vpn capitulo7
TRANSCRIPT
CAPITULO VII: GUIA DE USUARIO PARA CONFIGURAR
IPSEC Y MPLS EN DOS ROUTER CISCO, Y CREAR UNA
VPN EN INTERNET, PARA LAS EMPRESAS.
Este documento tiene como propósito presentar una guía de
configuración de IPSec y MPLS en dos router cisco, para que
facilite a las empresas la implementación de cada uno de los
protocolos según la necesidad que estas tengan.
También se pretende presentar una guía técnica para fines
académicos, para aumentar el conocimiento científico de los
estudiantes en el área de informática.
Esta guía contiene los pasos a seguir para la configuración de
IPSec y MPLS, lo cual se recomienda tener conocimientos
teóricos y prácticos sobre router cisco, para la debida
interpretación de esta.
Así mismo se recomienda a las empresas que utilicen esta
guía, que no es absoluta ni única ya que puede variar su
contenido de acuerdo a las necesidades técnicas de las
empresas, por lo que se puede enriquecer o contrastar con
otras guías de configuración, como los que proporciona cisco
www.cisco.com.
7.1.- CONFIGURACIÓN DE IPSEC ENTRE DOS ROUTER
CISCO Y UNA VPN EN INTERNET.
CONTENIDO
7.1.1- INTRODUCCIÓN.
7.1.2- PRERREQUISITOS.
7.1.3- COMPONENTES DE USO.
7.1.4- DESCRIPCIÓN
7.1.5- DIAGRAMA DE RED.
7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN
MIGUEL.
7.1.7- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN
SALVADOR.
7.1.8- CONSOLA HYPER TERMINAL DE WINDOWS.
7.1.9- CONFIGURACIÓN IPSEC ROUTER 2610 SAN MIGUEL.
7.1.10- CONFIGURACIÓN IPSEC ROUTER 3604 SAN SALVADOR.
7.1.11- VERIFICACIÓN ANTES DE TRANSMITIR PAQUETES DE
INFORMACION POR LA VPN.
7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR.
7.1.13- VERIFICACIÓN DESPUES DE TRANSMITIR PAQUETES DE
INFORMACION POR LA VPN.
7.1.14- DESCRIPCION DE COMANDOS UTILIZADOS EN LA
CONFIGURACIÓN DE IPSEC.
7.1.1- INTRODUCCIÓN.
El siguiente documento describe la configuración de IPSec,
entre una LAN-to-LAN creando un túnel por medio de una
VPN, desde San Salvador hasta San Miguel utilizando
Internet.
7.1.2- PRERREQUISITOS.
- Conocimientos básicos de routers cisco.
- Ruteo estático.
7.1.3- COMPONENTES DE USO.
- 3 Computadoras con Windows XP.
- 1 Computadora con Linux (Puede ser otro SO).
- 1 Hub.
- 1 Modem US Robotic.
- 1 Router 2610 con Puerto Ethernet 0/0, Serial Wic/2T
y Software Cisco IOS Versión 12.2 (31).
- 1 Router 3604 con Puerto Ethernet 0/3 u otro,
Software Cisco IOS Versión 12.2 (31).
- 4 Cables UTP categoría 5.
- 1 Enlace Conmutado.
- 1 Enlace Dedicado.
- 2 Acceso a Internet.
7.1.4- DESCRIPCIÓN
- IPSec:
Es un grupo de extensiones de la familia de protocolos
IP, que provee servicios criptográficos de seguridad.
Creado por IETF (Internet Engineering Task Force)
Organización encargada del estudio de problemas
técnicos relacionados con Internet.
- Router:
Es un dispositivo dentro de la red usando comúnmente
para la conmutación o ruteo de paquetes. Esta
conmutación el router la realiza tomando decisiones en
base a su configuración para redes.
7.1.5- DIAGRAMA DE RED.
El presente diagrama muestra la ubicación de los equipos
físicamente y las direcciones IP de cada uno de los puntos de
la red que representa la parte lógica para poder configurar el
protocolo IPSec.
Figura 7.1 Diagrama de red IPSec.
LAN 2
7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (tcp/ip),
san miguel.
Se configura las propiedades del protocolo de Internet
(TCP/IP) la computadora que esta en la LAN1 San Miguel,
tomando en cuenta las direcciones IP asignadas a este nodo
de la red y poder establecer la conexión hacia el otro punto
de la red.
Se colocan las siguientes propiedades como aparecen en la
figura 7.2.
Figura 7.2 Propiedades del protocolo de Internet (TCP/IP) S.M.
7.1.7- PROPIEDADES DEL PROTOCOLO INTERNET
(TCP/IP), SAN SALVADOR.
Se configura las propiedades del protocolo de Internet
(TCP/IP) la computadora que esta en la LAN 2 San Salvador,
tomando en cuenta las direcciones IP asignadas a este nodo
de la red y poder establecer la conexión hacia el otro punto
de la red.
Se colocan las siguientes propiedades como aparecen en la
figura 7.3.
Figura 7.3 Propiedades del protocolo de Internet (TCP/IP) S.S.
7.1.8- CONSOLA HYPER TERMINAL de WINDOWS.
Cuando esta conectado todo el Hardware, se utiliza la
consola Hyper Terminal de Windows que es la aplicación por
medio de la cual se ingresa a la consola de configuración del
Router Cisco, Inicio / Todos los programas / Accesorios
/ Comunicaciones / Hyper Terminal, ver Figura 7.4.
