Laboratorio 1 IPSEC
Topologia.
1. Configuracin Bsica
Router 2.
Router 3.
�Probamos conectividad de PC2 a PC1
Conectividad PC1 a PC2
2. Habilitar IKE policies en los dos routers.
Hay dos elementos de configuracin centrales:
Parmetros IKE
Parmetros IPSEC
2.1 Verificar que el router soporta IKe y que est habilitado.
En la Fase 1 de IKE se define el mtodo de intercambio de claves utilizado para
aprobar y validar las polticas IKE entre los vecinos.
En la fase 2de IKE , los interlocutores intercambian y las directivas IPsec de
coincidencia para la autenticacin y el cifrado del trfico de datos.
IKE debe ser habilitado para que IPsec funcione. IKE est activado por defecto en las
imgenes IOS, con conjuntos de funciones criptogrficas. Si se desactiva, por alguna
razn, se puede habilitar con el comando ISAKMP cripto enable.
Router2(config)#crypto isakmp enable
Router3(config)#crypto isakmp enable
�2.2 Establecer una asociacin de seguridad (SA) y las policies ISAKMP (protocolo de
administracin de claves).
Para permitir la fase 1 de (negociacin de claves) se debe crear una poltica ISAKMP y
configurar una asociacin con el compaero. Una poltica de ISAKMP define la
autenticacin y algoritmos de cifrado y la funcin hash utilizado para enviar trfico de
control entre los dos puntos finales de VPN.
Cuando una asociacin de seguridad ISAKMP haya sido aceptada por los interlocutores
entonces la fase 1 de IKE ha sido completada.
Para esto usamos el comnado: crypto isakmp policy 10 y luego
podemos observar las opciones que tiene.
Ahora vamos a configurar en los dos routers las ISAKMP policy:
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption aes 256
R2(config-isakmp)#hash sha
R2(config-isakmp)#group 5
R2(config-isakmp)#lifetime 3600
R2(config-isakmp)#end
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#end
Para verificar esta configuracin:
R1#show crypto isakmp policy
�3. Configurar las claves
Dado que las claves se utilizan como mtodo de autenticacin en la poltica IKE,
debemos configurar una claveen cada router . Estas claves deben coincidir para que la
autenticacin sea exitosa. Utilice la direccin IP del interlocutor remoto.
El comando es:
R1(config)#crypto isakmp key clave address ip equipo remote
En Router 2:
En Router 3:
4. Configurar Transform Set:
Es otro parmetro de configuracin de cifrado que los routers negocian para formar un
asociacin de seguridad.
El comando es:
crypto ipsec transform-set nombre parametros
Router 2:
Router 3:
El transform-set de IPsec especifica el algoritmo de cifrado y funciones (transforma)
que un router emplea en los paquetes de datos enviados a travs del tnel de IPsec.
Estos algoritmos incluyen el cifrado, la encapsulacin, la autenticacin, y los
servicios de integridad que puede aplicar IPsec a los datos.
5. Definir el trfico a cifrar: debemos crear un acces-list donde definamos el trafico que
debemos cifrar:
Router 2:
Router 3:
�6. Crear y aplicar el Crypto Map.
Para crear un Crypto Map, utilice el comando:
crypto map name sequence-num type
Utilice un tipo de ipsec-ISAKMP, lo que significa IKE es
utilizado para establecer las asociaciones de seguridad IPsec.
Creamos el crypto Map en Router 2 llamado R1R2 que use el nro de secuencia
10:
Usamos el comando match address access-list para especificar la
lista de acceso que define el trfico a cifrar.
R1(config-crypto-map)#match address 101
Usamos el commando set peer ip del extremo para definir el
equipo remoto para el establecimiento del tnel.
Usamos el comando set transform-set nombre para definir cul
es el transform-set que se usar con el peer.
Quedando todo lo anterior asi:
Router 2:
Router 3.
Ahora aplicamos el crypto map en la interfaz adecuada
Router 2:
�Router 3:
VERIFICANDO LA CONFIGURACION IPSEC:
a. show crypto ipsec transform-set para ver las policy de ISAKMP
router 2:
Router1:
b. show crypto map para ver los crypto maps que estn aplicado
en el router.
Router 2:
Router 3:
La salida de estos comandos show no cambia si el trfico interesante pasa a travs
de la conexin.
�c. Verificando el funcionamiento de la VPN IPSEC:
Para mostrar la asociacin de seguridad ISAKMP:
show crypto isakmp sa.
Router 2:
Si generamos trfico:
Para mostrar la asociacin de seguridad IPSEC:
show crypto ipsec sa
Router 2:
�Ahora vemos como en Router 3 se refleja esto:
