Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Cisco Easy VPN Remote

Anuncio 
Cisco Easy VPN Remote
Descargue este capítulo
Cisco Easy VPN Remote
Descargue el libro completo
Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB)
Feedback
Contenidos
Cisco Easy VPN Remote
Encontrar la información de la característica
Contenido
Prerrequisitos de Cisco Easy VPN Remote
Restricciones de Cisco Easy VPN Remote
Información sobre Cisco Easy VPN Remote
Beneficios de la Función Cisco Easy VPN Remote
Descripción General de Cisco Easy VPN Remote
Modos de Funcionamiento
Escenarios del modo cliente y del modo de ampliación de la red
Autenticación con el telecontrol del Cisco Easy VPN
Uso de las claves del preshared
Uso de los Certificados digitales
Uso del Xauth
Activación basada en web
autenticación del 802.1x
Opciones de Activación del Túnel
Activación automática
Activación manual
Activación Accionada por Tráfico
Soporte de Failover sin Estado por Detección de Peer Muerto
Configuración Local de la Lista del Servidor de Respaldo
Autoconfiguración de la lista del servidor de backup
Funciones de Cisco Easy VPN Remote
Interfaz interior predeterminada
Interfaces interiores múltiples
Interfaces exteriores múltiples
Soporte a VLAN
Soporte de la subred múltiple
Soporte de la Interoperabilidad NAT
Soporte de la dirección local
Nombre de host del par
Soporte del servidor DNS del proxy
Soporte del Firewall Cisco IOS
Easy VPN Remote y Servidor en la Misma Interfaz
Easy VPN Remote y Sitio a Sitio en la Misma Interfaz
Encargados remotos de la red del Cisco Easy VPN
Dead Peer Detection Periodic Message Option
Balance de carga
Mejoras de la Administración
Soporte PFS
Dial Backup
Soporte de Interfaz IPSec Virtual
Dual Tunnel Support
Banner
Mejoras de la Administración de la Configuración (Aplicación de una URL de Configuración a través de un
Intercambio de Modo-Configuración)
Peer Primario Reactivo
Identical Addressing Support
cTCP Support on Easy VPN Clients
Easy VPN Server en un VPN 3000 series concentrator
Configuración de peer en un telecontrol del Cisco Easy VPN usando el nombre de host
Versión 3.5 interactiva de la autenticación de hardware cliente
Protocolo del túnel IPsec
Grupo IPSec
Bloqueo del grupo
Xauth
Tunelización dividida
Propuestas IKE
Nuevo IPSec SA
Cómo Configurar Cisco Easy VPN Remote
Tareas Remotas
Configurando y asignando la configuración VNP remota sencilla
Verificar la configuración del Cisco Easy VPN
Configuración de Guardado de Contraseña
Configurar el control manual del túnel
Configurar el control del túnel automático
Configurar las interfaces interiores múltiples
Configurar las interfaces exteriores múltiples
Configurar el soporte de la subred múltiple
Configurar el soporte del servidor DNS del proxy
Configurar el Respaldo de marcado
Configurar el pool del servidor DHCP
Reajuste de una conexión VPN
Monitoreando y mantener el VPN y los eventos IKE
Configurar una interfaz virtual
Localización de averías del soporte dual del túnel
El configurar reactiva al peer primario (de un valor por defecto)
Configurar el soporte de dirección idéntico
Configurar el cTCP en un cliente VPN fácil
Restricción del Tráfico Cuando se Desactiva un Túnel
Tareas de Easy VPN Server
Configurar un servidor del Cisco IOS Easy VPN
Configurar un Easy VPN Server en un Cisco PIX Firewall
Tareas de la Interfaz de Red
Configurar la activación basada en web
Monitoreando y mantener la activación basada en web
Usando el SDM como administrador de la red
Troubleshooting de la Conexión VPN
Localización de averías de una conexión VPN usando la característica del telecontrol del Cisco Easy VPN
Localización de averías del modo de operación del cliente
Localización de averías de la administración remota
Localización de averías del Dead Peer Detection
Ejemplos de Configuración de Cisco Easy VPN Remote
Ejemplos de Configuración de Easy VPN Remote
Configuración del Modo Cliente: Ejemplos
Soporte de Dirección Local para Easy VPN Remote: Ejemplo:
Configuración del Modo de Ampliación de Red: Ejemplos
Configuración de Guardado de Contraseña: Ejemplo:
PFS Support: Ejemplos
Dial Backup: Ejemplos
Activación Basada en Web: Ejemplo:
Configuración de Easy VPN Remote con Soporte de Interfaz IPSec Virtual: Ejemplos
Configuración de Túnel Doble: Ejemplo:
Salida de Visualización del Túnel Dual: Ejemplos
Peer Primario Reactivo: Ejemplo:
Configuración del Soporte de Direccionamiento Idéntico: Ejemplo:
cTCP on an Easy VPN Client (Dispositivo Remoto): Ejemplos
Ejemplos de Configuración de Easy VPN Server
Easy VPN Server de Cisco sin Tunelización Dividida: Ejemplo:
Configuración de Easy VPN Server de Cisco con Tunelización Dividida: Ejemplo:
Configuración Sencilla de un servidor VPN Cisco con Xauth: Ejemplo:
Soporte de Interoperabilidad de Easy VPN Server: Ejemplo:
Referencias adicionales
Documentos Relacionados
Estándares
MIB
RFC
Asistencia Técnica
Información sobre la Función Easy VPN Remote
Glosario
Cisco Easy VPN Remote
Primera publicación: De noviembre el 25 de 2002
Última actualización: De abril el 06 de 2011
Este documento proporciona la información sobre configurar y monitorear la característica remota del Cisco Easy VPN para
crear los túneles del Red privada virtual (VPN) del IPSec entre un router soportado y un Easy VPN Server (Cisco IOS router,
concentrador VPN 3000, o Cisco PIX Firewall) ese soporta esta forma de encripción de IPSec y de desciframiento.
Para las ventajas de esta característica, vea las ventajas de la sección de la característica del telecontrol del Cisco Easy VPN.
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y
advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información
sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada
característica, vea “información de la característica para la sección del Easy VPN Remote”.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no
se requiere.
Contenido
•
Prerrequisitos de Cisco Easy VPN Remote
•
Restricciones de Cisco Easy VPN Remote
•
Información sobre Cisco Easy VPN Remote
•
Cómo Configurar Cisco Easy VPN Remote
•
Ejemplos de Configuración de Cisco Easy VPN Remote
•
Referencias adicionales
•
Información sobre la Función Easy VPN Remote
•
Información sobre la Función Easy VPN Remote
•
Glosario
Prerrequisitos de Cisco Easy VPN Remote
Característica del telecontrol del Cisco Easy VPN
• Un Cisco IOS Release 12.2(15)T del Cisco 800 Series Router, un 12.3(2)T, un 12.3(4)T, un 12.3(7)T, o un 12.3(7)XR2
corriente configurado como telecontrol del Cisco Easy VPN.
• Un Cisco IOS Release 12.2(15)T del Cisco 1700 Series Router, un 12.3(2)T, un 12.3(4)T, un 12.3(7)T, o un 12.3(7)XR
corriente, configurado como telecontrol del Cisco Easy VPN.
•
Un Cisco IOS Release 12.3(8)YI corriente del router de la Configuración fija de las Cisco 1800 Series.
• Un Cisco uBR905 o un Cisco IOS Release 12.2(15)T corriente Cisco uBR925 cable access router, configurado como
telecontrol del Cisco Easy VPN.
• Otro router Cisco o concentrador VPN que soporta la característica del servidor del Cisco Easy VPN y que se configuran
como servidor del Cisco IOS Easy VPN. Vea que “requirió la sección de los servidores VPN fáciles” para una lista detallada.
Reactive la característica del peer primario
• Una configuración VNP remota sencilla existente se puede aumentar para acomodar la característica del peer primario
de la reactivación usando peer el comando (y default la palabra clave) y idle-time el comando. Después del túnel entre el
Easy VPN Remote y un par del nondefault está trabajando, el peer primario de la reactivación que las características toman
el efecto, es decir, el Easy VPN Remote intenta periódicamente marcar la Conectividad con el peer primario. Cualquier
momento el Easy VPN Remote detecta que el link está trabajando, el Easy VPN Remote derriba la conexión existente y trae
para arriba el túnel con el peer primario.
Restricciones de Cisco Easy VPN Remote
Servidores VPN fáciles requeridos
La característica remota del Cisco Easy VPN requiere que el peer de destino sea un servidor o un concentrador VPN del Cisco
IOS Easy VPN que soportan la característica del servidor del Cisco Easy VPN. A la hora de la publicación, los servidores o los
concentradores que soportan esta característica incluyen las Plataformas siguientes al ejecutar las versiones de software
indicadas:
• Cisco 806, Cisco 826, Cisco 827, Cisco 828, Cisco 831, Cisco 836, y Cisco 837 Router — versión del Cisco IOS Release
12.2(8)T o Posterior. No soportan a los Cisco 800 Series Router en el Cisco IOS Release 12.3(7)XR, sino que los soportan
en el Cisco IOS Release 12.3(7)XR2.
•
Cisco 870 Series — Cisco IOS Release 12.3(8)YI1.
•
Cisco 1700 Series — Versión del Cisco IOS Release 12.2(8)T o Posterior.
•
Router de la Configuración fija de las Cisco 1800 Series — Cisco IOS Release 12.3(8)YI.
•
Cisco 1812 Router — Cisco IOS Release 12.3(8)YH.
•
Cisco 2600 Series — Versión del Cisco IOS Release 12.2(8)T o Posterior.
•
Cisco 3620 — Versión del Cisco IOS Release 12.2(8)T o Posterior.
•
Cisco 3640 — Versión del Cisco IOS Release 12.2(8)T o Posterior.
•
Cisco 3660 — Versión del Cisco IOS Release 12.2(8)T o Posterior.
•
Routers Cisco VPN de la serie 7100 — Versión del Cisco IOS Release 12.2(8)T o Posterior.
•
Cisco 7200 Series Router — Versión del Cisco IOS Release 12.2(8)T o Posterior.
•
Cisco 7500 Series Router — Versión del Cisco IOS Release 12.2(8)T o Posterior.
•
Series del Cisco PIX 500 — Versión del Software Release 6.2 o Posterior.
•
Cisco VPN 3000 Series — Versión del Software Release 3.11 o Posterior.
Solamente group2 de la política isakmp soportado en los servidores VPN fáciles
El Unity Protocol soporta solamente las directivas del protocolo internet security association key management (ISAKMP) que
utilizan la negociación del Internet Key Exchange (IKE) del group2 (1024-bit Diffie Hellman), así que el Easy VPN Server que es
utilizado con la característica remota del Cisco Easy VPN se debe configurar para una política isakmp del group2. El Easy VPN
Server no puede ser configurado para el group1 ISAKMP o agrupar 5 al ser utilizado con un cliente del Cisco Easy VPN.
Transforme los conjuntos soportados
Para asegurar una conexión del túnel seguro, la característica remota del Cisco Easy VPN no soporta transforma los conjuntos
que proporcionan el cifrado sin la autenticación (ESP-DES y ESP-3DES) o transforma los conjuntos que proporcionan la
autenticación sin el cifrado (el ESP-SHA-HMAC y ESP-NULL ESP-MD5-HMAC ESP-NULL).
Observeel protocolo cliente del Cisco Unity no soporta la autenticación del Encabezado de autenticación, pero se soporta el
protocolo encapsulation security (ESP).
Respaldo de marcado para los telecontroles fáciles VPN
El respaldo basado en el estado de línea no se soporta en esta característica.
Soporte de la Interoperabilidad de la traducción de dirección de red
La Interoperabilidad del Network Address Translation (NAT) no se soporta en el modo cliente con el Túnel dividido.
Multicast y Static NAT
El Multicast y el NAT estático se soportan solamente para los telecontroles fáciles VPN usando las interfaces del túnel virtuales
dinámicas (DVTIs).
Restricciones de la Interfaz IPSec Virtual
• Para que la característica virtual del soporte de la interfaz del IPSec trabaje, el soporte de las plantillas virtuales es
necesario.
• Si usted está utilizando una interfaz del túnel virtual en el dispositivo del Easy VPN Remote, se recomienda que usted
configura el servidor para una interfaz del túnel virtual.
Dual Tunnel Support
Las restricciones siguientes se aplican si usted está utilizando los túneles duales que comparten las interfaces interiores y
exteriores comunes:
•
Si se configuran los túneles duales, uno de los túneles debe tener un túnel dividido configurado en el servidor.
• La interceptación de la red se puede configurar para solamente una de los túneles. La interceptación de la red no se
debe utilizar para el túnel de la Voz.
• La interceptación de la red no se puede utilizar para los Teléfonos IP hasta que el proxy de la autorización sea enterado
de cómo desviar el teléfono del IP.
• Algunas características, tales como avanzar una configuración URL con un intercambio de la configuración del modo, se
pueden utilizar solamente a través de un solo túnel.
cTCP Support on Easy VPN Clients
•
el cTCP escucha en solamente hasta 10 puertos.
•
Si hay otras aplicaciones registradoas para el puerto en el cual se habilita el cTCP, esas aplicaciones no trabajarán.
Modo del Cliente universal usando el DHCP
•
La característica del Easy VPN Remote no soporta el modo del Cliente universal usando el DHCP.
Activación accionada tráfico local
Esta característica ayuda a configurar la conexión VPN fácil con el tráfico interesante localmente generado.
Condiciones previas
•
El VPN fácil se debe configurar adentro conecta el modo ACL.
• La característica del tráfico local será habilitada solamente cuando por lo menos un túnel inactivo del EasyVPN está
adentro conecta el modo ACL.
• La característica del tráfico local será inhabilitada automáticamente para las condiciones siguientes: todos los túneles
fáciles VPN adentro conectan el modo ACL son activos, y cuando ninguna de la configuración de cliente VPN está adentro
conectan el modo ACL.
ACL conectados en cascada
Los ACL conectados en cascada se utilizan para agregar las nuevas redes en la lista fácil del interés VPN. Ningunas de las
entradas en el ACL deben hacer juego la red de la interfaz interior. Si ocurre una coincidencia, el VPN fácil no puede crear las
reglas NAT y, por lo tanto, los paquetes no serán traducidos por el VPN fácil.
Información sobre Cisco Easy VPN Remote
•
Beneficios de la Función Cisco Easy VPN Remote
•
Descripción General de Cisco Easy VPN Remote
•
Modos de Funcionamiento
•
Autenticación con el telecontrol del Cisco Easy VPN
•
Opciones de Activación del Túnel
•
Soporte de Failover sin Estado por Detección de Peer Muerto
•
Funciones de Cisco Easy VPN Remote
•
Easy VPN Server en un VPN 3000 series concentrator
Beneficios de la Función Cisco Easy VPN Remote
• Permite la configuración dinámica de la directiva del usuario final, requiriendo menos configuración manual de los
usuarios finales y de los técnicos de campo, así reduciendo los errores y otras llamadas de servicio.
• Permite que el proveedor cambie el equipo y las configuraciones de red según las necesidades, con poco o nada de
reconfiguración del equipo del usuario final.
•
Preve la Administración centralizada de la política de seguridad.
•
Habilita los despliegues a gran escala con el aprovisionamiento rápido del usuario.
•
Elimina la necesidad de los usuarios finales de comprar y de configurar los dispositivos VPN externos.
•
Elimina la necesidad de los usuarios finales de instalar y de configurar el software cliente VPN fácil en sus PC.
•
Descarga la creación y el mantenimiento de las conexiones VPN del PC al router.
• Reduce los problemas de interoperabilidad entre los diversos clientes VPN PC basados del software, las soluciones de
VPN basado en hardware externas, y otras aplicaciones VPN.
• Configura un solo túnel IPsec sin importar el número de subredes múltiples se soporten que y los tamaños de la lista del
fractura-incluido.
Descripción General de Cisco Easy VPN Remote
El Cable módems, Routers xDSL, y otras formas de acceso por banda ancha proporcionan las conexiones de alto rendimiento a
Internet, solamente muchas aplicaciones también requiere la Seguridad de las conexiones VPN que realizan un nivel elevado
de autenticación y que cifran los datos entre dos puntos finales específicos. Sin embargo, el establecimiento de una conexión
VPN entre dos Routers puede ser complicado y requiere típicamente la coordinación aburrida entre los administradores de la
red configurar los parámetros VPN del dos Routers.
La característica alejada del Cisco Easy VPN elimina mucho de este trabajo aburrido implementando el protocolo cliente del
Cisco Unity, que permite que la mayoría de los parámetros VPN sean definidos en un servidor del Cisco IOS Easy VPN. Este
servidor puede ser un dispositivo VPN dedicado, tal como un concentrador del Cisco VPN 3000 o un Cisco PIX Firewall o un
router del Cisco IOS que soporte el protocolo cliente del Cisco Unity.
Después de que se haya configurado el servidor del Cisco Easy VPN, una conexión VPN se puede crear con la configuración
mínima en un Easy VPN Remote, tal como un Cisco 800 Series Router o un Cisco 1700 Series Router. Cuando el Easy VPN
Remote inicia la conexión del túnel VPN, el servidor del Cisco Easy VPN avanza las directivas del IPSec al Easy VPN Remote y
crea la conexión del túnel correspondiente VPN.
La característica remota del Cisco Easy VPN preve la Administración automática de los detalles siguientes:
•
Parámetros de negociación del túnel, tales como direccionamientos, algoritmos, y curso de la vida.
•
Estableciendo los túneles según los parámetros que fueron fijados.
• Automáticamente creando el NAT o Port Address Translation (PAT) y Listas de acceso asociadas que son necesarios, si
ninguno.
• Los usuarios de autenticidad, es decir, asegurándose de que los usuarios son quién los dicen están por los nombres de
usuario, los nombres del grupo, y las contraseñas.
•
Manejo de las claves de seguridad para el cifrado y el desciframiento.
•
Autenticando, cifrando, y datos que desencriptan a través del túnel.
Modos de Funcionamiento
Los soportes de característica remotos del Cisco Easy VPN tres modos de operación: cliente, extensión de la red, y extensión
de la red más:
• Cliente — Especifica ese NAT o PALMADITA se haga de modo que los PC y otros hosts en el extremo remoto del túnel
VPN formen una red privada que no utilice ningunos IP Addresses en el espacio de IP Address del servidor de destino.
Se ha hecho una mejora para asignar la dirección IP que se recibe vía la configuración de modo automáticamente a un
Loopback Interface disponible. El Easy VPN Remote crean a las asociaciones de seguridad IPSec (SA) para esta dirección
IP automáticamente. La dirección IP se suele utilizar para troubleshooting (usando ping, Telnet y Secure Shell).
• Extensión de la red — Especifica que los PC y otros hosts en el extremo del cliente del túnel VPN deben ser dados los IP
Addresses que son completamente routable y accesibles al lado de la red de destino sobre la red tunelizada de modo que
formen una red lógica. La PALMADITA no se utiliza, que permite que el cliente PC y los hosts tengan el acceso directo a los
PC y hosts en la red de destino.
• Extensión de la red más (modo red-más) — Idéntico al modo de ampliación de la red con la capacidad adicional de
poder pedir una dirección IP vía la configuración de modo y asignarla automáticamente a un Loopback Interface disponible.
El SA de IPSec para esta dirección IP es creado automáticamente por el Easy VPN Remote. La dirección IP se suele utilizar
para troubleshooting (usando ping, Telnet y Secure Shell).
Observe estas funciones se soporta solamente cuando el servidor del Cisco Easy VPN y el cliente del Cisco Easy
VPN tienen el mismo tipo de configuración VPN fácil. Es decir ambos deben utilizar una configuración VPN fácil
de la herencia, o ambos deben utilizar una configuración DVTI.
Todos los modos de operación soportan también opcionalmente el Túnel dividido, que permite el acceso seguro a los recursos
corporativos a través del túnel VPN mientras que también permite el acceso a internet a través de una conexión a un Proveedor
de servicios de Internet (ISP) o a otro servicio — de tal modo eliminación de la red corporativa de la trayectoria para el Acceso
Web.
Escenarios del modo cliente y del modo de ampliación de la red
El cuadro 1 ilustra el modo de operación del cliente. En este ejemplo, el Cisco 831 Router proporciona el acceso a dos PC, que
tienen IP Addresses en el espacio de la red privada de 10.0.0.0. Estos PC conectan con la interfaz de Ethernet en el Cisco 831
Router, que también tiene una dirección IP en el espacio de la red privada de 10.0.0.0. El Cisco 831 Router realiza la traducción
NAT o de la PALMADITA sobre el túnel VPN de modo que los PC puedan acceder la red de destino.
Cuadro 1 conexión remota del Cisco Easy VPN
Observeel diagrama en el cuadro 1 podría también representar una conexión del Túnel dividido, en la cual el cliente los PC
puede acceder a los recursos públicos en los Internetes globales sin incluir la red corporativa en la trayectoria para los recursos
públicos.
El cuadro 2 también ilustra el modo de operación del cliente, en el cual un concentrador VPN proporciona los puntos finales de
destino a los clientes múltiples xDSL. En este ejemplo, los Cisco 800 Series Router proporcionan el acceso a los clientes
múltiples de la Pequeña empresa, que utiliza los IP Addresses en el espacio de la red privada de 10.0.0.0. Los Cisco 800 Series
Router realizan la traducción NAT o de la PALMADITA sobre el túnel VPN de modo que los PC puedan acceder la red de
destino.
Cuadro 2 conexión remota del Cisco Easy VPN (usando un concentrador VPN)
El cuadro 3 ilustra el modo de operación de la extensión de la red. En este ejemplo, el Cisco 831 Router y el Cisco 1700 Series
Router ambos actúan como dispositivos remotos del Cisco Easy VPN, conectando con el Cisco VPN 3000 un concentrador.
Los hosts del cliente se dan los IP Addresses que son completamente routable al lado de la red de destino sobre el túnel. Estos
IP Addresses podrían estar en el espacio de la misma subred como la red de destino o en las subredes distintas, si se asume
que los routeres de destino están configurados para rutear correctamente esos IP Addresses sobre el túnel.
En este ejemplo, los PC y los hosts asociados al dos Routers tienen IP Addresses que está en el mismo espacio de la dirección
que la red para empresas del destino. Los PC conectan con la interfaz de Ethernet del Cisco 831 Router, que también tiene una
dirección IP en el espacio de la dirección de la empresa. Este escenario proporciona una extensión inconsútil de la red remota.
Cuadro 3 conexión de la extensión de la red del Cisco Easy VPN
Autenticación con el telecontrol del Cisco Easy VPN
Los soportes de característica remotos del Cisco Easy VPN un proceso de dos etapas para autenticar el router remoto al
concentrador central. El primer paso es autenticación del nivel de grupo y es parte de la creación del canal de control. En esta
primera fase, dos tipos de credenciales de autenticación pueden ser utilizados: claves o Certificados digitales del preshared. Los
párrafos siguientes proporcionan los detalles sobre estas opciones.
El segundo paso de la autenticación se llama autenticación ampliada o Xauth. En este paso, el lado remoto (en este caso el
VPN Router fácil) somete un nombre de usuario y contraseña al router del sitio central. Este paso es el mismo proceso que el
que ocurra cuando un usuario del cliente de software de Cisco VPN en un PC ingresa su nombre de usuario y contraseña para
activar su túnel VPN. Al usar al router, la diferencia es que están autenticando al router sí mismo a la red, no un PC con el
software de VPN Client de Cisco. El Xauth es un paso opcional (puede ser inhabilitado) pero se habilita normalmente para
mejorar la Seguridad. Después de que el Xauth sea acertado y sube el túnel, todos los PC detrás del router del Easy VPN
Remote tienen acceso al túnel.
Si se habilita el Xauth, es dominante decidir a cómo entrar el nombre de usuario y contraseña. Hay dos opciones. La primera
opción es salvar el nombre de usuario y contraseña del Xauth en el archivo de configuración del router. Esta opción se utiliza
típicamente si comparten al router entre varios PC y la meta es guardar el túnel VPN para arriba todo el tiempo (véase la
sección “activación automática”) o tener el router automáticamente traer para arriba el túnel siempre que haya datos que se
enviarán (véase la sección “activación accionado por tráfico”). Un ejemplo de esta aplicación es una situación de la sucursal, en
la cual los usuarios en la sucursal quisieran que el túnel VPN estuviera disponible siempre que tengan datos a enviar y no
quieren tener que hacer cualquier cosa especial para activar el túnel VPN. Si los PC en la sucursal se deben autenticar
individualmente en base del ID de cada usuario, la configuración correcta es poner el VPN Router fácil en el modo automático
de la activación para guardar el túnel “encima” de todo el tiempo y para utilizar el Proxy de autenticación o el 802.1x del Cisco
IOS para autenticar los PC individuales. Porque el túnel está siempre para arriba, el Proxy de autenticación o el 802.1x puede
acceder las bases de datos de usuarios del sitio central tales como AAA/RADIUS para autenticar las peticiones de usuario
individual mientras que son sometidos por los usuarios PC. (Vea las secciones de "Documentos relacionados" "Información
General sobre IPsec y VPN" para ver una referencia de configuración del Servidor Alterno de Autenticación y "Autenticación
802.1x" para ver una referencia de configuración de la autenticación 802.1x.)
La segunda opción para la entrada del nombre de usuario y contraseña del Xauth no es salvarlo en el router. En lugar, usuario
de la PC quién está conectado con el router se presenta con un Web page especial que permita que el usuario ingrese
manualmente el nombre de usuario y contraseña (véase la sección “activación manual”). El router envía el nombre de usuario y
contraseña al concentrador del sitio central, y si el nombre de usuario y contraseña está correcto, el túnel sube. La aplicación
típica para esta configuración es una red del teletrabajador. El teletrabajador quiere controlar cuando el túnel es ascendente y
tiene que ingresar sus credenciales de usuario personales (que podrían incluir las contraseñas de USO único) para activar el
túnel. También, el administrador de la red puede querer los túneles del teletrabajador para arriba solamente cuando alguien los
está utilizando para conservar los recursos en los concentradores centrales. (Véase la sección “activación basada en web” para
más información sobre esta configuración.)
El nombre de usuario y contraseña del Xauth se puede también ingresar manualmente del comando line interface(cli) del router.
Este método no se recomienda para la mayoría de las situaciones porque el usuario debe primero iniciar sesión al router (y
necesita una identificación del usuario en el router hacer tan). Sin embargo, puede ser útil para los administradores de la red
durante el troubleshooting.