Figura 7.4 Ingreso al Hyper Terminal de Windows.
Aparece la figura 7.5 donde se selecciona el puerto COM1,
esto significa que se conecta utilizando este para ingresar a
la consola del router.
Luego se colocan las siguientes propiedades tal como
aparecen en la figura 7.6
Figura 7.5 Conectar al COM1.
De esta forma se ingresa a la consola del router cisco, para
realizar la configuración correspondiente a IPSec, aplicando
las técnicas de encriptación con cada uno de los comandos,
de una forma lógica y ordenada. Luego pasa a la consola el
Router Cisco.
Figura 7.6 Consola Hyper Terminal de Windows.
7.1.9- CONFIGURACIÓN IPSEC ROUTER 2610 SAN
MIGUEL.
La presente configuración corresponde al Router Cisco 2610,
en el cual se procede a configurar IPSec, tomando en cuenta
la conexión lógica de la red y los respectivos comandos.
Las línea en negrita representan la configuración del router y
las líneas que tienen antepuesta las “//” representan los
comentario de los bloque de configuración.
Consola – IPSec - Router 2610
Cisco 2610 IOS Versión 12.2.(31) //Prompt del router donde se digitan los comandos. SanMiguel# Building configuration... Current configuration : 2254 bytes ! Version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SanMiguel ! ! memory-size iomem 10 ip subnet-zero ip cef ! ! ip name-server 66.119.93.4
! // INICIA LA CONFIGURACIÓN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las políticas de máxima prioridad y que coincidan //en ambos lados, es decir con el router de San Salvador, en //este caso la prioridad es 10 (hash md5 y con autenticación) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To-//LAN para su respectiva negociación. crypto isakmp key TesisSM address 66.119.92.145 ! // Se crea la fase para la autenticación y encriptación de la //información. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. ! crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el túnel. crypto map VPN local-address Dialer2 // Se crea el mapa de encriptación. crypto map VPN 10 ipsec-isakmp // Se especifica la ip del peer (Túnel ipsec). set peer 66.119.92.145 // Se aplica el tipo de transformación para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110
// Script para realizar el marcado por medio del MODEM. chat-script Dialout ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c // Init String para la configuración del MODEM. modemcap entry MY_MODEM:MSC=&F1S0=1 call rsvp-sync ! ! // Túnel IP hacia San Salvador interface Tunnel2 description TUNEL HACIA SAN SALVADOR TELEFONICA ip unnumbered Dialer2 tunnel source Dialer2 tunnel destination 66.119.92.145 // Se aplica la encriptación ipsec a la interfaz. crypto map VPN ! interface Ethernet0/0 ip address 20.0.20.1 255.255.255.0 full-duplex ! interface Serial0/0 no ip address shutdown ! // Interfaz serial conectada a modem asíncrono. interface Serial0/1 physical-layer async no ip address encapsulation ppp dialer in-band dialer rotary-group 2 async default routing async mode dedicated
! // Interfaz virtual para el acceso telefónico a Internet. interface Dialer2 ip address negotiated encapsulation ppp dialer in-band dialer idle-timeout 900 // Numero de acceso telefónico a Marcar por el router. dialer string 22111111 dialer hold-queue 10 dialer load-threshold 1 either dialer-group 2 ppp authentication chap pap callin ppp chap hostname tsm@internet ppp chap password 0 internet ppp pap sent-username tsm@internet password 0 internet ppp multilink bap ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 // Ruta estática para la red 30.0.30.0 ip route 30.0.30.0 255.255.255.0 Tunnel2 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN. access-list 110 permit ip 20.0.20.0 0.0.0.255 10.0.10.0 0.0.0.255 access-list 110 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip any any dialer-list 2 protocol ip permit no cdp run ! dial-peer cor custom ! ! line con 0
line 2 // Linea 2, configuración directa con el MODEM. script dialer Dialout modem InOut modem autoconfigure type MY_MODEM transport input all speed 57600 flowcontrol hardware line aux 0 exec-timeout 0 0 transport output none line vty 0 4 login ! End
//Cuando se finaliza la configuración del router, es importante //guardar los cambios realizados con el comando write.
7.1.10- CONFIGURACIÓN IPSEC ROUTER 3604 SAN
SALVADOR.
La siguiente configuración, se realizo en un router Cisco
3604, donde se ejecutan los comandos correspondientes a
IPSec.
Las línea en negrita representan la configuración del router y
las líneas que tienen antepuesta las “//” representan los
comentario de los bloque de configuración.
