todo
Páginas: 8 (1875 palabras)
Publicado: 7 de noviembre de 2013
Configuración básica de VPN LAN-2-LAN con routers.
Routers: Cisco ISR-2811
IOS Image: c2800nm-advipservicesk9-mz.124-22.T5.bin
Nota: Estas pruebas fueron realizadas en un entorno de Laboratorio.
Topología:
HQ OFFICE
LAN:192.168.0.0/24
WAN: 200.24.0.0/30
.1
INTERNET
BRANCH OFFICE
192.168.10/24
180.100.0.0/30
.1
.2
.2
.1
.1
R-HQ
R-BRANCH
SERVERS
Figura 1.Topología
Antecedente y Requerimientos:
Los Routers R-HQ y R-BRANCH debe ser configurado con NAT de manera que las redes LAN
tengan conexión hacia internet.
Los routers en cada una de las sedes no cuentan con ningún protocolo de enrutamiento
definido. De manera que el tráfico se envía hacia internet mediante rutas de último
recurso definidas así:
R-HQ(config)#ip route 0.0.0.00.0.0.0 200.24.0.1
R-BRANCH(config)#ip route 0.0.0.0 0.0.0.0 180.100.0.1
Se debe crear un Túnel VPN entre las dos sedes de manera que la BRANCH OFFICE tenga
acceso a los servidores ubicados en los HQ.
Definiciones:
Inicialmente se deben definir los parámetros que se usarán para establecer el túnel VPN. Para
establecer un túnel VPN es necesario que se lleven a cabo dos fases denegociación IKE (Internet
Key Exchange) Fase 1 y 2.
1. IKE fase 1: Esta fase es la encargada de establecer un canal autenticado de comunicación.
Para esto utiliza el Algoritmo de Diffie-Hellman el cual es asimétrico y permite el
intercambio seguro de llaves simétricas como DES, 3DES, AES o SEAL las cuales son
utilizada para encriptar el tráfico entre los pares en la fase 2.
La autenticación paraeste protocolo se puede realizar por medio de claves PreCompartidas (Pre-Shared Key) o de Certificados.
Puede operar en Main Mode o en Aggresive Mode, donde la primera protege la identidad
de los pares, la segunda no.
Parámetros disponibles para IKE ph1:
Authentication: Pre-Shared Keys, RSA-Encryption, RSA-Signature
Encryption Algorithm: DES, 3DES, AES [128, 192, 256]
Key Exchange:DH-Group1 [768-bit], DH-Group 2 [1024-bit], DH-Group 5 [1536-bit]
Hashing: MD5, SHA-1.
2. IKE fase 2: En esta fase los pares hacen uso del canal seguro establecido en la fase 1 para
compartir las claves simétricas con las cuales se encriptará el trafico.
Parámetros disponibles para IKE ph2:
Encryption Algorithm: esp-des, esp-3des, esp-aes [128, 192, 256], esp-seal, esp-null.Authentication: ah-md5-hmac, ah-sha-hmac, esp-md5-hmac, esp-sha-hmac.
Definicion de Parametros:
IKE ph1:
Authentication: Pre-shared key.
Encryption Algorithm: AES-128
Key Exchange: DH-Group2 [1024-bit]
Hashing: SHA-1
IKE ph2:
Encryption Algorithm: esp-aes-128
Authentication: esp-sha-hmac
Configuraciones:
Configuración de NAT:
1. Asumiendo que las direcciones IP estanconfiguradas, se debe crear una lista de acceso
para definir a que IPs se le aplicara el NAT.
R-HQ(config)#ip access-list standard NAT-LIST
R-HQ(config-std-nacl)#permit 192.168.0.0 0.0.0.255
R-HQ(config-std-nacl)#deny any
R-BRANCH(config)#ip access-list standard NAT-LIST
R-BRANCH(config-std-nacl)#permit 192.168.1.0 0.0.0.255
R-BRANCH(config-std-nacl)#deny any
2. Se define en cual sentido sellevará a cabo el proceso de traducción. Para este caso solo se
cuenta con una IP pública.
R-HQ(config)#ip nat inside source list NAT-LIST interface gigabitEthernet 0/1
R-BRANCH(config)#ip nat inside source list NAT-LIST interface gigabitEthernet 0/1
3. Se define que interfáz será la interior y cual la exterior.
R-HQ(config)#interface gigabitEthernet 0/0
R-HQ(config-if)#ip nat insideR-HQ(config)#interface gigabitEthernet 0/1
R-HQ(config-if)#ip nat outside
R-BRANCH(config)#interface gigabitEthernet 0/0
R-BRANCH(config-if)#ip nat inside
R-BRANCH(config)#interface gigabitEthernet 0/1
R-BRANCH(config-if)#ip nat outside
Hasta este punto cualquier tipo de tráfico hacia internet será envía por las interfaces Outside
y además se identificará mediante la IP publica del Router gracias al...
