1 / 45

VPNs IPSec

VPNs IPSec. Índice de Contidos. Introducción Definición de túnel Definición de VPN Obxetivo das VPNs Características das VPNs Tecnoloxías de VPNs: Topoloxías de VPNs Sitio a Sitio Acceso Remoto Framework IPSec Protocolos AH, ESP Modos de funcionamento de IPSec SAs IKE/ISAKMP

tirzah
Download Presentation

VPNs IPSec

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. VPNs IPSec 1

  2. Índice de Contidos Introducción Definición de túnel Definición de VPN Obxetivo das VPNs Características das VPNs Tecnoloxías de VPNs: Topoloxías de VPNs Sitio a Sitio Acceso Remoto Framework IPSec Protocolos AH, ESP Modos de funcionamento de IPSec SAs IKE/ISAKMP Pasos para Configurar unha VPN IPsec Site-to-Site 2

  3. Introducción • Túneles: que permite un túnel? • Permiten conectar un protocolo a través de outro, xerando unha conexión virtual. • Exemplos: • MBone: túneles multicast sobre redes unicast • 6Bone: túneles IPv6 sobre redes IPv4 • Tamén permiten crear redes privadas virtuais ou VPNs (Virtual Private Networks). 3

  4. Introducción • VPNs: que é unha VPN? • Unha VPN é unha rede privada que se crea a través dun túnel sobre unha rede pública, xeralmente Internet para simular unha infraestructura dedicada ou privada. • En lugar de usar unha conexión física dedicada, unha VPN utiliza conexións virtuais enrutadas a través de Internet, unindo un sitio local con un sitio remoto. • Por que unha VPN se define como Virtual? • Porque non son redes reales entre sitios, senon simplemente conexións virtuais xeradas mediante software a través de Internet. • Por que unha VPN se define como Privada? • O tráfico vai cifrado para manter a confidencialidade dos datos. 4

  5. Obxetivo das VPNs • Unha red pódese asegurar empregando: • Métodos de control de acceso (AAA). • Métodos de filtrado (ACLs, CBAC, ZPF …). • Sistema IDS/IPS. • As anteriores medidas protexen a infraestructura de rede (routers, switches, servidores e terminales) de accesos non autorizados. • Pero, cómo se protexen os datos cando atravesan unha rede pública como internet? • A resposta é: a través de métodos criptográficos. • Polo tanto o principal obxetivo é asegurar los datos a medida que viaxan a través de diversos enlaces. • Esto pode incluir o tráfico interno • Pero quizáis o máis preocupante sexa a protección dos datos que viaxan fora da organización: • sucursais, teletraballadores e partners. 5

  6. Características das VPNs • Empregan direccionamento non integrado na rede do ISP, polo tanto é independente da rede pública. • Básanse na creación de túneles. • Os túneles poden conectar usuarios ou oficinas remotas. • Empregan o encapsulamento IP-IPpara simular unha rede privada. • Levan habitualmente asociado requisitos de seguridade (encriptación con IPSec). 6

  7. Tecnoloxías de VPNs • En capa 7: (SSH) • En capa 4: (SSL/TLS) • En capa 3: • GRE e IPSec • Son independentes do medio físico. Mellor opción!! 7

  8. Cisco Generic Routing Encapsulation (GRE, RFC 1701 e 2784) É multiprotocolo e non soporta cifrado,soporta tráfico multicast. IP Security Protocol (IPSec, RFC 2401) É un estándar aberto que consta de varios protocolos, que admite integridade e autenticación (protocolo AH), cifrado (protocolo ESP), pero só para tráfico unicast. Tecnoloxías de VPNs en capa 3 8

  9. Topoloxías VPN • Hai dous tipos básicos de redes VPN: • De sitio a sitio • De acceso remoto • Unha VPN sitio a sitio créase cando os dispositivos en ambos os dous lados da conexión VPN son conscientes da configuración da VPN con antelación. • A VPN permanece estática, e os hosts da rede interna non teñen coñecemento de que existe unha VPN. • Unha VPN de acceso remoto créase cando a información da VPN non se crea estaticamente, senón que a información se intercambia dinamicamente podendo ser activada e desactivada. • Considere a posibilidade dun teletraballador que necesita unha VPN para acceder aos datos corporativos a través de Internet. • O teletraballador non necesita que a conexión VPN estea creada en todo momento. O PC do teletraballador é responsable de establecer a VPN. 9

