Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccin
Este documento introduce el concepto de red privada virtual (VPN) dentro de un entorno inalmbrico. Este documento explica las
configuraciones que deben llevarse a cabo durante la implementacin de un tnel de VPN entre un cliente inalmbrico y un servidor VPN a
travs de un controlador para redes LAN inalmbricas.
Requisitos previos
Requerimientos
Asegrese de que cumple estos requerimientos antes de intentar esta configuracin:
Tener conocimiento sobre WLC y cmo configurar los parmetros bsicos de WLC
Tener conocimiento sobre conceptos relacionados con el acceso Wi-Fi protegido (WPA)
Tener conocimiento bsico sobre VPN y sus tipos
Tener conocimiento sobre IPsec
Tener conocimiento bsico sobre los algoritmos de cifrado, autenticacin y hash
Componentes utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:
WLC 2006 de Cisco que ejecuta firmware versin 4.0.179.8
Puntos de acceso ligero (LAP) de la serie 1000 de Cisco
Cisco 3640 que ejecute el software Cisco IOS versin 12.4(8)
Cliente VPN de Cisco versin 4.8
Nota: En este documento se utiliza un router 3640 como servidor VPN. Para poder admitir funciones ms avanzadas de seguridad puede utilizar
tambin un servidor VPN dedicado.
Nota: Para que un router acte como un servidor VPN, es necesario que utilice un conjunto de funciones que admitan IPsec bsico.
La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.
Antecedentes
Una VPN es una red de datos privada que se utiliza para transmitir de forma segura los datos dentro de una red privada a travs de una
infraestructura de telecomunicaciones pblica como puede ser Internet. Esta VPN mantiene la privacidad de los datos a travs de la utilizacin de
un protocolo de tunelizacin y procedimientos de seguridad.
IPsec
IPsec es un marco de normas abiertas desarrollado por el Grupo de trabajo en ingeniera de Internet (IETF). IPsec proporciona seguridad para la
transmisin de informacin confidencial por redes no protegidas, como Internet.
IPsec proporciona cifrado de datos de red en el nivel de paquete IP, que ofrece una solucin de seguridad robusta basada en normas. La principal
tarea del IPsec es permitir el intercambio de informacin privada a travs de una conexin no segura. IPsec utiliza el cifrado para proteger la
informacin de intercepciones o escuchas furtivas. Sin embargo, para utilizar el cifrado de manera eficaz, ambas partes deben compartir un
secreto que se utilice tanto en el cifrado como en el descifrado de la informacin.
IPsec funciona en dos fases para permitir el intercambio confidencial de un secreto compartido:
Fase 1: administra las negociaciones de los parmetros de seguridad necesarios para establecer un canal seguro entre dos pares IPsec. La
fase 1 normalmente se implementa a travs del protocolo de intercambio de claves de Internet (IKE). Si el par IPsec remoto no puede llevar
a cabo el IKE, puede utilizar la configuracin manual con claves previamente compartidas para completar la fase 1.
Fase 2: utiliza el tnel seguro establecido en la fase 1 para intercambiar los parmetros de seguridad necesarios para transmitir realmente
los datos del usuario. Los tneles de seguridad que se utilizan en ambas fases de IPsec se basan en asociaciones de seguridad (SA)
utilizadas en cada punto extremo del IPsec. Las SA describen parmetros de seguridad, como el tipo de autenticacin y cifrado que ambos
puntos extremos aceptan utilizar.
Los parmetros de seguridad intercambiados en la fase 2 se utilizan para crear un tnel IPsec que se utiliza a su vez para la transmisin de datos
entre el cliente VPN y el servidor.
Consulte Configuracin de IPsec para obtener ms informacin acerca de IPsec y su configuracin.
Una vez que se ha establecido un tnel de VPN entre el cliente VPN y el servidor, se envan al cliente las polticas de seguridad definidas en el
servidor VPN. As se minimizan los requerimientos de configuracin del lado del cliente.
Nota: Utilice la herramienta Command Lookup Tool (slo para clientes registrados) para obtener ms informacin acerca de los comandos utilizados
en este documento.
Diagrama de la red
En este documento se utilizan las configuraciones siguientes:
Direccin IP de la interfaz de administracin del WLC: 172.16.1.10/16
Configuracin
En una arquitectura centralizada de WLAN, para permitir que un cliente VPN inalmbrico como un equipo porttil establezca un tnel de VPN
con un servidor VPN, es necesario que dicho cliente se asocie con un punto de acceso ligero (LAP) que a su vez debe estar registrado con un
WLC. En este documento se asume que el LAP se encuentra ya registrado con el WLC mediante el proceso de deteccin de multidifusin de
subred local explicado en Registro de AP ligero (LAP) en un controlador para redes LAN inalmbricas (WLC) (en ingls).
El siguiente paso es configurar el WLC para VPN.
