1919/2017 VPN - Sito a Site con Crypto maps ‘ds’ Comunidad ce Soporte ce Cisco Rozisrarse rico sesin Toda le comunicad Q) aurcar todo et coment VPN - Sitio a Sitio con Crypto maps VPN - Sitio Sitio con Crypto maps Ron 1 \ OSPF 14 EIGRP 7! \ rwisonp Vsrea0 a INTERNET Py tcopback-5.55.5/32 3 Loopback 55.55.55 55/32 LoopbachO-6666/32 Loopback ~ 65.66.66:65/22 { RS ‘Que es una VPN (Vinual Private Network, bésicamente une VEN e8 una conexién entre 2 puntas no recesatlamente covectades siectamante, le informae én gue gasa a través es enciptada cara pioveer proteccitn. Ex-ster varies tipas de VPN, pera les mis communes son: VPN Stio Sia 0 también canocide enme LAN a LAN, VPN Rercate Access, Firewall VPN y VPN Usuario a Usuario. En esto articulo aprenderemos a conigurar une VPN Site & Sitio en Reuters pero antes de conocer el precedimiente {ebemes conocer cierta term nelogiey protecales con el fin ce familarzarnos Modo Transport: Es un pe de encapsulamierto, donde el caquete IF originales vsiole a menos que se apl cue ener stacir. Este ipa de encapsularnento es mis ut zen entre conex én host w host a de un est # un gateway VPN. Ene sus atacteriscas pademos erenntrar Mayor MTU, seguridad se punta a punto, Desvertaias: na es muy escalable & incorveniontes con NAT-T. Mado Tanel: Es clro tpo de encapsulamiente y es mucha mas compatible cn Ios tipos de VPN Gateway, el paquete IP es neagsulado dente de ctts paquete para protege. Desventjas: hos:fsupportiorums.cisco.comi6routing-y-ew tchng-documentosivpr-so-a-sto-car-cryplo-rapsita 29181797 ww1919/2017 VPN - Sito a Site con Crypto maps ISAKMP: E5 un proced miente esteblecer el mecarismo de intercambio de Haves y defirir el formato de los menssies. los tales sorér utilzados para las uscciacionus du seyuridee. IKE: Encargado ce defini lz creacién y administracién de las aves para usarlas cer los métodos de protecrién. Grupo Diffie Hellman: Es ut cado cara determnar ol tamano ce la lave compart ante ambos equiges. Casa grupe tiene 1p Die Hellman (CH) representa clerta cantitad de bits, y es grupos van del 1 al S, 7, 14 y 15. No todos los equipos: soperter todos los grupos. lrSee: IP Socurty, fue creado pare proveer prcteccién a los datos por meaio ce enc placisn, Los algor ures de encriptacién sepertados por IPSec son: DES, S3DES, AES. IPSze soporta 1 0 2 pos de pratocoles de seguridad ESP (Puerta 51} y AK (Puerto 50) visa Pre Shared key: Permite la autent cacién de IKE ustndo una lve cor Algoritma Hash: Representa el métada de criprograti el cual puede se” SHA-1 6 MDS. Crypto Map: Necan'smo ullzzco pare asociar ACLs y los pardmetros de IPSec, contgurado curante la Fase 2 Fase 1: Tambien conacido como ISAKMP/IKE Fase 1, es basicamente ol proceso ce administracion de la VPN conde se verifca que se ce rcida el tipo de autenticscidn, grupo DF, algcrtme se encriptacién, el vash, Metime, ete. en los peers ce VPN. En esta fase no se transmte ningir tie de trice de usuar cs ‘Agu’ os donde se cefine la el perfil y a Have. Fase 2; Tambien conocido cory ISAKMPIKE Fase 2, es vasicamente utlleada pera reyeclar y establecer un tel IPSec, un ver establen dr elrifica de les usuar cs fuye a través de a VPN. PASOS PARA CREAR LNA VPN SITIO A SITIO Nota: RIF ws ut adie para simular Intern ‘Antes de proceder, an los router R’ y Ré que Son nusstros routers fe herd crearemos ura ruta gat defacto apuntan los proveedares de servic o, uege advertremos dicha ruta gor defecto a los routers Ry RE cules son ruestras routers rtemes. Verficuimos fa tabla de ertuterionts do RS y RB. hps:/supporttarums cisco com uling-y-swching-documertosivpr-sio-a-so-cor-eryplo-rapsita-pi9181797 ar1919/2017 VPN - Sito