O VPN fácil exige o cliente Cisco VPN?

O túnel é ativado no tráfego interessante (gatilho da ACL)

Resumo

O artigo discute se a VPN fácil requer o cliente Cisco VPN. Ele também fornece informações sobre como configurar uma VPN usando o Easy VPN e um Túnel IPSEC. Os roteadores da série Cisco 870 suportam a criação de redes privadas virtuais (VPNs) e fornecem conexões de alto desempenho à Internet. O artigo explica os dois tipos de VPNs suportados-acesso ao local e remoto-e se concentra na configuração de uma VPN de acesso remoto usando a VPN Cisco Easy e um túnel IPSEC. Ele também esclarece que o material no capítulo não se aplica aos roteadores da série Cisco 850, pois eles não suportam a Cisco Easy VPN.

Pontos chave

1. Os roteadores da série Cisco 870 suportam a criação de redes privadas virtuais (VPNs).
2. Dois tipos de VPNs são suportados-acesso ao local e remoto.
3. VPNs de acesso remoto são usados ​​por clientes remotos para fazer login em uma rede corporativa.
4. O exemplo de configuração no artigo ilustra a configuração de uma VPN de acesso remoto usando a Cisco Easy VPN e um túnel IPSEC.
5. O recurso Cisco Easy VPN Client elimina grande parte do trabalho de configuração tedioso implementando o Cisco Unity Client Protocol.
6. Um dispositivo fácil habilitado para servidor VPN pode rescindir túneis VPN iniciados por trabalhadores móveis e remotos.
7. O recurso Cisco Easy VPN Client pode ser configurado no modo de cliente ou no modo de extensão de rede.
8. Depois que o servidor IPsec foi configurado, uma conexão VPN pode ser criada com a configuração mínima em um cliente IPSEC.
9. O recurso Cisco Easy VPN Client suporta a configuração de apenas um par de destino.
10. Várias tarefas de configuração precisam ser executadas para configurar o roteador para o cenário de rede.

Questões

1. VPN fácil exige o cliente Cisco VPN?

Sim, a VPN fácil requer o cliente Cisco VPN para implementação.

2. Que tipos de VPNs são suportados pelos roteadores da série Cisco 870?

Os roteadores da série Cisco 870 suportam VPNs de acesso ao local e acesso remoto.

3. Qual é o objetivo de uma VPN de acesso remoto?

Uma VPN de acesso remoto é usado por clientes remotos para fazer login em uma rede corporativa.

4. Qual é o recurso Cisco Easy VPN Client?

O recurso Cisco Easy VPN Client elimina grande parte do trabalho de configuração tedioso implementando o Cisco Unity Client Protocol.

5. Qual é a diferença entre o modo de cliente e o modo de extensão de rede na Cisco Easy VPN?

No modo cliente, apenas os dispositivos no site do cliente podem acessar recursos no site central. O modo de extensão de rede permite que os usuários do site central acessem os recursos de rede no site do cliente.

6. Vários túneis VPN podem ser criados usando o recurso Cisco Easy VPN Client?

Não, o recurso Cisco Easy VPN Client suporta a configuração de apenas um ponto de destino.

7. Quais tarefas de configuração precisam ser executadas para configurar o roteador para o cenário de rede?

As tarefas de configuração incluem a configuração da política IKE, informações da política de grupo, configuração de modo para o mapa criptográfico, ativação da pesquisa de políticas, configuração de transformações e protocolos IPsec, configurando o método e parâmetros de criptografia IPSEC, aplicando o mapa cripto.

8. Quais são alguns pré -requisitos para configurar a VPN no roteador da série Cisco 870?

Recursos básicos do roteador, configurações de PPPOE ou PPPOA com NAT, DHCP e VLANs devem ser configuradas com antecedência.

9. O que o exemplo de configuração no artigo demonstra?

O exemplo de configuração demonstra os resultados das tarefas de configuração mencionadas acima para o cenário de rede.

10. O roteador da série Cisco 850 suporta o Cisco Easy VPN?

Não, os roteadores da série Cisco 850 não suportam a Cisco Easy VPN.

Respostas detalhadas

1. VPN fácil exige o cliente Cisco VPN?
Sim, a VPN fácil requer o cliente Cisco VPN para implementação. O recurso Cisco Easy VPN Client elimina grande parte do trabalho de configuração tedioso implementando o Cisco Unity Client Protocol. Esse protocolo permite que a maioria dos parâmetros VPN, como endereços IP internos, máscaras de sub-rede internas, endereços do servidor DHCP, endereços do servidor vencem e bandeiras de tunneamento dividido, sejam definidas em um servidor VPN, como um concentrador da série Cisco VPN 3000 que está agindo como um servidor IPSec.

2. Que tipos de VPNs são suportados pelos roteadores da série Cisco 870?
Os roteadores da série Cisco 870 suportam VPNs de acesso ao local e acesso remoto. VPNs de local a local são usadas para conectar filiais a escritórios corporativos, enquanto as VPNs de acesso remoto são usadas por clientes remotos para fazer login em uma rede corporativa.

3. Qual é o objetivo de uma VPN de acesso remoto?
Uma VPN de acesso remoto permite que clientes remotos se conectem com segurança a uma rede corporativa pela Internet. Ele permite que funcionários remotos ou trabalhadores móveis acessem os recursos da empresa, como arquivos, aplicativos e sistemas internos, como se estivessem diretamente conectados na rede corporativa.

