Configuración del asistente de configuración de VPN en el RV160 y el RV260

Opciones de descarga

PDF (4.1 MB)
Visualice con Adobe Reader en una variedad de dispositivos

Actualizado:4 de enero de 2019

ID del documento:1546639783270485

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Objetivo

Este documento muestra cómo configurar el asistente de configuración de VPN en el RV160 y el RV260.

Introducción

La tecnología ha evolucionado y, a menudo, los negocios se llevan a cabo fuera de la oficina. Los dispositivos son más móviles y los empleados suelen trabajar desde casa o mientras viajan. Esto puede provocar algunas vulnerabilidades de seguridad. Una red privada virtual (VPN) es una forma excelente de conectar a los trabajadores remotos a una red segura. Una VPN permite que un host remoto actúe como si estuviera conectado a la red segura in situ.

Una VPN establece una conexión cifrada a través de una red menos segura como Internet. Garantiza el nivel de seguridad adecuado para los sistemas conectados. Un túnel se establece como una red privada que puede enviar datos de forma segura mediante el uso de técnicas de cifrado y autenticación estándar del sector para proteger los datos enviados. Una VPN de acceso remoto suele depender de Seguridad de protocolo de Internet (IPsec) o de Capa de socket seguro (SSL) para proteger la conexión.

Las VPN proporcionan acceso de capa 2 a la red de destino; Para ello, es necesario un protocolo de túnel como el protocolo de túnel punto a punto (PPTP) o el protocolo de túnel de capa 2 (L2TP) que se ejecute a través de la conexión IPsec base. La VPN IPsec admite VPN de sitio a sitio para un túnel de gateway a gateway. Por ejemplo, un usuario puede configurar un túnel VPN en una sucursal para conectarse al router en el sitio corporativo, de modo que la sucursal pueda acceder de forma segura a la red corporativa. VPN IPsec también admite VPN de cliente a servidor para el túnel de host a gateway. La VPN cliente-servidor es útil cuando se conecta desde un ordenador portátil/PC desde casa a una red corporativa a través del servidor VPN.

El router serie RV160 admite 10 túneles y el router serie RV260 admite 20 túneles. El asistente de configuración de VPN guía al usuario a la hora de configurar una conexión segura para un túnel IPsec de sitio a sitio. Esto simplifica la configuración al evitar parámetros complejos y opcionales, por lo que cualquier usuario puede configurar el túnel IPsec de una manera rápida y eficiente.

Dispositivos aplicables

·RV160

·RV260

Versión del software

·1.0.0.13

Configuración del asistente de configuración de VPN en el router local

Paso 1. Inicie sesión en la página de configuración web del router local.

Nota: Haremos referencia al router local como Router A y al router remoto como Router B. En este documento, utilizaremos dos RV160 para demostrar el asistente de configuración de VPN.

Paso 2. Navegue hasta VPN > VPN Setup Wizard.

Paso 3. En la sección Introducción, ingrese un nombre de conexión en el campo Ingrese un nombre de conexión. Entramos en HomeOffice como nombre de conexión.

Paso 4. En el campo Interfaz, seleccione una interfaz de la lista desplegable si utiliza un RV260. El RV160 sólo tiene un enlace WAN, por lo que no podrá seleccionar una interfaz de la lista desplegable. Haga clic en Next para continuar con la sección Remote Router Settings.

Paso 5. Seleccione un tipo de conexión remota en la lista desplegable. Seleccione Static IP o FQDN (Fully Qualified Domain Name) y, a continuación, introduzca la dirección IP de WAN o el FQDN del gateway que desea conectar en el campo Remote Address. En este ejemplo, se seleccionó Static IP y se ingresó la dirección IP de WAN del router remoto (Router B). A continuación, haga clic en Siguiente para pasar a la siguiente sección.

