Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VPN Site To Site
VPN Site To Site
Mapa Topología:
Configuración Básica
Site1>enable
Site1#configure terminal
Site1(config)#interface serial 0/0
Site1(config-if)#ip address 11.0.0.5 255.255.255.252
Site1(config-if)#no shutdown
Site1(config-if)#clock rate 64000
Site1(config-if)#exit
Site1(config)#interface fastEthernet 0/0
Site1(config-if)#ip address 172.16.10.1 255.255.255.0
Site1(config-if)#no shutdown
Site1(config-if)#exit
Site1(config)#ip dhcp pool Site1
Site1(dhcp-config)#network 172.16.10.0 255.255.255.0
Site1(dhcp-config)#default-router 172.16.10.1
Site1(dhcp-config)#exit
Site1(config)#do wr
Site1(config)#end
Site1#ping 172.16.10.2
Site1#
Configuración de VPN
Site1#
Site1#configure terminal
Crypto Policy
El cifrado de políticas permite definir lo que la configuración de seguridad ISAKMP que estará
entre estos los 2 peers. En nuestro ejemplo, se establece la política de utilizar IPSEC (con el cifrado
AES) y la autenticación se establece con clave pre-compartida.
Site1(config)#crypto isakmp policy 1: Define la política IKE (Internet Key Exchange), Una política
IKE define una combinación de parámetros de seguridad (cifrado, hash, autenticación y DH) que
serán usados durante la negociación IKE. Se puede establecer la prioridad de protección del
conjunto en el rango (1-10000) siendo 1 la prioridad más alta. En ambos nodos deben crearse
políticas (tantas como se quieran ordenadas por prioridad) y, al menos, debe existir una igual en
los 2 extremo para poder autenticar el enlace.
Site1(config-isakmp)#authentication pre-share: Utiliza el método de Autenticación de clave
compartida. Tambien puede utilizarse el método de encriptación Rivest-Shamir-Adleman
Encryption o Rivest-Shamir-Adleman Signature. RSA signatures: hay que configurar ambos nodos
para obtener los certificados de una CA. RSA encrypted nonces: cada nodo debe tener en su poder
la clave pública del otro nodo. Pre-Shared keys: a. Establecer la identidad ISAKMP de cada nodo
(nombre o IP). b. Establecer el secreto compartido en cada nodo.
Site1(config-isakmp)#hash sha: Elige el algoritmo sha (Secure Hash Algorithm) como el algoritmo
de hash a utilizar para la integridad y autenticidad de la información. Puede utilizar también el
algoritmo MD5 (Message Digest 5).
Site1(config-isakmp)#encryption aes 256: Especifica 256 bits de AES (Advanced Encryption
Standard) como el algoritmo de cifrado dentro de laa política IKE que definimos con anterioridad.
Puede utilizarse DES o 3DES (Data Encryption Standard).
Site1(config-isakmp)#group 2: Especifica el identificador de Diffi-Hellman a utilizar. Este es un
protocolo de establecimiento de claves entre partes que no han tenido contacto previo, utilizando
un canal inseguro, y de manera anónima (no autenticada). Se emplea generalmente como medio
para acordar claves simétricas que serán empleadas para el cifrado de una sesión (establecer clave
de sesión). Siendo no autenticado, sin embargo, provee las bases para varios protocolos
autenticados.
Site1(config-isakmp)#lifetime 86400: Especifica el tiempo de vida que tendrá la conexión antes de
que se vuelva a reiniciar y se renueven las claves compartidas entre los enrutadores es decir la
asociación de seguridad (AS). Es indispensable preservar el máximo tiempo para que no se reinicie
muy periódicamente la conexión de la VPN sitio a sitio.
Site1(config-isakmp)#exit
Crypto Key:
Se utiliza una clave pre-compartida entre los dos Routers formando una VPN IPSec (Internet
Protocol Security)
Site1(config)#crypto isakmp key cisco address 11.0.0.6: Indica que va la clave es cisco y que la va a
compartir con el Router remoto que tiene asignada la IP 11.0.0.6.
Site1(config)#crypto ipsec security-association lifetime seconds 86400: Especifica el tiempo de
vida que tendrá el túnel IPSEC entre los enrutadores.
IPSec Transform-set:
Se usa para configurar las opciones del cifrado IPSec entre los 2 Routers que forman la VPN IPSec.
Access-list:
La lista de acceso es muy importante, puesto que define que trafico viaja y no viaja encriptado
entre los 2 enrutadores. Si el tráfico no está permitido en la ACL, el tráfico no se encripta.
Crypto Map:
El mapa de cifrado es la función que trae la asociación entre la política aplicada, la clave, el
transform-set y la lista de acceso de manera que todo se integra. Se puede definir un nombre para
el crypto-map y el mismo nombre será utilizado para aplicar el crypto-map a una interfaz.
Cuando el enrutador se inicializa, la VPN está apagada. El túnel encriptado es formado cuando el
primer paquete es enviado y coincide con el criterio de la lista de acceso de manera que esta se le
aplica, esto se conoce como emparejamiento o match. Se puede utilizar el comando show crypto
map para ver la información del mapa de cifrado en la configuración actual.
Configuración Básica
Site2>enable
Site2#configure terminal
Site2(config)#interface serial 0/0
Site2(config-if)#ip address 11.0.0.6 255.255.255.252
Site2(config-if)#no shutdown
Site2(config-if)#clock rate 64000
Site2(config-if)#exit
Site2(config)#interface fastEthernet 0/0
Site2(config-if)#ip address 192.168.50.1 255.255.255.0
Site2(config-if)#no shutdown
Site2(config-if)#exit
Site2(config)#ip dhcp pool Site2
Site2(dhcp-config)#network 192.168.50.0 255.255.255.0
Site2(dhcp-config)#default-router 192.168.50.1
Site2(dhcp-config)#exit
Site2(config)#do wr
Site2(config)#end
Site2#ping 192.168.50.2
Site2#
Configuración VPN
Site2#
Site2#configure terminal
Site2(config)#crypto isakmp policy 1
Site2(config-isakmp)#authentication pre-share
Site2(config-isakmp)#hash sha
Site2(config-isakmp)#encryption aes 256
Site2(config-isakmp)#group 2
Site2(config-isakmp)#lifetime 86400
Site2(config-isakmp)#exit
Site2(config)#crypto isakmp key cisco address 11.0.0.5
Site2(config)#crypto ipsec security-association lifetime seconds 86400
Site2(config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac
Site2(cfg-crypto-trans)#exit
Site2(config)#access-list 101 permit ip 192.168.50.0 0.0.0.255 172.16.10.0 0.0.0.255
Site2(config)#crypto map site2_to_site1 10 ipsec-isakmp
Site2(config-crypto-map)#set peer 11.0.0.5
Site2(config-crypto-map)#set pfs group2
Site2(config-crypto-map)#set security-association lifetime seconds 86400
Site2(config-crypto-map)#match address 101
Site2(config-crypto-map)#set transform-set myset
Site2(config-crypto-map)#end
Site2#configure terminal
Site2(config)#interface serial 0/0
Site2(config-if)#crypto map site2_to_site1
Site2(config-if)#exit
Site2(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0
Site2(config)#exit
Site2#wr
Site2#