Otros

Entradas más nuevas

Interconectando sucursales mediante una VPN IPsec Site-to-Site

Publicado 7 octubre, 2010 | Por Paulo Colomés

En este artículo mostraré como levantar una conexión VPN de tipo site-to-site que permite interconectar dos redes LAN geográficamente distantes a través de Internet de manera segura. Este tipo de configuración es ideal para interconectar sucursales de una compañía que tienen distintos ISPs para salir a Internet.

VPN IPsec

El caso de interconexiones de sucursales es bastante recurrente y se debe emplear una solución que permita tener a todos los empleados sincronizados en la red remota y además que la conexión cuando pase por Internet desde A hacia B se haga mediante un túnel seguro (cifrado) para prevenir problemas de interceptación de las transacciones.

Algunas cosas que hay que saber antes de configurar son, por ejemplo, que IPsec es un estándar de la industria, por lo que no solamente funciona bien en routers Cisco, si no que también en Huawei, Juniper, Routers Linux, Windows, entre varios. Uno de los componentes principales de IPsec es IKE (Internet Key Exchange) el cual tiene como objetivo intercambiar información entre los peers involucrados. La información que intercambia Router_A con Router_B va desde las claves precompartidas (Preshared Key) hasta el tipo de algoritmos de hash y cifrado que se utilizarán (AES, DES, 3DES, MD5, SHA, etc).

Además existe ISAKMP (Internet Security Association and Key Management Protocol) que se encarga de establecer el túnel entre las dos LAN remotas.

Los paquetes cifrados con IPsec pueden utilizar AH (Authentication Header) o ESP (Encryption Security Payload). Con AH, solamente se protege el encabezado del paquete IP y utiliza el protocolo IP 51 (no puerto TCP ni UDP), mientras que ESP cifra el paquete completo incluyendo la carga útil de las capas superiores (payload), utilizando el protocolo IP 50.

Pasos para configurar la VPN IPsec de tipo site-to-site

1. Se define la fase 1 de IKE (ISAKMP Policy)

2. Se define la fase 2 de IKE (Transform Set)

3. Definir una ACL para seleccionar el tráfico que se irá por la VPN

4. Crear un Crypto Map para asociar los pasos 1, 2 y 3 a una interface de salida

Configuración Router_A

!Fase IKE 1
Router_A(config)# crypto isakmp policy 10
Router_A(config-isakmp)# authentication pre-share
Router_A(config-isakmp)# hash sha
Router_A(config-isakmp)# encryption aes 256
Router_A(config-isakmp)# group 2
Router_A(config-isakmp)# lifetime 86400
Router_A(config-isakmp)# exit
Router_A(config)# crypto isakmp key PASSWORD address 200.2.2.2
!Fase IKE 2
Router_A(config)# crypto ipsec transform-set MyTS esp-aes esp-sha-hmac
!Definir ACL de tráfico interesante
Router_A(config)# access-list 102 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
!crear Crypto MAP y aplicarlo a la interfaz de salida del router hacia Internet
Router_A(config)# crypto map CMAP1 10 ipsec-isakmp
Router_A(config-crypto-map)# set peer 200.2.2.2
Router_A(config-crypto-map)# match address 102
Router_A(config-crypto-map)# set transform-set MyTS
Router_A(config-crypto-map)# exit
Router_A(config)# interface f0/0
Router_A(config-if)# crypto map CMAP1

Configuración Router_B

!Fase IKE 1
Router_B(config)# crypto isakmp policy 10
Router_B(config-isakmp)# authentication pre-share
Router_B(config-isakmp)# hash sha
Router_B(config-isakmp)# encryption aes 256
Router_B(config-isakmp)# group 2
Router_B(config-isakmp)# lifetime 86400
Router_B(config-isakmp)# exit
Router_B(config)# crypto isakmp key PASSWORD address 200.2.2.1
!Fase IKE 2
Router_B(config)# crypto ipsec transform-set MyTS esp-aes esp-sha-hmac
!Definir ACL de tráfico interesante
Router_B(config)# access-list 102 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
!crear Crypto MAP y aplicarlo a la interfaz de salida del router hacia Internet
Router_B(config)# crypto map CMAP1 10 ipsec-isakmp
Router_B(config-crypto-map)# set peer 200.2.2.1
Router_B(config-crypto-map)# match address 102
Router_B(config-crypto-map)# set transform-set MyTS
Router_B(config-crypto-map)# exit
Router_B(config)# interface f0/0
Router_B(config-if)# crypto map CMAP1