Uso de las claves del preshared
Usando las claves del preshared, cada par es consciente de la clave del otro par. Las claves del preshared se visualizan en las
configuraciones corrientes, así que pueden ser consideradas por cualquier persona (designado claramente el formato). Cuando
requieren a un tipo más seguro de autenticación, el software de Cisco también apoya otro tipo de clave del preshared: la clave
cifrada del preshared.
Usando una clave cifrada del preshared para la autenticación permite que usted salve con seguridad las contraseñas para texto
sin formato en el formato del tipo 6 (cifrado) en el NVRAM. Una clave del preshared del grupo se puede preconfigurar en ambos
pares del VPN-túnel. La forma encriptada de la palabra clave se puede considerar en la configuración corriente, pero la palabra
clave real no es visible. (Para más información sobre las claves cifradas del preshared, vea la clave cifrada del preshared.)
Uso de los Certificados digitales
Los Certificados digitales preven el soporte de las firmas del Rivest, del Shamir, y del Adelman (RSA) en los dispositivos del
Easy VPN Remote. El soporte se proporciona a través de un certificado RSA que pueda ser con./desc. salvado el dispositivo
remoto.
Observeel descanso recomendado para el VPN fácil usando los Certificados digitales es 40 segundos.
Para más información sobre los Certificados digitales, vea la guía de funciones del soporte de la firma RSA. del Easy VPN
Remote, la versión 12.3(7)T1.
Uso del Xauth
El Xauth es un nivel adicional de autenticación que puede ser utilizado. El Xauth es aplicable cuando se utilizan las claves o los
Certificados digitales del preshared del grupo. Las credenciales del Xauth se pueden ingresar usando un administrador de la
interfaz Web, tal como (SDM) del Administrador de dispositivos de seguridad, o usar el CLI. (Véase red remota del Cisco Easy
VPN de la sección la “Managers.")
La característica de la contraseña de la salvaguardia permite que el nombre de usuario y contraseña del Xauth sea guardado en
la configuración VNP remota sencilla para no requerirle ingresar el nombre de usuario y contraseña manualmente. Las
contraseñas de USO único (OTP) no son soportadas por la característica de la contraseña de la salvaguardia y deben ser
ingresadas manualmente cuando se pide el Xauth. El Easy VPN Server se debe configurar “permite las contraseñas
guardadas.” (Para más información sobre cómo configurar la característica de la contraseña de la salvaguardia, vea mensaje
periódico del Dead Peer Detection de la sección el “Option.")
El Xauth es controlado por el Easy VPN Server. Cuando el servidor del Cisco IOS Easy VPN pide la autenticación Xauth, los
siguientes mensajes se visualizan en la consola del router:
EZVPN: Pending XAuth Request, Please enter the following command:
crypto ipsec client ezvpn xauth
Cuando usted ve este mensaje, usted puede proporcionar la identificación del usuario necesaria, la contraseña, y la otra
información ingresando crypto ipsec client ezvpn connect el comando y respondiendo a los prompts que siguen.
El descanso recomendado del Xauth es 50 segundos o menos.
Observeel descanso para ingresar el nombre de usuario y contraseña es determinado por la configuración del servidor del
Cisco IOS Easy VPN. Para los servidores que funcionan con el Cisco IOS Software, este valor de agotamiento del
tiempo es especificado por crypto isakmp xauth timeout el comando.
Activación basada en web
La activación basada en web proporciona un método convivial para que un teletrabajador remoto autentique el túnel VPN entre
su VPN Router fácil remoto y el router del sitio central. Esta característica permite que los administradores configuren sus LAN
remotos de modo que el pedido de HTTP inicial que está viniendo del telecontrol un de los PC sea interceptado por el VPN
Router fácil remoto. Las páginas de registro se devuelven al usuario, por el que el usuario pueda ingresar las credenciales para
autenticar el túnel VPN. Después de que suba el túnel VPN, todos los usuarios detrás de este sitio remoto pueden acceder el
LAN corporativo sin reprompted para el nombre de usuario y contraseña. Alternativamente, el usuario puede elegir desviar el
túnel VPN y conectar solamente con Internet, en este caso una contraseña no se requiere.
Una aplicación típica para la activación basada en web es un teletrabajador casero que trae para arriba el túnel fácil VPN
solamente cuando él o ella necesita conectar con el LAN corporativo. Si el teletrabajador remoto no está presente, otros
miembros del hogar (tales como un cónyuge o niños) pueden utilizar la opción de Internet solamente para hojear Internet sin
activar el túnel VPN. El cuadro 4 muestra un escenario típico para la activación basada en web.
Cuadro 4 escenario basado en web típico de la activación
La notaque ingresa las credenciales del Xauth trae para arriba el túnel para todos los usuarios que estén detrás de este sitio
remoto. Después de que el túnel esté para arriba, ninguna PC adicional que están detrás del sitio remoto no consiguen
indicada para las credenciales del Xauth. La activación basada en web es una autenticación para traer para arriba el
túnel VPN para todo el telecontrol PC y no se puede considerar autenticación de usuario individual. La autenticación de
usuario individual para el acceso del túnel VPN está disponible con el Proxy de autenticación del Cisco IOS o las
características del 802.1x, que se pueden configurar en el VPN Router fácil remoto. (Vea las secciones de "Documentos
relacionados" "Información General sobre IPsec y VPN" para ver una referencia de configuración del Servidor Alterno de
Autenticación y "Autenticación 802.1x" para ver una referencia de configuración de la autenticación 802.1x.)
Para configurar la activación basada en web, vea la sección el “configurar de la activación basada en web.”
Las secciones siguientes muestran a diversas capturas de pantalla que un teletrabajador remoto ve cuando se gira la
característica basada en web de la activación:
•
Página porta de la activación basada en web
•
Puente de la autenticación VPN
•
Autenticación de túnel VPN
•
Autenticación exitosa
•
Desactivación
Página porta de la activación basada en web
El cuadro 5 es un ejemplo de una página porta de la activación basada en web. El usuario puede elegir conectar con el LAN
corporativo haciendo clic ahora conecta o él o ella puede elegir conectar solamente con Internet haciendo clic Internet
solamente.
Observesi el usuario elige conectar solamente con Internet, una contraseña no se requiere.
Cuadro 5 página porta
Puente de la autenticación VPN
El cuadro 6 es un ejemplo de una activación basada en web en la cual el usuario eligió conectar solamente con Internet
haciendo clic la opción de Internet solamente. Esta opción es la más útil para los miembros del hogar que necesitan hojear
Internet mientras que el teletrabajador remoto no está disponible autenticar el túnel VPN para el uso corporativo.
Cuadro 6 página de puente de la autenticación VPN
Observesi la ventana basada en web de la activación se cierra equivocadamente, para conectar otra vez, un usuario debe
seguir este proceso de dos pasos:
1. En un navegador, teclee “http://routeripaddress/ezvpn/bypass” e intente conectar con el URL. Ingresar este URL borra el
estado de puente que fue creado para su IP Address (cuando el botón del “Internet solamente” fue presionado). Si usted
consigue un mensaje que dice que no se encuentre ninguna tal página, no importa porque el único propósito de acceder el
URL está borrar el estado de puente.
2. Después de que borre el estado de puente, usted pueda hojear a cualquier sitio externo. La página de la conexión y de
puente aparece otra vez. Usted puede conectar al VPN presionando el botón connect.
Autenticación de túnel VPN
El cuadro 7 es un ejemplo de una activación basada en web en la cual el usuario eligió conectar con el LAN corporativo
ingresando un nombre de usuario y contraseña. Después de que autentiquen al usuario con éxito, el túnel fácil VPN se trae para
arriba para este sitio remoto. Si hay PC múltiples detrás de este sitio remoto, no se pedirá ningunos de los usuarios adicionales
que están conectando con el LAN corporativo para las credenciales del Xauth porque el túnel está ya para arriba.
Cuadro 7 autenticación de túnel VPN
Autenticación exitosa
El cuadro 8 es un ejemplo de una activación exitosa. Si el usuario elige desactivar el túnel VPN, él o ella debe hacer clic el
botón disconnect. Después de los tiempos de la asociación de seguridad IKE (SA) hacia fuera (el valor predeterminado es 24
horas), el teletrabajador alejado tiene que ingresar las credenciales del Xauth para traer para arriba el túnel.
Cuadro 8 activación exitosa
Desactivación
El cuadro 9 es un ejemplo de un túnel VPN que se ha desactivado con éxito. La página se cierra automáticamente en 5
segundos.
Cuadro 9 túnel VPN desactivado con éxito
autenticación del 802.1x
La característica de autenticación del 802.1x permite que usted combine la operación fácil del modo del cliente VPN con la
autenticación del 802.1x en el Routers del Cisco IOS. Para más información sobre esta característica, vea la autenticación
"802.1” en la sección “referencias adicionales.”
Opciones de Activación del Túnel
Hay tres opciones de la activación del túnel:
•
Activación automática
•
Activación manual
•
activación Tráfico-accionada (no disponible en el Cisco IOS Release 12.3(11)T)
El túnel conecta y las opciones de la desconexión están disponibles con el SDM.
Activación automática
El túnel del Cisco Easy VPN está conectado automáticamente cuando la característica remota del Cisco Easy VPN se configura
en una interfaz. Si los tiempos del túnel hacia fuera o fallan, el túnel vuelve a conectar y revisa automáticamente
indefinidamente.
Para especificar el túnel automático controle en un dispositivo remoto del Cisco Easy VPN, usted necesita configurar crypto
ipsec client ezvpn el comando y entonces connect auto el comando. Sin embargo, usted no necesita utilizar estos dos
comandos cuando usted está creando una nueva configuración VNP remota sencilla porque el valor por defecto es
“automático.”
Para desconectar o reajustar un túnel particular, usted debe utilizar clear crypto ipsec client ezvpn el comando, o usted puede
utilizar el SDM.
Activación manual
El software alejado del Cisco Easy VPN implementa el control manual de los túneles del Cisco Easy VPN de modo que usted
pueda establecer y terminar el túnel a pedido.
Para especificar el túnel manual controle en un dispositivo remoto del Cisco Easy VPN, usted necesita entrar crypto ipsec
client ezvpn el comando y entonces connect manual el comando.
La configuración manual significa que el telecontrol del Cisco Easy VPN esperará un comando antes de intentar establecer la
conexión remota del Cisco Easy VPN. Cuando los tiempos del túnel hacia fuera o fallan, las conexiones subsiguientes también
tendrán que esperar el comando.
Si la configuración es manual, el túnel está conectado solamente después que usted publica el comando crypto ipsec
client ezvpn connect.
Para desconectar o reajustar un túnel particular, usted debe utilizar clear crypto ipsec client ezvpn el comando, o
usted puede utilizar el SDM.
Vea “configurando la sección del control manual del túnel” para información específica sobre cómo configurar el control manual
de un túnel.
Activación Accionada por Tráfico
Observeesta característica no está disponible en el Cisco IOS Release 12.3(11)T.
La característica accionado por tráfico de la activación se recomienda para las aplicaciones VPN basadas en la transacción.
También se recomienda para el uso con la característica fácil del Respaldo de marcado VPN para la configuración VPN fácil de
reserva para activar el respaldo solamente cuando hay tráfico a enviar a través del túnel.
Para utilizar el control del túnel de la lista de control de acceso (ACL), usted debe primero describir el tráfico que se considera
“interesante.” Para más información sobre los ACL, refiera “al capítulo de la descripción de la lista de IP Access” de la guía de
configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos. Para configurar realmente un túnel accionado por
ACL, utilice crypto ipsec client ezvpn el comando con connect acl el comando.
Soporte de Failover sin Estado por Detección de Peer Muerto
Dos opciones están disponibles para configurar el soporte apátrida de la Conmutación por falla del Dead Peer Detection:
•
Configuración Local de la Lista del Servidor de Respaldo
•
Configuración Automática de la Lista de Servidores de Respaldo
Configuración Local de la Lista del Servidor de Respaldo
La configuración local de la lista del servidor de backup permite que los usuarios ingresen las declaraciones del peer múltiple.
Con esta característica configurada, si el cliente está conectando con un par y la negociación falla, el VPN fácil falla encima al
par siguiente. Esta Conmutación por falla continúa a través de la lista de pares. Cuando alcanzan al par más reciente, el VPN
fácil rueda encima al primer par. El IKE y el SA de IPSec al par anterior se borran. Las declaraciones del peer múltiple trabajan
para los IP Addresses así como para los nombres de host. La determinación o unsetting de las sentencias de peer no afectará a
la orden de las sentencias de peer.
Para utilizar esta característica, utilice peer el comando después crypto ipsec client ezvpn del comando.
Autoconfiguración de la lista del servidor de backup
El Easy VPN Remote que se basa en el Cisco IOS Software puede tener hasta 10 servidores de backup configurados para la
Redundancia. La característica del servidor de backup permite que el Easy VPN Server “avance” la lista del servidor de backup
al Easy VPN Remote.
La lista de reserva permite que el administrador controle los servidores de backup con los cuales un Easy VPN Remote
específico conectará en caso del error, de las retransmisiones, o de los mensajes del Dead Peer Detection (DPD).
Observeantes de que la característica del servidor de backup puede trabajar, la lista del servidor de backup tiene que ser
configurada en el servidor.
Cómo un servidor de backup funciona
Si el telecontrol A va al servidor A y la conexión falla, el telecontrol A va al servidor B. Si el servidor B tiene una lista de reserva
configurada, esa lista reemplazará la lista del servidor de backup del servidor A. Si la conexión al servidor B falla, el telecontrol
A continuará a través de los servidores de backup se han configurado que.
Observesi usted están en el modo automático y usted tiene un error, usted transición automáticamente del servidor A al
servidor B. Sin embargo, si usted está en el modo manual, usted tiene que configurar la transición manualmente. Para
configurar la transición manualmente, utilice crypto ipsec client ezvpn el comando con connect la palabra clave.
No se requiere ninguna nueva configuración en el Easy VPN Remote para habilitar esta característica. Si usted quiere visualizar
el servidor actual, usted puede utilizar show crypto ipsec client ezvpn el comando. Si usted quiere descubrir que el Easy VPN
Server avanzaron los pares, usted puede utilizar el mismo comando.
Para resolver problemas esta característica, utilice debug crypto ipsec client ezvpn el comando. Si más información es
necesaria para los propósitos de Troubleshooting, utilice debug crypto isakmp el comando. show crypto ipsec client ezvpn
El comando se puede también utilizar para localizar averías.
Funciones de Cisco Easy VPN Remote
La característica remota del Cisco Easy VPN es una colección de características que mejora las capacidades de la
característica remota del Cisco Easy VPN introducida en el Cisco IOS Release 12.2(4)YA. La característica remota del Cisco
Easy VPN incluye el siguiente:
• Interfaz interior predeterminada — Este soportes de característica la autoconfiguración de la interfaz interior fácil
predeterminada VPN para los Cisco 800 Series Router.
• Interfaces interiores múltiples — Esta característica permite que usted configure hasta ocho interfaces interiores en el
telecontrol del Cisco Easy VPN.
• Interfaces exteriores múltiples — Esta característica permite que usted configure hasta cuatro túneles exteriores para las
interfaces exteriores.
• Soporte a VLAN — Esta característica permite que los VLA N sean configurados como interfaces interiores fáciles
válidas VPN.
• Soporte de la subred múltiple — Esta característica permite que las subredes múltiples de la interfaz interior fácil VPN
sean incluidas en el túnel fácil VPN.
• Soporte de la Interoperabilidad NAT — Esta característica restablece automáticamente la configuración del NAT cuando
el túnel del IPSec VPN es disconnected.
• Soporte de la dirección local — La característica alejada del Cisco Easy VPN se aumenta para soportar un atributo
adicional de la dirección local que especifique qué interfaz se utiliza para determinar el IP Address usado a la fuente el
tráfico de túnel fácil VPN.
• Nombre de host del par — Cuando definen a un par como nombre de host, se salva el nombre de host y la búsqueda del
Sistema de nombres de dominio (DNS) se hace a la hora de la conexión del túnel.
• Soporte del servidor DNS del proxy — Esta característica permite que usted configure al router en una configuración
remota del Cisco Easy VPN para actuar como servidor DNS del proxy para los usuarios conectado por LAN.
• Soporte del Firewall Cisco IOS — Configuraciones de este Firewall Cisco IOS de los soportes de característica en todas
las Plataformas.
• El Easy VPN Remote y el servidor en lo mismo interconectan — el Easy VPN Remote y el Easy VPN Server se soportan
en la misma interfaz, que permite establecer un túnel a otro Easy VPN Server y terminar al cliente fácil del software VPN en
la misma interfaz simultáneamente.
• El Easy VPN Remote y el sitio a localizar en lo mismo interconectan — el Easy VPN Remote y el sitio a localizar
(correspondencia de criptografía) se soportan en la misma interfaz, que permite establecer un túnel a otro Easy VPN Server
y tener otro sitio a localizar en lo mismo para interconectar simultáneamente.
• Encargados remotos de la red del Cisco Easy VPN — Los usuarios pueden manejar la característica remota del Cisco
Easy VPN en los routeres de acceso del cable del Cisco uBR905 y del Cisco uBR925 usando una interfaz Web incorporada.
• Opción del mensaje periódico del Dead Peer Detection — Esta característica permite que usted configure a su router
para preguntar la vivacidad de su par IKE a intervalos regulares.
• Equilibrio de carga — Si un dispositivo remoto no puede cargado y validar más tráfico, el VPN 3000 enviará un mensaje
de la notificación que contenga una dirección IP que represente el nuevo servidor IKE con el cual el telecontrol debe
conectar.
•
Mejoras de administración — Esta característica permite la administración remota del telecontrol VPN.
• Soporte PFS — El atributo del modo de la configuración PFS es enviado por el servidor si es pedido por el dispositivo
remoto VPN.
• Respaldo de marcado — Esta característica permite que usted configure una conexión del túnel del Respaldo de
marcado en su dispositivo remoto.
• Soporte virtual de la interfaz del IPSec — Esta característica permite que usted envíe selectivamente el tráfico a diversos
concentradores VPN fáciles así como a Internet (incluye una referencia a la característica virtual de la interfaz del túnel del
IPSec.)
• Soporte dual del túnel — Esta característica permite que usted configure los túneles fáciles múltiples VPN que
comparten las interfaces interiores y exteriores comunes para conectar a dos pares con dos diversos servidores VPN
simultáneamente.
• Banner — El dispositivo remoto del EasyVPN puede descargar un banner que ha sido avanzado por el Easy VPN
Server. El banner se puede utilizar para el Xauth y la activación basada en web. Se visualiza el banner cuando el túnel fácil
VPN está “encima de” en la consola del Easy VPN Remote o como páginas HTML en el caso de activación basada en web.
• Las mejoras de la administración de la configuración (que avanzan una configuración URL con un intercambio de la
configuración del modo) — el dispositivo del Easy VPN Remote pueden descargar un URL que sea avanzado por el Easy
VPN Server, permitiendo que el dispositivo del Easy VPN Remote descargue el contenido de la configuración y lo aplique a
la configuración corriente.
• Reactive al peer primario — Esta característica permite que usted señale a un peer primario. Cuando un dispositivo VPN
fácil falla encima del peer primario a un backup peer y el peer primario está otra vez disponible, las conexiones con el
backup peer se derriban y una conexión se hace con el peer primario.
•
Soporte de dirección idéntico — Esta característica integra el Network Address Translation (NAT) con el VPN fácil para
permitir los telecontroles con solapar el IP Addressing interno para conectar con el Easy VPN Server.
• encapsular el soporte del cTCP en el tráfico fácil VPN Cliente-cuando el cTCP se habilita en un dispositivo remoto
(cliente) y el dispositivo de cabecera, IKE y ESP (protocolo 50) en el encabezado TCP para los Firewall entre el cliente y el
permiso del dispositivo de cabecera este tráfico (que lo considera lo mismo que tráfico TCP).
Interfaz interior predeterminada
El Easy VPN Remote soporta la autoconfiguración de la interfaz interior fácil predeterminada VPN para los Cisco 800 Series
Router. El interface ethernet 0 es la interfaz interior predeterminada.
Si usted quiere inhabilitar la interfaz interior predeterminada y configurar otra interfaz interior en el Cisco 800 Series Router,
usted debe configurar la otra interfaz interior primero y en seguida inhabilitar la interfaz interior predeterminada. Usted puede
utilizar el siguiente comando de inhabilitar la interfaz interior predeterminada:
no crypto ipsec client ezvpn name inside
Si usted no configuró la otra interfaz interior primero antes de inhabilitar la interfaz interior predeterminada, usted recibirá un
mensaje tal como el siguiente (véase las líneas tres y cuatro):
Router(config)# interface ethernet0
Router(config-if)# no crypto ipsec client ezvpn hw-client inside
Cannot remove the single inside interface unless
one other inside interface is configured
Interfaces interiores múltiples
El soporte de la interfaz interior se aumenta en la característica remota del Cisco Easy VPN para soportar las interfaces
interiores múltiples para todas las Plataformas. Las interfaces interiores se pueden configurar manualmente con el comando
mejorado.:
interface interface-name
crypto ipsec client ezvpn name [outside | inside]
Se soportanlas interfaces interiores múltiples de la nota solamente cuando el servidor del Cisco Easy VPN y el cliente del Cisco
Easy VPN tienen el mismo tipo de configuración VPN fácil. Es decir ambos deben utilizar una configuración VPN fácil de la
herencia, o ambos deben utilizar una configuración DVTI.
Vea “configurando la sección de las interfaces interiores múltiples” para la información sobre cómo configurar más de una
interfaz interior.
Las interfaces interiores múltiples ofrecen las capacidades siguientes:
•
Hasta ocho interfaces interiores se soportan en el Routers de las Cisco 800 y Cisco 1700 Series.
• Por lo menos una interfaz interior se debe configurar para cada interfaz exterior; si no, la característica remota del Cisco
Easy VPN no establece una conexión.
• Agregar una nueva interfaz interior o la eliminación de una interfaz interior existente reajusta automáticamente la
conexión remota del Cisco Easy VPN (actualmente el túnel establecido). Usted debe volver a conectar manualmente un
Túnel configurado, y si el Xauth es requerido por el servidor del Cisco Easy VPN, al usuario reprompted. Si usted ha fijado la
configuración remota del Cisco Easy VPN para conectar automáticamente y no se requiere ningún Xauth, no se requiere
ninguna entrada de usuario.
• Las interfaces interiores se configuran que o la configuración predeterminada se pueden mostrar usando show crypto
ipsec client ezvpn el comando.
Interfaces exteriores múltiples
Los soportes de característica del Easy VPN Remote un túnel fácil VPN por la interfaz exterior. Usted puede configurar hasta
cuatro túneles fáciles VPN por el router Cisco. Cada túnel fácil VPN puede tener interfaces interiores múltiples configuradas,
pero no pueden solapar con otro túnel fácil VPN a menos que se configure el Respaldo de marcado. Para más información
sobre el Respaldo de marcado, vea la sección “Respaldo de marcado.” Para configurar las interfaces exteriores múltiples, utilice
crypto ipsec client ezvpn el comando y outside la palabra clave.
Para desconectar o borrar un túnel específico, clear crypto ipsec client ezvpn el comando especifica el nombre de túnel del
IPSec VPN. Si no hay nombre de túnel especificado, se borran todos los túneles existentes.
Vea “configurando la sección de las interfaces exteriores múltiples” para más información sobre configurar más de una interfaz
exterior.
Soporte a VLAN
El soporte de la interfaz interior en los VLA N le deja tener soporte fácil válido de la interfaz interior VPN en un VLA N, que no
era posible antes del Cisco IOS Release 12.3(7)XR. Con esta característica, los SA se pueden establecer en la conexión
usando la dirección de subred del VLA N o la máscara como proxy de la fuente.
Para el soporte de la interfaz interior en los VLA N a trabajar, usted debe definir cada VLA N como interfaz interior fácil VPN.
Además, el SA de IPSec se debe establecer para cada interfaz interior de la misma manera que para otras interfaces interiores.
Para más información sobre las interfaces interiores y exteriores, vea las secciones “interfaces interiores múltiples” y “interfaces
exteriores múltiples.”
El soporte de la interfaz interior en los VLA N se soporta solamente en los routeres Cisco que soportan los VLA N.
Soporte de la subred múltiple
Para las situaciones en las cuales usted tiene las subredes múltiples conectaron con una interfaz interior fácil VPN, usted
pueden incluir opcionalmente estas subredes en el túnel fácil VPN. Primero, usted debe especificar las subredes que deben ser
incluidas definiéndolas en un ACL. Para configurar un ACL, vea las “listas de control de acceso, configurando” en la sección de
las “referencias adicionales”. Después, usted tiene que utilizar acl el comando después crypto ipsec client ezvpn del comando
(global) de conectar su ACL a la configuración VPN fácil. El Easy VPN Remote creará automáticamente el SA de IPSec para
cada subred que se defina en el ACL así como para las subredes que se definen en la interfaz interior fácil VPN.
Las subredes múltiplesde la nota no se soportan en el modo cliente.
Observeestas funciones se soporta solamente cuando el servidor del Cisco Easy VPN y el cliente del Cisco Easy VPN tienen el
mismo tipo de configuración VPN fácil. Es decir ambos deben utilizar una configuración VPN fácil de la herencia, o ambos
deben utilizar una configuración DVTI.
Soporte de la Interoperabilidad NAT
El telecontrol del Cisco Easy VPN soporta la Interoperabilidad con el NAT. Usted puede tener una configuración del NAT y una
configuración remota del Cisco Easy VPN que coexistan. Cuando un túnel del IPSec VPN está abajo, la configuración del NAT
trabaja.
En la característica remota del Cisco Easy VPN, el router restablece automáticamente la configuración del NAT anterior cuando
se derriba el túnel del IPSec VPN. Las Listas de acceso definidas por el usario no se perturban. Los usuarios pueden continuar
accediendo las áreas del nontunnel de Internet cuando el túnel mide el tiempo hacia fuera o las desconexiones.
La Interoperabilidadde la nota NAT no se soporta en el modo cliente con el Túnel dividido.
Soporte de la dirección local
La característica remota del Cisco Easy VPN se aumenta para soportar un atributo adicional de la dirección local. Este atributo
especifica qué interfaz se utiliza para determinar el IP Address que se utiliza a la fuente el tráfico de túnel del Easy VPN
Remote. Después de especificar la interfaz con local-address el comando, usted puede asignar manualmente un IP Address
estático a la interfaz o utilizar cable-modem dhcp-proxy interface el comando de configurar automáticamente la interfaz
especificada con un IP Address público. Vea “configurando la sección del soporte del servidor DNS del proxy” para la
información de la configuración.
