8B08FE

inbound esp sas:

spi: 0x4F75206A(1333076074)

transform: esp-des esp-sha-hmac ,

in use settings ={Tunnel, }

slot: 0, conn id: 2000, flow_id: 1, crypto map: VPN

sa timing: remaining key lifetime (k/sec): (4607406/2801)

IV size: 8 bytes

replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x1A8B08FE(445319422)





IV size: 8 bytes


outbound ah sas:

outbound pcp sas:

Esto quiere decir que si existe una conexión validad que

encripta, autentica y encapsula la información entre ambos

puntos de la red. También se puede observar la encriptación

del Tunnel2 en una forma local y remota, por ejemplo:

“local crypto endpt.: 66.249.197.20, remote crypto endpt.:

66.119.92.145 path mtu 1476, ip mtu 1476, ip mtu

interface Tunnel2”.

La verificación se realiza también en el router 3604 que esta

en San Salvador y como se puede observar el número de

paquetes enviados cambia, dependiendo del flujo de

información que se transmita. Se ejecuta el mismo comando

sh crypto ipsec sa para verificar los datos estadísticos del

protocolo IPSec. Los cuales registran paquetes encapsulados

y encriptados (4378) y desencapsulados y desencriptados

(4389), como se puede observar a continuación.


REDIP#sh crypto ipsec sa

// Muestra el túnel virtual Tunnel2, con sus respectivas ip de

//origen y destino.

interface: Tunnel2

Crypto map tag: VPN, local addr. 66.119.92.145

local ident (addr/mask/prot/port):

(30.0.30.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port):

(20.0.20.0/255.255.255.0/0/0)

current_peer: 66.249.197.20

PERMIT, flags={origin_is_acl,}

//Muestra el número de paquetes que son encapsulados y

//encriptados.



#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0, #pkts

decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 66.119.92.145, remote crypto endpt.:

66.249.197.20

path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2

current outbound spi: 4F75206A

inbound esp sas:

spi: 0x1A8B08FE(445319422)





IV size: 8 bytes


inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x4F75206A(1333076074)





IV size: 8 bytes


outbound ah sas:

outbound pcp sas:

Este resultado muestra que ha pasado tráfico por medio de la

red y que se han transmitido información desde un punto a

otro de forma satisfactoria, aplicando las técnicas de

encriptación, encapsulación, autenticación de las llaves e

integridad de los datos entre ambos puntos de la red.

Cuando se realiza la verificación de ambos router, se tiene la

completa seguridad que los datos transmitidos por medio de

la red, esta siendo encriptada, encapsulada y autenticada de

forma integra desde el lugar de origen hasta su destino.

7.1.14- DESCRIPCION DE COMANDOS UTILIZADOS EN LA

CONFIGURACIÓN DE IPSEC.

authentication pre-share: Comando para configurar

autentificación dentro del mapa (esto nos permite utilizar

el Key).

cripto isakmp policy 10: Commado para crear el

isakmp ( Internet Security Association Key Management

Protocol).

crypto map: Comando que crea el mapa encriptado,

quien se encarga de activar y manejar el túnel. Los

Crypto maps son las reglas de mapeado para indicar

cómo enviar la información por IPSec, incluye:

• Los filtros para indicar tráfico interesante

• El vecino remoto

• El set de transformaciones a utilizar

• Método de administración de claves

• Tiempo de vida de las SA

crypto ipsec transform-set VPN esp-des esp-sha-

hmac: Comando que crea el transform-set (la forma de

encriptar y desencriptar la información).

full duplex : Comando para configurar en una interfaz

que soporte full duplex.

hash md5: Comando para configurar el algoritmo de

encriptación dentro del mapa.

ip address: Comando que especifica la ip a ocupar en

una interfaz del router.

match address 110: Comando que especifica el trafico

permitido en el mapa (tunnel) y que hace referencia a la

lista de acceso 110.

set tranform-set: Comando que especifica el transform-

set que ocupara el Mapa.

show run: Comando para mostrar la configuración del

router en ese momento (este comando no es propio de

ipsec).

