Comunicaciones II

V Ciclo
VPN Cisco
Integrantes:
Huacho Oncoy, Walter
Isasi Mauricio, Michelle
Matos Tenazoa, Juan
Tapia Coila, Waldo
Urcia Castillo, Franco
2014 - I
Configuracin bsica de VPN LAN-2-LAN con
routers.
Topologa:
H !""IC#
LAN$1%2.1&'.0.0(
24
)AN$ 200.24.0.0(*0
.1

IN+#,N#+
.1
-,ANCH !""IC#
1%2.1&'.10(24
1'0.100.0.0(*0
.2
.2
.1
.1
,-H ,--,ANCH
Figura 1.
Topologa
.#,V#,.
Antecedente y Requerimientos:
Los Routers R-HQ y R-BRANCH debe ser configurado con NAT de manera que las
redes LAN
tengan conexin hacia internet.
Los routers en cada una de las sedes no cuentan con ningn protocolo de
enrutamiento definido. e manera que el tr!fico se en"a hacia internet
mediante rutas de ltimo recurso definidas as#
,-H/config01i2 route 0.0.0.0 0.0.0.0 200.24.0.1
,--,ANCH/config01i2 route 0.0.0.0 0.0.0.0 1'0.100.0.1
$e debe crear un Tnel %&N entre las dos sedes de manera que la BRANCH
OFFICE tenga acceso a los ser"idores ubicados en los HQ.
Definicione
s:
'nicialmente se deben definir los par!metros que se usar!n para establecer el tnel %&N.
&ara establecer un tnel %&N es necesario que se lle"en a cabo dos fases de negociacin
'() *'nternet (ey )xchange+ ,ase - y ..
-. IKE fase 1: )sta fase es la encargada de establecer un canal autenticado de
comunicacin.
&ara esto utili/a el Algoritmo de iffie01ellman el cual es asim2trico y permite el
intercambio seguro de lla"es sim2tricas como )$3 4)$3 A)$ o $)AL las
cuales son utili/ada para encriptar el tr!fico entre los pares en la fase ..
La autenticacin para este protocolo se puede reali/ar por medio de
cla"es &re0 5ompartidas *&re0$hared (ey+ o de 5ertificados.
&uede operar en Main Mode o en Aggresive Mode3 donde la primera protege la
identidad de los pares3 la segunda no.
&ar!metros disponibles para '()
ph-#
Authentication# &re0$hared (eys3 R$A0)ncryption3 R$A0
$ignature
)ncryption Algorithm# )$3 4)$3 A)$ 6-.73
-8.3 .9:;
(ey )xchange# 10<roup- 6=:70bit;3 10<roup . 6->.?0bit;3 10<roup 9
6-94:0bit;
1ashing# @93
$1A0-.
. IKE fase : )n esta fase los pares hacen uso del canal seguro establecido en la
fase - para compartir las cla"es sim2tricas con las cuales se encriptar! el trafico.
&ar!metros disponibles para '()
ph.#
)ncryption Algorithm# esp0des3 esp04des3 esp0aes 6-.73 -8.3 .9:;3 esp0seal3
esp0null.
Authentication# ah0md90hmac3 ah0sha0hmac3 esp0md90hmac3 esp0
sha0hmac.
Definicion de
!arametros:
IKE p"1:
Authentication# &re0shared
Aey.
)ncryption Algorithm# A)$0
-.7
(ey )xchange# 10<roup.
6->.?0bit; 1ashing# $1A0-
IKE p":
)ncryption Algorithm# esp0aes0
-.7
Authentication# esp0sha0
hmac
#onfiguraciones:
#onfiguraci$n de %AT:
1. Asumiendo que las direcciones '& est!n configuradas3 se debe crear una lista
de acceso para definir a que '&s se le aplicara el NAT.
,-H/config01i2 access-3ist standard NA+-LI.+
,-H/config-std-nac3012er4it 1%2.1&'.0.0 0.0.0.255
,-H/config-std-nac301den6 an6
,--,ANCH/config01i2 access-3ist standard NA+-LI.+
,--,ANCH/config-std-nac3012er4it 1%2.1&'.1.0 0.0.0.255
,--,ANCH/config-std-nac301den6 an6
. $e define en cual sentido se lle"ar! a cabo el proceso de traduccin. &ara este
caso solo se cuenta con una '& pblica.