El soporte de la dirección local está disponible para todas las Plataformas, pero es más aplicable a los routeres de acceso del
cable del Cisco uBR905 y del Cisco uBR925 conjuntamente con cable-modem dhcp-proxy interface el comando.
Típicamente, el Loopback Interface es la interfaz usada al tráfico de túnel de la fuente para los routeres de acceso del cable del
Cisco uBR905 y del Cisco uBR925.
En una red DOCSIS típica, los routeres de acceso del cable del Cisco uBR905 y del Cisco uBR925 se configuran normalmente
con un IP Address privado en la interfaz del módem de cable. En la característica remota del Cisco Easy VPN inicial, requirieron
a un IP Address público en la interfaz del módem de cable soportar el Easy VPN Remote.
En la característica remota del Cisco Easy VPN, los proveedores de cable pueden utilizar la característica del proxy del DHCP
del cable para obtener a un IP Address público y para asignarlo a la interfaz del módem de cable, que es generalmente el
Loopback Interface.
Para más información sobre cable-modem dhcp-proxy interfaceel comando, vea los comandos list principales en
http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html.
Observe cable-modem dhcp-proxy interface el comando se soporta solamente para los routeres de acceso del cable del
Cisco uBR905 y del Cisco uBR925.
Nombre de host del par
El par en una configuración remota del Cisco Easy VPN puede ser definido como una dirección IP o nombre de host.
Típicamente, cuando definen a un par como nombre de host, una búsqueda de DNS se hace inmediatamente para conseguir
una dirección IP. En la característica remota del Cisco Easy VPN, la operación del nombre de host del par se aumenta para
soportar los cambios de la entrada DNS. La cadena de texto del nombre de host se salva para hacer la búsqueda de DNS a la
hora de la conexión del túnel, no cuando definen al par como nombre de host.
Vea “configurando y asignando la sección de la configuración VNP remota sencilla” para la información sobre habilitar las
funciones del nombre de host del par.
Soporte del servidor DNS del proxy
Cuando el túnel fácil VPN está abajo, las direcciones de DNS del ISP o el proveedor de cable deben ser utilizados para resolver
las peticiones DNS. Cuando la conexión WAN está para arriba, las direcciones de DNS de la empresa deben ser utilizadas.
Como manera de implementar el uso de las direcciones de DNS del proveedor de cable cuando la conexión WAN está abajo, el
router en una configuración remota del Cisco Easy VPN puede ser configurado para actuar como servidor DNS del proxy. El
router, actuando como servidor DNS del proxy para los usuarios conectado por LAN, recibe las interrogaciones DNS de los
usuarios locales en nombre del servidor DNS real. El servidor DHCP entonces puede enviar el direccionamiento LAN del router
como la dirección IP del servidor DNS. Después de que suba la conexión WAN, el router adelante las interrogaciones DNS al
servidor DNS real y oculta los expedientes de la interrogación DNS.
Vea “configurando la sección del soporte del servidor DNS del proxy” para la información sobre habilitar las funciones del
servidor DNS del proxy.
Soporte del Firewall Cisco IOS
La característica remota del Cisco Easy VPN trabaja conjuntamente con las configuraciones del Firewall Cisco IOS en todas las
Plataformas.
Easy VPN Remote y Servidor en la Misma Interfaz
Esta característica permite el Easy VPN Remote y el Easy VPN Server que se soportará en lo mismo interconecta, haciéndolo
posible a establezca un túnel a otro Easy VPN Server y termine al cliente fácil del software VPN en la misma interfaz
simultáneamente. Una aplicación típica sería geográficamente un lugar remoto para el cual el Easy VPN Remote se está
utilizando para conectar con un Easy VPN Server corporativo y también para terminar a los usuarios de cliente del software
local.
Para más información sobre el Easy VPN Remote y el servidor en lo mismo interconecte la característica, vea el “Easy VPN
Remote y el servidor en lo mismo interconectar” en la sección “referencias adicionales.”
Easy VPN Remote y Sitio a Sitio en la Misma Interfaz
Esta característica permite que el Easy VPN Remote y el sitio localicen (correspondencia de criptografía) para ser soportados
en lo mismo interfaz, haciéndola posible a ambos establezca un túnel a otro Easy VPN Server y tenga otro sitio a localizar en la
misma interfaz simultáneamente. Una aplicación típica sería un proveedor de servicio de tercera persona VPN que está
manejando un router remoto vía el túnel del sitio a localizar y está utilizando el Easy VPN Remote para conectar el sitio remoto
con un Easy VPN Server corporativo.
Para más información sobre el Easy VPN Remote y el sitio a localizar en lo mismo interconecte la característica, vea el “Easy
VPN Remote y el sitio para localizar en lo mismo la interfaz” en la sección “referencias adicionales.”
Encargados remotos de la red del Cisco Easy VPN
Los encargados de la interfaz Web pueden ser utilizados para manejar la característica del telecontrol del Cisco Easy VPN. Un
tal administrador de la interfaz Web es SDM, que se soporta en las Cisco 830 Series, las Cisco 1700 Series, las Cisco 2600
Series, las Cisco 3600 Series, y los Cisco 3700 Series Router. El SDM le permite para conectar o para desconectar el túnel y
proporciona una interfaz Web para el Xauth. Para más información sobre el SDM, vea al administrador de dispositivo Security
de Cisco.
Un segundo administrador de la interfaz Web es la herramienta de la configuración de la red del router Cisco (CRWS), que se
soporta en el Cisco 806 Router. El CRWS proporciona una interfaz Web similar como SDM.
Utilizan a un tercer administrador de la interfaz Web, administrador remoto de la red del Cisco Easy VPN, para manejar la
característica remota del Cisco Easy VPN para los routeres de acceso del cable del Cisco uBR905 y del Cisco uBR925. Usted
no necesita el acceso al CLI manejar la conexión remota del Cisco Easy VPN.
Los encargados de la interfaz Web permiten que usted haga el siguiente:
•
Vea el estado actual del túnel del telecontrol del Cisco Easy VPN.
•
Conecte un túnel que se configure para el control manual.
• Desconecte un túnel que se configure para el control manual o reajuste un túnel configurado para la conexión
automática.
•
Indiquese para la información del Xauth, si es necesario.
Vea sección “troubleshooting de la conexión VPN” para más información sobre el administrador remoto de la red del Cisco Easy
VPN.
Dead Peer Detection Periodic Message Option
La opción del mensaje periódico del Dead Peer Detection permite que usted configure a su router para preguntar la vivacidad de
su par IKE a intervalos regulares. La ventaja de este enfoque sobre el enfoque predeterminado (detección de peer muerto bajo
demanda) es una detección más temprana de peers muertos. Para más información sobre la opción del mensaje periódico del
Dead Peer Detection, vea el “Dead Peer Detection” en la sección “referencias adicionales.”
Balance de carga
Cuando el concentrador del Cisco VPN 3000 se configura para el Equilibrio de carga, el VPN 3000 validará una petición
entrante IKE del telecontrol VPN en su dirección IP virtual. Si el dispositivo no puede cargado y validar más tráfico, el VPN 3000
enviará un mensaje de la notificación que contenga una dirección IP que represente el nuevo servidor IKE con el cual el
telecontrol debe conectar. La vieja conexión será derribada y una nueva conexión será establecida al gateway de VPN
reorientado.
No hay configuración requerida para que el Equilibrio de carga ocurra. Si el gateway de VPN se configura para el Equilibrio de
carga, y notifica el telecontrol VPN que está realizando el Equilibrio de carga, el telecontrol VPN tiene acceso a la característica
del Equilibrio de carga.
Para verificar si esté ocurriendo el Equilibrio de carga, utilice debug crypto isakmp debug crypto ipsec client ezvpn, y show
crypto ipsec los comandos. Para resolver problemas el proceso del Equilibrio de carga, utilice show crypto ipsec el comando.
Mejoras de la Administración
Las mejoras de administración para los telecontroles fáciles VPN permiten la administración remota del telecontrol VPN. La
característica preve el direccionamiento del IPv4 que se avanzará por el modo de configuración al telecontrol VPN. El
direccionamiento del IPv4 se asigna al primer Loopback Interface disponible en el telecontrol VPN, y ninguna existencia los
loopback estáticamente definidos no se reemplaza. En la desconexión, el direccionamiento y el Loopback Interface se quitan de
la lista de interfaces activas.
Después de que el telecontrol VPN esté conectado, el Loopback Interface debe ser accesible del extremo remoto del túnel.
Todas las actividades de la PALMADITA serán traducidas a través de esta dirección IP de la interfaz.
Si existe un loopback, y una dirección IP se asocia a ella y su estado es no asignado, la interfaz es un buen candidato a la
administración de direcciones de la configuración de modo.
Observedespués de que usted asigne un direccionamiento al Loopback Interface, si usted salva la configuración al NVRAM y
reinicia el telecontrol VPN, la dirección de configuración se contenga permanentemente en la configuración. Si usted guardó la
configuración al NVRAM y reinició el telecontrol VPN, usted debe ingresar al modo de configuración y quitar el IP
Address del Loopback Interface manualmente.
Usted puede utilizar show ip interface el comando con brief la palabra clave de verificar que se ha quitado un loopback. La
salida de este show comando también visualiza la interfaz.
Soporte PFS
El atributo del modo de la configuración PFS es enviado por el servidor si es pedido por el dispositivo remoto VPN. Si cualquier
conexión subsiguiente por el dispositivo remoto muestra que el PFS no es recibido por el telecontrol, el PFS no será enviado en
las habitaciones de la oferta del IPSec.
Observeal grupo PFS que será propuesto en las habitaciones de la oferta del IPSec es lo mismo que el grupo usado para el
IKE.
Usted puede utilizar show crypto ipsec client ezvpn el comando de visualizar al grupo PFS y de verificarlo que usted está
utilizando el PFS.
Dial Backup
Observela característica del Respaldo de marcado no está disponible en el Cisco IOS Release 12.3(11)T.
El Respaldo de marcado para los telecontroles fáciles VPN permite que usted configure una conexión del túnel del Respaldo de
marcado en su dispositivo remoto. Se saca a colación la función de backup “” solamente cuando los datos reales tienen que ser
enviados, eliminando la necesidad de la terminal de marcado manual o de los links ISDN costosos que deben ser establecidos y
ser mantenidos incluso cuando no hay tráfico.
El cuadro 10 ilustra un escenario fácil típico del telecontrol-con-dial-respaldo VPN. En este escenario, el dispositivo remoto del
Cisco 1751 está intentando conectar con otro Cisco 1751 (que actúa como servidor). Hay un error en el túnel fácil primario VPN,
y la conexión se rerrutea a través del túnel de reserva fácil VPN al servidor del Cisco 1751.
Cuadro 10 Respaldo de marcado para el escenario de VPN fácil
Respaldo de marcado usando una solución del Marcado a pedido
Static ruta IP que sigue el Cisco IOS Software del permiso para identificar cuando un túnel del Point-to-Point Protocol over
Ethernet (PPPoE) o del IPSec VPN “va abajo de” e inicia una conexión del Marcado a pedido (DDR) a un destino
preconfigurado de cualquier WAN o puerto LAN alternativo (por ejemplo, un T1, un ISDN, un análogo, o un puerto auxiliar). El
error puede ser causado por varios eventos catastróficos (por ejemplo, por las fallas del circuito de Internet o el error del
dispositivo de peer). La ruta remota tiene solamente una Static ruta a la red corporativa. La característica de estático-rutaseguimiento IP permite que un objeto sea seguido (usando una dirección IP o un nombre de host) usando el Internet Control
Message Protocol (ICMP), el TCP, u otros protocolos, y instala o quita la Static ruta en base del estado del objeto seguido. Si la
característica de seguimiento determina que la conectividad a Internet está perdida, la ruta predeterminado para la interfaz
primaria se quita, y las Rutas estáticas flotantes para la Interfaz de respaldo se habilitan.
Respaldo de marcado usando el Rastreo de objetos
El seguimiento de la Static ruta IP se debe configurar para el Respaldo de marcado en un dispositivo del Easy VPN Remote
para trabajar. La configuración del Rastreo de objetos es independiente de la configuración del Respaldo de marcado del Easy
VPN Remote. (Para más información sobre el Rastreo de objetos, vea el respaldo guideReliable del Static Routing de la
característica usando el Rastreo de objetos.)
Configuración del soporte de Respaldo de marcado del Easy VPN Remote
Usted puede configurar el Respaldo de marcado para su Easy VPN Remote usando dos opciones del Easy VPN Remote que
permitan una conexión a la configuración VPN fácil de reserva y una conexión al Sistema de seguimiento.
• Para especificar la configuración VPN fácil que será activada cuando se acciona el respaldo, utilice backup el comando
después crypto ipsec client ezvpn del comando (global).
• El dispositivo del Easy VPN Remote se registra al Sistema de seguimiento para conseguir las notificaciones para el
cambio en el estado del objeto. Utilice track el comando de informar al proceso de seguimiento que el dispositivo del Easy
VPN Remote está interesado en el seguimiento de un objeto, que es identificado por el número del objeto. El proceso de
seguimiento, a su vez, informa al dispositivo del Easy VPN Remote cuando el estado de este objeto cambia. Esta
notificación indica el dispositivo del Easy VPN Remote cuando el estado de este objeto cambia. Esta notificación indica al
dispositivo del Easy VPN Remote que saque a colación la conexión de respaldo cuando el estado de objeto seguido está
ABAJO. Cuando el objeto seguido está PARA ARRIBA otra vez, se derriba la conexión de respaldo y el dispositivo del Easy
VPN Remote volverá a usar la conexión primaria.
La notasolamente una configuración de respaldo se soporta para cada configuración VPN fácil primaria. Cada interfaz interior
debe especificar la configuración VPN fácil primaria y de reserva.
Entornos dinámicamente dirigidos
Para permitir que el Respaldo de marcado sea desplegado en los entornos dinámicamente dirigidos, utilice la característica
ruteado previamente de la sonda del eco ICMP IP SLA. (Para más información sobre esta característica, vea los Release Note
para los Cisco 1700 Series Router para el Cisco IOS Release 12.3(7)XR. Para utilizar la característica ruteado previamente de
la sonda del eco ICMP IP SLA, utilice icmp-echo el comando con source-interface la palabra clave.
Ejemplos del Respaldo de marcado
Por ejemplos de las configuraciones del Respaldo de marcado, vea Respaldo de marcado de la sección “: Ejemplos.”
Soporte de Interfaz IPSec Virtual
La característica virtual del soporte de la interfaz del IPSec proporciona una interfaz enrutable para enviar selectivamente el
tráfico a diversos concentradores VPN fáciles así como a Internet.
Antes de Cisco IOS Release 12.4(4)T, en transición de túnel ascendente/túnel descendente, los atributos avanzados durante la
configuración de modo tenían que analizarse y aplicarse. Cuando dichos atributos tenían como resultado configuraciones que
se estaban aplicando en la interfaz, la configuración existente tenía que reemplazarse. Con la característica virtual del soporte
de la interfaz del IPSec, la configuración del túnel-para arriba se puede aplicar a las interfaces diferentes, haciéndola más fácil
soportar las características diferentes en el tiempo del túnel-para arriba. Las funciones que se aplican al tráfico que entra en el
túnel pueden ser independientes de las funciones que se aplican al tráfico que no pasa a través del túnel (por ejemplo, el tráfico
de tunelización dividida y tráfico que sale del dispositivo cuando el túnel no está activo). Cuando la negociación Easy VPN es
exitosa, el estado de Line Protocol de la interfaz de acceso virtual cambia a activo. Cuando va el túnel fácil VPN abajo porque la
asociación de seguridad (SA) expira o se borra, el estado del Line Protocol de las interfaces de acceso virtual cambia a abajo.
Las rutas actúan como selectores del tráfico en una interfaz virtual fácil VPN, es decir, las rutas substituyen la lista de acceso en
la correspondencia de criptografía. En una configuración de la interfaz virtual, el VPN fácil negocia solo IPSec SA si el Easy
VPN Server se ha configurado con una interfaz virtual dinámica del IPSec. Este solo SA se crea con independencia del modo
fácil VPN se configura que.
Después de que se establezca el SA, las rutas que la punta a la interfaz de acceso virtual está agregada al tráfico directo a la
red corporativa. El VPN fácil también agrega una ruta al concentrador VPN de modo que los paquetes encapsulados por IPsec
consigan ruteados a la red corporativa. Una ruta predeterminado que señala a la interfaz de acceso virtual se agrega en el caso
de un modo del nonsplit. Cuando el Easy VPN Server “avanza” el túnel dividido, la subred del túnel dividido se convierte en el
destino al cual se agregan las rutas que señalan al acceso virtual. En ambos casos, si el par (concentrador VPN) no está
conectado directamente, el VPN fácil agrega una ruta al par.
Nota • La mayoría del Routers que funciona con el software de cliente del Cisco Easy VPN hace una ruta predeterminado
configurar. La ruta predeterminado se configura que debe tener un valor métrico mayor de 1. El valor métrico debe ser
mayor de 1 porque el VPN fácil agrega una ruta predeterminado que tenga un valor métrico de 1. Los puntos de ruta a la
interfaz de acceso virtual para dirigir todo el tráfico a la red corporativa cuando el concentrador “no avanza” el atributo del
túnel dividido.
Para más información sobre la característica virtual de la interfaz del túnel del IPSec, vea la interfaz del túnel virtual del IPSec
del documento (el link URL proporcionado en “relacionó la sección de los documentos” de este ["General Information on IPsec
and VPN"] del documento).
El cuadro 1 presenta los métodos distintos de configurar un dispositivo remoto y las configuraciones correspondientes del
aggregator del IPSec del headend. Cada fila representa una manera de configurar un dispositivo remoto. La tercera columna
muestra las diversas configuraciones del headend que se pueden utilizar con las interfaces del IPSec. Vea la tabla 2 para
obtener una descripción de los términos que se utilizan en la tabla 1 y la tabla 3.
Headend del Cisco IOS
— Usando las
correspondencias de
criptografía
Configuraciones
de dispositivo
remoto
Crypto maps
•
Soportado.
Interfaz virtual fácil
VPN
•
Soportado.
• Creará múltiples SAs
para un túnel dividido.
• Porque no hay
interfaz en el headend,
las características de la
interfaz no pueden ser
soportadas.
Easy VPN Heredado
Interfaz virtual
estática
Headend del Cisco IOS
— Usando las
interfaces del IPSec
VPN3000/ASA
—
—
•
Soportado.
• Crea solamente un
solo SA en los túneles
de la fractura y de la
ninguno-fractura.
•
Soportado.
• Creará
múltiples SAs
para un túnel
dividido.
• La inyección de la
ruta se logra en el
servidor.
• Se soporta el Calidad
de Servicio (QoS)
limitado.
• Las rutas se
inyectan en los
dispositivos remotos al
tráfico directo a la
interfaz.
• Crea solo IPSec SA
en el headend cuando se
avanza una política
predeterminada.
•
No soportados
•
Soportado.
• Crea los SA múltiples
cuando una directiva del
túnel dividido se avanza
al dispositivo remoto.
• No puede ser
utilizado con los
túneles divididos
porque la interfaz del
headend no soporta los
SA múltiples en una
sola interfaz.
• Crea los SA
múltiples para
los túneles
divididos.
•
•
• No
soportados
No soportados
Soportado.
• Puede ser utilizado
con una interfaz o una
interfaz dinámica
estática en el headend.
• El soporte de ruteo
es obligatorio alcanzar
la red.
El cuadro 2 proporciona una descripción de los términos usados en el cuadro 1 y el cuadro 3.
Términos
Descripción
ASA
Dispositivo de seguridad adaptante de Cisco, un dispositivo de seguridad de la
amenaza-Administración.
Crypto maps
De uso general para configurar los túneles IPsec. La correspondencia de
criptografía se asocia a una interfaz. Para más información sobre las
correspondencias de criptografía, vea que “crear la correspondencia de
criptografía fija” la sección en “Configurar directivo de seguridad para los VPN
con el capítulo del IPSec” de la guía de configuración de la Seguridad de Cisco
IOS: Conectividad segura. (El link URL proporcionado en “relacionó la sección
de los documentos” de este documento.)
Dispositivo remoto Dos configuraciones del dispositivo del Easy VPN Remote en las cuales ambas
dual fácil del túnel están utilizando una interfaz del túnel virtual del IPSec dinámico.
VPN
Dispositivo remoto Configuración VNP remota sencilla que configura el uso de una interfaz del túnel
fácil de la interfaz virtual del IPSec dinámico.
virtual VPN
(interfaz virtual fácil
VPN)
Interfaz del IPSec
Consiste en las interfaces virtuales estáticas y dinámicas del IPSec.
Interfaz del túnel
virtual del IPSec
Interfaz del túnel que se crea de una interfaz del túnel de la plantilla virtual
usando el IPSec del modo. Para más información sobre las configuraciones
virtuales de la interfaz del túnel, vea la interfaz del túnel virtual del IPSec del
documento (el link URL proporcionado en “relacionó la sección de los
documentos” de este [General Information on IPsec and VPN] del documento).
Easy VPN
Heredado
Configuración del dispositivo del Easy VPN Remote que utiliza las
correspondencias de criptografía y no utiliza las interfaces del IPSec.
Interfaz del túnel
virtual del IPSec
estático (interfaz
del túnel virtual
estática)
Interfaz del túnel usada con el IPSec del modo que propone y valida solamente
un "ipv4 cualquier cualquier” selector. Para más información sobre las
configuraciones virtuales estáticas de la interfaz del túnel, vea la interfaz del
túnel virtual del IPSec del documento (el link URL proporcionado en “relacionó la
sección de los documentos” de este ["General Information on IPsec and VPN"]
del documento).
VPN 3000
Routers del Cisco VPN 3000 Series.
Dual Tunnel Support
El VPN fácil ahora soporta la capacidad de configurar dos túneles fáciles VPN que tengan las mismas interfaces interiores y
exteriores. La característica se llama el túnel dual fácil VPN. Configurar los túneles múltiples en un solo dispositivo remoto se
puede lograr de varias maneras, que son mencionadas abajo en el cuadro 3 junto con sus consideraciones de la configuración y
del uso. La discusión adicional en esta sección refiere a solamente un tal método de configurar los túneles duales usando los
túneles fáciles VPN que tienen interfaces virtuales. Este método será referido como soporte dual del túnel.
En una configuración de VPN fácil del dual-túnel, cada túnel fácil VPN se configura usando el soporte virtual de la interfaz del
IPSec, tal y como se muestra en de la sección “soporte virtual de la interfaz del IPSec.” Cada túnel fácil VPN tiene su interfaz
virtual única, se crea que cuando la configuración VPN fácil es completa.
Hay dos combinaciones posible. en las cuales los túneles duales pueden ser utilizados.
• Se doblan los túneles fáciles VPN que tienen el un túnel usando una directiva del túnel del nonsplit y el otro túnel usando
una directiva del túnel dividido que se ha avanzado del headend respectivo.
• Se dobla el túnel fácil VPN en el cual ambos túneles están utilizando una directiva independiente del túnel dividido que
se ha avanzado del headend respectivo.
Notano se permite para tener túneles fáciles duales VPN en los cuales ambos túneles estén utilizando una directiva del túnel
del nonsplit.
El túnel dual fácil VPN hace uso de las inyecciones de la ruta para dirigir el tráfico apropiado a través de la interfaz del túnel
virtual fácil correcta VPN. Cuando sube el túnel fácil VPN en el dispositivo remoto “,” “aprende” la fractura o la directiva del
nonsplit del headend. El dispositivo del Easy VPN Remote inyecta las rutas en su tabla de ruteo que corresponden a las redes
del nonsplit se han aprendido que. Si el headend avanza una directiva del túnel del nonsplit al dispositivo del Easy VPN
Remote, el dispositivo del Easy VPN Remote instala una ruta predeterminado en su tabla de ruteo que dirija toda la interfaz
virtual fácil de los VPN del tráfico que corresponda a este túnel fácil VPN. Si el headend avanza las redes del túnel dividido al
dispositivo remoto, el dispositivo remoto instala las rutas específicas a las redes de la fractura en su tabla de ruteo, dirigiendo el
tráfico a la interfaz del túnel virtual de los de estas redes.
Observela encaminamiento basada en el destino de las aplicaciones fáciles duales del túnel VPN para enviar el tráfico a los
túneles respectivos.
Las funciones de resultados se pueden aplicar a esta interfaz virtual. Los ejemplos de tales funciones de resultados son Calidad
de servicio de Cisco IOS y Firewall Cisco IOS. Estas características se deben configurar en la plantilla virtual que se configura
en la configuración de cliente VPN fácil.
El cuadro 3 explica cómo esta característica debe ser utilizada. Vea la tabla 2 para obtener una descripción de los términos que
se utilizan en la tabla 1 y la tabla 3.
Combinaciones
duales del túnel
Headends
soportados
Dos túneles fáciles de
la herencia VPN
Cisco IOS
Software, ASA,
y VPN 3000
Consideraciones de la configuración y del uso en el
dispositivo y el headend del Easy VPN Remote
• Dos túneles no pueden compartir una interfaz
exterior común.
• Dos túneles no pueden compartir una interfaz
interior común.
• Los dos túneles deben utilizar las interfaces
interiores y exteriores separadas.
• Trafique de una interfaz interior que pertenezca a
un túnel fácil VPN no se pueda avanzar en otro túnel.
Un túnel fácil de la
herencia VPN y una
correspondencia de
criptografía
Cisco IOS
La correspondencia de criptografía puede compartir la
Software, ASA, misma interfaz exterior que la configuración de cliente VPN
y VPN 3000
fácil de la herencia. Sin embargo, el comportamiento de los
dos dispositivos remotos depende del modo de VPN fácil
así como de los selectores del IPSec de la
correspondencia de criptografía y del dispositivo del Easy
VPN Remote. Esto no es una combinación recomendada.
Un túnel fácil de la
herencia VPN y una
interfaz virtual estática
Cisco IOS
Software
Un túnel fácil de la
herencia VPN y una
interfaz virtual fácil
VPN
Cisco IOS
Software, ASA,
y VPN 3000
Ambos túneles no pueden terminar en la misma cabecera.
El túnel estático del dispositivo remoto de la interfaz virtual
tiene que ser terminado en una interfaz virtual estática en
el router de cabecera. El túnel del dispositivo del Easy VPN
Remote de la herencia puede terminar en la interfaz del
túnel o la correspondencia de criptografía virtual que se
configura en el headend.
• Ambos túneles no pueden terminar en la misma
cabecera.
