Redes de Comunicación - UNITEC 2017

2
VIRTUAL PRIVATE NETWORK

Objetivos
• Comprender la dinámica de establecimiento de una VPN con IPsec.
• Configurar una red VPN con IPsec en los routers R1 y R3.
• Verificar el funcionamiento de la VPN.

I. INTRODUCCIÓN

Los túneles VPN punto a punto (Site-to-Site) con IPsec (IP Security) permiten la transmisión
segura de datos, voz y vídeo entre dos sitios. El túnel se crea sobre internet y es encriptado
usando un número de algoritmos avanzados para proveer confidencialidad y seguridad de
la información transmitida entre ambos sitios.

ISAKMP (Internet Security Association and Key Management Protocol) y IPsec son esenciales
para construir y encriptar el túnel VPN. IKE (Internet Key Exchange), que incluye el ISAKMP,
es el protocolo de negociación que permite a dos hosts acordar cómo construir una
asociación de seguridad (SA) en IPsec. La negociación conlleva dos partes: Fase 1 (Figura 1)
y Fase 2 (Figura 2). La fase 1 crea el primer túnel, que protege los mensajes de negociación
ISAKMP que se envían después. La fase 2 crea el túnel que protege la información. Luego
IPsec encripta la información con los algoritmos definidos y provee autenticación,
encriptación y servicios de anti-reenvío de paquetes.

Diffie-Hellman es un protocolo de criptografía de llave pública que permite que dos

dispositivos puedan establecer una llave privada compartida mediante un canal de
comunicaciones no seguro. Se definen grupos con el número máximo de bits que puede

1
 Redes de Comunicación - UNITEC 2017

tener el módulo del algoritmo, y se recomienda que sea mayor que el tamaño en bits de la
llave de encriptación o autenticación a usar.

Figura 1: Esquema de intercambio de llaves en la fase I

2
 Redes de Comunicación - UNITEC 2017

Figura 2: Esquema de intercambio de llaves en la fase 2

II. COMANDOS A UTILIZAR

Se irán describiendo a lo largo de la práctica.

3
 Redes de Comunicación - UNITEC 2017

III. PROCEDIMIENTO

3.1. CONFIGURAR LA RED

Figura 3: Topología de red para la VPN

1. Conecte los equipos de acuerdo a la topología mostrada en la Figura 3. Asegúrese

de que los routers 1 y 3 soporten ISAKMP usando el comando crypto isakmp

enable, no es necesario que router 2 utilice ISAKMP.

2. Configure todas las interfaces y asigne IPs a las computadoras.
3. Configure EIGRP como protocolo de enrutamiento para la práctica.
4. Compruebe que existe comunicación entre las computadoras haciendo ping entre
ellas.

5. Tome capturas de pantalla del comando show ip route.

4
 Redes de Comunicación - UNITEC 2017

6.

Tome en cuenta que el túnel VPN es entre los routers 1 y 3, no se le hará ninguna otra
configuración al router 2.

3.2. CONFIGURAR ISAKMP

En esta parte se configura la Fase 1 mencionada en la introducción.

Recuerde que IKE existe sólo para establecer SAs para IPsec, pero antes de eso se debe
negociar un ISAKMP SA con el otro router.

1. Habilite ISAKMP en los routers 1 y 3 usando crypto isakmp enable.

2. Una vez habilitado, necesitamos definir los parámetros de autenticación y
encriptación para el primer túnel. Configure la misma ISAKMP policy en ambos
routers:

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#authentication pre-share MÉTODO DE AUTENTICACIÓN
R1(config-isakmp)#encryption aes 256 MÉTODO DE ENCRIPTACIÓN

5
 Redes de Comunicación - UNITEC 2017

R1(config-isakmp)#hash sha ALGORITMO DE HASHING

R1(config-isakmp)#group 5 GRUPO DIFFIE-HELLMAN A USAR
R1(config-isakmp)#lifetime 3600 TIEMPO DE VIDA DE LA LLAVE DE SESIÓN
3. Verifique en ambos routers la configuración anterior usando el comando crypto

isakmp policy. Tome capturas en ambos routers.

4. Configure en ambos las pre-shared keys necesarias para la autenticación usando el

siguiente comando:
crypto isakmp key key-string address peer-address

3.3. CONFIGURAR IPSEC

En esta parte se configura la Fase 2, la ACL extendida y el crypto map.