Consola – IPSec - Router 3604
Cisco 3604 IOS Versión 12.2.(31) //Prompt del router donde se digitan los comandos. REDIP# Building configuration... Current configuration : 4174 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname REDIP ! aaa new-model aaa authentication login default local aaa authentication ppp default local enable secret 5 $1$XUyx$r3JYNZKhBNcOU4xhwGhQs0 ! ip subnet-zero ip cef
! ! ip name-server 66.119.93.4 ip name-server 66.119.95.4 ! // INICIA LA CONFIGURACIÓN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las políticas de máxima prioridad y que coincidan //en ambos lados, es decir con el router de San Miguel, en //este caso la prioridad es 10 (hash md5 y con autenticación por //clave simétrica compartida) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To-//LAN para su respectiva negociación. crypto isakmp key TesisSM address 66.249.197.20 ! // Se crea la fase para la autenticación y encriptación de la //información. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el túnel. crypto map VPN local-address FastEthernet3/0 // Se crea el mapa a aplicar en la interfaz (crypto map). crypto map VPN 10 ipsec-isakmp // Establece el punto remoto de la VPN set peer 66.249.197.20
// Se aplica el tipo de transformación para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110 ! no call rsvp-sync ! // Túnel IP hacia Router San Miguel. interface Tunnel2 description TUNEL HACIA SAN MIGUEL ip unnumbered FastEthernet3/0 tunnel source FastEthernet3/0 tunnel destination 66.249.197.20 // Se aplica la encriptación ipsec a la interfaz. crypto map VPN ! // LAN de servidor TFP linux para las pruebas. interface FastEthernet1/0 description Conexion Servidor Linux ip address 30.0.30.1 255.255.255.0 duplex auto speed auto ! ! interface FastEthernet3/0 description Conexion Routers de Acceso ip address 66.119.92.145 255.255.255.224 ip nat outside duplex auto speed auto ! no ip classless // Ruta estática para la red 20.0.20.0
ip route 20.0.20.0 255.255.255.0 tunnel2
ip route 66.249.197.20 255.255.255.255 66.119.92.133 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN. access-list 110 permit ip 30.0.30.0 0.0.0.255 20.0.20.0 0.0.0.255
access-list 110 permit ip 10.0.10.0 0.0.0.255 20.0.20.0 0.0.0.255 line con 0 password 7 111B1C011E02 line aux 0 line vty 0 4 password 7 071D24484719 End //Cuando se finaliza de hacer los cambios de la configuración del //router, se recomiendo guardar los cambios con el comando //write.
Cuando se finaliza la configuración de los dos router es
importante verificar la conexión del túnel con y sin tráfico de
datos, esto permite evaluar cuantos paquetes han sido
encapsulados y encriptados por IPSec.
7.1.11- VERIFICACIÓN ANTES DE TRANSMITIR
PAQUETES DE INFORMACION POR LA VPN.
Cuando ha finalizado la configuración de los dos Router, se
procede a comprobar la configuración de IPSec con el
siguiente comando show crypto ipsec sa este muestra el
número de paquetes que han sido transmitidos por la VPN y
si existe la encriptación, autenticación y integridad de los
paquetes, en la siguiente verificación no se ha transmitido
trafico por el túnel VPN des un punto local hasta el punto
remoto o viceversa, como se observa a continuación los
paquetes encapsulados y encriptados son “0”, es decir
porque no ha transmitido ningún paquete por la VPN.
Consola – IPSec - Router 3604
SanMiguel#show crypto ipsec sa
local ident (addr/mask/prot/port): (30.0.30.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (20.0.20.0/255.255.255.0/0/0) current_peer: 66.249.197.20 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 66.119.92.145, remote crypto endpt.: 66.249.197.20 path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2 current outbound spi: 0 inbound esp sas: inbound ah sas:
inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:
Se observan las siguientes líneas estadísticas, en las cuales
registran “0” paquetes transmitidos.
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
También se visualiza la encriptación que se aplica desde el
punto local hasta el punto remoto, establecido por el túnel
virtual con las direcciones publicas 66.119.92.145 (San
Salvador) y 66.249.197.20 (San Miguel).
También se puede revisar la conexión desde un punto a otro
y viceversa en los siguientes numerales.
7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN
SALVADOR.
Ping es un mensaje transmitido por un programa Packet
Internet Groper. También es enviado desde un nodo a la
dirección IP de una computadora de red para determinar si
ese nodo está disponible para enviar y recibir transmisiones.
En la figura 7.7, se da ping desde la PC que esta en San
Miguel (20.0.20.2) al servidor de archivos que este en San
Salvador (30.0.30.2) y aparece la siguiente ventana:
Esto quiere decir que ya existe la conexión entre un nodo de
la red y otro, la cual se realiza por medio de Internet.
La figura 7.7 muestra cuantos paquetes fueron enviados y si
hay una conexión estable, ya que algunas veces hay perdida
de conexión.
7.1.13- VERIFICACIÓN DESPUES DE TRANSMITIR
PAQUETES DE INFORMACION POR LA VPN.
En este caso ya se estableció la conexión con el túnel IPSec y
se ejecuta el mismo comando show crypto ipsec sa para
revisar si a registrado paquetes en la VPN, se realizo una
Figura 7.7 Ping desde PC San Miguel a CP San Salvador.
transferencia de archivos para verificar el número de
paquetes enviados hasta el punto remoto que esta en San
Salvador. Como se visualiza a continuación ya existen
paquetes registrados por el túnel VPN, encapsulados,
encriptados (499) y desencapsulados y desencriptados (498),
como se puede observar a continuación.
Consola – IPSec - Router 2610
SanMiguel#show crypto ipsec sa
// Muestra el túnel virtual Tunnel2, con sus respectivas ip de
//origen y destino
interface: Tunnel2
Crypto map tag: VPN, local addr. 66.249.197.20
local ident (addr/mask/prot/port):
(20.0.20.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port):
(30.0.30.0/255.255.255.0/0/0)
current_peer: 66.119.92.145
PERMIT, flags={origin_is_acl,}
//Muestra el número de paquetes que son encapsulados y
//encriptados.
