Configuraracion de una VPN Site-to-Site

=========================================
Hay dos partes fundamentales en la implementacion de una VPN IPSEC:

> Implementar los parametros IKE (Pasos 1 y 2)

> Implementar los parametros IPSEC

1. Habilitar las politicas IKE

================================
Habilitando IKE para las funciones ipsec
R1(config)# crypto isakmp enable

Establecer una politca de Internet Security Association and Key Management Protocol
(ISAKMP)
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# encryption aes 256
R1(config-isakmp)# hash sha
R1(config-isakmp)# group 5
R1(config-isakmp)# lifetime 3600
R1(config-isakmp)# exit

2. Configurar Clave Pre-Compartida

===================================
Configurar en el router una clave que apunta a su otro terminal VPN
R1(config)# crypto isakmp key cisco123 address 10.2.2.1

3. Configure las politicas IPSEC

=================================
El conjunto de transformacin IPsec especifica el cifrado,algoritmos y funciones
que un router emplea en los paquetes de datos enviados a travs del tnel de IPsec.
Estos algoritmos incluyen el cifrado, la encapsulacin, la autenticacin, y
servicios de integridad de datos que puede aplicar IPsec.

En R1, creamos un conjunto de transformacin con la etiqueta 50 y que use un

protocolo de seguridad encapsuladora (ESP), transformar con un sistema de cifrado
AES de 256 bytes con ESP y la funcin hash SHA. Los conjuntos de transformacion
deben coincidir en ambos routers.

R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

Tambin se puede cambiar los tiempos de vida de la asociacin de seguridad IPsec

desde los parametros por defecto de 3600 segundos, o 4 608 000 kilobytes, lo que
ocurra primero.

En R1 y R3, configuramos la seguridad de la asociacin de vida IPsec a 30 minutos,

o 1800 segundos.

R1(config)# crypto ipsec security-association lifetime seconds 1800

4. Definir el trafico permitido

==============================
R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

5. Crear y aplicar un mapa criptografico

========================================
R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# match address 101
 R1(config-crypto-map)# set peer 10.2.2.1
R1(config-crypto-map)# set pfs group5
R1(config-crypto-map)# set transform-set 50
R1(config-crypto-map)# set security-association lifetime seconds 1800
R1(config-crypto-map)# exit

Aplicar el mapa criptografico en las interfaces

R1(config)# interface S0/0/0
R1(config-if)# crypto map CMAP
R1(config-if)#exit

Verificando la configuracion VPN

================================
show crypto isakmp policy
show crypto ipsec transform-set
show crypto map
show crypto ipsec sa

===================================================================================
===================================================================================
crypto isakmp enable
crypto isakmp policy 10
authentication pre-share
encryption aes 256
hash sha
group 5
lifetime 3600
exit
crypto isakmp key cisco123 address 10.1.1.1
crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 1800
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
crypto map CMAP 10 ipsec-isakmp
match address 101
set peer 10.1.1.1
set pfs group5
set transform-set 50
set security-association lifetime seconds 1800
exit
interface S0/0/1
crypto map CMAP
exit
===================================================================================
===================================================================================