1. VPN SITIO A SITIO EN PACKET TRACER 6.2
CÉSAR AUGUSTO MORALES
JUAN DAVID TRUJILLO
VANESA RODRÍGUEZ
LUIS CARLOS GALVIS
GRUPO: 600088
INSTRUCTOR: ALEXANDER ALVAREZ
TECNOLOGÍA EN GESTIÓN DE REDES
SENA
MEDELLÍN
2015
2. Contenido
Contenido..............................................................................................................................2
Problema a resolver ............................................................................................................3
Conceptos claves.................................................................................................................3
Topología a implementar ....................................................................................................4
Configuración protocolo RIP ..............................................................................................5
Configuración de VPN.........................................................................................................6
Conceptos en la configuración..................................................................................6
Configuración Router 1 (Medellín) ................................................................................7
Configuración Router 2 (Bogotá)...................................................................................7
Pruebas .................................................................................................................................8
Cibergrafía ..........................................................................................................................10
3. Problema a resolver
Se debe diseñar e implementar una solución de conectividad remota de sedes creando un
túnel punto a punto entre dos routers cisco, cada uno de los routers debe tener una LAN en
una interfaz diferente a la usada para la conexión punto a punto (WAN). El protocolo de
conexión VPN puede ser cualquiera soportado por los dispositivos, pero se debe intentar
que sea el más seguro posible.
Conceptos claves
VPN: Una VPN (Virtual Private Network) permite crear una conexión segura a otra red a
través del Internet. Cuando se conecta cualquier dispositivo a una VPN, este actúa como
si estuviese en la misma red que la que tiene la VPN y todo el tráfico de datos se envía de
forma segura a través de la VPN.
ARQUITECTURA DE UNA VPN:
VPN SITIO A SITIO: Las VPN de sitio a sitio son utilizadas para conectar sitios
geográficamente separados de una corporación.
Con una VPN, es posible conectar las LAN corporativas utilizando Internet. El envío
de información se realiza a través de una conexión VPN. De esta forma, se puede
crear una WAN utilizando una VPN. Una empresa puede hacer que sus redes se
conecten utilizando un ISP local y establezcan una conexión de sitio a sitio a través
de Internet.
Los costos de la comunicación se reducen enormemente porque el cliente sólo paga
por el acceso a Internet. Las oficinas remotas se conectan a través de túneles
creados sobre Internet. Con el uso de la infraestructura de Internet, una empresa
puede desechar la difícil tarea de tener que estar administrando los dispositivos
como los que se utilizan en las WAN tradicionales.
VPN DE ACCESO REMOTO: Esta VPN proporciona acceso remoto a una intranet
o extranet corporativa. Una VPN de acceso remoto permite a los usuarios acceder
a los recursos de la compañía siempre que lo requieran. Con el cliente VPN
instalado en un dispositivo, el usuario es capaz de conectarse a la red corporativa,
no importa donde se encuentre.
Las VPN de acceso remoto ahorran costos a las empresas ya que los usuarios sólo
necesitan establecer una conexión con un ISP local, pagándose solamente la
llamada local y olvidándose de realizar llamadas de larga distancia. El cliente de
acceso remoto inicia una conexión VPN a través de Internet con el servidor VPN de
la compañía.
4. Topología a implementar
En esta topología implementaremos una conexión VPN entre la sede de Medellín y Bogotá,
cada una maneja un direccionamiento LAN diferente, se comunicarán a través del protocolo
RIP (necesario para establecer la comunicación antes del túnel seguro). Antes de comenzar
la implementación es necesario configurar el direccionamiento IP en cada uno de los
dispositivos como se ve en la imagen.
5. Configuración protocolo RIP
Necesitamos establecer la comunicación de una red a otra mediante el protocolo RIP en
su versión 1.
Router 1 (Medellín)
Router 2 (Bogotá)
Ahora probamos mediante el comando show ip route que el enrutamiento funcione
adecuadamente, en este caso vemos que el router de Bogotá reconoció la red LAN de
Medellín por medio del router 10.1.1.1 (Medellín).
6. Configuración de VPN
Conceptos en la configuración.
Política de encriptación: Se utiliza para establecer una política de seguridad compartida
y las claves autenticadas para los servicios (como IPSec) que requieren una clave.
Isakmp: (Asociación de seguridad en Internet y Protocolo de administración de claves):
estructura de protocolo que define el mecanismo de implementación de un protocolo de
intercambio de claves y la negociación de las políticas de seguridad.
Authentication: Establece el método de protección.
SHA: Son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una
contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija
que representa un resumen de toda la información que se le ha dado (es decir, a partir de
los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos
datos).
Encryption: Algoritmo de encriptación.
Aes: Es un esquema de cifrado por bloques adoptado como un estándar de cifrado.
Group Diffie-Hellman: Es un protocolo de establecimiento de claves entre partes que no
han tenido contacto previo, utilizando un canal inseguro, y de manera anónima (no
autentificada).
Lifetime: Tiempo de vida para la conexión, puede configurarse entre 60 y 86400 segundos.
Transform-set: El transform set define las políticas de seguridad que serán aplicadas al
tráfico que entra o sale de la interfaz. El estándar IPSec especifica el uso de Security
Asociations para determinar qué políticas de seguridad se aplican al tráfico deseado. Los
transform-set se definen a través de crypto-maps.
Esp-aes: Esp transformado utilizando cifrado AES.
Esp-sha-hmac: Esp transformado utilizando autenticación HMAC-SHA.
Access-list: Las listas de control de acceso (ACL) IP pueden filtrar el tráfico de red.
Crypto map: Parámetro que define el transform-set.
IPsec: IPsec (Internet Protocol Security): permite mejorar la seguridad a través de
algoritmos de cifrado robustos y un sistema de autentificación más exhaustivo. IPsec posee
dos métodos de encriptado, modo transporte y modo túnel. Asimismo, soporta encriptado
de 56 bit y 168 bit (triple DES).
7. Configuración Router 1 (Medellín)
Vamos a crear una política de encriptación con ID 10, con clave pre-compartida, algoritmo hash,
encriptación aes de 256bits, grupo 2, con tiempo de vida de 86400Seg, con la llave SENA1, se crea
la política de seguridad REDES2, se crea la lista de acceso, se asocia el crypto map GESTION 3al
transform-set, se define el peer, se asocia el transform-set anteriormente creado, y finalmente se
asocia la interfaz externa del router con el crypto map.
Configuración Router 2 (Bogotá)
1
Valor definido por el usuario
2
Valor definido por el usuario
3
Valor definido por el usuario
8. Pruebas
Finalmente vamos a realizar la prueba de estado para la VPN, para esto debemos de enviar
algún tipo de tráfico de una red a otra, sino no se activará el enlace.
La prueba se ejecuta mediante el comando show crypto isakmp sa
Prueba sin Ping.
Prueba con Ping.
Vemos que la VPN se encuentra en un estado activo.
Como opción tendremos el comando show crypto ipsec sa – este nos permitirá visualizar
información como los algoritmos usados en la conexión, número de paquetes, etc.