#pkts encaps: 499, #pkts encrypt: 499, #pkts digest 499
#pkts decaps: 498, #pkts decrypt: 498, #pkts verify 498
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts
decompress failed: 0
#send errors 4, #recv errors 0
local crypto endpt.: 66.249.197.20, remote crypto endpt.:
66.119.92.145
path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2
current outbound spi: 1A8B08FE
inbound esp sas:
spi: 0x4F75206A(1333076074)
transform: esp-des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4607406/2801)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x1A8B08FE(445319422)
transform: esp-des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4607952/2795)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas:
Esto quiere decir que si existe una conexión validad que
encripta, autentica y encapsula la información entre ambos
puntos de la red. También se puede observar la encriptación
del Tunnel2 en una forma local y remota, por ejemplo:
“local crypto endpt.: 66.249.197.20, remote crypto endpt.:
66.119.92.145 path mtu 1476, ip mtu 1476, ip mtu
interface Tunnel2”.
La verificación se realiza también en el router 3604 que esta
en San Salvador y como se puede observar el número de
paquetes enviados cambia, dependiendo del flujo de
información que se transmita. Se ejecuta el mismo comando
sh crypto ipsec sa para verificar los datos estadísticos del
protocolo IPSec. Los cuales registran paquetes encapsulados
y encriptados (4378) y desencapsulados y desencriptados
(4389), como se puede observar a continuación.
Consola – IPSec - Router 3604
REDIP#sh crypto ipsec sa
// Muestra el túnel virtual Tunnel2, con sus respectivas ip de
//origen y destino.
interface: Tunnel2
Crypto map tag: VPN, local addr. 66.119.92.145
local ident (addr/mask/prot/port):
(30.0.30.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port):
(20.0.20.0/255.255.255.0/0/0)
current_peer: 66.249.197.20
PERMIT, flags={origin_is_acl,}
//Muestra el número de paquetes que son encapsulados y
//encriptados.
#pkts encaps: 4378, #pkts encrypt: 4378, #pkts digest 4378
#pkts decaps: 4389, #pkts decrypt: 4389, #pkts verify 4389
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts
decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 66.119.92.145, remote crypto endpt.:
66.249.197.20
path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2
current outbound spi: 4F75206A
inbound esp sas:
spi: 0x1A8B08FE(445319422)
transform: esp-des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2004, flow_id: 5, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4607895/2474)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x4F75206A(1333076074)
transform: esp-des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2005, flow_id: 6, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4607400/2474)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas:
Este resultado muestra que ha pasado tráfico por medio de la
red y que se han transmitido información desde un punto a
otro de forma satisfactoria, aplicando las técnicas de
encriptación, encapsulación, autenticación de las llaves e
integridad de los datos entre ambos puntos de la red.
Cuando se realiza la verificación de ambos router, se tiene la
completa seguridad que los datos transmitidos por medio de
la red, esta siendo encriptada, encapsulada y autenticada de
forma integra desde el lugar de origen hasta su destino.
7.1.14- DESCRIPCION DE COMANDOS UTILIZADOS EN LA
CONFIGURACIÓN DE IPSEC.
authentication pre-share: Comando para configurar
autentificación dentro del mapa (esto nos permite utilizar
el Key).
cripto isakmp policy 10: Commado para crear el
isakmp ( Internet Security Association Key Management
Protocol).
crypto map: Comando que crea el mapa encriptado,
quien se encarga de activar y manejar el túnel. Los
Crypto maps son las reglas de mapeado para indicar
cómo enviar la información por IPSec, incluye:
• Los filtros para indicar tráfico interesante
• El vecino remoto
• El set de transformaciones a utilizar
• Método de administración de claves
• Tiempo de vida de las SA
crypto ipsec transform-set VPN esp-des esp-sha-
hmac: Comando que crea el transform-set (la forma de
encriptar y desencriptar la información).
full duplex : Comando para configurar en una interfaz
que soporte full duplex.
hash md5: Comando para configurar el algoritmo de
encriptación dentro del mapa.
ip address: Comando que especifica la ip a ocupar en
una interfaz del router.
match address 110: Comando que especifica el trafico
permitido en el mapa (tunnel) y que hace referencia a la
lista de acceso 110.
set tranform-set: Comando que especifica el transform-
set que ocupara el Mapa.
show run: Comando para mostrar la configuración del
router en ese momento (este comando no es propio de
ipsec).
7.2.- CONFIGURACIÓN DE MPLS ENTRE DOS ROUTER CISCO
Y UNA VPN EN INTERNET.
CONTENIDO
7.2.1- INTRODUCCIÓN.
7.2.2- PRERREQUISITOS.
7.2.3- COMPONENTES DE USO.
7.2.4- DESCRIPCIÓN
7.2.5- DIAGRAMA DE RED.
7.2.6 PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN
MIGUEL.
7.2.7 PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN
SALVADOR.
7.2.8- CONSOLA HYPER TERMINAL DE WINDOWS.
7.2.9- CONFIGURACIÓN MPLS ROUTER 2610 SAN MIGUEL.
7.2.10- CONFIGURACIÓN MPLS ROUTER 3604 TELEFONICA SAN
SALVADOR.
7.2.11- VERIFICACIÓN DE MPLS ROUTER 2610 SAN MIGUEL.
