Documentos de Académico
Documentos de Profesional
Documentos de Cultura
la Conectividad Site-to-
Site
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Captulo 7: Seguridad de la Conectividad
Site-to-Site
7.1 VPNs
7.2 Tneles GRE de Site-to-Site
7.3 Presentacin de IPsec
7.4 Acceso Remoto
7.5 Resumen
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2
Captulo 7: Objetivos
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
Presentacin de IPsec
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
Seguridad de Protocolo de Internet
IPsec VPNs
La informacin de
una red privada se
transporta de
manera segura a
travs de una red
pblica.
Forma una red virtual
en lugar de usar una
conexin dedicada
de capa 2.
Para que siga siendo
privado, el trfico se
cifra a fin de
mantener la
confidencialidad de
los datos.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
Seguridad de Protocolo de Internet
Caractersticas de IPsec
Define cmo una VPN se puede configurar de forma segura mediante IP.
Marco de estndares abiertos que se establecen las normas para las
comunicaciones seguras.
No unido a ningn tipo de cifrado especfico, autenticacin, algoritmos
de seguridad, o introducir la tecnologa.
Se basa en los algoritmos existentes para implementar comunicaciones
seguras.
Trabaja en la capa de red, la proteccin y autenticacin de paquetes IP
entre dispositivos IPsec participantes.
Asegura un camino entre dos puertas de enlace, dos hosts, o una puerta
de enlace y el host.
Todas las implementaciones de IPsec tienen un encabezado de texto
plano de capa 3, por lo que no hay problemas con el enrutamiento.
Funciones sobre los protocolos de capa 2, tales como Ethernet, ATM o
Frame Relay.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
Seguridad de Protocolo de Internet
Caractersticas de IPsec
Las caractersticas de IPsec se pueden resumir de la siguiente
manera:
IPsec es un marco de estndares abiertos que no depende de
algoritmos.
IPsec proporciona confidencialidad e integridad de datos, y
autenticacin del origen.
IPsec funciona en la capa de red, por lo que protege y autentica
paquetes IP.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
Seguridad de Protocolo de Internet
Encapsulacin IPsec
Encriptado
Autenticado
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
Seguridad de Protocolo de Internet
Ejemplo de encapsulacin IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 IPsec VPN .1
Fa0/0 Branch HQ Fa0/0
S0/0/1 S0/0/1
.10 .242 .226
.10
209.165.200.240 /29
Internet 209.165.200.224 /29
.241 .225
ISP
Original IP Header Original IP Header
Source IP: 192.168.1.10 TCP Data Source IP: 192.168.1.10 TCP Data
Destination: 10.10.10.10 Destination: 10.10.10.10
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
Marco del Protocolo IPsec
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
Estructura IPsec
Marco del Protocolo IPsec (Cont.)
Los componentes de
la configuracin de
IPSec.
Se deben seleccionar
cinco componentes
bsicos del marco de
IPsec.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
Estructura IPsec
Marco del Protocolo IPsec (Cont.)
Protocolo IPsec: Al
configurar un Gateway
IPsec para proporcionar
servicios de seguridad, se
debe seleccionar un
protocolo IPsec.
Las opciones son una
combinacin de ESP y AH.
En realidad, las opciones
de ESP o ESP+AH casi
siempre se seleccionan
porque AH en s mismo no
proporciona el cifrado,
como se muestra en la
figura
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
Estructura IPsec
Marco del Protocolo IPsec (Cont.)
Confidencialidad (si se implementa IPsec con ESP): DES, 3DES o
AES. Se recomienda AES, ya que AES-GCM proporciona la mayor
seguridad. Romper una clave de 128 bits, con la misma computadora,
puede llevar unos 10^19 aos.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
Estructura IPsec
Marco del Protocolo IPsec (Cont.)
Integridad: garantiza que el contenido no se haya alterado en trnsito
mediante el uso de algoritmos de hash (MD5 o SHA). IPsec asegura
que los datos llegan a destino sin modificaciones.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
Estructura IPsec
Marco del Protocolo IPsec (Cont.)
