IPSec Site-to-Site

IPsec es un estndar de la industria, por lo que no solamente funciona bien en routers Cisco, si no
que tambin en Huawei, Juniper, entre varios. Uno de los componentes principales de IPsec es IKE
(Internet Key Exchange) el cual tiene como objetivo intercambiar informacin entre los peers
involucrados. La informacin que intercambia Router_A con Router_B va desde las claves pre-
compartidas (Preshared Key) hasta el tipo de algoritmos de hash y cifrado que se utilizarn (AES,
DES, 3DES, MD5, SHA, etc).
Adems existe ISAKMP (Internet Security Association and Key Management Protocol) que se
encarga de establecer el tnel entre las dos LAN remotas.
Los paquetes cifrados con IPsec pueden utilizar AH (Authentication Header) o ESP (Encryption
Security Payload). Con AH, solamente se protege el encabezado del paquete IP y utiliza el
protocolo IP 51 (no puerto TCP ni UDP), mientras que ESP cifra el paquete completo incluyendo la
carga til de las capas superiores (payload), utilizando el protocolo IP 50.
Pasos para configurar la VPN IPsec de tipo site-to-site
1. Se define la fase 1 de IKE (ISAKMP Policy)
2. Se define la fase 2 de IKE (Transform Set)
3. Definir una ACL para seleccionar el trfico que ir por la VPN
4. Crear un Crypto Map para asociar los pasos 1, 2 y 3 a una interface de salida




Topologa de Red

INDICACIONES:
o Cada 2 mdulos (mesas) armaran una topologa completa, en cada modulo deber
trabajar un mximo de 4 integrantes. Cada modulo configurara un Router.
Realizar las configuraciones bsicas de los routers, asegurarse de que exista conectividad a
travs de rutas por defecto. No configurar enrutamiento dinmico ya que el trfico viajara por
internet.
Fase 1
En esta fase se definir la poltica a establecer, el tipo de autenticacin que ser pre-compartida.
El algoritmo de autenticacin Hash a utilizar ser sha, la funcin hash es mtodo para generar
claves o llaves que representen de manera casi unvoca a un documento o conjunto de datos.
Definiremos tambin el tipo de encriptacin, usaremos el algoritmo de cifrado AES con una
longitud de 256 bits. Se establece el grupo para intercambiar la clave y la fuerza de esta
depender del grupo al que pertenezca (1, 2, 5) ambos dispositivos debern tener el mismo
grupo, luego se establece el tiempo de vida de la clave.
Por ultimo se establece la clave y la direccin del peer, se recomienda utilizar claves seguras con
ms de 10 caracteres, combinando maysculas, minsculas con nmeros y smbolos, sin embargo
para propsitos de la prctica utilizaremos la contrasea redes
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#hash sha
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
R1(config)#crypto isakmp key redes address 10.1.1.2
Fase 2
Permite establecer la combinacin de protocolos y algoritmos de seguridad a utilizar durante la
negociacin de los pares.
R1(config)#crypto ipsec transform-set prueba esp-aes esp-sha-hmac
R1(config)#exit
Fase 3
Establecer la ACL que controlara el trfico deseado a travs del tnel
En modo de configuracin global crear la ACL que permita el trfico de la red 192.168.1.0 hacia la
red 192.168.2.0
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Fase 4
Creacin de un crypto map que permita asociar las fases anteriores a una interfaz de salida.
R1(config)#crypto map R1_to_R2 10 ipsec-isakmp
R1(config-crypto-map)# set peer 10.1.1.2
R1(config-crypto-map)#set transform-set prueba
R1(config-crypto-map)#match address 101
Ahora debemos aplicar el crypto map a la serial en donde se creara el tunel
R1(config)interface serial 0/0/0
R1(config)crypto map R1_to_R2
Aparecer un mensaje de activacin del Tnel, y el enrutamiento no debe funcionar hasta que el
otro extreme se complemente.
En R2 la configuracin es similar solo cambiara la direccin del peer, las direcciones en la ACL y el
nombre del crypto map se deber invertir
Fase 1
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#hash sha
R2(config-isakmp)#encryption aes 256
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 86400
R2(config-isakmp)#exit
R2(config)#crypto isakmp key redes address 10.1.1.1

Fase 2
R2(config)#crypto ipsec transform-set prueba esp-aes esp-sha-hmac
R2(config)#exit
Fase 3
R2(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

Fase 4
R2(config)#crypto map R2_to_R1 10 ipsec-isakmp
R2(config-crypto-map)# set peer 10.1.1.1
R2(config-crypto-map)#set transform-set prueba
R2(config-crypto-map)#match address 102
El otro extremo del tnel se activ, verifique con pruebas de conectividad entre los hosts.
Para verificar que los paquetes generados desde una LAN a la otra efectivamente se estn cifrando
con IPsec (pkts encaps, pkts decaps, pkts encrypt, pkts decrypt)
R2#show crypto ipsec sa

Verifique si el protocolo ISAKMP SA entre los pares esta activo
R2#show crypto isakmp sa

Puede verificar el Crypto Map, el cual brinda informacin del mapa completo, la direccin del par,
el transform-set, la ACL, tiempo de vida y la interfaz en donde se crea el tnel.
R1#show crypto map