Un Red privada virtual (VPN) existe como tecnología ampliamente utilizada para conectar las redes remotas con una red privada principal, simulando un link privado bajo la forma de canal cifrado sobre las líneas públicas. Una red remota puede conectar con una red principal privada como si exista como parte de la red principal privada sin los problemas de seguridad debido a una negociación bifásica que cifre el tráfico VPN de una manera que solamente los puntos finales de VPN sepan desencriptarla.
Esta guía corta proporciona un diseño del ejemplo para construir IPSec sitio a sitio un túnel VPN entre un adaptador de los Servicios integrados de las Cisco 500 Series y un router de la serie de Cisco rv.
• Routeres de la serie de Cisco rv (RV320)
• Adaptadores de los Servicios integrados de las Cisco 500 Series (ISA570)
• [Cisco RV0xx Series VPN Routers] de 4.2.2.08
Diagrama de la red
Las demostraciones siguientes una topología del VPN de sitio a sitio.
IPSec sitio a sitio un túnel VPN se configura y se establece entre el router de la serie de Cisco rv en la oficina remota y las Cisco 500 Series ISA en la oficina principal.
Con esta configuración, un host en LAN 192.168.1.0/24 en la oficina remota y un host en LAN 10.10.10.0/24 en la oficina principal pueden comunicar con uno a con seguridad sobre el VPN.
El Internet Key Exchange (IKE) es el protocolo usado para configurar una asociación de seguridad (SA) en la habitación de Protocolo IPSec. Los emplear IKE el protocolo Oakley, la asociación de la seguridad de Internet, y el Key Management Protocol (ISAKMP), y utilizan a intercambio de claves Diffie-Hellman para configurar un secreto compartido de la sesión, del cual se derivan las claves cifradas.
El Internet Security Association and Key Management Protocol (ISAKMP) se utiliza para negociar el túnel VPN entre dos puntos finales de VPN. Define los procedimientos para la autenticación, la comunicación, y la generación de claves, y es utilizado por el IKE Protocol para intercambiar las claves de encripción y para establecer la conexión segura.
El IP Security Protocol (IPSec) es un Conjunto de protocolos para asegurar las Comunicaciones IP autenticando y cifrando cada paquete del IP de una secuencia de datos. El IPSec también incluye los protocolos para establecer la autenticación recíproca entre los agentes al principio de la sesión y la negociación de las claves cifradas que se utilizarán durante la sesión. El IPSec se puede utilizar para proteger los flujos de datos entre un par de host, los gatewayes, o las redes.
Topología VPN — Una topología del Punto a punto VPN significa que un túnel IPsec asegurado está configurado entre el sitio principal y el sitio remoto.
Los negocios requieren a menudo los sitios remotos múltiples en una topología del multi-sitio, y implementan una topología del hub-and-spoke VPN o la topología de la interconexión total VPN. Una topología del hub-and-spoke VPN significa que los sitios remotos no requieren la comunicación con otros sitios remotos, y cada sitio remoto establece solamente un túnel IPsec asegurado con el sitio principal. Una topología de la interconexión total VPN significa que los sitios remotos requieren la comunicación con otros sitios remotos, y cada sitio remoto establece un tunntel asegurado del IPSec con el sitio principal y el resto de los sitios remotos.
Autenticación VPN — El IKE Protocol se utiliza para autenticar a los pares VPN al establecer un túnel VPN. Los diversos métodos de autenticación IKE existen, y la clave previamente compartida es el método más conveniente. Cisco recomienda el aplicar de una clave previamente compartida fuerte.
Cifrado VPN — Para asegurar la confidencialidad de los datos transportados sobre el VPN, los algoritmos de encripción se utilizan para cifrar el payload de los paquetes del IP. El DES, el 3DES, y el AES son tres normas de encripción comunes. El AES se considera el más seguro cuando está comparado al DES y al 3DES. El cisco altamente recomienda el aplicar de los bits del AES-128 o de un cifrado más alto (e.g., AES-192 y AES-256). Sin embargo, algoritmos de encripción más fuertes requieren más recursos de proceso de un router.