7.2.- CONFIGURACIÓN DE MPLS ENTRE DOS ROUTER CISCO

Y UNA VPN EN INTERNET.

CONTENIDO




7.2.4- DESCRIPCIÓN


7.2.6 PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN

MIGUEL.

7.2.7 PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN

SALVADOR.


7.2.9- CONFIGURACIÓN MPLS ROUTER 2610 SAN MIGUEL.

7.2.10- CONFIGURACIÓN MPLS ROUTER 3604 TELEFONICA SAN

SALVADOR.

7.2.11- VERIFICACIÓN DE MPLS ROUTER 2610 SAN MIGUEL.

7.2.12- VERIFICACIÓN DE MPLS ROUTER 3604, SAN SALVADOR.

7.2.13- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR.

7.2.14 DESCRIPCION DE COMANDOS UTILIZADOS EN LA

CONFIGURACIÓN DE MPLS.

7.2.1- INTRODUCCIÓN

El siguiente documento describe la configuración de MPLS,

entre dos router cisco conectando un LAN-to-LAN por medio

de una VPN en Internet, entre los puntos de San Miguel y

San Salvador, creando así una sola red virtual, es decir como

si fuera una sola red LAN.


- Conocimientos básicos de router cisco.

- Ruteo Estático.


- 3 Computadoras con Windows XP.

- 1 Computadora con Linux (Puede ser otro SO).

- 1 Hub.

- 1 Modem US Robotic.

- 1 Router 2610 con Puerto Ethernet 0/0, Serial Wic/2T

y Software Cisco IOS Versión 12.2 (31).

- 1 Router 3604 con Puerto Ethernet 0/3 u otro,

Software Cisco IOS Versión 12.2 (31).

- 4 Cables UTP categoría 5.

- 1 Enlace Conmutado.

- 1 Enlace Dedicado.

- 2 Acceso a Internet.

7.2.4- DESCRIPCIÓN

- MPLS:

Es un método para “forwardear” paquetes a través de una

red usando información contendida en etiquetas añadidas a

los paquetes de IP.

- Router:

Es un dispositivo dentro de la red usando comúnmente para

la conmutación o ruteo de paquetes. Esta conmutación el

router la realiza tomando decisiones en base a su

configuración para redes.


El presente diagrama muestra la ubicación de los puntos de

red, describiendo cada uno de ellos según las direcciones IP,

para su debida configuración.

Figura 7.8 Diagrama de red MPLS.

LAN 2

7.2.6 PROPIEDADES DEL PROTOCOLO INTERNET

(TCP/IP), SAN MIGUEL.


(TCP/IP) la computadora que esta en la LAN1 San Miguel,



de la red.


figura 7.9.

Figura 7.9 Propiedades del protocolo de Internet (TCP/IP) S.M.

7.2.7 PROPIEDADES DEL PROTOCOLO INTERNET

(TCP/IP), SAN SALVADOR.


(TCP/IP) la computadora que esta en la LAN 2 San Salvador,



de la red.


figura 7.10.

Figura 7.10 Propiedades del protocolo de Internet (TCP/IP) S.S.


Cuando esta conectado todo el Hardware, se utiliza la

consola Hyper Terminal de Windows que es la aplicación por

medio de la cual se ingresa a la consola de configuración del

Router Cisco, Inicio / Todos los programas / Accesorios

/ Comunicaciones / Hyper Terminal, ver Figura 7.11.

Figura 7.11 Ingreso a Hyper Terminal.

Aparece la figura 7.12 donde se selecciona el puerto COM1,

esto significa que se conecta utilizando este para ingresar a

la consola del router.

Luego se colocan las siguientes propiedades tal como

aparecen en la figura 7.13.

Figura 7.12 Conectar al COM1.

De esta forma se ingresa a la consola del router cisco, para

realizar la configuración correspondiente a IPSec, aplicando

las técnicas de encriptación con cada uno de los comandos,

de una forma lógica y ordenada. Luego pasa a la consola el

Router Cisco.

Figura 7.13 Consola Hyper Terminal de Windows.

7.2.9- CONFIGURACIÓN MPLS ROUTER 2610 SAN

MIGUEL.

