implementación de un tunel punto a punto con dos router cisco
DESCRIPTION
OBJETIVOS: • Implementar una vpn punto a punto entre dos router cisco y que dos redes lan de distintas ciudadesPuedan estar conectadas • Implementar la topólogia en el simulador cisco packetracer• Garantizar la comunicación encriptada por medio del túnel vpn • En esta simulación tendremos como ejemplo dos empresas ubicadas una en bogota y una en medellin, la empresa de bogota necesita conectarse al servidor ubicado en medellin por medio de una vpn para acceder a los servicios que este poseeTRANSCRIPT
IMPLEMENTACIN DE UN TUNEL PUNTO A PUNTO CON DOS ROUTER CISCO
Presentado por:DANIEL COLORADO PEREZ
ANDRES FELIPE ECHAVARRIAANDRES FELIPE ARBOLEDAHONEY FELIPE AGUDELO BETANCUR
Instructor:ALEXANDER AUGUSTO ALVAREZ HIGUITA
IMPLEMENTACIN DE UNA VPN SITE TO SITE EN ROUTERS CISCO
SERVICIO NACIONAL DE APRENDIZAJE SENA
REA: GESTIN DE REDES DE DATOS
FICHA: 600088
COLOMBIA
2015
OBJETIVOS:
Implementar una vpn punto a punto entre dos router cisco y que dos redes lan de distintas ciudadesPuedan estar conectadas Implementar la toplogia en el simulador cisco packetracer Garantizar la comunicacin encriptada por medio del tnel vpn En esta simulacin tendremos como ejemplo dos empresas ubicadas una en bogota y una en medellin, la empresa de bogota necesita conectarse al servidor ubicado en medellin por medio de una vpn para acceder a los servicios que este posee
Topologa a implementarVamos a proceder a darle direccionamiento estatico a toda la topologa y empezaremos de izquierda a derecha
Direccionamiento del servidor de la lan de medellin
Direccionamiento de la interfaz Gateway de medellin por donde se conectara a internet
Aca asignamos el direccionamiento a la tarjeta wan que conectara con la sede de bogota esta red wan creada entre routers es la simulacin de internet
Configuracin de la tarjeta wan de el router de la sede de bogota
Direccionamiento de la interfaz Gateway de bogota por donde se conectara a internet
Direccionamiento de la lan de bogota
Seguido a esto vamos a proceder a implementa protocolo de enrutamiento rip, para garantizar la conexin entre las dos sedes. Empecemos por el router de medellin y le agregamos el id de red de la lan y de la wan, o de las rutas directamente conectadas
Ahora implementemos rip en el router de bogota
En este punto ya debemos tener conexin entre las dos sedes, verificamos con el envio de un paquete y procedemos a implementar un tnel seguro por medio de esa conexin
Vpn a implementar
Primero configuraremos el router de la sede medellin e iremos explicando
CONFIGURAREMOS POLITICAS IKEConfigurar las polticas IKE
Una poltica IKE define una combinacin de parmetros de seguridad (cifrado, hash, autenticacin y DH) que sern usados durante la negociacin IKE.En ambos nodos deben crearse polticas (tantas como se quieran ordenadas por prioridad) y, al menos, debe existir una igual en los 2 extremos.Tambin se deben configurar paquetes IKE keepalives (o paquetes hello) para detectar posibles prdidas de conectividadDeterminar el mtodo de autenticacin: pre-shared keys(pre-share), RSA 1 encrypted nonces (rsa-encr), o RSA signatures (rsa-slg).