Autenticacin: representa cmo se establece la clave secreta
compartida y es la forma en que se autentican los dispositivos en
cualquiera de los extremos del tnel VPN (PSK o RSA).
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15
Estructura IPsec
Marco del Protocolo IPsec (Cont.)
Grupo de algoritmos DH: representa la forma en que se establece
una clave secreta compartida entre los peers. DH24 proporciona la
mayor seguridad.
DH
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
Protocolo de IPsec
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17
Estructura IPsec
Protocolo IPsec
Como se mencion anteriormente, el marco del protocolo IPSec describe la
mensajera para proteger las comunicaciones, pero depende de los
algoritmos existentes.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18
Estructura IPsec
Protocolo IPsec (Cont.)
Encabezado de autenticacin (AH)
Protocolo que se debe utilizar cuando no se requiere o no se permite la
confidencialidad. AH es el protocolo IP 51
Proporciona la autenticacin y la integridad de datos para los paquetes
IP que se transmiten entre dos sistemas. Todo el texto se transporta sin
cifrar. Se provee una proteccin dbil.
No proporciona la confidencialidad (el cifrado) de datos de los paquetes.
4. El router destinatario
Received calcula el hash
Recomputed
del Hash
encabezado y losHashdatos del
RouterA paquete, = (00ABCDEF)
utilizando
(00ABCDEF) la clave secreta
2. El hash construye un nuevo compartida, extrae el hash transmitido
encabezado AH, el cual es en el encabezado AH y compara ambos
insertado en el paquete original
Presentation_ID
hashes. 20
2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Funcin de ESP
Internet
Router Router
IP HDR Data IP HDR Data
ESP ESP
New IP HDR ESP HDR IP HDR Data Trailer Auth
Encrypted
Authenticated
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21
Seguridad de IPsec
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
Seguridad de Protocolo de Internet
Servicios de seguridad IPsec
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23
Seguridad de Protocolo de Internet
Servicios de seguridad IPsec
Confidencialidad (cifrado): cifrado de los datos antes de
transmitirlos a travs de la red
Integridad de datos: verificar que los datos se hayan transmitido a
travs de Internet sin sufrir ningn tipo de modificaciones ni
alteraciones, si se detecta una alteracin, el paquete se descarta
Autenticacin: verifica la identidad del origen de los datos que se
envan, asegura que se cree una conexin con el compaero de
comunicacin deseado, IPsec utiliza el intercambio de claves de
Internet (IKE) para autenticar a los usuarios y dispositivos que
pueden llevar a cabo la comunicacin de manera independiente.
Proteccin antireproduccin: es la capacidad de detectar y
rechazar los paquetes reproducidos, y ayuda a prevenir la
suplantacin de identidad
El acrnimo CIA se suele utilizar para ayudar a recordar las
iniciales de estas tres funciones: confidencialidad, integridad y
autenticacin.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24
Estructura IPsec
Confidencialidad con Cifrado
Para que la comunicacin cifrada funcione, el emisor y el receptor deben
conocer las reglas que se utilizan para transformar el mensaje original a
su forma cifrada.
Las reglas se basan en algoritmos y claves asociadas.
El descifrado es extremadamente difcil o imposible sin la clave correcta.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25
Estructura IPsec
Algoritmos de Cifrado
Cuanto ms larga es la clave, se torna ms difcil descifrarla. Sin
embargo, una clave ms larga requiere ms recursos de procesador
para cifrar y descifrar datos.
Existen dos tipos principals de cifrado:
Cifrado simtrico
Cifrado asimtrico
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26
Estructura IPsec
Cifrado Simtrico
Cifrado y descifrado utilizan la misma clave.
Cada uno de los dos dispositivos de red debe conocer la clave para
decodificar la informacin.
Cada dispositivo cifra la informacin antes de enviarla a travs de la
red al otro dispositivo.
Por lo general, se utilizan para cifrar el contenido del mensaje.
Ejemplos: DES, 3DES (no son considerados seguros hoy) y AES
(recomendada de 256-bits para cifrado IPsec con Cisco).
