Administracin de redes.

Gua 7 1 Facultad: Ingeniera Escuela: Electrnica Asignatura: Administracin de redes

Tema: Configuracin de tneles IPSec

Contenidos
Configuracin de router Sitio remoto Configuracin de router Sitio Central

Objetivos Especficos
Estudiar IPSec como herramienta de seguridad para conectividad segura entre sitios remotos. Configurar tneles IPSec entre dos routers simulando sitios remotos.

Introduccin terica
En la siguiente imagen se presenta un esquema simple sobre la forma en que trabaja IPSec en los routers Cisco empleados en la prctica. Dos routers configuran un tnel virtual IPSec entre s, empleando algoritmos y parmetros en comn. Trfico rojo es el trfico que fluye a travs del router y que es dirigido hacia Internet y no a travs del tnel VPN. Trfico verde es dirigido desde un sitio al otro a travs del tnel IPSec VPN.

2 Administracin de redes. Gua 7

Materiales y Equipo
2 1 1 1 Routers Cisco 2600 o 1700 con paquete IOS con features de seguridad PC con HyperTerminal Convertidores serial a USB Cable de Consola Cisco

Procedimiento
Esquema de Conexiones Bibliografa
Conectar los routers entre s empleando cables seriales y aplicar configuracin bsica para conectividad Gua 1 completa entre ellos (empleando rutas default). LAN Sitio Central: 10.0.0.0/24 LAN Sitio Remoto: 192.168.0.0/24 WAN: 172.16.0.0/30 (Sitio Central .1 - Sitio remoto .2)

PARTE I: Configuracin de router Sitio remoto:

1. Definir polticas IKE (Internet Key Exchange) y se especifica el uso de llaves pre-shared como mtodo de autenticacin.

crypto isakmp policy 1 hash md5 authentication pre-share

2. Configure las llaves de autenticacin (preshared) para un peer IPSec especfico (peer o router en sitio central).

crypto isakmp key cisco123 address 172.16.0.1

3. Definir un transform-set. Esta es una combinacin aceptable de protocolos de seguridad y algoritmos, los cuales deben concordar con los configurados en el router peer.

crypto ipsec transform-set rtpset esp-des esp-md5-hmac

4. A continuacin se crea un mapa de IPSec. En este se indica que IKE es utilizado para establecer las asociaciones de seguridad (SA) de IPSec las cuales protegen el trfico especificado por el crypto map.

crypto map rtp 1 ipsec-isakmp set peer 172.16.0.1 set transform-set rtpset match address 115

Administracin de redes. Gua 7 3 En el crypto map se especifica el peer (router sitio central), tambin se configura para que IPSec utilice el transform-set definido en el paso 3. Finalmente se utiliza la ACL 115, la cual es asignada al crypto map para ser utilizada por IPSec para determinar que trfico debe ser protegido (encriptado) y que trfico no necesita ser protegido. 5. Se configura la interface de salida del router (interface hacia red pblica por ejemplo) con process switching (se deshabilita fast-switching) para realizar el cifrado de paquetes por parte de IPSec. Tambin se configura la interface para que utilice el crypto map creado para IPSec.

Interface Serial0/0 no ip route-cache no ip mroute-cache crypto map rtp

6. A continuacin se crea la ACL 115 empleada en el crypto map. Esta ACL provoca que todo el trfico IP que hace match con las condiciones de la ACL sea protegido por IPSec empleando las poticas configuradas en el crypto map.

access-list 115 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 115 deny ip 192.168.0.0 0.0.0.255 any

PARTE II: Configuracin de router Sitio Central:

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 172.16.0.2 crypto ipsec transform-set rtpset esp-des esp-md5-hmac crypto map rtp 1 ipsec-isakmp set peer 172.16.0.2 set transform-set rtpset match address 115 Interface Serial0/0 no ip route-cache no ip mroute-cache crypto map rtp access-list 115 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 115 deny ip 10.0.0.0 0.0.0.255 any

4 Administracin de redes. Gua 7

PARTE III: Verificacin

7. Utilice ping entre sitios para verificar conectividad. Fuente del ping debe ser la interface que conecta con la LAN de un sitio y el destino del ping debe ser la direccin IP de las interface WAN del router remoto.

Show crypto ipsec sa

8. Para desplegar en pantalla las configuraciones actuales de las SA de IPSec Para mostrar todas las IKE SA en un peer

Show crypto isakmp sa Show crypto engine

Para mostrar un resumen de la informacin de configuracin del crypto engine.

Anlisis de resultados Gua 3 las caractersticas de IPSec. 2. Liste Gua 4 Bibliografa fa

http://cisco.biz/en/US/docs/ios/12_0t/12_0t1/feature/guide/Easyip2.html#wp24774 1. Liste usos o escenarios en que puede ser til la implementacin de IPSec.

Gua 3 Gua 4
fa

Administracin de redes. Gua 7 5

Hoja de cotejo:

Docente:

1 1

Gua 7: Configuracin de tneles IPSec Mquina No:

Tema: Presentacin del programa Alumno : Alumno: Docente: Docente:

Mquina No: GL:

Mquinaa No: Fecha: GL: GL:

EVALUACION % CONOCIMIENTO Del 20 al 30% 1-4 Conocimiento deficiente de los fundamentos tericos 5-7 Conocimiento y explicacin incompleta de los fundamentos tericos 8-10 Conocimiento completo y explicacin clara de los fundamentos tericos Nota

APLICACIN DEL CONOCIMIENTO

Del 40% al 60%

ACTITUD Del 15% al 30% No tiene actitud proactiva. Actitud propositiva y con propuestas no aplicables al contenido de la gua. Tiene actitud proactiva y sus propuestas son concretas.

TOTAL

100%