VPN (VIRTUAL PRIVATE NETWORKS)

DESCRIPCION
1. Establece circuito virtual
2. Conecta 2 LANs usando una red publica INTERNET
3. Autenticacion y autorizacion
4. Integridad: No alterar los datos; hash-- MD5, SHA
5. Confidencialidad: cifrado de datos; algoritmos - DES, 3DES, AES
6. Identificacion de usuarios
7. Cifrado de datos
8. Administracion de claves de cifrado
OPERACION
1. VPN de acceso remoto
  1. conecta usaurios externos con la empresa
  2. Los usuarios tienen credenciales para poder establecer conexion VPN con la empresa
  3. Los usuarios usan software cliente VPN para autenticarse y tener acceso
  4. Lo usuarios usan INTERNET-ADSL como vinculo para acceder a la red privada empresarial
  5. En servicios ADSL, en capa 2 WAN se usa: ATM, FR, PPP
2. VPN site-to-site
  1. Conectar oficinas remotas LANS
  2. Se utiliza conexiones de banda ancha IPMPLS
  3. Ahorra costos en implementaciones punto a punto fisicas
  4. Tunneling
    1. En el tunel site-to-site por si solo no se pueden correr protocolos de enrutamiento. Para esto se necesita usar primero un tunel GRE
    2. IPsec, necesita: tipo encripcion, llave compartida, tipo trafico a encriptar, IP remoto, Interface a aplicar
  5. DMVPN (Dinamic Multipoint VPN)
    1. Crea tuneles VPN dinamicamente
    2. Usualmente en topologias HUB-and-SPOKE
    3. Protocolos: NHRP (Next-hop Resolution Protocol), mGRE(multipoint GRE)
    4. NHRP: Resuelve direcciones Overlay (IPs tunel) en direcciones Underlay (IPs publicas)
    5. FASE 1: (Conectividad HUB-and-SPOKE)
    6. FASE 2: Comunicacion Directa entre SPOKES
    7. FASE 3: Mejora de Comunicacion entre SPOKES
3. Protocolos
  1. IPSEC
    1. l2tp(wan-ppp con tunel IPsec)
    2. Tuneles IPsec: DMVPN, GETVPN, StS, Remote to SiteVPN
    3. No soporta IGPs
    4. El trafico en el tunel IPsec si va encriptado
    5. AH
    6. ESP
    7. IKE
      1. ISAKMP
    8. Modo Transporte HtoH: se encripta solo datos
    9. Modo Tunel RtoR: se encripta todo el paquete IP, se crea otro paquete con nueva cabecera
  2. GRE
    1. pptp(wan-ppp con tunel GRE)
    2. Enlace PTP
    3. Soporta muchos protocolos (IPv4, iPv6...)
    4. Soporta Routing Protocols (reenvia los multicast y los broadcast)
    5. Puede correr a traves de tuneles IPsec
    6. El trafico en el tunel GRE no va encriptado
    7. Implementado por cisco
4. Enrutamiento / Reenvio VPN
  1. VRF LITE
    1. VRF sin MPLS
    2. Routers virtuales
    3. Tablas Routing aisladas
    4. Mantiene traficos aislados
    5. Soporta muchas VPNs
    6. Similar a VLAN y trunking pero de capa3
  2. EVN (EASY VIRTUAL NETWORK)
    1. Usa VNET-TRUNK y porta trafico de muchos VRFs
    2. Se usa VNET-TAG para identificar a una VRF
    3. Simplifica complejidad de VRF-LITE
    4. Elimina configurar subinterfaces para cada red virtual
    5. Un router EVN se conecta con switch a traves de 802.1Q
    6. Usa REPLICACION DE RUTAS para trafico InterVRF
    7. Router a Router usan VNET
CONFIGURACION
1. Configuracion Tunel GRE
  1. R2-ATE(config)#interface tunnel 10
  2. R2-ATE(config-if)#ip address 192.168.17.2 255.255.255.0
  3. R2-ATE(config-if)#tunnel source 10.0.0.1
  4. R2-ATE(config-if)#tunnel destination 10.0.1.1
  5. y luego en el otro peer