Crear una nueva poltica IKE. Cada poltica se identifica por su nmero de prioridad (de 1 a 10.000; 1 la ms prioridad ms alta)
medellin>enablemedellin#configure terminalElegir el algoritmo de hash a usar: Message Digest 5 (MD5[md5] ) o Secure Hash Algorithm (SHA [sha])
medellin(config)#crypto isakmp policy 10medellin(config-isakmp)authentication pre-sharemedellin(config-isakmp)hash shaEspecificar el algoritmo de cifrado autilizar: 56-bit Data Encryption Standard (DES [des]) o 168-bit TripleDES(3des)
medellin(config-isakmp)encryption aes 256Especificar el identificador de grupo Diffie-Hellman:768-bit Diffie-Hellman(1) o 1024-bit Diffie-Hellman (2)
medellin(config-isakmp)group 2medellin(config-isakmp)lifetime 86400establecer el secreto compartido que se usar con el router de la oficina remota
Determinar el tiempo de vide de la Asociacin de Seguridad(SA) en segundos. 86400 segundos = 1 da
medellin(config-isakmp)exitEstablece las polticas de seguridad IPSEC que se usarn en las comunicaciones, eligiendo el modo Transporte (AH) o tnel (ESP)
medellin(config)crypto isakmp key cisco adress 10.0.0.2medellin(config)crypto ipsec transformset TSET esp-aes esp-sha-hmacmedellin(config)access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255Cifrar todo el trfico IP que salga de la oficina central hacia la oficina remota
medellin(config)crypto map CMAP 10 ipsec-isakmpCrear un crypto map de nombre NOMBRE, y establecer el nmero de secuencia de esta entrada, obligando a usar IKE para establecer SAs
medellin(config-crypto-map)set peer 10.0.0.2Definir la direccin del host remoto
Establecer el trfico que se va a cifrar (definido previamente en una ACL)
medellin(config-crypto-map)match address 101Seleccionar la encriptacin configurada previamente en las polticas ipsec
medellin(config-crypto-map)set transform-set TSETmedellin(config-crypto-map)EXITEntraremos a la interfaz serial que conecta hacia el host remoto
medellin(config)#interface serial 0/1/0Aplicar crypto map a la interfaz fisica
Router(config-if)crypto map CMAP
Luego de esta configuracin en el router medellin vamos a proceder a implementar la misma configuracin de el router de bogota pero con unos cambios en la acl y en los direccinamientos
bogota>enablebogota#configure terminalbogota(config)#crypto isakmp policy 10bogota(config-isakmp)authentication pre-sharebogota(config-isakmp)hash shabogota(config-isakmp)encryption aes 256bogota(config-isakmp)group 2bogota(config-isakmp)lifetime 86400bogota(config-isakmp)exit
bogota(config)crypto isakmp key cisco adress 10.0.0.1bogota(config)crypto ipsec transformset TSET esp-aes esp-sha-hmacbogota(config)access-list 101 permit 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
bogota(config)crypto map CMAP 10 ipsec-isakmpbogota(config-crypto-map)set peer 10.0.0.1bogota(config-crypto-map)match address 101bogota(config-crypto-map)set transform-set TSETbogota(config-crypto-map)EXIT
bogota(config)#interface serial 0/1/0bogota(config-if)crypto map CMAP
esta es la configuracin necesaria para implementar la vpn, podemos comprobar si esta implementada de la siguiente manera, vamos a enviar un paquete de extremo a extremo en la topologa, si el paquete es exitoso sicnifica que hasta ahora todo va bien, ahora luego vamos a ejecutar el siguiente comando para verificar que el paquete quedo registrado que paso por el tnel,
#show crypto ipsec sa
Ah quedo registrado el paquete enviado por la vpn y eso es todo para la implementacin de una vpn punto a punto entre dos router cisco
Bibliografa
http://ecovi.uagro.mx/ccna4/course/files/7.1.2.4%20Packet%20Tracer%20-%20Configuring%20VPNs%20%28Optional%29%20Instructions.pdf
http://www.monografias.com/trabajos-pdf4/creacion-vpn-packet-tracer/creacion-vpn-packet-tracer.pdf
http://blog.capacityacademy.com/2014/09/12/ccna-security-como-configurar-vpn-ipsec-site-to-site-en-cisco-router/
http://soft-halcon.blogspot.com/2013/08/configuracion-basica-vpn-cisco-1841.html
http://es.slideshare.net/jmorenol/cisco-site-tosite-vpn