Verificación del funcionamiento de la VPN IPSec

CAPÍTULO 5 CONCLUSIONES Y TRABAJOS FUTUROS

B.2 Verificación del funcionamiento de la VPN IPSec

Los comandos necesarios para verificar el funcionamiento de la VPN son:

- sh crypto isakmp policy. Para verificar los parámetros de IKE.

- sh crypto ipsec transform-set. Para verificar el conjunto de transformación de

IPSec.

- sh crypto map. Muestra los parámetros de entrada del mapa de cifrado.

- sh crypto ipsec sa. Muestra los parámetros de las SA de IPSec actualmente

corriendo en la VPN.

- sh crypto engine connections active. Muestra las conexiones VPN actuales.

- sh run. Muestra la configuración global del ruteador.

- sh process cpu. Muestra el porcentaje de utilización del CPU del ruteador.

B.2.1 sh crypto isakmp policy

Este comando sirve para verificar las normas IKE configuradas por el usuario y las predeterminadas. Es de utilidad para poder ver los parámetros IKE configurados ya que los ruteadores A y C deben de tener una norma en común para poder negociar las SA IPSec.

El ejemplo B.1 muestra la salida del ruteador A de las normas IKE configuradas.

Ejemplo B.1

routerA# sh crypto isakmp policy Global IKE policy

Protection suite of priority 100

hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #2

lifetime: 60 seconds, no volume limit Default protection suite

encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard

authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit)

lifetime: 86400 seconds, no volume limit

Se debe de verificar que el ruteador C tenga una norma igual a las mostradas en el ejemplo B.1 El ruteador por defecto configura una norma IKE en el caso de que existan errores del usuario al no tener un par de normas coincidentes, pero si se desean otros parámetros diferentes a la norma IKE por defecto se debe crear una forzosamente.

B.2.2 sh crypto ipsec transform-set

Este comando sirve para ver los conjuntos de transformación configurados. En el conjunto de transformación se incluye el modo IPSec, el algoritmo de encriptación, el protocolo IPSec (AH o ESP) y el algoritmo hash.

El ejemplo B.2 muestra la salida del ruteador A.

Ejemplo B.2

routerA# sh crypto ipsec transform-set

Transform set vpnqos: {esp-aes, esp-sha-hmac} will negotiate = {Tunnel}

B.2.3 sh crypto map

Este comando sirve para ver las entradas que se configuraron en el mapa de cifrado. A través de él se puede ver los parámetros: el igual IPSec, la lista de acceso de cifrado, el tiempo de vida de la SA IPSec, el conjunto de transformación y la interfaz que utiliza el mapa de cifrado.

El ejemplo B.3 muestra la salida del ruteador A.

routerA# sh crypto map

Crypto Map “mapa_vpnqos” 10 ipsec-isakmp Peer = 182.30.3.2

Extended IP access list 130

access-list 130 permit ip host 162.30.1.4 host 173.20.5.2 Current peer: 182.30.3.2

Security association lifetime: 120 seconds PFS (Y/N): Y

Transform sets = {vpnqos}

Interfaces using crypto map mapa_vpnqos: Serial0/0

B.2.4 sh crypto ipsec sa

Este comando se utiliza para conocer los parámetros utilizados por la SA’s IPSec actuales. Con este comando se puede conocer principalmente: el mapa de cifrado utilizado, el igual remoto, el número de paquetes encapsulados y encriptados y el número de errores que ha habido en una SA IPSec.

El ejemplo B.4 muestra la salida del ruteador A.

Ejemplo B.4

routerA# sh crypto ipsec sa interface: Serial0/0

Crypto map tag: mapa_vpnqos, local addr. 172.16.1.3

protected vrf:

local ident (addr/mask/prot/port): (182.30.0.0/255.255.0.0/0/0) remote ident (addr/mask/prot/port): (172.30.0.0/255.255.0.0/0/0) current_peer: 182.30.3.2:500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 1368, #pkts encrypt: 1368, #pkts digest 1368 #pkts decaps: 2131, #pkts decrypt: 2131, #pkts verify 2131 #pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 172.16.1.3, remote crypto endpt.: 182.30.3.2 path mtu 1500, media mtu 1500

current outbound spi: C8655580

spi: 0x34B767D6(884434902) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, }

slot: 0, conn id: 2000, flow_id: 1, crypto map: mapa_vpnqos sa timing: remaining key lifetime (k/sec): (4379807/96) IV size: 8 bytes

replay detection support: Y inbound ah sas:

inbound pcp sas: outbound esp sas:

spi: 0xC8655580(3362084224) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, }

slot: 0, conn id: 2001, flow_id: 2, crypto map: mapa_vpnqos sa timing: remaining key lifetime (k/sec): (4379807/96) IV size: 8 bytes

replay detection support: Y outbound ah sas:

outbound pcp sas:

B.2.5 sh crypto engine connections active

Este comando se utiliza cuando: se quiere verificar las conexiones activas, si realmente se están encriptando los paquetes y para ver qué interfaz está participando en túnel VPN. El número de paquetes encriptados no necesariamente debe de coincidir con el número de paquetes desencriptados.

