VPN Capitulo7

  • View
    23

  • Download
    0

Embed Size (px)

Text of VPN Capitulo7

CAPITULO VII: GUIA DE USUARIO PARA CONFIGURAR IPSEC Y MPLS EN DOS ROUTER CISCO, Y CREAR UNA VPN EN INTERNET, PARA LAS EMPRESAS. Este documento tiene como propsito presentar una gua de configuracin de IPSec y MPLS en dos router cisco, para que facilite a las empresas la implementacin de cada uno de los protocolos segn la necesidad que estas tengan. Tambin se pretende presentar una gua tcnica para fines acadmicos, para aumentar el conocimiento cientfico de los estudiantes en el rea de informtica. Esta gua contiene los pasos a seguir para la configuracin de IPSec y MPLS, lo cual se recomienda tener conocimientos tericos y prcticos sobre router cisco, para la debida interpretacin de esta. As mismo se recomienda a las empresas que utilicen esta gua, que no es absoluta ni nica ya que puede variar su contenido de acuerdo a las necesidades tcnicas de las empresas, por lo que se puede enriquecer o contrastar con otras guas de configuracin, como los que proporciona cisco www.cisco.com.

7.1.- CONFIGURACIN DE IPSEC ENTRE DOS ROUTER CISCO Y UNA VPN EN INTERNET.

CONTENIDO7.1.1- INTRODUCCIN. 7.1.2- PRERREQUISITOS. 7.1.3- COMPONENTES DE USO. 7.1.4- DESCRIPCIN 7.1.5- DIAGRAMA DE RED. 7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN MIGUEL. 7.1.7- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN SALVADOR. 7.1.8- CONSOLA HYPER TERMINAL DE WINDOWS. 7.1.9- CONFIGURACIN IPSEC ROUTER 2610 SAN MIGUEL. 7.1.10- CONFIGURACIN IPSEC ROUTER 3604 SAN SALVADOR. 7.1.11- VERIFICACIN ANTES DE TRANSMITIR PAQUETES DE INFORMACION POR LA VPN. 7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR. 7.1.13- VERIFICACIN DESPUES DE TRANSMITIR PAQUETES DE INFORMACION POR LA VPN. 7.1.14DESCRIPCION DE COMANDOS UTILIZADOS EN LA CONFIGURACIN DE IPSEC.

7.1.1- INTRODUCCIN. El siguiente documento describe la configuracin de IPSec, entre una LAN-to-LAN creando un tnel por medio de una VPN, desde San Salvador hasta San Miguel utilizando Internet. 7.1.2- PRERREQUISITOS. Conocimientos bsicos de routers cisco. Ruteo esttico. 7.1.3- COMPONENTES DE USO. 3 Computadoras con Windows XP. 1 Computadora con Linux (Puede ser otro SO). 1 Hub. 1 Modem US Robotic. 1 Router 2610 con Puerto Ethernet 0/0, Serial Wic/2T y Software Cisco IOS Versin 12.2 (31). 1 Router 3604 con Puerto Ethernet 0/3 u otro, Software Cisco IOS Versin 12.2 (31). 4 Cables UTP categora 5. 1 Enlace Conmutado. 1 Enlace Dedicado. 2 Acceso a Internet. 7.1.4- DESCRIPCIN IPSec: Es un grupo de extensiones de la familia de protocolos IP, que provee servicios criptogrficos de seguridad. Creado por IETF (Internet Engineering Task Force)

Organizacin Router: la

encargada

del

estudio

de

problemas

tcnicos relacionados con Internet. Es un dispositivo dentro de la red usando comnmente para conmutacin o ruteo de paquetes. Esta conmutacin el router la realiza tomando decisiones en base a su configuracin para redes. 7.1.5- DIAGRAMA DE RED. El presente diagrama muestra la ubicacin de los equipos fsicamente y las direcciones IP de cada uno de los puntos de la red que representa la parte lgica para poder configurar el protocolo IPSec.

LAN 2

Figura 7.1 Diagrama de red IPSec.

7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (tcp/ip), san miguel. Se configura las propiedades del protocolo de Internet (TCP/IP) la computadora que esta en la LAN1 San Miguel, tomando en cuenta las direcciones IP asignadas a este nodo de la red y poder establecer la conexin hacia el otro punto de la red. Se colocan las siguientes propiedades como aparecen en la figura 7.2.

Figura 7.2 Propiedades del protocolo de Internet (TCP/IP) S.M.

7.1.7-

PROPIEDADES

DEL

PROTOCOLO

INTERNET

(TCP/IP), SAN SALVADOR. Se configura las propiedades del protocolo de Internet (TCP/IP) la computadora que esta en la LAN 2 San Salvador, tomando en cuenta las direcciones IP asignadas a este nodo de la red y poder establecer la conexin hacia el otro punto de la red. Se colocan las siguientes propiedades como aparecen en la figura 7.3.

Figura 7.3 Propiedades del protocolo de Internet (TCP/IP) S.S.

