VPN Capitulo7

  • Published on
    05-Dec-2014

  • View
    22

  • Download
    0

Embed Size (px)

Transcript

<p>CAPITULO VII: GUIA DE USUARIO PARA CONFIGURAR IPSEC Y MPLS EN DOS ROUTER CISCO, Y CREAR UNA VPN EN INTERNET, PARA LAS EMPRESAS. Este documento tiene como propsito presentar una gua de configuracin de IPSec y MPLS en dos router cisco, para que facilite a las empresas la implementacin de cada uno de los protocolos segn la necesidad que estas tengan. Tambin se pretende presentar una gua tcnica para fines acadmicos, para aumentar el conocimiento cientfico de los estudiantes en el rea de informtica. Esta gua contiene los pasos a seguir para la configuracin de IPSec y MPLS, lo cual se recomienda tener conocimientos tericos y prcticos sobre router cisco, para la debida interpretacin de esta. As mismo se recomienda a las empresas que utilicen esta gua, que no es absoluta ni nica ya que puede variar su contenido de acuerdo a las necesidades tcnicas de las empresas, por lo que se puede enriquecer o contrastar con otras guas de configuracin, como los que proporciona cisco www.cisco.com.</p> <p>7.1.- CONFIGURACIN DE IPSEC ENTRE DOS ROUTER CISCO Y UNA VPN EN INTERNET.</p> <p>CONTENIDO7.1.1- INTRODUCCIN. 7.1.2- PRERREQUISITOS. 7.1.3- COMPONENTES DE USO. 7.1.4- DESCRIPCIN 7.1.5- DIAGRAMA DE RED. 7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN MIGUEL. 7.1.7- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN SALVADOR. 7.1.8- CONSOLA HYPER TERMINAL DE WINDOWS. 7.1.9- CONFIGURACIN IPSEC ROUTER 2610 SAN MIGUEL. 7.1.10- CONFIGURACIN IPSEC ROUTER 3604 SAN SALVADOR. 7.1.11- VERIFICACIN ANTES DE TRANSMITIR PAQUETES DE INFORMACION POR LA VPN. 7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR. 7.1.13- VERIFICACIN DESPUES DE TRANSMITIR PAQUETES DE INFORMACION POR LA VPN. 7.1.14DESCRIPCION DE COMANDOS UTILIZADOS EN LA CONFIGURACIN DE IPSEC.</p> <p>7.1.1- INTRODUCCIN. El siguiente documento describe la configuracin de IPSec, entre una LAN-to-LAN creando un tnel por medio de una VPN, desde San Salvador hasta San Miguel utilizando Internet. 7.1.2- PRERREQUISITOS. Conocimientos bsicos de routers cisco. Ruteo esttico. 7.1.3- COMPONENTES DE USO. 3 Computadoras con Windows XP. 1 Computadora con Linux (Puede ser otro SO). 1 Hub. 1 Modem US Robotic. 1 Router 2610 con Puerto Ethernet 0/0, Serial Wic/2T y Software Cisco IOS Versin 12.2 (31). 1 Router 3604 con Puerto Ethernet 0/3 u otro, Software Cisco IOS Versin 12.2 (31). 4 Cables UTP categora 5. 1 Enlace Conmutado. 1 Enlace Dedicado. 2 Acceso a Internet. 7.1.4- DESCRIPCIN IPSec: Es un grupo de extensiones de la familia de protocolos IP, que provee servicios criptogrficos de seguridad. Creado por IETF (Internet Engineering Task Force)</p> <p>Organizacin Router: la</p> <p>encargada</p> <p>del</p> <p>estudio</p> <p>de</p> <p>problemas</p> <p>tcnicos relacionados con Internet. Es un dispositivo dentro de la red usando comnmente para conmutacin o ruteo de paquetes. Esta conmutacin el router la realiza tomando decisiones en base a su configuracin para redes. 7.1.5- DIAGRAMA DE RED. El presente diagrama muestra la ubicacin de los equipos fsicamente y las direcciones IP de cada uno de los puntos de la red que representa la parte lgica para poder configurar el protocolo IPSec.</p> <p>LAN 2</p> <p>Figura 7.1 Diagrama de red IPSec.</p> <p>7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (tcp/ip), san miguel. Se configura las propiedades del protocolo de Internet (TCP/IP) la computadora que esta en la LAN1 San Miguel, tomando en cuenta las direcciones IP asignadas a este nodo de la red y poder establecer la conexin hacia el otro punto de la red. Se colocan las siguientes propiedades como aparecen en la figura 7.2.</p> <p>Figura 7.2 Propiedades del protocolo de Internet (TCP/IP) S.M.</p> <p>7.1.7-</p> <p>PROPIEDADES</p> <p>DEL</p> <p>PROTOCOLO</p> <p>INTERNET</p> <p>(TCP/IP), SAN SALVADOR. Se configura las propiedades del protocolo de Internet (TCP/IP) la computadora que esta en la LAN 2 San Salvador, tomando en cuenta las direcciones IP asignadas a este nodo de la red y poder establecer la conexin hacia el otro punto de la red. Se colocan las siguientes propiedades como aparecen en la figura 7.3.</p> <p>Figura 7.3 Propiedades del protocolo de Internet (TCP/IP) S.S.</p> <p>7.1.8- CONSOLA HYPER TERMINAL de WINDOWS. Cuando esta conectado todo el Hardware, se utiliza la consola Hyper Terminal de Windows que es la aplicacin por medio de la cual se ingresa a la consola de configuracin del Router Cisco, Inicio / Todos los programas / Accesorios / Comunicaciones / Hyper Terminal, ver Figura 7.4.</p> <p>Figura 7.4 Ingreso al Hyper Terminal de Windows.</p> <p>Aparece la figura 7.5 donde se selecciona el puerto COM1, esto significa que se conecta utilizando este para ingresar a la consola del router.