a Site con Crypto maps ‘A pesar que ya tenemos configurads une rute pcr defacto, no somos capaces de hacer ping ene las direce cnes loopbacks, testo debidy a que ne estarnos real zarde rrutual redstibucién wnte RIP zon EIGRP, y RIP con OSPF, Desce que RIP es utizado para skrular Inernst, pedemos obsiar ese paso Faso Basados en al clagrema mostrado arter cimente, proceceremos ¢ cree la fsse + Creams un perfl ISAKMP en los reuter RI y Ra ‘eamas la lave y as gramos la direccior cual representa cue se puede ntercambier cor cuslcu er pee”. dl peer con el cual s& compar ra, podemes eslecar 0.0.6.0 er la siscci6n, Fase2 Una ver fnalizada ls corfiquraciée para la Fase 1 procederemas con ls confqurscién dele Fase 2, este nvolucra = Creacién de las ACLs para nabiltar la comun cacién necosara, ~ Conf gurar kes pardmatios de encribtucion y encapsulamienta de IPSec; ~ Creamos un crypto map para asoc at I interac én de IPSec y le ACL i estudlamas la imagen, podemes cbsorvar que solo estamos permit ende télice que nosotros deseamos, Confiquramos las parametres de IPS hps:/supporttarums cisco com uling-y-swching-documertosivpr-sio-a-so-cor-eryplo-rapsita-pi9181797 37VPN -Sito 2 Site can Crypto maps Emac SEp-ae8 256 Enel caso que se tengan rultis ss proveedores, se puede utlizar el comand crypto maz local- address , en nuestrc ces0 no ulllzaremos el comendo ya ue no tenemes multiples conexiones, Una vez erezce las erypto ma ‘08 proveecores,utl2arde el borne enya cmap erenmbre det enypte ra> los asoc amos ¢ las interfaces que conectan & nuest 0, hemos fnal zado la eerhgur vat el fune onamisnto s existe trafic interesante n de la VPN, pao sole limeresting trafic en inglés), este sigr"fce que debemos generar traico, lo més facil es Faciendo ping entre oopbacks Los comandos para veriiear fa fase 1 y 2 son respectivarrente: show cnyto isskmo se show erypto see s Como rs hemos generado tien, na 1 ctstivan asociacianes de seguridad, Observemas que sucede si elecutamos un gg ‘88¢e RS hee alas loopbacks de R6. hps:/supporttarums cisco com uling-y-swching-documertosivpr-sio-a-so-cor-eryplo-rapsita-pi9181797 ar1919/2017 Soa VPN -Sito 2 Site can Crypto maps El pig es satisfactor o, venlfquemos caca una de las tases: ls fase 7 ya se encuentr funcionando y pe cortinuacér' hps:/supporttarums cisco com iiendo el réfico entre las redes perm tides en Is ACI uling-y-swching-documertosivpr-sio-a-so-cor-eryplo-rapsita-pi9181797 579 Cryo peer) seat eaperneater enenenenareeaa) eee ee er ee ere) aera re eee) Ea ect eee iy ere ae ee eee eae eee ae etcetera Rae Seer ra arama rT ee een) poses var oiaaperena cere ee ee ee ered ee ec eee er er etsy. preeretC sere en) ae ae eect oe) Cet ee eee ee eo Peer errr mare eee PrMTEE CUE) ee Feeney pera eee er) transfer: ah-md5-haac , cee ott Ore eC ecco ed page erence meaner ce TEC CLEL Seger ee eres Josurvan los pague orcapsulacos yd vd ce ous nuestra VPN funciona Historia everson hips:fsuppontfarums.cisco culing-y-sw tchng-documentosivpr-silo-a1919/2017 Revision? te ‘Oni sctuaizacton: ‘Aetualizade port lo Mesa te etguetas (1) outing & Seitening Colborseores CEE, cao Moise @® 10 Us! Fiquetas mis usd weueast cisco router routing catahst problemas segured webinar regune.alexpero qos stp switch # superior ccontecres Comertares apa del iio ‘AuitectureDigtal bgp cena VPN -Sito 2 Site can Crypto maps 09-08-20'7 10:08 AM switching cole rs 6500 comp elar> inva ious Digtalzacion dmvon dna os 8oea a Dectraciey ae prvaciaaa Foltc ee Cookies arcs reistacs hios:fsupportiorums.cisco.comirouting-y-ew tchng-documertosivpr-silo-a-sto-car-cryplo-rapsita 29181797 Ver stor de artculoe loopback ms froeRamirez enh Lithium, a