7.2.12- VERIFICACIÓN DE MPLS ROUTER 3604, SAN SALVADOR.
7.2.13- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR.
7.2.14 DESCRIPCION DE COMANDOS UTILIZADOS EN LA
CONFIGURACIÓN DE MPLS.
7.2.1- INTRODUCCIÓN
El siguiente documento describe la configuración de MPLS,
entre dos router cisco conectando un LAN-to-LAN por medio
de una VPN en Internet, entre los puntos de San Miguel y
San Salvador, creando así una sola red virtual, es decir como
si fuera una sola red LAN.
7.2.2- PRERREQUISITOS.
- Conocimientos básicos de router cisco.
- Ruteo Estático.
7.2.3- COMPONENTES DE USO.
- 3 Computadoras con Windows XP.
- 1 Computadora con Linux (Puede ser otro SO).
- 1 Hub.
- 1 Modem US Robotic.
- 1 Router 2610 con Puerto Ethernet 0/0, Serial Wic/2T
y Software Cisco IOS Versión 12.2 (31).
- 1 Router 3604 con Puerto Ethernet 0/3 u otro,
Software Cisco IOS Versión 12.2 (31).
- 4 Cables UTP categoría 5.
- 1 Enlace Conmutado.
- 1 Enlace Dedicado.
- 2 Acceso a Internet.
7.2.4- DESCRIPCIÓN
- MPLS:
Es un método para “forwardear” paquetes a través de una
red usando información contendida en etiquetas añadidas a
los paquetes de IP.
- Router:
Es un dispositivo dentro de la red usando comúnmente para
la conmutación o ruteo de paquetes. Esta conmutación el
router la realiza tomando decisiones en base a su
configuración para redes.
7.2.5- DIAGRAMA DE RED.
El presente diagrama muestra la ubicación de los puntos de
red, describiendo cada uno de ellos según las direcciones IP,
para su debida configuración.
Figura 7.8 Diagrama de red MPLS.
LAN 2
7.2.6 PROPIEDADES DEL PROTOCOLO INTERNET
(TCP/IP), SAN MIGUEL.
Se configura las propiedades del protocolo de Internet
(TCP/IP) la computadora que esta en la LAN1 San Miguel,
tomando en cuenta las direcciones IP asignadas a este nodo
de la red y poder establecer la conexión hacia el otro punto
de la red.
Se colocan las siguientes propiedades como aparecen en la
figura 7.9.
Figura 7.9 Propiedades del protocolo de Internet (TCP/IP) S.M.
7.2.7 PROPIEDADES DEL PROTOCOLO INTERNET
(TCP/IP), SAN SALVADOR.
Se configura las propiedades del protocolo de Internet
(TCP/IP) la computadora que esta en la LAN 2 San Salvador,
tomando en cuenta las direcciones IP asignadas a este nodo
de la red y poder establecer la conexión hacia el otro punto
de la red.
Se colocan las siguientes propiedades como aparecen en la
figura 7.10.
Figura 7.10 Propiedades del protocolo de Internet (TCP/IP) S.S.
7.2.8- CONSOLA HYPER TERMINAL DE WINDOWS.
Cuando esta conectado todo el Hardware, se utiliza la
consola Hyper Terminal de Windows que es la aplicación por
medio de la cual se ingresa a la consola de configuración del
Router Cisco, Inicio / Todos los programas / Accesorios
/ Comunicaciones / Hyper Terminal, ver Figura 7.11.
Figura 7.11 Ingreso a Hyper Terminal.
Aparece la figura 7.12 donde se selecciona el puerto COM1,
esto significa que se conecta utilizando este para ingresar a
la consola del router.
Luego se colocan las siguientes propiedades tal como
aparecen en la figura 7.13.
Figura 7.12 Conectar al COM1.
De esta forma se ingresa a la consola del router cisco, para
realizar la configuración correspondiente a IPSec, aplicando
las técnicas de encriptación con cada uno de los comandos,
de una forma lógica y ordenada. Luego pasa a la consola el
Router Cisco.
Figura 7.13 Consola Hyper Terminal de Windows.
7.2.9- CONFIGURACIÓN MPLS ROUTER 2610 SAN
MIGUEL.
La siguiente configuración corresponde al router cisco 2610,
en donde se aplican algunos comandos propios de MPLS,
tomando en cuenta la conexión lógica de la red.
Las línea en negrita representan la configuración del router y
las líneas que tienen antepuesta las “//” representan los
comentario de los bloque de configuración.
Consola – MPLS - Router 2610
Cisco 2610 IOS Versión 12.2.(31) //Prompt del router donde se digitan los comandos. SanMiguel#show run Building configuration... Current configuration : 2291 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SanMiguel ! ! memory-size iomem 10 ip subnet-zero ip cef ! ! ip name-server 66.119.93.4
! //INICIA LA CONFIGURACION DE MPLS. // Se define la instancia para VRF (asignándole el nombre TSM) ip vrf TSM // Definición del ASN (Numero de Sistema Autónomo) para la //VPN. (rd = route distinguisher). rd 101:1 // Se exportan e importan rutas dentro de la VPN. route-target export 101:1 route-target import 101:1 ip audit notify log ip audit po max-events 100 ! ! chat-script Dialout ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c modemcap entry MY_MODEM:MSC=&F1S0=1 call rsvp-sync ! ! // Túnel IP hacia San Salvador. interface Tunnel2 description TUNEL HACIA SAN SALVADOR TELEFONICA // Se hace miembro de la VPN TSM a la Interfaz del Tunnel2. ip vrf forwarding TSM ip unnumbered Dialer2 tunnel source Dialer2 tunnel destination 66.119.92.145 ! interface Ethernet0/0 // Se hace miembro de la VPN TSM a la interfaz. ip vrf forwarding TSM ip address 20.0.20.1 255.255.255.0 full-duplex !