</p> <p>Figura 7.5 Conectar al COM1.</p> <p>Luego se colocan las siguientes propiedades tal como aparecen en la figura 7.6</p> <p>Figura 7.6 Consola Hyper Terminal de Windows.</p> <p>De esta forma se ingresa a la consola del router cisco, para realizar la configuracin correspondiente a IPSec, aplicando las tcnicas de encriptacin con cada uno de los comandos, de una forma lgica y ordenada. Luego pasa a la consola el Router Cisco.</p> <p>7.1.9- CONFIGURACIN IPSEC ROUTER 2610 SAN MIGUEL. La presente configuracin corresponde al Router Cisco 2610, en el cual se procede a configurar IPSec, tomando en cuenta la conexin lgica de la red y los respectivos comandos. Las lnea en negrita representan la configuracin del router y las lneas que tienen antepuesta las // representan los comentario de los bloque de configuracin. Consola IPSec - Router 2610 Cisco 2610 IOS Versin 12.2.(31) //Prompt del router donde se digitan los comandos. SanMiguel# Building configuration... Current configuration : 2254 bytes ! Version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SanMiguel ! ! memory-size iomem 10 ip subnet-zero ip cef ! ! ip name-server 66.119.93.4</p> <p>! // INICIA LA CONFIGURACIN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las polticas de mxima prioridad y que coincidan //en ambos lados, es decir con el router de San Salvador, en //este caso la prioridad es 10 (hash md5 y con autenticacin) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To//LAN para su respectiva negociacin. crypto isakmp key TesisSM address 66.119.92.145 ! // Se crea la fase para la autenticacin y encriptacin de la //informacin. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. ! crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el tnel. crypto map VPN local-address Dialer2 // Se crea el mapa de encriptacin. crypto map VPN 10 ipsec-isakmp // Se especifica la ip del peer (Tnel ipsec). set peer 66.119.92.145 // Se aplica el tipo de transformacin para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110</p> <p>// Script para realizar el marcado por medio del MODEM. chat-script Dialout ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c // Init String para la configuracin del MODEM. modemcap entry MY_MODEM:MSC=&amp;F1S0=1 call rsvp-sync ! ! // Tnel IP hacia San Salvador interface Tunnel2 description TUNEL HACIA SAN SALVADOR TELEFONICA ip unnumbered Dialer2 tunnel source Dialer2 tunnel destination 66.119.92.145 // Se aplica la encriptacin ipsec a la interfaz. crypto map VPN ! interface Ethernet0/0 ip address 20.0.20.1 255.255.255.0 full-duplex ! interface Serial0/0 no ip address shutdown ! // Interfaz serial conectada a modem asncrono. interface Serial0/1 physical-layer async no ip address encapsulation ppp dialer in-band dialer rotary-group 2 async default routing async mode dedicated</p> <p>! // Interfaz virtual para el acceso telefnico a Internet. interface Dialer2 ip address negotiated encapsulation ppp dialer in-band dialer idle-timeout 900 // Numero de acceso telefnico a Marcar por el router. dialer string 22111111 dialer hold-queue 10 dialer load-threshold 1 either dialer-group 2 ppp authentication chap pap callin ppp chap hostname tsm@internet ppp chap password 0 internet ppp pap sent-username tsm@internet password 0 internet ppp multilink bap ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 // Ruta esttica para la red 30.0.30.0 ip route 30.0.30.0 255.255.255.0 Tunnel2 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN.access-list 110 permit ip 20.0.20.0 0.0.0.255 10.0.10.0 0.0.0.255 access-list 110 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip any any</p> <p>dialer-list 2 protocol ip permit no cdp run ! dial-peer cor custom ! ! line con 0</p> <p>line 2 // Linea 2, configuracin directa con el MODEM. script dialer Dialout modem InOut modem autoconfigure type MY_MODEM transport input all speed 57600 flowcontrol hardware line aux 0 exec-timeout 0 0 transport output none line vty 0 4 login ! End //Cuando se finaliza la configuracin del router, es importante //guardar los cambios realizados con el comando write.</p> <p>7.1.10- CONFIGURACIN IPSEC ROUTER 3604 SAN SALVADOR. La siguiente configuracin, se realizo en un router Cisco 3604, donde se ejecutan los comandos correspondientes a IPSec. Las lnea en negrita representan la configuracin del router y las lneas que tienen antepuesta las // representan los comentario de los bloque de configuracin. Consola IPSec - Router 3604 Cisco 3604 IOS Versin 12.2.