• El túnel fácil de la herencia VPN y la interfaz virtual
fácil VPN pueden compartir las interfaces interiores y
exteriores comunes.
• Una interfaz virtual fácil VPN se debe utilizar
solamente con el Túnel dividido.
• La herencia VPN fácil puede utilizar un túnel
dividido o ningún túnel dividido.
• La característica basada en web de la activación no
se puede aplicar en ambos túneles fáciles VPN.
• Usando dos interfaces virtuales fáciles VPN es
preferible a usar esta combinación.
Una interfaz virtual fácil Cisco IOS
VPN y una interfaz
Software
virtual estática
• Ambos túneles no pueden terminar en el mismo
peer. La interfaz virtual estática y la interfaz virtual fácil
VPN pueden utilizar la misma interfaz exterior.
• La interfaz virtual fácil VPN debe utilizar el Túnel
dividido.
Dos interfaces virtuales Cisco IOS
fáciles VPN
Software, ASA,
y VPN 3000
• Ambos túneles no pueden terminar en el mismo
peer.
• Por lo menos uno de los túneles debe utilizar el
Túnel dividido.
• La activación basada en web no se puede aplicar a
ambos túneles fáciles VPN.
Banner
El Easy VPN Server avanza un banner al dispositivo del Easy VPN Remote. El dispositivo del Easy VPN Remote puede utilizar
el banner durante el Xauth y la activación basada en web. Las muestras del dispositivo del Easy VPN Remote el banner la
primera vez que el túnel fácil VPN está traído para arriba.
El banner se configura bajo configuración de grupo en el Easy VPN Server.
Mejoras de la Administración de la Configuración (Aplicación de una URL de Configuración a través de un
Intercambio de Modo-Configuración)
Después de que esta característica se haya configurado en el servidor usando los comandos configuration url y configuration
version (uso posterior crypto isakmp client configuration group del comando), el servidor puede “avanzar” la configuración
URL y el número de la versión de la configuración al dispositivo del Easy VPN Remote. Con esta información, el dispositivo del
Easy VPN Remote puede descargar el contenido de la configuración y aplicarlo a su configuración corriente. Para más
información sobre esta característica, vea la sección “mejoras de la administración de la configuración” en el módulo de función
del Easy VPN Server.
Peer Primario Reactivo
La característica del peer primario de la reactivación permite que definan a un peer primario predeterminado. El peer primario
predeterminado (un servidor) es uno que se considera mejor que otros pares por las razones tales como distancia más barata,
más corta, o más ancho de banda. Con esta característica configurada, si el VPN fácil falla encima durante las negociaciones
de la fase 1 SA del peer primario al par siguiente en su lista de reserva, y si el peer primario está otra vez disponible, las
conexiones con el backup peer se derriban y la conexión se hace otra vez con el peer primario.
El Dead Peer Detection es uno de los mecanismos que actúa como activador para la reactivación del peer primario. Los
temporizadores de inactividad que se configuran bajo el VPN fácil son otro mecanismo que acciona. Cuando está configurado,
el temporizador de inactividad detecta la inactividad en el túnel y la rasga abajo. Un subsiguiente conecta (que es inmediato en
el modo automático) se intenta con el par preferido primario bastante que con el par último usado.
La notasolamente un peer primario puede ser definida.
Identical Addressing Support
Los soportes de característica de dirección idénticos del soporte dirigieron idénticamente los LAN en los telecontroles fáciles
VPN. Los recursos de red, tales como impresoras y servidores Web en el lado LAN de los telecontroles del EasyVPN, que
tienen dirección que solapa con otros telecontroles fáciles VPN son accesibles ahora. La característica del Easy VPN Remote
fue aumentada para trabajar con el NAT para proporcionar estas funciones.
•
El Easy VPN Server no requiere ningún cambio soportar la característica de dirección idéntica del soporte.
• La característica de dirección idéntica del soporte se soporta solamente en los modos de ampliación de la red (extensión
de la red y red-más).
• Las interfaces del túnel virtuales se deben configurar en el Easy VPN Remote antes de usar la característica de dirección
idéntica del soporte.
El cuadro 11 muestra un ejemplo de la configuración de dirección idéntica de la característica del soporte.
Cuadro 11 soporte de dirección idéntico
La característica de dirección idéntica del soporte se puede configurar con el siguiente comando y los comandos mejorados:
crypto ipsec client ezvpn <name>
Comandos mejorados
• nat acl {acl-name | acl-number} — Túnel dividido de los permisos para el tráfico especificado por el nombre ACL o el
número ACL.
– acl-name El argumento es el nombre del ACL.
– acl-number El argumento es el número del ACL.
•
nat allow — Permite que el NAT sea integrado con el Cisco Easy VPN.
Para los pasos detallados en cómo configurar el soporte de dirección idéntico, vea “configurar el soporte de dirección idéntico.”
cTCP Support on Easy VPN Clients
Cisco que hace un túnel la característica del Control Protocol (cTCP) se puede utilizar para las situaciones en las cuales un
cliente VPN fácil (dispositivo remoto) está actuando en un entorno en el cual el IPSec estándar no funcione o en cuál no
funciona transparente sin la modificación a las reglas de firewall existentes. Estas situaciones incluyen lo siguiente:
• Network Address Translation (NAT) de ejecución o Port Address Translation (PAT) del router de la oficina pequeña o de
la oficina en el hogar
•
Dirección IP proporcionada por PAT detrás de un router más grande (por ejemplo, en una corporación)
•
Firewall que no es NAT (filtrado de paquetes o con estado)
•
Servidor proxy
El cuadro 12 ilustra cómo el tráfico IPSec que es tunneled dentro del Network Address Translation (NAT) de las travesías del
cTCP y del Firewall (véase la línea discontinua).
Cuadro 12 cTCP en un dispositivo del Easy VPN Remote
Para los pasos detallados en cómo configurar el cTCP en los dispositivos del Easy VPN Remote, vea la sección el “configurar
del cTCP en un cliente VPN fácil.”
Para más información sobre el soporte del cTCP en los dispositivos del Easy VPN Remote, incluyendo la configuración y los
ejemplos de Troubleshooting, vea que el “cTCP en los dispositivos remotos del Cisco Easy VPN” en la sección “relacionó los
documentos.”
Easy VPN Server en un VPN 3000 series concentrator
Esta sección describe las guías de consulta requeridas configurar el concentrador del Cisco VPN 3000 Series para el uso con la
característica del telecontrol del Cisco Easy VPN. Como regla general, usted puede utilizar la configuración predeterminada a
excepción de los IP Addresses, las direcciones del servidor, las configuraciones de ruteo, y para los parámetros y las opciones
siguientes:
•
Configuración de peer en un telecontrol del Cisco Easy VPN usando el nombre de host
•
Versión 3.5 interactiva de la autenticación de hardware cliente
•
Protocolo del túnel IPsec
•
Grupo IPSec
•
Bloqueo del grupo
•
Xauth
•
Tunelización dividida
•
Propuestas IKE
•
Nuevo IPSec SA
Notausted debe utilizar la versión de software VPN 3000 series concentrator 3,11 o más adelante para soportar los softwares
cliente y los telecontroles del Cisco Easy VPN.
Configuración de peer en un telecontrol del Cisco Easy VPN usando el nombre de host
Después de que usted haya configurado el servidor del Cisco Easy VPN en el concentrador VPN 3000 para utilizar el nombre
de host como su identidad, usted debe configurar al par en el telecontrol del Cisco Easy VPN usando el nombre de host. Usted
puede configurar el DNS en el cliente para resolver el nombre de host del par o para configurar el nombre de host del par
localmente en el cliente que usa ip host el comando. Como un ejemplo, usted puede configurar el nombre de host del par
localmente en un Easy VPN Remote como sigue:
ip host crypto-gw.cisco.com 10.0.0.1
O usted puede configurar el Easy VPN Remote para utilizar el nombre de host con peer el comando y hostname el argumento,
como sigue:
peer crypto-gw.cisco.com.
Versión 3.5 interactiva de la autenticación de hardware cliente
La característica remota del Cisco Easy VPN no soporta la característica interactiva de la versión 3.5 de la autenticación de
hardware cliente. Esta característica debe ser inhabilitada. Usted puede inhabilitar la característica en el VPN 3000 series
concentrator haciendo clic la lengueta del cliente HW en la configuración | Administración de Usuario | Pantalla Base
Group.
Protocolo del túnel IPsec
El protocolo del túnel IPsec habilita el protocolo del túnel IPsec de modo que esté disponible para los usuarios. El protocolo del
túnel IPsec es configurado en el concentrador del Cisco VPN 3000 Series haciendo clic la ficha general en la configuración |
Administración de Usuario | Pantalla Base Group.
Grupo IPSec
El grupo IPSec configura el concentrador del Cisco VPN 3000 Series con un nombre del grupo y la contraseña que hacen juego
los valores configurados para la configuración remota del Cisco Easy VPN en el router. Estos valores se configuran en el router
con group group-name key group-key el comando y los argumentos. Los valores se configuran en el concentrador del Cisco
VPN 3000 Series usando la configuración | Administración de Usuario | Pantalla de grupos.
Bloqueo del grupo
Si usted está definiendo a los usuarios múltiples en los múltiples grupos en el VPN 3000 series concentrator, usted debe marcar
el cuadro del bloqueo del grupo en la lengueta del IPSec para evitar que los usuarios en un grupo abran una sesión con los
parámetros de otro grupo. Por ejemplo, si usted ha configurado un grupo para el acceso del Túnel dividido y a otro grupo sin el
acceso del Túnel dividido, hacer clic el cuadro del bloqueo del grupo evita que los usuarios en el segundo grupo accedan a las
características del Túnel dividido. El checkbox del bloqueo del grupo aparece en la lengueta del IPSec en la configuración |
Administración de Usuario | Pantalla Base Group y en la pestaña IPsec de Configuration | Administración de Usuario |
Grupos | Add/Modify screens.
Xauth
Para utilizar el Xauth, fije el parámetro de autenticación a ningunos. El parámetro de autenticación aparece en la lengueta del
IPSec en la configuración | Administración de Usuario | Pantalla Base Group y en la pestaña IPsec de Configuration |
Administración de Usuario | Grupos | Add/Modify screens.
Tunelización dividida
La configuración | Administración de Usuario | El grupo base, pantalla de la lengueta de los parámetros de la
configuración de modo incluye una opción del túnel dividido con un checkbox que diga “permita que las redes en la lista
desvíen el túnel.”
Propuestas IKE
El concentrador del Cisco VPN 3000 Series se preconfigura con una propuesta IKE predeterminada, CiscoVPNClient-3DESMD5, que se puede utilizar con los telecontroles del Cisco Easy VPN. Esta propuesta IKE soporta las claves del preshared con
el Xauth usando el algoritmo MD5/HMAC-128 y el grupo Diffie-Hellman 2.
Esta propuesta IKE es activa por abandono, pero usted debe verificar que siga siendo una propuesta activa usando la
configuración | Sistema | Protocolo de tunelización | IPSec | Pantalla de las propuestas IKE.
Además, como parte de configurar el concentrador del Cisco VPN 3000 Series — para la imagen remota del Cisco Easy VPN,
usted no necesita crear nuevo IPSec SA. Utilice el valor por defecto IKE y el curso de la vida del Easy VPN Remote configurado
en el concentrador del Cisco VPN 3000 Series.
Notausted puede también utilizar las propuestas IKE predeterminadas IKE-DES-MD5 y IKE-3DES-MD5, pero no habilitan el
soporte del Xauth por abandono.
Nuevo IPSec SA
Usted puede crear nuevo IPSec SA. Los clientes del Cisco Easy VPN utilizan un SA que tiene los parámetros siguientes:
•
Autenticación Algorithm=ESP/MD5/HMAC-128
•
Cifrado Algorithm=DES-56 o 3DES-168 (recomendado)
•
Encapsulación Mode=Tunnel
•
IKE Proposal=CiscoVPNClient-3DES-MD5 (preferido)
El concentrador del Cisco VPN 3000 Series se preconfigura con varias asociaciones de seguridad predeterminadas (SA), pero
no cumplen los requisitos de la propuesta IKE. Para utilizar una propuesta IKE de CiscoVPNClient-3DES-MD5, copie ESP/IKE3DES-MD5 SA y modifiqúelos para utilizar CiscoVPNClient-3DES-MD5 como su propuesta IKE. Una propuesta IKE se configura
en el VPN 3000 series concentrator usando la configuración | Administración de políticas | Administración del tráfico |
Pantalla de las asociaciones de seguridad.
Cómo Configurar Cisco Easy VPN Remote
•
Tareas Remotas
•
Tareas de Easy VPN Server
•
Tareas de la Interfaz de Red
•
Troubleshooting de la Conexión VPN
Tareas Remotas
•
Configurando y asignando la configuración VNP remota sencilla (requerida)
•
Verificando la configuración del Cisco Easy VPN (opcional)
•
Configurando la contraseña de la salvaguardia (opcional)
•
Configurando el control manual del túnel (opcional)
•
Configurando el control del túnel automático (opcional)
•
Configurando las interfaces interiores múltiples (opcionales)
•
Configurando las interfaces exteriores múltiples (opcionales)
•
Configurando el soporte de la subred múltiple (opcional)
•
Configurando el soporte del servidor DNS del proxy (opcional)
•
Configurando el Respaldo de marcado (opcional)
•
Configurando el pool del servidor DHCP (requerido)
•
Reajustando una conexión VPN (opcional)
•
Monitoreando y mantener el VPN y los eventos IKE (opcionales)
•
Configurando una interfaz virtual (opcional)
•
Localización de averías del soporte dual del túnel (opcional)
•
El configurar reactiva al peer primario (de un valor por defecto) (opcional)
•
Configurando el soporte de dirección idéntico (opcional)
•
Configurando el cTCP en un cliente VPN fácil (opcional)
•
Tráfico de restricción cuando un túnel está abajo de (opcional)
Configurando y asignando la configuración VNP remota sencilla
El router que actúa como el Easy VPN Remote debe crear una configuración remota del Cisco Easy VPN y asignarla a la
interfaz saliente. Para configurar y asignar la configuración remota, realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. group group-name key group-key
5. peer [ip-address | hostname]
6. mode {client | network-extension}
7. exit
8. interface interface
9. crypto ipsec client ezvpn name []outside
10. exit
11. exit
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure
terminal
Paso crypto ipsec client ezvpn Crea una configuración remota e ingresa al modo de
name
3
configuración de Cisco Easy VPN Remote.
Example:
Router(config)# crypto
ipsec client ezvpn easy
client remote
Paso group group-name key
group-key
4
Example:
Router(config-cryptoezvpn)# group easy-vpnremote-groupname key
Especifica el grupo IPSec y clave IPSec el valor que
se asociarán a esta configuración.
Observeel valor group-name del argumento
debe hacer juego al grupo definido en el Easy
VPN Server. En el Routers del Cisco IOS,
utilice crypto isakmp client configuration
easy-vpn-remote-password
group y crypto map dynmap isakmp
authorization list los comandos.
Observeel valor group-key del argumento
debe hacer juego la clave definida en el Easy
VPN Server. En el Routers del Cisco IOS,
utilice crypto isakmp client configuration
group el comando.
Paso peer [ip-address |
hostname]
5
Example:
Router(config-cryptoezvpn)# peer 192.185.0.5
Especifica la dirección IP o el nombre de host para el
peer de destino (típicamente la dirección IP en la
interfaz exterior de la ruta del destino).
• Los peeres múltiples pueden ser
configurados.
Notausted debe tener un servidor DNS
configurado y disponible para utilizar hostname
el argumento.
Paso mode {client | networkextension}
6
Especifica el tipo de conexión VPN que debe ser
hecho.
• client — Especifica que configuran al router
para la operación del cliente VPN, usando el
NAT o la traducción del PAT Address. El
funcionamiento del cliente es el valor por defecto
si no especifican al tipo de conexión VPN
Example:
Router(config-cryptoezvpn)# mode client
• network-extension — Especifica que el
router debe hacer una extensión remota de la red
para empresas en el destino de la conexión VPN.
Paso exit
7
Sale del modo de configuración de Cisco Easy VPN
Remote.
Paso interface interface
8
Ingresa en el modo de configuración de la interfaz.
Example:
Router (config-cryptoezvpn)# exit
• Esta interfaz se convertirá en la interfaz
exterior para la traducción NAT o PAT.
Example:
Router (config)#
interface Ethernet1
Paso crypto ipsec client ezvpn Asigna la configuración remota del Cisco Easy VPN
name [outside]
9
a la interfaz.
• Esta configuración crea automáticamente los
parámetros de traducción NAT o PAT necesarios
e inicia la conexión VPN (si está en el modo
cliente).
Example:
Router (config-if)#
crypto ipsec client ezvpn
easy_vpn_remote1 outside
Observela interfaz interior debe ser
especificado en el Cisco 1700 y las
plataformas mayores.
Paso exit
10
Sale del modo de configuración de interfaz.
Paso exit
11
Sale del modo de configuración global.
Example:
Router (config-if)# exit
Example:
Router (config)# exit
Verificar la configuración del Cisco Easy VPN
Para verificar que la configuración remota del Cisco Easy VPN se haya configurado correctamente, que la configuración se ha
asignado a una interfaz, y que se ha establecido el túnel del IPSec VPN, realice los pasos siguientes.
PASOS SUMARIOS
1. show crypto ipsec client ezvpn
2. show ip nat statistics
PASOS DETALLADOS
Paso 1 Visualice al estado actual de la conexión remota del Cisco Easy VPN usando show crypto ipsec client ezvpn
el comando. Lo que sigue es resultado típico para un Cisco 1700 Series Router que usa al modo cliente:
Router# show crypto ipsec client ezvpn
Tunnel name : hw1
Inside interface list: FastEthernet0/0, Serial0/0,
Outside interface: Serial1/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.0.0.5
Mask: 255.255.255.255
Default Domain: cisco.com
Tunnel name : hw2
Inside interface list: Serial0/1,
Outside interface: Serial1/1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Default Domain: cisco.com
Paso 2 Visualice la configuración NAT o de la PALMADITA que fue creada automáticamente para la conexión VPN
usando show ip nat statistics el comando. El campo de las “correspondencias dinámicas” de esta visualización
da los detalles para la traducción NAT o de la PALMADITA que está ocurriendo en el túnel VPN.
Router# show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
cable-modem0
Inside interfaces:
Ethernet0
Hits: 1489
Misses: 1
Expired translations: 1
Dynamic mappings:
-- Inside Source
access-list 198 pool enterprise refcount 0
pool enterprise: netmask 255.255.255.0
start 192.168.1.90 end 192.168.1.90
type generic, total addresses 1, allocated 0 (0%), misses 0\
Si usted está viendo IPSEC_ACTIVE en su salida en este momento, todo está actuando como se esperaba.
Configuración de Guardado de Contraseña
Para configurar la característica de la contraseña de la salvaguardia, realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. password encryption aes
4. crypto ipsec client ezvpn name
5. username namecontraseña {0 | 6} {password}
6. exit
7. show running-config
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso password encryption aes
3
Habilita una clave cifrada del preshared del tipo 6.
Paso crypto ipsec client ezvpn
name
4
Crea una configuración remota de Cisco Easy
VPN e ingresa al modo de configuración remota
de Cisco Easy VPN.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure terminal
Example:
Router (config)# password
encryption aes
Example:
Router (config)# crypto
ipsec client ezvpn ezvpn1
Paso username name password {0 | 6 Permite que usted salve su contraseña del Xauth
} {password}
5
localmente en el PC.
Example:
Router (config-cryptoezvpn)# username server_1
password 0 blue
•
0 La palabra clave especifica que una
contraseña sin encripción seguirá.
•
6 La palabra clave especifica que una
contraseña encriptada seguirá.
•
password El argumento es la contraseña
del usuario unencrypted (del texto claro).
Paso exit
6
Da salida al modo de la configuración remota del
Cisco Easy VPN.
Paso show running-config
7
Visualiza el contenido del archivo de
configuración que se está ejecutando
actualmente.
Example:
Router (config-cryptoezvpn)# exit
Example:
Router (config)# show
running-config
Configurar el control manual del túnel
La notaCLI es una opción para conectar el túnel. El método preferido está vía la interfaz Web (usando el SDM).
Para configurar el control de los túneles del IPSec VPN manualmente de modo que usted pueda establecer y terminar los
túneles del IPSec VPN a pedido, realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. connect [auto | manual]
5. exit
6. exit
7. crypto ipsec client ezvpn connect name
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto ipsec client
ezvpn name
3
Asigna una configuración de Cisco Easy VPN Remote a una
interfaz e ingresa al modo de configuración de Cisco Easy
VPN Remote.
Example:
Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example:
Router# configure
terminal
Example:
Router (config)#
crypto ipsec client
ezvpn easy vpn
remote1
Paso connect [auto |
manual]
4
Example:
Router (configcrypto-ezvpn)#
connect manual
•
name El argumento especifica el nombre de la
configuración que se asignará a la interfaz.
Conecta el túnel VPN. Especifique manual para configurar
el control manual del túnel.
• Automático es el valor predeterminado; usted no
necesita utilizar manual la palabra clave si su
configuración es automática.
Paso exit
5
Sale del modo de configuración de Cisco Easy VPN
Remote.
Paso exit
6
Sale del modo de configuración global e ingresa en el modo
EXEC privilegiado.
Paso crypto ipsec client
ezvpn connect name
7
Conecta una configuración de Cisco Easy VPN Remote
determinada.
Example:
Router (configcrypto-ezvpn)# exit
Example:
Router (config)#
exit
Example:
Router# crypto
ipsec client ezvpn
connect easy vpn
remote1
•
name El argumento especifica el nombre de túnel
del IPSec VPN.
Observesi el nombre de túnel no se especifica, el
túnel activo está conectado. Si hay más de un túnel
activo, el comando falla con un error que solicita
que se especifique el nombre de túnel.
Configurar el control del túnel automático
Para configurar el control del túnel automático, realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. connect [auto | manual]
5. exit
6. exit
7. crypto ipsec client ezvpn connect name
PASOS DETALLADOS
Comando
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
•
Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto ipsec client
ezvpn name
3
Asigna una configuración de Cisco Easy VPN Remote a una
interfaz e ingresa al modo de configuración de Cisco Easy
VPN Remote.
Example:
Router# configure
terminal
Example:
Router (config)#
crypto ipsec client
ezvpn easy vpn
remote1
Paso connect [auto |
manual]
4
Example:
Router (configcrypto-ezvpn)#
connect auto
• Especifique el nombre de la configuración que se
asignará a la interfaz.
Conecta el túnel VPN.
• Especifique auto para configurar el control del túnel
automático. Automático es el valor predeterminado;
usted no necesita utilizar este comando si su
configuración es automática.
Paso exit
5
Sale del modo de configuración de Cisco Easy VPN
Remote.
Paso exit
6
Sale del modo de configuración global e ingresa en el modo
EXEC privilegiado.
Paso crypto ipsec client
ezvpn connect name
7
Conecta una configuración de Cisco Easy VPN Remote
determinada.
Example:
Router (configcrypto-ezvpn)# exit
Example:
Router (config)#
exit
Example:
Router# crypto
ipsec client ezvpn
connect easy vpn
remote1
•
name El argumento especifica el nombre de túnel
del IPSec VPN.
Observesi el nombre de túnel no se especifica, el
túnel activo está conectado. Si hay más de un túnel
activo, el comando falla con un error que solicita
que se especifique el nombre de túnel.
Configurar las interfaces interiores múltiples
Usted puede configurar hasta tres interfaces interiores para todas las Plataformas.
Se soportanlas interfaces interiores múltiples de la nota solamente cuando el servidor del Cisco Easy VPN y el cliente del Cisco
Easy VPN tienen el mismo tipo de configuración VPN fácil. Es decir ambos deben utilizar una configuración VPN fácil de la
herencia, o ambos deben utilizar una configuración DVTI.
Usted necesita configurar manualmente cada interfaz interior usando el siguiente procedimiento.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface interface-name
4. exit
5. crypto ipsec client ezvpn name [outside | inside]
6. interface interface-name
7. exit
8. crypto ipsec client ezvpn name [outside | inside]
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure
terminal
Paso interface interface-name
3
Selecciona la interfaz que se desea configurar
especificando el nombre de la interfaz e ingresa al
modo de configuración de la interfaz.
Paso exit
4
Sale del modo de configuración de interfaz.
Example:
Router (config)#
interface Ethernet0
Example:
Router (config-if)# exit
Paso crypto ipsec client ezvpn Especifica el nombre de la configuración remota del
name [outside | inside] Cisco Easy VPN que se asignará a la primera
5
interfaz interior.
Example:
Router (config)# crypto
ipsec client ezvpn easy
vpn remote 1 inside
• Usted debe especificar inside para cada
interfaz interior.
Paso interface interface-name
6
Selecciona la interfaz siguiente que usted quiere
configurar especificando el nombre siguiente de la
interfaz y ingresa al modo de configuración de la
interfaz.
Paso exit
7
Sale del modo de configuración de interfaz.
Example:
Router (config)#
interface Ethernet1
Example:
Router (config-if)# exit
Paso crypto ipsec client ezvpn Especifica el nombre de la configuración remota del
name [outside | inside] Cisco Easy VPN que se asignará a la interfaz interior
8
siguiente.
Example:
Router (config)# crypto
ipsec client ezvpn easy
vpn remote2 inside
• Usted debe especificar inside para cada
interfaz interior.
Relance el paso 3 al paso 4 para configurar un túnel
adicional si está deseado.
Configurar las interfaces exteriores múltiples
Usted puede configurar los túneles múltiples para las interfaces exteriores, configurando un túnel para cada interfaz exterior.
Usted puede configurar un máximo de cuatro túneles usando el siguiente procedimiento para cada interfaz exterior.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface interface-name
4. exit
5. crypto ipsec client ezvpn name [outside | inside]
6. interface interface-name
7. exit
8. crypto ipsec client ezvpn name [outside | inside]
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso interface interface-name
3
Selecciona la primera interfaz exterior que usted
quiere configurar especificando el nombre de la
interfaz y ingresa al modo de configuración de la
interfaz.
Paso exit
4
Sale del modo de configuración de interfaz.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure
terminal
Example:
Router (config)#
interface Ethernet0
Example:
Router (config-if)# exit
Paso crypto ipsec client ezvpn Especifica el nombre de la configuración remota del
name [outside | inside] Cisco Easy VPN que se asignará a la primera
5
interfaz exterior.
