CAPITULO VII: GUIA DE USUARIO PARA CONFIGURAR IPSEC Y MPLS EN DOS ROUTER CISCO, Y CREAR UNA VPN EN INTERNET,

PARA LAS EMPRESAS. Este documento tiene como propsito presentar una gua de configuracin de IPSec y MPLS en dos router cisco, para que facilite a las empresas la implementacin de cada uno de los protocolos segn la necesidad que estas tengan. Tambin se pretende presentar una gua tcnica para fines acadmicos, para aumentar el conocimiento cientfico de los estudiantes en el rea de informtica. Esta gua contiene los pasos a seguir para la configuracin de IPSec y MPLS, lo cual se recomienda tener conocimientos tericos y prcticos sobre router cisco, para la debida interpretacin de esta. As mismo se recomienda a las empresas que utilicen esta gua, que no es absoluta ni nica ya que puede variar su contenido de acuerdo a las necesidades tcnicas de las empresas, por lo que se puede enriquecer o contrastar con otras guas de configuracin, como los que proporciona cisco www.cisco.com.

7.1.- CONFIGURACIN DE IPSEC ENTRE DOS ROUTER CISCO Y UNA VPN EN INTERNET.

CONTENIDO
7.1.1- INTRODUCCIN. 7.1.2- PRERREQUISITOS. 7.1.3- COMPONENTES DE USO. 7.1.4- DESCRIPCIN 7.1.5- DIAGRAMA DE RED. 7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN MIGUEL. 7.1.7- PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN SALVADOR. 7.1.8- CONSOLA HYPER TERMINAL DE WINDOWS. 7.1.9- CONFIGURACIN IPSEC ROUTER 2610 SAN MIGUEL. 7.1.10- CONFIGURACIN IPSEC ROUTER 3604 SAN SALVADOR. 7.1.11- VERIFICACIN ANTES DE TRANSMITIR PAQUETES DE INFORMACION POR LA VPN. 7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR. 7.1.13- VERIFICACIN DESPUES DE TRANSMITIR PAQUETES DE INFORMACION POR LA VPN. 7.1.14DESCRIPCION DE COMANDOS UTILIZADOS EN LA CONFIGURACIN DE IPSEC.

7.1.1- INTRODUCCIN. El siguiente documento describe la configuracin de IPSec, entre una LAN-to-LAN creando un tnel por medio de una VPN, desde San Salvador hasta San Miguel utilizando Internet. 7.1.2- PRERREQUISITOS. Conocimientos bsicos de routers cisco. Ruteo esttico. 7.1.3- COMPONENTES DE USO. 3 Computadoras con Windows XP. 1 Computadora con Linux (Puede ser otro SO). 1 Hub. 1 Modem US Robotic. 1 Router 2610 con Puerto Ethernet 0/0, Serial Wic/2T y Software Cisco IOS Versin 12.2 (31). 1 Router 3604 con Puerto Ethernet 0/3 u otro, Software Cisco IOS Versin 12.2 (31). 4 Cables UTP categora 5. 1 Enlace Conmutado. 1 Enlace Dedicado. 2 Acceso a Internet. 7.1.4- DESCRIPCIN IPSec: Es un grupo de extensiones de la familia de protocolos IP, que provee servicios criptogrficos de seguridad. Creado por IETF (Internet Engineering Task Force)

Organizacin Router: la

encargada

del

estudio

de

problemas

tcnicos relacionados con Internet. Es un dispositivo dentro de la red usando comnmente para conmutacin o ruteo de paquetes. Esta conmutacin el router la realiza tomando decisiones en base a su configuracin para redes. 7.1.5- DIAGRAMA DE RED. El presente diagrama muestra la ubicacin de los equipos fsicamente y las direcciones IP de cada uno de los puntos de la red que representa la parte lgica para poder configurar el protocolo IPSec.

LAN 2

Figura 7.1 Diagrama de red IPSec.

7.1.6- PROPIEDADES DEL PROTOCOLO INTERNET (tcp/ip), san miguel. Se configura las propiedades del protocolo de Internet (TCP/IP) la computadora que esta en la LAN1 San Miguel, tomando en cuenta las direcciones IP asignadas a este nodo de la red y poder establecer la conexin hacia el otro punto de la red. Se colocan las siguientes propiedades como aparecen en la figura 7.2.

Figura 7.2 Propiedades del protocolo de Internet (TCP/IP) S.M.

7.1.7-

PROPIEDADES

DEL

PROTOCOLO

INTERNET

(TCP/IP), SAN SALVADOR. Se configura las propiedades del protocolo de Internet (TCP/IP) la computadora que esta en la LAN 2 San Salvador, tomando en cuenta las direcciones IP asignadas a este nodo de la red y poder establecer la conexin hacia el otro punto de la red. Se colocan las siguientes propiedades como aparecen en la figura 7.3.

Figura 7.3 Propiedades del protocolo de Internet (TCP/IP) S.S.

7.1.8- CONSOLA HYPER TERMINAL de WINDOWS. Cuando esta conectado todo el Hardware, se utiliza la consola Hyper Terminal de Windows que es la aplicacin por medio de la cual se ingresa a la consola de configuracin del Router Cisco, Inicio / Todos los programas / Accesorios / Comunicaciones / Hyper Terminal, ver Figura 7.4.

Figura 7.4 Ingreso al Hyper Terminal de Windows.

