Es importante conocer la necesidad a la hora de realizar la configuración de Túneles GRE, pues, podrían ser difíciles de manejar si crece la red demasiado, este túnel es muy útil manejando protocolos que NO son enrutables (como NetBIOS o protocolos enrutables de diferentes IP).
Método Site-to-Site con políticas de encriptación.
Vamos a implementar este proceso en este ejemplo de red, los routers son c3700:
El túnel va ser creado desde R1 hasta R2. La configuración de Internet (WAN-A y WAN-B) es un servicio del ISP, es decir, que la conexión a Internet normalmente sirve, solo falta es crea el túnel; Lo único que nos interesa es configurar los nodos de la empresa (Red VPN).
Los routers R1 y R2 serán configurados con las estructuras de la imagen, enrutamiento EIGRP, servicio de encriptación de claves, políticas para linea de consola y vty
Los routers R1 y R2 serán configurados con las estructuras de la imagen, enrutamiento EIGRP, servicio de encriptación de claves, políticas para linea de consola y vty
Para que la información que viaja por el túnel no sea manipulada, vamos a activar el IPsec; este es el método de cifrado con políticas de autenticidad. Para activar solo será #crypto isakmp enable
Para crear el formato de las politicas, tenemos que ingresar a #crypto isakmp policy 10
Allí configuraremos lo siguiente:
* Configurar un tipo de autenticación de claves previamente compartidas.
* Utilice cifrado AES 256.
* SHA como su algoritmo de hash
* Diffie -Hellman grupo 5 será el intercambio de claves para esta política IKE .
* Dar a la política un tiempo de vida de 3600 segundos (una hora)
(Repetir en R2)
Dado que las claves pre-compartidas se utilizan como método de autenticación en la política IKE, configure una clave en cada router que apunta hacia el otro extremo de la VPN. Estas claves deben coincidir para que la autenticación tenga éxito.
(Repetir en R2)
¿Cuál es la función de la IPsec conjunto de transformación? El conjunto de transformación IPsec especifica los algoritmos criptográficos y funciones que un router emplea en los paquetes de datos reales enviados por el túnel IPsec. Estos algoritmos incluyen el cifrado, la encapsulación, autenticación y servicios de integridad de datos que se puede aplicar IPsec.
#ipsec crypto transform-set 50 esp-aes 256 esp-sha-hmac
(Repetir en R2)
También puede cambiar los tiempos de vida de la asociación de seguridad IPsec desde el default de 3600 segundos, o 4.608.000 kilobytes, lo que ocurra primero.
R1 (config) # crypto ipsec segurity-association lifetime seconds 1800
(Repita en R2)
Luego de lo anterior vamos a crear las políticas de acceso en cada routers:
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
R2(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
Para ver lo configurado será:
#show crypto isakmp policy
#show crypto
De igual forma se puede crear un MAP que combine el IKE y IPsec.
Lo habilitamos en las interfaces WIC
R1(config)#int serial 0/0
R1(config-if)#crypto map CMAP
(Repetir en R2)
Para ver lo anterior:
#show crypto ipsec transform-set
#show crypto map
#show crypto isakmp sa
#show crypto ipsec sa
Método Site-to-Site directo.
Primero vamos a configurar a R1. Con respecto a las direcciones publicas como es un ejemplo, pero el direccionamiento puede ser cualquiera, siempre y cuando se enrutable y publico.
R1(config)#interface Tunnel 1
R1(config-if)#ip address 172.16.1.1 255.255.255.252
R1(config-if)#tunnel source 100.10.10.1
R1(config-if)#tunnel destination 200.20.20.2
R1(config-if)#end
R1#
Luego enrutaremos la red 192.168.1.0/24 hacia 192.168.2.0/24 por medio del túnel.
R1(config)#exit
R2#configure terminal
R2(config)#interface Tunnel 1
R2(config-if)#ip address 172.16.1.2 255.255.255.252
R2(config-if)#tunnel source 200.20.20.2
R2(config-if)#tunnel destination 100.10.10.1
R2(config-if)#end
R2#
R2(config)#ip route 192.168.1.0 255.255.255.0 tunnel 1 172.16.1.1
R2(config)#end
Ahora podemos verificar que el túnel está funcionando con un simple ping o tambien podemos tomar capturas.
Esta captura es de un PING de R1 a R2 vía túnel.
En la imagen de la derecha se puede ver la dirección IP publica de los routers, realizando la encapsulación (en la cuarta linea sombreada, se puede leer GRP); De está forma respondiendo a los pings.
En la imagen de la izquierda podemos ver el ping realizado desde IP publica a IP publica y no hay ninguna encapsulación.
R(config)#interface tunnel 1
R(config-if)#tunnel mode ipip
El modo ipip, es el tipo de túnel que permite encapsular paquetes IP dentro de otro paquete IP, muy útil para permitir la comunicación entre redes IPv6 por medio de redes IPv4. El proceso para seleccionar el protocolo es sencillo y deberá de ser configurado en ambos lados del tunnel, al igual que se definió el protocolo GRE, también puede seleccionarse cualquiera de los siguientes opciones: aurp, cayman, dvmrp, eon, gre ip, gre ip multipoint, ipip, iptalk.
El modo ipip, es el tipo de túnel que permite encapsular paquetes IP dentro de otro paquete IP, muy útil para permitir la comunicación entre redes IPv6 por medio de redes IPv4. El proceso para seleccionar el protocolo es sencillo y deberá de ser configurado en ambos lados del tunnel, al igual que se definió el protocolo GRE, también puede seleccionarse cualquiera de los siguientes opciones: aurp, cayman, dvmrp, eon, gre ip, gre ip multipoint, ipip, iptalk.
No hay comentarios:
Publicar un comentario