Example:
Router (config)# crypto
ipsec client ezvpn easy
vpn remote1 outside
• Especifique outside (opcional) para cada
interfaz exterior. Si ni outside ni inside se
especifica para la interfaz, el valor por defecto es
outside.
Paso interface interface-name
6
Selecciona la interfaz exterior siguiente que usted
quiere configurar especificando el nombre siguiente
de la interfaz.
Paso exit
7
Sale del modo de configuración de interfaz.
Example:
Router (config)#
interface Ethernet1
Example:
Router (config-if)# exit
Paso crypto ipsec client ezvpn Especifica el nombre de la configuración remota del
name [outside | inside] Cisco Easy VPN que se asignará a la interfaz
8
exterior siguiente.
Example:
Router (config)# crypto
ipsec client ezvpn easy
vpn remote2 outside
• Especifique outside (opcional) para cada
interfaz exterior. Si ni outside ni inside se
especifica para la interfaz, el valor por defecto es
outside.
• Relance el paso 3 al paso 4 para configurar
los túneles adicionales si está deseado.
Configurar el soporte de la subred múltiple
Al configurar el soporte de la subred múltiple, usted debe primero configurar una lista de acceso para definir las subredes reales
que se protegerán. Cada par de la subred de origen o de la máscara indica que todo el tráfico que es originado de esta red a
cualquier destino es protegido por el IPSec. Para la información sobre configurar los ACL, vea la “configuración de la lista de
control de acceso” en la sección “referencias adicionales.”
Las subredes múltiplesde la nota no se soportan en el modo cliente. Se soportan estas funciones solamente cuando el
servidor del Cisco Easy VPN y el cliente del Cisco Easy VPN tienen el mismo tipo de configuración VPN fácil. Es decir
ambos deben utilizar una configuración VPN fácil de la herencia, o ambos deben utilizar una configuración del dVTI.
Después de que usted haya definido las subredes, usted debe configurar crypto ipsec client el perfil del EZVPN para utilizar los
ACL.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface interface-name
4. exit
5. crypto ipsec client ezvpn name
6. acl {acl-name | acl-number}
PASOS DETALLADOS
Comando
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
•
Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso interface interfacename
3
Selecciona la interfaz que se desea configurar
especificando el nombre de la interfaz e ingresa al modo
de configuración de la interfaz.
Example:
Router# configure
terminal
Example:
Router (config)#
interface Ethernet1
Paso exit
4
Sale del modo de configuración de interfaz.
Paso crypto ipsec client
ezvpn name
5
Crea una configuración de Cisco Easy VPN Remote e
ingresa en el modo de configuración de Easy VPN
criptográfico.
Example:
Router (config-if)#
exit
Example:
Router (config)#
crypto ipsec client
ezvpn ez1
Paso acl {acl-name | aclnumber}
6
Especifica las subredes múltiples en un túnel VPN.
Example:
Router (config-cryptoezvpn)# acl acl-list1
Configurar el soporte del servidor DNS del proxy
Como manera de implementar el uso de las direcciones de DNS del ISP cuando la conexión WAN está abajo, el router en una
configuración remota del Cisco Easy VPN puede ser configurado para actuar como servidor DNS del proxy. Para habilitar las
funciones del servidor DNS del proxy con ip dns server el comando, realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. ip dns server
PASOS DETALLADOS
Comando
Propósito
Paso
1
enable
Habilita el modo EXEC privilegiado.
Paso
2
configure terminal
Paso
3
ip dns server
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router> enable
Ingresa en el modo de configuración global.
Example:
Router# configure terminal
Example:
Router (config)# ip dns
server
Permite al router para actuar como servidor DNS
del proxy.
Observeesta definición es específico IOS.
Pasos Siguientes
Después de configurar al router, usted configura el servidor del Cisco IOS Easy VPN como sigue:
•
Bajo crypto isakmp client configuration group comando, configure el comando dns como en el siguiente ejemplo:
dns A.B.C.D A1.B1.C1.D1
Estos DNS Server Address se deben avanzar del servidor al telecontrol del Cisco Easy VPN y agregar dinámicamente a o
borrar de la configuración corriente del router.
Para la información sobre las funciones generales del servidor DNS en las aplicaciones del Cisco IOS Software, vea
“configurando el capítulo DNS” de la guía de configuración de software de las Catalyst 6500 Series y el DNS que configura en la
nota técnica del diseño de los routeres Cisco.
Configurar el Respaldo de marcado
Observela característica del Respaldo de marcado no está disponible en el Cisco IOS Release 12.3(11)T.
Para configurar el Respaldo de marcado, realice los pasos siguientes.
PASOS SUMARIOS
1. Cree la configuración de respaldo fácil VPN.
2. Agregue a los detalles del comando backup a la configuración primaria.
3. Aplique la configuración VPN fácil de reserva a la interfaz exterior del Respaldo de marcado.
4. Aplique el perfil fácil VPN a las interfaces interiores.
PASOS DETALLADOS
Comando
Propósito
Paso Create the Easy VPN dial backup
1
configuration.
Para más información sobre la configuración de
respaldo, vea la sección “Respaldo de
marcado.”
Paso Agregue a los detalles del comando
2
backup a la configuración primaria.
Utilice backup el comando y track la palabra
clave crypto ipsec client ezvpn del comando.
Paso Aplique la configuración VPN fácil de
3
reserva a la interfaz exterior del
Respaldo de marcado (por ejemplo,
serial, async, o marcador).
Para más información sobre la aplicación de la
configuración de respaldo a la interfaz exterior
del Respaldo de marcado, vea la sección el
“configurar de las interfaces exteriores
múltiples.”
Paso Aplique el perfil fácil VPN a las
4
interfaces interiores (puede haber
más de una).
Para más información sobre la aplicación del
perfil fácil VPN a las interfaces interiores, vea la
sección el “configurar de las interfaces
interiores múltiples.”
Configurar el pool del servidor DHCP
Para configurar el pool del servidor del Protocolo de configuración dinámica de host (DHCP), vea el mapa de ruta de las
características del DHCP.
Reajuste de una conexión VPN
Para reajustar la conexión VPN, realice los pasos siguientes. clear Los comandos se pueden configurar en cualquier orden o
independiente de uno otra.
PASOS SUMARIOS
1. enable
2. clear crypto ipsec client ezvpn
3. clear crypto sa
4. clear crypto isakmp
PASOS DETALLADOS
Comando
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
•
Ingrese su contraseña si se le pide que lo haga.
Paso clear crypto ipsec Reajusta la máquina de estado remota del Cisco Easy VPN y
client ezvpn
2
derriba la conexión remota del Cisco Easy VPN en todas las
interfaces o en una interfaz dada (túnel).
Example:
Router# clear
crypto ipsec
client ezvpn
Paso clear crypto sa
3
SA de IPSec de las cancelaciones.
Paso clear crypto
isakmp
4
Borra las conexiones del IKE activo.
Example:
Router# clear
crypto sa
Example:
Router# clear
crypto isakmp
Monitoreando y mantener el VPN y los eventos IKE
Para monitorear y mantener el VPN y los eventos IKE, realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. debug crypto ipsec client ezvpn
3. debug crypto ipsec
4. debug crypto isakmp
PASOS SUMARIOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso debug crypto ipsec
client ezvpn
2
Información de las visualizaciones que muestra la
configuración y la implementación de la característica del
telecontrol del Cisco Easy VPN.
•
Example:
Router> enable
Example:
Router# debug
crypto ipsec client
ezvpn
Paso debug crypto ipsec
3
Ingrese su contraseña si se le pide que lo haga.
Eventos del IPSec de las visualizaciones.
Example:
Router# debug
crypto ipsec
Paso debug crypto isakmp Muestra mensajes sobre los eventos IKE.
4
Example:
Router# debug
crypto isakmp
Configurar una interfaz virtual
Antes de que se configure la interfaz virtual, asegúrese de que el perfil fácil VPN no esté aplicado en ninguna interfaz exterior.
Quite el perfil fácil VPN de la interfaz exterior y después configure la interfaz virtual. Para configurar una interfaz virtual, realice
los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface virtual-template number type type-of-virtual-template
4. tunnel mode ipsec ipv4
5. exit
6. crypto ipsec client ezvpn name
7. virtual-interface virtual-template-number
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure
terminal
2
Ingresa en el modo de configuración global.
Example:
Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example:
Router# configure
terminal
Paso interface
virtual-template
3
number type typeof-virtualtemplate
(Opcional) crea una plantilla virtual del túnel del tipo y ingresa
al modo de configuración de la interfaz.
• Los pasos 3, 4, y 5 son opcionales, pero si se configura
uno, deben todos ser configurados.
Example:
Router (config)#
interface
virtual-template1
type tunnel
Paso tunnel mode ipsec (Opcional) configura el túnel que hace tunelización de IPSec.
ipv4
4
Example:
Router (ifconfig)# tunnel
mode ipsec ipv4
Paso exit
5
Example:
Router (ifconfig)# exit
Modo de configuración (opcional) de la interfaz de las salidas
(virtual-túnel).
Paso crypto ipsec
Crea una configuración remota de Cisco Easy VPN e ingresa al
client ezvpn name modo de configuración remota de Cisco Easy VPN.
6
Example:
Router (config)#
crypto ipsec
client ezvpn
EasyVPN1
Paso virtual-interface Da instrucciones el Easy VPN Remote para crear una interfaz
virtual7
virtual que se utilizará como interfaz exterior. Si se especifica el
template-number
número de la plantilla virtual, la interfaz de acceso virtual se
deriva de la interfaz virtual que fue especificada. Si un número
Example:
de la plantilla virtual no se especifica, se crea una interfaz de
Router (configacceso virtual genérica.
crypto-ezvpn)#
virtual-interface
3
Localización de averías del soporte dual del túnel
Lo que sigue debug y show los comandos se pueden utilizar para resolver problemas su configuración del dual-túnel.
PASOS SUMARIOS
1. enable
2. debug crypto ipsec client ezvpn
3. debug ip policy
4. show crypto ipsec client ezvpn
5. show ip interface
PASOS DETALLADOS
Comando
Propósito
Paso
1
enable
Habilita el modo EXEC privilegiado.
Paso
2
debug crypto ipsec client
ezvpn
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Visualiza la información sobre las conexiones
remotas del Cisco Easy VPN.
Example:
Router# debug crypto ipsec
client ezvpn
Paso
3
debug ip policy
Paso
4
show crypto ipsec client
ezvpn
Example:
Router# debug ip policy
Actividad del paquete del Policy Routing IP de las
visualizaciones.
Visualiza la configuración remota del Cisco Easy
VPN.
Example:
Router# show crypto ipsec
client ezvpn
Paso
5
show ip interface
Example:
Router# show ip interface
Visualiza el estatus de la utilidad de las interfaces
que se configuran para el IP.
El configurar reactiva al peer primario (de un valor por defecto)
Para configurar a un peer primario predeterminado, realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. peer {ip-address | hostname} []default
5. idle-time idle-time
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Example:
Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example:
Router# configure
terminal
Paso crypto ipsec client Crea una configuración de Cisco Easy VPN Remote e
ezvpn name
3
ingresa en el modo de configuración de Easy VPN
criptográfico.
Example:
Router (config)#
crypto ipsec client
ezvpn ez1
Paso peer {ip-address | Fija el IP Address de Peer o el nombre de host para la
hostname} [default] conexión VPN.
4
Example:
Router (configcrypto-ezvpn)# peer
10.2.2.2 default
• Un nombre de host puede ser especificado
solamente cuando el router tiene un servidor DNS
disponible para resolución del nombre de la computadora
principal.
•
peer El comando se puede entrar las épocas
múltiples. Sin embargo, solamente una valor por defecto
o entrada del peer primario puede existir en un momento
(por ejemplo, 10.2.2.2 omite).
•
default La palabra clave define al par como el peer
primario.
Paso idle-time idle-time El tiempo de inactividad (opcional) en los segundos después
5
de lo cual un túnel fácil VPN se derriba.
Example:
Router (configcrypto-ezvpn)#
idle-time 60
•
Time=60 ocioso con 86400 segundos.
Observesi tiempo de inactividad se configura, el túnel
para el servidor primario no se derriba.
Configurar el soporte de dirección idéntico
Configurar el soporte de dirección idéntico comprende las tareas siguientes:
•
Definición del Easy VPN Remote en el modo de ampliación de la red y el habilitar nat allow.
•
Asignación de la configuración remota del Cisco Easy VPN a la interfaz exterior.
• Creando un Loopback Interface y la asignación de la configuración remota del Cisco Easy VPN a la interfaz interior del
Loopback Interface.
• Configurando una traducción NAT estática una por para cada host que necesita ser accesible de la red del lado del
servidor del EasyVPN o de otras ubicaciones del cliente.
• Configurar el NAT sobrecargado dinámico o la PALMADITA usando una lista de acceso para todo el tráfico deseado
VPN. El tráfico NAT o de la PALMADITA se asocia a la dirección IP fácil de la interfaz interior VPN.
• Y, si se requiere el Túnel dividido, usando nat acl el comando de habilitar el Túnel dividido para el tráfico especificado
por el acl-name o acl-number argumento. El ACL es lo mismo que el ACL usado por la asignación NAT o de la PALMADITA
en el elemento precedente del punto negro.
Para configurar el soporte de dirección idéntico, realice los pasos siguientes en su router.
Prerrequisitos
El Easy VPN Remote se debe configurar en el modo de ampliación de la red antes de que usted pueda configurar la
característica de dirección idéntica del soporte.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. mode network-extension
5. nat allow
6. exit
7. interface interface
8. crypto ipsec client ezvpn name outside
9. exit
10. interface interface
11. ip address ip mask
12. crypto ipsec client ezvpn name inside
13. exit
14. ip nat inside source static local-ip global-ip
15. ip nat inside source list {acl-name | acl-number} sobrecargainterface de la interfaz
16. crypto ipsec client ezvpn name
17. nat acl {acl-name | acl-number}
18. exit
19. exit
PASOS DETALLADOS
Paso 1
Comando
Propósito
enable
Habilita el modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
• Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
Router# configure
terminal
Paso 3
crypto ipsec client
ezvpn name
Crea una configuración remota e ingresa al modo
de configuración de Cisco Easy VPN Remote.
Example:
Router (config)# crypto
ipsec client ezvpn
easyclient
Paso 4
mode network-extension
Example:
Router (config-cryptoezvpn)# mode networkextension
Paso 5
nat allow
Example:
Router (config-cryptoezvpn)# nat allow
Paso 6
exit
Example:
Router (config-cryptoezvpn)# exit
Paso 7
Paso 8
Permite que el NAT sea integrado con el VPN fácil
y habilita la característica de dirección idéntica.
Sale del modo de configuración de Cisco Easy VPN
Remote.
interface interface
Ingresa en el modo de configuración de la interfaz.
Example:
Router (config)#
interface Ethernet1
• Esta interfaz se convertirá en la interfaz
exterior para la traducción NAT o PAT.
crypto ipsec client
ezvpn name outside
Example:
Router (config-if)#
crypto ipsec client
ezvpn easyclient outside
Paso 9
Cliente VPN fácil de las configuraciones en el modo
de ampliación de la red.
exit
Example:
Router (config-if)# exit
Asigna la configuración remota del Cisco Easy VPN
a la interfaz exterior.
• Esta configuración crea automáticamente
los parámetros de traducción NAT o PAT
necesarios e inicia la conexión VPN (si está en
el modo cliente).
Sale del modo de configuración de interfaz.
Paso 10 interface interface
Example:
Router (config)#
interface Loopback0
Paso 11 ip address ip mask
Example:
Router (config-if)# ip
address 10.1.1.1
255.255.255.252
Paso 12 crypto ipsec client
ezvpn name inside
Ingresa al modo de configuración de la interfaz
para el Loopback Interface.
• Esta interfaz se convertirá en la interfaz
interior para la traducción NAT o de la
PALMADITA.
Asigna la dirección IP y la máscara al Loopback
Interface.
Asigna la configuración remota del Cisco Easy VPN
a la interfaz interior.
Example:
Router (config-if)#
crypto ipsec client
ezvpn easyclient inside
Paso 13 exit
Sale del modo de configuración de interfaz.
Example:
Router (config-if)# exit
Paso 14 ip nat inside source
static local-ip globalip
Example:
Router (config)# ip nat
inside source static
10.10.10.10 5.5.5.5
Paso 15 ip nat inside source
list
{acl-name | acl-number}
interface interface
overload
Example:
Router (config)# ip nat
inside source list 100
interface Loopback0
overload
Paso 16 crypto ipsec client
ezvpn name
Example:
Router (config)# crypto
ipsec client ezvpn
easyclient
Configure una traducción NAT estática una por
para cada host que necesite ser accesible de la red
del lado del Easy VPN Server, o de otras
ubicaciones del cliente.
Configure el NAT sobrecargado dinámico o la
PALMADITA, que utilizan un ACL para todo el
tráfico deseado VPN. El tráfico NAT y de la
PALMADITA se asocia a la dirección IP fácil de la
interfaz interior VPN.
•
acl-name El argumento es el nombre del
ACL.
•
acl-number El argumento es el número del
ACL.
(Opcional, si usa el Túnel dividido) ingresa el
modo de la configuración remota del Cisco Easy
VPN.
Paso 17 nat acl {acl-name | acl- (Opcional, si usa el Túnel dividido) habilita el Túnel
number}
dividido para el tráfico especificado por el acl-name
o acl-number argumento. El ACL es lo mismo que
Example:
el ACL usado por la asignación NAT o de la
Router (config-cryptoPALMADITA en el paso 15.
ezvpn)# nat acl 100
•
acl-name El argumento es el nombre del
ACL.
•
acl-number El argumento es el número del
ACL.
Paso 18 exit
Example:
Router (config-cryptoezvpn)# exit
Paso 19 exit
Sale del modo de configuración de Cisco Easy VPN
Remote.
Sale del modo de configuración global.
Example:
Router (config)# exit
Configurar el cTCP en un cliente VPN fácil
Para configurar el cTCP en un cliente VPN fácil (dispositivo remoto), realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ctcp [keepalive number-of-seconds | port port-number]
4. crypto ipsec client ezvpn name
5. ctcp port port-number
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto ctcp [keepalive
number-of-seconds |
3
Fija el intervalo de keepalive del cTCP para el
dispositivo remoto.
Example:
Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example:
Router# configure
terminal
port port-number]
Example:
Router (config)# crypto
ctcp keepalive 15
• number-of-seconds — Número de segundos
entre el Keepalives. Valor = 5 a 3600.
• port port-number—Número del puerto que el
cTCP escucha. Hasta 10 números pueden ser
configurados.
Observeal cliente del cTCP tiene que enviar las
señales de mantenimiento periódicas al servidor
para guardar las sesiones NAT o del Firewall
vivas.
Paso crypto ipsec client
ezvpn name
4
Example:
Router (config)# crypto
ipsec client ezvpn
ezvpn1
Paso ctcp port port-number
5
Example:
Router (config-cryptoezvpn)# ctcp port 200
Crea una configuración remota de Cisco Easy VPN e
ingresa al modo de configuración remota de Cisco Easy
VPN.
Fija el número del puerto para la encapsulación del
cTCP para el VPN fácil.
• port-number — Número del puerto en el
concentrador. Valor = 1 a 65535.
Restricción del Tráfico Cuando se Desactiva un Túnel
Para restringir al cliente de enviar el tráfico en el texto claro cuando un túnel está abajo, realice los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. flow allow acl [name | number]
PASOS DETALLADOS
Paso
1
Comando
Propósito
enable
Habilita el modo EXEC privilegiado.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto ipsec client
ezvpn name
3
Crea una configuración remota de Cisco Easy VPN e
ingresa al modo de configuración remota de Cisco
Easy VPN.
Example:
Router# configure
terminal
Example:
Router (config)# crypto
ipsec client ezvpn
ezvpn1
Paso flow allow acl [name |
number]
4
Restringe al cliente de enviar el tráfico en el texto
claro cuando el túnel está abajo.
Example:
Router (config-cryptoezvpn)# flow allow acl
102
•
name—Nombre de la lista de acceso.
• number—Número de lista de acceso. Valor =
100 a 199.
Tareas de Easy VPN Server
•
Configurando un servidor del Cisco IOS Easy VPN (requerido)
•
Configurando un Easy VPN Server en un Cisco PIX Firewall (opcional)
Configurar un servidor del Cisco IOS Easy VPN
Para la información sobre configurar el Easy VPN Server, vea el documento siguiente:
•
Easy VPN Server
Configurar un Easy VPN Server en un Cisco PIX Firewall
Para la información sobre configurar un Easy VPN Server en un Cisco PIX Firewall, vea el documento siguiente:
•
Easy VPN Server
Tareas de la Interfaz de Red
•
Configurando la activación basada en web (opcional)
•
Monitoreando y mantener la activación basada en web (opcional)
•
Usando el SDM como administrador de la red (opcional)
Configurar la activación basada en web
Para configurar un LAN para interceptar cualquier pedido de HTTP que viene de los PC uces de los en el LAN privado,
proveyendo de los usuarios corporativos el acceso al Web page corporativo, realiza los pasos siguientes.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. xauth userid mode {http-intercept | interactive | local}
PASOS DETALLADOS
Comando
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
• Ingrese su contraseña si se le pide que lo
haga.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto ipsec client ezvpn
name
3
Asigna una configuración de Cisco Easy VPN
Remote a una interfaz e ingresa al modo de
configuración de Cisco Easy VPN Remote.
Example:
Router# configure terminal
Example:
Router (config)# crypto
ipsec client ezvpn easy
vpn remote1
Paso xauth userid mode {httpintercept | interactive |
4
local}
•
name El argumento especifica el nombre de
la configuración que se asignará a la interfaz.
Especifica cómo el dispositivo VPN maneja las
peticiones del Xauth o indica del servidor.
Example:
Router (config-cryptoezvpn)# xauth userid mode
http-intercept
Monitoreando y mantener la activación basada en web
Para monitorear y mantener la activación basada en web, realice los pasos siguientes. ( debug Y show los comandos se
pueden utilizar independientemente, o pueden todos ser configurados.)
PASOS SUMARIOS
1. enable
2. debug crypto ipsec client ezvpn
3. debug ip auth-proxy ezvpn
4. show crypto ipsec client ezvpn
5. show ip auth-proxy config
PASOS DETALLADOS
Comando
Paso enable
1
Example:
Router> enable
Paso debug crypto
ipsec client
2
Propósito
Habilita el modo EXEC privilegiado.
•
Ingrese su contraseña si se le pide que lo haga.
Visualiza la información sobre la conexión del Cisco Easy VPN.
ezvpn
Example:
Router# debug
crypto ipsec
client ezvpn
Paso debug ip authproxy ezvpn
3
Example:
Router# debug ip
auth-proxy ezvpn
Visualiza relacionado con la información al comportamiento de
la autenticación de representación para la activación basada en
web.
Paso show crypto ipsec Muestra que el nombre de usuario y contraseña usado para los
client ezvpn
4
credenciales de usuario durante las negociaciones del Xauth
será obtenido interceptando las conexiones HTTP del usuario.
Example:
Router# show
crypto ipsec
client ezvpn
Paso show ip authproxy config
5
Visualiza la regla del auténtico-proxy que ha sido creada y
aplicada por el VPN fácil.
Example:
Router# show ip
auth-proxy config
Ejemplos
‘Resultado de debug’
Lo que sigue es salida debug de muestra para una situación típica en la cual un usuario ha abierto a un navegador y ha
conectado con el Web site corporativo:
Router# debug ip auth-proxy ezvpn
Dec 10 12:41:13.335: AUTH-PROXY: New request received by EzVPN WebIntercept
! The following line shows the ip address of the user.
from 10.4.205.205
Dec 10 12:41:13.335: AUTH-PROXY:GET request received
Dec 10 12:41:13.335: AUTH-PROXY:Normal auth scheme in operation
Dec 10 12:41:13.335: AUTH-PROXY:Ezvpn is NOT active. Sending connect-bypass page to user
En este momento, el usuario elige el Conectar en su navegador:
Dec 10 12:42:43.427: AUTH-PROXY: New request received by EzVPN WebIntercept
from 10.4.205.205
Dec 10 12:42:43.427: AUTH-PROXY:POST request received
Dec 10 12:42:43.639: AUTH-PROXY:Found attribute <connect> in form
Dec 10 12:42:43.639: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:43.639: EZVPN(tunnel22): Communication from Interceptor
application.
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:43.639:
connect: Connect Now
Dec 10 12:42:43.639: EZVPN(tunnel22): Received CONNECT from 10.4.205.205!
Dec 10 12:42:43.643: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
Dec 10 12:42:43.643: EZVPN(tunnel22): Event: CONNECT
Dec 10 12:42:43.643: EZVPN(tunnel22): ezvpn_connect_request
El VPN fácil entra en contacto el servidor:
Dec 10 12:42:43.643: EZVPN(tunnel22): Found valid peer 192.168.0.1
Dec 10 12:42:43.643: EZVPN(tunnel22): Added PSK for address 192.168.0.1
Dec 10 12:42:43.643: EZVPN(tunnel22): New State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Event: IKE_PFS
Dec 10 12:42:44.815: EZVPN(tunnel22): No state change
Dec 10 12:42:44.819: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.819: EZVPN(tunnel22): Event: CONN_UP
Dec 10 12:42:44.819: EZVPN(tunnel22): ezvpn_conn_up B8E86EC7 E88A8A18 D0D51422
8AFF32B7
El servidor pide la información del Xauth:
Dec 10 12:42:44.823: EZVPN(tunnel22): No state change
Dec 10 12:42:44.827: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.831: EZVPN(tunnel22): Event: XAUTH_REQUEST
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_xauth_request
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_parse_xauth_msg
Dec 10 12:42:44.831: EZVPN: Attributes sent in xauth request message:
Dec 10 12:42:44.831:
XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:44.831:
XAUTH_USER_NAME_V2(tunnel22):
Dec 10 12:42:44.831:
XAUTH_USER_PASSWORD_V2(tunnel22):
Dec 10 12:42:44.831:
XAUTH_MESSAGE_V2(tunnel22) <Enter Username and
Password.>
Dec 10 12:42:44.831: EZVPN(tunnel22): Requesting following info for xauth
Dec 10 12:42:44.831:
username:(Null)
Dec 10 12:42:44.835:
password:(Null)
Dec 10 12:42:44.835:
message:Enter Username and Password.
