En la última parte de la configuración de DMVPN veremos cómo se configura el cifrado de extremo a extremo utilizando IPSEC, tema muy importante ya que la tecnología de túneles utiliza internet como medio no seguro de paso para el tráfico de la organización.

Es por esta razón que es muy importante considerar esta configuración.

Para configurar IPSEC debemos trabajar en distintas fases:

Fase 1: Configurar IKE (Internet Key Exchange)

Para esta parte se configura lo siguiente:

  • -Encryption (Valor por default: DES)
  • -Hash (Valor por default: SHA)
  • -Authentication (Valor por default: RSA-SIG)
  • -Group (Valor por default: 1)
  • -Lifetime (Valor por default: 1 día o sea 86400 segundos

Nota: Mientras más bits agreguemos a los algoritmos de cifrado y mientras utilicemos algoritmos más complejos entonces más cpu se necesitará; por esta razón es importante definir cuales son las limitaciones de hardware de sus equipos antes de pasar a la configuración.

Por consiguiente ambos dispositivos en los extremos deben negociar las políticas, el par que inicia la comunicación envía todos los parámetros al otro extremo donde busca una coincidencia en las variables enviadas.

R1(config-isakmp)#?

ISAKMP commands:

authentication Set authentication method for protection suite

default Set a command to its defaults

encryption Set encryption algorithm for protection suite

exit Exit from ISAKMP protection suite configuration mode

group Set the Diffie-Hellman group

hash Set hash algorithm for protection suite

lifetime Set lifetime for ISAKMP security association

no Negate a command or set its defaults

Los parámetros hacen match cuando: existe mismo cifrado y autenticación, mismos parámetros de Diffie-Hellman Group e igual hash. Solo en el caso de existir una diferencia en el parámetro de lifetime entonces se considera el valor más bajo.

También se deben identificar los extremos remotos para el intercambio de la fase 1:

crypto isakmp key 6 CISCO address 0.0.0.0 0.0.0.0

El parámetro address 0.0.0.0 0.0.0.0 se recomienda cambiarlos posteriormente por la ip reales.

En caso de no encontrar coincidencias entonces se rechaza la negociación e IPSEC no funcionará.

Así queda la configuración:

R1 (El parámetro hash y lifetime no aparecen porque usan los valores por default)

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#encr aes

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 5

R1(config)# crypto isakmp key 6 CISCO address 0.0.0.0 0.0.0.0

En R2:

R2(config)#crypto isakmp policy 1

R2(config-isakmp)#encr aes

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#group 5

R2(config)# crypto isakmp key 6 CISCO address 0.0.0.0 0.0.0.0

Y en R4

R4(config)#crypto isakmp policy 1

R4(config-isakmp)#encr aes

R4(config-isakmp)#authentication pre-share

R4(config-isakmp)#group 5

R4(config)# crypto isakmp key 6 CISCO address 0.0.0.0 0.0.0.0

Con esto ya debería funcionar la fase 1


Pasemos a la siguiente fase: La transformación (transform set)

Para representar una política de seguridad de tráfico se debe definir una combinación de transformaciones IPSEC de forma individual. Nuevamente los pares definen parámetros específicos.

Se crea el transform set y se define el modo de encapsulación:

En R1:

R1(config)# crypto ipsec transform-set DMVPN_trans esp-aes 192

R1(cfg-crypto-trans)#mode transport

Se define el profile de IPSEC y se asocia a la transformación creada.

R1(config)#crypto ipsec profile DMVPN_profile

R1(ipsec-profile)#set transform-set DMVPN_trans

Se repiten lo mismo en R2 y R4 respetivamente

Finalmente se aplica en profile en la interfaz Tunnel en R1, R2 y R4:

En R1:

R1(config)#interface tunnel 0

R1(config-if)#tunnel protection ipsec profile DMVPN_profile

En R2:

R2(config)#interface tunnel 0

R2(config-if)#tunnel protection ipsec profile DMVPN_profile

En R4:

R4(config)#interface tunnel 0

R4(config-if)#tunnel protection ipsec profile DMVPN_profile

Con esto ya deberíamos tener IPSEC protegiendo el tráfico que pasa por los túneles.

Para monitoreo tenemos los siguientes comandos:

R4#show crypo map Muestra los crypto maps configurados

R4#show crypto isakmp policy Muestra las políticas IKE

R4#show crypto ipsec transform-set Muestra las transformaciones

R4#show crypto ipsec sa Muestra los túneles establecidos IPSEC