Adems, dado que se descifraron claves de Rivest, Shamir y Adleman
(RSA) de 512 bits y 768 bits, Cisco recomienda utilizar claves de
2048 bits con la opcin RSA si se la utiliz durante la fase de
autenticacin de IKE.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27
Estructura IPsec
Cifrado Asimtrico
El cifrado y el descifrado utilizan claves diferentes.
Aunque conozca una de las claves, un pirata informtico no puede
deducir la segunda clave y decodificar la informacin.
Una clave cifra el mensaje, mientras que una segunda clave descifra
el mensaje.
Clave pblica es una variante del cifrado asimtrico que utiliza una
combinacin de una clave privada y una pblica.
Por lo general, se usan en la certificacin digital y la administracin de
claves
Ejemplo: RSA
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28
Intercambio de Claves de
Diffie-Hellman
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29
Estructura IPsec
Intercambio de Claves de Diffie-Hellman
Diffie-Hellman (DH) no es un mecanismo de cifrado y no se suele
utilizar para cifrar datos. DH forma parte del estndar IPsec.
DH es un mtodo para intercambiar con seguridad las claves que cifran
datos. Los algoritmos (DH) permiten que dos partes establezcan la
clave secreta compartida que usan el cifrado y los algoritmos de hash.
De estos grupos, los routers Cisco soportan el Grupo 1 (claves de 768
bits), Grupo 2 (claves de 1024 bits) y Grupo 5 (claves de 1536 bits).
Los algoritmos de cifrado, como DES, 3DES y AES, as como los
algoritmos de hash MD5 y SHA-1, requieren una clave secreta
compartida simtrica para realizar el cifrado y el descifrado.
El algoritmo DH especifica un mtodo de intercambio de clave pblica
que proporciona una manera para que dos peers establezcan una clave
secreta compartida que solo ellos conozcan, aunque se comuniquen a
travs de un canal inseguro.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30
Estructura IPsec
Intercambio de Claves de Diffie-Hellman
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31
Algoritmos de Hash
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32
Estructura IPsec
Integridad con los Algoritmos de Hash
Los algoritmos de hash manejan la integridad y la autenticacin del
trfico VPN.
Los hashes proporcionan integridad y autenticacin de datos al
asegurar que las personas no autorizadas no alteren los mensajes
transmitidos.
Un hash, tambin denominado sntesis del mensaje, es un
nmero que se genera a partir de una cadena de texto.
El hash es ms corto que el texto en s.
Se genera mediante el uso de una frmula, de tal manera que es
muy poco probable que otro texto produzca el mismo valor de
hash.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33
Estructura IPsec
Integridad con los Algoritmos de Hash
El emisor original genera un hash del mensaje y lo enva con el
mensaje propiamente dicho.
El destinatario analiza el mensaje y el hash, produce otro hash a
partir del mensaje recibido y compara ambos hashes.
Si son iguales, el destinatario puede estar lo suficientemente
seguro de la integridad del mensaje original.
Las VPN utilizan un cdigo de autenticacin de mensajes para
verificar la integridad y la autenticidad de un mensaje, sin
utilizar ningn mecanismo adicional.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34
Estructura IPsec
Integridad con los Algoritmos de Hash (cont.)
El cdigo de autenticacin de mensajes basado en hash (HMAC) es un
mecanismo para la autenticacin de mensajes mediante funciones de hash.
Un HMAC tiene dos parmetros: una entrada de mensaje y una clave secreta que
solo conocen el autor del mensaje y los destinatarios previstos.
El emisor del mensaje utiliza una funcin HMAC para producir un valor (el cdigo
de autenticacin de mensajes) que se forma mediante la compresin de la clave
secreta y la entrada de mensaje.
El cdigo de autenticacin de mensajes se enva junto con el mensaje.
El receptor calcula el cdigo de autenticacin de mensajes en el mensaje recibido
con la misma clave y la misma funcin HMAC que utiliz el emisor.
El receptor compara el resultado que se calcul con el cdigo de autenticacin de
mensajes que se recibi.
Si los dos valores coinciden, el mensaje se recibi correctamente y el receptor se
asegura de que el emisor forma parte de la comunidad de usuarios que
comparten la clave.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35
Estructura IPsec
Integridad con los Algoritmos de Hash (cont.)
