CONFIGURACIÓN VPN SITE TO SITE

YADFARY MONTOYA

NATALIA HERNÁNDEZ SONIA DEYANIRA CARATAR BRENDA MARCELA TOVAR

ADMINISTRACIÓN DE REDES DE COMPUTADORES

JULIAN CIRO RAMIREZ

FICHA 230490

SENA

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL

MEDELLÍN

2012

ESQUEMA IMPLEMENTADO

CONFIGURACION VPN EN ROUTER CISCO

Configuremos de acuerdo a las fases:

Fase 1: configurar las políticas isakmp (IKE).

Internet Security Association and Key Management Protocol (ISAKMP) es un protocolo

criptográfico que constituye la base del protocollo de intercambio de claves IKE.

Authentication: Pre-share

Hash: MD5 o SHA

Encryption: DES, 3DES, AES.

Group: 1,2…

Crypto isakmp

1. Configuramos las interfaces.

2. Empezamos con la fase 1.

Crypto isakmp policy 1: se crea la política identificándose por su número de prioridad 1 (1-10.000; 1 prioridad más alta). Encryption 3des: es el algoritmo simétrico de cifrado DES y tiene una longitud de clave de 168 bits. Hash sha: sha (Secure Hash Algorithm) es un algoritmo de hash utilizado para autenticar paquetes de datos. Authentication pre-share: clave pre-compartida, es una cadena de texto de una vpn espera recibir las credenciales.

Group 2: identificador de grupo, (1, 768-bit Diffie-Hellman) (2, 1024-bit diffie-hellman). Lifetime: tiempo de vida en segundos de la asociacion de seguridad 86400s=1 dia.

Crypto isakmp keepalive 12 2 (opcional): intervalo de los paquetes hello (12-número de segundos entre conexiones activas), (2-número de segundos entre reintentos si falla keepalive). Crypto isakmp identity address: para cambiar el método de identificación de peer.

Crypto isakmp key 0 redes230490 ip_route_remota: secreto compartido con el router remoto (asa).

Fase 2: configurar las políticas IPSec.

IPsec es un protocolo que está sobre la capa del protocolo de Internet (IP). Le permite

a dos o más equipos comunicarse de forma segura (de ahí el nombre).

Crypto ACL

IPSEC Transform set

Ip Access-list extended ping: nos permite darle nombre a la lista de acceso.

Permit ip source_address source_wilcard destination_address

destination_wilcard:indicamos las direcciones de origen y destino que permitirá el

acceso.

Crypto ipsec transform-set strong esp-3des esp-sha-hmac: establece las políticas de

seguridad IPSEC que se usaran en las comunicaciones, eligiendo el modo transporte

(AH) o túnel (ESP).

Fase 3: configurar crypto map.

Es una signacion que asocia el trafico que coincide con una lista de acceso a un par

de nodos y a diversas políticas IKE y opciones de IPSec

Definición del Crypto map

Set peer

Match address (ACL)

Aplicación del crypto map a la interfaz

Crypto map trafico 1 ipsec-isakmp: le damos el nombre al crypto map y el numero de

secuencia de entrada.

Set transform-set strong: Especifica que conjuntos de transformación se puede utilizar

con la entrada del mapa criptográfico.

Set pfs group2: Especifica que IPSec debe pedir confidencialidad directa perfecta

(PFS) al solicitar nuevas asociaciones de seguridad para esta entrada crypto mapa, o

que IPSec requiere PFS al recibir las solicitudes de las asociaciones de seguridad

nuevas.

Set peer ip_route_remoto: Especifica un oyente IPSec en una entrada crypto mapa.

Match address ping: Especifica una lista de acceso extendida para una entrada crypto

mapa.

Interface f0/0: interfaz donde se aplicara el crypto map.

Crypto map nombre: dar a conocer el nombre del crypto map aplicándola a la interfaz.

Show Access-list ping: nos permitirá ver las listas de acceso (ACL).

Show crypto ipsec transform-set: Muestra los conjuntos de transformación

configurados.

Show crypto map: Muestra la configuración de cifrado mapa.

Show crypto ipsec sa

VER CONFIGURACIÓN COMPLETA DEL ASA EN EL SIGUIENTE ENLACE

Running-config Router

ASDM

Desde el Hyperterminal digitamos las siguientes líneas de comando:

# dir flash:/

# aaa authentication http console LOCAL

# username cisco password cisco

# http server enable

# http 172.16.0.2 255.255.0.0 inside

# asdm image flash:/asdm-645.bin

#wr

Abrimos el explorador (Internet Explorer) y digitamos la dirección de la interfaz

Inside o Gateway 172.16.0.1 y damos click sobre el botón Run ASDM.

Click en Si.

Click en Ejecutar.

Ingresamos el usuario y contraseña que configuramos desde el Hyperterminal,

click en OK.

ACL’s

CONFIGURACION VPN EN ASA

Seleccione el sitio a sitio VPN IPsec de tipo túnel y haga clic en Next , como se

muestra aquí.

Ingrese la información de autenticación a utilizar, que es la clave pre-compartida

en este ejemplo. La clave pre-compartida utilizada en este ejemplo

es redes230490 . El nombre del grupo túnel será su dirección IP por defecto

fuera de si configura L2L VPN. Haga clic en Next.

Especificar los atributos de usar para IKE, también conocida como Fase 1. Estos

atributos deben ser los mismos tanto en el ASA y el router IOS. Haga clic en Next.

Especificar los atributos de usar para IPsec, también conocida como Fase 2. Estos

atributos deben coincidir tanto en el ASA y el router IOS. Haga clic en Next.

Especifique los hosts cuyo tráfico se debe permitir que pase a través del túnel

VPN. En este paso, usted tiene que proporcionar los locales y redes

remotas para el túnel VPN. Haga clic en el botón al lado de las redes

Locales como se muestra aquí para elegir la dirección de la red local de la lista

desplegable.

Los atributos definidos por el Asistente para VPN se muestran en este

resumen. Revise la configuración y haga clic en Finish cuando esté seguro de la

configuración es correcta.

VER CONFIGURACIÓN COMPLETA DEL ASA EN EL SIGUIENTE ENLACE

running –config ASA

PING DE LOCAL A REMOTO

PING DE REMOTO A LOCAL

CAPTURA DESDE El HYPERTERMINAL (CLI):

CAPTURA DESDE ASDM (Modo Gráfico):