Routers: Cisco ISR-2811
IOS Image: c2800nm-advipservicesk9-mz.124-22.T5.bin
Nota: Estas pruebas fueron realizadas en un entorno de Laboratorio.
Topología:
HQ OFFICE
LAN:192.168.0.0/24
WAN: 200.24.0.0/30
.1
INTERNET
BRANCH OFFICE
192.168.10/24
180.100.0.0/30
.1
.2
.2
.1
.1
R-HQ
R-BRANCH
SERVERS
Figura 1.Topología
Antecedente y Requerimientos:
Los Routers R-HQ y R-BRANCH debe ser configurado con NAT de manera que las redes LAN
tengan conexión hacia internet.
Los routers en cada una de las sedes no cuentan con ningún protocolo de enrutamiento
definido. De manera que el tráfico se envía hacia internet mediante rutas de último
recurso definidas así:
R-HQ(config)#ip route 0.0.0.00.0.0.0 200.24.0.1
R-BRANCH(config)#ip route 0.0.0.0 0.0.0.0 180.100.0.1
Se debe crear un Túnel VPN entre las dos sedes de manera que la BRANCH OFFICE tenga
acceso a los servidores ubicados en los HQ.
Definiciones:
Inicialmente se deben definir los parámetros que se usarán para establecer el túnel VPN. Para
establecer un túnel VPN es necesario que se lleven a cabo dos fases denegociación IKE (Internet
Key Exchange) Fase 1 y 2.
1. IKE fase 1: Esta fase es la encargada de establecer un canal autenticado de comunicación.
Para esto utiliza el Algoritmo de Diffie-Hellman el cual es asimétrico y permite el
intercambio seguro de llaves simétricas como DES, 3DES, AES o SEAL las cuales son
utilizada para encriptar el tráfico entre los pares en la fase 2.
La autenticación paraeste protocolo se puede realizar por medio de claves PreCompartidas (Pre-Shared Key) o de Certificados.
Puede operar en Main Mode o en Aggresive Mode, donde la primera protege la identidad
de los pares, la segunda no.
Parámetros disponibles para IKE ph1:
Authentication: Pre-Shared Keys, RSA-Encryption, RSA-Signature
Encryption Algorithm: DES, 3DES, AES [128, 192, 256]
Key Exchange:DH-Group1 [768-bit], DH-Group 2 [1024-bit], DH-Group 5 [1536-bit]
Hashing: MD5, SHA-1.
2. IKE fase 2: En esta fase los pares hacen uso del canal seguro establecido en la fase 1 para
compartir las claves simétricas con las cuales se encriptará el trafico.
Parámetros disponibles para IKE ph2:
Encryption Algorithm: esp-des, esp-3des, esp-aes [128, 192, 256], esp-seal, esp-null.Authentication: ah-md5-hmac, ah-sha-hmac, esp-md5-hmac, esp-sha-hmac.
Definicion de Parametros:
IKE ph1:
Authentication: Pre-shared key.
Encryption Algorithm: AES-128
Key Exchange: DH-Group2 [1024-bit]
Hashing: SHA-1
IKE ph2:
Encryption Algorithm: esp-aes-128
Authentication: esp-sha-hmac
Configuraciones:
Configuración de NAT:
1. Asumiendo que las direcciones IP estanconfiguradas, se debe crear una lista de acceso
para definir a que IPs se le aplicara el NAT.
R-HQ(config)#ip access-list standard NAT-LIST
R-HQ(config-std-nacl)#permit 192.168.0.0 0.0.0.255
R-HQ(config-std-nacl)#deny any
R-BRANCH(config)#ip access-list standard NAT-LIST
R-BRANCH(config-std-nacl)#permit 192.168.1.0 0.0.0.255
R-BRANCH(config-std-nacl)#deny any
2. Se define en cual sentido sellevará a cabo el proceso de traducción. Para este caso solo se
cuenta con una IP pública.
R-HQ(config)#ip nat inside source list NAT-LIST interface gigabitEthernet 0/1
R-BRANCH(config)#ip nat inside source list NAT-LIST interface gigabitEthernet 0/1
3. Se define que interfáz será la interior y cual la exterior.
R-HQ(config)#interface gigabitEthernet 0/0
R-HQ(config-if)#ip nat insideR-HQ(config)#interface gigabitEthernet 0/1
R-HQ(config-if)#ip nat outside
R-BRANCH(config)#interface gigabitEthernet 0/0
R-BRANCH(config-if)#ip nat inside
R-BRANCH(config)#interface gigabitEthernet 0/1
R-BRANCH(config-if)#ip nat outside
Hasta este punto cualquier tipo de tráfico hacia internet será envía por las interfaces Outside
y además se identificará mediante la IP publica del Router gracias al...
Leer documento completo
Regístrate para leer el documento completo.