Está en la página 1de 5

Pasos Configuracin de VPN sitio a sitio

1. Crear las polticas IKE IKE es un protocolo que define el mtodo de intercambio de claves sobre IP en una primera fase de negociacin segura. La poltica IKE controla la autenticacin, el algoritmo de encriptacin y el mtodo de intercambio de claves usado por la IKE Habilitar IKE SITIO_A (config) #crypto isakmp enable Crear una poltica ISAKMP (Internet Security Association and Key Management Protocol).Se encarga de establecer el tnel entre las LAN remotas. ISAKMP es un protocolo criptogrfico que constituye la base del protocolo de intercambio de claves IKE. sta poltica define la autenticacin, los algoritmos de encriptacin y la funcin hash utilizada para enviar trfico de control entre los dos nodos de la VPN. Configurar: Autenticacin de claves pre-compartidas. Encriptacin AES 256 (es decir una clave de 256 bits) SHA como algoritmo hash Diffie-Hellman grupo 5 (1536 bits). Tiempo de vida de 3600 segundos( Es el tiempo mximo en el que una poltica de seguridad se utiliza sin necesidad de negociarla de nuevo)

SITIO_A (config) #crypto isakmp policy 10 SITIO_A (config-isakmp) #authentication pre-share SITIO_A (config-isakmp) #encryption aes 256 SITIO_A (config-isakmp) #hash sha SITIO_A (config-isakmp) #group 5 SITIO_A (config-isakmp) #lifetime 3600 SITIO_B (config) #crypto isakmp policy 10 SITIO_B (config-isakmp) #authentication pre-share SITIO_B (config-isakmp) #encryption aes 256 SITIO_B (config-isakmp) #hash sha SITIO_B (config-isakmp) #group 5 SITIO_B (config-isakmp) #lifetime 3600 2. Configurar claves pre compartidas Configurar una clave en cada router que se corresponda con el otro nodo de la VPN. Las contraseas deben coincidir para que la autenticacin sea correcta La clave es sssa y colocar las direcciones IP de la interfaz de red del router del extremo opuesto SITIO_A (config) #crypto isakmp key sssa address 200.2.2.1 SITIO_B (config) #crypto isakmp key sssa address 200.1.1.2 3. Configurar IPsec transform set IPsec transform set es un parmetro de configuracin cifrada que negocian los routers para formar asociaciones de seguridad. SITIO_A (config) #crypto ipsec transform-set MYT esp-aes 256 esp-sha-hmac SITIO_B (config) #crypto ipsec transform-set MYT esp-aes 256 esp-sha-hmac Especificar el tiempo de seguridad asociado. Cambiar el lmite de tiempo SITIO_A (config)#crypto ipsec security-association lifetime seconds 1800 SITIO_B (config)#crypto ipsec security-association lifetime seconds 1800 4. Definir una ACL para seleccionar el trfico que se ir por la VPN Eencriptar el trfico procedente de la direccin de loopback de SITIO_A hasta la direccin de loopback de SITIO_B y la direccin de loopback de SITIO_B hasta la direccin de loopback de SITIO_A SITIO_A (config) #access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.3.0 0.0.0.255 SITIO_B(config) #access-list 101 permit ip 172.16.3.0 0.0.0.255 10.0.0.0 0.0.0.255

5. Crear y aplicar los mapas de encriptacin Crypto map es una asignacin que asocia el trfico que coincide con una lista de acceso (como la definida anteriormente) a un par de nodos y a diversas polticas IKE y opciones de Ipsec. SITIO_A(config)#crypto map MAPA1 10 ipsec-isakmp SITIO_B(config)#crypto map MAPA1 10 ipsec-isakmp Utilizar el comando match address junto al nmero de la lista de acceso creada para especificar qu lista de acceso definir el trfico a encriptar. SITIO_A (config-crypto-map) #match address 101 Los comandos set peer, aplicar a la interfaz del nodo del otro extremo de la VPN. Adems seleccionar el transform set MYT que se configuro. Seleccionar el comando set pfs claves esta clave est directamente relacionado con el tipo de mdulo Diffie-Hellman seleccionado, podemos modificar el tiempo de vida de la Asociacin de Seguridad. SITIO_A (config-crypto-map) #set peer 200.2.2.1 SITIO_A (config-crypto-map) #set pfs group5 SITIO_A (config-crypto-map) #set transform-set MYT SITIO_A (config-crypto-map) #set security-association lifetime seconds 900 SITIO_A (config)#crypto map MAPA1 10 ipsec-isakmp SITIO_B (config-crypto-map) #match address 101 SITIO_B (config-crypto-map) #set peer 200.1.1.1 SITIO_B (config-crypto-map) #set pfs group5 SITIO_B (config-crypto-map) #set transform-set MYT SITIO_B (config-crypto-map) #set security-association lifetime seconds 900 SITIO_B (config) #crypto map MAPA1 10 ipsec-isakmp 6. Aplicar los mapas a las interfaces SITIO_A (config) #interface se1/0 SITIO_A (config-if) #crypto map MAPA1

SITIO_B (config) #interface se1/0 SITIO_B (config-if) #crypto map MAPA1 7. Verificar la configuracin

show crypto isakmp policy muestra las polticas ISAKMP configuradas en el router Show crypto ipsec transform set muestra por pantalla las polticas IPsec configuradas en los transform sets. Show crypto map muestra los mapas de cifrado que se han aplicado al router. 8. Verificar operacin ipsec. Show crypto isakmp sa muestra asociaciones de seguridad IKE. Todava no existen estas asociaciones seguridad IKE todava. Esta informacin de salida se ver modificada en cuanto se comience a enviar trfico. Show crypto ipsec sa muestra las asociaciones de seguridad. Visualizamos la ausencia, de paquetes enviados a travs y asociaciones de seguridad. 9. interpretar eventos de depuracin. La fase 1 de IKE (ISAKMP) negociar el canal seguro entre los nodos, autenticar a su vecino si tiene la clave secreta correcta, y autenticar el nodo remoto a travs del canal seguro. El resultado es una asociacin de seguridad ISAKMP bidireccional. Los intercambios son de entrada/salida, por lo que cada evento se guarda en la depuracin como un evento de entrada desde cada router local hasta el router remoto SITIO_A#debug crypto isakmp *Crypto ISAKMP debugging is on SITIO_A #debug crypto ipsec *Crypto IPSEC debugging is on Enviar un ping extendido desde la direccin de loopback de SITIO_A hasta la direccin de loopback de SITIO_B y visualizar la depuracin de la salida de ambos routers. Muestra tanto la negociacin ISAKMP como el establecimiento de la asociacin de seguridad IPsec. SITIO_A # ping Protocol [ip]: Target IP address: 10.1.1.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 172.16.3.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]:

Loose, String, Record, Timestamp, Verbose [none]: Sweep range of sizes [n]: Cancelar la instruccin de depuracin SITIO_A# undebug all All possible debugging has been turned off

Verificar que los paquetes generados desde una LAN a la otra se estn cifrando con Ipsec SITIO_A# Show crypto ipsec sa