La siguiente configuración corresponde al router cisco 2610,

en donde se aplican algunos comandos propios de MPLS,

tomando en cuenta la conexión lógica de la red.




Consola – MPLS - Router 2610

Cisco 2610 IOS Versión 12.2.(31) //Prompt del router donde se digitan los comandos. SanMiguel#show run Building configuration... Current configuration : 2291 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SanMiguel ! ! memory-size iomem 10 ip subnet-zero ip cef ! ! ip name-server 66.119.93.4

! //INICIA LA CONFIGURACION DE MPLS. // Se define la instancia para VRF (asignándole el nombre TSM) ip vrf TSM // Definición del ASN (Numero de Sistema Autónomo) para la //VPN. (rd = route distinguisher). rd 101:1 // Se exportan e importan rutas dentro de la VPN. route-target export 101:1 route-target import 101:1 ip audit notify log ip audit po max-events 100 ! ! chat-script Dialout ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c modemcap entry MY_MODEM:MSC=&F1S0=1 call rsvp-sync ! ! // Túnel IP hacia San Salvador. interface Tunnel2 description TUNEL HACIA SAN SALVADOR TELEFONICA // Se hace miembro de la VPN TSM a la Interfaz del Tunnel2. ip vrf forwarding TSM ip unnumbered Dialer2 tunnel source Dialer2 tunnel destination 66.119.92.145 ! interface Ethernet0/0 // Se hace miembro de la VPN TSM a la interfaz. ip vrf forwarding TSM ip address 20.0.20.1 255.255.255.0 full-duplex !

interface Serial0/0 no ip address shutdown ! // Interfaz serial conectada a MODEM asíncrono. interface Serial0/1 physical-layer async no ip address encapsulation ppp dialer in-band dialer rotary-group 2 async default routing async mode dedicated ! interface Dialer2 // Interfaz virtual para el marcado de acceso telefónico a Internet ip address negotiated encapsulation ppp dialer in-band dialer idle-timeout 900 // Numero de acceso telefónico a Marcar por el router dialer string 22111111 dialer hold-queue 10 dialer load-threshold 1 either dialer-group 2 ppp authentication chap pap callin ppp chap hostname tsm@internet ppp chap password 0 internet ppp pap sent-username tsm@internet password 0 internet ppp multilink bap ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 // Definición de rutas para la VPN TSM, es decir la ruta destino a //la que se desea llegar.

ip route vrf TSM 30.0.30.0 255.255.255.0 Tunnel2 no ip http server ! access-list 120 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip any any dialer-list 2 protocol ip permit no cdp run ! dial-peer cor custom ! line con 0 line 2 // Linea 2 para configuración directa del MODEM. script dialer Dialout modem InOut modem autoconfigure type MY_MODEM transport input all speed 115200 flowcontrol hardware line aux 0 exec-timeout 0 0 transport output none line vty 0 4 login ! end //Cuando se finaliza la configuración del router, es importante //guardar los cambios realizados con el comando write.

7.2.10- CONFIGURACIÓN MPLS ROUTER 3604

TELEFONICA SAN SALVADOR.

La siguiente configuración corresponde al router cisco 3604,

en donde se aplican algunos comandos propios de MPLS,

tomando en cuenta la conexión lógica de la red.




Consola – MPLS - Router 3604

Cisco 3604 IOS Version 12.2.(31) //Prompt del router donde se digitan los comandos. REDIP#show run Building configuration... Current configuration : 4212 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname REDIP ! ip cef ! ! ip name-server 66.119.93.4 ip name-server 66.119.95.4 !

