VPN (VIRTUAL PRIVATE NETWORKS)

Description

redes privadas virtuales usando tuneles IPsec y GRE
joseph chiong
Mind Map by joseph chiong, updated more than 1 year ago
joseph chiong
Created by joseph chiong almost 7 years ago
30
0

Resource summary

VPN (VIRTUAL PRIVATE NETWORKS)
  1. DESCRIPCION
    1. Establece circuito virtual
      1. Conecta 2 LANs usando una red publica INTERNET
        1. Autenticacion y autorizacion
          1. Integridad: No alterar los datos; hash-- MD5, SHA
            1. Confidencialidad: cifrado de datos; algoritmos - DES, 3DES, AES
              1. Identificacion de usuarios
                1. Cifrado de datos
                  1. Administracion de claves de cifrado
                  2. OPERACION
                    1. VPN de acceso remoto
                      1. conecta usaurios externos con la empresa
                        1. Los usuarios tienen credenciales para poder establecer conexion VPN con la empresa
                          1. Los usuarios usan software cliente VPN para autenticarse y tener acceso
                            1. Lo usuarios usan INTERNET-ADSL como vinculo para acceder a la red privada empresarial
                              1. En servicios ADSL, en capa 2 WAN se usa: ATM, FR, PPP
                              2. VPN site-to-site
                                1. Conectar oficinas remotas LANS
                                  1. Se utiliza conexiones de banda ancha IPMPLS
                                    1. Ahorra costos en implementaciones punto a punto fisicas
                                      1. Tunneling
                                        1. En el tunel site-to-site por si solo no se pueden correr protocolos de enrutamiento. Para esto se necesita usar primero un tunel GRE
                                          1. IPsec, necesita: tipo encripcion, llave compartida, tipo trafico a encriptar, IP remoto, Interface a aplicar
                                          2. DMVPN (Dinamic Multipoint VPN)
                                            1. Crea tuneles VPN dinamicamente
                                              1. Usualmente en topologias HUB-and-SPOKE
                                                1. Protocolos: NHRP (Next-hop Resolution Protocol), mGRE(multipoint GRE)
                                                  1. NHRP: Resuelve direcciones Overlay (IPs tunel) en direcciones Underlay (IPs publicas)
                                                    1. FASE 1: (Conectividad HUB-and-SPOKE)
                                                      1. FASE 2: Comunicacion Directa entre SPOKES
                                                        1. FASE 3: Mejora de Comunicacion entre SPOKES
                                                      2. Protocolos
                                                        1. IPSEC
                                                          1. l2tp(wan-ppp con tunel IPsec)
                                                            1. Tuneles IPsec: DMVPN, GETVPN, StS, Remote to SiteVPN
                                                              1. No soporta IGPs
                                                                1. El trafico en el tunel IPsec si va encriptado
                                                                  1. AH
                                                                    1. ESP
                                                                      1. IKE
                                                                        1. ISAKMP
                                                                        2. Modo Transporte HtoH: se encripta solo datos
                                                                          1. Modo Tunel RtoR: se encripta todo el paquete IP, se crea otro paquete con nueva cabecera
                                                                          2. GRE
                                                                            1. pptp(wan-ppp con tunel GRE)
                                                                              1. Enlace PTP
                                                                                1. Soporta muchos protocolos (IPv4, iPv6...)
                                                                                  1. Soporta Routing Protocols (reenvia los multicast y los broadcast)
                                                                                    1. Puede correr a traves de tuneles IPsec
                                                                                      1. El trafico en el tunel GRE no va encriptado
                                                                                        1. Implementado por cisco
                                                                                      2. Enrutamiento / Reenvio VPN
                                                                                        1. VRF LITE
                                                                                          1. VRF sin MPLS
                                                                                            1. Routers virtuales
                                                                                              1. Tablas Routing aisladas
                                                                                                1. Mantiene traficos aislados
                                                                                                  1. Soporta muchas VPNs
                                                                                                    1. Similar a VLAN y trunking pero de capa3
                                                                                                    2. EVN (EASY VIRTUAL NETWORK)
                                                                                                      1. Usa VNET-TRUNK y porta trafico de muchos VRFs
                                                                                                        1. Se usa VNET-TAG para identificar a una VRF
                                                                                                          1. Simplifica complejidad de VRF-LITE
                                                                                                            1. Elimina configurar subinterfaces para cada red virtual
                                                                                                              1. Un router EVN se conecta con switch a traves de 802.1Q
                                                                                                                1. Usa REPLICACION DE RUTAS para trafico InterVRF
                                                                                                                  1. Router a Router usan VNET
                                                                                                              2. CONFIGURACION
                                                                                                                1. Configuracion Tunel GRE
                                                                                                                  1. R2-ATE(config)#interface tunnel 10
                                                                                                                    1. R2-ATE(config-if)#ip address 192.168.17.2 255.255.255.0
                                                                                                                      1. R2-ATE(config-if)#tunnel source 10.0.0.1
                                                                                                                        1. R2-ATE(config-if)#tunnel destination 10.0.1.1
                                                                                                                          1. y luego en el otro peer
                                                                                                                          2. Configuracion Tunel IPsec
                                                                                                                            1. Fases de configuracion
                                                                                                                              1. Fase 1: Definir parametros de asociacion IKE (politicas ISAKMP)
                                                                                                                                1. Fase 2: Definir parametros como encriptar mediante IKE (Transform set)
                                                                                                                                  1. Definir una ACL para seleccionar el trafico (trafico a encriptar)
                                                                                                                                    1. Crear un crypto map que usa todos los parametros definidos y lo aplica a una interface
                                                                                                                                    2. Configurando IKE / ISAKMP
                                                                                                                                      1. R2-ATE(config)#crypto isakmp policy 10
                                                                                                                                        1. R2-ATE(config-isakmp)#encryption aes
                                                                                                                                          1. R2-ATE(config-isakmp)#authentication pre-share
                                                                                                                                            1. R2-ATE(config-isakmp)#group 2
                                                                                                                                              1. R2-ATE(config)#crypto isakmp key 0 LLAVE address 10.0.1.1
                                                                                                                                                1. y luego en el otro peer
                                                                                                                                                2. Configurando IKE / Transform set
                                                                                                                                                  1. R2-ATE(config)#crypto ipsec transform-set TRANSFORM esp-3des esp-md5-hmac
                                                                                                                                                    1. y luego en el otro peer
                                                                                                                                                    2. Configurando ACL para definir trafico a encriptar
