Existen dos tipos básicos de redes VPN:

1. Sitio a sitioUna VPN de sitio a sitio se crea cuando los dispositivos de conexión en ambos extremos de la

conexión VPN conocen la configuración VPN de antemano. La VPN permanece estática y los hosts internos no tienen conocimiento de la existencia de la VPN. Las redes Frame Relay, ATM, GRE y MPLS son ejemplos de VPNs de sitio a sitio.

2. Acceso remotoUna VPN de acceso remoto se crea cuando la información de la VPN no se configura en forma

estática, sino quese permite que la información cambie en forma dinámica y puede ser habilitada o deshabilitada. Considere un trabajador a distancia que necesita acceder a datos corporativos a través de Internet. Su conexión VPN puede no estar activa en todo momento. La PC del trabajador es responsable de establecer la VPN. La información requerida para establecer la conexión VPN, como puede ser la dirección IP del trabajador a distancia, cambia dinámicamente de acuerdo a la ubicación del mismo.

VPN de sitio a sitioUna VPN de sitio a sitio es una extensión de una red WAN clásica. Las VPNs de sitio a sitio conectan redes completas entre sí. Por ejemplo, pueden conectar redes de sucursales a la red de la oficina central de la compañía. En el pasado, era necesaria una línea arrendada o una conexión Frame Relay para comunicar estos sitios, pero debido a que la mayoría de las corporaciones ahora disponen de acceso a internet, estas conexiones pueden reemplazarse con VPNs de sitio a sitio.

VPN de acceso remotoLas VPNs de acceso remoto son una evolución de las redes de conmutación de circuitos, tales como el servicio de telefonía básica (POTS) o ISDN. Las VPNs de acceso remoto pueden cubrir las necesidades de tráfico de los trabajadores a distancia, los usuarios móviles y los clientes de la empresa. Las VPNs de acceso remoto soportan una arquitectura cliente-servidor, donde un cliente VPN (el host remoto) requiere un acceso seguro a la red de la empresa mediante un servidor VPN instalado en el límite de la red.

La línea de productos VPN de Cisco incluye diversos dispositivos para soportar una VPN remota o sitio a sitio:

1. Routers y switches Cisco con capacidad VPN

2. Dispositivos Cisco PIX 500 Series Security Appliances

3. Dispositivos Cisco ASA 5500 Series Adaptive Security Appliances

4. Concentradores Cisco VPN 3000 Series

Configuración de un túnel GRE sitio a sitio

El GRE (Generic Routing Encapsulation) es un protocolo para el establecimiento de túneles a través de Internet. Está definido en la RFC 1701 y en la RFC 1702, pudiendo transportar hasta 20 protocolos de red distintos.

La configuración de un túnel GRE consta de cinco pasos:Paso 1. Crear la interfaz del túnel utilizando el comando interface tunnel 0.Paso 2. Asignar una dirección IP al túnel.Paso 3. Identificar la interfaz del túnel origen utilizando el comando tunnel source.Paso 4. Identificar el destino del túnel utilizando el comando tunnel destination.Paso 5. Configurar qué protocolo será encapsulado por GRE utilizando el comando tunnel mode gre.

La configuración de un túnel GRE consta de cinco pasos:Paso 1. Crear la interfaz del túnel utilizando el comando interface tunnel 0.Paso 2. Asignar una dirección IP al túnel.Paso 3. Identificar la interfaz del túnel origen utilizando el comando tunnel source.Paso 4. Identificar el destino del túnel utilizando el comando tunnel destination.Paso 5. Configurar qué protocolo será encapsulado por GRE utilizando el comando tunnel mode gre.

Las ventajas de GRE consisten en que puede ser utilizado para tunelizar tráfico no IP sobre una red IP.

Además y a diferencia de IPsec, que sólo soporta tráfico unicast, GRE soporta tráfico multicast y broadcast a través del enlace de túnel. Por lo tanto, los protocolos de enrutamiento son soportados por GRE.

Entre redes wan, un router le envia un paquete a otro para decirle que la ruta a un destino aun esta en linea. si un router ya no recibe estos paquetes, la ruta la pone como inaccsesible evitando asi la perdida de paquetes.

Intercambio seguro de claves - IPsec utiliza el algoritmo DH para proveer un método de intercambio de claves públicas entre los pares, para establecer una clave compartida secreta.

Confidencialidad - IPsec asegura la confidencialidad mediante el uso de cifrado.

Autenticación - IPsec utiliza IKE (Internet Key Exchange) para autenticar a los usuariosy dispositivos que puedan llevar a cabo comunicaciones en forma independiente.

Configuración de una VPN IPsec de sitio a sitio

El comando crypto isakmp policy invoca al modo de configuración de la política ISAKMP. Configurar los parámetros ISAKMP en este modo. Si los comandos no son configurados en forma explícita, se utilizan valores por defecto. Por ejemplo, si el comando hash no se configura explícitamente, IKE utiliza el valor SHA por defecto.authentication pre-shareMétodo de autenticación de pares

encryption desAlgoritmo de cifrado del mensaje

group 1Parámetro de intercambio de claves (1, 2 ó 5)

hash md5Algoritmo de integridad del mensaje

lifetime 86400Tiempo de vida de SA establecidos por ISAKMP

Utilice un número entero entre 1 y 10.000, siendo 1 la más alta prioridad y 10.000 la más baja. Debe asignarse el número disponible más bajo a la política más segura.