2. Configuracion Tunel IPsec
  1. Fases de configuracion
    1. Fase 1: Definir parametros de asociacion IKE (politicas ISAKMP)
    2. Fase 2: Definir parametros como encriptar mediante IKE (Transform set)
    3. Definir una ACL para seleccionar el trafico (trafico a encriptar)
    4. Crear un crypto map que usa todos los parametros definidos y lo aplica a una interface
  2. Configurando IKE / ISAKMP
    1. R2-ATE(config)#crypto isakmp policy 10
    2. R2-ATE(config-isakmp)#encryption aes
    3. R2-ATE(config-isakmp)#authentication pre-share
    4. R2-ATE(config-isakmp)#group 2
    5. R2-ATE(config)#crypto isakmp key 0 LLAVE address 10.0.1.1
    6. y luego en el otro peer
  3. Configurando IKE / Transform set
    1. R2-ATE(config)#crypto ipsec transform-set TRANSFORM esp-3des esp-md5-hmac
    2. y luego en el otro peer
  4. Configurando ACL para definir trafico a encriptar
    1. R2-ATE(config)#access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
    2. y luego en el otro peer cambiando el origen
  5. Configurando CRYPTO-MAP
    1. R2-ATE(config)#crypto map CRYPTO_MAP 10 ipsec-isakmp
    2. R2-ATE(config-crypto-map)#set transform-set TRANSFORM
    3. R2-ATE(config-crypto-map)#set peer 10.0.1.1
    4. R2-ATE(config-crypto-map)#match address 110
    5. y luego en el otro peer
  6. Aplicar CRYPTO-MAP a interface OUT
    1. R2-ATE(config)#interface FastEthernet0/1
    2. R2-ATE(config-if)#crypto map CRYPTO_MAP
    3. y luego en el otro peer
  7. Verificacion Operatividad VPN IPsec
    1. R2-ATE#show crypto isakmp sa
      1. QM_IDLE
    2. R2-ATE#show crypto ipsec sa
    3. R2-ATE#ping 192.168.1.4 source fa0/0
3. Configurando Tunel GRE sobre Tunel IPsec
  1. R2-ATE(config)#access-list 110 permit gre any any
  2. R2-ATE(config)#interface tunnel 10
  3. R2-ATE(config-if)#ip address 192.168.17.2 255.255.255.0
  4. R2-ATE(config-if)#tunnel source 10.0.0.1
  5. R2-ATE(config-if)#tunnel destination 10.0.1.1
  6. y luego en el otro lado
4. Configurando DMVPN (Solo HUB)
  1. HUB(config)#interface tunel 0
  2. HUB(config-if)#ip address 192.168.17.1 255.255.255.0
  3. HUB(config-if)#tunnel mode gre multipoint
  4. HUB(config-if)#tunnel source 10.0.1.1
  5. HUB(config-if)#ip nhrp network-id <1>
  6. HUB(config-if)#ip nhrp authentication <CISCO>
  7. HUB(config-if)#ip nhrp holdtime <60s>
  8. HUB(config-if)#ip nhrp map multicast dynamic
CONFIGURACION ADICIONAL
1. Configurando VRF LITE
  1. R1 (config) # ip vrf <BLUE>
  2. R1 (config-vrf) # description TRAFICO CONFIABLE
  3. R1(config-vrf)# ip vrf R<RED>
  4. R1(config-vrf)# description TRAFICO INVITADOS
  5. R1(config)# int f1/0
  6. R1(config-if)# ip vrf forwarding <RED>
  7. R1(config-if)# ip add 192.168.0.2 255.255.255.252
  9. R1# show ip route vrf BLUE
2. Configurando EVN
  1. R1 (config) # vrf definition <RED>
  2. R1 (config-vrf) #vnet tag <101>
  3. R1 (config) #int gi0/1
  4. R1 (config-if) #vnet trunk
  5. R1 (config-if) #ip add 192.168.0.2 255.255.255.252
  6. y similar para el otro peer R2

Medienanhänge

Captura (binary/octet-stream)

Nächster

VPN (VIRTUAL PRIVATE NETWORKS)

Beschreibung

Zusammenfassung der Ressource

Medienanhänge

ähnlicher Inhalt

	Erstellt von joseph chiong vor fast 7 Jahre