5. Configure la poltica WPA y el tipo de administracin de claves de autenticacin que desee utilizar.
En este ejemplo se utiliza Pre-Shared Key (PSK) (Clave previamente compartida (PSK)) como administracin de claves de autenticacin.
Una vez que ha seleccionado PSK, elija ASCII como formato PSK e introduzca el valor PSK. Este valor deber ser el mismo que el de la
configuracin del SSID del cliente inalmbrico, para que los clientes que pertenecen a dicho SSID puedan asociarse con esta WLAN.
6. Seleccione VPN Pass-through (Transferencia VPN) como seguridad de capa 3. A continuacin se muestra el ejemplo.
7. Una vez que se ha seleccionado la transferencia VPN como seguridad de capa 3, agregue la direccin de la puerta de enlace VPN tal y
como muestra el ejemplo.
Esta direccin de puerta de enlace deber ser la direccin IP de la interfaz que termina el tnel de VPN en el lado del servidor. En este
ejemplo, la direccin IP de la interfaz s3/0 (192.168.1.11/24) en el servidor VPN es la direccin de la puerta de enlace que se desea
configurar.
8. Haga clic en Apply (Aplicar). La WLAN denominada vpnclient est ya configurada para la transferencia VPN.
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
!--- Create an Internet Security Association and Key Management
!--- Protocol (ISAKMP) policy for Phase 1 negotiation.
hash md5
!--- Choose the hash algorithm to be md5.
authentication pre-share
!--- The authentication method selected is pre-shared.
group 2
!--- With the group command, you can declare what size modulus to
!--- use for Diffie-Hellman calculation. Group 1 is 768 bits long,
!--- and group 2 is 1024 bits long.
crypto isakmp client configuration group employee
key cisco123
pool mypool
!
!--- Create the Phase 2 policy for actual data encryption.
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!--- Create a dynamic map and apply the transform set that was created.
!--- Set reverse-route for the VPN server.
crypto dynamic-map mymap 10
set transform-set myset
reverse-route
!
crypto map clientmap isakmp authorization list employee
!--- Create the crypto map.
crypto map clientmap client configuration address
crypto map clientmap 10 ipsec-isakmp dynamic mymap
!
!--- Apply the employee group list that was created earlier.
!
!
!
!
interface Ethernet0/0
ip address 10.0.0.20 255.0.0.0
half-duplex
!
interface Serial3/0
ip address 192.168.1.11 255.255.255.0
clock rate 64000
no fair-queue
crypto map clientmap
ip http server
no ip http secure-server
!
ip route 172.16.0.0 255.255.0.0 192.168.1.10
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end
ip subnet-zero . . .
!
end
Nota: En este ejemplo se utiliza nicamente la autenticacin de grupos. No incluye autenticacin de usuario individual.
3. Introduzca el nombre en Connection Entry (Entrada de conexin) junto con una descripcin. En este ejemplo se utiliza vpn.
El campo de la descripcin es opcional. Introduzca la direccin IP del servidor VPN en la casilla Host. A continuacin, introduzca el
nombre de grupo VPN y la contrasea y haga clic en Save (Guardar).
Nota: El nombre de grupo y la contrasea aqu configurados debern ser los mismos que los del servidor VPN. Este ejemplo utiliza el
nombre employee y la contrasea cisco123.
Verificacin
Para verificar esta configuracin, configure el SSID vpnclient en el cliente inalmbrico con los mismos parmetros de seguridad configurados en
el WLC y asocie dicho cliente a esta WLAN. Existe un gran nmero de documentos que explican cmo configurar un cliente inalmbrico con un
nuevo perfil.
Una vez que se ha asociado el cliente inalmbrico, vaya al cliente VPN y haga clic en la conexin que ha configurado. A continuacin, haga clic
en Connect (Conectar) en la ventana principal del cliente VPN.
Puede ver los parmetros de seguridad de fase 1 y fase 2 negociados entre el cliente y el servidor.
Nota: Para establecer este tnel de VPN, debe existir alcance IP entre el cliente VPN y el servidor. Si el cliente VPN no es capaz de contactar con
la puerta de enlace de seguridad (servidor VPN), el tnel no se establece y aparecer un cuadro de alerta en el lado del cliente con el siguiente
mensaje:
Reason 412: The remote peer is no longer responding
Para asegurarse de que se ha establecido correctamente un tnel de VPN entre el cliente y el servidor, encontrar un icono de bloqueo creado
junto al cliente VPN establecido. En la barra de estado tambin indicar Connected to "vpn" (Conectado a vpn). A continuacin se muestra un
ejemplo:
Asimismo, asegrese de que puede transmitir datos correctamente al segmento LAN en el lado de servidor desde el cliente VPN y viceversa. En
el men principal del cliente VPN, elija Status > Statistics (Estado > Estadsticas). Aqu podr encontrar las estadsticas de los paquetes cifrados
y descifrados que pasan a travs del tnel.