Aparece la figura 7.5 donde se selecciona el puerto COM1, esto significa que se conecta utilizando este para ingresar a la consola del router.

Figura 7.5 Conectar al COM1.

Luego se colocan las siguientes propiedades tal como aparecen en la figura 7.6

Figura 7.6 Consola Hyper Terminal de Windows.

De esta forma se ingresa a la consola del router cisco, para realizar la configuracin correspondiente a IPSec, aplicando las tcnicas de encriptacin con cada uno de los comandos, de una forma lgica y ordenada. Luego pasa a la consola el Router Cisco.

7.1.9- CONFIGURACIN IPSEC ROUTER 2610 SAN MIGUEL. La presente configuracin corresponde al Router Cisco 2610, en el cual se procede a configurar IPSec, tomando en cuenta la conexin lgica de la red y los respectivos comandos. Las lnea en negrita representan la configuracin del router y las lneas que tienen antepuesta las // representan los comentario de los bloque de configuracin. Consola IPSec - Router 2610 Cisco 2610 IOS Versin 12.2.(31) //Prompt del router donde se digitan los comandos. SanMiguel# Building configuration... Current configuration : 2254 bytes ! Version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SanMiguel ! ! memory-size iomem 10 ip subnet-zero ip cef ! ! ip name-server 66.119.93.4

! // INICIA LA CONFIGURACIN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las polticas de mxima prioridad y que coincidan //en ambos lados, es decir con el router de San Salvador, en //este caso la prioridad es 10 (hash md5 y con autenticacin) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To//LAN para su respectiva negociacin. crypto isakmp key TesisSM address 66.119.92.145 ! // Se crea la fase para la autenticacin y encriptacin de la //informacin. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. ! crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el tnel. crypto map VPN local-address Dialer2 // Se crea el mapa de encriptacin. crypto map VPN 10 ipsec-isakmp // Se especifica la ip del peer (Tnel ipsec). set peer 66.119.92.145 // Se aplica el tipo de transformacin para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110

// Script para realizar el marcado por medio del MODEM. chat-script Dialout ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c // Init String para la configuracin del MODEM. modemcap entry MY_MODEM:MSC=&F1S0=1 call rsvp-sync ! ! // Tnel IP hacia San Salvador interface Tunnel2 description TUNEL HACIA SAN SALVADOR TELEFONICA ip unnumbered Dialer2 tunnel source Dialer2 tunnel destination 66.119.92.145 // Se aplica la encriptacin ipsec a la interfaz. crypto map VPN ! interface Ethernet0/0 ip address 20.0.20.1 255.255.255.0 full-duplex ! interface Serial0/0 no ip address shutdown ! // Interfaz serial conectada a modem asncrono. interface Serial0/1 physical-layer async no ip address encapsulation ppp dialer in-band dialer rotary-group 2 async default routing async mode dedicated

! // Interfaz virtual para el acceso telefnico a Internet. interface Dialer2 ip address negotiated encapsulation ppp dialer in-band dialer idle-timeout 900 // Numero de acceso telefnico a Marcar por el router. dialer string 22111111 dialer hold-queue 10 dialer load-threshold 1 either dialer-group 2 ppp authentication chap pap callin ppp chap hostname tsm@internet ppp chap password 0 internet ppp pap sent-username tsm@internet password 0 internet ppp multilink bap ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 // Ruta esttica para la red 30.0.30.0 ip route 30.0.30.0 255.255.255.0 Tunnel2 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN.
access-list 110 permit ip 20.0.20.0 0.0.0.255 10.0.10.0 0.0.0.255 access-list 110 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip any any

dialer-list 2 protocol ip permit no cdp run ! dial-peer cor custom ! ! line con 0

line 2 // Linea 2, configuracin directa con el MODEM. script dialer Dialout modem InOut modem autoconfigure type MY_MODEM transport input all speed 57600 flowcontrol hardware line aux 0 exec-timeout 0 0 transport output none line vty 0 4 login ! End //Cuando se finaliza la configuracin del router, es importante //guardar los cambios realizados con el comando write.

7.1.10- CONFIGURACIN IPSEC ROUTER 3604 SAN SALVADOR. La siguiente configuracin, se realizo en un router Cisco 3604, donde se ejecutan los comandos correspondientes a IPSec. Las lnea en negrita representan la configuracin del router y las lneas que tienen antepuesta las // representan los comentario de los bloque de configuracin. Consola IPSec - Router 3604 Cisco 3604 IOS Versin 12.2.(31) //Prompt del router donde se digitan los comandos. REDIP# Building configuration... Current configuration : 4174 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname REDIP ! aaa new-model aaa authentication login default local aaa authentication ppp default local enable secret 5 $1$XUyx$r3JYNZKhBNcOU4xhwGhQs0 ! ip subnet-zero ip cef