                                                                                                                                                      1. R2-ATE(config)#access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
                                                                                                                                                        1. y luego en el otro peer cambiando el origen
                                                                                                                                                        2. Configurando CRYPTO-MAP
                                                                                                                                                          1. R2-ATE(config)#crypto map CRYPTO_MAP 10 ipsec-isakmp
                                                                                                                                                            1. R2-ATE(config-crypto-map)#set transform-set TRANSFORM
                                                                                                                                                              1. R2-ATE(config-crypto-map)#set peer 10.0.1.1
                                                                                                                                                                1. R2-ATE(config-crypto-map)#match address 110
                                                                                                                                                                  1. y luego en el otro peer
                                                                                                                                                                  2. Aplicar CRYPTO-MAP a interface OUT
                                                                                                                                                                    1. R2-ATE(config)#interface FastEthernet0/1
                                                                                                                                                                      1. R2-ATE(config-if)#crypto map CRYPTO_MAP
                                                                                                                                                                        1. y luego en el otro peer
                                                                                                                                                                        2. Verificacion Operatividad VPN IPsec
                                                                                                                                                                          1. R2-ATE#show crypto isakmp sa
                                                                                                                                                                            1. QM_IDLE
                                                                                                                                                                            2. R2-ATE#show crypto ipsec sa
                                                                                                                                                                              1. R2-ATE#ping 192.168.1.4 source fa0/0
                                                                                                                                                                            3. Configurando Tunel GRE sobre Tunel IPsec
                                                                                                                                                                              1. R2-ATE(config)#access-list 110 permit gre any any
                                                                                                                                                                                1. R2-ATE(config)#interface tunnel 10
                                                                                                                                                                                  1. R2-ATE(config-if)#ip address 192.168.17.2 255.255.255.0
                                                                                                                                                                                    1. R2-ATE(config-if)#tunnel source 10.0.0.1
                                                                                                                                                                                      1. R2-ATE(config-if)#tunnel destination 10.0.1.1
                                                                                                                                                                                        1. y luego en el otro lado
                                                                                                                                                                                        2. Configurando DMVPN (Solo HUB)
                                                                                                                                                                                          1. HUB(config)#interface tunel 0
                                                                                                                                                                                            1. HUB(config-if)#ip address 192.168.17.1 255.255.255.0
                                                                                                                                                                                              1. HUB(config-if)#tunnel mode gre multipoint
                                                                                                                                                                                                1. HUB(config-if)#tunnel source 10.0.1.1
                                                                                                                                                                                                  1. HUB(config-if)#ip nhrp network-id <1>
                                                                                                                                                                                                    1. HUB(config-if)#ip nhrp authentication <CISCO>
                                                                                                                                                                                                      1. HUB(config-if)#ip nhrp holdtime <60s>
                                                                                                                                                                                                        1. HUB(config-if)#ip nhrp map multicast dynamic
                                                                                                                                                                                                      2. CONFIGURACION ADICIONAL
                                                                                                                                                                                                        1. Configurando VRF LITE
                                                                                                                                                                                                          1. R1 (config) # ip vrf <BLUE>
                                                                                                                                                                                                            1. R1 (config-vrf) # description TRAFICO CONFIABLE
                                                                                                                                                                                                              1. R1(config-vrf)# ip vrf R<RED>
                                                                                                                                                                                                                1. R1(config-vrf)# description TRAFICO INVITADOS
                                                                                                                                                                                                                  1. R1(config)# int f1/0
                                                                                                                                                                                                                    1. R1(config-if)# ip vrf forwarding <RED>
                                                                                                                                                                                                                      1. R1(config-if)# ip add 192.168.0.2 255.255.255.252
                                                                                                                                                                                                                          1. R1# show ip route vrf BLUE
                                                                                                                                                                                                                          2. Configurando EVN
                                                                                                                                                                                                                            1. R1 (config) # vrf definition <RED>
                                                                                                                                                                                                                              1. R1 (config-vrf) #vnet tag <101>
                                                                                                                                                                                                                                1. R1 (config) #int gi0/1
                                                                                                                                                                                                                                  1. R1 (config-if) #vnet trunk
                                                                                                                                                                                                                                    1. R1 (config-if) #ip add 192.168.0.2 255.255.255.252
                                                                                                                                                                                                                                      1. y similar para el otro peer R2

