barra de menu

martes, 31 de marzo de 2015

LABORATORIO VPN - CCNP

TOPOLOGÍA




ESCENARIO


1. Tunnel GRE entre R1 y R3

2. Tunnel IPSEC entre R1 y R4

3. DMVPN (Dyanmic Multipoint VPN) - No es parte del CCNP. Un ejemplo en DMVPN.




CONFIGURACIÓN BÁSICA


R1#
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.252
 full-duplex
 no sh
!
interface Ethernet0/1
 ip address 192.168.0.1 255.255.255.0
 full-duplex
 no sh 
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
!


R2#

ip routing
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/1
 ip address 172.16.1.1 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/2
 ip address 172.16.2.1 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/3
 ip address 172.16.3.1 255.255.255.252
 full-duplex
 no sh 
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!


R3#
interface Ethernet0/0
 ip address 172.16.1.2 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/1
 ip address 192.168.10.1 255.255.255.0
 full-duplex
 no sh 
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!


R4#
interface Ethernet0/0
 ip address 172.16.2.2 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/1
 ip address 192.168.20.1 255.255.255.0
 full-duplex
 no sh 
!
interface Loopback0
 ip address 4.4.4.4 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1


R5#
interface Ethernet0/0
 ip address 172.16.3.2 255.255.255.252
 full-duplex
 no sh 
!
interface Ethernet0/1
 ip address 192.168.30.1 255.255.255.0
 full-duplex
 no sh 
!
interface Loopback0
 ip address 5.5.5.5 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.3.1



1. GRE


R1#

interface Tunnel0
 ip address 100.100.100.1 255.255.255.248
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source 10.0.0.1
 tunnel destination 172.16.1.2

!



R3#
interface Tunnel0
 ip address 100.100.100.2 255.255.255.248
 ip mtu 1400  - Se baja la MTU debido a que se añadirá una cabecera y aumentará el tamaño
 ip tcp adjust-mss 1360 - maximum segment size. Nos aseguramos de que no fragmente.
 tunnel source 172.16.1.2
 tunnel destination 10.0.0.1
!

Ahora deberíamos ver el túnel levantarse. Sin embargo, si hacemos un ping desde los PC, no se ven. Para solucionarlo y que el tráfico hacia las LAN se haga por el túnel:


   R1(config)#ip route 192.168.10.0 255.255.255.0 Tunnel0
   R3(config)#ip route 192.168.0.0 255.255.255.0 Tunnel0


Ahora hacemos un ping y un trace y, vemos que se llega y que solo se ve el salto del túnel:


Los dos primeros ping fallan, luego levanta el túnel (Tráfico bajo demanda)

Como sabemos que los túneles GRE pueden transportar protocoo de enrutamiento, vamos a habilitar RIP entre R1 y R3. También eliminamos la ruta estática para conocer las LAN  de los equipos. Ahora pretendemos conocerlas por RIP a través del túnel GRE:

En R1:

no ip route 192.168.10.0 255.255.255.0 Tunnel0
router rip
 version 2
 network 100.0.0.0
 network 192.168.0.0

En R3:

no ip route 192.168.0.0 255.255.255.0 Tunnel0
router rip
 version 2
 network 100.0.0.0
 network 192.168.10.0

Ahora conocemos la LAN de R3  a través de RIP. SI hacemos un ping de PC a PC debería funcionar.


2. IPSEC


FASE 1:

R4(config)#crypto isakmp enable
R4(config)#crypto isakmp policy 1
R4(config-isakmp)#authentication pre-share
R4(config-isakmp)#encryption aes 128
R4(config-isakmp)#group 2 - grupo DH. Cuanto más alto, más seguridad pero también más procesamiento de CPU.

R4(config-isakmp)#hash sha
R4(config-isakmp)#lifetime 86400
R4(config)# crypto isakmp identity address
R4(config)# crypto isakmp key 0 IPSECLAB address 172.16.3.2


FASE 2:

R4(config)# crypto ipsec transform-set IPSEC-TRANSFORM esp-aes 128 esp-sha-hmac
R4(cfg-crypto-trans)# mode  tunnel
R4(config)# crypto ipsec security-association lifetime seconds 86400


Creamos un access-list:

R4(config)# ip access-list extended TRAFICO-VPN-IPSEC
R4(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255


Y ahora el crypto map:

R4(config)# crypto map VPN-IPSEC 10 ipsec-isakmp
R4(config-crypto-map)# match address TRAFICO-VPN-IPSEC
R4(config-crypto-map)# set peer 172.16.3.2
R4(config-crypto-map)# set transform-set IPSEC-TRANSFORM


Vamos al interface e0/0:

R4(conf-if)# crypto map VPN-IPSEC


Hacer lo mismo en R5 pero cambiando las ip de los peer y el access list.


Verificamos el túnel:

show crypto session

Vemos que el túnel está caído. Si en R4 hacemos un show ip route 192.168.30.0, que es la LAN de R5, comprobamos que no está en la tabla. Ahora bien, si hacemos un show ip cef 192.168.10.0 , veremos la dirección en la tabla cef apuntando a la ruta por defecto, como todas las que no tienen ruta específica.


Ahora lanzamos ping desde los PC. Vemos que pierde los dos primeros al levantar el túnel.



show crypto isakmp sa: QM_IDLE quire decir que está levantado

Ahora vemos que llega el ping y que el túnel está levantado. Las direcciones LAN siguen sin instalarse en la tabla de rutas normales.

Si queréis, podéis comprobar que RIP no funciona con solo IPSEC.

En R4:

router rip
 version 2
 network 172.16.2.0
 network 192.168.20.0

En R5:

router rip
 version 2
 network 172.16.3.0
 network 192.168.30.0



Podemos ver que RIP está habilitado y que el túnel IPSEC también. pero si hacemos un show ip route no vemos las LAN en la tabla de rutas a través de RIP.


Para verificar IPSEC:

show crypto isakmp policy
show crypto isakmp key
show crypto isakmp sa
show crypto ipsec sa
show crypto ipsec transform-set
show crypto map
show crypto map interface
show crypto debug-condition
debug crypto isakmp
debug crypto ipsec 
show run | section crypto







Publicado por en

1 comentario:

  1. Unknown26 de agosto de 2020, 1:58

    Hola una pregunta que modelo de router estas emulando ?
    Saludos muy buen tutorial.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)