8 Construcción de VPN con IPSec - Ejemplos y soluciones
8.1 Ejemplo de una configuración de VPN IPSec en dispositivos Cisco

En la primera etapa, es necesario establecer políticas ISAKMP IKE. La política de IKE sirve a IPsec para construir una SA. Sin embargo, debe crearse una clave PSK compartida entre las dos partes, de modo que las claves de cifrado personalizadas se deriven de ella. El mecanismo DH se utiliza normalmente para intercambiar claves. ISAKMP utiliza el protocolo de transporte UDP en el puerto 500. Un ejemplo de configuración de una política (tipo de autenticación, algoritmo de cifrado y hash, grupos DH y duración de vida SA en segundas unidades) puede verse en la siguiente figura.

image
Configuración de políticas ISAKMP IKE en un router Cisco

Además, se debe configurar una clave PSK compartida para que las partes puedan autenticarse entre sí. Dentro del comando también se define la dirección IP de la otra parte. El ejemplo se muestra en la siguiente figura.

image
Configuración de la clave compartida PSK en el router Cisco

La segunda etapa configura la configuración personalizada de IPsec. Se define un conjunto de algoritmos para la confidencialidad e integridad de los datos, conocidos como TS (Transform Set). Por ejemplo, utilizamos el protocolo ESP en combinación con el algoritmo HMAC SHA-1. El router sólo podrá cifrar el tráfico si tiene el llamado “Interesting Traffic” establecido usando la regla convencional del cortafuegos ACL (Access List). Los parámetros que se definen de esta manera combinan el objeto Crypto Map, que - junto con otros parámetros adicionales, como la dirección por defecto del otro lado (generalmente, se pueden definir múltiples direcciones) y parámetros opcionales como el grupo DH, el tiempo de vida de IPsec SA (en segundos) - se aplica a la interfaz WAN (Wide Area Network) apropiada. Lo anterior es evidente a partir del ejemplo de la siguiente figura.

image
Configuración de VPN IPsec en un router Cisco

Del mismo modo, ambas fases IPsec deben ser configuradas en el otro lado de la comunicación (router)!

image
Un ejemplo de topología para realizar tareas en VPN IPSec