                                                                                                                                                                                                                                    Media attachments

                                                                                                                                                                                                                                    Show full summary Hide full summary

                                                                                                                                                                                                                                    Similar

                                                                                                                                                                                                                                    CCNP CAP 1
                                                                                                                                                                                                                                    bruce flores
                                                                                                                                                                                                                                    To Kill A Mockingbird GCSE English
                                                                                                                                                                                                                                    naomisargent
                                                                                                                                                                                                                                    TYPES OF DATA
                                                                                                                                                                                                                                    Elliot O'Leary
                                                                                                                                                                                                                                    AS Biology- OCR- Module 1 Cells Specification Analysis and Notes
                                                                                                                                                                                                                                    Laura Perry
                                                                                                                                                                                                                                    Attachment - Psychology - Flash Cards
                                                                                                                                                                                                                                    Megan Price
                                                                                                                                                                                                                                    Anatomy and Physiology - BIO 111 - Test #1 Flashcards
                                                                                                                                                                                                                                    ajudkins
                                                                                                                                                                                                                                    Unit 1 flashcards
                                                                                                                                                                                                                                    C R
                                                                                                                                                                                                                                    Chemistry 1
                                                                                                                                                                                                                                    Peter Hoskins
                                                                                                                                                                                                                                    Different types of transitions that can affect children and young people's development.
                                                                                                                                                                                                                                    302778
                                                                                                                                                                                                                                    Atomic Structure
                                                                                                                                                                                                                                    dpr898
                                                                                                                                                                                                                                    Maths: Geometry
                                                                                                                                                                                                                                    noajaho1