! ! ip name-server 66.119.93.4 ip name-server 66.119.95.4 ! // INICIA LA CONFIGURACIN DE IPSEC //Se crea el Internet Security Assosiation Key Management //Protocol (isakmp) //Se seleccionan las polticas de mxima prioridad y que coincidan //en ambos lados, es decir con el router de San Miguel, en //este caso la prioridad es 10 (hash md5 y con autenticacin por //clave simtrica compartida) crypto isakmp policy 10 hash md5 authentication pre-share // Se especifica el pre share key para realizar el tunnel Lan-To//LAN para su respectiva negociacin. crypto isakmp key TesisSM address 66.249.197.20 ! // Se crea la fase para la autenticacin y encriptacin de la //informacin. Se declaran las transformaciones permitidas. //Luego as asociaremos a IPSec. crypto ipsec transform-set VPN esp-des esp-sha-hmac ! // Especifica la interfaz local para realizar el tnel. crypto map VPN local-address FastEthernet3/0 // Se crea el mapa a aplicar en la interfaz (crypto map). crypto map VPN 10 ipsec-isakmp // Establece el punto remoto de la VPN set peer 66.249.197.20

// Se aplica el tipo de transformacin para encriptar. set transform-set VPN // Se especifica el trafico a ser encriptado. match address 110 ! no call rsvp-sync ! // Tnel IP hacia Router San Miguel. interface Tunnel2 description TUNEL HACIA SAN MIGUEL ip unnumbered FastEthernet3/0 tunnel source FastEthernet3/0 tunnel destination 66.249.197.20 // Se aplica la encriptacin ipsec a la interfaz. crypto map VPN ! // LAN de servidor TFP linux para las pruebas. interface FastEthernet1/0 description Conexion Servidor Linux ip address 30.0.30.1 255.255.255.0 duplex auto speed auto ! ! interface FastEthernet3/0 description Conexion Routers de Acceso ip address 66.119.92.145 255.255.255.224 ip nat outside duplex auto speed auto ! no ip classless // Ruta esttica para la red 20.0.20.0

ip route 20.0.20.0 255.255.255.0 tunnel2 ip route 66.249.197.20 255.255.255.255 66.119.92.133 no ip http server ! // Trafico permitido a ser encriptado en el crypto map VPN.
access-list 110 permit ip 30.0.30.0 0.0.0.255 20.0.20.0 0.0.0.255 access-list 110 permit ip 10.0.10.0 0.0.0.255 20.0.20.0 0.0.0.255

line con 0 password 7 111B1C011E02 line aux 0 line vty 0 4 password 7 071D24484719 End //Cuando se finaliza de hacer los cambios de la configuracin del //router, se recomiendo guardar los cambios con el comando //write.

Cuando se finaliza la configuracin de los dos router es importante verificar la conexin del tnel con y sin trfico de datos, esto permite evaluar cuantos paquetes han sido encapsulados y encriptados por IPSec. 7.1.11VERIFICACIN ANTES DE TRANSMITIR

PAQUETES DE INFORMACION POR LA VPN. Cuando ha finalizado la configuracin de los dos Router, se procede a comprobar la configuracin de IPSec con el siguiente comando show crypto ipsec sa este muestra el nmero de paquetes que han sido transmitidos por la VPN y

si existe la encriptacin, autenticacin y integridad de los paquetes, en la siguiente verificacin no se ha transmitido trafico por el tnel VPN des un punto local hasta el punto remoto o viceversa, como se observa a continuacin los paquetes encapsulados y encriptados son 0, es decir porque no ha transmitido ningn paquete por la VPN. Consola IPSec - Router 3604 SanMiguel#show crypto ipsec sa local ident (addr/mask/prot/port): (30.0.30.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (20.0.20.0/255.255.255.0/0/0) current_peer: 66.249.197.20 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 66.119.92.145, remote crypto endpt.: 66.249.197.20 path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2 current outbound spi: 0 inbound esp sas: inbound ah sas:

inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:

Se observan las siguientes lneas estadsticas, en las cuales registran 0 paquetes transmitidos. #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 Tambin se visualiza la encriptacin que se aplica desde el punto local hasta el punto remoto, establecido por el tnel virtual con las direcciones publicas 66.119.92.145 (San Salvador) y 66.249.197.20 (San Miguel). Tambin se puede revisar la conexin desde un punto a otro y viceversa en los siguientes numerales. 7.1.12- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR. Ping es un mensaje transmitido por un programa Packet Internet Groper. Tambin es enviado desde un nodo a la direccin IP de una computadora de red para determinar si ese nodo est disponible para enviar y recibir transmisiones.

En la figura 7.7, se da ping desde la PC que esta en San Miguel (20.0.20.2) al servidor de archivos que este en San Salvador (30.0.30.2) y aparece la siguiente ventana:

Figura 7.7 Ping desde PC San Miguel a CP San Salvador.

Esto quiere decir que ya existe la conexin entre un nodo de la red y otro, la cual se realiza por medio de Internet. La figura 7.7 muestra cuantos paquetes fueron enviados y si hay una conexin estable, ya que algunas veces hay perdida de conexin. 7.1.13VERIFICACIN DESPUES DE TRANSMITIR

