Alias: Astronaut | CNO V Security
← Volver a Actividades
馃搫 Descargar PDF 馃摜 Descargar Packet Tracer

Implementaci贸n de VPN IPSec Site-to-Site

INFORMACI脫N GENERAL:

  • Alumno: Mauricio Josafat Salinas Carrillo
  • Fecha: 13 de Febrero de 2026
  • Tipo de documento: Actividad 06
  • Tema: Redes, Seguridad y Criptograf铆a
  • Herramienta: Cisco Packet Tracer

Introducci贸n Contextual

En un mundo interconectado, las organizaciones necesitan comunicar sus sucursales de manera segura a trav茅s de redes p煤blicas como Internet. Las Redes Privadas Virtuales (VPN) con el conjunto de protocolos IPSec (Internet Protocol Security) son el est谩ndar para garantizar la confidencialidad, autenticidad e integridad de estos datos. Esta actividad detalla la configuraci贸n paso a paso de un t煤nel "Site-to-Site" entre routers Cisco.

1. Objetivo de la Pr谩ctica

El objetivo principal de esta pr谩ctica fue configurar una red privada virtual (VPN) utilizando el protocolo IPSec entre dos sucursales simuladas (Router R1 y Router R3). La finalidad es permitir que dos redes LAN privadas (192.168.1.0/24 y 192.168.3.0/24) se comuniquen de manera segura y encriptada a trav茅s de una red p煤blica insegura (simulada por el router ISP).

2. Topolog铆a de Red

Se dise帽贸 una topolog铆a triangular compuesta por:

  • 3 Routers: R1 (Sucursal A), R3 (Sucursal B) e ISP (Internet).
  • 2 Switches: Para la distribuci贸n en las LAN.
  • 2 PCs: PC-A y PC-C para pruebas de conectividad de extremo a extremo.
Topolog铆a General de la Red
Fig 1. Topolog铆a General de la Red

3. Desarrollo de la Pr谩ctica

3.1 Configuraci贸n Base y Enrutamiento

Inicialmente, se configuraron las interfaces GigabitEthernet con direccionamiento IPv4 y se establecieron rutas est谩ticas predeterminadas (ip route 0.0.0.0 0.0.0.0 [IP_ISP]) para simular el acceso a Internet.

Configuraci贸n B谩sica de Rutas e IPs

3.2 Desaf铆o T茅cnico: Activaci贸n de Licencias de Seguridad

Al intentar configurar los par谩metros de la VPN, el router (modelo 1941) arroj贸 errores de "Invalid input" al ingresar comandos como crypto map.

Diagn贸stico:
Se identific贸 que los routers ven铆an con la licencia base (ipbasek9), la cual no incluye m贸dulos de criptograf铆a.

Soluci贸n:
Fue necesario activar el paquete de tecnolog铆a de seguridad mediante el comando:

license boot module c1900 technology-package securityk9

Posteriormente, se aceptaron los t茅rminos de licencia, se guard贸 la configuraci贸n y se reinici贸 el equipo (reload) para aplicar los cambios.

Activaci贸n de Licencia SecurityK9

3.3 Configuraci贸n de IPSec (Fase 1 y Fase 2)

Una vez activa la licencia, se procedi贸 a la configuraci贸n criptogr谩fica en ambos routers (R1 y R3):

  1. ACL (Lista de Acceso): Se defini贸 el tr谩fico "interesante" (de LAN a LAN).
  2. Pol铆tica ISAKMP (Fase 1): Encriptaci贸n AES, Hash SHA, Autenticaci贸n Pre-Shared, Grupo Diffie-Hellman 2.
  3. Transform Set (Fase 2): Algoritmos para proteger los datos (ESP-AES, ESP-SHA-HMAC).
  4. Crypto Map: Vinculaci贸n de la ACL, el peer remoto y el transform set a la interfaz WAN.
Configuraci贸n de Comandos Crypto

3.4 Resoluci贸n de Conflictos en R1

Durante la configuraci贸n de R1, se presentaron errores de sincronizaci贸n y tipeo. Al intentar corregir el mapa criptogr谩fico borr谩ndolo, el sistema arroj贸 el error:

"Crypto-map mymap is in use by interface..."

Soluci贸n Implementada:
Se sigui贸 el procedimiento correcto para modificaci贸n:

  1. Ingresar a la interfaz g0/0 y remover el mapa (no crypto map...).
  2. Borrar el mapa globalmente.
  3. Recrear el mapa con la sentencia match address 110 correcta.
  4. Reaplicar el mapa a la interfaz.
Error de Mapa en Uso
Error: Mapa en uso
Configuraci贸n Final Correcta
Correcci贸n aplicada en R1

4. Verificaci贸n y Resultados

4.1 Prueba de Conectividad (Ping)

Se realiz贸 un ping desde la PC-A (192.168.1.10) hacia la PC-C (192.168.3.10).

  • Observaci贸n: Los primeros paquetes mostraron "Request timed out" debido al proceso de negociaci贸n de claves (IKE) y ARP.
  • Resultado: A partir del tercer paquete, se obtuvo respuesta exitosa ("Reply from..."), confirmando el establecimiento del t煤nel.
Ping Exitoso en Consola

4.2 Verificaci贸n Visual (Simulation Mode)

Utilizando el modo de simulaci贸n de Packet Tracer, se verific贸 visualmente el flujo de paquetes. Se observ贸 c贸mo los paquetes ICMP eran encapsulados en paquetes ESP (IPSec) al transitar por el router ISP, garantizando que la informaci贸n viajaba encriptada.

Simulaci贸n de Tr谩fico VPN

Reflexi贸n y Casos de Uso

Reflexi贸n sobre VPNs e IPSec

La implementaci贸n de VPNs IPSec es un pilar de la conectividad moderna. Esta pr谩ctica destac贸 que la seguridad no es "plug-and-play"; requiere una configuraci贸n meticulosa de dos fases (ISAKMP y IPSec) para establecer un canal seguro. El desaf铆o de las licencias (securityk9) fue un recordatorio valioso de que el hardware por s铆 solo no garantiza seguridad; el software y las capacidades activadas son igual de cr铆ticos.

Casos de Uso Empresariales

Conectividad entre Sucursales (Site-to-Site):

Como en la pr谩ctica, conectar oficinas geogr谩ficamente dispersas (ej. Matriz en CDMX y Bodega en Monterrey) a trav茅s de Internet p煤blico de forma transparente para los usuarios, ahorrando costos de l铆neas dedicadas (MPLS).

Trabajo Remoto Seguro (Client-to-Site):

Permitir que empleados accedan a recursos internos de la empresa desde sus casas o cafeter铆as de forma segura, encapsulando su tr谩fico para evitar intercepciones en redes Wi-Fi p煤blicas.

Interconexi贸n H铆brida (On-Premise a Nube):

Establecer t煤neles IPSec entre el centro de datos f铆sico de la empresa y servicios en la nube (AWS VSC, Azure VPN Gateway) para extender la red corporativa de manera segura.

Conclusi贸n Global

La pr谩ctica demostr贸 exitosamente la implementaci贸n de una VPN Site-to-Site. Se aprendi贸 la importancia de verificar las licencias del IOS (securityk9) antes de iniciar configuraciones avanzadas y la necesidad de seguir un orden estricto al modificar mapas criptogr谩ficos. El t煤nel IPSec asegura la confidencialidad, autenticaci贸n e integridad de los datos en tr谩nsito.