CONFIGURACIÓN VPN SITE TO SITE YADFARY MONTOYA NATALIA HERNÁNDEZ SONIA DEYANIRA CARATAR BRENDA MARCELA TOVAR ADMINISTRACIÓN DE REDES DE COMPUTADORES JULIAN CIRO RAMIREZ FICHA 230490 SENA CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL MEDELLÍN 2012
ESQUEMA IMPLEMENTADO Configuremos de acuerdo a las fases: CONFIGURACION VPN EN ROUTER CISCO Fase 1: configurar las políticas isakmp (IKE). Internet Security Association and Key Management Protocol (ISAKMP) es un protocolo criptográfico que constituye la base del protocollo de intercambio de claves IKE. Authentication: Pre-share Hash: MD5 o SHA Encryption: DES, 3DES, AES. Group: 1,2 Crypto isakmp 1. Configuramos las interfaces. 2. Empezamos con la fase 1. Crypto isakmp policy 1: se crea la política identificándose por su número de prioridad 1 (1-10.000; 1 prioridad más alta). Encryption 3des: es el algoritmo simétrico de cifrado DES y tiene una longitud de clave de 168 bits. Hash sha: sha (Secure Hash Algorithm) es un algoritmo de hash utilizado para autenticar paquetes de datos. Authentication pre-share: clave pre-compartida, es una cadena de texto de una vpn espera recibir las credenciales.
Group 2: identificador de grupo, (1, 768-bit Diffie-Hellman) (2, 1024-bit diffie-hellman). Lifetime: tiempo de vida en segundos de la asociacion de seguridad 86400s=1 dia. Crypto isakmp keepalive 12 2 (opcional): intervalo de los paquetes hello (12-número de segundos entre conexiones activas), (2-número de segundos entre reintentos si falla keepalive). Crypto isakmp identity address: para cambiar el método de identificación de peer. Crypto isakmp key 0 redes230490 ip_route_remota: secreto compartido con el router remoto (asa). Fase 2: configurar las políticas IPSec. IPsec es un protocolo que está sobre la capa del protocolo de Internet (IP). Le permite a dos o más equipos comunicarse de forma segura (de ahí el nombre). Crypto ACL IPSEC Transform set
Ip Access-list extended ping: nos permite darle nombre a la lista de acceso. Permit ip source_address source_wilcard destination_address destination_wilcard:indicamos las direcciones de origen y destino que permitirá el acceso. Crypto ipsec transform-set strong esp-3des esp-sha-hmac: establece las políticas de seguridad IPSEC que se usaran en las comunicaciones, eligiendo el modo transporte (AH) o túnel (ESP). Fase 3: configurar crypto map. Es una signacion que asocia el trafico que coincide con una lista de acceso a un par de nodos y a diversas políticas IKE y opciones de IPSec Definición del Crypto map Set peer Match address (ACL) Aplicación del crypto map a la interfaz Crypto map trafico 1 ipsec-isakmp: le damos el nombre al crypto map y el numero de secuencia de entrada. Set transform-set strong: Especifica que conjuntos de transformación se puede utilizar con la entrada del mapa criptográfico.
Set pfs group2: Especifica que IPSec debe pedir confidencialidad directa perfecta (PFS) al solicitar nuevas asociaciones de seguridad para esta entrada crypto mapa, o que IPSec requiere PFS al recibir las solicitudes de las asociaciones de seguridad nuevas. Set peer ip_route_remoto: Especifica un oyente IPSec en una entrada crypto mapa. Match address ping: Especifica una lista de acceso extendida para una entrada crypto mapa. Interface f0/0: interfaz donde se aplicara el crypto map. Crypto map nombre: dar a conocer el nombre del crypto map aplicándola a la interfaz. Show Access-list ping: nos permitirá ver las listas de acceso (ACL). Show crypto ipsec transform-set: Muestra los conjuntos de transformación configurados. Show crypto map: Muestra la configuración de cifrado mapa.
Show crypto ipsec sa VER CONFIGURACIÓN COMPLETA DEL ASA EN EL SIGUIENTE ENLACE Running-config Router
ASDM Desde el Hyperterminal digitamos las siguientes líneas de comando: # dir flash:/ # aaa authentication http console LOCAL # username cisco password cisco # http server enable # http 172.16.0.2 255.255.0.0 inside # asdm image flash:/asdm-645.bin #wr Abrimos el explorador (Internet Explorer) y digitamos la dirección de la interfaz Inside o Gateway 172.16.0.1 y damos click sobre el botón Run ASDM. Click en Si.
Click en Ejecutar. Ingresamos el usuario y contraseña que configuramos desde el Hyperterminal, click en OK. ACL s
CONFIGURACION VPN EN ASA Seleccione el sitio a sitio VPN IPsec de tipo túnel y haga clic en Next, como se muestra aquí.
Ingrese la información de autenticación a utilizar, que es la clave pre-compartida en este ejemplo. La clave pre-compartida utilizada en este ejemplo es redes230490. El nombre del grupo túnel será su dirección IP por defecto fuera de si configura L2L VPN. Haga clic en Next. Especificar los atributos de usar para IKE, también conocida como Fase 1. Estos atributos deben ser los mismos tanto en el ASA y el router IOS. Haga clic en Next.
Especificar los atributos de usar para IPsec, también conocida como Fase 2. Estos atributos deben coincidir tanto en el ASA y el router IOS. Haga clic en Next. Especifique los hosts cuyo tráfico se debe permitir que pase a través del túnel VPN. En este paso, usted tiene que proporcionar los locales y redes remotas para el túnel VPN. Haga clic en el botón al lado de las redes Locales como se muestra aquí para elegir la dirección de la red local de la lista desplegable.
Los atributos definidos por el Asistente para VPN se muestran en este resumen. Revise la configuración y haga clic en Finish cuando esté seguro de la configuración es correcta. VER CONFIGURACIÓN COMPLETA DEL ASA EN EL SIGUIENTE ENLACE running config ASA PING DE LOCAL A REMOTO PING DE REMOTO A LOCAL
CAPTURA DESDE El HYPERTERMINAL (CLI):
CAPTURA DESDE ASDM (Modo Gráfico):