Dec 10 12:42:44.835: EZVPN(tunnel22): New State: XAUTH_REQ
El prompt del nombre de usuario y contraseña se visualiza en el navegador del usuario:
Dec 10 12:42:44.835: AUTH-PROXY: Response to POST
is CONTINUE
Dec 10 12:42:44.839: AUTH-PROXY: Displayed POST response successfully
Dec 10 12:42:44.843: AUTH-PROXY:Served POST response to the user
Cuando el usuario ingresa su nombre de usuario y contraseña, lo que sigue se envía al servidor:
Dec 10 12:42:55.343: AUTH-PROXY: New request received by EzVPN WebIntercept
from 10.4.205.205
Dec 10 12:42:55.347: AUTH-PROXY:POST request received
Dec 10 12:42:55.559: AUTH-PROXY:No of POST parameters is 3
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <username> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <password> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <ok> in form
Dec 10 12:42:55.563: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:55.563: EZVPN(tunnel22): Communication from Interceptor application.
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:55.563:
username:http
Dec 10 12:42:55.563:
password:<omitted>
Dec 10 12:42:55.563:
ok:Continue
Dec 10 12:42:55.563: EZVPN(tunnel22): Received usename|password from 10.4.205.205!
Dec 10 12:42:55.567: EZVPN(tunnel22): Current State: XAUTH_PROMPT
Dec 10 12:42:55.567: EZVPN(tunnel22): Event: XAUTH_REQ_INFO_READY
Dec 10 12:42:55.567: EZVPN(tunnel22): ezvpn_xauth_reply
Dec 10 12:42:55.567:
XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:55.567:
XAUTH_USER_NAME_V2(tunnel22): http
Dec 10 12:42:55.567:
XAUTH_USER_PASSWORD_V2(tunnel22): <omitted>
Dec 10 12:42:55.567: EZVPN(tunnel22): New State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Current State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Event: XAUTH_STATUS
Dec 10 12:42:55.891: EZVPN(tunnel22): xauth status received: Success
Después de usar el túnel, el usuario elige la “desconexión”:
Dec 10 12:48:17.267: EZVPN(tunnel22): Received authentic disconnect credential
Dec 10 12:48:17.275: EZVPN(): Received an HTTP request: disconnect
Dec 10 12:48:17.275: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client)
Group=tunnel22
Client_public_addr=192.168.0.13
User=
Server_public_addr=192.168.0.1
Assigned_client_addr=10.3.4.5
La salida de la demostración antes del usuario está conectada con el túnel
El producto siguiente de los dos show comandos (show crypto ipsec client ezvpn y show ip auth-proxy config) visualiza lo
que usted puede ser que vea antes de que un usuario esté conectado con un túnel VPN:
Router# show crypto ipsec client ezvpn tunnel22
Tunnel name : tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: CONNECT_REQUIRED
Last Event: RESET
Save Password: Disallowed
! Note the next line.
XAuth credentials: HTTP intercepted
HTTP return code : 200
IP addr being prompted: 0.0.0.0
Current EzVPN Peer: 192.168.0.1
Router# show ip auth-proxy config
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled
Authentication Proxy Rule Configuration
! Note that the next line is the Easy VPN-defined internal rule.
Auth-proxy name ezvpn401***
Applied on Ethernet0
http list not specified inactivity-timer 60 minutes
La salida de la demostración después del usuario está conectada con el túnel
El producto siguiente de los dos show comandos (show crypto ipsec client ezvpn y show ip auth-proxy config) visualiza lo
que usted puede ser que vea después de que el usuario haya estado conectado con el túnel:
Router# show crypto ipsec client ezvpn tunnel22
Tunnel name : tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.3.4.5
Mask: 255.255.255.255
Save Password: Disallowed
XAuth credentials: HTTP intercepted
HTTP return code : 200
IP addr being prompted: 192.168.0.0
Current EzVPN Peer: 192.168.0.1
Router# show ip auth-proxy config
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled
Auth-proxy name ezvpnWeb*** (EzVPN-defined internal rule)
http list not specified inactivity-timer 60 minutes
Usando el SDM como administrador de la red
Para la información sobre el administrador de la red del SDM, vea el documento siguiente:
•
Administrador de dispositivo Security de Cisco
Troubleshooting de la Conexión VPN
•
Localizando averías una conexión VPN usando la característica remota del Cisco Easy VPN (opcional)
•
Localizando averías el modo de operación del cliente (opcional)
•
Localización de averías de la administración remota (opcional)
•
Localización de averías del Dead Peer Detection (opcional)
Localización de averías de una conexión VPN usando la característica del telecontrol del Cisco Easy VPN
Para resolver problemas una conexión VPN creada usando la característica remota del Cisco Easy VPN, utilice las técnicas
sugeridas siguientes.
• Sea consciente que cualquier cambio a una configuración remota activa del Cisco Easy VPN o los cambios de la
dirección IP a las interfaces implicadas, tales como agregar o eliminación de una interfaz interior, da lugar a una
restauración de la conexión remota del Cisco Easy VPN.
• Habilite el debugging de la característica remota del Cisco Easy VPN usando debug crypto ipsec client ezvpn el
comando.
•
Habilite el debugging de los eventos IKE usando debug crypto ipsec y debug crypto isakmp los comandos.
•
Visualice las conexiones VPN del IPSec activo usando show crypto engine connections active el comando.
• Para reajustar la conexión VPN, utilice clear crypto ipsec client ezvpn el comando. Si usted hace el debugging
habilitar, usted puede ser que prefiera utilizar clear crypto sa y clear crypto isakmp los comandos.
Localización de averías del modo de operación del cliente
La siguiente información se puede utilizar para resolver problemas la configuración VNP remota sencilla para el modo de
operación del cliente.
En el modo cliente, la característica alejada del Cisco Easy VPN configura automáticamente el NAT o la traducción y las Listas
de acceso de la PALMADITA que son necesarios implementar el túnel VPN. Estas configuraciones se crean automáticamente
cuando se inicia la conexión del IPSec VPN. Cuando se derriba el túnel, el NAT o la PALMADITA y las configuraciones de la
lista de acceso se borran automáticamente.
La configuración NAT o de la PALMADITA se crea con las suposiciones siguientes:
•
ip nat inside El comando se aplica a todas las interfaces interiores, incluyendo las interfaces interiores
predeterminadas. La interfaz interior predeterminada es la interfaz del ethernet0 (para el Cisco 806, el Cisco 826, el Cisco
827, el Cisco 828, el Cisco 831, el Cisco 836, y los Cisco 837 Router).
•
ip nat outside El comando se aplica a la interfaz que se configura con la configuración remota del Cisco Easy VPN. En
las Cisco 800 Series y los Cisco 1700 Series Router, la interfaz exterior se configura con la configuración remota del Cisco
Easy VPN. En los Cisco 1700 Series Router, los Cisco 2600 Series Router, los Cisco 3600 Series Router, y los Cisco 3700
Series Router, las interfaces exteriores múltiples pueden ser configurados.
Observeconfigurar ip nat inside y ip nat outside los comandos en el EasyVPN exterior y las interfaces interiores llevan
respectivamente al comportamiento indefinido. Esta configuración se considera inválida.
Incline la traducción NAT o de la PALMADITA y las configuraciones de la lista de acceso que son creadas por la característica
remota del Cisco Easy VPN no se escriben a los archivos de configuración de la configuración de inicio o del funcionamiento.
Estas configuraciones, sin embargo, se pueden visualizar usando show ip nat statistics y show access-list los
comandos.
Localización de averías de la administración remota
Para resolver problemas la administración remota del telecontrol VPN, utilice show ip interface el comando. Usando brief la
palabra clave, usted puede verificar que se haya quitado el loopback y que la interfaz está mostrada correctamente.
Ejemplos
Lo que sigue es un Ejemplo ejemplo típico de la salida show ip interface del comando.
Router# show ip interface brief
Interface
IP-Address
OK? Method Status
Ethernet0
unassigned
YES NVRAM
administratively down down
Ethernet1
10.0.0.11
YES NVRAM
up
up
Loopback0
192.168.6.1
YES manual up
up
Loopback1
10.12.12.12
YES NVRAM
up
up
Protocol
Router# show ip interface brief
Interface
IP-Address
OK? Method Status
Protocol
Ethernet0
unassigned
YES NVRAM
administratively down down
Ethernet1
10.0.0.11
YES NVRAM
up
up
Loopback1
10.12.12.12
YES NVRAM
up
up
Localización de averías del Dead Peer Detection
Para resolver problemas el Dead Peer Detection, utilice el comando show crypto ipsec client ezvpn.
Ejemplos
El resultado típico siguiente visualiza el servidor actual y a los pares que han sido avanzados por el Easy VPN Server:
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 4
Tunnel name : ez1
Inside interface list: Loopback1,
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: CONNECT
Address: 192.168.6.5
Mask: 255.255.255.255
DNS Primary: 10.2.2.2
DNS Secondary: 10.2.2.3
NBMS/WINS Primary: 10.6.6.6
Default Domain: cisco.com
Save Password: Allowed
Current EzVPN Peer:10.0.0.110
Backup Gateways
(0): green.cisco.com
(1): blue
Ejemplos de Configuración de Cisco Easy VPN Remote
Esta sección proporciona los ejemplos de configuración siguientes.
Ejemplos de Configuración de Easy VPN Remote
•
Configuración del Modo Cliente: Ejemplos
•
Soporte de Dirección Local para Easy VPN Remote: Ejemplo:
•
Configuración del Modo de Ampliación de Red: Ejemplos
•
Configuración de Guardado de Contraseña: Ejemplo:
•
PFS Support: Ejemplos
•
Dial Backup: Ejemplos
•
Activación Basada en Web: Ejemplo:
•
Configuración de Easy VPN Remote con Soporte de Interfaz IPSec Virtual: Ejemplos
•
Configuración de Túnel Doble: Ejemplo:
•
Salida de Visualización del Túnel Dual: Ejemplos
•
Peer Primario Reactivo: Ejemplo:
•
Configuración del Soporte de Direccionamiento Idéntico: Ejemplo:
•
cTCP on an Easy VPN Client (Dispositivo Remoto): Ejemplos
Ejemplos de Configuración de Easy VPN Server
•
Easy VPN Server de Cisco sin Tunelización Dividida: Ejemplo:
•
Configuración de Easy VPN Server de Cisco con Tunelización Dividida: Ejemplo:
•
Configuración Sencilla de un servidor VPN Cisco con Xauth: Ejemplo:
•
Soporte de Interoperabilidad de Easy VPN Server: Ejemplo:
Ejemplos de Configuración de Easy VPN Remote
Configuración del Modo Cliente: Ejemplos
Los ejemplos en configuraciones de esta demostración de la sección para la característica remota del Cisco Easy VPN en el
modo cliente. También se muestran las configuraciones de servidor de Cisco IOS Easy VPN que corresponden a estas
configuraciones de cliente.
•
Cliente del Cisco Easy VPN en el modo cliente (Cisco 831): Ejemplo:
•
Cliente del Cisco Easy VPN en el modo cliente (Cisco 837): Ejemplo:
•
Cliente del Cisco Easy VPN en el modo cliente (Cisco 1700 Series): Ejemplo:
Observetípicamente, los usuarios configuran a los Cisco 800 Series Router con la interfaz Web del SDM o CRWS, no
ingresando los comandos CLI. Sin embargo, las configuraciones mostradas aquí para los Cisco 800 Series
Router visualizan las configuraciones típicas que pueden ser utilizadas si se desea la configuración manual.
Cliente del Cisco Easy VPN en el modo cliente (Cisco 831): Ejemplo:
En el siguiente ejemplo, configuran a un Cisco 831 Router como Easy VPN Remote usando la característica remota del Cisco
Easy VPN en el modo cliente. Este ejemplo muestra los siguientes componentes de la configuración remota de Cisco Easy
VPN:
•
ip dhcp pool Pool del servidor DHCP — El comando crea un pool de los IP Addresses que se asignarán a los PC
conectados con la interfaz del ethernet0 del router. El pool asigna los direccionamientos en el espacio de dirección privada
del C de la clase (192.168.100.0) y configura cada PC de modo que su ruta predeterminado sea 192.168.100.1, que es la
dirección IP asignada a la interfaz de Ethernet del router. El período de arrendamiento del DHCP es un día.
• Configuración remota del Cisco Easy VPN — El primer crypto ipsec client ezvpn easy vpn remote comando (modo de
configuración global) crea una configuración remota del Cisco Easy VPN nombrada el “Easy VPN Remote.” Esta
configuración especifica el nombre del grupo “telecontrol-nombre de grupo fácil del vpn” y el valor de clave compartida
“telecontrol-contraseña fácil del vpn,” y él fija el destino del par a la dirección IP 192.185.0.5 (que es el direccionamiento
asignado a la interfaz conectada con Internet en el router del peer de destino). La configuración remota del Cisco Easy VPN
se configura para el modo cliente predeterminado.
Observe si DNS también se configura en el router, peer la opción de palabra clave también soporta un nombre de
host en vez de una dirección IP.
• El comando second crypto ipsec client ezvpn easy vpn remote (modo de configuración de la interfaz) asigna la
configuración remota del Cisco Easy VPN a la interfaz del Ethernet1 para enviar todo el tráfico que se reciba y se transmita
en esa interfaz a través del túnel VPN.
! Cisco Router Web Setup Template
!
no service pad
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname 806Router
!
!
ip subnet-zero
ip domain-lookup
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.255
default-router 10.10.10.1
lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
peer 192.168.0.5
group easy_vpn_remote_groupname key easy_vpn_remote_password
mode client
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.255
no cdp enable
hold-queue 32 in
!
interface Ethernet1
ip address dhcp
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip http server
!
!
ip route 10.0.0.0 10.0.0.0 Ethernet1
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
Cliente del Cisco Easy VPN en el modo cliente (Cisco 837): Ejemplo:
En el siguiente ejemplo, configuran a un Cisco 837 Router como Easy VPN Remote usando la característica remota del Cisco
Easy VPN en el modo de operación del cliente. Este ejemplo muestra los siguientes componentes de la configuración remota de
Cisco Easy VPN:
• Configuración de PPPoE: la interfaz ATM 0 se configura para soportar las conexiones PPPoE a través de la interfaz
virtual de Dialer 1. Debido a que las interfaces utilizan PPPoE, no es necesario que un conjunto de direcciones IP DHCP
proporcione direcciones IP a los PCs conectados.
• Configuración remota del Cisco Easy VPN — El primer crypto ipsec client ezvpn comando (modo de configuración
global) crea una configuración remota del Cisco Easy VPN nombrada el “Easy VPN Remote.” Esta configuración especifica
el nombre del grupo “telecontrol-nombre de grupo fácil del vpn” y el valor de clave compartida de la “telecontrol-contraseña
fácil del vpn,” y de él fija el destino del par a la dirección IP 10.0.0.5 (que es el direccionamiento asignado a la interfaz
conectada con Internet en el router del peer de destino). La configuración remota del Cisco Easy VPN se configura para el
modo cliente predeterminado.
Observe si DNS también se configura en el router, peer la opción de palabra clave también soporta un nombre de
host en vez de una dirección IP.
• El comando second crypto ipsec client ezvpn (modo de configuración de la interfaz) asigna la configuración remota del
Cisco Easy VPN a la interfaz del Dialer1 para enviar todo el tráfico recibido y transmitido en esa interfaz a través del túnel
VPN.
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c827
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
ip mtu adjust
!!
!
crypto ipsec client ezvpn easy_vpn_remote
group easy_vpn_remote_groupname key easy_vpn_remote_password
mode client
peer 10.0.0.5
!!
!
interface Ethernet0
ip address 10.0.0.117 255.0.0.0
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 1/40
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface Dialer1
ip address 10.0.0.3 255.0.0.0
ip mtu 1492
encapsulation ppp
dialer pool 1
crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
ip http server
ip pim bidir-enable
!
line con 0
stopbits 1
line vty 0 4
login
!
scheduler max-task-time 5000
end
Cliente del Cisco Easy VPN en el modo cliente (Cisco 1700 Series): Ejemplo:
En el siguiente ejemplo, configuran a un Cisco 1753 Router como Easy VPN Remote usando la característica remota del Cisco
Easy VPN en el modo de operación del cliente. Este ejemplo muestra una configuración corriente de Cisco 1753 que tenga dos
interfaces interiores y una interfaz exterior en un túnel. connect auto El comando establece manualmente el túnel del IPSec
VPN.
Router# show running-config
Building configuration...
Current configuration : 881 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname mma-1753
!
!
memory-size iomem 15
ip subnet-zero
!!
!
ip ssh time-out 120
ip ssh authentication-retries 3
! !
!
crypto ipsec client ezvpn easy_vpn_remote
connect auto
group ezvpn key ezvpn
mode client
peer 10.6.6.1
! !
!
interface FastEthernet0/0
ip address 10.4.4.2 255.255.255.0
speed auto
crypto ipsec client ezvpn easy_vpn_remote inside
!
interface Serial0/0
ip address 10.6.6.2 255.255.255.0
no fair-queue
crypto ipsec client ezvpn easy_vpn_remote
!
interface Serial1/0
ip address 10.5.5.2 255.255.255.0
clock rate 4000000
crypto ipsec client ezvpn easy_vpn_remote inside
!
ip classless
no ip http server
ip pim bidir-enable
! !
!
line con 0
line aux 0
line vty 0 4
login
!
end
El siguiente ejemplo muestra una configuración corriente de un Cisco 1760 Router que tenga dos activos, de los túneles
automáticamente conectados, del vpn fácil remote1 y del vpn fácil remote2. El vpn fácil remote1 del túnel tiene dos interfaces
interiores configuradas y una interfaz exterior configurada. El vpn fácil remote2 del túnel tiene una interfaz interior configurada y
una interfaz exterior configurada. El ejemplo también muestra la salida para show crypto ipsec client ezvpn el comando que
enumera los nombres de túnel y el exterior y las interfaces interiores.
Router# show running-config
Building configuration...
Current configuration : 1246 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1760
!
aaa new-model
!
!
aaa session-id common
!
ip subnet-zero
!!
!
crypto ipsec client ezvpn easy_vpn_remote2
connect auto
group ez key ez
mode network-extension
peer 10.7.7.1
crypto ipsec client ezvpn easy_vpn_remote1
connect auto
group ezvpn key ezvpn
mode client
peer 10.6.6.1
! !
!
interface FastEthernet0/0
ip address 10.5.5.2 255.255.255.0
speed auto
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1 inside
!
interface Serial0/0
ip address 10.4.4.2 255.255.255.0
no ip route-cache
no ip mroute-cache
no fair-queue
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1 inside
!
interface Serial0/1
ip address 10.3.3.2 255.255.255.0
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote2 inside
!
interface Serial1/0
ip address 10.6.6.2 255.255.255.0
clockrate 4000000
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1
!
interface Serial1/1
ip address 10.7.7.2 255.255.255.0
no keepalive
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote2
!
ip classless
no ip http server
ip pim bidir-enable
!
!
radius-server retransmit 3
radius-server authorization permit missing Service-Type
!
line con 0
line aux 0
line vty 0 4
!
no scheduler allocate
end
Router# show crypto ipsec client ezvpn
Tunnel name : easy_vpn_remote1
Inside interface list: FastEthernet0/0, Serial0/0,
Outside interface: Serial1/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.0.0.5
Mask: 255.255.255.255
Default Domain: cisco.com
Tunnel name : easy_vpn_remote2
Inside interface list: Serial0/1,
Outside interface: Serial1/1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Default Domain: cisco.com
Soporte de Dirección Local para Easy VPN Remote: Ejemplo:
El siguiente ejemplo muestra que local-address el comando está utilizado de especificar la interfaz del loopback0 para el tráfico
de túnel de la compra de componentes:
Router# configure terminal
Router(config)# crypto ipsec client ezvpn telecommuter-client
Router(config-crypto-ezvpn)# local-address loopback0
Configuración del Modo de Ampliación de Red: Ejemplos
En esta sección, los siguientes ejemplos demuestran cómo configurar la característica remota del Cisco Easy VPN en el modo
de operación de la extensión de la red. También se muestran las configuraciones de servidor de Cisco IOS Easy VPN que
corresponden a estas configuraciones de cliente.
•
Cliente del Cisco Easy VPN en el modo de ampliación de la red (Cisco 831): Ejemplo:
•
Cliente del Cisco Easy VPN en el modo de ampliación de la red (Cisco 837): Ejemplo:
•
Cliente del Cisco Easy VPN en el modo de ampliación de la red (Cisco 1700 Series): Ejemplo:
Cliente del Cisco Easy VPN en el modo de ampliación de la red (Cisco 831): Ejemplo:
En el siguiente ejemplo, configuran a un Cisco 831 Router como Easy VPN Remote usando la característica del telecontrol del
Cisco Easy VPN. Este ejemplo muestra los siguientes componentes de la configuración remota de Cisco Easy VPN:
• Se asigna una dirección a la interfaz Ethernet 0 en el espacio de direcciones de red del servidor Cisco IOS Easy VPN. ip
route El comando dirige todo el tráfico para este espacio de red de la interfaz del Ethernet1 al servidor de destino.
• Configuración remota del Cisco Easy VPN — El primer crypto ipsec client ezvpn comando (modo de configuración
global) crea una configuración remota del Cisco Easy VPN nombrada el “Easy VPN Remote.” Esta configuración especifica
el nombre del grupo “telecontrol-nombre de grupo fácil del vpn” y el valor de clave compartida “telecontrol-contraseña fácil
del vpn,” y él fija el destino del par a la dirección IP 192.185.0.5 (que es el direccionamiento asignado a la interfaz conectada
con Internet en el router del peer de destino). La configuración de Cisco Easy VPN Remote se realiza para el modo de
ampliación de la red.
Observe si DNS también se configura en el router, peer la opción de palabra clave también soporta un nombre de
host en vez de una dirección IP.
• El comando second crypto ipsec client ezvpn (modo de configuración de la interfaz) asigna la configuración remota del
Cisco Easy VPN a la interfaz del Ethernet1 para enviar todo el tráfico que se reciba y se transmita en esa interfaz a través
del túnel VPN.
! Cisco Router Web Setup Template
!
no service pad
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
!
ip subnet-zero
ip domain-lookup
!
!
ip dhcp excluded-address 172.31.1.1
!
ip dhcp pool localpool
import all
network 172.31.1.0 255.255.255.255
default-router 172.31.1.1
lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
peer 192.168.0.5
group easy_vpn_remote_groupname key easy_vpn_remote_password
mode network-extension
!
!
interface Ethernet0
ip address 172.31.1.1 255.255.255.255
no cdp enable
hold-queue 32 in
!
interface Ethernet1
ip address dhcp
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 172.31.0.0 255.255.255.255 Ethernet1
ip http server
!
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
Cliente del Cisco Easy VPN en el modo de ampliación de la red (Cisco 837): Ejemplo:
En el siguiente ejemplo, configuran a un Cisco 837 Router como Easy VPN Remote usando la característica remota del Cisco
Easy VPN en el modo cliente. Este ejemplo muestra los siguientes componentes de la configuración remota de Cisco Easy
VPN:
• Configuración de PPPoE: la interfaz ATM 0 se configura para soportar las conexiones PPPoE a través de la interfaz
virtual de Dialer 1. Debido a que las interfaces utilizan PPPoE, no es necesario que un conjunto de direcciones IP DHCP
proporcione direcciones IP a los PCs conectados.
• Se asigna una dirección a la interfaz Ethernet 0 en el espacio de direcciones de red del servidor Cisco IOS Easy VPN. ip
route El comando dirige todo el tráfico para este espacio de red de la interfaz del Dialer1 al servidor de destino.
• Configuración remota del Cisco Easy VPN — El primer crypto ipsec client ezvpn comando (modo de configuración
global) crea una configuración remota del Cisco Easy VPN nombrada el “Easy VPN Remote.” Esta configuración especifica
el nombre del grupo “telecontrol-nombre de grupo fácil del vpn” y el valor de clave compartida “telecontrol-contraseña fácil
del vpn,” y él fija el destino del par a la dirección IP 10.0.0.5 (que es el direccionamiento asignado a la interfaz conectada
con Internet en el router del peer de destino).
La configuración remota del Cisco Easy VPN se configura para el modo de extensión de la red predeterminada.
Observe si DNS también se configura en el router, peer la opción de palabra clave también soporta un nombre de
host en vez de una dirección IP.
• El comando second crypto ipsec client ezvpn (modo de configuración de la interfaz) asigna
Configuración remota del Cisco Easy VPN a la interfaz del Dialer1 para enviar todo el tráfico que se reciba y se transmita en
esa interfaz a través del túnel VPN.
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c827
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
ip mtu adjust
!
!
crypto ipsec client ezvpn easy_vpn_remote
group easy_vpn_remote_groupname key easy_vpn_remote_password
mode network-extension
peer 10.0.0.5
!
!
interface Ethernet0
ip address 172.16.0.30 255.255.255.192
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 1/40
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface Dialer1
ip address 10.0.0.3 255.0.0.0
ip mtu 1492
encapsulation ppp
dialer pool 1
crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 172.16.0.0 255.255.255.128 Dialer1
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
ip http server
ip pim bidir-enable
!
line con 0
stopbits 1
line vty 0 4
login
!
scheduler max-task-time 5000
Cliente del Cisco Easy VPN en el modo de ampliación de la red (Cisco 1700 Series): Ejemplo:
En el siguiente ejemplo, configuran a un Cisco 1700 Series Router como Easy VPN Remote usando la característica remota del
Cisco Easy VPN en el modo de operación de la extensión de la red. Este ejemplo muestra los siguientes componentes de la
configuración remota de Cisco Easy VPN:
• Configuración remota del Cisco Easy VPN — El primer crypto ipsec client ezvpn comando (modo de configuración
global) crea una configuración remota del Cisco Easy VPN que se nombre el “Easy VPN Remote.” Esta configuración
especifica el nombre del grupo “telecontrol-nombre de grupo fácil del vpn” y el valor de clave compartida “telecontrolcontraseña fácil del vpn,” y él fija el destino del par a la dirección IP 10.0.0.2 (que es el direccionamiento asignado a la
interfaz conectada con Internet en el router del peer de destino). La configuración de Cisco Easy VPN Remote se realiza
para el modo de ampliación de la red.
Observe si DNS también se configura en el router, peer la opción de palabra clave también soporta un nombre de
host en vez de una dirección IP.
• El comando second crypto ipsec client ezvpn easy vpn remote (modo de configuración de la interfaz) asigna la
configuración remota del Cisco Easy VPN a la interfaz del ethernet0 para enviar todo el tráfico que se reciba y se transmita
en esa interfaz a través del túnel VPN.
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1710
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
!
ip dhcp excluded-address 10.0.0.10
!
ip dhcp pool localpool
import all
network 10.70.0.0 255.255.255.248
default-router 10.70.0.10
lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
group easy_vpn_remote_groupname key easy_vpn_remote_password
mode network-extension
peer 10.0.0.2
!
