El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento explica la configuración inicial del Cisco VPN 5000 Concentrator y muestra cómo conectarse a la red mediante IP y cómo ofrecer conectividad VPN de LAN a LAN de modo principal IPSec.
Puede instalar el concentrador VPN en cualquiera de las dos configuraciones, dependiendo de dónde lo conecte a la red en relación con un firewall. El concentrador VPN tiene dos puertos Ethernet, uno de los cuales (Ethernet 1) sólo pasa tráfico IPSec. El otro puerto (Ethernet 0) enruta todo el tráfico IP. Si planea instalar el concentrador VPN en paralelo con el firewall, debe utilizar ambos puertos para que Ethernet 0 se enfrente a la LAN protegida y Ethernet 1 se enfrente a Internet a través del router de gateway de Internet de la red. También puede instalar el concentrador VPN detrás del firewall en la LAN protegida y conectarlo a través del puerto Ethernet 0, de modo que el tráfico IPSec que pasa entre Internet y el concentrador pase a través del firewall.
No hay requisitos previos específicos para este documento.
La información de este documento se basa en el Cisco VPN 5000 Concentrator.
La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
La forma más sencilla de establecer la conectividad de red básica es conectar un cable serial al puerto de consola en el concentrador VPN y utilizar el software de terminal para configurar la dirección IP en el puerto Ethernet 0. Después de configurar la dirección IP en el puerto Ethernet 0, puede utilizar Telnet para conectarse al concentrador VPN para completar la configuración. También puede generar un archivo de configuración en un editor de texto adecuado y enviarlo al concentrador VPN mediante TFTP.
Al utilizar el software de terminal a través del puerto de la consola, inicialmente se le solicita una contraseña. Utilice la contraseña "letmein". Después de responder con la contraseña, ejecute el comando configure ip ethernet 0, respondiendo a las indicaciones con la información del sistema. La secuencia de avisos debe ser similar a la del siguiente ejemplo.
*[ IP Ethernet 0 ]# configure ip ethernet 0 Section 'ip ethernet 0' not found in the config. Do you want to add it to the config? y Configure parameters in this section by entering: <Keyword> = <Value> To find a list of valid keywords and additional help enter "?" *[ IP Ethernet 0 ]# ipaddress=192.168.233.1 *[ IP Ethernet 0 ]# subnetmask=255.255.255.0 *[ IP Ethernet 0 ]# ipbroadcast=192.168.233.255 *[ IP Ethernet 0 ]# mode=routed *[ IP Ethernet 0 ]#
Ahora está listo para configurar el puerto Ethernet 1.
La información de direccionamiento TCP/IP en el puerto Ethernet 1 es la dirección TCP/IP enrutable a Internet externa que asignó al concentrador VPN. Evite utilizar una dirección en la misma red TCP/IP que Ethernet 0, ya que esto desactivará TCP/IP en el concentrador.
Ingrese los comandos configure ip ethernet 1, respondiendo a las indicaciones con la información del sistema. La secuencia de avisos debe ser similar a la del siguiente ejemplo.
*[ IP Ethernet 0 ]# configure ip ethernet 1 Section 'ip ethernet 1' not found in the config. Do you want to add it to the config? y Configure parameters in this section by entering: <Keyword> = <Value> To find a list of valid keywords and additional help enter "?" *[ IP Ethernet 1 ]# ipaddress=206.45.55.1 *[ IP Ethernet 1 ]# subnetmask=255.255.255.0 *[ IP Ethernet 1 ]# ipbroadcast=206.45.55.255 *[ IP Ethernet 1 ]# mode=routed *[ IP Ethernet 1 ]#
Ahora necesita configurar el gateway IPSec.
El gateway IPSec controla dónde el concentrador VPN envía todo el tráfico IPSec o tunelizado. Esto es independiente de la ruta predeterminada que configure más adelante. Comience ingresando el comando configure general, respondiendo a las indicaciones con la información del sistema. La secuencia de avisos debe ser similar al ejemplo que se muestra a continuación.
* IntraPort2+_A56CB700# configure general Section 'general' not found in the config. Do you want to add it to the config? y Configure parameters in this section by entering: = To find a list of valid keywords and additional help enter "?" *[ General ]# ipsecgateway=206.45.55.2 *[ General ]# exit Leaving section editor. * IntraPort2+_A56CB700#
Nota: En las versiones 6.x y posteriores, el comando ipsecgateway se ha cambiado al comando vpngateway.
Ahora configuremos la política de intercambio de claves de Internet (IKE).
Los parámetros del protocolo de administración de claves de asociación de seguridad de Internet (ISAKMP)/IKE controlan cómo el concentrador VPN y el cliente se identifican y autentican entre sí para establecer sesiones de túnel. Esta negociación inicial se denomina Fase 1. Los parámetros de la Fase 1 son globales para el dispositivo y no están asociados a una interfaz en particular. A continuación se describen las palabras clave reconocidas en esta sección. Los parámetros de negociación de la fase 1 para los túneles de LAN a LAN se pueden establecer en la sección [Tunnel Partner <Section ID>]. La negociación IKE de fase 2 controla cómo el VPN Concentrator y el VPN Client manejan las sesiones de túnel individuales. Los parámetros de negociación IKE de fase 2 para el VPN Concentrator y el VPN Client se establecen en el dispositivo [VPN Group <Name>].
La sintaxis de la política IKE es la siguiente.
Protection = [ MD5_DES_G1 | MD5_DES_G2 | SHA_DES_G1 | SHA_DES_G2 ]
La palabra clave protection especifica un conjunto de protección para la negociación ISAKMP/IKE entre el VPN Concentrator y el VPN Client. Esta palabra clave puede aparecer varias veces dentro de esta sección, en cuyo caso el concentrador VPN propone todos los conjuntos de protección especificados. El cliente VPN acepta una de las opciones para la negociación. La primera parte de cada opción, MD5 (Message Digest 5), es el algoritmo de autenticación utilizado para la negociación. SHA significa algoritmo hash seguro, que se considera más seguro que MD5. La segunda parte de cada opción es el algoritmo de cifrado. DES (estándar de cifrado de datos) utiliza una clave de 56 bits para codificar los datos. La tercera parte de cada opción es el grupo Diffie-Hellman, utilizado para el intercambio de claves. Dado que el algoritmo del grupo 2 (G2) utiliza números más grandes, es más seguro que el grupo 1 (G1).
Para iniciar la configuración, ingrese el comando configure IKE policy, respondiendo a las indicaciones con la información del sistema. Se presenta un ejemplo a continuación:
* IntraPort2+_A56CB700# configure IKE Policy Section 'IKE Policy' was not found in the config. Do you want to add it to the config? y Configure parameters in this section by entering: <Keyword> = <Value> To find a list of valid keywords and additional help enter "?" *[ IKE Policy ] Protection = MD5_DES_G1 *[ IKE Policy ] exit Leaving section editor. * IntraPort2+_A56CB700#
Ahora que ha configurado los conceptos básicos, ha llegado el momento de definir los parámetros de túnel y comunicación IP.
Para configurar el concentrador VPN para que admita conexiones de LAN a LAN, debe definir la configuración del túnel, así como los parámetros de comunicación IP que se utilizarán en el túnel. Hará esto en dos secciones, la sección [Tunnel Partner VPN x] y la sección [IP VPN x]. Para cualquier configuración de sitio a sitio dada, la x definida en estas dos secciones debe coincidir, de modo que la configuración del túnel se asocie correctamente con la configuración del protocolo.
Veamos cada una de estas secciones en detalle.
En la sección partner de túnel, debe definir al menos los ocho parámetros siguientes.
La palabra clave Transform especifica los tipos de protección y algoritmos utilizados para las sesiones de cliente IKE. Cada opción asociada a este parámetro es una pieza de protección que especifica los parámetros de autenticación y cifrado. El parámetro Transform puede aparecer varias veces dentro de esta sección, en cuyo caso el VPN Concentrator propone las piezas de protección especificadas en el orden en que se analizan, hasta que el cliente acepte una para usarla durante la sesión. En la mayoría de los casos, sólo se necesita una palabra clave Transform.
Las opciones para la palabra clave Transform son las siguientes.
[ ESP(SHA,DES) | ESP(SHA,3DES) | ESP(MD5,DES) | ESP(MD5,3DES) | ESP(MD5) | ESP(SHA) | AH(MD5) | AH(SHA) |AH(MD5)+ESP(DES) | AH(MD5)+ESP(3DES) | AH(SHA)+ESP(DES) | AH(SHA)+ESP(3DES) ]
ESP significa Encapsulating Security Payload y AH significa Authentication Header. Ambos encabezados se utilizan para cifrar y autenticar paquetes. DES (estándar de cifrado de datos) utiliza una clave de 56 bits para codificar los datos. 3DES utiliza tres claves diferentes y tres aplicaciones del algoritmo DES para codificar los datos. MD5 es el algoritmo hash del resumen de mensajes 5. SHA es el algoritmo hash seguro, que se considera un poco más seguro que MD5.
ESP(MD5,DES) es el valor predeterminado y se recomienda para la mayoría de las configuraciones. ESP(MD5) y ESP(SHA) utilizan ESP para autenticar paquetes (sin cifrado). AH(MD5) y AH(SHA) utilizan AH para autenticar paquetes. AH(MD5)+ESP(DES), AH(MD5)+ESP(3DES), AH(SHA)+ESP(DES) y AH(SHA)+ESP(3DES) utilizan AH para autenticar paquetes y ESP para cifrar paquetes.
La palabra clave Partner define la dirección IP del otro terminador de túnel en la asociación de túnel. Este número debe ser una dirección IP pública enrutable con la que el concentrador VPN local pueda crear una conexión IPSec.
La palabra clave KeyManage define cómo los dos Concentradores VPN en una asociación de túnel determinan qué dispositivo inicia el túnel y qué tipo de procedimiento de establecimiento de túnel seguir. Las opciones son Auto (Automático), Initiate (Iniciar), Respond (Responder) y Manual (Manual). Puede utilizar las primeras tres opciones para configurar túneles IKE y la palabra clave Manual para configurar túneles de cifrado fijo. Este documento no trata sobre cómo configurar túneles de cifrado fijo. Auto especifica que el partner de túnel puede iniciar y responder a las solicitudes de configuración del túnel. Initiate especifica que el partner de túnel sólo envía solicitudes de configuración de túnel, no les responde. Respond especifica que el partner de túnel responde a las solicitudes de configuración de túnel, pero nunca las inicia.
La palabra clave SharedKey se utiliza como secreto compartido IKE. Debe establecer el mismo valor de SharedKey en ambos partners de túnel.
La palabra clave Mode define el protocolo de negociación IKE. El valor predeterminado es Agresivo, por lo que para configurar el concentrador VPN para el modo de interoperabilidad, debe establecer la palabra clave Mode en Main.
LocalAccess define los números IP a los que se puede acceder a través del túnel, desde una máscara de host a una ruta predeterminada. La palabra clave LocalProto define a qué números de protocolo IP se puede acceder a través del túnel, como ICMP(1), TCP(6), UDP(17), etc. Si desea pasar todos los números IP, debe establecer LocalProto=0. LocalPort determina a qué números de puerto se puede alcanzar a través del túnel. Tanto LocalProto como LocalPort tienen el valor predeterminado de 0 o de acceso completo.
La palabra clave Peer especifica qué subredes se encuentran a través de un túnel. PeerProto especifica qué protocolos se permiten a través del extremo del túnel remoto y PeerPort establece a qué números de puerto se puede acceder en el otro extremo del túnel.
BindTo especifica qué puerto Ethernet termina las conexiones de sitio a sitio. Siempre debe establecer este parámetro en Ethernet 1, excepto cuando el concentrador VPN se está ejecutando en modo de puerto único.
Para configurar estos parámetros, ingrese el comando configure Tunnel Partner VPN 1, respondiendo a las indicaciones con la información de su sistema.
La secuencia de avisos debe ser similar a la del ejemplo siguiente.