PAQUETES DE INFORMACION POR LA VPN. En este caso ya se estableci la conexin con el tnel IPSec y se ejecuta el mismo comando show crypto ipsec sa para revisar si a registrado paquetes en la VPN, se realizo una

transferencia de archivos para verificar el nmero de paquetes enviados hasta el punto remoto que esta en San Salvador. Como se visualiza a continuacin ya existen paquetes registrados por el tnel VPN, encapsulados, encriptados (499) y desencapsulados y desencriptados (498), como se puede observar a continuacin. Consola IPSec - Router 2610 SanMiguel#show crypto ipsec sa // Muestra el tnel virtual Tunnel2, con sus respectivas ip de //origen y destino interface: Tunnel2 Crypto map tag: VPN, local addr. 66.249.197.20 local ident (addr/mask/prot/port): (20.0.20.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (30.0.30.0/255.255.255.0/0/0) current_peer: 66.119.92.145 PERMIT, flags={origin_is_acl,} //Muestra el nmero de paquetes que son encapsulados y //encriptados. #pkts encaps: 499, #pkts encrypt: 499, #pkts digest 499 #pkts decaps: 498, #pkts decrypt: 498, #pkts verify 498 #pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 4, #recv errors 0 local crypto endpt.: 66.249.197.20, remote crypto endpt.: 66.119.92.145 path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2 current outbound spi: 1A8B08FE inbound esp sas: spi: 0x4F75206A(1333076074) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: VPN sa timing: remaining key lifetime (k/sec): (4607406/2801) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x1A8B08FE(445319422) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: VPN sa timing: remaining key lifetime (k/sec): (4607952/2795)

IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas:

Esto quiere decir que si existe una conexin validad que encripta, autentica y encapsula la informacin entre ambos puntos de la red. Tambin se puede observar la encriptacin del Tunnel2 en una forma local y remota, por ejemplo: local crypto endpt.: 66.249.197.20, remote crypto endpt.: 66.119.92.145 path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2. La verificacin se realiza tambin en el router 3604 que esta en San Salvador y como se puede observar el nmero de paquetes enviados cambia, dependiendo del flujo de informacin que se transmita. Se ejecuta el mismo comando sh crypto ipsec sa para verificar los datos estadsticos del protocolo IPSec. Los cuales registran paquetes encapsulados y encriptados (4378) y desencapsulados y desencriptados (4389), como se puede observar a continuacin.

Consola IPSec - Router 3604 REDIP#sh crypto ipsec sa // Muestra el tnel virtual Tunnel2, con sus respectivas ip de //origen y destino. interface: Tunnel2 Crypto map tag: VPN, local addr. 66.119.92.145 local ident (addr/mask/prot/port): (30.0.30.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (20.0.20.0/255.255.255.0/0/0) current_peer: 66.249.197.20 PERMIT, flags={origin_is_acl,} //Muestra el nmero de paquetes que son encapsulados y //encriptados.
#pkts encaps: 4378, #pkts encrypt: 4378, #pkts digest 4378 #pkts decaps: 4389, #pkts decrypt: 4389, #pkts verify 4389

#pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 66.119.92.145, remote crypto endpt.: 66.249.197.20 path mtu 1476, ip mtu 1476, ip mtu interface Tunnel2 current outbound spi: 4F75206A

inbound esp sas: spi: 0x1A8B08FE(445319422) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2004, flow_id: 5, crypto map: VPN sa timing: remaining key lifetime (k/sec): (4607895/2474) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x4F75206A(1333076074) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2005, flow_id: 6, crypto map: VPN sa timing: remaining key lifetime (k/sec): (4607400/2474) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas:

Este resultado muestra que ha pasado trfico por medio de la red y que se han transmitido informacin desde un punto a

otro

de

forma

satisfactoria,

aplicando

las

tcnicas

de

encriptacin, encapsulacin, autenticacin de las llaves e integridad de los datos entre ambos puntos de la red. Cuando se realiza la verificacin de ambos router, se tiene la completa seguridad que los datos transmitidos por medio de la red, esta siendo encriptada, encapsulada y autenticada de forma integra desde el lugar de origen hasta su destino. 7.1.14- DESCRIPCION DE COMANDOS UTILIZADOS EN LA CONFIGURACIN DE IPSEC. authentication pre-share: Comando para configurar autentificacin dentro del mapa (esto nos permite utilizar el Key). cripto isakmp policy 10: Commado para crear el isakmp ( Internet Security Association Key Management Protocol). crypto map: Comando que crea el mapa encriptado, quien se encarga de activar y manejar el tnel. Los Crypto maps son las reglas de mapeado para indicar cmo enviar la informacin por IPSec, incluye: Los filtros para indicar trfico interesante El vecino remoto El set de transformaciones a utilizar Mtodo de administracin de claves Tiempo de vida de las SA

crypto ipsec transform-set VPN esp-des esp-shahmac: Comando que crea el transform-set (la forma de encriptar y desencriptar la informacin). full duplex : Comando para configurar en una interfaz que soporte full duplex. hash md5: Comando para configurar el algoritmo de encriptacin dentro del mapa. ip address: Comando que especifica la ip a ocupar en una interfaz del router. match address 110: lista de acceso 110. Comando que especifica el trafico

permitido en el mapa (tunnel) y que hace referencia a la set tranform-set: Comando que especifica el transformset que ocupara el Mapa. show run: ipsec). Comando para mostrar la configuracin del router en ese momento (este comando no es propio de

7.2.- CONFIGURACIN DE MPLS ENTRE DOS ROUTER CISCO Y UNA VPN EN INTERNET.

