Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2
VIRTUAL PRIVATE NETWORK
Objetivos
• Comprender la dinámica de establecimiento de una VPN con IPsec.
• Configurar una red VPN con IPsec en los routers R1 y R3.
• Verificar el funcionamiento de la VPN.
I. INTRODUCCIÓN
Los túneles VPN punto a punto (Site-to-Site) con IPsec (IP Security) permiten la transmisión
segura de datos, voz y vídeo entre dos sitios. El túnel se crea sobre internet y es encriptado
usando un número de algoritmos avanzados para proveer confidencialidad y seguridad de
la información transmitida entre ambos sitios.
ISAKMP (Internet Security Association and Key Management Protocol) y IPsec son esenciales
para construir y encriptar el túnel VPN. IKE (Internet Key Exchange), que incluye el ISAKMP,
es el protocolo de negociación que permite a dos hosts acordar cómo construir una
asociación de seguridad (SA) en IPsec. La negociación conlleva dos partes: Fase 1 (Figura 1)
y Fase 2 (Figura 2). La fase 1 crea el primer túnel, que protege los mensajes de negociación
ISAKMP que se envían después. La fase 2 crea el túnel que protege la información. Luego
IPsec encripta la información con los algoritmos definidos y provee autenticación,
encriptación y servicios de anti-reenvío de paquetes.
1
Redes de Comunicación - UNITEC 2017
tener el módulo del algoritmo, y se recomienda que sea mayor que el tamaño en bits de la
llave de encriptación o autenticación a usar.
2
Redes de Comunicación - UNITEC 2017
3
Redes de Comunicación - UNITEC 2017
III. PROCEDIMIENTO
4
Redes de Comunicación - UNITEC 2017
6.
Tome en cuenta que el túnel VPN es entre los routers 1 y 3, no se le hará ninguna otra
configuración al router 2.
Recuerde que IKE existe sólo para establecer SAs para IPsec, pero antes de eso se debe
negociar un ISAKMP SA con el otro router.
5
Redes de Comunicación - UNITEC 2017
6
Redes de Comunicación - UNITEC 2017
1. Para crear la fase 2 se utiliza el transform-set del IPsec. Escriba el siguiente comando
en ambos routers y responda la pregunta 2 del cuestionario.
crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
PARA SALIR DEL TRANSFORM-SET CONFIGURATION MODE USE exit
2. Cree una ACL extendida que permita el tráfico entre las 2 redes LAN.
7
Redes de Comunicación - UNITEC 2017
3. Para asociar el tráfico de una ACL a un túnel se utiliza el crypto map. Escriba lo
siguiente en los dos routers:
8
Redes de Comunicación - UNITEC 2017
R1(config-crypto-map)#exit
4. Aplicar el crypto map a las interfaces seriales de los routers 1 y 3 con el comando
crypto map map_name NOMBRE DEL MAPA UTILIZADO.
9
Redes de Comunicación - UNITEC 2017
10
Redes de Comunicación - UNITEC 2017
11
Redes de Comunicación - UNITEC 2017
7. Haga ping entre las interfaces seriales de los routers 1 y 3. Repita el paso 6 y responda
la pregunta 6.
12
Redes de Comunicación - UNITEC 2017
13
Redes de Comunicación - UNITEC 2017
14
Redes de Comunicación - UNITEC 2017
IV. CUESTIONARIO
1. Investigue cuál es la relación entre ISAKMP e IKE. Nota: Cisco se refiere a ellos
indistintamente, pero si existe una diferencia.
R: La diferencia es que el Ike establece políticas de seguridad compartida y las
respectivas claves autenticadas , y en cambio ISAKMP es el protocolo cuya función
es especificar la mecánica del intercambio de claves .
2. ¿Qué es un transport-set? ¿Qué propósito tiene dentro de IPsec?
R El transport-set es una serie de combinaciones tanto AH , ASP, y para lo que es un
modo de IPSec.
3. En las SA del ISAKMP, ¿qué es lo que aparece y por qué?
R: Aparecen una serie de métodos de autenticación y en las respectivas SA se
requieren las que son políticas únicas por eso se necesitan estos métodos.
4. En las SA del ISAKMP, ¿cuándo cambiará la salida de este comando?
R: La salida de este comando cambiara cuando se envié lo que es tráfico de ambos
extremos de lo que es el túnel.
5. En las SA de IPsec, ¿por qué todavía no se han negociado las SA?
6. Después de hacer ping entre los routers, ¿se crearon las asociaciones de seguridad?
¿Por qué sí o por qué no?
R : No se crearon porque las SA solo se crean entre los datos que se transmiten por
las redes Lan.
Después de hacer ping en las computadoras, ¿se crearon las asociaciones de
seguridad? ¿Por qué sí o por qué no?
R : Si se crearon
7. ¿Qué configuración debe ser la misma en ambos extremos de la VPN?
Resultados Teóricos
15
Redes de Comunicación - UNITEC 2017
8. No aplica
Resultados Experimentales
1. Capturas de pantalla solicitadas en el procedimiento.
Resultados Simulados
1. No aplica.
16