Paso 6. En la sección Red Local y Remota, en la Selección de Tráfico Local, seleccione la IP Local (Subred, Única o Cualquiera) de la lista desplegable. Si selecciona Subnet, introduzca la dirección IP y la máscara de subred. Si selecciona Single, introduzca una dirección IP. Si se seleccionó Any, vaya al siguiente paso para configurar la Selección de tráfico remoto.

Paso 7. En la Selección de tráfico remoto, seleccione la IP remota (Subred, Única, o Any) de la lista desplegable. Si selecciona Subnet, introduzca la dirección IP de subred y la máscara de subred del router remoto (router B). Si selecciona Single, introduzca la dirección IP. A continuación, haga clic en Next para configurar la sección Profile.

Nota: Si ha seleccionado Any para Local Traffic Selection, debe seleccionar Subnet o Single para Remote Traffic Selection.

Paso 8. En la sección Perfil, seleccione un nombre para el perfil IPsec de la lista desplegable. Para esta demostración, se seleccionó new-profile como perfil IPsec.

Paso 9. Elija IKEv1 (Intercambio de claves de Internet versión 1) o IKEv2 (Intercambio de claves de Internet versión 2) como su versión IKE. IKE es un protocolo híbrido que implementa el intercambio de claves Oakley y el intercambio de claves Skeme dentro del marco de la Asociación de seguridad de Internet y el Protocolo de administración de claves (ISAKMP). IKE proporciona autenticación de los pares IPsec, negocia las claves IPsec y negocia las asociaciones de seguridad IPsec. IKEv2 es más eficiente porque toma menos paquetes para realizar el intercambio de claves y admite más opciones de autenticación, mientras que IKEv1 solo realiza la autenticación basada en certificados y claves compartidas. En este ejemplo, IKEv1 fue seleccionado como nuestra versión IKE.

Nota: Si el dispositivo admite IKEv2, se recomienda utilizar IKEv2. Si los dispositivos no admiten IKEv2, utilice IKEv1. Ambos routers (local y remoto) deben utilizar la misma versión IKE y la misma configuración de seguridad.

Paso 10. En la sección Opciones de fase 1, seleccione un grupo DH (Diffie-Hellman) (Grupo 2 - 1024 bits o Grupo 5 - 1536 bits) en la lista desplegable. DH es un protocolo de intercambio de claves, con dos grupos de longitudes de clave principal diferentes: El Grupo 2 tiene hasta 1.024 bits y el Grupo 5 hasta 1.536 bits. Utilizaremos el Grupo 2 - 1024 bits para esta demostración.

Nota: Para una mayor velocidad y menor seguridad, elija Grupo 2. Para una mayor velocidad y mayor seguridad, elija Grupo 5. El Grupo 2 está seleccionado de forma predeterminada.

Paso 11. Seleccione una opción de encriptación (3DES, AES-128, AES-192 o AES-256) en la lista desplegable. Este método determina el algoritmo utilizado para cifrar o descifrar paquetes de carga de seguridad de encapsulación (ESP)/protocolo ISAKMP (Internet Security Association and Key Management Protocol). El triple estándar de cifrado de datos (3DES) utiliza el cifrado DES tres veces, pero ahora es un algoritmo heredado. Esto significa que solo debe utilizarse cuando no haya alternativas mejores, ya que sigue proporcionando un nivel de seguridad marginal pero aceptable. Los usuarios solo deben utilizarlo si es necesario para mantener la compatibilidad con versiones anteriores, ya que es vulnerable a algunos ataques de "colisión de bloques". Estándar de cifrado avanzado (AES) es un algoritmo criptográfico diseñado para ser más seguro que DES. AES utiliza un tamaño de clave mayor que garantiza que el único método conocido para descifrar un mensaje es que un intruso pruebe todas las claves posibles. Se recomienda utilizar AES en lugar de 3DES. En este ejemplo, utilizaremos AES-192 como opción de encriptación.

Nota: Estos son algunos recursos adicionales que pueden ayudar: Configuración de la seguridad para VPN con IPSec y cifrado Next Generation.