  10. Topoloxías de VPNs 10

  11. Topoloxías VPN: VPN de sitio a sitio • Unha VPN sitio a sitio é unha extensión dunha rede WAN clásica. Pode conectar a rede dunha sucursal á rede central da empresa. • No pasado, unha liña arrendada ou unha conexión Frame Relay era necesaria para conectar os sitios, pero dado que a maioría das empresas na actualidade teñen acceso a Internet, estas conexións poden ser sustituídas por unha VPN sitio a sitio. • Nunha VPN sitio a sitio, os hosts envían e reciben tráfico TCP/IP a través dun gateway VPN, que pode ser un router, un firewall (PIX, ASA) ou un Concentrador VPN. • O gateway VPN encárgase de encapsular e cifrar o tráfico de saída dun sitio específico e envialo a través dun túnel VPN sobre Internet ó seu "peer" VPN no destino. • Tras a recepción, o "peer" VPN desencapsula as cabeceiras, descifra o contido, e reenvía o paquete cara ao host de destino dentro da súa rede privada. 11

  12. SA: 192.168.1.245 DA: 10.1.1.69 Data SA: 200.1.1.20 DA: 199.1.1.1 SA: 192.168.1.245 DA: 10.1.1.69 Datos Cifrado se usa ESP Topoloxías VPN: VPN de sitio a sitio (Funcionamento) Ping 10.1.1.69 Dirixido a 199.1.1.1 por 200.1.1.20 10.1.1.69 200.1.1.20 199.1.1.1 192.168.1.245 VPN tunnel Internet 192.168.1.1 10.1.1.50 192.168.1.246 10.1.1.0/24 192.168.1.0/24 Oficina remota Oficina central 12

  13. Topoloxías VPN: VPN de acceso remoto • As VPNs de acceso remoto son unha evolución das redes de conmutación de circuítos, como o servizo telefónico (POTS) ou RDSI. Co desenrolo das VPNs, un usuario móbil só necesita acceso a Internet para comunicarse coa oficina central. • As VPN de acceso remoto poden dar soporte ás necesidades dos teletraballadores, os usuarios móbiles, e o tráfico de partners. • As VPN de acceso remoto soportan unha arquitectura cliente/servidor onde un cliente VPN (host remoto) precisa acceso seguro á rede da empresa a través dun dispositivo servidor de VPNs. 13

  14. Topoloxías VPN: VPN de acceso remoto • Nunha VPN de acceso remoto, cada host dispón dun software de cliente de VPNs (disponible para Windows,Linux,MAC). • Cada vez que o host intente enviar tráfico destinado á VPN, o Cliente VPN de Cisco encapsula e cifra o tráfico antes de envialo por Internet ó gateway VPN situado na rede destino. Trala recepción do tráfico, o gateway VPN compórtase do mesmo xeito que para unha VPN sitio a sitio. 14

  15. Framework IPsec • IPsec é un estándar IETF (RFC 2401-2412) que define como se pode configurar unha VPN utilizando o protocolo de direccionamento IP. • IPSec é un marco de estándares abertos que especifica as normas para as comunicacións seguras. Baséase en algoritmos existentes para implementar cifrado, autenticación e intercambio de claves. • IPSec funciona na capa de rede, protexendo e autenticando os paquetes IP entre os dispositivos (peers) IPsec. IPsec pode protexer todo o tráfico de capa de aplicación, transporte e rede. • Todas as implementacións de IPSec envian en texto plano a cabeceira de capa 3, polo que non hai problemas coas tarefas de enrutamento. IPSec funciona sobre calquera protocolo de capa 2, como Ethernet,ATM, Frame Relay, Synchronous Data Link Control (SDLC) e High-Level Data Link Control (HDLC). 15