El IP Addressing PÁLIDO dinámico y el servicio de nombre del dominio dinámico (DDNS) — el túnel VPN necesita ser establecido entre dos IP Address públicos. Si los routeres de WAN reciben los IP Address estáticos del Proveedor de servicios de Internet (ISP), el túnel VPN se puede implementar directamente usando los IP Address públicos estáticos. Sin embargo, la mayoría de las Pequeñas empresas utilizan los servicios de Internet de banda ancha rentables tales como DSL o telegrafían, y reciben los IP Address dinámicos de sus ISP. En estos casos, el servicio de nombre del dominio dinámico (DDNS) puede ser utilizado para asociar el IP Address dinámico a un nombre de dominio completo (FQDN).
IP Addressing LAN — El IP Network Address del LAN privado de cada sitio no debe tener ninguna coincidencia. El IP Network Address del valor por defecto LAN en cada sitio remoto debe ser cambiado siempre.
lista de verificación de la PRE-configuración
Paso 1. Conecte un cable Ethernet entre el RV320 y su DSL o módem de cable, y conecte un cable Ethernet entre el ISA570 y su DSL o módem de cable.
Paso 2. Gire el RV320, y después conecte los PC internos, los servidores, y otros dispositivos IP con los puertos LAN del RV320.
Paso 3. Gire el ISA570, y después conecte los PC internos, los servidores, y otros dispositivos IP con los puertos LAN del ISA570.
Paso 4. Aseegurese configurar los IP Address de red en cada sitio en diversas subredes. En este ejemplo, la oficina remota LAN está utilizando 192.168.1.0 y la oficina principal LAN está utilizando 10.10.10.0.
Paso 5. Aseegurese los PC locales pueden conectan con su Routers respectivo, y con otros PC en el mismo LAN.
Usted necesitará saber si su ISP proporciona un IP Address dinámico o un IP Address estático. El ISP proporciona generalmente un IP Address dinámico, pero usted debe confirmar esto antes de completar la configuración del túnel del VPN de sitio a sitio.
Paso 1. Van al VPN > el Gateway al Gateway (véase la imagen)
el A.) ingresa un nombre de túnel, tal como RemoteOffice.
el B.) fijó la interfaz al WAN1.
la C.) fijó cerrar el modo al IKE con la clave del preshared.
IP Address local entrado y IP Address remoto D.).
El gateway PÁLIDO dual del VPN Router de la imagen del gigabit siguiente de las demostraciones RV320 a la página del gateway:
Paso 2. Configuraciones del túnel IPsec de la configuración (véase la imagen)
el A.) fijó el cifrado al 3DES.
el B.) fijó la autenticación al SHA1.
perfecta reserva hacia adelante del control C.).
d.) configurada la clave del preshared (necesidades de ser lo mismo en ambo Routers).
La configuración siguiente del IPSec de las demostraciones (fase 1 y 2):
Nota: Tenga presente que las configuraciones del túnel IPsec a ambos lados IPSec sitio a sitio del túnel VPN deben hacer juego. Si algunas discrepancias existen entre las configuraciones del túnel IPsec del RV320 y el ISA570, ambos dispositivos no podrán negociar la clave de encripción y no poder conectar.
Paso 3. Salvaguardia del tecleo para completar la configuración.
Paso 1. Van al VPN > las políticas IKE (véase la imagen)
el A.) fijó el cifrado a ESP_3DES.
el B.) fijó el hash al SHA1.
la C.) fijó la autenticación a la clave previamente compartida.
la D.) fijó al grupo del D-H al group2 (1024 bits).
La imagen siguiente muestra las políticas IKE:
Paso 2. Van al VPN > el IKE transforman los conjuntos (véase la imagen)
el A.) fijó la integridad a ESP_SHA1_HMAC.
el B.) fijó el cifrado a ESP_DES.
Las demostraciones siguientes IKE transforman los conjuntos:
Paso 3. Van a las directivas VPN > del IPSec > Add > las configuraciones básicas (véase la imagen)