Paso 12. El método de autenticación determina cómo se validan los paquetes de encabezado del protocolo de carga de seguridad de encapsulación (ESP). MD5 es un algoritmo de hashing unidireccional que produce un resumen de 128 bits. El SHA1 es un algoritmo de hashing unidireccional que produce un resumen de 160 bits mientras que el SHA2-256 produce un resumen de 256 bits. Se recomienda SHA2-256 porque es más seguro. Asegúrese de que ambos extremos del túnel VPN utilizan el mismo método de autenticación. Seleccione una autenticación (MD5, SHA1 o SHA2-256). SHA2-256 se seleccionó para este ejemplo.

Paso 13. El tiempo de vida de SA (seg) le indica la cantidad de tiempo, en segundos, que una SA IKE está activa en esta fase. Se negocia una nueva asociación de seguridad (SA) antes de que caduque el período de duración para garantizar que una nueva SA está lista para utilizarse cuando caduque la anterior. El valor predeterminado es 28800 y el rango va de 120 a 86400. Utilizaremos el valor predeterminado de 2800 segundos como nuestro tiempo de vida de SA para la fase I.

Nota: Se recomienda que su vida útil de SA en la Fase I sea mayor que su vida útil de SA en la Fase II. Si hace que su fase I sea más corta que la fase II, tendrá que renegociar el túnel de ida y vuelta con frecuencia en lugar del túnel de datos. El túnel de datos es lo que necesita más seguridad, por lo que es mejor tener una vida útil en la fase II más corta que la fase I.

Paso 14. Ingrese la clave previamente compartida que se utilizará para autenticar el par IKE remoto. Puede introducir hasta 30 caracteres de teclado o valores hexadecimales, como My_@123 o 4d795f40313233. Ambos extremos del túnel VPN deben utilizar la misma clave precompartida.

Nota: Le recomendamos que cambie la clave precompartida periódicamente para maximizar la seguridad de VPN.

Paso 15. En la sección Opciones de Fase II, seleccione un protocolo de la lista desplegable.

· ESP: Seleccione ESP para el cifrado de datos e introduzca el cifrado.

· AH: seleccione esta opción para integridad de datos en situaciones en las que los datos no son secretos pero deben autenticarse.

Paso 16. Seleccione una opción de encriptación (3DES, AES-128, AES-192 o AES-256) en la lista desplegable. Este método determina el algoritmo utilizado para cifrar o descifrar paquetes de carga de seguridad de encapsulación (ESP)/protocolo ISAKMP (Internet Security Association and Key Management Protocol). El triple estándar de cifrado de datos (3DES) utiliza el cifrado DES tres veces, pero ahora es un algoritmo heredado. Esto significa que solo debe utilizarse cuando no haya alternativas mejores, ya que sigue proporcionando un nivel de seguridad marginal pero aceptable. Los usuarios solo deben utilizarlo si es necesario para mantener la compatibilidad con versiones anteriores, ya que es vulnerable a algunos ataques de "colisión de bloques". Estándar de cifrado avanzado (AES) es un algoritmo criptográfico diseñado para ser más seguro que DES. AES utiliza un tamaño de clave mayor que garantiza que el único método conocido para descifrar un mensaje es que un intruso pruebe todas las claves posibles. Se recomienda utilizar AES en lugar de 3DES. En este ejemplo, utilizaremos AES-192 como opción de encriptación.

Nota: Estos son algunos recursos adicionales que pueden ayudar: Configuración de la seguridad para VPN con IPSec y cifrado Next Generation.

Paso 17. El método de autenticación determina cómo se validan los paquetes de encabezado del protocolo de carga de seguridad de encapsulación (ESP). MD5 es un algoritmo de hashing unidireccional que produce un resumen de 128 bits. El SHA1 es un algoritmo de hashing unidireccional que produce un resumen de 160 bits mientras que el SHA2-256 produce un resumen de 256 bits. Se recomienda SHA2-256 porque es más seguro. Asegúrese de que ambos extremos del túnel VPN utilizan el mismo método de autenticación. Seleccione una autenticación (MD5, SHA1 o SHA2-256). SHA2-256 se seleccionó para este ejemplo.