interface Serial0/0 no ip address shutdown ! // Interfaz serial conectada a MODEM asíncrono. interface Serial0/1 physical-layer async no ip address encapsulation ppp dialer in-band dialer rotary-group 2 async default routing async mode dedicated ! interface Dialer2 // Interfaz virtual para el marcado de acceso telefónico a Internet ip address negotiated encapsulation ppp dialer in-band dialer idle-timeout 900 // Numero de acceso telefónico a Marcar por el router dialer string 22111111 dialer hold-queue 10 dialer load-threshold 1 either dialer-group 2 ppp authentication chap pap callin ppp chap hostname tsm@internet ppp chap password 0 internet ppp pap sent-username tsm@internet password 0 internet ppp multilink bap ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 // Definición de rutas para la VPN TSM, es decir la ruta destino a //la que se desea llegar.
ip route vrf TSM 30.0.30.0 255.255.255.0 Tunnel2 no ip http server ! access-list 120 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip any any dialer-list 2 protocol ip permit no cdp run ! dial-peer cor custom ! line con 0 line 2 // Linea 2 para configuración directa del MODEM. script dialer Dialout modem InOut modem autoconfigure type MY_MODEM transport input all speed 115200 flowcontrol hardware line aux 0 exec-timeout 0 0 transport output none line vty 0 4 login ! end //Cuando se finaliza la configuración del router, es importante //guardar los cambios realizados con el comando write.
7.2.10- CONFIGURACIÓN MPLS ROUTER 3604
TELEFONICA SAN SALVADOR.
La siguiente configuración corresponde al router cisco 3604,
en donde se aplican algunos comandos propios de MPLS,
tomando en cuenta la conexión lógica de la red.
Las línea en negrita representan la configuración del router y
las líneas que tienen antepuesta las “//” representan los
comentario de los bloque de configuración.
Consola – MPLS - Router 3604
Cisco 3604 IOS Version 12.2.(31) //Prompt del router donde se digitan los comandos. REDIP#show run Building configuration... Current configuration : 4212 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname REDIP ! ip cef ! ! ip name-server 66.119.93.4 ip name-server 66.119.95.4 !
// INICIA LA CONFIGURACIÓN MPLS VPN. // Se define la instancia para VRF (VPN TSM). ip vrf TSM // Definición del ASN (Numero de Sistema Autónomo) para la //VPN. (rd = route distinguisher). rd 101:1 // Se especifica la exportación e importación de rutas en la VPN. route-target export 101:1 route-target import 101:1 ip audit notify log ip audit po max-events 100 ip address-pool local ! no call rsvp-sync ! // Tunel IP Hacia Router San Miguel. interface Tunnel2 description TUNEL HACIA SAN MIGUEL // Se configura la interfaz para que sea miembro de la VPN TSM. ip vrf forwarding TSM ip unnumbered FastEthernet3/0 tunnel source FastEthernet3/0 tunnel destination 66.249.197.20 ! // Interfaz de conexión hacia la LAN del servidor ftp linux. interface FastEthernet1/0 description Conexion Server Linux // Se configura la interfaz para que sea miembro de la VPN (TSM). ip vrf forwarding TSM ip address 30.0.30.1 255.255.255.0 duplex auto speed auto ! //se especifica el nivel físico de la interfaz 3/0 del router. interface FastEthernet3/0
description Conexion Routers de Acceso ip address 66.119.92.145 255.255.255.224 ip nat outside duplex auto speed auto no ip classless ip route 0.0.0.0 0.0.0.0 66.119.92.133 // Ruta estática en la VRF TSM para la red 20.0.20.0 ip route vrf TSM 20.0.20.0 255.255.255.0 Tunnel2 ip tacacs source-interface FastEthernet2/0 no ip http server ! dial-peer cor custom line con 0 password 7 111B1C011E02 line aux 0 line vty 0 4 password 7 071D24484719 ! end //Cuando se finaliza de hacer los cambios de la configuración del //router, se recomiendo guardar los cambios con el comando //write.
Cuando se finaliza la configuración de MPLS en los dos Router
se realiza la verificación de la conexión, para comprobar
que si hay conexión entre la LAN de San Miguel y la LAN de
San Salvador.
7.2.11- VERIFICACIÓN DE MPLS ROUTER 2610 SAN
MIGUEL.
Cuando ha finalizado la configuración de los dos Router, se
procede a comprobar la configuración con el siguiente
comando show ip route vrf TSM que se digita en la línea de
comando, y muestra la conectividad desde el punto local
hasta el punto remoto, lo cual muestra la siguiente pantalla.