  16. Framework IPsec • O marco IPsec consta de cinco pilares: • O primeiro representa o protocolo IPsec. As opcións inclúen ESP ou AH. • O segundo representa o tipo de confidencialidade, lévase a cabo utilizando un algoritmo de cifrado como DES, 3DES, AES, ou SEAL. • O terceiro representa a integridade que pode ser implementar utilizando MD5 ou SHA. • O cuarto representa como se establece a autenticación. Os dous métodos son pre-shared ou certificado dixital (usando RSA). • O último grupo representa o algoritmo de DH. Hai catro algoritmos distintos de DH para elixir entre eles DH Grupo 1 (DH1), DH Grupo 2 (DH2), DH Grupo 5 (DH5), e DH Grupo 7 (DH7). O tipo de grupo seleccionado depende das necesidades. • IPsec proporciona o marco, e o administrador elixe os algoritmos que se utilizan para implementar os servizos de seguridade dentro dese marco. Ao non vincular IPsec a algoritmos específicos, permite que se apliquen novos e mellores algoritmos sen ter que parchear os estándares existentes de IPsec. 16

  17. Framework IPsec • IPsec proporciona os seguintes servicios de seguridade: • Confidencialidade - mediante o uso de cifrado (DES, 3DES, AES, SEAL). • Integridade - IPsec garantiza que os datos cheguen sen cambios ó destino empregando un algoritmo de hash como MD5 ou SHA con HMAC. • Autentificación - empleando claves compartidas ou por certificado dixital con autoridade de certificación. • Intercambio seguro de claves - IPsec emprega o algoritmo DH para proporcionar un método de intercambio de claves públicas entre dous “peers”, co obxetivo de establecer unha clave secreta compartida. 17

  18. Framework IPSec: AH e ESP Os dous protocolos principais do marco IPsec son AH e ESP. O protocolo IPsec é o primeiro elemento da construcción da armazón. A elección de AH ou ESP, establece que outros elementos de construcción estarán dispoñibles. AH (Autentication Header, RFC 2402):garantiza que o datagrama foi enviado polo remitente e que non se alterou durante a súa viaxe. Para conseguilo se fai uso das funcións HMAC (integridade + autenticación do orixe dos datos) ESP (Encapsulating Security Payload, RFC 2406):garantiza que o contido non poida ser examinado por terceiros (máis ben que non poida ser interpretado).Opcionalmente pode incluir a función de autentificación de AH. Nota: Ambos AH e ESP, definen unha cabeceira IPSec incluida no paquete a enviar. 18

  19. Framework IPSec: AH e ESP ESP Trailer IP Data (cifrado) ESP Cabeceira AH Cabeceira IP Cabeceira IP HDR AH ESP Data ESP TR 19

  20. Modos de funcionamento de IPSec ESP e AH poden aplicarse ós paquetes IP en dous modos distintos: Modo transporte Proporciona seguridade só para a capa de transporte e superiores. Este modo protexe a carga útil do paquete, pero deixa o enderezo IP orixinal en texto plano (non se cifra a cabeceira IP). Este modo emprégase entre terminais, proporciona comunicación segura de extremo a extremo. Modo túnel Proporciona seguridade para o paquete IP orixinal completo. O paquete IP orixinal cífrase e encapsúlase noutro paquete IP. Isto coñécese como cifrado IP-en-IP. O enderezo IP externo emprégase para enrutar o paquete a través de Internet. Este modo emprégase únicamente entre gateways (routers, firewalls, concentradores), os cales executan pasarelas de seguridade. Permite incorporar IPSec sen tener que modificar os terminais. Ós paquetes se lle añade outra cabeceira IP. 20

  21. Modo transporte Cabeceira IP Datos Cabeceira IP Cabeceira IPSec Datos Cifrado se se usa ESP Cabeceira IP Datos Modo túnel Cabeceira IP Túnel Cabeceira IPSec Cabeceira IP Datos Cifrado se se usa ESP Modos de funcionamento de IPSec 21

  22. Framework IPSec: SAs • Os “gateways” VPN IPSec negocian os parámetros de intercambio de claves, establecen unha clave compartida, autentican ao par, e negocian os parámetros de cifrado. • O acordo ó que chegan dous dispositivos, sobre os parámetros de seguridade negociados, coñécese como unha asociación de seguridade (SA). • As asociacións de seguridade mantéñense dentro dunha base de datos SA (SADB), que é establecida por cada dispositivo. • Unha VPN ten entradas SA que definen os parámetros de cifrado IPsec, os parámetros de intercambio de claves e o tempo de vida. 22

  23. IPSec SA. BBDD IPSec SA.BBDD A to B: ESP/DES/SHA-1 keys K1, K2, ... lifetime=3600s B to A: ESP/DES/SHA-1 keys K6, K7, ... lifetime=3600s A to B: ESP/DES/SHA-1 keys K1, K2, ... lifetime=3600s B to A: ESP/DES/SHA-1 keys K6, K7, ... lifetime=3600s B A SA.BBDD: Security Association Base Datos Framework IPSec: SAs 23

  24. Framework IPSec: IKE/ISAKMP • IPSec utiliza o protocolo Internet Key Exchange (IKE) para establecer o proceso de intercambio de claves, apóiase en DH para realizalo. • IKE funciona sobre UDP, usa o porto 500 de UDP, para o intercambio de información IKE entre os “gateways” de seguridade. Estos paquetes se deben permitir explícitamente nas regras de firewall. • IKE é definido no RFC 2409. É un protocolo híbrido, que combina: • o Protocolo de xestión de SAs (ISAKMP) • e os métodos de intercambio de clave Oakley e Skeme. • ISAKMP define o proceso de negociación para crear unha SA de IPSec. ISAKMP non define como se xestionan ou comparten as claves entre os dous “peers” IPsec. • Oakley e Skeme, é o protocolo encargado de xestionar e compartir a clave (de sesión) apoiándose no algoritmo DH. • Os routers Cisco soportan o Grupo 1 (768 bits), o Grupo 2 (1024 bits), e o grupo 5 (1536 bits). 24

  25. Framework IPSec: IKE/ISAKMP • IKE combina estes protocolos para crear conexións IPsec seguras entre dispositivos. Cada “peer” debe ter parámetros ISAKMP e IPsec idénticos para establecer unha VPN operativa e segura. • Nota: Hay que ter en conta que os termos de ISAKMP e IKE son comunmente utilizados pola "industria" para referirse a IKE. • Como funciona IKE? • Para establecer unha canle de comunicación segura entre dous “peers”, o protocolo IKE execútase en dúas fases: • Fase 1 (IKE SA) – Os dous “peers” establecen un canal autenticado e seguro. Emprégase o intercambio DH para establecer a “clave sesión” que permitirá autenticar ó “peer” de maneira segura. • Fase 2 (IPSec SA) – Establécense SAs adicionais para IPSec. As “claves de sesión” para IPSec derívanse do intercambio DH da fase 1. Se temos habilitada a opción PFS xenéranse novas “claves de sesión” cun novo intercambio DH. Esta SA será a que permita protexer os datos. 25

  26. Framework IPSec: IKE/ISAKMP 26

  27. Diagrama de fluxo IPSec e IKE Comandos IOS: Filtrado de tráfico no Envia sen cifrar access-list 1XX permit Encrypt? si IPsec crypto ipsec transform-set crypto map <name> si Cifra e envia IPsecSA? Keys no ISAKMP/Oakley Negocia IPsec SA con ISAKMP SA crypto isakmp policy si IKE SA? 27

  28. Diagrama de fluxo IPSec e IKE • A negociación de VPNs IPsec implica varios pasos, que inclúen a Fase 1 e a Fase 2 da negociación IKE. • Un túnel IPSec iníciase cando o host A envía tráfico "interesante" ao host B. O tráfico considérase de interese cando viaxa entre "peers" IPsec e cumpre cos criterios que se definen na ACL criptográfica. • A Fase 1 de IKE comeza. Os "peers" IPsec negocian as políticas IKE definidas. Cando os "peers" se autentican, un túnel seguro créase usando ISAKMP. • A Fase 2 de IKE comeza. Os "peers" de IPsec utilizan o túnel seguro autenticado para establecer as SAs negociando os "transform set" IPSec. A negociación dunha política común determina como se establece o túnel IPSec. • O túnel IPSec créase e transfírense os datos entre os "peers" IPsecsobre a base dos parámetros de IPSec configurados nos "transform sets" IPsec. • O túnel IPSec remata cando se suprimen as SAs IPsec ou cando expire a súa vida útil. 28

  29. Diagrama de fluxo IPSec e IKE 29

  30. IKE AH ESP Internet Host A Host B RouterB RouterA B A 10.0.0.1 192.168.0.1 FA0/1 2.2.2.2 FA0/1 1.1.1.1 Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 1: Configurar ACLs compatibles • O primeiro paso na configuración de ISAKMP é garantir que as ACL existentes nos routers, firewalls … non bloqueen o tráfico de IPSec. • Hai que asegurarse de que a ACL está configurada de modo que o tráfico ISAKMP (UDP 500), ESP (número de protocolo IP 50) e AH (número de protocolo IP 51) non se bloquee nas interfaces usadas por IPSec. RouterA# show access-lists (going IN) access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1 access-list 102 permit esp host 2.2.2.2 host 1.1.1.1 access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakmp 30

  31. RouterA(config)# RouterB(config)# crypto isakmp policy 100 authentication rsa-sig hash sha crypto isakmp policy 200 hash md5 authentication pre-share crypto isakmp policy 300 authentication pre-share hash md5 crypto isakmp policy 100 authentication rsa-sig hash sha crypto isakmp policy 200 hash md5 authentication pre-share crypto isakmp policy 300 authentication rsa-sig hash md5 Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 2: Definir os parámetros dentro da política IKE/ISAKMP. • Pódense configurar múltiples políticas de ISAKMP en cada "peer" que participa en IPsec. Cando se configuran as políticas, a cada política débeselle asignar un número de prioridade único. Os números máis pequenos determinan maior prioridade. • Os “peers” da VPN chegan a un acordo cando haxa coincidencia exacta nos parámetros. 31

  32. Pasos para Configurar unha VPN IPsec Site-to-Site Paso 2: Posibles valores da política IKE/ISAKMP 32

  33. IKE AH ESP Internet Host A Host B RouterB RouterA B A 10.0.0.1 192.168.0.1 FA0/1 2.2.2.2 FA0/1 1.1.1.1 Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 2: Para completar esta tarefa debemos determinar as PSKs para autenticar ós “peers” da VPN. • Para configurar unha PSK emprégase o comando de configuración global crypto isakmp key . • Esta clave débese configurar sempre e cando na política IKE/ISAKMP definimos como método de autenticación authentication pre-share. RouterA(config)# crypto isakmp key klave address 2.2.2.2 RouterB(config)# crypto isakmp key klave address 1.1.1.1 33

  34. Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 3: Definición de políticas de seguridade para o trafico • Neste paso débense definir as transformacións permitidas para o tráfico, tamén chamadas “transform set”. Ditas transformacións negocíanse na fase 2 de IKE/ISAKMP, onde os “peers” acordan unha política para protexer un determinado fluxo de datos. • Durante a negociación, os “peers” buscan un “transform set” que teña establecidos os mesmos criterios (combinación de protocolos, algoritmos, modo) en ambos extremos. Cando se encontra coincidencia no “transform set”, seleccionase e aplícase ó tráfico de ambos “peers”. Router(config)# crypto ipsec transform-set transform-set-nametransform1 [transform2 [transform3]] RouterA(config)# crypto ipsec transform-set MYSET esp-aes 128 RouterB(config)# crypto ipsec transform-set MYSET esp-aes 128 34

  35. Internet Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 3: Definición de políticas de seguridade para o trafico RouterB RouterA B A transform-set 40 esp-3des, esp-sha-hmac tunnel transform-set 50 esp-des, ah-sha-hmac tunnel transform-set 60 esp-des tunnel transform-set 10 esp-des, esp-sha-hmac tunnel transform-set 20 esp-des, esp-md5-hmac tunnel transform-set 30 esp-des tunnel Match 35

  36. Paso 3: Configurar a duración da IPSec SA Os tempos de vida de IPSec SA son negociados na fase 2 de IKE. Router(config)# crypto ipsec security-association lifetime 86400 Pasos para Configurar unha VPN IPsec Site-to-Site Router(config)#crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes} 36

  37. Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 4: Definir as Crypto ACLs. • Son ACLs que seleccionan o tráfico que IPsec debe protexer. O tráfico que non se seleccionou envíase en texto plano. • Para a selección empréganse ACLs IP extendidas, que seleccionan o tráfico IP a cifrar basándose no protocolo, na dirección IP ou número de porto. • O significado da sentencia permit especifica que paquetes deben ser cifrados, e deny especifica que paquetes non deben ser cifrados. 37

  38. Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 4: Débense configurar Crypto ACLs simétricas para o uso de IPsec. • Cando un router recibe paquetes cifrados dende un “peer” IPsec, emprega a mesma ACL para determinar que paquetes entrantes descifrará vendo as direccións de orixe e destino da ACL en orden inverso. 38

  39. Tráfico cifrado Crypto map Interface del router Pasos para Configurar unha VPN IPsec Site-to-Site • Os “crypto mapas” son as reglas de mapeado que indican como enviar a información por IPSec, inclúen: • Os filtros para indicar o tráfico interesante (crypto acl) • O “peer” remoto • O set de transoformacións a empregar • Método de administración de claves • Tempo de vida das SA • Paso 5: Configurar o “Crypto map” 39

  40. Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 5: Configurar o “Crypto map” Host A Host B RouterB RouterA B A 10.0.0.1 192.168.0.1 2.2.2.2 Internet RouterA(config)# crypto map mymap 10 ipsec-isakmp RouterA(config-crypto-map)# match address 110 !tráfico interesante RouterA(config-crypto-map)# set peer 2.2.2.2 RouterA(config-crypto-map)# set pfs group1 !especifica DH Group1 RouterA(config-crypto-map)# set transform-set MYSET RouterA(config-crypto-map)# set security-association lifetime 86400 40

  41. Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 5: Aplicar o “Crypto map” • O “crypto map”, aplícase á interfaz de saída del túnel usando el comando cryptomap, no modo de configuración de interfaz. • Todo o tráfico IP que pasa a través da interfaz onde se aplica o “crypto map” evalúase contra a regras configuradas no “crypto map”. 41

  42. Pasos para Configurar unha VPN IPsec Site-to-Site • Paso 5: Comandos de TSHOOT 42

  43. Exemplo: Configuración completa de ROUTER A RouterA(config)#crypto isakmp enable RouterA(config)#crypto ipsec transform-set MYSET esp-des RouterA(config)#access-list 110 permit tcp 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255 RouterA(config)#crypto map MYMAP 10 ipsec-isakmp RouterA(config-crypto-map)#match address 110!!Identifica o tráfico interesante RouterA(config-crypto-map)#set peer 2.2.2.2 RouterA(config-crypto-map)#set transform-set MYSET RouterA(config)#access-list 101 permit ahp host 1.1.1.1 host 2.2.2.2 RouterA(config)#access-list 101 permit esp host 1.1.1.1 host 2.2.2.2 RouterA(config)#access-list 101 permit udp host 1.1.1.1 host 2.2.2.2 eq isakmp RouterA(config)#interface Fa0/1 RouterA(config-if)#ip address 1.1.1.1 255.255.255.0 RouterA(config-if)#crypto mapMYMAP RouterA(config-if)#ip access-group 101 in RouterA(config)#crypto isakmp key cisco1234 address 2.2.2.2 RouterA(config)#crypto isakmp policy 100 RouterA(config-isakmp)#hash md5 RouterA(config-isakmp)#authentication pre-share 43

  44. Exemplo: Configuración completa de ROUTER B RouterB(config)#crypto isakmp enable RouterB(config)#crypto ipsec transform-set MYSET esp-des RouterB(config)#access-list 110 permit tcp 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255 RouterB(config)#crypto map MYMAP 10 ipsec-isakmp RouterB(config-crypto-map)#match address 110!!Identifica o tráfico interesante RouterB(config-crypto-map)#set peer 1.1.1.1 RouterB(config-crypto-map)#set transform-set MYSET RouterB(config)#access-list 101 permit ahp host 2.2.2.2 host 1.1.1.1 RouterB(config)#access-list 101 permit esp host 2.2.2.2 host 1.1.1.1 RouterB(config)#access-list 101 permit udp host 2.2.2.2 host 1.1.1.1 eq isakmp RouterB(config)#interface Fa0/1 RouterB(config-if)#ip address 2.2.2.2 255.255.255.0 RouterB(config-if)#crypto mapMYMAP RouterB(config-if)#ip access-group 101 in RouterB(config)#crypto isakmp key cisco1234 address 1.1.1.1 RouterB(config)#crypto isakmp policy 100 RouterB(config-isakmp)#hash md5 RouterB(config-isakmp)#authentication pre-share 44

  45. Contacto • Miguel Ángel Valencia Rodríguez PEN Consultoría y Formación Grupo Academia Postal Instructor do Programa “Cisco Networking Academy” E-mail: miguel.valencia@academiapostal.es 45

More Related