Académique Documents
Professionnel Documents
Culture Documents
Objetivos:
- Conocer los conceptos básicos asociados a las VPN: IPSec, encriptación,
autenticación, túnel VPN, asociaciones seguras (SA),...
- Configurar los parámetros de un túnel VPN en un router
- Configurar los parámetros de un PC cliente remoto con windows XP
Escenario:
F0
Router
192.168.138.1 192.168.136.11
1720
S0
192.168.137.2
S1 192.168.136.0
192.168.137.1
Video server
192.168.138.11 E0
Frame relay 192.168.136.1
Router
2514
Conceptos previos:
IKE, “Internet Key Exchange” es un protocolo que define el método de intercambio
de claves sobre IP en una primera fase de negociación segura. Está formado por una
cabecera de autenticación, AH o Authentication Header, que en nuestro caso no
utilizaremos, o una cabecera de autenticación más encriptación que se conoce como
Encapsulating Security Payload o ESP)
Es importante entender que IPSec ofrece dos modos de operación según utilice AH
ESP para proteger los datos sobre IP. Se conocen como “modo de transporte” (se
emplea AH) o “modo túnel” (se utiliza ESP). En la práctica emplearemos este
segundo modo.
SA, o Security Asociations: Son conjuntos de parámetros que se utilizan para definir
los requerimientos de seguridad de una comunicación en una dirección particular
(entrante o saliente) Una SA puede utilizar AH o ESP pero no ambas
Pasos para la configuración:
1. Preparar la red para IPSEC e IKE (este paso es previo a la configuración)
a. En esta tarea hay que configurar una conexión básica entre los dos
routers, y verificar que hay conectividad entre los extremos de la red. En
este caso concreto el enlace entre los routers es frame relay con las
siguientes configuraciones:
Router 1720
interface Serial0
ip address 192.168.137.2 255.255.255.0
encapsulation frame-relay IETF
bandwidth 64
frame-relay lmi-type ansi
frame-relay inverse-arp ip 16
frame-relay map ip 192.168.137.1 25 broadcast IETF
frame-relay switching
frame-relay intf-type dce
clockrate 2000000
Router 2514
interface Serial1
ip address 192.168.137.1 255.255.255.0
encapsulation frame-relay IETF
bandwidth 64
frame-relay lmi-type ansi
frame-relay inverse-arp ip 16
frame-relay map ip 192.168.137.2 25 broadcast IETF
F0
Router
192.168.138.1 192.168.14X.2
1720
S0
192.168.137.2
S1
192.168.137.1
Video server
192.168.138.11 E0
Frame relay 192.168.14X.1
Router
2514
1.- Definir las subredes del esquema de acuerdo con el número del grupo
2.- Conectar físicamente los equipos
3.- Configurar el enlace frame relay según los parámetros proporcionados en el
ejemplo y las direcciones IP definidas en el apartado 1
4.- Configurar la VPN entre el interfaz serie del router 1720 y el PC windows XP, a
partir del ejemplo proporcionado y las direcciones IP definidas.
5.- Utilizar los comandos show crypto para comprobar el tunel creado
6.- Utilizar los comandos debug para comprobar que se establece un canal seguro
7.- Utilizar un analizador de protocolos (p. ej. Ethereal) y comprobar la diferencia
que existe entre los paquetes enviados con y sin VPN.