,-H/config01i2 nat inside source 3ist NA+-LI.+ interface gigabit#t7ernet 0(1
,--,ANCH/config01i2 nat inside source 3ist NA+-LI.+ interface
gigabit#t7ernet 0(1
&. $e define que interf!/ ser! la interior y cual la exterior.
,-H/config01interface gigabit#t7ernet 0(0
,-H/config-if01i2 nat inside
,-H/config01interface gigabit#t7ernet 0(1
,-H/config-if01i2 nat outside
,--,ANCH/config01interface gigabit#t7ernet 0(0
,--,ANCH/config-if01i2 nat inside
,--,ANCH/config01interface gigabit#t7ernet 0(1
,--,ANCH/config-if01i2 nat outside
1asta este punto cualquier tipo de tr!fico hacia internet ser! en"a por las interfaces
Butside y adem!s se identificar! mediante la '& publica del Router gracias al NAT
configurado.
$i se intenta en"iar tr!fico hacia entre las redes LAN de las sedes3 no habr!
respuesta debido a que esta redes son pri"adas y se encuentran detr!s de un NAT.
Aqu es donde entra la necesidad de una conexin %&N entre las dos redes LAN.
#onfiguraci$n de I'AK(!
)IKE p"1*
1. $e acti"a el protocolo '$A(@& en cada Router
,-H/config01cr62to isa842 enab3e
,--,ANCH/config01cr62to isa842 enab3e
. segn los par!metros definidos se crean las polticas. $e pueden crear mltiples
polticas en cada uno de los routers.
&ara poder que se lle"e a cabo el inicio del tnel es necesario que al menos una
poltica de uno de los routers coincida en todos sus par!metros con alguna poltica
del otro Router.
La poltica con menor numeracin tiene mayor prioridad.
La numeracin en las polticas es solo de car!cter local3 de manera que cada
Router puede contar con numeraciones y prioridades diferentes para las polticas.
Las polticas de un router se comparan con las del otro una a una segn su
prioridad hasta que se llegue a una coincidencia total de los par!metros.
,-H/config01cr62to isa842 2o3ic6 10
,-H/config-isa84201aut7entication 2re-s7are
,-H/config-isa84201encr62tion aes 12'
,-H/config-isa842017as7 s7a
,-H/config-isa84201grou2 2
,-H/config-isa842013ifeti4e '&400
,--,ANCH/config01cr62to isa842 2o3ic6 &0
,--,ANCH/config-isa84201aut7entication 2re-s7are
,--,ANCH/config-isa84201encr62tion aes 12'
,--,ANCH/config-isa842017as7 s7a
,--,ANCH/config-isa84201grou2 2
,--,ANCH/config-isa842013ifeti4e '&400
&. $e configura la identidad para este par3 existen dos opciones para este comando
las cuales son#
0 Address: $i el Router remoto solo utili/a una interfa/ *por lo tanto una sola
direccin
'&+ y adem!s se conoce la '& que utili/ar! *no es asignada por 15&+.
0 Hostname: $i el par utili/a m!s de una interfa/ para '$A(@& o si obtiene la
direccin
'& por medio de 15&.
Cna "e/ definida la identida se configura la &re0share Aey con el siguiente formato#
,/config01cr62to isa842 8e6 +,ey- 9address(7ostna4e: +Remote
Address./ostname-
Ctili/ando DAddressE#
,-H/config-isa84201cr62to isa842 identit6 address
,-H/config-isa84201cr62to isa842 8e6 46;2n8e6 1'0.100.0.2
255.255.255.252
,--,ANCH/config01cr62to isa842 identit6 address
,--,ANCH/config01cr62to isa842 8e6 46;2n8e6 address 200.24.0.2
255.255.255.252
Ctili/ando DHostnameE#
,-H/config-isa84201cr62to isa842 identit6 7ostna4e
,-H/config-isa84201cr62to isa842 8e6 46;2n8e6 7ostna4e ,-
-,ANCH.bdo4ain.co4
,-H/config01i2 7ost ,--,ANCH.bdo4ain.co4 1'0.100.0.2
(Si el Roter est! ma"eado dire#tamente a n $NS la %ltima l&nea se "ede o'viar(
,--,ANCH/config01cr62to isa842 identit6 7ostna4e
,--,ANCH/config01cr62to isa842 8e6 ;2n8e6 7ostna4e ,-H.7<do4ain.co4
,--,ANCH/config01i2 7ost ,-H.7<do4ain.co4 200.24.0.2 255.255.255.252
(Si el Roter est! ma"eado dire#tamente a n $NS la %ltima l&nea se "ede o'viar(
#onfiguraci$n de I!'ec )IKE p"*
1. 5rear una transformacin para los datos. Al igual que las politicas3 las
transformaciones deben coincidir en sus par!metros en los dos &ares.
,-H/config01cr62to i2sec transfor4-set +,AN." es2-aes 12' es2-s7a-74ac
,--,ANCH/config01cr62to i2sec transfor4-set +,AN." es2-aes 12' es2-s7a-
74ac
. $e establecen par!metros para la $A *$ecurity Association+ como el tiempo
de "ida
*lifetime+ del tnel.
)l tiempo de "ida puede estar definido o por tiempo o por tr!fico.
Cna "e/ el tiempo de "ida se haya cumplido3 los routers deben renegociar los
par!metros3 creando as unas nue"as pre0share Aeys y brind!ndole seguridad al
tnel.
)or Cantidad de *iem"o (se#(:
,-H/config01cr62to i2sec securit6-association 3ifeti4e seconds '&400
,--,ANCH/config01cr62to i2sec securit6-association 3ifeti4e seconds '&400
)or Cantidad de *r!+i#o (,'-tes(:
,-H/config01cr62to i2sec securit6-association 3ifeti4e 8i3ob6tes 25&0
,--,ANCH/config01cr62to i2sec securit6-association 3ifeti4e 8i3ob6tes 25&0
&. &ara determinar cu!l es el tr!fico que debe atra"esar el tnel y por ende estar
encriptado3 se deben crear A5Ls equi"alentes en cada uno de los routers3 de
manera que el tr!fico de origen en la A5L de un Router corresponda al tr!fico de
destino en la A5L del otro Router.
$i estas A5Ls no se definen correctamente la comunicacin a tra"2s del tnel
no ser! efecti"a.
&ara este caso3 el tr!fico que interesa es aquel que "a desde la LAN de los 1F
hasta la LAN
remota y "ice"ersa. &or lo tanto#
,-H/config01i2 access-3ist e=tended VPN-+,A""IC
,-H/config-e=t-nac3012er4it i2 1%2.1&'.0.0 0.0.0.255 1%2.1&'.1.0 0.0.0.255
,-H/config-e=t-nac301den6 i2 an6 an6
,--,ANCH/config01i2 access-3ist e=tended VPN-
+,A""IC
,--,ANCH/config-e=t-nac3012er4it i2 1%2.1&'.1.0 0.0.0.255 1%2.1&'.0.0
0.0.0.255
,--,ANCH/config-e=t-nac301den6 i2
an6 an6
0. $e crea entonces un @apa donde se agruparan todas las caractersticas para
el Tunel
'&$e
c.
ado que a una interfa/ solo puede asoci!rsele un nico @apa se maneGa
entonces el concepto de Nmero de $ecuencia mediante el cual se pueden crear
di"ersas configuraciones y asociarlas a una nica interfa/.
,-H/config01cr62to 4a2 VPN->AP 1 i2sec-
isa842
,-H/config-cr62to-4a201set 2eer
200.24.0.2
,-H/config-cr62to-4a201set 2fs
grou22
,-H/config-cr62to-4a201set transfor4-set
+,AN."
,-H/config-cr62to-4a2014atc7 address VPN-
+,A""IC
,--,ANCH/config01cr62to 4a2 VPN->AP 1 i2sec-isa842
,--,ANCH /config-cr62to-4a201set 2eer 1'0.100.0.2
,--,ANCH /config-cr62to-4a201set 2fs grou22
,--,ANCH /config-cr62to-4a201set transfor4-set +,AN."