Paso 18. Introduzca el tiempo de vida de SA (seg), que es la cantidad de tiempo, en segundos, que un túnel VPN (SA IPsec) está activo en esta fase. El valor predeterminado para la fase 2 es de 3600 segundos.

Paso 19. Cuando se habilita Perfect Forward Secrecy (PFS), la negociación IKE Phase 2 genera nuevo material de claves para el cifrado y la autenticación del tráfico IPsec. Perfect Forward Secrecy (Confidencialidad directa perfecta) se utiliza para mejorar la seguridad de las comunicaciones transmitidas a través de Internet mediante criptografía de clave pública. Marque la casilla para activar esta función o desactívela para desactivarla. Se recomienda esta función. Si está marcado, seleccione un grupo DH. En este ejemplo se utiliza Group2 - 1024 bit.

Paso 20. En Guardar como nuevo perfil, ingrese un nombre para el nuevo perfil que acaba de crear. Haga clic en Next para ver el resumen de su configuración VPN.

Paso 21. Compruebe la información y haga clic en Enviar.

Configuración del asistente de configuración de VPN en el router remoto

En el router remoto, debe configurar los mismos parámetros de seguridad que el router local, pero utilizar la dirección IP del router local como tráfico remoto.

Paso 1. Inicie sesión en la página de configuración web del router remoto (Router B) y navegue hasta VPN > VPN Setup Wizard.

Paso 2. Introduzca un nombre de conexión y seleccione la interfaz que se utilizará para la VPN si utiliza un RV260. El RV160 solo tiene un enlace WAN, por lo que no podrá seleccionar una interfaz del menú desplegable. A continuación, haga clic en Siguiente para continuar.

Paso 3. En Remote Router Settings, seleccione el Remote Connection Type y luego ingrese la dirección IP de WAN del Router A. A continuación, haga clic en Next para continuar con la siguiente sección.

Paso 4. Seleccione el tráfico local y remoto. Si ha seleccionado Subred en el campo Selección de tráfico remoto, introduzca la subred de direcciones IP privadas del router A. A continuación, haga clic en Next para configurar la sección Profile.

Paso 5. En la sección Perfil, seleccione los mismos ajustes de seguridad que el Router A. También hemos introducido la misma clave precompartida que el router A. A continuación, haga clic en Siguiente para ir a la página Resumen.

Opciones de la fase I:

Opciones de la fase II:

Paso 6. En la página Resumen, verifique que la información que acaba de configurar es correcta. A continuación, haga clic en Submit para crear su VPN de sitio a sitio.

Nota: Todas las configuraciones que el router está utilizando actualmente se encuentran en el archivo de configuración en ejecución, que es volátil y no se conserva entre reinicios. Para conservar la configuración entre reinicios, asegúrese de copiar el archivo de configuración en ejecución en el archivo de configuración de inicio después de haber completado todos los cambios. Para ello, haga clic en el botón Save que aparece en la parte superior de la página o vaya a Administration > Configuration Management. Luego, asegúrese de que el Origen sea Configuración en Ejecución y que el Destino sea Configuración de Inicio. Haga clic en Apply (Aplicar).

Conclusión

Debe haber configurado correctamente una VPN de sitio a sitio mediante el asistente de configuración de VPN. Siga estos pasos para verificar que su VPN de sitio a sitio está conectada.

Paso 1. Para verificar que se ha establecido la conexión, debe ver el estado Conectado cuando navegue hasta VPN > VPN IPSec > Sitio a Sitio.

Paso 2. Navegue hasta Estado y Estadísticas > Estado de VPN y asegúrese de que el túnel de Sitio a Sitio esté Habilitado y ACTIVO.

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)