La figura muestra una

colección de varios tipos

de VPN administradas
por el sitio principal de
una empresa. El túnel
permite que los usuarios
y sitios remotos accedan
a los recursos de red del
sitio principal de forma
segura.
VPN de sitio a sitio
Una VPN de sitio a sitio se crea
cuando los dispositivos de terminación
de VPN, también llamados puertas de
enlace de VPN, están preconfigurados
con información para establecer un
túnel seguro. El tráfico VPN solo se
cifra entre estos dispositivos. Los
hosts internos no saben que se está
utilizando una VPN.

VPN de acceso remoto

Una VPN de acceso remoto se crea
dinámicamente para establecer una
conexión segura entre un cliente y un
dispositivo de terminación VPN. Por
ejemplo, se utiliza una VPN SSL de
acceso remoto cuando verifica su
información bancaria en líne
8.2.4. GRE sobre IPsec

•Protocolo de pasajero : este es el

paquete original que debe
encapsular GRE. Podría ser un
paquete IPv4 o IPv6, una
actualización de enrutamiento y
más.
•Protocolo de operador: GRE es el
protocolo de operador que
encapsula el paquete de pasajeros
original.
•Protocolo de transporte : este es el
protocolo que realmente se
utilizará para reenviar el
paquete. Puede ser IPv4 o IPv6.
8.2.5. VPN multipunto dinámicas

Dynamic Multipoint VPN (DMVPN) es una solución de

software de Cisco para crear múltiples VPN de una manera
fácil, dinámica y escalable. Al igual que otros tipos de VPN,
DMVPN se basa en IPsec para proporcionar transporte
seguro a través de redes públicas, como Internet.

Cada sitio se configura mediante la encapsulación de

enrutamiento genérico multipunto (mGRE). La interfaz del
túnel mGRE permite que una sola interfaz GRE admita
dinámicamente múltiples túneles IPsec. Por lo tanto,
cuando un nuevo sitio requiere una conexión segura, la
misma configuración en el sitio del concentrador admitiría
el túnel. No se requeriría ninguna configuración adicional.
Los sitios de radio también pueden obtener información
sobre sitios remotos del sitio central. Pueden usar esta
información para establecer túneles VPN directos, como
se muestra en la figura.
 8.2.6. Interfaz de túnel virtual IPsec

Al igual que los DMVPN, la interfaz de túnel virtual (VTI) IPsec simplifica el proceso de configuración
necesario para admitir varios sitios y el acceso remoto. Las configuraciones de IPsec VTI se aplican a una
interfaz virtual en lugar de asignar estáticamente las sesiones de IPsec a una interfaz física.
IPsec VTI es capaz de enviar y recibir tráfico cifrado de unidifusión IP y multidifusión. Por lo tanto, los
protocolos de enrutamiento se admiten automáticamente sin tener que configurar túneles GRE.
IPsec VTI se puede configurar entre sitios o en una topología de concentrador y radio.
 8.2.7. Proveedor de servicios MPLS VPN

Las soluciones WAN de los proveedores de servicios tradicionales,

como las líneas arrendadas, Frame Relay y las conexiones ATM,
eran intrínsecamente seguras en su diseño. Hoy en día, los
proveedores de servicios utilizan MPLS en su red principal. El tráfico
se reenvía a través de la red troncal MPLS mediante etiquetas que
se distribuyen previamente entre los enrutadores centrales. Al igual
que las conexiones WAN heredadas, el tráfico es seguro porque los
clientes de los proveedores de servicios no pueden ver el tráfico de
los demás.
MPLS puede proporcionar a los clientes soluciones VPN
administradas; por lo tanto, asegurar el tráfico entre los sitios de los
clientes es responsabilidad del proveedor de servicios. Hay dos
tipos de soluciones VPN MPLS compatibles con los proveedores de
servicios:
8.2.7. Proveedor de servicios MPLS VPN