El ejemplo B.5 muestra la salida del ruteador A.

Ejemplo B.5

routerA# sh crypto engine connections active

ID Interface IP-Address State Algorithm Encrypt Decrypt 1 Serial0/0 172.16.1.3 set HMAC_SHA+AES 0 0 2000 Serial0/0 172.16.1.3 set HMAC_SHA+AES 0 40 2001 Serial0/0 172.16.1.3 set HMAC_SHA+AES 40 0

B.2.6 sh run

Este comando siempre se utiliza para ver la configuración global que tiene el ruteador. A través de él se pueden ver todos los parámetros que involucra la creación de la VPN y otros parámetros independientes que no sean parte de la VPN.

El ejemplo B.6 muestra la salida del ruteador A.

Ejemplo B.6

routerA#sh run

Building configuration...

Current configuration : 2274 bytes !

version 12.3

service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname routerA ! boot-start-marker boot-end-marker ! no aaa new-model ! resource policy ! no network-clock-participate slot 1 no network-clock-participate wic 0 ip subnet-zero ip cef ! no ip dhcp use vrf connected ! !

no ip ips deny-action ips-interface !

no ftp-server write-enable !

class-map match-any CRITICAL-DATA-http match protocol http

match ip dscp af11

match protocol rtp audio

match protocol rtp payload-type "34" match ip dscp af41

class-map match-any CRITICAL-DATA-ftp match protocol ftp match ip dscp af12 ! policy-map FOUR-CLASS-V3PN-EDGE class VC-VOICE-VIDEO priority percent 50 class CRITICAL-DATA-http bandwidth remaining percent 60 random-detect dscp-based class CRITICAL-DATA-ftp bandwidth remaining percent 15 random-detect dscp-based class class-default

bandwidth remaining percent 25 random-detect policy-map CB-MARKING class VC-VOICE-VIDEO set dscp af41 class CRITICAL-DATA-http set dscp af11 class CRITICAL-DATA-ftp set dscp af12 ! !

crypto isakmp policy 100 authentication pre-share group 2

crypto isakmp key cisco1234 address 182.30.3.2 255.255.0.0 !

crypto ipsec security-association lifetime seconds 120 !

crypto ipsec transform-set vpnqos esp-aes esp-sha-hmac !

crypto map mapa_vpnqos 10 ipsec-isakmp set peer 182.30.3.2

set transform-set vpnqos set pfs group2

match address 130 qos pre-classify !

interface FastEthernet0/0

ip address 162.30.1.2 255.255.0.0 duplex auto

speed auto

service-policy input CB-MARKING interface Serial0/0 ip address 172.16.1.3 255.255.0.0 tx-ring-limit 5 tx-queue-limit 5 clockrate 1000000

crypto map mapa_vpnqos

service-policy output FOUR-CLASS-V3PN-EDGE ! interface BRI0/0 no ip address shutdown ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/1 no ip address shutdown ! router rip network 162.30.0.0 network 172.16.0.0 ! ip classless ! ip http server no ip http secure-server !

access-list 130 permit ip host 162.30.1.4 host 173.20.5.2 ! ! control-plane ! line con 0 line aux 0 line vty 0 4 login

! !

end

B.2.7 sh process cpu

Este comando muestra el porcentaje de utilización o saturación del procesador central del ruteador. Muestra la utilización en los últimos cinco segundos antes de que se tecleara el comando, la utilización que hubo en el último minuto y finalmente en los últimos cinco minutos. Cisco recomienda que el CPU no exceda a lo máximo el 75% para un buen funcionamiento.

El ejemplo B.7 muestra la salida del ruteador A.

routerA#sh process cpu

CPU utilization for five seconds: 42%/9%; one minute: 43%; five minutes: 38%

In document GESEQ: Modelo para la Transferencia de Voz y Video en Redes Privadas Virtuales IPSec con Calidad de Servicio Edición Única (página 93-100)