*IntraPort2+_A56CB700# configure Tunnel Partner VPN 1 Section ?config Tunnel Partner VPN 1? not found in the config. Do you want to add it to the config? y Configure parameters in this section by entering: = To find a list of valid keywords and additional help enter "?" *[ Tunnel Partner VPN 1 ]# transform=ESP(MD5,DES) *[ Tunnel Partner VPN 1 ]# sharedkey=letmein *[ Tunnel Partner VPN 1 ]# partner=208.203.136.10 *[ Tunnel Partner VPN 1 ]# mode=main *[ Tunnel Partner VPN 1 ]# peer=10.0.0.0/8 *[ Tunnel Partner VPN 1 ]# localaccess=192.168.233.0/24 *[ Tunnel Partner VPN 1 ]# bindto=Ethernet 1 *[ Tunnel Partner VPN 1 ]# exit Leaving section editor.
Ahora es el momento de configurar la sección IP.
Puede utilizar conexiones numeradas o sin numerar (como en la configuración IP en conexiones WAN) en la sección de configuración IP de cada asociación de túnel. Aquí usamos sin numerar.
La configuración mínima para una conexión sitio a sitio sin numerar requiere dos instrucciones: numbered=false y mode=routed. Comience ingresando los comandos configure ip vpn 1 y responda a las indicaciones del sistema como se indica a continuación.
*[ IP Ethernet 0 ]# configure ip vpn 1 Section ?IP VPN 1? not found in the config. Do you want to add it to the config? y Configure parameters in this section by entering: <Keyword> = <Value> To find a list of valid keywords and additional help enter "?" *[ IP VPN 1 ]# mode=routed *[ IP VPN 1 ]# numbered=false
Ahora es el momento de configurar una ruta predeterminada.
Debe configurar una ruta predeterminada que el concentrador VPN puede utilizar para enviar todo el tráfico TCP/IP destinado a redes distintas de las redes a las que está conectado directamente o para las que tiene rutas dinámicas. La ruta predeterminada señala a todas las redes encontradas en el puerto interno. Ya ha configurado Intraport para enviar tráfico IPSec desde y hacia Internet usando el parámetro IPSec Gateway. Para iniciar la configuración de ruta predeterminada, ingrese el comando edit config ip static, respondiendo a las indicaciones con la información del sistema. La secuencia de avisos debe ser similar a la del ejemplo siguiente.
*IntraPort2+_A56CB700# edit config ip static Section 'ip static' not found in the config. Do you want to add it to the config? y Configuration lines in this section have the following format: <Destination> <Mask> <Gateway> <Metric> [<Redist=(RIP|none)>] Editing "[ IP Static ]"... 1: [ IP Static ] End of buffer Edit [ IP Static ]> append 1 Enter lines at the prompt. To terminate input, enter a . on a line all by itself. Append> 0.0.0.0 0.0.0.0 192.168.233.2 1 Append> . Edit [ IP Static ]> exit Saving section... Checking syntax... Section checked successfully. *IntraPort2+_A56CB700#
El último paso es guardar la configuración. Cuando se le pregunte si está seguro de que desea descargar la configuración y reiniciar el dispositivo, escriba y y presione Intro. No apague el concentrador VPN durante el proceso de arranque. Después de que el concentrador se haya reiniciado, los usuarios pueden conectarse mediante el software VPN Client del concentrador.
Para guardar la configuración, ingrese el comando save, como se indica a continuación.
*IntraPort2+_A56CB700# save Save configuration to flash and restart device? y
Si está conectado al concentrador VPN mediante Telnet, el resultado anterior es todo lo que verá. Si está conectado a través de una consola, verá un resultado similar al siguiente, sólo mucho más. Al final de este resultado, el concentrador VPN devuelve "Hello Console..." y solicita una contraseña. Así es como sabes que has terminado.
Codesize => 0 pfree => 462 Updating Config variables... Adding section '[ General ]' to config Adding -- ConfiguredFrom = Command Line, from Console Adding -- ConfiguredOn = Timeserver not configured Adding -- DeviceType = IntraPort2 Adding -- SoftwareVersion = IntraPort2 V4.5 Adding -- EthernetAddress = 00:00:a5:6c:b7:00 Not starting command loop: restart in progress. Rewriting Flash....
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
04-Apr-2008 |
Versión inicial |