UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO

REDES DE COMPUTACION Y SEGURIDAD

GUIA DE LABORATORIO
ECP 1 de 15

I. TEMA: REDES PRIVADAS VIRTUALES (VPN) BASADAS EN IPSEC

II. OBJETIVO DE LA PRACTICA

Al finalizar la presente práctica el estudiante:

1. Comprende y explica el uso de la tecnología de redes privadas virtuales para el

establecimiento de conexiones seguras entre equipos remotos a través de redes
inseguras.
2. Implementa soluciones VPN para la comunicación segura a través de redes no seguras.

III. TRABAJO PREPARATORIO

Para el presente laboratorio, es necesario que el estudiante esté familiarizado con conceptos
y habilidades tales como:

1. Conceptos teóricos de IPSec y VPN.

2. Administración y configuración de servicios de red
3. Administración y configuración de equipos activos de red

IV. MATERIALES Y EQUIPOS.

Los materiales que utilizaremos en los trabajos de laboratorio son:

1. Sistema operativo Linux

2. Sistema operativo Windows 10.
3. Software de virtualización VirtualBox.
4. Emulador de redes GNS3
5. Manuales de configuración del enrutador 3725 de Cisco

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 2 de 15

V. MARCO TEORICO

VPN

Una VPN (Virtual Private Network) es una red de comunicación segura que se establece a
través de una red no fiable como una WAN, utilizando protocolos de cifrado y
autenticación.

Las VPN se pueden configurar en distintas capas del modelo de referencia OSI:

1. En capa 2 se pueden establecer VPN mediante protocolos de túnel como L2TP, PPTP
2. En capa 3 las VPN se implementan utilizando MPLS, L2TPv3 e IPSec.
3. En capa 4 las VPN se pueden implementar en base a los protocolos SSL y TLS

En la presente práctica implementaremos VPN mediante IPSec.

IPSec

Conjunto de adiciones al protocolo IP para posibilitar el envío y recepción de datos

protegidos mediante criptografía.

Las adiciones que permiten que el protocolo IP adquiera capacidades para proveer
comunicación segura son ESP (Encapsulating Security Payload), AH (Authentication
Header) e ISAKMP (Internet Security Association and Key Management Protocol).

ESP proporciona servicios de confidencialidad e integridad a los datos.

AH provee protección ante modificaciones.

ISAKMP provee servicios de establecimiento dinámico de asociaciones de seguridad e

intercambio dinámico de claves criptográficas utilizando IKE (Internet Key Exchange).

IKE es un protocolo que permite el intercambio seguro de claves secretas para establecer
asociaciones de seguridad (SA – Security Association) a través de las cuales se puede
realizar el intercambio seguro de datos.

PPP (Point – to – Point Protocol) es un protocolo de capa de enlace de datos que permite
comunicación punto a punto a dos dispositivos de red y provee servicios de autenticación,
cifrado y compresión (RFC 1968).

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 3 de 15

VI. DESARROLLO DE LA PRÁCTICA

EJEMPLO 1:

La distribuidora comercial “La tiendita” requiere comunicar su sede central con una
sucursal remota para que los vendedores puedan acceder a la información centralizada en
el servidor utilizando mecanismos de comunicación seguros a fin de garantizar la integridad
y confidencialidad de la información transmitida.

Se le pide establecer una red VPN utilizando IPSec.

El diseño lógico de la red de la empresa se muestra en el siguiente gráfico

Los parámetros de las conexiones se muestran en la tabla adjunta:

DISPOSITIVO DIRECCION IP
PC1
E0 192.168.1.10/24
PC2
E0 192.168.2.10/24
R1 - Sucursal
F0/0 192.168.1.1/24
S0/1 20.0.0.1/8
R2 – Central
F0/0 192.168.2.1/24
S0/1 40.0.0.2/8

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 4 de 15

SOLUCIÓN

1. DISEÑO DE LA TOPOLOGIA DE LA RED

Para resolver este ejercicio, abrimos la aplicación GNS3 y diseñamos la red propuesta
utilizando enrutadores 3725 con tarjeta de switch y dos VPCS, conectando los equipos
entre sí como se muestra en el siguiente gráfico:

CONEXIONES

Las interfaces utilizadas para interconectar los equipos deben ser las siguientes y las
direcciones de red asignadas se muestran en la siguiente figura:

2. CONFIGURACIÓN DE EQUIPOS TERMINALES

Los equipos terminales se configuran de acuerdo al cuadro especificado, debiendo

verificarse la conectividad entre equipos de la misma red.

