Establecimiento de un túnel IPSec entre un Gateway de una sucursal (AR) y un gateway de la sede (Router de Cisco) mediante interfaces VT

75 0 0 0

Establecimiento de un túnel IPSec entre un Gateway de una sucursal (AR) y un gateway de la sede (Router de Cisco) mediante interfaces VT.
Visión general
En general, los datos de servicio se transmiten de forma transparente en Internet. Esto hace que los datos del servicio sean propensos a ataques, por ejemplo, robo o manipulación de información de cuentas bancarias o contraseñas, acceso forzado de usuarios o ataques maliciosos a la red. La seguridad de protocolo de Internet (IPSec) puede proteger los datos de servicio transmitidos para reducir el riesgo de fuga de información.
 
IPSec es un conjunto de protocolos de seguridad de red abierta definidos por el Grupo de trabajo de ingeniería de Internet (IETF). Dos partes comunicantes pueden cifrar los datos y autenticar el origen de los datos en la capa IP para garantizar la confidencialidad e integridad de los datos y protegerlos contra los ataques de reproducción en Internet.
 
l Autenticación del origen de los datos: el receptor verifica la validez del remitente.
 
l Cifrado de datos: el remitente cifra los paquetes de datos y transmite los paquetes cifrados en Internet. El receptor descifra y procesa los paquetes recibidos o los reenvía directamente.
 
l Integridad de los datos: el receptor autentica los datos recibidos para verificar si los datos han sido modificados por usuarios no autorizados.
 
l Anti-reproducción: el receptor rechaza paquetes de datos obsoletos o repetidos para evitar ataques de usuarios malintencionados.
 
Como se muestra en la Figura 1-1, IPSec conecta las VPN a través de Internet para permitir que los usuarios se conecten a las VPN a través de Internet, sin importar que se encuentren en una ciudad o país remoto fuera de China. IPSec VPN proporciona el servicio de acceso para usuarios de oficina móvil y socios, y también permite la comunicación entre sucursales empresariales.
 
051306n16pp62sx6xo1azt.png?image.png 
En general, la sede y las sucursales establecen túneles IPSec utilizando ACL. Si es necesario proteger una gran cantidad de flujos de datos mediante IPSec, se recomienda que los túneles IPSec se establezcan mediante interfaces de túnel virtual (VT). No es necesario crear reglas de ACL para definir las características del tráfico a proteger.
 
Precauciones
l Los dispositivos de diferentes proveedores pueden tener diferentes valores predeterminados para los parámetros IPSec. Ajuste los valores de los parámetros de IPSec según las necesidades reales para asegurarse de que sean iguales en dos de los dispositivos en ambos extremos de un túnel IPSec.
 
l El formato del paquete de detección de par muerto (DPD) compatible con Cisco difiere del formato de paquete DPD predeterminado en el AR. Si DPD está habilitado, debe configurar el formato de paquete DPD en el AR para seq-hash-notification.
 
l Cuando el protocolo IPSec en el AR y su dispositivo proveedor conectado utiliza el algoritmo SHA-2, se puede establecer un túnel IPSec pero el tráfico no se puede transmitir si los modos de cifrado y descifrado SHA-2 en los dos dispositivos son diferentes. Si es así, se recomienda que ejecute el comando de habilitación compatible con sha2 de ipsec en el AR para configurar los modos de cifrado y descifrado SHA-2 para que sean los mismos que los del dispositivo del proveedor.
 
l Si la dirección de origen de una interfaz de túnel es una dirección IP dinámica, se recomienda que configure la fuente como la interfaz de origen para evitar el impacto en la configuración de IPSec debido al cambio de dirección.
 
Requisitos de red
En una red que se muestra en la Figura 1-2, el enrutador AR RouterA funciona como la puerta de enlace secundaria y el enrutador Cisco RouterB funciona como la puerta de enlace de la sede. Se comunican a través de internet.
 
La empresa quiere proteger el tráfico transmitido a través de Internet entre la sucursal y la sede de la empresa. Se puede establecer un túnel IPSec entre la puerta de enlace de la sede y la puerta de enlace de la sucursal para proteger la comunicación entre la sede y la sucursal a través de Internet. Si es necesario proteger una gran cantidad de flujos de datos mediante IPSec, se recomienda que el túnel IPSec se establezca mediante interfaces de túnel virtual (VT). No es necesario crear reglas de ACL para definir las características del tráfico a proteger.
 
Figura 1-2 Establecimiento de un túnel IPSec entre un gateway de sucursal (AR) y el gateway de la sede (router de Cisco) mediante interfaces VT.
 