6
 Redes de Comunicación - UNITEC 2017

1. Para crear la fase 2 se utiliza el transform-set del IPsec. Escriba el siguiente comando
en ambos routers y responda la pregunta 2 del cuestionario.
crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
PARA SALIR DEL TRANSFORM-SET CONFIGURATION MODE USE exit
2. Cree una ACL extendida que permita el tráfico entre las 2 redes LAN.

7
 Redes de Comunicación - UNITEC 2017

3. Para asociar el tráfico de una ACL a un túnel se utiliza el crypto map. Escriba lo
siguiente en los dos routers:

R1(config)#crypto map map_name 10 ipsec-isakmp NOMBRE DEL CRYPTO MAP Y

NÚMERO DE POLÍTICA DE ISAKMP

R1(config-crypto-map)#match address acl_number ASOCIAR A LA ACL

EXTENDIDA

R1(config-crypto-map)#set peer peer_ip_address IP DEL OTRO SITIO

R1(config-crypto-map)#set pfs group5 DIFFIE-HELLMAN GROUP

R1(config-crypto-map)#set transform-set 50 TRANSFORM-SET CONFIGURADO
ANTERIORMENTE

R1(config-crypto-map)#set security-association lifetime seconds 900

LUEGO DE X SEGUNDOS, EXPIRA LA SA Y SU LLAVE ACTUAL, 30 SEGUNDOS ANTES YA SE HA

NEGOCIADO UNA NUEVA SA CON OTRA LLAVE.

8
 Redes de Comunicación - UNITEC 2017

R1(config-crypto-map)#exit

4. Aplicar el crypto map a las interfaces seriales de los routers 1 y 3 con el comando
crypto map map_name NOMBRE DEL MAPA UTILIZADO.

5. Verifique la configuración de la VPN usando los siguientes comandos e incluya las

capturas en el reporte:
show crypto ipsec transform-set
show crypto map

9
 Redes de Comunicación - UNITEC 2017

6. Muestre las asociaciones de seguridad de ISAKMP e IPsec ingresando los siguientes

comandos e incluya las capturas en el reporte:
show crypto isakmp sa
show crypto ipsec sa
Responda las preguntas 3-5 del cuestionario.

10
Redes de Comunicación - UNITEC 2017

11
 Redes de Comunicación - UNITEC 2017

7. Haga ping entre las interfaces seriales de los routers 1 y 3. Repita el paso 6 y responda
la pregunta 6.

12
 Redes de Comunicación - UNITEC 2017

8. Haga ping entre las computadoras y repita el paso 6 y responda la pregunta 7.

13
Redes de Comunicación - UNITEC 2017

14
 Redes de Comunicación - UNITEC 2017

IV. CUESTIONARIO

1. Investigue cuál es la relación entre ISAKMP e IKE. Nota: Cisco se refiere a ellos
indistintamente, pero si existe una diferencia.
R: La diferencia es que el Ike establece políticas de seguridad compartida y las
respectivas claves autenticadas , y en cambio ISAKMP es el protocolo cuya función
es especificar la mecánica del intercambio de claves .
2. ¿Qué es un transport-set? ¿Qué propósito tiene dentro de IPsec?
R El transport-set es una serie de combinaciones tanto AH , ASP, y para lo que es un
modo de IPSec.
3. En las SA del ISAKMP, ¿qué es lo que aparece y por qué?
R: Aparecen una serie de métodos de autenticación y en las respectivas SA se
requieren las que son políticas únicas por eso se necesitan estos métodos.
4. En las SA del ISAKMP, ¿cuándo cambiará la salida de este comando?
R: La salida de este comando cambiara cuando se envié lo que es tráfico de ambos
extremos de lo que es el túnel.
5. En las SA de IPsec, ¿por qué todavía no se han negociado las SA?
6. Después de hacer ping entre los routers, ¿se crearon las asociaciones de seguridad?
¿Por qué sí o por qué no?
R : No se crearon porque las SA solo se crean entre los datos que se transmiten por
las redes Lan.
Después de hacer ping en las computadoras, ¿se crearon las asociaciones de
seguridad? ¿Por qué sí o por qué no?
R : Si se crearon
7. ¿Qué configuración debe ser la misma en ambos extremos de la VPN?

R: La configuración para el Ipsec y la configuración para el ISAKMP

Resultados Teóricos

15
 Redes de Comunicación - UNITEC 2017

8. No aplica

Resultados Experimentales
1. Capturas de pantalla solicitadas en el procedimiento.

Resultados Simulados
1. No aplica.

16