El IP Protocol que usa es el 115.
En definitiva, dos espacios físicos diferentes comparten mismo espacio de direcciones ip, creando una extensión de la LAN.
 |
| Al final es como si las dos LAN estuvieran conectadas directamente |
Usa Xconnect para crear los túneles lógicos de capa 2 a través de pseudo-wire y sobre redes IP. Xconnect es compatible para Ethernet, 802.1q, Frame Relay, HDLC y PPP. Y podemos configurarlo de manera estática o dinámica.
Además, si en un lado tenemos nuestro acceso al ISP con Frame Relay y en el otro lado tenemos el acceso con Ethernet, el protocolo hará una especie de NAT de protocolos y funcionará perfectamente. Soporta todas las combinaciones posible mientras transportemos sobre IP.
La cabecera que se crea cuando usamos L2TPv3 es la siguiente:
Session ID: Identifica la sesión. Valor del 0 al 23, aunque el 0 está reservado para el protocolo. Debe ser un identificador único.
Session Cookie: Es un canal de control. Los valores pueden ser 0, 4 y 8.
Pseudowire Control Encapsulation: Es el control de la secuencia de los paquetes L2TP
Las sesiones de L2TPv3 pueden ser estáticas o dinámicas. También podemos hacer un "local switching" que es configurar el túnel con dos interfaces del mismo router.
Para evitar fragmentación de paquetes y mayor consumo de procesamiento debemos configurar la MTU del CE más pequeña que la asignada para el Pseudowire.
LABORATORIO L2TPv3
- Crear un túnel L2TPv3 para que PC1 y PC2 estén en la misma LAN.
- Crear un túnel L2TPv3 con IPSEC para que PC3 y PC4 estén en la misma LAN.
Las configuraciones inciales son:
R1#
interface Loopback0
ip
address 1.1.1.1 255.255.255.255
!
interface Ethernet0/0
no ip
address
no shutdown
!
interface Ethernet0/2
ip
address 10.0.1.1 255.255.255.252
!
interface Ethernet0/3
ip
address 172.16.13.1 255.255.255.252
!
router ospf 1
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 10.0.1.0 0.0.0.3 area 0
network 172.16.13.0 0.0.0.3 area 0
-------------------------------------------------------------------
R2#
interface Loopback0
ip
address 2.2.2.2 255.255.255.255
!
interface Ethernet0/0
no ip
address
no shutdown
!
interface Ethernet0/2
ip
address 10.0.1.6 255.255.255.252
!
interface Ethernet0/3
ip
address 172.16.24.2 255.255.255.252
!
router ospf 1
log-adjacency-changes
network 2.2.2.2 0.0.0.0 area 0
network
10.0.1.4 0.0.0.3 area 0
network 172.16.24.0 0.0.0.3 area 0
--------------------------------------------------------------------
R3# interface Loopback0 ip address 3.3.3.3 255.255.255.255 ! interface Ethernet0/0 ip address 172.16.13.2 255.255.255.252 ! interface Ethernet0/3 no ip address no shutdown ! router ospf 1 log-adjacency-changes network 3.3.3.3 0.0.0.0 area 0 network 172.16.13.0 0.0.0.3 area 0 R4# interface Loopback0 ip address 4.4.4.4 255.255.255.255 ! interface Ethernet0/0 ip address 172.16.24.1 255.255.255.252 ! interface Ethernet0/3 no ip address no shutdown ! router ospf 1 log-adjacency-changes network 4.4.4.4 0.0.0.0 area 0 network 172.16.24.0 0.0.0.3 area 0 ---------------------------------------------------------------------------------
R5#
interface
Ethernet0/0
ip address 10.0.1.2 255.255.255.252
!
interface
Ethernet0/1
ip address 10.0.1.5 255.255.255.252
!
router ospf 1
log-adjacency-changes
network 10.0.1.0 0.0.0.3 area 0
network 10.0.1.4 0.0.0.3 area 0
|
1. L2TPV3
Los equipos R1, R2 Y R5 están configurados con OSPF. R1 y R2 tienen configurado cada uno una dirección loopback para el origen de los servicios.
El primer paso es crea la clase para el protocolo L2TPv3:
R1 y R2:
(config)#l2tp-class PRUEBAL2TPv3
(config-l2tp-class)#authentication
(config-l2tp-class)#password CISCOL2TPv3
La autenticación no es necesaria, es opcional.
Lo siguiente que tenemos que configurar es el pseudo-wire para definir el origen y final del túnel.
(config)#pseudowire-class PRUEBAPSEUDO
(config-pw-class)#encapsulation l2tpv3
(config-pw-class)#protocol l2tpv3 PRUEBAL2TPv3
(config-pw-class)#ip local interface lo0
Y por último, debemos configurar las interfaces LAN:
(config)#int e0/0
R1(config-if)#xconnect 2.2.2.2 50 pw-class PRUEBAPSEUDO
R2(config-if)#xconnect 1.1.1.1 50 pw-class PRUEBAPSEUDO
El 50 es el ID y tiene que ser igual en los dos equipos
Vemos que levanta el pseudowire:
R2(config-if)#xconnect 1.1.1.1 50 pw-class PRUEBAPSEUDO
El 50 es el ID y tiene que ser igual en los dos equipos
Vemos que levanta el pseudowire:
Para comprobar el túnel hacemos un ping de PC a PC y miramos los túneles en los routers:
 |
| sh l2tun para comprobar túneles. Investigad opciones con ? |
Hacemos ping,trace y arp desde PC1 a PC2
Podemos ver que se llega por ping, que el trace no da salto, es decir, que es como si no hubiera y equipo de capa 3 por medio. Y si miramos la tabla ARP de PC1 vemos que solo tiene la mac del PC2, como si estuvieran conectados en el mismo segmento.
Comandos para verificar:
#sh l2tun tunnel
#sh l2tun session
#debug l2x-events
2. LTP2V3 IPSEC
Creamos el túnel IPSEC:
R3#
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key IPSECLAB address 172.16.24.1- (172.16.13.2 en el R4)
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set IPSEC-TRANSFORM esp-aes esp-sha-hmac
!
crypto map VPN-IPSEC 10 ipsec-isakmp
set peer 172.16.24.1
set transform-set IPSEC-TRANSFORM
match address TRAFICO-VPN-IPSEC
!
ip access-list extended TRAFICO-VPN-IPSEC
permit 115 any any log
!
interface Ethernet0/0
crypto map VPN-IPSEC
En R4 configuramos lo mismo excepto el peer que tiene que ser el 172.16.13.2.
 |
| sh crypto isakmp sa; sh crypto ipsec sa |
Y después creamos el túnel L2TPv3:
R3#
pseudowire-class IPSEC
encapsulation l2tpv3
ip local interface Loopback0
!
interface Ethernet0/3
xconnect 4.4.4.4 1 pw-class IPSEC - (en R4 ponemos las 3.3.3.3)
Ya tenemos levantados los dos túneles. Vamos a probar a hacer ping de PC a PC:
Ahora ya tenemos un túnel L2TPV3 que pasa el tráfico a través de un túnel IPSEC.
No hay comentarios:
Publicar un comentario