// INICIA LA CONFIGURACIÓN MPLS VPN. // Se define la instancia para VRF (VPN TSM). ip vrf TSM // Definición del ASN (Numero de Sistema Autónomo) para la //VPN. (rd = route distinguisher). rd 101:1 // Se especifica la exportación e importación de rutas en la VPN. route-target export 101:1 route-target import 101:1 ip audit notify log ip audit po max-events 100 ip address-pool local ! no call rsvp-sync ! // Tunel IP Hacia Router San Miguel. interface Tunnel2 description TUNEL HACIA SAN MIGUEL // Se configura la interfaz para que sea miembro de la VPN TSM. ip vrf forwarding TSM ip unnumbered FastEthernet3/0 tunnel source FastEthernet3/0 tunnel destination 66.249.197.20 ! // Interfaz de conexión hacia la LAN del servidor ftp linux. interface FastEthernet1/0 description Conexion Server Linux // Se configura la interfaz para que sea miembro de la VPN (TSM). ip vrf forwarding TSM ip address 30.0.30.1 255.255.255.0 duplex auto speed auto ! //se especifica el nivel físico de la interfaz 3/0 del router. interface FastEthernet3/0

description Conexion Routers de Acceso ip address 66.119.92.145 255.255.255.224 ip nat outside duplex auto speed auto no ip classless ip route 0.0.0.0 0.0.0.0 66.119.92.133 // Ruta estática en la VRF TSM para la red 20.0.20.0 ip route vrf TSM 20.0.20.0 255.255.255.0 Tunnel2 ip tacacs source-interface FastEthernet2/0 no ip http server ! dial-peer cor custom line con 0 password 7 111B1C011E02 line aux 0 line vty 0 4 password 7 071D24484719 ! end //Cuando se finaliza de hacer los cambios de la configuración del //router, se recomiendo guardar los cambios con el comando //write.

Cuando se finaliza la configuración de MPLS en los dos Router

se realiza la verificación de la conexión, para comprobar

que si hay conexión entre la LAN de San Miguel y la LAN de

San Salvador.

7.2.11- VERIFICACIÓN DE MPLS ROUTER 2610 SAN

MIGUEL.

Cuando ha finalizado la configuración de los dos Router, se

procede a comprobar la configuración con el siguiente

comando show ip route vrf TSM que se digita en la línea de

comando, y muestra la conectividad desde el punto local

hasta el punto remoto, lo cual muestra la siguiente pantalla.

Esto indica que la configuración esta bien realizada y que

existe la conexión correcta entre los dos puntos, como se

Consola –Verificación MPLS - Router 2610

SanMiguel#show ip route vrf TSM Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 20.0.0.0/24 is subnetted, 1 subnets C 20.0.20.0 is directly connected, Ethernet0/0

30.0.0.0/24 is subnetted, 1 subnets S 30.0.30.0 is directly connected, Tunnel2

puede observar las direcciones IP que conecta “C”

(20.0.20.0) y la IP estática “S” (30.0.30.0), lo cual permite

ver el punto origen “C” y destino “S” de la vrf TSM.

También se puede verificar MPLS con el comando show ip

vrf detail, que muestra la interfaz VRF TSM, en este caso

solo esta activa la que fue creada (TSM), de lo contrario no

mostrara ninguna vrf.


SanMiguel#show ip vrf detail VRF TSM; default RD 101:1 Interfaces: Ethernet0/0 Tunnel2 Connected addresses are not in global routing table Export VPN route-target communities RT:101:1 Import VPN route-target communities RT:101:1 No import route-map No export route-map

7.2.12- VERIFICACIÓN DE MPLS ROUTER 3604, SAN

SALVADOR.

Con el comando sh ip route vrf TSM se muestra la tabla de

ruteo de la VPN. Esto indica que la configuración esta bien

realizada en el router 3604 y que ya existe la conexión

correcta entre los dos puntos, como se puede observar las

direcciones IP que conecta “C” (30.0.30.0) y la IP estática

“S” (20.0.20.0), lo cual permite ver el punto de origen “C” y

destino “S” de la vrf TSM.


REDIP#show ip route vrf TSM Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B – BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS l evel-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 20.0.0.0/24 is subnetted, 1 subnets S 20.0.20.0 is directly connected, Tunnel2 30.0.0.0/24 is subnetted, 1 subnets C 30.0.30.0 is directly connected, FastEthernet1/0

Verificación de MPLS con el comando show ip vrf detail,

muestra la interfaz VRF TSM, en este caso solo esta activa la

que fue creada (TSM), de lo contrario mostrara las demás vrf

que se hayan creado.