!
interface Ethernet0
ip address 10.50.0.10 255.0.0.0
half-duplex
crypto ipsec client ezvpn easy_vpn_remote
!
interface FastEthernet0
ip address 10.10.0.10 255.0.0.0
speed auto
!
ip classless
ip route 10.20.0.0 255.0.0.0 Ethernet0
ip route 10.20.0.0 255.0.0.0 Ethernet0
no ip http server
ip pim bidir-enable
!!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
Configuración de Guardado de Contraseña: Ejemplo:
La salida de muestra show running-config siguiente muestra que se ha configurado la característica de la contraseña de la
salvaguardia (observe password encryption aes el comando y username las palabras claves en la salida):
Router# show running-config
133.CABLEMODEM.CISCO: Oct 28 18:42:07.115: %SYS-5-CONFIG_I: Configured from console by
consolen
Building configuration...
Current configuration : 1269 bytes
!
! Last configuration change at 14:42:07 UTC Tue Oct 28 2003
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
clock timezone UTC -4
no aaa new-model
ip subnet-zero
no ip routing
!
!
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
password encryption aes
!
!
no crypto isakmp enable
!
!
crypto ipsec client ezvpn remote_vpn_client
connect auto
mode client
username user1 password
6 ARiFgh`SOJfMHLK[MHMQJZagR\M
!
!
interface Ethernet0
ip address 10.3.66.4 255.255.255.0
no ip route-cache
bridge-group 59
PFS Support: Ejemplos
La salida show crypto ipsec client ezvpn del siguiente comando muestra que se está utilizando el nombre del grupo (el "2") y
ese PFS:
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 4
Tunnel name : ez1
Inside interface list: Loopback1,
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.6.6
Mask: 255.255.255.255
Using PFS Group: 2
Save Password: Allowed
Current EzVPN Peer:10.0.0.110
Observe que en un servidor del EasyVPN del Cisco IOS, el PFS se debe incluir en las ofertas del IPSec agregando a la
correspondencia de criptografía, como en el siguiente ejemplo:
crypto dynamic-map mode 1
set security-association lifetime seconds 180
set transform-set client
set pfs group2
set isakmp-profile fred
reverse-route
Dial Backup: Ejemplos
IP estático dirigiendo
El siguiente ejemplo muestra que IP estático dirigiendo se ha configurado para un Cisco 1711 Router:
Router# show running-config
Building configuration...
Current configuration : 3427 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph4_R5
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip cef
ip ids po max-events 100
ip dhcp-client default-router distance 1
no ftp-server write-enable
!
!
track 123 rtr 3 reachability
!
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec client ezvpn backup_profile_vpn3k
connect auto
group hw_client_groupname key password123
mode client
peer 10.0.0.5
username user1 password
password123
crypto ipsec client ezvpn hw_client_vpn3k
connect auto
group hw_client_groupname key password123
backup backup_profile_vpn3k track 123
mode client
peer 10.0.0.5
username user1 password password123
!
!
interface Loopback0
ip address 10.40.40.50 255.255.255.255
!
interface Loopback1
ip address 10.40.40.51 255.255.255.255
!
interface Loopback2
no ip address
!
interface FastEthernet0
description Primary Link to 10.0.0.2
ip address 10.0.0.10 255.255.255.0
duplex auto
speed auto
no cdp enable
crypto ipsec client ezvpn hw_client_vpn3k
!
interface FastEthernet1
no ip address
duplex full
speed 100
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface FastEthernet4
no ip address
no cdp enable
!
interface Vlan1
ip address 10.0.0.1 255.255.255.0
crypto ipsec client ezvpn backup_profile_vpn3k inside
crypto ipsec client ezvpn hw_client_vpn3k inside
!
interface Async1
description Backup Link
no ip address
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
dialer in-band
dialer pool-member 1
dialer-group 1
async default routing
async mode dedicated
!
interface Dialer1
ip address 10.30.0.1 255.255.255.0
encapsulation ppp
no ip route-cache cef
dialer pool 1
dialer idle-timeout 60
dialer string 102
dialer hold-queue 100
dialer-group 1
crypto ipsec client ezvpn backup_profile_vpn3k
!
ip local policy route-map policy_for_rtr
ip classless
ip route 0.0.0.0 0.0.0.0 faste0 track 123
ip route 0.0.0.0 0.0.0.0 Dialer1 240
no ip http server
no ip http secure-server
!
!
ip access-list extended dummy1
permit ip host 10.0.0.2 host 10.3.0.1
ip access-list extended important_traffic
permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.10.2 echo
dialer-list 1 protocol ip permit
no cdp run
!
route-map policy_for_rtr permit 10
match ip address 112
set interface Null0
set ip next-hop 10.0.10.2
!
!
control-plane
!
rtr 2
type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
timeout 10000
threshold 1000
frequency 11
rtr schedule 2 life forever start-time now
rtr 3
type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
timeout 10000
threshold 1000
frequency 11
rtr schedule 3 life forever start-time now
!
line con 0
exec-timeout 0 0
line 1
modem InOut
modem autoconfigure discovery
transport input all
autoselect ppp
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
password lab
!
DHCP configurado en la interfaz primaria y el PPP asincrónico como respaldo
El siguiente ejemplo muestra que han configurado a un Cisco 1711 Router para configurar el DHCP en la interfaz primaria y
modo asincrónico PPP se configure como el respaldo:
Router# show running-config
Building configuration...
Current configuration : 3427 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph4_R5
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip cef
ip ids po max-events 100
ip dhcp-client default-router distance 1
no ftp-server write-enable
!
!
track 123 rtr 3 reachability
!
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec client ezvpn backup_profile_vpn3k
connect auto
group hw_client_groupname key password123
mode client
peer 10.0.0.5
username user1 password
password123
crypto ipsec client ezvpn hw_client_vpn3k
connect auto
group hw_client_groupname key password123
backup backup_profile_vpn3k track 123
mode client
peer 10.0.0.5
username user1 password
password123
!
!
interface Loopback0
ip address 10.40.40.50 255.255.255.255
!
interface Loopback1
ip address 10.40.40.51 255.255.255.255
!
interface Loopback2
no ip address
!
interface FastEthernet0
description Primary Link to 10.0.0.2
ip dhcp client route track 123
ip address dhcp
duplex auto
speed auto
no cdp enable
crypto ipsec client ezvpn hw_client_vpn3k
!
interface FastEthernet1
no ip address
duplex full
speed 100
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface FastEthernet4
no ip address
no cdp enable
!
interface Vlan1
ip address 10.0.0.1 255.255.255.0
crypto ipsec client ezvpn backup_profile_vpn3k inside
crypto ipsec client ezvpn hw_client_vpn3k inside
!
interface Async1
description Backup Link
no ip address
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
dialer in-band
dialer pool-member 1
dialer-group 1
async default routing
async mode dedicated
!
interface Dialer1
ip address 10.0.0.3 255.255.255.0
encapsulation ppp
no ip route-cache cef
dialer pool 1
dialer idle-timeout 60
dialer string 102
dialer hold-queue 100
dialer-group 1
crypto ipsec client ezvpn backup_profile_vpn3k
!
ip local policy route-map policy_for_rtr
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1 240
no ip http server
no ip http secure-server
!
!
ip access-list extended dummy1
permit ip host 10.10.0.2 host 10.0.0.1
ip access-list extended important_traffic
permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.0.2 echo
dialer-list 1 protocol ip permit
no cdp run
!
route-map policy_for_rtr permit 10
match ip address 112
set interface Null0
set ip next-hop 10.0.0.2
!
!
control-plane
!
rtr 2
type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
timeout 10000
threshold 1000
frequency 11
rtr schedule 2 life forever start-time now
rtr 3
type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
timeout 10000
threshold 1000
frequency 11
rtr schedule 3 life forever start-time now
!
line con 0
exec-timeout 0 0
line 1
modem InOut
modem autoconfigure discovery
transport input all
autoselect ppp
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
password lab
!
Activación Basada en Web: Ejemplo:
El siguiente ejemplo muestra que las conexiones HTTP del usuario deben ser interceptadas y que el usuario puede hacer la
autenticación basada en web (192.0.0.13 es el dispositivo del cliente VPN y 192.0.0.1 es el dispositivo del servidor):
crypto ipsec client ezvpn tunnel22
connect manual
group tunnel22 key 22tunnel
mode client
peer 192.168.0.1
xauth userid mode http-intercept
!
!
interface Ethernet0
ip address 10.4.23.15 255.0.0.0
crypto ipsec client ezvpn tunnel22 inside!
interface Ethernet1
ip address 192.168.0.13 255.255.255.128
duplex auto
crypto ipsec client ezvpn tunnel22
!
Configuración de Easy VPN Remote con Soporte de Interfaz IPSec Virtual: Ejemplos
Los siguientes ejemplos indican que el soporte virtual de la interfaz del IPSec se ha configurado en los dispositivos del Easy
VPN Remote.
Interfaz virtual del IPSec: Acceso virtual genérico
El siguiente ejemplo muestra un dispositivo del Easy VPN Remote con el soporte de la interfaz virtual usando una interfaz
genérica del IPSec del acceso virtual.
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
no ip dhcp use vrf connected
!
!
crypto ipsec client ezvpn ez
connect manual
group easy key cisco
mode client
peer 10.3.0.2
virtual-interface
xauth userid mode interactive
!
!
interface Ethernet0/0
ip address 10.1.0.2 255.255.255.0
no keepalive
no cdp enable
crypto ipsec client ezvpn ez inside
!
interface Ethernet1/0
ip address 10.2.0.1 255.255.255.0
no keepalive
no cdp enable
crypto ipsec client ezvpn ez
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
no ip http server
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
Interfaz virtual del IPSec: Acceso virtual derivado de la plantilla virtual
El siguiente ejemplo muestra un dispositivo del Easy VPN Remote con el soporte de la interfaz virtual usando una interfaz
virtual-plantilla-derivada del IPSec del acceso virtual:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
no ip dhcp use vrf connected
!
!
crypto ipsec client ezvpn ez
connect manual
group easy key cisco
mode client
peer 10.3.0.2
virtual-interface 1
xauth userid mode interactive
!
!
interface Ethernet0/0
ip address 10.1.0.2 255.255.255.0
no keepalive
no cdp enable
crypto ipsec client ezvpn ez inside
!
interface Ethernet1/0
ip address 10.2.0.1 255.255.255.0
no keepalive
no cdp enable
crypto ipsec client ezvpn ez
!
interface Virtual-Template1 type tunnel
no ip address
tunnel mode ipsec ipv4
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
no ip http server
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
Cuando el túnel está abajo
El resultado de una configuración de la interfaz virtual en un perfil fácil VPN es la creación de una interfaz de acceso virtual.
Esta interfaz proporciona la encapsulación de IPSec. La salida abajo muestra la configuración de una interfaz de acceso virtual
cuando el VPN fácil está “abajo.”
Router# show running-config interface virtual-access 2
Building configuration...
Current configuration : 99 bytes
!
interface Virtual-Access2
no ip address
tunnel source Ethernet1/0
tunnel mode ipsec ipv4
end
Una configuración de la interfaz virtual da lugar a la creación de una interfaz de acceso virtual. Esta interfaz de acceso virtual se
hace automáticamente fuera de la interfaz del perfil fácil VPN. Las rutas que se agregan más adelante cuando los túneles
fáciles VPN suben punta a esta interfaz virtual para enviar los paquetes a la red corporativa. Si crypto ipsec client ezvpn
name outside (crypto ipsec client ezvpn name comando y outside palabra clave) se aplica en una interfaz real, esa interfaz
se utiliza como el punto final IKE (IPSec) (es decir, el IKE y los paquetes IPsec utilizan el direccionamiento en la interfaz como la
dirección de origen).
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 5
Tunnel name : ez
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.3.0.2
Porque una interfaz virtual, o de hecho ninguna interconecta, es el routable, las rutas actúa como los selectores del tráfico.
Cuando el túnel fácil VPN está “abajo,” no hay rutas que señalan a la interfaz virtual, tal y como se muestra en del siguiente
ejemplo:
Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.2.0.2 to network 0.0.0.0
10.0.0.0/24 is subnetted, 2 subnets
C
10.2.0.0 is directly connected, Ethernet1/0
C
10.1.0.0 is directly connected, Ethernet0/0
S*
0.0.0.0/0 [2/0] via 10.2.0.2
Cuando el túnel está para arriba
En el caso del cliente o de la red más el modo, el VPN fácil crea un Loopback Interface y asigna el direccionamiento que se
empuja hacia adentro la configuración de modo. Para asignar el direccionamiento del loopback a la interfaz, utilice ip
unnumbered el comando (ip unnumbered loopback). En el caso del modo de ampliación de la red, el acceso virtual será
configurado como ip unnumbered ethernet0 (la interfaz encuadernada).
Router# show running-config interface virtual-access 2
Building configuration...
Current configuration : 138 bytes
!
interface Virtual-Access2
ip unnumbered Loopback0
tunnel source Ethernet1/0
tunnel destination 10.3.0.2
tunnel mode ipsec ipv4
end
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 5
Tunnel name : ez
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.5.0.2
Mask: 255.255.255.255
DNS Primary: 10.6.0.2
NBMS/WINS Primary: 10.7.0.1
Default Domain: cisco.com
Using PFS Group: 2
Save Password: Disallowed
Split Tunnel List: 1
Address
: 10.4.0.0
Mask
: 255.255.255.0
Protocol
: 0x0
Source Port: 0
Dest Port
: 0
Current EzVPN Peer: 10.3.0.2
Cuando suben los túneles, el VPN fácil agrega cualquier una ruta predeterminado que las puntas a la interfaz de acceso virtual
o agreguen las rutas para todos los atributos de la fractura de las subredes que señalan a la interfaz de acceso virtual. El VPN
fácil también agrega una ruta al par (destino o concentrador) si el par no está conectado directamente con el dispositivo VPN
fácil.
Los ejemplos de resultado show ip route del siguiente comando están para las situaciones virtuales de la interfaz del IPSec en
las cuales un atributo del túnel dividido fue enviado por el servidor y un atributo del túnel dividido no fue enviado,
respectivamente.
El atributo del túnel dividido ha sido enviado por el servidor
Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.2.0.2 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C
10.2.0.0/24 is directly connected, Ethernet1/0
S
10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0
<<< Route to
peer (EzVPN server)
C
10.1.0.0/24 is directly connected, Ethernet0/0
C
10.5.0.2/32 is directly connected, Loopback0
S
10.4.0.0/24 [1/0] via 0.0.0.0, Virtual-Access2
<<< Split
tunnel attr sent by the server
S*
10.0.0.0/0 [2/0] via 10.2.0.2
El atributo del túnel dividido no ha sido enviado por el servidor
Todas las redes en el atributo de la fractura se deben mostrar, como en el siguiente ejemplo:
Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C
10.2.0.0/24 is directly connected, Ethernet1/0
! The following line is the route to the peer (the Easy VPN server).
S
10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0
C
10.1.0.0/24 is directly connected, Ethernet0/0
C
10.5.0.3/32 is directly connected, Loopback0
! The following line is the default route.
S*
10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access2
Configuración de Túnel Doble: Ejemplo:
Lo que sigue es un ejemplo de una configuración típica del dual-túnel:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password lab
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
!
!
username lab password 0 lab
!
!
crypto ipsec client ezvpn ezvpn1
connect manual
group easy key cisco
mode network-extension
peer 10.75.1.2
virtual-interface 1
xauth userid mode interactive
crypto ipsec client ezvpn ezvpn2
connect manual
group easy key cisco
mode network-extension
peer 10.75.2.2
virtual-interface 1
xauth userid mode interactive
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.255
no keepalive
crypto ipsec client ezvpn ezvpn1 inside
crypto ipsec client ezvpn ezvpn2 inside
!
interface Ethernet0/1
no ip address
shutdown
!
interface Ethernet0/2
no ip address
shutdown
!
interface Ethernet0/3
no ip address
shutdown
!
interface Ethernet1/0
ip address 10.76.1.2 255.255.255.0
no keepalive
crypto ipsec client ezvpn ezvpn1
crypto ipsec client ezvpn ezvpn2
!
interface Serial2/0
ip address 10.76.2.2 255.255.255.0
no keepalive
serial restart-delay 0
!
interface Virtual-Template1 type tunnel
no ip address
tunnel mode ipsec ipv4
!
!
ip classless
ip route 10.0.0.0 10.0.0.0 10.76.1.1 2
no ip http server
no ip http secure-server
!
!
no cdp run
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login local
!
end
Salida de Visualización del Túnel Dual: Ejemplos
El mostrar información show de los ejemplos del siguiente comando cerca de tres fases de un túnel dual que está subiendo:
•
El primer túnel fácil VPN está para arriba
•
Se inicia el túnel en segundo lugar fácil VPN
•
Ambos túneles fáciles VPN están para arriba
Antes de los túneles del EzVPN esté para arriba
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 6
Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2
Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2
Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
El gateway de último recurso es 10.76.1.1 a la red 0.0.0.0.
10.0.0.0/24 is subnetted, 2 subnets
C
10.76.2.0 is directly connected, Serial2/0
C
10.76.1.0 is directly connected, Ethernet1/0
C
192.168.1.0/24 is directly connected, Ethernet0/0
S*
0.0.0.0/0 [2/0] via 10.76.1.1
Observeel métrico de la ruta predeterminado debe ser mayor de 1 de modo que la ruta predeterminado que es agregada más
adelante por el VPN fácil tome la precedencia y el tráfico pase a través de la interfaz de acceso virtual fácil VPN.
El túnel fácil VPN el "ezvpn2" está para arriba
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 6
Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2
Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2
Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
El gateway de último recurso es 0.0.0.0 a la red 0.0.0.0.
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
! The next line is the Easy VPN route.
S
10.75.2.2/32 [1/0] via 10.76.1.1
C
10.76.2.0/24 is directly connected, Serial2/0
C
10.76.1.0/24 is directly connected, Ethernet1/0
C
192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route.
S*
0.0.0.0/0 [1/0] via 0.0.0.0, Virtual-Access3
Una ruta predeterminado y una ruta al par se agrega como se muestra arriba.
El VPN fácil el "ezvpn2" es ascendente y se inicia el VPN fácil el "ezvpn1"
Router# crypto ipsec client ezvpn connect ezvpn1
Router# show crypto ipsec cli ent ezvpn
Easy VPN Remote Phase: 6
Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: READY
Last Event: CONNECT
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2
Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2
Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
El gateway de último recurso es 10.0.0.0 a la red 10.0.0.0.
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
S
10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router.
S
10.75.1.2/32 [1/0] via 10.76.1.1
C
10.76.2.0/24 is directly connected, Serial2/0
C
10.76.1.0/24 is directly connected, Ethernet1/0
C
192.168.1.0/24 is directly connected, Ethernet0/0
S*
10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3
La ruta a 10.75.1.2 se agrega antes de que haya subido el túnel fácil VPN el "ezvpn1". Esta ruta está para alcanzar al par fácil
10.75.1.2 VPN el "ezvpn1".
Ambos túneles están para arriba
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 6
Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Split Tunnel List: 1
Address
: 192.168.3.0
Mask
: 255.255.255.255
Protocol
: 0x0
Source Port: 0
Dest Port
: 0
Current EzVPN Peer: 10.75.1.2
Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2
Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
El gateway de último recurso es 10.0.0.0 a la red 10.0.0.0.
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
! The next line is the Easy VPN router (ezvpn2).
S
10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router (ezvpn1).
S
10.75.1.2/32 [1/0] via 10.76.1.1
C
10.76.2.0/24 is directly connected, Serial2/0
C
10.76.1.0/24 is directly connected, Ethernet1/0
C
192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route (ezvpn1).
S
192.168.3.0/24 [1/0] via 0.0.0.0, Virtual-Access2
! The next line is the Easy VPN (ezvpn2).
S*
10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3
La ruta al túnel dividido el "192.168.3.0/24" que señala a Virtual-Access2 se agrega para túnel del "" del EzVPN VPN fácil “tal y
como se muestra en de la salida show antedicha.
Peer Primario Reactivo: Ejemplo:
La salida siguiente de la demostración ilustra que se ha activado la característica predeterminada del peer primario. El par
predeterminado primario es 10.3.3.2.
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 6
Tunnel name : ezc
Inside interface list: Loopback0
Outside interface: Ethernet0/0
Current State: IPSEC_ACTIVE
Primary EzVPN Peer: 10.3.3.2, Last Tried: Dec 30 07:21:23.071
Last Event: CONN_UP
Address: 10.7.7.1
Mask: 255.255.255.255
DNS Primary: 10.1.1.1
NBMS/WINS Primary: 10.5.254.22
Save Password: Disallowed
Current EzVPN Peer: 10.4.4.2
23:52:44: %CRYPTO-6-EZVPN_CONNECTION_UP(Primary peer):
User: lab, Group: hw-client-g
Client_public_addr=10.4.22.103, Server_public_addr=10.4.23.112
Assigned_client_addr=10.7.7.1
Configuración del Soporte de Direccionamiento Idéntico: Ejemplo:
En el siguiente ejemplo, configuran a un router Cisco para la característica de dirección idéntica del soporte:
interface Virtual-Template1 type tunnel
no ip address
ip nat outside
!
crypto ipsec client ezvpn easy
connect manual
group easy key work4cisco
mode network-extension
peer 10.2.2.2
virtual-interface 1
nat allow
nat acl 100
!
interface Ethernet1/0
ip address 10.0.0.1 255.255.255.0
ip nat outside
crypto ipsec client ezvpn easy
!
interface Ethernet0/0
ip address 10.0.1.1 255.255.255.0
ip nat inside
!
interface Loopback0
ip address 10.1.1.1 255.255.255.252
ip nat enable
crypto ipsec client ezvpn easy inside
!
ip access-list 100 permit ip 10.0.0.0 0.0.0.255 any
!
ip nat inside source list 100 interface Loopback0 overload
cTCP on an Easy VPN Client (Dispositivo Remoto): Ejemplos
Para la configuración y los ejemplos de Troubleshooting, vea que el tema “cTCP en los dispositivos remotos del Cisco Easy
VPN” en “relacionó la sección de los documentos”.
Ejemplos de Configuración de Easy VPN Server
Esta sección describe las Configuraciones del servidor básicas del Cisco Easy VPN que soportan las configuraciones remotas
del Cisco Easy VPN dadas en las secciones anteriores. Para toda la información sobre configurar estos servidores, vea el Easy
VPN Server para el Cisco IOS Release 12.3(7)T, disponible en el cisco.com.
•
Easy VPN Server de Cisco sin Tunelización Dividida: Ejemplo:
•
Configuración de Easy VPN Server de Cisco con Tunelización Dividida: Ejemplo:
•
Configuración Sencilla de un servidor VPN Cisco con Xauth: Ejemplo:
•
Soporte de Interoperabilidad de Easy VPN Server: Ejemplo:
Easy VPN Server de Cisco sin Tunelización Dividida: Ejemplo:
El siguiente ejemplo muestra el servidor del Cisco Easy VPN que es el router del peer de destino para las configuraciones del
modo de extensión de la red remota del Cisco Easy VPN mostradas anterior en esta sección. Además de los otros comandos
de configuración IPSec, crypto isakmp client configuration group el comando define los atributos para el grupo VPN que fue
asignado al router del Easy VPN Remote. Esto incluye un valor de la clave que corresponde con (contraseña del Easy VPN
Remote), y los parámetros de ruteo apropiados, tales como servidor DNS, para los telecontroles fáciles VPN.
Para soportar el modo de operación de la extensión de la red, ip route el comando da instrucciones que los paquetes entrantes
para la red de 172.168.0.0 estén dirigidos de la interfaz del módem de cable al telecontrol del Cisco Easy VPN. Otros ip route
comandos pudieron ser necesarios, dependiendo de la topología de su red.
Observeeste ejemplo muestra que a Routió de acceso a cable Cisco uBR925, pero el Easy VPN Remote del destino es
típicamente un router, tal como un concentrador del Cisco VPN 3000 o un router del Cisco IOS, que soporta la característica del
Easy VPN Server.
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy vpn remote-groupname
key easy vpn remote-password
dns 172.16.0.250 172.16.0.251
wins 172.16.0.252 172.16.0.253
domain cisco.com
pool dynpool
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0
ip address 172.16.0.129 255.255.255.128
!
interface cable-modem0
no cable-modem compliant bridge
crypto map dynmap
!
interface usb0
no ip address
arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
! Add the appropriate ip route commands for network-extension mode
ip route 172.16.1.0 255.255.255.248 cable-modem0
no ip http server
no ip http cable-monitor
!
snmp-server manager
!
line con 0
exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
Configuración de Easy VPN Server de Cisco con Tunelización Dividida: Ejemplo:
El siguiente ejemplo muestra un servidor del Cisco Easy VPN que se configure para una configuración del Túnel dividido con un
telecontrol del Cisco Easy VPN. Este ejemplo es idéntico a ése mostrado en el “servidor del Cisco Easy VPN sin el Túnel
dividido: Ejemplo” a excepción de la lista de acceso 150, que se asigna como parte crypto isakmp client configuration group
del comando. Esta lista de acceso permite que el telecontrol del Cisco Easy VPN utilice el servidor para acceder una subred
adicional que no sea parte del túnel VPN sin el compromiso de la Seguridad del conexión IPSec.
Para apoyar al modo de ampliación de la red, ip route el comando da instrucciones que los paquetes entrantes para la red de
172.168.0.0 estén dirigidos de la interfaz del módem de cable al telecontrol del Cisco Easy VPN. Otros ip route comandos
pudieron ser necesarios, dependiendo de la topología de su red.
Observeeste ejemplo muestra que a Routió de acceso a cable Cisco uBR925, pero el Easy VPN Remote del destino será
típicamente un router, tal como un concentrador VPN 3000 o un router del Cisco IOS, que soporta la característica del Easy
VPN Server.
