CONFIGURACIN VPN SITE TO SITE

YADFARY MONTOYA
NATALIA HERNNDEZ
SONIA DEYANIRA CARATAR
BRENDA MARCELA TOVAR

ADMINISTRACIN DE REDES DE COMPUTADORES

JULIAN CIRO RAMIREZ

FICHA

230490

SENA
CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL
MEDELLN
2012

ESQUEMA IMPLEMENTADO

CONFIGURACION VPN EN ROUTER CISCO

Configuremos de acuerdo a las fases:
Fase 1: configurar las polticas isakmp (IKE).
Internet Security Association and Key Management Protocol (ISAKMP) es un protocolo
criptogrfico que constituye la base del protocollo de intercambio de claves IKE.
Authentication: Pre-share
Hash: MD5 o SHA
Encryption: DES, 3DES, AES.
Group: 1,2
Crypto isakmp
1. Configuramos las interfaces.

2. Empezamos con la fase 1.

Crypto isakmp policy 1: se crea la poltica identificndose por su nmero de prioridad 1
(1-10.000; 1 prioridad ms alta).
Encryption 3des: es el algoritmo simtrico de cifrado DES y tiene una longitud de clave
de 168 bits.
Hash sha: sha (Secure Hash Algorithm) es un algoritmo de hash utilizado para
autenticar paquetes de datos.
Authentication pre-share: clave pre-compartida, es una cadena de texto de una vpn
espera recibir las credenciales.

Group 2: identificador de grupo, (1, 768-bit Diffie-Hellman) (2,

1024-bit diffie-hellman).
Lifetime: tiempo de vida en segundos de la asociacion de seguridad 86400s=1 dia.

Crypto isakmp keepalive 12 2 (opcional): intervalo de los paquetes hello (12-nmero

de segundos entre conexiones activas), (2-nmero de segundos entre reintentos si
falla keepalive).
Crypto isakmp identity address: para cambiar el mtodo de identificacin de peer.

Crypto isakmp key 0 redes230490 ip_route_remota: secreto compartido con el router

remoto (asa).

Fase 2: configurar las polticas IPSec.

IPsec es un protocolo que est sobre la capa del protocolo de Internet (IP). Le permite
a dos o ms equipos comunicarse de forma segura (de ah el nombre).
Crypto ACL
IPSEC Transform set

Ip Access-list extended ping: nos permite darle nombre a la lista de acceso.

Permit ip source_address source_wilcard destination_address
destination_wilcard:indicamos las direcciones de origen y destino que permitir el
acceso.

Crypto ipsec transform-set strong esp-3des esp-sha-hmac: establece las polticas de

seguridad IPSEC que se usaran en las comunicaciones, eligiendo el modo transporte
(AH) o tnel (ESP).

Fase 3: configurar crypto map.

Es una signacion que asocia el trafico que coincide con una lista de acceso a un par
de nodos y a diversas polticas IKE y opciones de IPSec
Definicin del Crypto map
Set peer
Match address (ACL)
Aplicacin del crypto map a la interfaz
Crypto map trafico 1 ipsec-isakmp: le damos el nombre al crypto map y el numero de
secuencia de entrada.

Set transform-set strong: Especifica que conjuntos de transformacin se puede utilizar

con la entrada del mapa criptogrfico.

Set pfs group2: Especifica que IPSec debe pedir confidencialidad directa perfecta
(PFS) al solicitar nuevas asociaciones de seguridad para esta entrada crypto mapa, o
que IPSec requiere PFS al recibir las solicitudes de las asociaciones de seguridad
nuevas.
Set peer ip_route_remoto: Especifica un oyente IPSec en una entrada crypto mapa.

Match address ping: Especifica una lista de acceso extendida para una entrada crypto
mapa.

Interface f0/0: interfaz donde se aplicara el crypto map.

Crypto map nombre: dar a conocer el nombre del crypto map aplicndola a la interfaz.

Show Access-list ping: nos permitir ver las listas de acceso (ACL).
Show crypto ipsec transform-set: Muestra los conjuntos de transformacin
configurados.
Show crypto map: Muestra la configuracin de cifrado mapa.

Show crypto ipsec sa

VER CONFIGURACIN COMPLETA DEL ASA EN EL SIGUIENTE ENLACE

Running-config Router

ASDM

Desde el Hyperterminal digitamos las siguientes lneas de comando:

# dir flash:/
# aaa authentication http console LOCAL
# username cisco password cisco
# http server enable
# http 172.16.0.2 255.255.0.0 inside
# asdm image flash:/asdm-645.bin
#wr
Abrimos el explorador (Internet Explorer) y digitamos la direccin de la interfaz
Inside o Gateway 172.16.0.1 y damos click sobre el botn Run ASDM.

Click en Si.

Click en Ejecutar.
Ingresamos el usuario y contrasea que configuramos desde el Hyperterminal,
click en OK.

ACLs

CONFIGURACION VPN EN ASA

Seleccione el sitio a sitio VPN IPsec de tipo tnel y haga clic en Next , como se
muestra aqu.

Ingrese la informacin de autenticacin a utilizar, que es la clave pre-compartida

en este ejemplo. La clave pre-compartida utilizada en este ejemplo
es redes230490 . El nombre del grupo tnel ser su direccin IP por defecto
fuera de si configura L2L VPN. Haga clic en Next.

Especificar los atributos de usar para IKE, tambin conocida como Fase 1. Estos
atributos deben ser los mismos tanto en el ASA y el router IOS. Haga clic en Next.

Especificar los atributos de usar para IPsec, tambin conocida como Fase 2. Estos
atributos deben coincidir tanto en el ASA y el router IOS. Haga clic en Next.

Especifique los hosts cuyo trfico se debe permitir que pase a travs del tnel
VPN. En este paso, usted tiene que proporcionar los locales y redes
remotas para el tnel VPN. Haga clic en el botn al lado de las redes
Locales como se muestra aqu para elegir la direccin de la red local de la lista
desplegable.

Los atributos definidos por el Asistente para VPN se muestran en este

resumen. Revise la configuracin y haga clic en Finish cuando est seguro de la
configuracin es correcta.

VER CONFIGURACIN COMPLETA DEL ASA EN EL SIGUIENTE ENLACE

running config ASA
PING DE LOCAL A REMOTO

PING DE REMOTO A LOCAL

CAPTURA DESDE El HYPERTERMINAL (CLI):

CAPTURA DESDE ASDM (Modo Grfico):