Hay dos algoritmos HMAC comunes:
HMAC-Message Digest 5 (HMAC-MD5): utiliza una clave secreta
compartida de 128 bits. El mensaje de longitud variable y la clave
secreta compartida de 128 bits se combinan y se procesan con el
algoritmo de hash HMAC-MD5. El resultado es un hash de 128 bit. El
hash se adjunta al mensaje original y se enva al extremo remoto.
HMAC-Secure Hash Algorithm 1 (HMAC-SHA-1): SHA-1 utiliza una
clave secreta de 160 bits. El mensaje de longitud variable y la clave
secreta compartida de 160 bits se combinan y se procesan con el
algoritmo de hash HMAC-SHA1. El resultado es un hash de 160 bits. El
hash se adjunta al mensaje original y se enva al extremo remoto.
Nota: el IOS de Cisco tambin admite implementaciones de SHA de 256 bits,
384 bits y 512 bits.
HMAC-SHA-1 es considerado ms criptogrficamente fuerte que HMAC-MD5.
Es recomendado cuando es importante obtener una seguridad levemente superior.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36
Estructura IPsec
Integridad con los Algoritmos de Hash (cont.)
Los algoritmos de hash representan la integridad, que puede
implementarse utilizando algoritmos de hash como MD5 o SHA. IPsec
asegura que los datos llegan a destino sin modificaciones.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37
Autenticacin IPsec
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38
Estructura IPsec
Autenticacin IPsec
Las VPN con IPsec admiten la autenticacin.
El dispositivo en el otro extremo del tnel VPN se debe autenticar
para que la ruta de comunicacin se considere segura.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39
Estructura IPsec
Autenticacin IPsec (cont.)
Existen dos mtodos de autenticacin de peers, PSK y firmas RSA:
PSK
clave secreta que se comparte entre las dos partes que utilizan un
canal seguro antes de que se necesite utilizarla.
Utilizan algoritmos criptogrficos de clave simtrica.
Se introduce una PSK en cada peer de forma manual y se la
utiliza para autenticar el peer.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40
Estructura IPsec
Autenticacin IPsec (cont.)
Firmas RSA
Se intercambian certificados digitales para autenticar los peers.
El dispositivo local deriva un hash y lo cifra con su clave privada.
El hash cifrado, o la firma digital, se vincula al mensaje y se
reenva hacia el extremo remoto.
En el extremo remoto, se descifra el hash cifrado con la clave
pblica del extremo local.
Si el hash descifrado coincide con el hash recalculado, la firma es
genuina.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41
Estructura IPsec
Autenticacin IPsec (cont.)
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42
Negociacin VPN IPsec
Sitio-a-Sitio
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43
Negociacin VPN IPsec Sitio-a-Sitio
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44
Fases de IKE
R1 R2
Host A Host B
2. Intercambio de 2. Intercambio de
claves DH claves DH
3. Verificar la identidad de
3. Verificar la identidad de
par remoto
par remoto
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45
Negociacin VPN IPsec Sitio-a-Sitio
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
1. Un tnel IPsec se inicia cuando un host A
enva trfico "interesante" al host B.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 46
Negociacin VPN IPsec Sitio-a-Sitio
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
IKE SA IKE Phase 1 IKE SA
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 47
Negociacin VPN IPsec Sitio-a-Sitio
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
IPsec SA IKE Phase 2 IPsec SA
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 48
Negociacin VPN IPsec Sitio-a-Sitio
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
IPsec Tunnel
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 49
Negociacin VPN IPsec Sitio-a-Sitio
Host A Host B
RouterA RouterB
10.0.2.3
10.0.1.3
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 50
Pasos para configurar una
VPN IPsec
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 51
Pasos para configurar una VPN IPsec
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 52
Pasos para configurar una VPN IPsec
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 53
Pasos para configurar una VPN IPsec
Step 3: Configure IPSec transform set.
Definir el conjunto de transformacin IPsec. La definicin de los
conjuntos de transformacin define los parmetros que utiliza el
tnel IPsec.
Este conjunto puede incluir los algoritmos de cifrado e integridad.
Step 4: Crear una crypto ACL.