Con eso ya se tiene un túnel entre sucursales funcionando. Para verificar que los paquetes generados desde una LAN a la otra efectivamente se estén cifrando con IPsec (pkts encaps, pkts decaps, pkts encrypt, pkts decrypt)

 Router_A# show crypto ipsec sa

interface: FastEthernet0/0
Crypto map tag: CMAP1, local addr 200.1.1.1
protected vrf: (none)
  local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0)
  remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0)
  current_peer 200.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 13
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 13
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0
  local crypto endpt.: 200.1.1.1, remote crypto endpt.: 200.2.2.2
  path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0x8590D11F(2240860447)

 Las VPN son simples de configurar pero requieren de harta documentación y lectura previa. Un buen lugar para comenzar a investigar sobre las VPN IPsec pueden encontrar  aquí ;)

Use Facebook to Comment on this Post

Publicado en CCNA Security, CCNP Route, Otros | 3 comentarios

Clase online de BGP (Border Gateway Protocol) próximo Viernes 01 de Octubre

Publicado 28 septiembre, 2010 | Por Paulo Colomés

El próximo viernes 01 de Octubre a las 15:00 horas CLT (GMT-4) estaremos realizando una clase online gratuita como ya es habitual en Redes Cisco.NET. En esta ocasión trataremos el tema BGP (Border Gateway Protocol), incluído en la currícula de CCNP Route. Esta clase la dictará Mauricio Beain y está disponible para que todos quienes quieran participar puedan hacerlo, simplemente registrando su email previamente en el widget lateral derecho.

Hay que destacar que BGP es el protocolo exterior que se utiliza hoy en día para gobernar toda la Internet, y los proveedores de servicio utilizan este protocolo para interconectar sistemas autónomos y redes de otros ISP. Comprender como opera BGP es comprender como funciona Internet a nivel de enrutamiento y encaminamiento.

Una clase súmamente interesante que no se pueden perder.

Use Facebook to Comment on this Post

Publicado en Otros | 1 comentario

Participa en NETRIDERS 2010. ¡¡¡¡No te quedes fuera!!!!

Publicado 29 agosto, 2010 | Por jspichiger

Netriders 2010 es una competencia para los estudiantes de Cisco Networking Academy de cualquier nivel donde se miden las habilidades obtenidas en las distintas areas del networking. Los invitamos a participar con mucho entusiasmo y motivación. Esta es una gran familia que todo los años va creciendo más. Queda el desafío planteado y la invitación hecha. Lo importante es participar. 

Sitio Web del concurso: http://www.academynetriders.com 

 

netriders 2010

 

Registro Aquí

Use Facebook to Comment on this Post

Publicado en Otros | 2 comentarios

Recordatorio: Clase online gratuita de VLSM hoy

Publicado 27 agosto, 2010 | Por Paulo Colomés

Recuerden que hoy, a las 20:30 horas CLT (GMT -4) daremos una clase online gratuita sobre VLSM y subredes. Ideal para estudiantes de CCNA 1 y todos quienes quieran aprender a crear subredes correctamente.

Es gratis pero los cupos son limitados. Para participar solo hay que registrarse en el Widget del lado derecho indicando su dirección de correo electrónico y los datos que se piden.

Los esperamos.

Use Facebook to Comment on this Post

Publicado en Otros | 3 comentarios

¿ Te cuesta el VLSM? o ¿se te hace dificil este tema?

Publicado 23 agosto, 2010 | Por jspichiger

Vlsm

Clase online sobre VLSM. El registro deben hacerlo en el widget de registro que está al lado derecho de la página.

Hemos incorporado la opción de que los asistentes pueden realizar preguntas a través de micrófono. Por lo tanto alisten los microfonos para esta nueva clase Online.

No te la puedes perder.