REDIP#show ip vrf detail VRF TSM; default RD 101:1 Interfaces: FastEthernet1/0 Tunnel2 Connected addresses are not in global routing table Export VPN route-target communities RT:101:1 Import VPN route-target communities RT:101:1 No import route-map No export route-map

Esto sirve para verificar las tablas de rutas establecidas y las

vrf creadas en cada uno de los router según la conectividad

lógica de la red de San Miguel y la de San Salvador.

7.2.13- PING AL SERVIDOR DE ARCHIVOS DE SAN

SALVADOR.

Ping es un mensaje transmitido por un programa Packet

Internet Groper. También es enviado desde un nodo a la

dirección IP de una computadora de red para determinar si

ese nodo está disponible para enviar y recibir transmisiones.

Se comprueba la conexión desde un punto a otro o viceversa

de la siguiente manera:

Se da ping desde la PC que esta en San Miguel (20.0.20.2)

al servidor de archivos que este en San Salvador con ping

30.0.30.2 y aparece la siguiente ventana que muestra los

paquetes enviados al servidor de San Salvador.

En la figura 7.14 se puede decir que si esta disponible la

transmisión de información a través del túnel establecido por

la VPN. También se puede decir que ya esta establecida una

red virtual entre las dos LANs.

Figura 7.14 Ping desde PC San Miguel a CP San Salvador.

7.2.14- DESCRIPCION DE COMANDOS UTILIZADOS EN

LA CONFIGURACIÓN DE MPLS.

encapsulation ppp: Comando para especificar el tipo

de encapsulacion de una interfaz serial. (No es

especifico de MPLS)

interface Tunnel2: Crea una interfase de tipo túnel

en el router (No es especifica de MPLS).

ip audit po max-events 100: Comando para logs,

especifica un número máximo de eventos.

ip suft notify log: Comando para generar logs de

notificaciones en la VRF.

ip vrf forwarding: Comando para especificar en una

interfaz que esta pertenece a una VRF.

ip vrf: Comando que crea la instancia o cliente de la

vrf (Virtual routing Forwarding).

physical-layer Async: Comando que pone una

interfaz serial en modo asíncrono (No es específico de

MPLS).

rd 101:1: Comando que especifica el ID que ocupara

la VRF creada.

route-target export 101:1: Comando para que

exporte las rutas en la VRF creada.

route-target import 101:1: Comando para importar

rutas en la VRF creada.

7.3- CAMBIOS DE CONFIGURACION PARA ACTIVAR IPSEC Y

DESACTIVAR MPLS

Cuando se tienen previamente configurado IPSec en los router y

se tiene activo MPLS, se procede a desactivarlo con una serie de

comandos, que activan el protocolo IPSec, es decir se desactiva

MPLS y se activa IPSec en el router.

Vale la pena aclarar que la configuración de MPLS debe estar

previamente realizada, ya que es donde se definen algunos de

los parámetros que hacen posible este cambio. Para cuestiones

prácticas se puede realizar este tipo de cambios y probar cada

uno de los protocolos.

7.3.1- CAMBIO DE CONFIGURACIÓN ROUTER 2610 SAN

MIGUEL

Se ingresa por medio de la consola de configuración de los

router 2610 y se colocan los comandos descritos a continuación,

para desactivar MPLS y activar IPSec.

Consola –Cambio de MPLS a IPSec - Router 2610

SanMiguel# // Se entra al modo de configuración en el router. conf t //El modo de configuración queda de esta manera. SanMiguel(config)# // Se entra a la interfaz tunnel2. int tun2 // Se deshabilita la VPN MPLS en la Interfaz.

no ip vrf forwarding TSM ip unnumbered Dialer2 // Se habilita la encriptacion ipsec en la interfaz. crypto map VPN exit // Se entra a la interfaz eth0/0. int ethernet 0/0 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip add 20.0.20.1 255.255.255.0 exit // Se quita la ruta en la VRF no ip route vrf TSM 30.0.30.0 255.255.255.0 tun2 // Se agrega la ruta en la tabla normal del router. ip route 30.0.30.0 255.255.255.0 Tunnel2

El objetivo es desactivar MPLS y activar IPSec en router 2610 y

luego se procede con el router 3604.