7.1.8- CONSOLA HYPER TERMINAL de WINDOWS. Cuando esta conectado todo el Hardware, se utiliza la consola Hyper Terminal de Windows que es la aplicacin por medio de la cual se ingresa a la consola de configuracin del Router Cisco, Inicio / Todos los programas / Accesorios / Comunicaciones / Hyper Terminal, ver Figura 7.4.

Figura 7.4 Ingreso al Hyper Terminal de Windows.

Aparece la figura 7.5 donde se selecciona el puerto COM1, esto significa que se conecta utilizando este para ingresar a la consola del router.

Figura 7.5 Conectar al COM1.

Luego se colocan las siguientes propiedades tal como aparecen en la figura 7.6

Figura 7.6 Consola Hyper Terminal de Windows.

De esta forma se ingresa a la consola del router cisco, para realizar la configuracin correspondiente a IPSec, aplicando las tcnicas de encriptacin con cada uno de los comandos, de una forma lgica y ordenada. Luego pasa a la consola el Router Cisco.

7.1.9- CONFIGURACIN IPSEC ROUTER 2610 SAN MIGUEL. La presente configuracin corresponde al Router Cisco 2610, en el cual se procede a configurar IPSec, tomando en cuenta la conexin lgica de la red y los respectivos comandos. Las lnea en negrita representan la configuracin del router y las lneas que tienen antepuesta las // representan los comentario de los bloque de configuracin. Consola IPSec - Router 2610 Cisco 2610 IOS Versin 12.2.(31) //Prompt del router donde se digitan los comandos. SanMiguel# Building configuration... Current configuration : 2254 bytes ! Version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SanMiguel ! ! memory-size iomem 10 ip subnet-zero ip cef ! ! ip name-server 66.119.93.4

! // INICIA LA CONFIGURACIN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las polticas de mxima prioridad y que coincidan //en ambos lados, es decir con el router de San Salvador, en //este caso la prioridad es 10 (hash md5 y con autenticacin) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To//LAN para su respectiva negociacin. crypto isakmp key TesisSM address 66.119.92.145 ! // Se crea la fase para la autenticacin y encriptacin de la //informacin. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. ! crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el tnel. crypto map VPN local-address Dialer2 // Se crea el mapa de encriptacin. crypto map VPN 10 ipsec-isakmp // Se especifica la ip del peer (Tnel ipsec). set peer 66.119.92.145 // Se aplica el tipo de transformacin para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110

// Script para realizar el marcado por medio del MODEM. chat-script Dialout ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c // Init String para la configuracin del MODEM. modemcap entry MY_MODEM:MSC=&F1S0=1 call rsvp-sync ! ! // Tnel IP hacia San Salvador interface Tunnel2 description TUNEL HACIA SAN SALVADOR TELEFONICA ip unnumbered Dialer2 tunnel source Dialer2 tunnel destination 66.119.92.145 // Se aplica la encriptacin ipsec a la interfaz. crypto map VPN ! interface Ethernet0/0 ip address 20.0.20.1 255.255.255.0 full-duplex ! interface Serial0/0 no ip address shutdown ! // Interfaz serial conectada a modem asncrono. interface Serial0/1 physical-layer async no ip address encapsulation ppp dialer in-band dialer rotary-group 2 async default routing async mode dedicated

! // Interfaz virtual para el acceso telefnico a Internet. interface Dialer2 ip address negotiated encapsulation ppp dialer in-band dialer idle-timeout 900 // Numero de acceso telefnico a Marcar por el router. dialer string 22111111 dialer hold-queue 10 dialer load-threshold 1 either dialer-group 2 ppp authentication chap pap callin ppp chap hostname tsm@internet ppp chap password 0 internet ppp pap sent-username tsm@internet password 0 internet ppp multilink bap ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 // Ruta esttica para la red 30.0.30.0 ip route 30.0.30.0 255.255.255.0 Tunnel2 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN.access-list 110 permit ip 20.0.20.0 0.0.0.255 10.0.10.0 0.0.0.255 access-list 110 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip any any

dialer-list 2 protocol ip permit no cdp run ! dial-peer cor custom ! ! line con 0

line 2 // Linea 2, configuracin directa con el MODEM. script dialer Dialout modem InOut modem autoconfigure type MY_MODEM transport input all speed 57600 flowcontrol hardware line aux 0 exec-timeout 0 0 transport output none line vty 0 4 login ! End //Cuando se finaliza la configuracin del router, es importante //guardar los cambios realizados con el comando write.

7.1.10- CONFIGURACIN IPSEC ROUTER 3604 SAN SALVADOR. La siguiente configuracin, se realizo en un router Cisco 3604, donde se ejecutan los comandos correspondientes a IPSec. Las lnea en negrita representan la configuracin del router y las lneas que tienen antepuesta las // representan los comentario de los bloque de configuracin. Consola IPSec - Router 3604 Cisco 3604 IOS Versin 12.2.(31) //Prompt del router donde se digitan los comandos. REDIP# Building configuration... Current configuration : 4174 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname REDIP ! aaa new-model aaa authentication login default local aaa authentication ppp default local enable secret 5 $1$XUyx$r3JYNZKhBNcOU4xhwGhQs0 ! ip subne