Esto indica que la configuración esta bien realizada y que
existe la conexión correcta entre los dos puntos, como se
Consola –Verificación MPLS - Router 2610
SanMiguel#show ip route vrf TSM Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 20.0.0.0/24 is subnetted, 1 subnets C 20.0.20.0 is directly connected, Ethernet0/0
30.0.0.0/24 is subnetted, 1 subnets S 30.0.30.0 is directly connected, Tunnel2
puede observar las direcciones IP que conecta “C”
(20.0.20.0) y la IP estática “S” (30.0.30.0), lo cual permite
ver el punto origen “C” y destino “S” de la vrf TSM.
También se puede verificar MPLS con el comando show ip
vrf detail, que muestra la interfaz VRF TSM, en este caso
solo esta activa la que fue creada (TSM), de lo contrario no
mostrara ninguna vrf.
Consola –Verificación MPLS - Router 2610
SanMiguel#show ip vrf detail VRF TSM; default RD 101:1 Interfaces: Ethernet0/0 Tunnel2 Connected addresses are not in global routing table Export VPN route-target communities RT:101:1 Import VPN route-target communities RT:101:1 No import route-map No export route-map
7.2.12- VERIFICACIÓN DE MPLS ROUTER 3604, SAN
SALVADOR.
Con el comando sh ip route vrf TSM se muestra la tabla de
ruteo de la VPN. Esto indica que la configuración esta bien
realizada en el router 3604 y que ya existe la conexión
correcta entre los dos puntos, como se puede observar las
direcciones IP que conecta “C” (30.0.30.0) y la IP estática
“S” (20.0.20.0), lo cual permite ver el punto de origen “C” y
destino “S” de la vrf TSM.
Consola –Verificación MPLS - Router 3604
REDIP#show ip route vrf TSM Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B – BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS l evel-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 20.0.0.0/24 is subnetted, 1 subnets S 20.0.20.0 is directly connected, Tunnel2 30.0.0.0/24 is subnetted, 1 subnets C 30.0.30.0 is directly connected, FastEthernet1/0
Verificación de MPLS con el comando show ip vrf detail,
muestra la interfaz VRF TSM, en este caso solo esta activa la
que fue creada (TSM), de lo contrario mostrara las demás vrf
que se hayan creado.
Consola –Verificación MPLS - Router 3604
REDIP#show ip vrf detail VRF TSM; default RD 101:1 Interfaces: FastEthernet1/0 Tunnel2 Connected addresses are not in global routing table Export VPN route-target communities RT:101:1 Import VPN route-target communities RT:101:1 No import route-map No export route-map
Esto sirve para verificar las tablas de rutas establecidas y las
vrf creadas en cada uno de los router según la conectividad
lógica de la red de San Miguel y la de San Salvador.
7.2.13- PING AL SERVIDOR DE ARCHIVOS DE SAN
SALVADOR.
Ping es un mensaje transmitido por un programa Packet
Internet Groper. También es enviado desde un nodo a la
dirección IP de una computadora de red para determinar si
ese nodo está disponible para enviar y recibir transmisiones.
Se comprueba la conexión desde un punto a otro o viceversa
de la siguiente manera:
Se da ping desde la PC que esta en San Miguel (20.0.20.2)
al servidor de archivos que este en San Salvador con ping
30.0.30.2 y aparece la siguiente ventana que muestra los
paquetes enviados al servidor de San Salvador.
En la figura 7.14 se puede decir que si esta disponible la
transmisión de información a través del túnel establecido por
la VPN. También se puede decir que ya esta establecida una
red virtual entre las dos LANs.
Figura 7.14 Ping desde PC San Miguel a CP San Salvador.
7.2.14- DESCRIPCION DE COMANDOS UTILIZADOS EN
LA CONFIGURACIÓN DE MPLS.
encapsulation ppp: Comando para especificar el tipo
de encapsulacion de una interfaz serial. (No es
especifico de MPLS)
interface Tunnel2: Crea una interfase de tipo túnel
en el router (No es especifica de MPLS).
ip audit po max-events 100: Comando para logs,
especifica un número máximo de eventos.
ip suft notify log: Comando para generar logs de
notificaciones en la VRF.
ip vrf forwarding: Comando para especificar en una
interfaz que esta pertenece a una VRF.
ip vrf: Comando que crea la instancia o cliente de la
vrf (Virtual routing Forwarding).
physical-layer Async: Comando que pone una
interfaz serial en modo asíncrono (No es específico de
MPLS).
rd 101:1: Comando que especifica el ID que ocupara
la VRF creada.
route-target export 101:1: Comando para que
exporte las rutas en la VRF creada.
route-target import 101:1: Comando para importar
rutas en la VRF creada.
7.3- CAMBIOS DE CONFIGURACION PARA ACTIVAR IPSEC Y
DESACTIVAR MPLS
Cuando se tienen previamente configurado IPSec en los router y
se tiene activo MPLS, se procede a desactivarlo con una serie de
comandos, que activan el protocolo IPSec, es decir se desactiva
MPLS y se activa IPSec en el router.
Vale la pena aclarar que la configuración de MPLS debe estar
previamente realizada, ya que es donde se definen algunos de
los parámetros que hacen posible este cambio. Para cuestiones
prácticas se puede realizar este tipo de cambios y probar cada
uno de los protocolos.
7.3.1- CAMBIO DE CONFIGURACIÓN ROUTER 2610 SAN
MIGUEL
Se ingresa por medio de la consola de configuración de los
router 2610 y se colocan los comandos descritos a continuación,
para desactivar MPLS y activar IPSec.