(31) //Prompt del router donde se digitan los comandos. REDIP# Building configuration... Current configuration : 4174 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname REDIP ! aaa new-model aaa authentication login default local aaa authentication ppp default local enable secret 5 $1$XUyx$r3JYNZKhBNcOU4xhwGhQs0 ! ip subnet-zero ip cef</p> <p>! ! ip name-server 66.119.93.4 ip name-server 66.119.95.4 ! // INICIA LA CONFIGURACIN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las polticas de mxima prioridad y que coincidan //en ambos lados, es decir con el router de San Miguel, en //este caso la prioridad es 10 (hash md5 y con autenticacin por //clave simtrica compartida) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To//LAN para su respectiva negociacin. crypto isakmp key TesisSM address 66.249.197.20 ! // Se crea la fase para la autenticacin y encriptacin de la //informacin. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el tnel. crypto map VPN local-address FastEthernet3/0 // Se crea el mapa a aplicar en la interfaz (crypto map). crypto map VPN 10 ipsec-isakmp // Establece el punto remoto de la VPN set peer 66.249.197.20</p> <p>// Se aplica el tipo de transformacin para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110 ! no call rsvp-sync ! // Tnel IP hacia Router San Miguel. interface Tunnel2 description TUNEL HACIA SAN MIGUEL ip unnumbered FastEthernet3/0 tunnel source FastEthernet3/0 tunnel destination 66.249.197.20 // Se aplica la encriptacin ipsec a la interfaz. crypto map VPN ! // LAN de servidor TFP linux para las pruebas. interface FastEthernet1/0 description Conexion Servidor Linux ip address 30.0.30.1 255.255.255.0 duplex auto speed auto ! ! interface FastEthernet3/0 description Conexion Routers de Acceso ip address 66.119.92.145 255.255.255.224 ip nat outside duplex auto speed auto ! no ip classless // Ruta esttica para la red 20.0.20.0</p> <p>ip route 20.0.20.0 255.255.255.0 tunnel2 ip route 66.249.197.20 255.255.255.255 66.119.92.133 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN.access-list 110 permit ip 30.0.30.0 0.0.0.255 20.0.20.0 0.0.0.255 access-list 110 permit ip 10.0.10.0 0.0.0.255 20.0.20.0 0.0.0.255</p> <p>line con 0 password 7 111B1C011E02 line aux 0 line vty 0 4 password 7 071D24484719 End //Cuando se finaliza de hacer los cambios de la configuracin del //router, se recomiendo guardar los cambios con el comando //write.</p> <p>Cuando se finaliza la configuracin de los dos router es importante verificar la conexin del tnel con y sin trfico de datos, esto permite evaluar cuantos paquetes han sido encapsulados y encriptados por IPSec. 7.1.11VERIFICACIN ANTES DE TRANSMITIR</p> <p>PAQUETES DE INFORMACION POR LA VPN. Cuando ha finalizado la configuracin de los dos Router, se procede a comprobar la configuracin de IPSec con el siguiente comando show crypto ipsec sa este muestra el nmero de paquetes que han sido transmitidos por la VPN y</p> <p>si existe la encriptacin, autenticacin y integridad de los paquetes, en la siguiente verificacin no se ha transmitido trafico por el tnel VPN des un punto local hasta el punto remoto o viceversa, como se observa a continuacin los paquetes encapsulados y encriptados son 0, es decir porque no ha transmitido ningn paquete por la VPN. Consola IPSec - Router 3604 SanMiguel#show crypto ipsec sa local ident (addr/mask/prot/port): (30.0.30.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (20.0.20.0/255.255.255.0/0/0) current_peer: 66.249.197.20 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 66.119.92.145, remote crypto endpt.: 66.249.197.20 path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2 current outbound spi: 0 inbound esp sas: inbound ah sas:</p> <p>inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:</p> <p>Se observan las siguientes lneas estadsticas, en las cuales registran 0 paquetes transmitidos. #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 Tambin se visualiza la encriptacin que se aplica desde el punto local hasta el punto remoto, establecido por el tnel virtual con las direcciones publicas 66.119.92.145 (San Salvador) y 66.249.197.20 (San Miguel). Tambin se puede revisar la conexin desde un punto a otro y viceversa en los siguientes numerales. 7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR. Ping es un mensaje transmitido por un programa Packet Internet Groper. Tambin es enviado desde un nodo a la direccin IP de una computadora de red para determinar si ese nodo est disponible para enviar y recibir transmisiones.</p> <p>En la figura 7.7, se da ping desde la PC que esta en San Miguel (20.0.20.2) al servidor de archivos que este en San Salvador (30.0.30.2) y aparece la siguiente ventana:</p> <p>Figura 7.7 Ping desde PC San Miguel a CP San Salvador.</p> <p>Esto quiere decir que ya existe la conexin entre un nodo de la red y otro, la cual se realiza por medio de Internet. La figura 7.7 muestra cuantos paquetes fueron enviado...</p>