Differences

This shows you the differences between two versions of the page.

--- start:cursos:cisco [2025/11/27 23:51] – 192.168.10.1
+++ start:cursos:cisco [2025/12/04 16:15] (current) – [VPN] 192.168.10.1
@@ Line 707: / Line 707: @@
 Aquí podemos definir un enrutado `ospf` o cualquier otra cosa relacionada con el enrutamiento que se hace en el interfaz de un router.
+<note warning>
+En el packet tracer, se puede usar `ip ospf X area Y` en el SVI, pero no se persisten los cambios. Por ello, para que sean permanentes las redes definidas en el SVI, hay que poner las `network <wildmask>` correspondientes en la sección `router ospf X`.
+</note>
 <note>Una vez definidas todas las funcionalidades de un router, hay que usar el comando `ip routing` para que entren en funcionamiento.
@@ Line 833: / Line 837: @@
 Router(dhcp-config)#network 192.168.0.0 255.255.255.0
 Router(dhcp-config)#default-router 192.168.0.1
-Router(dhcp-config)#option ip 150 192.168.0.1
+Router(dhcp-config)#option 150 ip 192.168.0.1
 Router(dhcp-config)#exit
 ```
@@ Line 859: / Line 863: @@
 Router(config)#telephony-service
 Router(config-telephony)#max-dn 2
-Router(config-telephony)#mex-ephones 2
+Router(config-telephony)#max-ephones 2
 Router(config-telephony)#ip source-address 192.168.0.1 port 2000
 Router(config-telephony)#auto assign 1 to 2
@@ Line 902: / Line 906: @@
 Router2(config-dial-peer)#codec g711ulaw
 ```
+===== VPN =====
+Dentro de lo que soporta packet tracer, tenemos dos opciones:
+  - Cifrado de la conexión directamente en el interfaz.
+  - Cifrado de los datos que viajan en la conexión a través de un túnel.
+Las dos opciones tienen en común el cifrado mediante IPSec, pero difieren en la estructura, su complejidad y facilidad para gestionarlas. Por el uso que se hace de ambas en la realidad, además de permitir no redundar en explicaciones, las veremos en orden inverso.
+==== Conexión a través de túnel ====
+La conexión a través de túnel exige que previamente esté funcionando la conexión WAN, y sobre este funcionamiento, sin supeditarlo, se añade una conexión punto a punto con el otro extremo. Simplemente necesitamos asignar una red /30 a la conexión punto a punto en un rango privado, y establecer la comunicación a través de esta conexión. Esta conexión se genera a través de una interfaz virtual llamada `tunnel X`, y que puede manejarse básicamente como cualquier interfaz.
+En un extremo:
+```
+interface Tunnel0
+ ip address 10.10.10.2 255.255.255.252
+ tunnel source 64.100.13.2
+ tunnel destination 209.165.118.2
+ tunnel mode gre ip
+```
+y en el otro
+```
+interface Tunnel0
+ ip address 10.10.10.1 255.255.255.252
+ tunnel source 209.165.118.2
+ tunnel destination 64.100.13.2
+ tunnel mode gre ip
+```
+<note>En `tunnel source` se puede sustituir la ip del interfaz por el nombre de la interfaz.</note>
+Después, se puede usar una ruta estática apuntando a la red remota y el otro extremo del túnel como gateway:
+En el primer extremo (siendo la red remota 192.168.30.0/24):
+```
+ip route 192.168.30.0 255.255.255.0 10.10.10.1
+```
+Y en el segundo, para acceder a la 192.168.10.0/24:
+```
+ip route 192.168.10.0 255.255.255.0 10.10.10.2
+```
+Una vez hecho esto, desde cualquiera de las redes de ambos lados se puede acceder al otro lado.
+<note>**IMPORTANTE**: Principalmente de cara a packet tracer, la LAN al interior de cada extremo NO puede publicarse por OSPF, eigrp, etc.</note>
+==== Cifrado IPSec ====
+El cifrado IPSec requiere que el router (básicamente la serie 29xx) pueda incorporar el módulo de seguridad `securityk9`. Esto podemos verlo con el comando `show version` en modo admin:
+```
+R1#show version
+----------------------------------------------------------------
+Technology	Technology-package 		Technology-package
+ 			Current		Type 		Next reboot
+-----------------------------------------------------------------
+ipbase		ipbasek9	Permanent	ipbasek9
+security	None		None		None
+uc 			None 		None 		None
+data 		None 		None 		None
+```
+Para activar el módulo hay que seguir estos pasos:
+```
+R1(config)# license boot module c2900 technology-package securityk9
+R1(config)# end
+R1# copy running-config startup-config
+R1# reload
+```
+Después de reiniciar, volvemos a comprobar con `show version`.
+```
+R1#show version
+----------------------------------------------------------------
+Technology	Technology-package 		Technology-package
+ 		Current		Type 		Next reboot
+-----------------------------------------------------------------
+ipbase		ipbasek9	Permanent	ipbasek9
+security	securityk9 	Evaluation 	securityk9
+uc 		None 		None 		None
+data 		None 		None 		None
+```
+Estos pasos hay que repetirlos con cada router que vaya a usar el cifrado.
+Ahora, tenemos los routers R1 y R2.
+Primero tenemos que crear una ACL para el "tráfico interesante" (el que será cifrado):
+```
+R1(config)# access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
+```
+```
+R2(config)# access-list 110 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
+```
+A continuación, los parámetros en fase 1 para cada router:
+```
+R1(config)# crypto isakmp policy 10
+R1(config-isakmp)# encryption aes
+R1(config-isakmp)# authentication pre-share
+R1(config-isakmp)# group 2
+R1(config-isakmp)# exit
+R1(config)# crypto isakmp key cisco address 209.165.118.2
+```