Consola –Cambio de MPLS a IPSec - Router 2610
SanMiguel# // Se entra al modo de configuración en el router. conf t //El modo de configuración queda de esta manera. SanMiguel(config)# // Se entra a la interfaz tunnel2. int tun2 // Se deshabilita la VPN MPLS en la Interfaz.
no ip vrf forwarding TSM ip unnumbered Dialer2 // Se habilita la encriptacion ipsec en la interfaz. crypto map VPN exit // Se entra a la interfaz eth0/0. int ethernet 0/0 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip add 20.0.20.1 255.255.255.0 exit // Se quita la ruta en la VRF no ip route vrf TSM 30.0.30.0 255.255.255.0 tun2 // Se agrega la ruta en la tabla normal del router. ip route 30.0.30.0 255.255.255.0 Tunnel2
El objetivo es desactivar MPLS y activar IPSec en router 2610 y
luego se procede con el router 3604.
7.3.2- CAMBIO DE CONFIGURACION ROUTER 3604 SAN
SALVADOR
Se ingresa por medio de la consola de configuración de los
router 3604 y se colocan los comandos descritos a continuación.
Consola –Cambio de MPLS a IPSec - Router 3604
REDIP# // Se entra al modo de configuracion en el router. conf t //El modo de configuración queda de esta manera.
REDIP(config)# // Se entra a la interfaz tunnel2. int tun2 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip unnumbered FastEthernet3/0 // Se habilita la encriptacion ipsec en la interfaz. crypto map VPN exit // Se quita la ruta en la VRF. interface FastEthernet1/0 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip add 30.0.30.1 255.255.255.0 exit // Se deshabilita la VPN MPLS en la Interfaz. no ip route vrf TSM 20.0.20.0 255.255.255.0 tunnel 2 // Se agrega la ruta en la tabla normal del router. ip route 20.0.20.0 255.255.255.0 Tunnel2
El objetivo es desactivar MPLS y activar IPSec en el router
3604. Cuando se ha cambiado las configuraciones se realiza la
debida verificación para comprobar el funcionamiento IPSec
entre los dos puntos de la red. Ver capitulo VII, numeral 7.1.11
al 7.1.15.
7.4- CAMBIOS DE CONFIGURACION PARA ACTIVAR MPLS Y
DESACTIVAR IPSEC.
Cuando se tienen previamente configurados MPLS en los routers
y se tiene activo IPSec, se procede a desactivarlo con una serie
de comandos, que activan el protocolo MPLS, es decir se
desactiva IPSec y se activa MPLS en el router. Vale la pena
aclarar que la configuración de MPLS debe estar previamente
realizada, ya que es donde se definen algunos de los
parámetros que hacen posible este cambio.
Para cuestiones prácticas se puede realizar este tipo de cambios
y probar cada uno de los protocolos.
7.4.1- CAMBIO DE CONFIGURACION ROUTER 2610 SAN
MIGUEL
Se ingresa por medio de la consola de configuración de los
router 2610 y se colocan los comandos descritos a continuación.
Consola –Cambio de IPSec a MPLS - Router 2610
SanMiguel# // Se entra al modo de configuración en el router. conf t //El modo de configuración queda de esta manera. SanMiguel(config)# // Se entra en la conf de la interfaz tunn2 int tun2
// Se deshabilita la encriptación de ipsec no crypto map VPN // Se habilita la VPN MPLS ip vrf forwarding TSM ip unnumbered Dialer2 exit // Se entra en la conf de la interfaz eth0/0 int ethernet 0/0 // Se habilita la VPN MPLS ip vrf forwarding TSM ip add 20.0.20.1 255.255.255.0 // Se quita la ruta de la tabla normal del router no ip route 30.0.30.0 255.255.255.0 tunnel2 // Se agrega la ruta en la tabla de la VPN TSM ip route vrf TSM 30.0.30.0 255.255.255.0 tunnel2
El objetivo es activar MPLS y desactivar IPSec en router 2610 y
luego se procede con el router 3604.
7.4.2- CAMBIO DE CONFIGURACION ROUTER 3604 SAN
SALVADOR
Se ingresa por medio de la consola de configuración de los
router 3604 y se colocan los comandos descritos a continuación.
Consola –Cambio de IPSec a MPLS - Router 3604
REDIP# // Se entra en la conf de la interfaz tunn2 int tun2
//El modo de configuración queda de esta manera. REDIP(config)# // Se deshabilita la encriptación de ipsec no crypto map VPN // Se habilita la VPN MPLS ip vrf forwarding TSM ip unnumbered FastEthernet3/0 exit // Se entra en la conf de la interfaz eth0/0 interface FastEthernet1/0 // Se habilita la VPN MPLS ip vrf forwarding TSM ip add 30.0.30.1 255.255.255.0 exit // Se quita la ruta de la tabla normal del router no ip route 20.0.20.0 255.255.255.0 Tunnel2 // Se agrega la ruta en la tabla de la VPN TSM ip route vrf TSM 20.0.20.0 255.255.255.0 tunnel 2
El objetivo es activar MPLS y desactivar IPSec en el router
3604. Cuando se ha cambiado las configuraciones se realiza la
debida verificación para comprobar el funcionamiento MPLS
entre los dos puntos de la red. Ver capitulo VII, numeral 7.2.11
al 7.2.13.