CONFIGURACIÓN VPN SITE TO SITE · PDF fileESQUEMA IMPLEMENTADO CONFIGURACION VPN EN...
Transcript of CONFIGURACIÓN VPN SITE TO SITE · PDF fileESQUEMA IMPLEMENTADO CONFIGURACION VPN EN...
CONFIGURACIÓN VPN SITE TO SITE
YADFARY MONTOYA
NATALIA HERNÁNDEZ SONIA DEYANIRA CARATAR BRENDA MARCELA TOVAR
ADMINISTRACIÓN DE REDES DE COMPUTADORES
JULIAN CIRO RAMIREZ
FICHA 230490
SENA
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL
MEDELLÍN
2012
ESQUEMA IMPLEMENTADO
CONFIGURACION VPN EN ROUTER CISCO
Configuremos de acuerdo a las fases:
Fase 1: configurar las políticas isakmp (IKE).
Internet Security Association and Key Management Protocol (ISAKMP) es un protocolo
criptográfico que constituye la base del protocollo de intercambio de claves IKE.
Authentication: Pre-share
Hash: MD5 o SHA
Encryption: DES, 3DES, AES.
Group: 1,2…
Crypto isakmp
1. Configuramos las interfaces.
2. Empezamos con la fase 1.
Crypto isakmp policy 1: se crea la política identificándose por su número de prioridad 1 (1-10.000; 1 prioridad más alta). Encryption 3des: es el algoritmo simétrico de cifrado DES y tiene una longitud de clave de 168 bits. Hash sha: sha (Secure Hash Algorithm) es un algoritmo de hash utilizado para autenticar paquetes de datos. Authentication pre-share: clave pre-compartida, es una cadena de texto de una vpn espera recibir las credenciales.
Group 2: identificador de grupo, (1, 768-bit Diffie-Hellman) (2, 1024-bit diffie-hellman). Lifetime: tiempo de vida en segundos de la asociacion de seguridad 86400s=1 dia.
Crypto isakmp keepalive 12 2 (opcional): intervalo de los paquetes hello (12-número de segundos entre conexiones activas), (2-número de segundos entre reintentos si falla keepalive). Crypto isakmp identity address: para cambiar el método de identificación de peer.
Crypto isakmp key 0 redes230490 ip_route_remota: secreto compartido con el router remoto (asa).
Fase 2: configurar las políticas IPSec.
IPsec es un protocolo que está sobre la capa del protocolo de Internet (IP). Le permite
a dos o más equipos comunicarse de forma segura (de ahí el nombre).
Crypto ACL
IPSEC Transform set
Ip Access-list extended ping: nos permite darle nombre a la lista de acceso.
Permit ip source_address source_wilcard destination_address
destination_wilcard:indicamos las direcciones de origen y destino que permitirá el
acceso.
Crypto ipsec transform-set strong esp-3des esp-sha-hmac: establece las políticas de
seguridad IPSEC que se usaran en las comunicaciones, eligiendo el modo transporte
(AH) o túnel (ESP).
Fase 3: configurar crypto map.
Es una signacion que asocia el trafico que coincide con una lista de acceso a un par
de nodos y a diversas políticas IKE y opciones de IPSec
Definición del Crypto map
Set peer
Match address (ACL)
Aplicación del crypto map a la interfaz
Crypto map trafico 1 ipsec-isakmp: le damos el nombre al crypto map y el numero de
secuencia de entrada.
Set transform-set strong: Especifica que conjuntos de transformación se puede utilizar
con la entrada del mapa criptográfico.
Set pfs group2: Especifica que IPSec debe pedir confidencialidad directa perfecta
(PFS) al solicitar nuevas asociaciones de seguridad para esta entrada crypto mapa, o
que IPSec requiere PFS al recibir las solicitudes de las asociaciones de seguridad
nuevas.
Set peer ip_route_remoto: Especifica un oyente IPSec en una entrada crypto mapa.
Match address ping: Especifica una lista de acceso extendida para una entrada crypto
mapa.
Interface f0/0: interfaz donde se aplicara el crypto map.
Crypto map nombre: dar a conocer el nombre del crypto map aplicándola a la interfaz.
Show Access-list ping: nos permitirá ver las listas de acceso (ACL).
Show crypto ipsec transform-set: Muestra los conjuntos de transformación
configurados.
Show crypto map: Muestra la configuración de cifrado mapa.
Show crypto ipsec sa
VER CONFIGURACIÓN COMPLETA DEL ASA EN EL SIGUIENTE ENLACE
Running-config Router
ASDM
Desde el Hyperterminal digitamos las siguientes líneas de comando:
# dir flash:/
# aaa authentication http console LOCAL
# username cisco password cisco
# http server enable
# http 172.16.0.2 255.255.0.0 inside
# asdm image flash:/asdm-645.bin
#wr
Abrimos el explorador (Internet Explorer) y digitamos la dirección de la interfaz
Inside o Gateway 172.16.0.1 y damos click sobre el botón Run ASDM.
Click en Si.
Click en Ejecutar.
Ingresamos el usuario y contraseña que configuramos desde el Hyperterminal,
click en OK.
ACL’s
CONFIGURACION VPN EN ASA
Seleccione el sitio a sitio VPN IPsec de tipo túnel y haga clic en Next , como se
muestra aquí.
Ingrese la información de autenticación a utilizar, que es la clave pre-compartida
en este ejemplo. La clave pre-compartida utilizada en este ejemplo
es redes230490 . El nombre del grupo túnel será su dirección IP por defecto
fuera de si configura L2L VPN. Haga clic en Next.
Especificar los atributos de usar para IKE, también conocida como Fase 1. Estos
atributos deben ser los mismos tanto en el ASA y el router IOS. Haga clic en Next.
Especificar los atributos de usar para IPsec, también conocida como Fase 2. Estos
atributos deben coincidir tanto en el ASA y el router IOS. Haga clic en Next.
Especifique los hosts cuyo tráfico se debe permitir que pase a través del túnel
VPN. En este paso, usted tiene que proporcionar los locales y redes
remotas para el túnel VPN. Haga clic en el botón al lado de las redes
Locales como se muestra aquí para elegir la dirección de la red local de la lista
desplegable.
Los atributos definidos por el Asistente para VPN se muestran en este
resumen. Revise la configuración y haga clic en Finish cuando esté seguro de la
configuración es correcta.
VER CONFIGURACIÓN COMPLETA DEL ASA EN EL SIGUIENTE ENLACE
running –config ASA
PING DE LOCAL A REMOTO
PING DE REMOTO A LOCAL