De acuerdo

Uso de IPSec VPN para implementar una interconexión segura entre LAN

389 0 6 0 0

La sede y las sucursales de una empresa están interconectadas de diversas formas.

 

VPN de sitio a sitio con IPSec

Una VPN de sitio a sitio, también llamada VPN de LAN a LAN o VPN de puerta de enlace a puerta de enlace, se utiliza para configurar un túnel IPSec entre dos puertas de enlace, implementando el acceso seguro de las LAN. La Figura 1 muestra una red VPN IPSec típica de sitio a sitio.

 

Figura 1 Red VPN IPSec típica de sitio a sitio


e1


Esta red requiere que dos puertas de enlace en ambos extremos del túnel tengan direcciones IP fijas o nombres de dominios fijos, y ambas partes puedan iniciar una conexión.

 

NOTA:

l  Un router puede servir como puerta de enlace IPSec y puerta de enlace NAT.

l  Cuando existe un dispositivo NAT entre dos puertas de enlace IPSec, los enrutadores admiten el cruce de NAT IPSec.



VPN de sitio a sitio: L2TP sobre IPSec

L2TP sobre IPSec encapsula paquetes usando L2TP antes de transmitirlos usando IPSec. L2TP e IPSec se utilizan juntos para permitir que las sucursales accedan de forma segura a las VPN marcando el LAC. Las sucursales utilizan L2TP para marcar el LAC y obtener direcciones IP privadas en la red de la sede. IPSec se utiliza para garantizar la seguridad de las comunicaciones durante este proceso.


La figura 2 muestra una red para que la sucursal acceda a la sede a través de un túnel L2TP sobre IPSec. Las interfaces de salida del LAC (FW_A) y el servidor de red L2TP (LNS) (FW_B) tienen direcciones IP fijas. Un usuario de la sucursal marca FW_A a través de PPPoE. FW_A luego inicia una solicitud de configuración de túnel a FW_B a través de Internet. Se configura un L2TP sobre IPSec entre FW_A y FW_B. Luego, FW_A autentica al usuario, y FW_B también puede autenticar al usuario nuevamente después de que FW_A lo autentica con éxito. Una vez que FW_B autentica correctamente al usuario, FW_B le asigna una dirección IP privada.

 

Figura 2 Sucursal que accede a la sede a través de un túnel L2TP sobre IPSec


e2


VPN de sitio a sitio: GRE sobre IPSec

La encapsulación de enrutamiento genérico (GRE) es un protocolo de túnel genérico que encapsula paquetes de multidifusión, difusión y no IP. GRE, sin embargo, proporciona solo autenticación de contraseña simple pero no encriptación de datos y, por lo tanto, no puede garantizar la seguridad de la transmisión de datos. IPSec proporciona una alta seguridad en la transmisión de datos, pero no puede encapsular paquetes de multidifusión, difusión o que no sean IP. Aprovechando las ventajas de GRE e IPSec, GRE sobre IPSec encapsula paquetes de multidifusión, difusión y no IP en paquetes IP comunes. Por ejemplo, para realizar una videoconferencia entre una sucursal y la oficina central, use GRE sobre IPSec para transmitir el tráfico del servicio en una VPN IPSec.

 

La Figura 3 muestra un túnel GRE típico sobre una red VPN IPSec.

 

Figura 3 Túnel GRE típico sobre red VPN IPSec


e3


GRE sobre IPSec admite los modos de transporte y encapsulación de túnel. En comparación con el modo de transporte, el modo de túnel agrega un encabezado IPSec adicional, lo que hace que el paquete sea más largo y sea más probable que se fragmente. Por lo tanto, se recomienda GRE sobre IPSec en modo de transporte.

 

Sitio a multisite (Hub-Spoke VPN)

En la mayoría de los casos, las oficinas centrales de una empresa están conectadas a múltiples sucursales a través de túneles VPN IPSec. La Figura 4 muestra una red VPN IPSec Hub-Spoke.

 

Figura 4 Red VPN IPSec Hub-Spoke


e4


La sede tiene una dirección IP pública fija o un nombre de dominio fijo. Las sucursales admiten direcciones IP públicas estáticas o dinámicas y direcciones IP privadas. El tráfico de datos se transmite en los siguientes escenarios:


l  Las sucursales no necesitan comunicarse entre sí.

Implemente IPSec VPN entre la sede y las sucursales.

 

l  Las sucursales necesitan comunicarse entre sí.

Si las sucursales acceden a Internet utilizando direcciones IP públicas dinámicas, la VPN IPSec tradicional hará que las sucursales no se comuniquen directamente entre sí. Los datos de comunicación entre sucursales deben enviarse a través de la sede. Esto consume la CPU y los recursos de memoria del concentrador (FW_C). Además, la sede debe encapsular y desencapsular el tráfico entre sucursales, lo que provoca un retraso adicional en la red.


Para resolver este problema, implemente Dynamic Smart VPN (DSVPN) para configurar túneles VPN entre sucursales usando direcciones IP dinámicas. Sin embargo, los túneles GRE multipunto (mGRE) no tienen la función de encriptación y no pueden garantizar la seguridad de las comunicaciones. Para lograr la seguridad de las comunicaciones, vincule DSVPN con el frame de seguridad IPSec, es decir, implemente DSVPN sobre IPSec.

 

Saludos.

 

FIN.


También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.