La crypto ACL define qu trfico es enviado a travs del tnel
IPSec y protege el proceso IPsec. Ambos elementos de una VPN
deben tener ACLs recprocas.
Step 5: Crear y aplicar un crypto-map.
El crypto-map agrupa los parmetros configurados previamente y
define los dispositivos IPsec. Este se aplica a la interfaz de salida
del dispositivo VPN.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 54
Ejemplo 1 VPN
IPsec Sitio-a-Sitio
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 55
Ejemplo para configurar una VPN IPsec
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 56
Parte 1: Habilitar las caractersticas de
seguridad al ios del router
Paso 1: Activar el mdulo securityk9.
Se debe activar la licencia del paquete de tecnologa de seguridad para
completar esta actividad.
R1(config)# license boot module c2900 technology-package
securityk9
R1(config)# end
R1# copy running-config startup-config
R1# reload
Una vez finalizada la recarga, vuelva a emitir el comando show version
para verificar si se activ la licencia del paquete de tecnologa de
seguridad.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 57
Parmetros de poltica de fase 1 de ISAKMP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 58
Parte 2: Configurar los parmetros de
IPsec en el R1
Paso 1: Identificar el trfico interesante en el R1.
Configure la ACL 110 para identificar como interesante el trfico
proveniente de la LAN en el R1 a la LAN en el R3.
Este trfico interesante activa la VPN con IPsec para que se
implemente cada vez que haya trfico entre las LAN de los routers
R1 y R3.
El resto del trfico que se origina en las LAN no se cifra. Recuerde
que debido a la instruccin implcita deny any, no hay necesidad de
agregar dicha instruccin a la lista.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 59
Parte 2: Configurar los parmetros de
IPsec en el R1
Paso 2: Configurar las propiedades de la fase 1 de ISAKMP en
el R1.
Configure las propiedades de la poltica criptogrfica ISAKMP 10
en el R1 junto con la clave criptogrfica compartida cisco.
Consulte la tabla de la fase 1 de ISAKMP para ver los parmetros
especficos que se deben configurar.
No es necesario que se configuren los valores predeterminados,
por lo que solo se deben configurar el cifrado, el mtodo de
intercambio de claves y el mtodo DH.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 60
Parte 2: Configurar los parmetros de
IPsec en el R1
Paso 2: Configurar las propiedades de la fase 1 de ISAKMP en
el R1.
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# encryption aes
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# exit
R1(config)# crypto isakmp key cisco address 10.2.2.2
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 61
Parmetros de poltica de fase 2 de IPsec
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 62
Parte 2: Configurar los parmetros de
IPsec en el R1
Paso 3: Configurar las propiedades de la fase 2 de ISAKMP en
el R1.
Cree el conjunto de transformaciones VPN-SET para usar esp-
3des y esp-sha-hmac.
A continuacin, cree la asignacin criptogrfica VPN-MAP que
vincula todos los parmetros de la fase 2.
Use el nmero de secuencia 10 e identifquelo como una
asignacin ipsec-isakmp.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 63
Parte 2: Configurar los parmetros de
IPsec en el R1
Paso 3: Configurar las propiedades de la fase 2 de ISAKMP en el
R1.
R1(config)# crypto ipsec transform-set VPN-SET esp-3des esp-sha-
hmac
R1(config)# crypto map VPN-MAP 10 ipsec-isakmp
R1(config-crypto-map)# description VPN connection to R3
R1(config-crypto-map)# set peer 10.2.2.2
R1(config-crypto-map)# set transform-set VPN-SET
R1(config-crypto-map)# match address 110
R1(config-crypto-map)# exit
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 64
Parte 2: Configurar los parmetros de
IPsec en el R1
Paso 4: Configurar la asignacin criptogrfica en la interfaz
de salida.
Por ltimo, vincule la asignacin criptogrfica VPN-MAP a la
interfaz de salida Serial 0/0/0.
Nota: esta actividad no se califica.
R1(config)# interface S0/0/0
R1(config-if)# crypto map VPN-MAP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 65
Parte 3: Configurar los parmetros de
IPsec en el R3
Paso 1: Configurar el router R3 para admitir una VPN de sitio
a sitio con el R1.