 

Cordialmente

Team RedesCisco

Use Facebook to Comment on this Post

Publicado en Otros | 5 comentarios

Próxima clase Online Viernes 20 de Agosto: Spanning Tree Protocol

Publicado 17 agosto, 2010 | Por Paulo Colomés

El próximo Viernes 20 de Agosto a las 21:00 horas (CLT) daremos una nueva clase online, esta vez con la temática de Spanning Tree Protocol (STP), sus variantes (PVST, PVST+, RSTP) y conceptos de redundancia a nivel de capa 2 y diseño de redes LAN. Esta vez la clase será realizada nuevamente por el instructor Juan Carlos Spichiger y también la grabaremos para subirla luego a la sección Videoclases por si alguien no puede asistir.

Para participar solamente deben registrarse previamente en el widget del lado derecho con su dirección de correo. La clase es 100% gratuita y con cupos limitados.

Use Facebook to Comment on this Post

Publicado en Otros | 2 comentarios

Clases Online para quienes deseen aprender más

Publicado 11 agosto, 2010 | Por jspichiger

Estimados usuarios de redescisco,

hemos querido empezar un programa piloto de clases en linea para todos los interesados que deseen aprender más de tecnologías Cisco.

Una clase online consiste en exponer un tema de interés a través de internet. No es necesario que asista a un lugar físico, solo necesitas una conexión a internet, audifonos y micrófono. Lo más importante es que esto no tiene costo para los participantes.

Como es un programa piloto, su continuidad en el tiempo dependerá del propio interes de los participantes, por lo que se invita a la comunidad a participar activamente proponiendo temas de interés en el area de CCNA, IT, Seguridad.

 

Para partir tenemos un tema que siempre complica a los estudiantes:

Listas de Control de Acceso o ACL

Fecha: Viernes 13 de Agosto a las 15:00

Para registrarse solo deben digitar su correo electrónico en el widget que está al costado derecho de la página. Es muy simple!

No dejen de participar.

Los cupos son limitados.

Saluda cordialmente

TEAM RedesCisco

Use Facebook to Comment on this Post

Publicado en Otros | 3 comentarios

Prueba tus conocimientos de networking en Netriders 2010 latinoamérica y gana

Publicado 6 agosto, 2010 | Por Paulo Colomés

Como ya es costumbre desde hace un par de años, la Academia de Networking de Cisco lanzará el concurso Netriders para toda latinoamérica a partir del 12 de Agosto. La idea del Netriders es que los estudiantes de todas las academias de networking de Cisco (es decir, quienes tengan una cuenta de acceso en Netacad) puedan medir sus conocimientos con sus pares de otras academias y países latinoamericanos.

Los premios son variados e incluyen cámaras de video, routers, diplomas y un viaje a Silicon Valley por una semana con todo pagado para los 5 mejores lugares de la competencia.

Puedes seguir atento a este concurso en el sitio de Facebook de Netriders o revisar la información del Netriders 2009

Más información: http://www.imakenews.com/ciscona-latamenglish/index000459625.cfm?x=bhdwH9p,bkgVk4Pg,w

Use Facebook to Comment on this Post

Publicado en Otros | Deja un comentario
Entradas más nuevas
Próximos Eventos
    No hay eventos que mostrar

Lista de correos

Grupos de Google
Suscribirte a Redes Cisco.NET
Correo electrónico:
Consultar este grupo

Twitter

Encuesta

Nuestra próxima videoclase debe ser de:

  • IPV6 (35%, 54 Votes)
  • MPLS (29%, 45 Votes)
  • BGP (22%, 34 Votes)
  • EIGRP (14%, 20 Votes)

Total Voters: 153

Loading ... Loading ...

Síguenos!

Subscribe via RSS

Facebook Like Box

Libros que recomendamos

Últimos Comentarios

Puedes ayudarnos!

mayo 2012
L M X J V S D
« abr    
 123456
78910111213
14151617181920
21222324252627
28293031  

Copyright © 2012 Redes Cisco.NET. Este sitio es personal y, aunque entrega ayuda sobre el material de la Academia de Networking de Cisco, no está directamente relacionada ni es un canal oficial de la misma.