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 5 de 15

Un parámetro adicional que debe contemplarse es la asignación de la dirección de puerta

de enlace (gateway). Por convención, utilizaremos la primera dirección de host del
bloque de direcciones de red asignado como la dirección de la puerta de enlace. Por
ejemplo, en la red 192.168.1.0/24, la dirección de la puerta de enlace debe ser
192.168.1.1/24.

PC1

PC2

3. CONFIGURACION DE LOS ENRUTADORES

Configuramos los enrutadores que utilizaremos en el proyecto, asignándole las

direcciones IP de acuerdo a las especificaciones y estableciendo el protocolo PPP para
la comunicación a través de los puertos seriales

21/01/2023
UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 6 de 15

CONFIGURACIÓN DEL ENRUTADOR R1

R1#enable
R1#configure terminal
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit

R1(config)#interface serial 0/0

R1(config-if)#ip address 20.0.0.1 255.0.0.0
R1(config-if)#clock rate 64000
R1(config-if)#encapsulation ppp
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#

CONFIGURACIÓN DEL ENRUTADOR R2

R2#enable
R2#configure terminal
R2(config)#interface serial0/1
R2(config-if)#ip address 20.0.0.2 255.0.0.0
R2(config-if)#encapsulation ppp
R2(config-if)#clock rate 64000
R2(config-if)#no shutdown
R2(config-if)#exit

R2(config)#interface serial0/0
R2(config-if)#ip address 30.0.0.1 255.0.0.0
R2(config-if)#encapsulation ppp
R2(config-if)#clock rate 64000
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 7 de 15

CONFIGURACIÓN DEL ENRUTADOR R3

R3#enable
R3#configure terminal
R3(config)#interface serial0/1
R3(config-if)#ip address 30.0.0.2 255.0.0.0
R3(config-if)#encapsulation ppp
R3(config-if)#clock rate 64000
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#

R3(config)#interface fastethernet 0/0

R3(config-if)#ip address 192.168.2.1 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#

4. CONFIGURACION DE LA VPN

Establecemos los parámetros para la creación de la conexión VPN entre los enrutadores
R1 y R3:

- Habilitamos ISAKMP
- El mecanismo de autenticación
- El algoritmo de encriptación
- ACL y otros

CONFIGURACIÓN DEL ENRUTADOR R1

R1#enable
R1#configure terminal
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 10

21/01/2023
UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 8 de 15

R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#hash md5
R1(config-isakmp)#encryption des
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit

R1(config)#crypto isakmp key security address 30.0.0.2

255.0.0.0
R1(config)#crypto ipsec transform-set hoset esp-des esp-md5-
hmac
R1(cfg-crypto-trans)#exit

R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255

192.168.2.0 0.0.0.255

R1(config)#crypto map r1map 10 ipsec-isakmp

R1(config-crypto-map)#set peer 30.0.0.2
R1(config-crypto-map)#set transform-set hoset
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit

R1(config)#interface Serial 0/0

R1(config-if)#crypto map r1map
R1(config-if)#exit
R1(config)#

CONFIGURACIÓN DEL ENRUTADOR R3

R3(config)#
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#hash md5
R3(config-isakmp)#encryption des
R3(config-isakmp)#group 2
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#exit

R3(config)#crypto isakmp key security address 20.0.0.1

255.0.0.0
R3(config)#crypto ipsec transform-set r3set esp-des esp-md5-
hmac
R3(cfg-crypto-trans)#exit

R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255

192.168.1.0 0.0.0.255

R3(config)#crypto map r3map 10 ipsec-isakmp

R3(config-crypto-map)#set peer 20.0.0.1
R3(config-crypto-map)#set transform-set r3set
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 9 de 15

R3(config)#interface serial 0/1

R3(config-if)#crypto map r3map
R3(config-if)#exit
R3(config)#

5. CONFIGURACION DEL ENRUTAMIENTO

CONFIGURACIÓN DEL ENRUTADOR R1

R1(config)#ip route 0.0.0.0 0.0.0.0 20.0.0.2

CONFIGURACIÓN DEL ENRUTADOR R3

R3(config)#ip route 0.0.0.0 0.0.0.0 30.0.0.1

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 10 de 15

6. HABILITAR LA DEPURACION PARA IPSEC E ISAKMP

CONFIGURACIÓN DEL ENRUTADOR R1

R1#debug crypto ipsec

Crypto IPSEC debugging is on

R1#debug crypto isakmp

Crypto ISAKMP debugging is on

CONFIGURACIÓN DEL ENRUTADOR R3

R3#debug crypto ipsec

Crypto IPSEC debugging is on

R3#debug crypto isakmp

Crypto ISAKMP debugging is on

7. PRUEBAS DE CONECTIVIDAD

Si en este punto verificamos la comunicación entre PCs, se verá que estos pueden
comunicarse entre sí, como puede verse en las imágenes:

PRUEBA DESDE PC1:

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 11 de 15

PRUEBA DESDE PC2:

8. DIAGNOSTICO VPN

A continuación, se muestra información relacionada con el canal IPsec establecido entre

los dos sitios:

EN EL ENRUTADOR R1

21/01/2023
UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 12 de 15

EN EL ENRUTADOR R3

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 13 de 15

VII. EJERCICIOS PROPUESTOS

1. Configure una VPN entre dos hosts en un escenario como el mostrado en la figura. El
equipo servidor provee servicio HTTPS al cual el usuario debe poder conectarse desde
el equipo host. La VPN debe basarse en IPsec (strongSwan o libreSwan). Para simular
la WAN puede utilizar un enrutador en una máquina virtual, en GNS3 o un simulador
WAN como WANem.

WAN

IPSec

Host LAN LAN

Servidor

2. Capture la sesión VPN entre el host y el servidor web y represente gráficamente el

intercambio de mensajes.

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 14 de 15

VIII. TABLA DE EVALUACION

La evaluación de las actividades realizadas en la presente guía de práctica se hará en función

de la siguiente tabla:

PROCEDIMENTAL
ACTIVIDAD
SESION 01
Resolución del ejercicio propuesto 01 10
Informe 10
TOTAL 20

21/01/2023
 UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO
REDES DE COMPUTACION Y SEGURIDAD
GUIA DE LABORATORIO
ECP 15 de 15

IX. REFERENCIAS

1. Ariganello Ernesto. “Guia De Estudios Para La Certificación CCNA – 640 – 801”

Editorial Alfaomega – Ra-Ma 2007.
2. Cisco Systems. “Guia Del Primer Año. CCNA 1 y 2”. Tercera edición. Editorial Cisco
Press 2003.
3. Cisco Systems. “Guia Del Primer Año. CCNA 3 y 4”. Tercera edición. Editorial Cisco
Press 2003.
4. Cisco Systems. “Prácticas De Laboratorio. CCNA 1 y 2”. Tercera edición. Editorial
Cisco Press 2003.
5. Cisco. “Cisco Networking Academy”.
http://www.cisco.com/web/learning/netacad/index.html
6. Cisco. “Configuring IP Access Lists”.
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a
00800a5b9a.shtml
7. Cisco. “Configuring InterVLAN Routing and ISL/802.1Q Trunking on a Catalyst
2900XL/3500XL/2950 Switch Using an External Router”.
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_example09
186a00800949fd.shtml
8. Cisco. “Cisco Packet Tracer”.
http://www.cisco.com/web/learning/netacad/course_catalog/PacketTracer.html
9. Meyer, G. “The PPP Encryption Control Protocol (ECP)”.
https://tools.ietf.org/html/rfc1968
10. Nagaraj S. “Configure Simple IPSEC Site to Site VPN in Cisco Routers Using GNS3”
http://chennaicisco.blogspot.com/2013/11/configure-simple-ipsec-site-to-site-vpn.html

21/01/2023