Ahora configure los parmetros recprocos en el R3. Configure la
ACL 110 para identificar como interesante el trfico proveniente de
la LAN en el R3 a la LAN en el R1.
R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255
192.168.1.0 0.0.0.255
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 66
Parte 3: Configurar los parmetros de
IPsec en el R3
Paso 2: Configurar las propiedades de la fase 1 de ISAKMP en
el R3.
Configure las propiedades de la poltica criptogrfica ISAKMP 10
en el R3 junto con la clave criptogrfica compartida cisco.
R3(config)# crypto isakmp policy 10
R3(config-isakmp)# encryption aes
R3(config-isakmp)# authentication pre-share
R3(config-isakmp)# group 2
R3(config-isakmp)# exit
R3(config)# crypto isakmp key cisco address 10.1.1.2
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 67
Parte 3: Configurar los parmetros de
IPsec en el R3
Paso 3: Configurar las propiedades de la fase 2 de ISAKMP en
el R1.
Como hizo en el R1, cree el conjunto de transformaciones VPN-
SET para usar esp-3des y esp-sha-hmac.
A continuacin, cree la asignacin criptogrfica VPN-MAP que
vincula todos los parmetros de la fase 2.
Use el nmero de secuencia 10 e identifquelo como una
asignacin ipsec-isakmp.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 68
Parte 3: Configurar los parmetros de
IPsec en el R3
Paso 3: Configurar las propiedades de la fase 2 de ISAKMP en
el R1.
R3(config)# crypto ipsec transform-set VPN-SET esp-3des esp-
sha-hmac
R3(config)# crypto map VPN-MAP 10 ipsec-isakmp
R3(config-crypto-map)# description VPN connection to R1
R3(config-crypto-map)# set peer 10.1.1.2
R3(config-crypto-map)# set transform-set VPN-SET
R3(config-crypto-map)# match address 110
R3(config-crypto-map)# exit
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 69
Parte 3: Configurar los parmetros de
IPsec en el R3
Paso 4: Configurar la asignacin criptogrfica en la interfaz
de salida.
Por ltimo, vincule la asignacin criptogrfica VPN-MAP a la
interfaz de salida Serial 0/0/1. Nota: esta actividad no se califica.
R3(config)# interface S0/0/1
R3(config-if)# crypto map VPN-MAP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 70
Parte 3: Configurar los parmetros de
IPsec en el R3
Paso 1: Verificar el tnel antes del trfico interesante.
Emita el comando show crypto ipsec sa en el R1. Observe que la cantidad de
paquetes encapsulados, cifrados, desencapsulados y descifrados se establece en 0.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 71
Parte 3: Configurar los parmetros de
IPsec en el R3
Paso 2: Crear el trfico interesante.
Haga ping de la PC-A a la PC-C.
Paso 3: Verificar el tnel despus del trfico interesante.
En el R1, vuelva a emitir el comando show crypto ipsec sa.
Ahora observe que la cantidad de paquetes es superior a 0, lo que
indica que el tnel VPN con IPsec funciona.