051319d4zppxake64gta3r.png?image.png 
Plan de datos
Antes de la configuración, planifique los datos de acuerdo con la Tabla 1-1. Los datos en la Tabla 1-16 se usan solo como referencia.
 

 
Procedimiento de configuración
1 Configurando RouterA (Router AR)
Mapa de configuración
 
1. Configure una dirección IP y una ruta estática en cada interfaz para implementar la comunicación entre ambos extremos.
 051326q6g5jhmg50rg00h5.png?image.png


2. Configure una propuesta de IPSec para definir el método de protección de tráfico.
 
3. Configure un interlocutor IKE y defina los atributos utilizados para la negociación IKE.
 
4. Configure un perfil de IPSec y vincule la propuesta de IPSec y IKE al perfil de IPSec para definir los flujos de datos a proteger y el método de protección.
 
5. Aplique el perfil IPSec a la interfaz del túnel para que la interfaz del túnel pueda proteger el tráfico.
 
Procedimiento:
Paso 1 Configure una dirección IP y una ruta estática en cada interfaz para implementar la comunicación entre ambos extremos a través de Internet.
 
<Huawei> system-view   
[Huawei] sysname RouterA   
[RouterA] interface gigabitethernet 1/0/0   
[RouterA-GigabitEthernet1/0/0] ip address 1.1.2.10 255.255.255.0   
[RouterA-GigabitEthernet1/0/0] quit   
[RouterA] interface gigabitethernet 2/0/0   
[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0   
[RouterA-GigabitEthernet2/0/0] quit   
[RouterA] ip route-static 0.0.0.0 0.0.0.0 1.1.2.1
 
Paso 2 Configure una interfaz de túnel y configure el tipo de túnel en IPSec.
 
[RouterA] interface Tunnel0/0/0   
[RouterA-Tunnel0/0/0] ip address 10.2.1.2 255.255.255.0   
[RouterA-Tunnel0/0/0] tunnel-protocol ipsec   
[RouterA-Tunnel0/0/0] source gigabitethernet 1/0/0   
[RouterA-Tunnel0/0/0] destination 1.1.1.10   
[RouterA-Tunnel0/0/0] quit
 
Paso 3 Configure las rutas dinámicas a la dirección de red privada del par.
 
[RouterA] ospf 2
Área [RouterA-ospf-2] 0.0.0.0
[RouterA-ospf-2-area-0.0.0.0] red 10.1.1.0 0.0.0.255
[RouterA-ospf-2-area-0.0.0.0] red 10.2.1.0 0.0.0.255
 
Paso 4 Configure una propuesta de IKE, un par de IKE y una propuesta de IPSec, y configure los parámetros de negociación de IPSec.
 
# Configure an IKE proposal.
[RouterA] ike proposal 5   
[RouterA-ike-proposal-5] encryption-algorithm aes-cbc-128  
[RouterA-ike-proposal-5] authentication-algorithm sha1  
[RouterA-ike-proposal-5] dh group5   
[RouterA-ike-proposal-5] authentication-method pre-share   
[RouterA-ike-proposal-5] quit
# Configure an IKE peer.
[RouterA] ike peer RouterA v1   
[RouterA-ike-peer-RouterA] ike-proposal 5   
[RouterA-ike-peer-RouterA] pre-shared-key cipher huawei@123  
[RouterA-ike-peer-RouterA] dpd type periodic    
[RouterA-ike-peer-RouterA] dpd msg seq-hash-notify  
[RouterA-ike-peer-RouterA] quit
# Configure an IPSec proposal.
[RouterA] ipsec proposal RouterA   
[RouterA-ipsec-proposal-RouterA] transform esp   
[RouterA-ipsec-proposal-RouterA] encapsulation-mode tunnel  
[RouterA-ipsec-proposal-RouterA] esp authentication-algorithm sha1[RouterA-ipsec-proposal-RouterA] esp encryption-algorithm aes-128
 
 
Paso 5 Configure un perfil de IPSec y vincule la propuesta de IPSec y el IKE al perfil de IPSec.
[RouterA] ipsec profile profile1   
[RouterA-ipsec-profile-profile1] ike-peer RouterA   
[RouterA-ipsec-profile-profile1] proposal RouterA   
[RouterA-ipsec-profile-profile1] quit
 
Paso 6 Aplique el perfil IPSec a la interfaz del túnel para que la interfaz del túnel pueda proteger el tráfico.
 
[RouterA] interface tunnel 0/0/0   
[RouterA-Tunnel0/0/0] ipsec profile profile1
----End
 
 
2 Configurando RouterB (Cisco Router)
 
Mapa de configuración
 
1. Configure una dirección IP y una ruta estática en cada interfaz para implementar la comunicación entre ambos extremos.
 
