Configuración de Un Túnel IPSec A Través de IPv6
Configuración de Un Túnel IPSec A Través de IPv6
Configuración de Un Túnel IPSec A Través de IPv6
En esta prctica vamos a configurar una VPN (Tnel) IPSec sobre una red IPv6. Para ello usaremos GNS3 y dos routers modelo Cisco 3725 con la IOS c3725-adventerprisek9-mz.12415.T5.bin. La topologa es la siguiente:
En la que los hosts de los extremos estarn simulados con dos mquinas virtuales Windows XP y conectadas a GNS3 mediante dos nubes, una conectada a VMnet1 y la otra a VMnet8. Empezaremos con la configuracin bsica de las interfaces fsicas de R1 (DCE para el enlace serie): R1# conf t R1(config)# ipv6 unicast-routing R1(config)# int fa 0/0 R1(config-if)# ipv6 enable R1(config-if)# ipv6 address 2001:1111:aaaa:1111::1/64 R1(config-if)# no shut R1(config-if)# int s0/0 R1(config-if)# ipv6 enable R1(config-if)# ipv6 address 2001:1111:aaaa:2222::1/64 R1(config-if)# clock rate 64000 R1(config-if)# no shut Y hacemos lo mismo con R2: R2# conf t R2(config)# ipv6 unicast-routing
R2(config)# int fa 0/0 R2(config-if)# ipv6 enable R2(config-if)# ipv6 address 2001:1111:aaaa:333::1/64 R2(config-if)# no shut R2(config-if)# int s0/0 R2(config-if)# ipv6 enable R2(config-if)# ipv6 address 2001:1111:aaaa:2222::2/64 R2(config-if)# no shut Pasamos ahora a configurar el tnel IPSec. Empezamos por R1, en el que configuraremos una poltica IKE y una clave precompartida. Podemos configurar mltiples polticas con diferentes prioridades y los dos extremos del tnel se pondrn de acuerdo en la que van a elegir. En este caso slo crearemos una poltica que ser la misma en los dos extremos: R1(config)# crypto isakmp policy 1 (empezamos la configuracin de una poltica IKE con prioridad 1) R1(config-isakmp-policy)# authentication como modo de autenticacin una clave precompartida) pre-share (establecemos
R1(config-isakmp-policy)# hash md5 (establecemos md5 como algoritmo de hash para garantizar la integridad) R1(config-isakmp-policy)# group 1 (especificamos el identificador de grupo de Diffie-Hellman en la poltica IKE) R1(config-isakmp-policy)# algoritmo de cifrado) encryption 3des (especificamos 3DES como
R1(config-isakmp-policy)# lifetime 86400 (especificamos el tiempo de vida en segundos para la Asociacin de Seguridad, SA, es opcional) R1(config-isakmp-policy)# exit R1(config)# crypto isakmp key 0 cisco address ipv6 2001:1111:aaaa:2222::2/128 (definimos la que ser la clave precompartida, cisco, en texto plano, 0, y la IP del que ser el otro extremo del tnel en formato IPv6) R1(config)# crypto keyring ANILLO (definimos el nombre del Keyring que se usar durante la autenticacin) R1(config-keyring)# pre-shared-key address ipv6 2001:1111:aaaa:2222::2/128 key cisco (definimos la clave precompartida a usar durante la autenticacin IKE)
R1(config-keyring)# exit R1(config)# crypto ipsec transform-set TRANSFORMADA esp-3des (definimos un transform-set, es decir, una combinacin de protocolos y algoritmos que sea aceptable por routers IPSec) R1(cfg-crypto-trans)# crypto ipsec profile PERFIL parmetros que se van a usar para el cifrado IPSec entre los dos routers) R1(ipsec-profile)# set transform-set que se puede usar) R1(ipsec-profile)# exit R1(config)# interface tunnel 0 (empezamos la configuracin de la interfaz virtual tunnel 0) R1(config-if)# ipv6 address 2001:1111:aaaa:4444::1/64 R1(config-if)# ipv6 enable R1(config-if)# tunnel source 2001:1111:aaaa:2222::1 (definimos el origen del tnel, en algunas IOS tambin podemos poner tunnel source serial 0/0) R1(config-if)# tunnel destination 2001:1111:aaaa:2222::2 (definimos el destino del tnel) R1(config-if)# tunnel mode ipsec encapsulamiento para la interfaz tunnel 0) ipv6 (establecemos el modo de transform-set TRANSFORMADA (define los