CONTENIDO
7.2.1- INTRODUCCIN. 7.2.2- PRERREQUISITOS. 7.2.3- COMPONENTES DE USO. 7.2.4- DESCRIPCIN 7.2.5- DIAGRAMA DE RED. 7.2.6 PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN MIGUEL. 7.2.7 PROPIEDADES DEL PROTOCOLO INTERNET (TCP/IP), SAN SALVADOR. 7.2.8- CONSOLA HYPER TERMINAL DE WINDOWS. 7.2.9- CONFIGURACIN MPLS ROUTER 2610 SAN MIGUEL. 7.2.10- CONFIGURACIN MPLS ROUTER 3604 TELEFONICA SAN SALVADOR. 7.2.11- VERIFICACIN DE MPLS ROUTER 2610 SAN MIGUEL. 7.2.12- VERIFICACIN DE MPLS ROUTER 3604, SAN SALVADOR. 7.2.13- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR. 7.2.14 DESCRIPCION DE COMANDOS UTILIZADOS EN LA CONFIGURACIN DE MPLS.

7.2.1- INTRODUCCIN El siguiente documento describe la configuracin de MPLS, entre dos router cisco conectando un LAN-to-LAN por medio de una VPN en Internet, entre los puntos de San Miguel y San Salvador, creando as una sola red virtual, es decir como si fuera una sola red LAN. 7.2.2- PRERREQUISITOS. Conocimientos bsicos de router cisco. Ruteo Esttico. 7.2.3- COMPONENTES DE USO. 3 Computadoras con Windows XP. 1 Computadora con Linux (Puede ser otro SO). 1 Hub. 1 Modem US Robotic. 1 Router 2610 con Puerto Ethernet 0/0, Serial Wic/2T y Software Cisco IOS Versin 12.2 (31). 1 Router 3604 con Puerto Ethernet 0/3 u otro, Software Cisco IOS Versin 12.2 (31). 4 Cables UTP categora 5. 1 Enlace Conmutado. 1 Enlace Dedicado. 2 Acceso a Internet.

7.2.4- DESCRIPCIN - MPLS: Es un mtodo para forwardear paquetes a travs de una red usando informacin contendida en etiquetas aadidas a los paquetes de IP. - Router: Es un dispositivo dentro de la red usando comnmente para la conmutacin o ruteo de paquetes. Esta conmutacin el router la realiza tomando decisiones en base a su configuracin para redes. 7.2.5- DIAGRAMA DE RED. El presente diagrama muestra la ubicacin de los puntos de red, describiendo cada uno de ellos segn las direcciones IP, para su debida configuracin.

LAN 2

Figura 7.8 Diagrama de red MPLS.

7.2.6

PROPIEDADES

DEL

PROTOCOLO

INTERNET

(TCP/IP), SAN MIGUEL. Se configura las propiedades del protocolo de Internet (TCP/IP) la computadora que esta en la LAN1 San Miguel, tomando en cuenta las direcciones IP asignadas a este nodo de la red y poder establecer la conexin hacia el otro punto de la red. Se colocan las siguientes propiedades como aparecen en la figura 7.9.

Figura 7.9 Propiedades del protocolo de Internet (TCP/IP) S.M.

7.2.7

PROPIEDADES

DEL

PROTOCOLO

INTERNET

(TCP/IP), SAN SALVADOR. Se configura las propiedades del protocolo de Internet (TCP/IP) la computadora que esta en la LAN 2 San Salvador, tomando en cuenta las direcciones IP asignadas a este nodo de la red y poder establecer la conexin hacia el otro punto de la red. Se colocan las siguientes propiedades como aparecen en la figura 7.10.

Figura 7.10 Propiedades del protocolo de Internet (TCP/IP) S.S.

7.2.8- CONSOLA HYPER TERMINAL DE WINDOWS. Cuando esta conectado todo el Hardware, se utiliza la consola Hyper Terminal de Windows que es la aplicacin por medio de la cual se ingresa a la consola de configuracin del Router Cisco, Inicio / Todos los programas / Accesorios / Comunicaciones / Hyper Terminal, ver Figura 7.11.

Figura 7.11 Ingreso a Hyper Terminal.

Aparece la figura 7.12 donde se selecciona el puerto COM1, esto significa que se conecta utilizando este para ingresar a la consola del router.

Figura 7.12 Conectar al COM1.

Luego se colocan las siguientes propiedades tal como aparecen en la figura 7.13.

Figura 7.13 Consola Hyper Terminal de Windows.

De esta forma se ingresa a la consola del router cisco, para realizar la configuracin correspondiente a IPSec, aplicando las tcnicas de encriptacin con cada uno de los comandos, de una forma lgica y ordenada. Luego pasa a la consola el Router Cisco.

7.2.9- CONFIGURACIN MPLS ROUTER 2610 SAN MIGUEL. La siguiente configuracin corresponde al router cisco 2610, en donde se aplican algunos comandos propios de MPLS, tomando en cuenta la conexin lgica de la red. Las lnea en negrita representan la configuracin del router y las lneas que tienen antepuesta las // representan los comentario de los bloque de configuracin. Consola MPLS - Router 2610 Cisco 2610 IOS Versin 12.2.(31) //Prompt del router donde se digitan los comandos. SanMiguel#show run Building configuration... Current configuration : 2291 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SanMiguel ! ! memory-size iomem 10 ip subnet-zero ip cef ! ! ip name-server 66.119.93.4

! //INICIA LA CONFIGURACION DE MPLS. // Se define la instancia para VRF (asignndole el nombre TSM) ip vrf TSM // Definicin del ASN (Numero de Sistema Autnomo) para la //VPN. (rd = route distinguisher). rd 101:1 // Se exportan e importan rutas dentro de la VPN. route-target export 101:1 route-target import 101:1 ip audit notify log ip audit po max-events 100 ! ! chat-script Dialout ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c modemcap entry MY_MODEM:MSC=&F1S0=1 call rsvp-sync ! ! // Tnel IP hacia San Salvador. interface Tunnel2 description TUNEL HACIA SAN SALVADOR TELEFONICA // Se hace miembro de la VPN TSM a la Interfaz del Tunnel2. ip vrf forwarding TSM ip unnumbered Dialer2 tunnel source Dialer2 tunnel destination 66.119.92.145 ! interface Ethernet0/0 // Se hace miembro de la VPN TSM a la interfaz. ip vrf forwarding TSM ip address 20.0.20.1 255.255.255.0 full-duplex !

interface Serial0/0 no ip address shutdown ! // Interfaz serial conectada a MODEM asncrono. interface Serial0/1 physical-layer async no ip address encapsulation ppp dialer in-band dialer rotary-group 2 async default routing async mode dedicated ! interface Dialer2 // Interfaz virtual para el marcado de acceso telefnico a Internet ip address negotiated encapsulation ppp dialer in-band dialer idle-timeout 900 // Numero de acceso telefnico a Marcar por el router dialer string 22111111 dialer hold-queue 10 dialer load-threshold 1 either dialer-group 2 ppp authentication chap pap callin ppp chap hostname tsm@internet ppp chap password 0 internet ppp pap sent-username tsm@internet password 0 internet ppp multilink bap ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 // Definicin de rutas para la VPN TSM, es decir la ruta destino a //la que se desea llegar.

ip route vrf TSM 30.0.30.0 255.255.255.0 Tunnel2 no ip http server ! access-list 120 permit ip 20.0.20.0 0.0.0.255 30.0.30.0 0.0.0.255 access-list 120 permit ip any any dialer-list 2 protocol ip permit no cdp run ! dial-peer cor custom ! line con 0 line 2 // Linea 2 para configuracin directa del MODEM. script dialer Dialout modem InOut modem autoconfigure type MY_MODEM transport input all speed 115200 flowcontrol hardware line aux 0 exec-timeout 0 0 transport output none line vty 0 4 login ! end //Cuando se finaliza la configuracin del router, es importante //guardar los cambios realizados con el comando write.

7.2.10-

CONFIGURACIN

MPLS

ROUTER

3604

TELEFONICA SAN SALVADOR. La siguiente configuracin corresponde al router cisco 3604, en donde se aplican algunos comandos propios de MPLS, tomando en cuenta la conexin lgica de la red. Las lnea en negrita representan la configuracin del router y las lneas que tienen antepuesta las // representan los comentario de los bloque de configuracin. Consola MPLS - Router 3604 Cisco 3604 IOS Version 12.2.(31) //Prompt del router donde se digitan los comandos. REDIP#show run Building configuration... Current configuration : 4212 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname REDIP ! ip cef ! ! ip name-server 66.119.93.4 ip name-server 66.119.95.4 !

// INICIA LA CONFIGURACIN MPLS VPN. // Se define la instancia para VRF (VPN TSM). ip vrf TSM // Definicin del ASN (Numero de Sistema Autnomo) para la //VPN. (rd = route distinguisher). rd 101:1 // Se especifica la exportacin e importacin de rutas en la VPN. route-target export 101:1 route-target import 101:1 ip audit notify log ip audit po max-events 100 ip address-pool local ! no call rsvp-sync ! // Tunel IP Hacia Router San Miguel. interface Tunnel2 description TUNEL HACIA SAN MIGUEL // Se configura la interfaz para que sea miembro de la VPN TSM. ip vrf forwarding TSM ip unnumbered FastEthernet3/0 tunnel source FastEthernet3/0 tunnel destination 66.249.197.20 ! // Interfaz de conexin hacia la LAN del servidor ftp linux. interface FastEthernet1/0 description Conexion Server Linux
// Se configura la interfaz para que sea miembro de la VPN (TSM).

ip vrf forwarding TSM ip address 30.0.30.1 255.255.255.0 duplex auto speed auto ! //se especifica el nivel fsico de la interfaz 3/0 del router. interface FastEthernet3/0

description Conexion Routers de Acceso ip address 66.119.92.145 255.255.255.224 ip nat outside duplex auto speed auto no ip classless ip route 0.0.0.0 0.0.0.0 66.119.92.133 // Ruta esttica en la VRF TSM para la red 20.0.20.0 ip route vrf TSM 20.0.20.0 255.255.255.0 Tunnel2 ip tacacs source-interface FastEthernet2/0 no ip http server ! dial-peer cor custom line con 0 password 7 111B1C011E02 line aux 0 line vty 0 4 password 7 071D24484719 ! end //Cuando se finaliza de hacer los cambios de la configuracin del //router, se recomiendo guardar los cambios con el comando //write.

Cuando se finaliza la configuracin de MPLS en los dos Router se realiza la verificacin de la conexin, para comprobar que si hay conexin entre la LAN de San Miguel y la LAN de San Salvador.

7.2.11- VERIFICACIN DE MPLS ROUTER 2610 SAN MIGUEL. Cuando ha finalizado la configuracin de los dos Router, se procede a comprobar la configuracin con el siguiente comando show ip route vrf TSM que se digita en la lnea de comando, y muestra la conectividad desde el punto local hasta el punto remoto, lo cual muestra la siguiente pantalla. Esto indica que la configuracin esta bien realizada y que existe la conexin correcta entre los dos puntos, como se Consola Verificacin MPLS - Router 2610 SanMiguel#show ip route vrf TSM Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C S 20.0.0.0/24 is subnetted, 1 subnets 20.0.20.0 is directly connected, Ethernet0/0 30.0.0.0/24 is subnetted, 1 subnets 30.0.30.0 is directly connected, Tunnel2

puede

observar

las

direcciones

IP

que

conecta C

(20.0.20.0) y la IP esttica S (30.0.30.0), lo cual permite ver el punto origen C y destino S de la vrf TSM. Tambin se puede verificar MPLS con el comando show ip vrf detail, que muestra la interfaz VRF TSM, en este caso solo esta activa la que fue creada (TSM), de lo contrario no mostrara ninguna vrf. Consola Verificacin MPLS - Router 2610 SanMiguel#show ip vrf detail VRF TSM; default RD 101:1 Interfaces: Ethernet0/0 Tunnel2 Connected addresses are not in global routing table Export VPN route-target communities RT:101:1 Import VPN route-target communities RT:101:1 No import route-map No export route-map

7.2.12- VERIFICACIN DE MPLS ROUTER 3604, SAN SALVADOR. Con el comando sh ip route vrf TSM se muestra la tabla de ruteo de la VPN. Esto indica que la configuracin esta bien realizada en el router 3604 y que ya existe la conexin correcta entre los dos puntos, como se puede observar las direcciones IP que conecta C (30.0.30.0) y la IP esttica S (20.0.20.0), lo cual permite ver el punto de origen C y destino S de la vrf TSM. Consola Verificacin MPLS - Router 3604 REDIP#show ip route vrf TSM Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS l evel-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 20.0.0.0/24 is subnetted, 1 subnets 20.0.20.0 is directly connected, Tunnel2 30.0.0.0/24 is subnetted, 1 subnets C 30.0.30.0 is directly connected, FastEthernet1/0 S

Verificacin de MPLS con el comando show ip vrf detail, muestra la interfaz VRF TSM, en este caso solo esta activa la que fue creada (TSM), de lo contrario mostrara las dems vrf que se hayan creado. Consola Verificacin MPLS - Router 3604 REDIP#show ip vrf detail VRF TSM; default RD 101:1 Interfaces: FastEthernet1/0 Tunnel2 Connected addresses are not in global routing table Export VPN route-target communities RT:101:1 Import VPN route-target communities RT:101:1 No import route-map No export route-map

Esto sirve para verificar las tablas de rutas establecidas y las vrf creadas en cada uno de los router segn la conectividad lgica de la red de San Miguel y la de San Salvador. 7.2.13- PING AL SERVIDOR DE ARCHIVOS DE SAN SALVADOR. Ping es un mensaje transmitido por un programa Packet Internet Groper. Tambin es enviado desde un nodo a la direccin IP de una computadora de red para determinar si ese nodo est disponible para enviar y recibir transmisiones.

Se comprueba la conexin desde un punto a otro o viceversa de la siguiente manera: Se da ping desde la PC que esta en San Miguel (20.0.20.2) al servidor de archivos que este en San Salvador con paquetes enviados al servidor de San Salvador. ping 30.0.30.2 y aparece la siguiente ventana que muestra los

Figura 7.14 Ping desde PC San Miguel a CP San Salvador.

En

la figura 7.14 se puede decir que si esta disponible la

transmisin de informacin a travs del tnel establecido por la VPN. Tambin se puede decir que ya esta establecida una red virtual entre las dos LANs.

7.2.14- DESCRIPCION DE COMANDOS UTILIZADOS EN LA CONFIGURACIN DE MPLS. encapsulation ppp: Comando para especificar el tipo de encapsulacion de una interfaz serial. (No es especifico de MPLS) interface Tunnel2: Crea una interfase de tipo tnel en el router (No es especifica de MPLS). ip audit po max-events 100: Comando para logs, especifica un nmero mximo de eventos. ip suft notify log: Comando para generar logs de notificaciones en la VRF. ip vrf forwarding: Comando para especificar en una interfaz que esta pertenece a una VRF. ip vrf: Comando que crea la instancia o cliente de la vrf (Virtual routing Forwarding). physical-layer Async: Comando que pone una interfaz serial en modo asncrono (No es especfico de MPLS). rd 101:1: Comando que especifica el ID que ocupara la VRF creada. route-target export 101:1: Comando para que exporte las rutas en la VRF creada. route-target import 101:1: Comando para importar rutas en la VRF creada.

7.3- CAMBIOS DE CONFIGURACION PARA ACTIVAR IPSEC Y DESACTIVAR MPLS Cuando se tienen previamente configurado IPSec en los router y se tiene activo MPLS, se procede a desactivarlo con una serie de comandos, que activan el protocolo IPSec, es decir se desactiva MPLS y se activa IPSec en el router. Vale la pena aclarar que la configuracin de MPLS debe estar previamente realizada, ya que es donde se definen algunos de los parmetros que hacen posible este cambio. Para cuestiones prcticas se puede realizar este tipo de cambios y probar cada uno de los protocolos. 7.3.1- CAMBIO DE CONFIGURACIN ROUTER 2610 SAN MIGUEL Se ingresa por medio de la consola de configuracin de los router 2610 y se colocan los comandos descritos a continuacin, para desactivar MPLS y activar IPSec. Consola Cambio de MPLS a IPSec - Router 2610 SanMiguel# // Se entra al modo de configuracin en el router. conf t //El modo de configuracin queda de esta manera. SanMiguel(config)# // Se entra a la interfaz tunnel2. int tun2 // Se deshabilita la VPN MPLS en la Interfaz.

no ip vrf forwarding TSM ip unnumbered Dialer2 // Se habilita la encriptacion ipsec en la interfaz. crypto map VPN exit // Se entra a la interfaz eth0/0. int ethernet 0/0 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip add 20.0.20.1 255.255.255.0 exit // Se quita la ruta en la VRF no ip route vrf TSM 30.0.30.0 255.255.255.0 tun2 // Se agrega la ruta en la tabla normal del router. ip route 30.0.30.0 255.255.255.0 Tunnel2

El objetivo es desactivar MPLS y activar IPSec en router 2610 y luego se procede con el router 3604. 7.3.2- CAMBIO DE CONFIGURACION SALVADOR Se ingresa por medio de la consola de configuracin de los router 3604 y se colocan los comandos descritos a continuacin. Consola Cambio de MPLS a IPSec - Router 3604 REDIP# // Se entra al modo de configuracion en el router. conf t //El modo de configuracin queda de esta manera. ROUTER 3604 SAN

REDIP(config)# // Se entra a la interfaz tunnel2. int tun2 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip unnumbered FastEthernet3/0 // Se habilita la encriptacion ipsec en la interfaz. crypto map VPN exit // Se quita la ruta en la VRF. interface FastEthernet1/0 // Se deshabilita la VPN MPLS en la Interfaz. no ip vrf forwarding TSM ip add 30.0.30.1 255.255.255.0 exit // Se deshabilita la VPN MPLS en la Interfaz. no ip route vrf TSM 20.0.20.0 255.255.255.0 tunnel 2 // Se agrega la ruta en la tabla normal del router. ip route 20.0.20.0 255.255.255.0 Tunnel2

El objetivo es desactivar MPLS y activar IPSec en el router 3604. Cuando se ha cambiado las configuraciones se realiza la debida verificacin para comprobar al 7.1.15. el funcionamiento IPSec entre los dos puntos de la red. Ver capitulo VII, numeral 7.1.11

7.4- CAMBIOS DE CONFIGURACION PARA ACTIVAR MPLS Y DESACTIVAR IPSEC. Cuando se tienen previamente configurados MPLS en los routers y se tiene activo IPSec, se procede a desactivarlo con una serie de comandos, que activan el protocolo MPLS, es decir se desactiva IPSec y se activa MPLS en el router. Vale la pena aclarar que la configuracin de MPLS debe estar previamente realizada, ya que es donde se definen algunos de los parmetros que hacen posible este cambio. Para cuestiones prcticas se puede realizar este tipo de cambios y probar cada uno de los protocolos. 7.4.1- CAMBIO DE CONFIGURACION MIGUEL Se ingresa por medio de la consola de configuracin de los router 2610 y se colocan los comandos descritos a continuacin. Consola Cambio de IPSec a MPLS - Router 2610 SanMiguel# // Se entra al modo de configuracin en el router. conf t //El modo de configuracin queda de esta manera. SanMiguel(config)# // Se entra en la conf de la interfaz tunn2 int tun2 ROUTER 2610 SAN

// Se deshabilita la encriptacin de ipsec no crypto map VPN // Se habilita la VPN MPLS ip vrf forwarding TSM ip unnumbered Dialer2 exit // Se entra en la conf de la interfaz eth0/0 int ethernet 0/0 // Se habilita la VPN MPLS ip vrf forwarding TSM ip add 20.0.20.1 255.255.255.0 // Se quita la ruta de la tabla normal del router no ip route 30.0.30.0 255.255.255.0 tunnel2 // Se agrega la ruta en la tabla de la VPN TSM ip route vrf TSM 30.0.30.0 255.255.255.0 tunnel2

El objetivo es activar MPLS y desactivar IPSec en router 2610 y luego se procede con el router 3604. 7.4.2- CAMBIO DE CONFIGURACION ROUTER 3604 SAN SALVADOR Se ingresa por medio de la consola de configuracin de los router 3604 y se colocan los comandos descritos a continuacin. Consola Cambio de IPSec a MPLS - Router 3604 REDIP# // Se entra en la conf de la interfaz tunn2 int tun2

//El modo de configuracin queda de esta manera. REDIP(config)# // Se deshabilita la encriptacin de ipsec no crypto map VPN // Se habilita la VPN MPLS ip vrf forwarding TSM ip unnumbered FastEthernet3/0 exit // Se entra en la conf de la interfaz eth0/0 interface FastEthernet1/0 // Se habilita la VPN MPLS ip vrf forwarding TSM ip add 30.0.30.1 255.255.255.0 exit // Se quita la ruta de la tabla normal del router no ip route 20.0.20.0 255.255.255.0 Tunnel2 // Se agrega la ruta en la tabla de la VPN TSM ip route vrf TSM 20.0.20.0 255.255.255.0 tunnel 2

El objetivo es activar MPLS y desactivar IPSec en el router 3604. Cuando se ha cambiado las configuraciones se realiza la debida verificacin para comprobar al 7.2.13. el funcionamiento MPLS entre los dos puntos de la red. Ver capitulo VII, numeral 7.2.11