7.3.2- CAMBIO DE CONFIGURACION ROUTER 3604 SAN

SALVADOR


router 3604 y se colocan los comandos descritos a continuación.

Consola –Cambio de MPLS a IPSec - Router 3604

REDIP# // Se entra al modo de configuracion en el router. conf t //El modo de configuración queda de esta manera.

REDIP(config)# // Se entra a la interfaz tunnel2. int tun2 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip unnumbered FastEthernet3/0 // Se habilita la encriptacion ipsec en la interfaz. crypto map VPN exit // Se quita la ruta en la VRF. interface FastEthernet1/0 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip add 30.0.30.1 255.255.255.0 exit // Se deshabilita la VPN MPLS en la Interfaz. no ip route vrf TSM 20.0.20.0 255.255.255.0 tunnel 2 // Se agrega la ruta en la tabla normal del router. ip route 20.0.20.0 255.255.255.0 Tunnel2

El objetivo es desactivar MPLS y activar IPSec en el router

3604. Cuando se ha cambiado las configuraciones se realiza la

debida verificación para comprobar el funcionamiento IPSec

entre los dos puntos de la red. Ver capitulo VII, numeral 7.1.11

al 7.1.15.

7.4- CAMBIOS DE CONFIGURACION PARA ACTIVAR MPLS Y

DESACTIVAR IPSEC.

Cuando se tienen previamente configurados MPLS en los routers

y se tiene activo IPSec, se procede a desactivarlo con una serie

de comandos, que activan el protocolo MPLS, es decir se

desactiva IPSec y se activa MPLS en el router. Vale la pena

aclarar que la configuración de MPLS debe estar previamente

realizada, ya que es donde se definen algunos de los

parámetros que hacen posible este cambio.

Para cuestiones prácticas se puede realizar este tipo de cambios

y probar cada uno de los protocolos.


MIGUEL



Consola –Cambio de IPSec a MPLS - Router 2610

SanMiguel# // Se entra al modo de configuración en el router. conf t //El modo de configuración queda de esta manera. SanMiguel(config)# // Se entra en la conf de la interfaz tunn2 int tun2

// Se deshabilita la encriptación de ipsec no crypto map VPN // Se habilita la VPN MPLS ip vrf forwarding TSM ip unnumbered Dialer2 exit // Se entra en la conf de la interfaz eth0/0 int ethernet 0/0 // Se habilita la VPN MPLS ip vrf forwarding TSM ip add 20.0.20.1 255.255.255.0 // Se quita la ruta de la tabla normal del router no ip route 30.0.30.0 255.255.255.0 tunnel2 // Se agrega la ruta en la tabla de la VPN TSM ip route vrf TSM 30.0.30.0 255.255.255.0 tunnel2

El objetivo es activar MPLS y desactivar IPSec en router 2610 y

luego se procede con el router 3604.


SALVADOR



Consola –Cambio de IPSec a MPLS - Router 3604

REDIP# // Se entra en la conf de la interfaz tunn2 int tun2

//El modo de configuración queda de esta manera. REDIP(config)# // Se deshabilita la encriptación de ipsec no crypto map VPN // Se habilita la VPN MPLS ip vrf forwarding TSM ip unnumbered FastEthernet3/0 exit // Se entra en la conf de la interfaz eth0/0 interface FastEthernet1/0 // Se habilita la VPN MPLS ip vrf forwarding TSM ip add 30.0.30.1 255.255.255.0 exit // Se quita la ruta de la tabla normal del router no ip route 20.0.20.0 255.255.255.0 Tunnel2 // Se agrega la ruta en la tabla de la VPN TSM ip route vrf TSM 20.0.20.0 255.255.255.0 tunnel 2

El objetivo es activar MPLS y desactivar IPSec en el router

3604. Cuando se ha cambiado las configuraciones se realiza la

debida verificación para comprobar el funcionamiento MPLS

entre los dos puntos de la red. Ver capitulo VII, numeral 7.2.11

al 7.2.13.

Documents

VPN Capitulo7