(especifica el
R1(config-if)# tunnel protection ipsec profile PERFIL (asociamos la interfaz tunnel 0 con el perfil creado anteriormente) R1(config-if)# exit R1(config)# ipv6 route 2001:1111:aaaa:3333::/64 tunnel 0 (configuramos una ruta esttica de forma que todo el trfico que vaya a la red local de la derecha pase por el tnel)
Ahora vamos a realizar la configuracin de R2. R2(config)# crypto isakmp policy 1 (empezamos la configuracin de una poltica IKE con prioridad 1) R2(config-isakmp-policy)# authentication como modo de autenticacin una clave precompartida) pre-share (establecemos
R2(config-isakmp-policy)# hash md5 (establecemos md5 como algoritmo de hash para garantizar la integridad)
R2(config-isakmp-policy)# group 1 (especificamos el identificador de grupo de Diffie-Hellman en la poltica IKE) R2(config-isakmp-policy)# algoritmo de cifrado) encryption 3des (especificamos 3DES como
R2(config-isakmp-policy)# lifetime 86400 (especificamos el tiempo de vida en segundos para la Asociacin de Seguridad, SA, es opcional) R2(config-isakmp-policy)# exit R2(config)# crypto isakmp key 0 cisco address ipv6 2001:1111:aaaa:2222::1/128 (definimos la que ser la clave precompartida, cisco, en texto plano, 0, y la IP del que ser el otro extremo del tnel en formato IPv6) R2(config)# crypto keyring ANILLO (definimos el nombre del Keyring que se usar durante la autenticacin) R2(config-keyring)# pre-shared-key address ipv6 2001:1111:aaaa:2222::1/128 key cisco (definimos la clave precompartida a usar durante la autenticacin IKE) R2(config-keyring)# exit R2(config)# crypto ipsec transform-set TRANSFORMADA esp-3des (definimos un transform-set, es decir, una combinacin de protocolos y algoritmos que sea aceptable por routers IPSec) R2(cfg-crypto-trans)# crypto ipsec profile PERFIL parmetros que se van a usar para el cifrado IPSec entre los dos routers) R2(ipsec-profile)# set transform-set que se puede usar) R2(ipsec-profile)# exit R2(config)# interface tunnel 0 (empezamos la configuracin de la interfaz virtual tunnel 0) R2(config-if)# ipv6 address 2001:1111:aaaa:4444::2/64 R2(config-if)# ipv6 enable R2(config-if)# tunnel source 2001:1111:aaaa:2222::2 (definimos el origen del tnel, en algunas IOS tambin podemos poner tunnel source serial 0/0) R2(config-if)# tunnel destination 2001:1111:aaaa:2222::1 (definimos el destino del tnel) R2(config-if)# tunnel mode ipsec encapsulamiento para la interfaz tunnel 0) ipv6 (establecemos el modo de transform-set TRANSFORMADA (define los
(especifica el
R2(config-if)# tunnel protection ipsec profile PERFIL (asociamos la interfaz tunnel 0 con el perfil creado anteriormente) R2(config-if)# exit R2(config)# ipv6 route 2001:1111:aaaa:1111::/64 tunnel 0 (configuramos una ruta esttica de forma que todo el trfico que vaya a la red local de la izquierda pase por el tnel)
El siguiente paso ser arrancar las dos mquinas virtuales, que pueden ser Windows XP y configurarlas con direcciones IPv6 dentro del segmento correspondiente (la autoconfiguracin funciona sin problemas). Desde una de ellas debemos poder hacer ping a la otra y si capturamos el trfico, veremos que va cifrado.