•VPN MPLS de capa 3 : el proveedor de servicios participa

en el enrutamiento del cliente estableciendo un
emparejamiento entre los enrutadores del cliente y los
enrutadores del proveedor. Luego, las rutas del cliente
que son recibidas por el enrutador del proveedor se
redistribuyen a través de la red MPLS a las ubicaciones
remotas del cliente.
•VPN MPLS de capa 2 : el proveedor de servicios no
participa en el enrutamiento del cliente. En su lugar, el
proveedor implementa un servicio de LAN privada virtual
(VPLS) para emular un segmento de LAN de múltiples
accesos Ethernet a través de la red MPLS. No hay
enrutamiento involucrado. Los enrutadores del cliente
pertenecen efectivamente a la misma red de accesos
múltiples.
 8.3.2. Tecnologías IPsec

Utilizando el marco IPsec, IPsec proporciona estas

funciones de seguridad esenciales:
•Confidencialidad : IPsec utiliza algoritmos de cifrado para
evitar que los ciberdelincuentes lean el contenido del
paquete.
•Integridad : IPsec utiliza algoritmos hash para garantizar
que los paquetes no se hayan alterado entre el origen y el
destino.
•Autenticación de origen : IPsec utiliza el protocolo de
intercambio de claves de Internet (IKE) para autenticar el
origen y el destino. Métodos de autenticación que
incluyen el uso de claves previamente compartidas
(contraseñas), certificados digitales o certificados RSA.
•Diffie-Hellman : el intercambio seguro de claves suele
ser de varios grupos del algoritmo DH.
Las funciones de seguridad se enumeran en la tabla.

Función IPsec Descripción

Las opciones para el protocolo IPsec incluyen el encabezado de autenticación (AH) o el
protocolo de seguridad de encapsulación (ESP). AH autentica el paquete de Capa 3. ESP
Protocolo IPsec cifra el paquete de capa 3. Nota : ESP + AH rara vez se usa ya que esta combinación no
atravesará con éxito un dispositivo NAT.
El cifrado garantiza la confidencialidad del paquete de capa 3. Las opciones incluyen
Confidencialidad Estándar de cifrado de datos (DES), Triple DES (3DES), Estándar de cifrado avanzado (AES) o
Algoritmo de cifrado optimizado por software (SEAL). Sin cifrado también es una opción.
Garantiza que los datos lleguen sin cambios al destino mediante un algoritmo hash, como
Integridad message-digest 5 (MD5) o Secure Hash Algorithm (SHA).
IPsec utiliza Internet Key Exchange (IKE) para autenticar usuarios y dispositivos que pueden
llevar a cabo la comunicación de forma independiente. IKE utiliza varios tipos de
Autenticación autenticación, incluidos nombre de usuario y contraseña, contraseña de un solo uso, datos
biométricos, claves precompartidas (PSK) y certificados digitales que utilizan el algoritmo
Rivest, Shamir y Adleman (RSA).
IPsec utiliza el algoritmo DH para proporcionar un método de intercambio de clave pública
Diffie-Hellman para que dos pares establezcan una clave secreta compartida. Hay varios grupos diferentes
para elegir, incluidos DH14, 15, 16 y DH 19, 20, 21 y 24. Ya no se recomiendan DH1, 2 y 5.
Ejemplos de asociaciones de seguridad IPsec

Una SA es el componente básico de

IPsec. Al establecer un enlace VPN,
los pares deben compartir la misma
SA para negociar los parámetros de
intercambio de claves, establecer una
clave compartida, autenticarse entre
sí y negociar los parámetros de
cifrado. Observe que el Ejemplo 1 de
SA no utiliza cifrado.
8.3.3. Encapsulación de protocolo IPsec

La elección de la encapsulación del protocolo

IPsec es el primer bloque de construcción del
marco. IPsec encapsula paquetes mediante el
encabezado de autenticación (AH) o el
protocolo de seguridad de encapsulación
(ESP).
La elección de AH o ESP establece qué otros
componentes básicos están disponibles. Haga
clic en cada protocolo IPsec en la figura para
obtener más información.