,--,ANCH /config-cr62to-4a2014atc7 address VPN-+,A""IC
)n este punto se pude considerar finali/ada la configuracin de la %&N. Ahora
bien3 si se intentase establecer el tnel al generar tr!fico considerado interesante
segn las A5Ls3 se
obtendra que ni siquiera se intercambian los par!metros de configuracin del tnel.
)sto sucede si y solo si se ha establecido el NAT en alguno de los routers.
$ucede que el proceso de traduccin de redes se lle"a a cabo antes de que se
proceda con el establecimiento del tnel3 por lo tanto3 cuando el tr!fico de salida es
e"aluado por la A5L configurada para el D5rypto @apE esta no "era como red de
origen una '& de la LAN *que es trafico considerado interesante+ sino que "era la
direccin '& &ublica del Router que sir"e para el Butside del NAT. 1asta este punto
la configuracin permite na"egar hacia internet desde cualquier '& de la LAN
mediante la '& &ublica3 pero impide el establecimiento del Tunel y por ende3 e"ita que
se tenga conexin entre las LAN de las sedes.
$i por el contrario decidimos quitar el NAT configurado entonces se presentaran las
siguientes situaciones#
$i no publicamos las redes LAN hacia internet *Lo cual no se debe y puede hacer
para este caso+ entonces el trafico puede salir desde las LAN3 pero no se recibir!
ninguna respuesta ya que el direccionamiento es &ri"ado y no aparecer! ninguna
ruta de "uelta definida en 'nternet. Adicionalmente los '$& filtran o bloquean
cualquier tipo de tr!fico desde $egmentos de Red &ri"ados ya que estos no
deberan salir hacia internet
&ara lograr tener acceso hacia internet sin el uso de NAT todos y cada uno de los
&5s que requieran na"egacin en al Heb tendran que utili/ar una '& pblica.
La solucin para esto es excluir el tr!fico interesante del NAT3 de manera que se
permita tanto el tr!fico hacia internet como el tr!fico a tra"2s de la %&N.
#onfiguraci$n Route1
(ap
1. $e configura una A5L para excluir el tr!fico que "a desde la LAN local hacia la
LAN remota
ya que este se considera tr!fico de inter2s.
,-H/config01i2 access-3ist e=tended NA+-LI.+
,-H/config-e=t-nac301den6 i2 1%2.1&'.0.0 0.0.0.255 1%2.1&'.1.0 0.0.0.255
,-H/config-e=t-nac3012er4it i2 1%2.1&'.0.0 0.0.0.255 an6
,-H/config-e=t-nac301den6 i2 an6 an6
,--,ANCH/config01i2 access-3ist e=tended
NA+-LI.+
,--,ANCH/config-e=t-nac301den6 i2 1%2.1&'.1.0 0.0.0.255 1%2.1&'.0.0
0.0.0.255
,--,ANCH/config-e=t-nac3012er4it i2 1%2.1&'.1.0
0.0.0.255 an6
,--,ANCH/config-e=t-nac301den6 i2
an6 an6
$e crea un route0map que incluya la lista de acceso definida3 de manera que
podamos excluir del NAT el tr!fico de inter2s. &ara este caso se podra solamente
utili/ar la lista de acceso definida como NAT0L'$T.
,-H/config01route-4a2 VPN-
+,A""IC
,-H/config-route-4a2014atc7 i2 address
NA+-LI.+
,--,ANCH/config01route-4a2 VPN-+,A""IC
,--,ANCH/config-route-4a2014atc7 i2 address NA+-LI.+
Teniendo configurados los route0maps se procede a cambiar el formato del NAT
en cada uno de los routers#
,-H/config01i2 nat inside source route-4a2 VPN-+,A""IC interface
gigabit#t7ernet 0(1
,--,ANCH/config01i2 nat inside source route-4a2 VPN-
+,A""IC interface gigabit#t7ernet 0(1
Al final de todas estas configuraciones tendremos na"egacin hacia internet y
adicionalmente un tunel %&N el cual interconecta las oficinas.
)s de tener en cuenta que se puede reali/ar el mismo procedimiento para cada una de las
Iranch Bffice que se tengan3 baGo la consideracin del ancho de banda del canal de
internet con el que contemos.