En esta captura de pantalla puede ver la direccin de cliente 10.0.0.57. sta es la direccin que el servidor VPN asigna al cliente desde su
agrupacin configurada de manera local, una vez que se ha llevado a cabo con xito la negociacin de la fase 1. Una vez establecido el tnel, el
servidor VPN agrega de manera automtica una ruta a dicha direccin IP de DHCP en su tabla de rutas.
Tambin puede ver cmo aumenta el nmero de paquetes cifrados mientras los datos se transfieren desde el cliente al servidor, y cmo aumenta
el nmero de paquetes descifrados durante una transferencia de datos en sentido inverso.
Nota: Puesto que el WLC est configurado para la transferencia VPN, el cliente slo puede acceder al segmento conectado a la puerta de enlace
VPN (en este ejemplo, el servidor VPN 192.168.1.11) configurada para la transferencia. El resto del trfico se filtra.
Para verificarlo, puede configurar otro servidor VPN con la misma configuracin y configurar una nueva entrada de conexin para este servidor
VPN en el cliente VPN. Ahora, cuando intente establecer un tnel con este servidor VPN, no podr. Esto se debe a que el WLC filtra este trfico
y slo permite un tnel a la direccin de la puerta de enlace VPN configurada para la transferencia VPN.
Tambin puede verificar la configuracin desde la CLI del servidor VPN.
La herramienta Output Interpreter (Intrprete de resultados) (OIT) (slo para clientes registrados) admite determinados comandos show. Utilice la OIT
para ver un anlisis del resultado del comando show.
Nota: Consulte Informacin importante sobre comandos de depuracin (en ingls) antes de utilizar los comandos de depuracin.
Estos comandos show que se utilizan en el servidor VPN pueden ser tiles para ayudarle a verificar el estado del tnel.
El comando show crypto session se utiliza para verificar el estado del tnel. ste es un ejemplo del resultado de dicho comando.
Crypto session current status
Interface: Serial3/0
Session status: UP-ACTIVE
Peer: 172.16.1.20 port 500
IKE SA: local 192.168.1.11/500 remote 172.16.1.20/500
Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 10.0.0.58
Active SAs: 2, origin: dynamic crypto map
El comando show crypto isakmp policy se utiliza para ver los parmetros de la fase 1 configurada.
Resolucin de problemas
Los comandos de debug y show explicados en la seccin Verificacin se pueden utilizar tambin para la resolucin de problemas.
debug crypto isakmp
debug crypto ipsec
show crypto session
El comando debug crypto isakmp en el servidor VPN muestra el proceso completo de negociacin de la fase 1 entre el cliente y el
El comando debug crypto ipsec en el servidor VPN muestra la negociacin IPsec correcta de la fase 1 y la creacin del tnel de VPN. A
continuacin se muestra un ejemplo:
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------*Aug 28 10:40:04.267: IPSEC(key_engine): got a queue event with 1 kei messages
*Aug 28 10:40:04.271: IPSEC(spi_response): getting spi 2235082775 for SA
from 192.168.1.11 to 172.16.1.20 for prot 3
*Aug 28 10:40:04.279: IPSEC(key_engine): got a queue event with 2 kei messages
*Aug 28 10:40:04.279: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= 192.168.1.11, remote= 172.16.1.20,
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= 10.0.0.58/0.0.0.0/0/0 (type=1),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 2147483s and 0kb,
spi= 0x8538A817(2235082775), conn_id= 0, keysize= 0, flags= 0x2
*Aug 28 10:40:04.279: IPSEC(initialize_sas): ,
(key eng. msg.) OUTBOUND local= 192.168.1.11, remote= 172.16.1.20,
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= 10.0.0.58/0.0.0.0/0/0 (type=1),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 2147483s and 0kb,
spi= 0xFFC80936(4291299638), conn_id= 0, keysize= 0, flags= 0xA
*Aug 28 10:40:04.283: IPSEC(rte_mgr): VPN Route Event create routes for
peer or rekeying for peer 172.16.1.20
*Aug 28 10:40:04.283: IPSEC(rte_mgr): VPN Route Refcount 1 Serial3/0
*Aug 28 10:40:04.283: IPSEC(rte_mgr): VPN Route Added
10.0.0.58 255.255.255.255 via 172.16.1.20 in IP DEFAULT TABLE with tag 0
*Aug 28 10:40:04.283: IPSec: Flow_switching Allocated flow for sibling 8000001F
*Aug 28 10:40:04.283: IPSEC(policy_db_add_ident): src 0.0.0.0, dest 10.0.0.58,
dest_port 0
*Aug 28 10:40:04.287: IPSEC(create_sa): sa created,
(sa) sa_dest= 192.168.1.11, sa_proto= 50,
sa_spi= 0x8538A817(2235082775),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2002
*Aug 28 10:40:04.287: IPSEC(create_sa): sa created,
(sa) sa_dest= 172.16.1.20, sa_proto= 50,
sa_spi= 0xFFC80936(4291299638),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2001