2. Configure una propuesta de IPSec para definir el método de protección de tráfico.
 
3. Configure un interlocutor IKE y defina los atributos utilizados para la negociación IKE.
 
4. Configure un perfil de IPSec y vincule la propuesta de IPSec y IKE al perfil de IPSec para definir los flujos de datos a proteger y el método de protección.
 
5. Aplique el perfil IPSec a la interfaz del túnel para que la interfaz del túnel pueda proteger el tráfico.
 
Procedimiento:
 
                      Step 1    Configure an IP address and a static route on each interface to implement communication between both ends over the Internet.
 
RouterB#configure   
RouterB(config)#interface gigabitethernet 0/1   
RouterB(config-if)#ip address 1.1.1.10 255.255.255.0   
RouterB(config-if)#exit   
RouterB(config)#interface gigabitethernet 0/2   
RouterB(config-if)#ip address 10.3.1.1 255.255.255.0   
RouterB(config-if)#exit  
RouterB(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1
 
Paso 2 Configure una interfaz de túnel y configure el tipo de túnel en IPSec.
RouterB(config)#interface tunnel 0   
RouterB(config-if)#ip address 10.2.1.1 255.255.255.0   
RouterB(config-if)#tunnel mode ipsec ipv4  
RouterB(config-if)#tunnel source gigabitethernet0/1   
RouterB(config-if)#tunnel destination 1.1.2.10  
RouterB(config-if)#exit
Paso 3 Configure las rutas dinámicas a la dirección de red privada del par.
 
RouterB(config)#RouterB ospf 2  
RouterB(config-RouterB)#network 10.2.1.0 0.0.0.255 area 0  
RouterB(config-RouterB)#network 10.3.1.0 0.0.0.255 area 0  
RouterB(config-RouterB)#exit
 
Paso 4 Configure una propuesta de IKE, un par de IKE y una propuesta de IPSec, y configure los parámetros de negociación de IPSec.
 
# Configure an IKE proposal.
RouterB(config)#crypto isakmp policy 10    
RouterB(config-isakmp)#hash sha   
RouterB(config-isakmp)#encryption aes 128   
RouterB(config-isakmp)#group 5   
RouterB(config-isakmp)#authentication pre-share   
RouterB(config-isakmp)#exit
# Set IPSec phase 1 negotiation parameters.
RouterB(config)#crypto isakmp key huawei@123 address 0.0.0.0 no-xauth  
RouterB(config)#crypto isakmp keepalive 10 periodic
# Configure an IPSec proposal.
RouterB(config)#crypto ipsec transform-set tran1 esp-sha-hmac esp-aes 128   
RouterB(cfg-crypto-trans)#mode tunnel   
RouterB(cfg-crypto-trans)#exit
 
 
 
Paso 5 Configure un perfil de IPSec y enlace la propuesta de IPSec al perfil de IPSec
 
RouterB(config)#crypto ipsec profile profile1   
RouterB(ipsec-profile)#set transform-set tran1   
RouterB(ipsec-profile)#exit
 
Paso 6 Aplique el perfil IPSec a la interfaz del túnel para que la interfaz del túnel pueda proteger el tráfico.
 
RouterB(config)#interface tunnel 0   
RouterB(config-if)#tunnel protection ipsec profile profile1   
RouterB(config-if)#exit
 
Verificación
1.  Ejecute la pantalla ike sa y muestre los comandos crypto isakmp sa en el RouterA y en el RouterB. La salida del comando muestra que las SA en la fase 1 y la fase 2 se han establecido con éxito (se utiliza RouterA como ejemplo).
 
[RouterA] display ike sa   
       Conn-ID      Peer           VPN    Flag(s)     Phase   
 ---------------------------------------------------------   
        8          1.1.1.10         0     RD|ST         2   
        6          1.1.1.10         0     RD|ST         1   
 Flag Description:                                                                
 RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT                
 HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
 
 
Se ha establecido con éxito un túnel IPSec entre RouterA y RouterB para proteger el tráfico intercambiado entre ellos.
 
2. Haga ping al host en la sede de los hosts en las sucursales. Las operaciones de ping tienen éxito. Ejecute el comando display ipsec statistics esp para ver las estadísticas de los paquetes IPSec. Los valores de los campos Recuento de resumen de paquetes y Recuento de paquetes de paquetes no son 0, lo que indica que los datos transmitidos entre la sucursal y la oficina central están cifrados.
 
Manejo de excepciones
Cuando no se puede configurar un túnel IPSec, verifique si las rutas son accesibles y si las configuraciones de IPSec en ambos extremos son consistentes.
 
 
 
 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba