Transporte encripta/autentica sólo el payload del datagrama y podemos leer origen y destino
Túnel encripta todo el datagrama, por lo que los routers en el camino no pueden interpretar el origen y destino, por ejemplo en casos donde el origen y destino no son parte del esquema de ruteo de la red.
Mas información al respecto aquí.
Los pasos para esta configuración son:
creamos una política de Internet Security Association /Key Management Policy, que le indica al dispositivo como será la autenticación, en este caso, es una llave que vamos a configurar en cada dispositivo:
crypto isakmp policy 1indicamos cual es esa llave y a que red aplica:
authentication pre-share
crypto isakmp key ipref address 0.0.0.0establecemos el método de encripción y autenticación
crypto ipsec transform-set encripcion esp-des esp-md5-hmaccreamos el perfil que agrupa la operación de encripción
mode transport
crypto ipsec profile IPrefDMVPN set transform-set encripcionlo aplicamos a la interfaz de cada router:
interface tunnel 4y verificamos que el túnel está protegido:
tunnel protection ipsec profile IPrefDMVPN
R4#show crypto ipsec transform-setHasta ahora llevamos esto:
Transform set encripcion: { esp-des esp-md5-hmac }
will negotiate = { Transport, },
R4#show crypto sockets
Number of Crypto Socket connections 3
Tu4 Peers (local/remote): 1.0.0.4/1.0.0.5
Local Ident (addr/mask/port/prot): (1.0.0.4/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (1.0.0.5/255.255.255.255/0/47)
IPSec Profile: "IPrefDMVPN"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)
Tu4 Peers (local/remote): 1.0.0.4/1.0.0.7
Local Ident (addr/mask/port/prot): (1.0.0.4/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (1.0.0.7/255.255.255.255/0/47)
IPSec Profile: "IPrefDMVPN"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)
Tu4 Peers (local/remote): 1.0.0.4/1.0.0.6
Local Ident (addr/mask/port/prot): (1.0.0.4/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (1.0.0.6/255.255.255.255/0/47)
IPSec Profile: "IPrefDMVPN"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)
Crypto Sockets in Listen state:
Client: "TUNNEL SEC" Profile: "IPrefDMVPN" Map-name: "Tunnel4-head-0"
! hub
R4#show running-config | section crypto
crypto isakmp policy 1
authentication pre-share
crypto isakmp key ipref address 0.0.0.0
crypto ipsec transform-set encripcion esp-des esp-md5-hmac
mode transport
crypto ipsec profile IPrefDMVPN
set transform-set encripcion
R4#sh runn interface Tunnel 4
interface Tunnel4
ip address 2.0.0.4 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp map multicast dynamic
ip nhrp network-id 4567
ip ospf network broadcast
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile IPrefDMVPN
end
! spoke
R5#show running-config | section crypto
crypto isakmp policy 1
authentication pre-share
crypto isakmp key ipref address 0.0.0.0
crypto ipsec transform-set encripcion esp-des esp-md5-hmac
mode transport
crypto ipsec profile IPrefDMVPN
set transform-set encripcion
R5#sh runn interface Tunnel 4
interface Tunnel4
ip address 2.0.0.5 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp map 2.0.0.4 1.0.0.4
ip nhrp map multicast 1.0.0.4
ip nhrp network-id 4567
ip nhrp nhs 2.0.0.4
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile IPrefDMVPN
end
No hay comentarios. :
Publicar un comentario