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy vpn remote-groupname
key easy vpn remote-password
dns 172.16.0.250 172.16.0.251
wins 172.16.0.252 172.16.0.253
domain cisco.com
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0
ip address 172.16.0.129 255.255.255.255
!
interface cable-modem0
no cable-modem compliant bridge
crypto map dynmap
!
interface usb0
no ip address
arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
! Add the appropriate ip route commands for network-extension mode
ip route 172.16.1.0 255.255.255.255 cable-modem0
no ip http server
no ip http cable-monitor
!
access-list 150 permit ip 172.16.0.128 0.0.0.127 any
snmp-server manager
!
line con 0
exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
end
Configuración Sencilla de un servidor VPN Cisco con Xauth: Ejemplo:
El siguiente ejemplo muestra un servidor del Cisco Easy VPN configurado para soportar el Xauth con la característica del
telecontrol del Cisco Easy VPN. Este ejemplo es idéntico a ése mostrado en la “Configuración del servidor del Cisco Easy VPN
con el Túnel dividido: Ejemplo” a excepción de los siguientes comandos que habilitan y configuran el Xauth:
• aaa authentication login userlist local — Especifica las bases de datos para la autenticación del nombre de usuario
local en el tiempo del login. Usted podría también especificar el uso de los servidores de RADIUS por primero usando aaa
authentication login userlist group radius el comando y entonces especificando a los servidores de RADIUS que usaban
aaa group server radius el comando.
• crypto isakmp xauth timeout — Especifica la cantidad de tiempo, en los segundos, que el usuario tiene que ingresar el
nombre de usuario y contraseña apropiado para autenticar la sesión.
• crypto map dynmap client authentication list userlist — Crea una correspondencia de criptografía nombrada el “
dynmap” ese Xauth de los permisos.
• username cisco password 7 cisco — Crea una entrada en la base de datos del nombre de usuario local para un
usuario con el nombre de usuario de “Cisco” y de una contraseña encriptada de “Cisco.” Este comando se debe relanzar
para cada uno el usuario separado que accede el servidor.
Los siguientes comandos, que están también presentes en las configuraciones del NON-Xauth, también se requieren para el
uso del Xauth:
• aaa authorization network easy vpn remote-groupname local — Requiere la autorización para todas las solicitudes
de servicio relacionadas a la red para los usuarios en el grupo nombrado “telecontrol-nombre de grupo fácil del vpn”
usando la base de datos del nombre de usuario local.
•
aaa new-model — Especifica que el router debe utilizar los nuevos comandos aaa authentication.
•
aaa session-id common — Especifica que un ID de sesión único y común se debe utilizar para las sesiones AAA.
• crypto map dynmap 1 ipsec-isakmp dynamic dynmap — Especifica que el IKE se debe utilizar para establecer el SA
de IPSec, usando la correspondencia de la cripta nombrada “dynmap” como la plantilla de política.
• crypto map dynmap client configuration address respond — Los permisos negociación IKE, validando las peticiones
de cualquier petición miran.
• crypto map dynmap isakmp authorization list easy vpn remote-groupname — Configura la correspondencia de
criptografía nombrada “dynmap” para utilizar el secreto compartido de IKE usando el grupo nombrado “telecontrol-nombre
de grupo fácil del vpn.”
Incline esta configuración muestra el servidor configurado para el Túnel dividido, pero el Xauth se puede también utilizar con
las configuraciones del túnel del nonsplit también.
Observeeste ejemplo muestra que a Routió de acceso a cable Cisco uBR925, pero el Easy VPN Server del destino es
típicamente un router tal como un concentrador VPN 3000 o un router del Cisco IOS que soporta la característica del Easy VPN
Server.
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authentication login userlist local
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
username cisco password 7 cisco
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60
!
crypto isakmp client configuration group easy vpn remote-groupname
key easy vpn remote-password
dns 172.16.0.250 172.16.0.251
wins 172.16.0.252 172.16.0.253
domain cisco.com
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!!
!
interface Ethernet0
ip address 172.16.0.129 255.255.255.128
!
interface cable-modem0
no cable-modem compliant bridge
crypto map dynmap
!
interface usb0
no ip address
arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
ip route 172.16.1.0 255.255.255.248 cable-modem0
no ip http server
no ip http cable-monitor
!
access-list 150 permit ip 172.16.0.128 0.0.0.127 any
snmp-server manager
!
line con 0
exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
end
Soporte de Interoperabilidad de Easy VPN Server: Ejemplo:
Para la información sobre esta característica, vea la “información general en el IPSec y el VPN” en la sección “referencias
adicionales” (manejo del Acceso Remoto VPN).
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Documentación específica de la plataforma
Cisco 800 Series Router
•
Cisco 800 Series Routers
• Guía de instalación del Cisco 806 Router y del
hardware de router SOHO71
• Guía de configuración de software del Cisco 806
Router
• Cisco 826, 827, 828, 831, 836, y 837 y SOHO76, 77,
78, 91, 96, y guía de configuración de software de los 97
Router
• Cisco 826 y guía de instalación del hardware de router
SOHO76
• Cisco 827 y guía de instalación del hardware del
Routers SOHO77
• Cisco 828 y guía de instalación del hardware del
Routers SOHO78
•
Routeres de acceso del cable del
Cisco uBR905 y del Cisco uBR925
Router de banda ancha de ADSL del Cisco 837
• Routió de acceso a cable Cisco uBR925 la guía de
instalación del hardware
•
Guía de instalación del hardware del Cisco uBR905
• Guía de configuración de software del router de acceso
del cable de Cisco uBR905/uBR925
• Routió de acceso a cable Cisco uBR905 el indicador
luminoso LED amarillo de la placa muestra gravedad
menor del inicio rápido de la configuración del suscriptor
• Routió de acceso a cable Cisco uBR925 el indicador
luminoso LED amarillo de la placa muestra gravedad
menor del inicio rápido de la configuración del suscriptor
• Routió de acceso a cable Cisco uBR925 el guía del
usuario del inicio rápido
Cisco 1700 Series Router
• Guía de configuración de software del Cisco 1700
Series Router
• Guía de instalación del hardware de router de la
Seguridad del Cisco 1710
• Guía de configuración del software del router de la
Seguridad del Cisco 1710
•
Router del acceso a la seguridad de Cisco 1711
• Guía de instalación del hardware del Cisco 1720 Series
Router
• Guía de instalación del hardware del router de acceso
del Cisco 1721
• Guía de instalación del hardware del Cisco 1750 Series
Router
• Guía de instalación del hardware del Cisco 1751
Router
• Guía de configuración de software del Cisco 1751
Router
• Guía de instalación del hardware del Modular Access
Router del Cisco 1760
También vea las notas del Cisco IOS Release para el Cisco
IOS
Versión 12.2(4)YA:
• SOHO70 y Cisco 800 Series — Release Note para
Versión 12.2(4)YA
• Release Note para el Cisco uBR905 y routeres de
acceso del cable del Cisco uBR925 para el Cisco IOS
Release 12.2 YA
• Cisco 1700 Series — Release Note para la versión
12.2(4)YA
Cisco 2600 Series, Cisco 3600
Series, y Cisco 3700 Series Router
•
Cisco 2600 Series Multiservice Platforms
• Guía de instalación del hardware de los Cisco 2600
Series Router
•
Cisco 3600 Series Multiservice Platforms
• Guía de instalación de hardware de la serie 3600 de
Cisco
•
Cisco 3700 Series Multiservice Access Routers
• Guía de instalación del hardware de los Cisco 3700
Series Router
• Cisco 2600 Series, 3600 Series, y cumplimiento de
normas regulatorias y información sobre seguridad de las
3700 Series en el cisco.com
IPSec y documentación VPN
autenticación del 802.1x
• Configurando el telecontrol del Cisco IOS Easy VPN
con la autenticación del 802.1x (White Paper)
• Control de acceso VPN usando la autenticación local
del 802.1x
Configuración de las listas de control
de acceso
•
Información de la configuración
(profundizado adicional)
• Referencia de comandos de la Seguridad de Cisco IOS
— Proporciona una referencia para cada uno de los
comandos cisco ios usados para configurar la encripción
de IPSec y las funciones de seguridad relacionadas.
•
Descripción General de la Lista de Acceso IP
SSL VPN — Provee información sobre SSL VPN.
cTCP en los dispositivos remotos del
Cisco Easy VPN
• Guía de despliegue EFT para el Control Protocol del
túnel de Cisco en el EasyVPN de Cisco
Dead Peer Detection
•
Configuración DHCP
• “Configurando al Cliente de DHCP del Cisco IOS” en la
guía de configuración del IP Addressing del Cisco IOS
Certificados digitales (soporte de la
firma RSA.)
•
Easy VPN Remote RSA Signature Support
DNS, configuración
•
Configuración de DNS en los routers de Cisco
Característica del Easy VPN Server,
que proporciona el soporte de cliente
del Cisco Unity para la característica
del telecontrol del Cisco Easy VPN
•
Easy VPN Server
•
Cisco Easy VPN
•
Configuración de NAC con IPsec Dynamic Virtual
IPsec Dead Peer Detection Periodic Message Option
Tunnel Interface
Característica fundamental cifrada
del preshared
•
IPSec y VPN, información general
• IPSec que despliega — Proporciona una descripción
de la encripción de IPSec y de sus conceptos
fundamentales, junto con las configuraciones de muestra.
También proporciona un link a muchos otros documentos
en los temas relacionados.
Clave Precompartida Cifrada
• Configurando la autorización y la revocación de los
Certificados en un PKI — describe el concepto de
Certificados digitales y cómo se utilizan para autenticar a
los usuarios IPsec.
•
Configuración del Proxy de Autenticación
• Una Introducción al encripción de seguridad IP (IPSec)
— Proporciona una descripción gradual de cómo
configurar la encripción de IPSec.
• Configurando las configuraciones VPN — Provee
información sobre configurar un firewall PIX para actuar
como Cliente Cisco Secure VPN.
• Configurar directivo de seguridad para los VPN con el
IPSec — Provee información sobre configurar las
correspondencias de criptografía.
• Interfaz del túnel virtual del IPSec — Provee
información sobre las interfaces del túnel virtuales del
IPSec.
•
Rastreo de objetos
Secciones de los consejos técnicos IP en el cisco.com.
• Respaldo confiable del Static Routing usando el
Rastreo de objetos
La documentación adicionalde la nota en el IPSec está disponible en el cisco.com mientras
que se agregan las nuevas funciones y las Plataformas. El Cisco Press también publica varios
libros en el IPSec — vaya a http://www.ciscopress.com para más información sobre el Cisco
Press Book.
Estándares
Estándares
Título
Esta función no soporta estándares nuevos o modificados.
—
MIB
MIB
• CISCO-IPSEC-FLOWMONITOR-MIB — Contiene los
atributos que describen VPN
basado en Ipsec proyecto del
Grupo de trabajo del IPSec (de
la Fuerza de tareas de
ingeniería en Internet (IETF)
(IETF)).
• CISCO-IPSEC-MIB —
Describe los atributos
específicos de la puesta en
práctica de Cisco para los
routeres Cisco que
implementan el IPSec VPN.
• CISCO-IPSEC-POLICYMAP-MIB — Amplía el CISCOIPSEC-FLOW-MONITOR-MIB
para asociar las estructuras
dinámicamente creadas a las
directivas, lo transforma, los
cryptomaps, y otras estructuras
que crearon o las están
Link del MIB
Para localizar y descargar el MIB para las plataformas elegidas,
las versiones de Cisco IOS Software, y los conjuntos de
características, utilizan el localizador MIB de Cisco encontrado
en el URL siguiente:
http://www.cisco.com/cisco/web/LA/support/index.html
utilizando.
RFC
RFC
Título
Esta función no soporta RFCs nuevos o modificados.
—
Asistencia Técnica
Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html
de Cisco proporciona los recursos en línea
para descargar la documentación, el software,
y las herramientas. Utilice estos recursos para
instalar y para configurar el software y para
resolver problemas y para resolver los
problemas técnicos con los Productos Cisco y
las Tecnologías. El acceso a la mayoría de las
herramientas en el Web site del soporte y de
la documentación de Cisco requiere una
identificación del usuario y una contraseña del
cisco.com.
Información sobre la Función Easy VPN Remote
El cuadro 4 enumera el historial de la versión para esta característica.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software,
un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a
http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 4 solamente la versión de software que introdujo el soporte para una característica dada en un
tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión
de software también soportan esa característica.
Nombre
de la
función Versiones
Información sobre la Función
Easy VPN 12.2(4)YA
El soporte para el telecontrol del Cisco Easy VPN (fase I) de esta
Remote
Cisco IOS XE característica fue introducido para el Cisco 806, el Cisco 826, el Cisco
Release 2.1
827, y los Cisco 828 Router; Cisco 1700 Series Routers; y Cisco uBR905
y Cisco uBR925 Cable Access Routers.
En el 2.1 de la versión del Cisco IOS XE, el soporte para esta
característica fue introducido en los 1000 Series Router de Cisco ASR.
12.2(13)T
El telecontrol del Cisco Easy VPN era integrado en el Cisco IOS Release
12.2(13)T.
12.2(8)YJ
Soporte para el telecontrol del Cisco Easy VPN (fase II) de esta
característica fue introducido para el Cisco 806, el Cisco 826, el Cisco
827, y los Cisco 828 Router; Cisco 1700 Series Routers; y Cisco uBR905
y Cisco uBR925 Cable Access Routers.
12.2(15)T
El telecontrol del Cisco Easy VPN (característica de la fase II) era
integrado en el Cisco IOS Release 12.2(15)T. El soporte para las Cisco
2600 Series, las Cisco 3600 Series, y los Cisco 3700 Series Router fue
agregado.
12,3(2)T
La contraseña del tipo 6 en la característica de configuración IOS fue
agregada.
‘12.3(4)T’
La contraseña de la salvaguardia y las funciones de backup del peer
múltiple fueron agregadas.
Las secciones siguientes proporcionan la información sobre la
característica de la contraseña de la salvaguardia:
12.3(7)T
•
Uso del Xauth
•
Configuración de Guardado de Contraseña
•
Configuración de Guardado de Contraseña: Ejemplo:
La característica siguiente fue introducida en esta versión:
•
12.3(7)XR
Dead Peer Detection Periodic Message Option
Las características siguientes fueron introducidas: El Dead Peer
Detection con la Conmutación por falla apátrida (Rastreo de objetos con
el VPN fácil) — configuración local y servidor de backup de la lista del
servidor de backup enumera la configuración automática, las mejoras de
administración, Equilibrio de carga, soporte a VLAN, soporte de la subred
múltiple, activación accionado por tráfico, Confidencialidad directa
perfecta (PFS) vía el empuje de la directiva, autenticación del 802.1x,
soporte del certificado (PKI), el Easy VPN Remote y el servidor en lo
mismo interconectan, y el Easy VPN Remote y el sitio a localizar en lo
mismo interconectan.
Las siguientes secciones proporcionan información sobre estas
funciones:
•
autenticación del 802.1x
•
Activación Accionada por Tráfico
•
Configuración Local de la Lista del Servidor de Respaldo
•
Autoconfiguración de la lista del servidor de backup
•
Soporte a VLAN
•
Easy VPN Remote y Servidor en la Misma Interfaz
•
Easy VPN Remote y Sitio a Sitio en la Misma Interfaz
•
Balance de carga
•
Mejoras de la Administración
•
Soporte PFS
No soportana los Cisco 800 Series Router de la nota en el Cisco
IOS Release 12.3(7)XR.
Observeestas características están disponible solamente en la
Versión de Cisco 12.3(7)XR2.
12.3(7)XR2
Las características en el Cisco IOS Release 12.3(7)XR fueron
introducidas en los Cisco 800 Series Router.
12.3(8)YH
El Respaldo de marcado, la activación accionado por tráfico, y las
características basadas en web de la activación fueron introducidos en el
Cisco 1812 Router.
Las siguientes secciones proporcionan información sobre estas
funciones:
•
Dial Backup
•
Dial Backup: Ejemplos
12.3(11)T
A excepción del Respaldo de marcado y de las características accionado
por tráfico de la activación, todas las características introducidas en los
Cisco IOS Releases 12.3(7)XR y 12.3(7)XR2 eran integradas en el Cisco
IOS Release 12.3(11)T.
12.3(14)T
El Respaldo de marcado y las características accionado por tráfico de la
activación eran integrados en el Cisco IOS Release 12.3(14)T. Además,
la característica basada en web de la activación era integrada en esta
versión.
12.3(8)YI
El Respaldo de marcado, la activación accionado por tráfico, y las
características basadas en web de la activación fueron introducidos en el
Routers de la Configuración fija de las Cisco 1800 Series.
12.3(8)YI1
El Respaldo de marcado, la activación accionado por tráfico, y las
características basadas en web de la activación fueron introducidos en
los Cisco 870 Series Router.
12.4(2)T
12.2(33)SXH
En esta versión se añadieron las siguientes funciones: Banner, automóvil
Update Button, y mejoras del Navegador-proxy.
La sección siguiente proporciona la información sobre estas
características:
•
12.4(4)T
12.2(33)SXH
Banner
En esta versión se añadieron las siguientes funciones: El soporte dual del
túnel, las mejoras de la administración de la configuración (que avanzan
una configuración URL con un intercambio de la configuración del modo),
reactiva el peer primario, y el soporte virtual de la interfaz del IPSec.
Además, flow allow acl el comando fue agregado para poder bloquear el
tráfico cuando un túnel está abajo.
Las siguientes secciones proporcionan información sobre estas
funciones:
•
Soporte de Interfaz IPSec Virtual
•
Dual Tunnel Support
• Mejoras de la Administración de la Configuración (Aplicación de
una URL de Configuración a través de un Intercambio de ModoConfiguración)
•
Peer Primario Reactivo
•
Restricción del Tráfico Cuando se Desactiva un Túnel
12.2(33)SRA
El telecontrol del Cisco Easy VPN era integrado en el Cisco IOS
Versión 12.2(33)SRA.
12.4(11)T
La función siguiente se añadió en esta versión:
•
Identical Addressing Support
La sección siguiente proporciona la información sobre esta
característica:
– Soporte de dirección idéntico
12.4(20)T
En esta versión se añadieron las siguientes funciones:
•
cTCP Support on Easy VPN Clients
Las secciones siguientes proporcionan información acerca de esta
función:
– soporte del cTCP en los clientes VPN fáciles
– Configurar el cTCP en un cliente VPN fácil
– cTCP en un cliente VPN fácil (dispositivo remoto): Ejemplos
Los siguientes comandos fueron introducidos o modificados para esta
característica: crypto ctcp, ctcp port
Glosario
AAA: autenticación, autorización y contabilización. Marco de los Servicios de seguridad que proporcionan el método para
identificar a los usuarios (autenticación); para el control de acceso remoto (autorización); y para recoger y enviar la información
del servidor de seguridad usada para cargar en cuenta, auditoría, y señalar (estadísticas).
modo agresivo — Modo que elimina varios pasos durante la negociación de la autenticación del Internet Key Exchange (IKE)
entre dos o más peeres IPSecs. El modo agresivo es más rápido que el modo principal pero no está como seguro.
método de autorización para el control de acceso remoto, incluyendo la autorización única o la autorización para cada
servicio; por usuario lista y perfil de la cuenta; soporte del grupo de usuarios; y soporte del IP, del IPX, del ARA, y de Telnet. La
autorización AAA funciona ensamblando un conjunto de atributos que describen lo que el usuario está autorizado a realizar.
Estos atributos se comparan a la información contenida en una base de datos para un usuario dado y el resultado se vuelve al
AAA para determinar las capacidades y las restricciones reales del usuario. La base de datos se puede situar localmente en el
Access Server o el router, o puede ser recibida remotamente en un servidor de seguridad RADIUS o TACACS+. Los servidores
de seguridad remota, tales como RADIUS y TACACS+, autorizan a los usuarios con derechos específicos mediante la
asociación de pares de atributo-valor (AV), que definen estos derechos, con el usuario correspondiente. Todos los métodos de
autorización se deben definir con el AAA.
CA — Certificate Authority. Una entidad en una red que publica y maneja los credenciales de seguridad y los claves públicas
(bajo la forma de Certificados X509v3) para el cifrado del mensaje. Como parte de un Public Key Infrastructure (PKI), CA marca
con un registration authority (RA) para verificar la información proporcionada por el solicitante de un certificado digital. Si el RA
verifica la información del solicitante, CA puede entonces publicar un certificado. Los Certificados incluyen generalmente el
clave pública del propietario, de la fecha de vencimiento del certificado, del nombre del propietario, y de la otra información
sobre el propietario del clave pública.
CRWS — Herramienta de configuración de la red del router Cisco. Equipe que proporciona las capacidades de la interfaz Web.
cTCP — Cisco que hace un túnel el Control Protocol. Cuando el cTCP se habilita en un dispositivo remoto (cliente) y el
dispositivo de cabecera, tráfico IKE y ESP (protocolo 50) se encapsula en el encabezado TCP de modo que los Firewall entre el
cliente y el dispositivo de cabecera permitan este tráfico (que lo considera lo mismo que tráfico TCP).
DPD — Dead Peer Detection. Pregunta la vivacidad del par del Internet Key Exchange (IKE) de un router a intervalos regulares.
DSLAM: multiplexor de acceso digital a la línea de suscriptor. Un dispositivo que conecta muchas líneas de suscriptor digital a
una red multiplexando el tráfico DSL sobre una o más líneas trunk de red.
IKE — Intercambio de claves de Internet. Estándar del Key Management Protocol que se utiliza conjuntamente con el estándar
de la seguridad IP (IPSec). El IPSec es una característica de la seguridad IP que proporciona la autenticación y el cifrado
robustos de los paquetes IP. El IPSec se puede configurar sin el IKE, pero el IKE aumenta el IPSec proporcionando a las
características adicionales, a la flexibilidad, y a la facilidad de la configuración para el estándar del IPSec. El IKE es un protocolo
híbrido que implementa el intercambio de claves del Oakley y el intercambio de claves de Skeme dentro del marco del Internet
Security Association and Key Management Protocol (ISAKMP). El ISAKMP, el Oakley, y Skeme son protocolos de Seguridad
implementados por el IKE.
IPSec — IP Security Protocol. Estructura basada en estándares abiertos que brinda confidencialidad, integridad y autenticación
de datos entre los peers participantes. El IPSec proporciona estos Servicios de seguridad en la capa IP. IPSec utiliza IKE para
gestionar la negociación de protocolos y algoritmos basada en la política local y para generar las llaves de encripción y de
autenticación que utilizará IPSec. IPsec puede emplearse para proteger uno o varios flujos de datos entre un par de hosts, entre
un par de gateways de seguridad, o entre un gateway de seguridad y un host.
modo principal — El modo que asegura el del más alto nivel de la Seguridad cuando dos o más peeres IPSecs está
negociando la autenticación IKE. Requiere más tiempo de procesamiento que el modo agresivo.
MIB — Management Information Base. Base de datos de la información de administración de red que es utilizada y mantenida
por un Network Management Protocol, tal como Simple Network Management Protocol (SNMP) o Protocolo de información de
gestión común (CMIP). El valor de un objeto de MIB se puede cambiar o extraer usando los comandos SNMP o CMIP,
generalmente a través de un sistema de administración de la red (NMS) del Interfaz gráfica del usuario (GUI). Los objetos de
MIB se organizan en una estructura de árbol que incluye ramas públicas (estándar) y privadas (propietarias).
par — Router o dispositivo que participan como punto final en el IPSec y el IKE.
clave del preshared — Compartido, clave secreta que utiliza el IKE para la autenticación.
QoS: Calidad de servicio. Capacidad de una red para proporcionar un mejor servicio al tráfico de la red seleccionada sobre las
diversas Tecnologías, incluyendo el Frame Relay; Asynchronous Transfer Mode (ATM); Ethernetes; y 802,1 redes, SONET, y
redes ruteado por IP que pueden utilizar el cualquiera o todo el de estas tecnologías subyacentes.
RADIUS — Remote Authentication Dial-In User Service. Cliente o sistema del servidor distribuido que aseguran las redes contra
el acceso no autorizado. El funcionamiento de los clientes RADIUS en los routeres Cisco y envía los pedidos de autenticación a
un servidor de RADIUS central que contenga toda la información de acceso de la autenticación de usuario y del servicio de red.
SA: Asociación de seguridad. El caso de la política de seguridad y del material de codificación se aplicó a un flujo de datos.
Tanto IKE como IPsec usan SAs, aunque los SAs son independientes entre sí. El SA de IPSec es unidireccional, y él es único
en cada Security Protocol. IKE SA es utilizado por el IKE solamente, y a diferencia IPSec SA, es bidireccional. IKE negocia y
establece los SAs en nombre de IPsec. Un usuario puede también establecer el SA de IPSec manualmente.
Se necesita un conjunto de SAs para una canalización de datos protegida, una por dirección y por protocolo. Por ejemplo, si
usted tiene un tubo que soporte el Encapsulating Security Payload (ESP) entre los pares, un ESP SA se requiere para cada
dirección. Los SA son identificados únicamente por el direccionamiento del destino (punto final de IPSec), el Security Protocol
(AH o ESP), y el Security Parameter Index (SPI).
SDM — Administrador de dispositivos de seguridad. Administrador de la interfaz Web que le permite para conectar o para
desconectar un túnel VPN y que proporciona una interfaz Web para el Autenticación ampliada (Xauth).
SNMP — Protocolo administración de red simple. Application Layer Protocol que proporciona a Message format (Formato del
mensaje) para la comunicación entre los SNMP Manager y los agentes.
mensaje trampa enviado por un agente SNMP a un sistema de administración de red, a una consola, o a una terminal para
indicar el acontecimiento de un evento importante, tal como una condición específicamente definida o un umbral que fue
alcanzado.
VPN — Red privada virtual. Permite que el tráfico IP se transfiera con seguridad a través de una red TCP/IP pública mediante el
cifrado de todo el tráfico de una red a otra. Un VPN utiliza los túneles para cifrar toda la información en el nivel IP.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word
partner does not imply a partnership relationship between Cisco and any other company. (1005R)
Any Internet Protocol (IP) addresses used in this document are not intended to be actual addresses. Any examples, command display output, and
figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses in illustrative content is unintentional and
coincidental.
© 2002-2011 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074086_sec_easy_vpn_rem_ps6922_TSD_Products_Configuration_Guide_Chapter.html
Documentos relacionados
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Desarrollo del mantenimiento de red
¿Qué es una VPN? ¿Que ventajas ofrece? ¿Como funciona? ¿Por
¿Qué es una VPN? ¿Que ventajas ofrece? ¿Como funciona? ¿Por
Guía acceso a VPN desde Android - CEC
Guía acceso a VPN desde Android - CEC
RESUMEN El objetivo general de la presente tesis es verificar la
RESUMEN El objetivo general de la presente tesis es verificar la
Conexión VPN en Windows Vista
Conexión VPN en Windows Vista
VPN - Viatec
VPN - Viatec
Tres sugerencias para optimizar el rendimiento y la
Tres sugerencias para optimizar el rendimiento y la
gl-redes-privadas
gl-redes-privadas
Descargar
Anuncio
Anuncio