R1# show crypto ipsec sa
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 72
Parte 3: Configurar los parmetros de
IPsec en el R3
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 73
Ejemplo 2 VPN
IPsec Sitio-a-Sitio
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 74
Ejemplo VPN IPsec Sitio-a-Sitio
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 75
Configuracin del router Branch con IPsec VPN
Branch# conf t
Branch(config)# crypto isakmp policy 1
Branch(config-isakmp)# encryption aes
ISAKMP Policy
Especifica los detalles de configuracin
Branch(config-isakmp)# authentication pre-share iniciales de la VPN
Branch(config-isakmp)# group 2
Branch(config-isakmp)# exit
Branch(config)# crypto isakmp key cisco123 address 209.165.200.226
Branch(config)#
IPsec Details
Especifica como los
paquetes Ipsec
Branch(config)# crypto ipsec transform-set HQ-VPN esp-sha-hmac esp-3des
sern encapsulados
Branch(cfg-crypto-trans)# exit
Branch(config)#
Branch(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255
Branch(config)#
Branch(config)#
Crypto ACL
Especifica el trfico que ser
Branch(config)# crypto map HQ-MAP 10 ipsec-isakmp enviado a la VPN para activarla
% NOTE: This new crypto map will remain disabled until a peer
Branch(config-crypto-map)# set transform-set HQ-VPN
Branch(config-crypto-map)# set peer 209.165.200.226
VPN Tunnel Information
Crea el crypto map que
combinar la poltica ISAKMP,
Branch(config-crypto-map)# match address 110 el conjunto de transformacin
Branch(config-crypto-map)# exit IPsec, las direcciones de las
Branch(config)# int s0/0/1 parejas VPN y la crypto ACL
Branch(config-if)# crypto map HQ-MAP
Branch(config-if)# ^Z Apply the Crypto Map
Identifica cual interface es usada como parte activa de la
Branch# VPN
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 76
Ejemplo de verificacin de VPN IPsec
Verificando
Comando y Descripcin
corrigiendo IPsec
show crypto map Muestra contenidos especficos en una configuracin de
crypto map
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 77
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 78
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
<output omitted>
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 79
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 80
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Branch#
*Mar 26 16:35:21.251: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [35]
*Mar 26 16:35:21.307: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [35]
*Mar 26 16:35:21.307: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [36]
*Mar 26 16:35:21.367: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [36]
*Mar 26 16:35:21.367: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [37]
*Mar 26 16:35:21.423: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [37]
*Mar 26 16:35:21.423: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [38]
*Mar 26 16:35:21.479: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [38]
*Mar 26 16:35:21.483: NAT: s=192.168.1.1->209.165.200.249, d=10.10.10.1 [39]
*Mar 26 16:35:21.539: NAT*: s=209.165.200.238, d=209.165.200.249->192.168.1.1 [39]
Branch#
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 81
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 82
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 83
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Limpiar las traducciones NAT y las Sas IPsec y generar trfico VPN
interesante.
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 84
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
<output omitted>
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 85
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Interface: Serial0/0/1
Session status: UP-ACTIVE
Peer: 209.165.200.226 port 500
IKE SA: local 209.165.200.242/500 remote 209.165.200.226/500 Active
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 10.10.10.0/255.255.255.0
Active SAs: 2, origin: crypto map
Branch#
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 86
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
interface: Serial0/0/1
Crypto map tag: HQ-MAP, local addr 209.165.200.242
<output omitted>
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 87
Ejemplo de verificacin de VPN IPsec
192.168.1.0 /24 10.10.10.0 /24
.1 .1
Fa0/0
IPsec VPN
Branch HQ Fa0/0
S0/0/1 S0/0/1
.242 .226
.241 .225
Branch Server NAT Pool NAT Pool Email Server
192.168.1.254 209.165.200.249 ISP 209.165.200.233 10.10.10.238
(209.165.200.254) 209.165.200.253/29 209.165.200.237 /29 (209.165.200.238)
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 88
Verificar y resolver
problemas de la
configuracin IPsec
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 89
Test and Verify IPsec
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 90
Show crypto map Command
Site 1 Site 2
RouterA RouterB
A
Internet B
10.0.1.3 S0/1 S0/1 10.0.2.3
172.30.1.2 172.30.2.2
router#
show crypto map
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 91
Show crypto isakmp policy Command
Site 1 Site 2
RouterA RouterB
A
Internet B
10.0.1.3 10.0.2.3
router#
show crypto isakmp policy
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 92
Show crypto ipsec sa
Site 1 Site 2
RouterA RouterB
A
Internet B
10.0.1.3 S0/1 S0/1 10.0.2.3
172.30.1.2 172.30.2.2
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 93
Show crypto ipsec transform-set Command
Site 1 Site 2
RouterA RouterB
A
Internet B
S0/1 S0/1
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
router#
show crypto ipsec transform-set
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 94
Debug crypto isakmp
router#
debug crypto isakmp
1d00h: ISAKMP (0:1): atts are not acceptable. Next payload is 0 1d00h: ISAKMP (0:1); no
offers accepted!
1d00h: ISAKMP (0:1): SA not acceptable!
1d00h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main Mode failed with peer at 172.30.2.2
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 95
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 96