Introducción: VPN IPSEC en enrutadores ISR
Cisco Packet Tracer permite la configuración de VPN IPSEC entre enrutadores. El siguiente ejemplo muestra una configuración básica de VPN a través de Frame Relay entre París y Nueva York utilizando enrutadores Cisco 2811.
La tunelización IPSEC permite a los administradores de red utilizar Internet para crear conexiones seguras entre redes (teletrabajadores, ubicaciones remotas, …). Los enrutadores Cisco 2811 utilizan los estándares de túnel ISAKMP e IPsec para crear y administrar túneles. IPsec proporciona servicios de autenticación (AH) y cifrado (ESP) para evitar el acceso no autorizado o la modificación de datos. ISAKMP es un protocolo de negociación que permite la negociación de igual a igual sobre cómo crear una asociación de seguridad IPsec.
El principal problema con las sesiones IPSec es que no manejan tráfico de difusión o multidifusión. La habilitación de protocolos de enrutamiento dinámico como OSPF o EIGRP requiere soporte de multidifusión o difusión para permitir el saludo y actualizar el tráfico entre los enrutadores.
Solución: construya otro túnel general a través de IPSEC. Tres opciones disponibles en los routers Cisco:
- Interfaz de túnel virtual (VTI)
- Encapsulación de enrutamiento general (GRE)
- DMVPN y OBTENER VPN
GRE sobre IPSEC se ha estado ejecutando en Cisco Packet Tracer desde al menos la versión 6.0.1. Este diseño de túnel permite el enrutamiento OSPF dinámico a través del túnel
Configuración básica de VPN IPSEC
Obtenga la topología de la red
Nombre de archivo: ipsec-vpn.pkt
Tamaño de archivo: 11 KB
Configuración
Configuración del enrutador en París
hostname PARIS ! crypto isakmp policy 1 encr aes authentication pre-share group 2 ! crypto isakmp key 0 address 172.16.1.2 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set SECUREWAN esp-aes esp-sha-hmac ! crypto map IPSECWAN 100 ipsec-isakmp set peer 172.16.1.2 set pfs group2 set security-association lifetime seconds 86400 set transform-set SECUREWAN match address SECURED-TRAFFIC ! ! interface FastEthernet0/0 ip address 10.0.1.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.1.1 255.255.255.252 encapsulation frame-relay frame-relay interface-dlci 100 crypto map IPSECWAN ! ip route 10.100.1.0 255.255.255.0 172.16.1.2 ! ! ip access-list extended SECURED-TRAFFIC permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 !
Configuración del enrutador en Nueva York
hostname NEWYORK ! ! crypto isakmp policy 1 encr aes authentication pre-share group 2 ! crypto isakmp key 0 address 172.16.1.1 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set SECUREWAN esp-aes esp-sha-hmac ! crypto map IPSECWAN 100 ipsec-isakmp set peer 172.16.1.1 set security-association lifetime seconds 86400 set transform-set SECUREWAN
Enrutamiento OSFP dinámico con túnel GRE sobre IPSEC
La ACL IPSEC se ha modificado para permitir el tráfico GRE a través del túnel y denegar cualquier tráfico no cifrado en el enlace WAN.
ip access-list extended SECURED-TRAFFIC
permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
permit ip any any
permit gre 10.254.1.0 0.0.0.3 10.254.1.0 0.0.0.3
Configuración del túnel GRE en el enrutador de París
interface Tunnel0
ip address 10.254.1.1 255.255.255.252
tunnel source Serial0/0/0
tunnel destination 172.16.1.2
tunnel mode gre ip
Configuración del túnel GRE en el enrutador de NewYork
interface Tunnel0
ip address 10.254.1.2 255.255.255.252
tunnel source Serial0/0/0
tunnel destination 172.16.1.1
tunnel mode gre ip
Configuración OSPF a través de túnel
router ospf 1
log-adjacency-changes
network 10.0.1.0 0.0.0.255 area 0
network 10.254.1.0 0.0.0.3 area 0