Está en la página 1de 3

TUNNEL GRE

Para configurar GRE se deben seguir los siguientes pasos

PASO 1 - Enrutamiento basico

Se debe aplicar algun tipo de enrutamiento para la conexión física de nuestros


equipos al armar la topologia. Tambien se debe tener en cuenta cual será la
conexión lógica de nuestro enrutamiento ya que esta NO debe ir en este
enrutamiento.

PASO 2 - Crear interfaz tunnel

Para que el tipo de VPN GRE funcione se necesitan de interfaces "virtuales" llamadas
tunnel interfaces estas nos darán la conexión lógica entre nuestras redes.

Para crear la interfaz tunnel se debe configurar los siguiente en los 2 peers:

Router(config)# interface
tunnel0
Router(config-if)# tunnel source <interfaz de origen que ve al
peer>
Router(config-if)# tunnel destination <ip "real" del peer> <mascara de
red>
Router(config-if)# ip address <ip_tunnel
"virtual">

PASO 3 - Enrutamiento para las interfaces tunnel

Para que haya comunicación en la VPN se debe aplicar enrutamiento con distinto AS
del anterior.

hasta aqui concluimos con la configuración de tunnel GRE, a continuación va como se configura tunnel GRE con
seguridad, tan solo se debe agregar a la configuración anterior los siguientes pasos:

SECURE GRE
PASO 4 - Crear IKE Policies and peers

Esto sirve para el intercambio de IKEs entre los peers, para que pueda haber
comunicación estas deben estar configuradas de igual manera en ambos lados, si la
password y la validación son incorrectas no habrá comunicación.

> Paso 1 - Habilitar crypto ISAKMP: Esto se debe hacer en los 2 routers
con el siguientes comando:

Router(config)# crypto isakmp enable

> Paso 2 – Configurando parametros de las IKE: Para que la negociación


entre las IKE comienze a funcionar se debe:

- Crear ISAKMP (internet security association and key management


protocol) este parametro determina que metodos de encriptacion y seguridad
tendremos al momento de autenticarnos con nuestro peer. (recordar que
debe tener los mismos parametros nuestro peer para poder autenticarnos).
En los 2 routers se debe configurar lo siguiente:

Router(config)# crypto isakmp policy <numero ID>


Router(config-isakmp)# authentication pre-share
Router(config-isakmp)# encryption aes 256
Router(config-isakmp)# hash sha
Router(config-isakmp)# group 5
Router(config-isakmp)# lifetime 3600

Además de la configuración anterior se debe crear la KEY que irá asociada al


peer:

Router(config)# crypto isakmp key <KEY_ID> address <IP real peer


destino>

PASO 5 - IPsec Transform sets

IPsec transform set es otro metodo de encriptación entre los peers, al igual que
ISAKMP debe existir un “match” entre las configuraciones de cada lado de la VPN.
En los 2 routers se debe configurar lo siguiente:

R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ah-sha-


hmac
R1(cfg-crypto-trans)# exit

PASO 6 - Elegir que trafico encriptar

Esto se debe hacer mediante accesslists, En los 2 routers se debe configurar lo


siguiente:

Router(config)# access-list <ID> permit gre host <IP_real origen> host


<destino_real>

PASO 7 - Realizar el Crypto Map

Crypto Map es un mapeo del trafico asociado a la access-list de los peers o varias
IKE y IPsec policies. Crypto Map puede tener varios tipos de mapeos, puedes tener
un cierto tipo de trafico encriptado y enviado a un peer de IPsec mientras que con
otra access-list distinta puede tener un cifrado hacia un peer distinto del otro.

Despues de crear los Crypto Maps se pueden aplicar en una o mas interfaces, estas
interfaces deben tener al otro extremo un peer con IPsec (sin IPsec no sirve).

Para configuara Crypto Map se necesita especificar un TYPE el cual usaremos


ipsec-isakmp ya que con este tipo de IKE estamos usando para establecer security
asociation (SA). En caso contrario si tuviesemos configurado con el type ipsec-
manual la IKE no será usada para configurar SA.

En los 2 routers se debe configurar lo siguiente:

Router(config)# crypto map <word-ID> 10 ipsec-isakmp


Router(config-crypto-map)# match address <id de la ACL>
Router(config-crypto-map)# set peer <ip del peer>
Router(config-crypto-map)# set transform-set mytrans
-> Luego se debe setear el crypto map a una interfaz real

Router(conf-if)# crypto map <word_ID>