4. Qual é o recurso Cisco Easy VPN Client?
O recurso Cisco Easy VPN Client é uma maneira simplificada de configurar a conectividade VPN. Ele permite que a maioria dos parâmetros de VPN, como endereços IP internos, máscaras de sub-rede, endereços do servidor DHCP, endereços do servidor WINS e sinalizadores de ajuste dividido, sejam definidos em um servidor VPN, como um concentrador da série Cisco VPN 3000 que está atuando como um servidor IPSEC. O recurso Easy VPN Client é implementado pelo Cisco Unity Client Protocol, que elimina grande parte do trabalho de configuração tedioso.

5. Qual é a diferença entre o modo de cliente e o modo de extensão de rede na Cisco Easy VPN?
No modo cliente, os dispositivos no site do cliente podem acessar recursos no site central, mas os recursos no site do cliente não estão disponíveis para o site central. Modo do cliente é a configuração padrão do recurso Cisco Easy VPN Client. Por outro lado, o modo de extensão de rede permite que os usuários no site central (onde o concentrador da série VPN 3000 está localizado) para acessar recursos de rede no site do cliente. O modo de extensão de rede expande a acessibilidade de recursos além do site do cliente.

6. Vários túneis VPN podem ser criados usando o recurso Cisco Easy VPN Client?
Não, o recurso Cisco Easy VPN Client suporta a configuração de apenas um ponto de destino. Se vários túneis de VPN forem necessários, a configuração manual dos parâmetros IPSec VPN e da tradução de endereço de endereço da rede/tradução de endereço de pares (NAT/PAT) no cliente e no servidor forem necessários.

7. Quais tarefas de configuração precisam ser executadas para configurar o roteador para o cenário de rede?
Para configurar o roteador para o cenário de rede, as seguintes tarefas precisam ser executadas:

• Configure a política IKE
• Configurar informações da política de grupo
• Aplique configuração de modo ao mapa criptográfico
• Ativar pesquisa de políticas
• Configurar transformações e protocolos IPSEC
• Configure o método e parâmetros de criptografia IPSEC
• Aplique o mapa criptográfico na interface física
• Crie uma configuração remota fácil de VPN

Um exemplo demonstrando os resultados dessas tarefas de configuração é fornecido na seção “Exemplo de configuração” do artigo.

8. Quais são alguns pré -requisitos para configurar a VPN no roteador da série Cisco 870?
Antes de configurar a VPN no roteador da série Cisco 870, os recursos do roteador básico, como PPPOE ou PPPOA com Nat, DHCP e VLANs, devem ser configurados. Essas configurações são essenciais para estabelecer a base da rede e ativar a conectividade da Internet e os serviços de rede local.

9. O que o exemplo de configuração no artigo demonstra?
O exemplo de configuração fornecido no artigo demonstra os resultados das tarefas de configuração mencionadas anteriormente. Ele mostra as definições de configuração necessárias para estabelecer e proteger uma VPN de acesso remoto usando a Cisco Easy VPN e um túnel IPSEC. Seguindo o exemplo, os usuários podem replicar a configuração em seus próprios roteadores.

10. O roteador da série Cisco 850 suporta o Cisco Easy VPN?
Não, os roteadores da série Cisco 850 não suportam a Cisco Easy VPN. O material do artigo não se aplica aos roteadores da série Cisco 850.

O VPN fácil exige o cliente Cisco VPN

O túnel é ativado no tráfego interessante (gatilho da ACL)

O VPN fácil exige o cliente Cisco VPN?

О эээ сйранibus

Ы з ззарегиgléria. С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот. Почpels эээ моогitu произойth?

Эта страница отображается в тех случаях, когда автоматическими системами Google регистрируются исходящие из вашей сети запросы, которые нарушают Условия использования. Ponto. Ээth момо номттаая и оозз илэз и ээ и эз и эз и з и ззз и зз и ээз и ээз иth ээ эth ээзз эth эзз иthлз ио и зз и иth эз иээ эээо иth эз эээ ээо ээоо иth иэзз эth эзт эth эз ио эээ иth эз иэз иthлзз иоз ил иээ иээо иэээ иээо иth ио иээ эth иэ иээ эth иэ иээ эth ио иэ ээог seguir.

Ит и и и и и и и и и чззжfia м ирржжжfia м иржжжжfia м мжжжжжж<ь м м иржжжfia. não. Если вы используете общий доступ в Интернет, проблема может быть с компьютером с таким же IP-адресом, как у вас. Орратитеitivamente к с о и и с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с с а с с а с а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а а &rdquo;. ПодробнÉ.

Проверка по слову может также появляться, если вы вводите сложные запросы, обычно распространяемые автоматизированными системами, или же вводите запросы очень часто.

Apoiar

Configurando uma VPN usando VPN fácil e um túnel IPSEC

Navegação hierárquica

Transferências

Índice

Configurando uma VPN usando VPN fácil e um túnel IPSEC

Os roteadores da série Cisco 870 suportam a criação de redes privadas virtuais (VPNs).

Os roteadores da Cisco e outros dispositivos de banda larga fornecem conexões de alto desempenho à Internet, mas muitos aplicativos também exigem a segurança das conexões VPN que executam um alto nível de autenticação e que criptografar.

Dois tipos de VPNs são suportados-acesso ao local e acesso remoto. VPNs de local a local são usadas para conectar filiais a escritórios corporativos, por exemplo,. VPNs de acesso remoto são usados ​​por clientes remotos para fazer login em uma rede corporativa.

O exemplo deste capítulo ilustra a configuração de uma VPN de acesso remoto que usa a Cisco Easy VPN e um túnel IPSec para configurar e proteger a conexão entre o cliente remoto e a rede corporativa. A Figura 6-1 mostra um cenário de implantação típico.

Observação O material deste capítulo não se aplica aos roteadores da série Cisco 850. Os roteadores da série Cisco 850 não suportam a Cisco Easy VPN.

Figura 6-1 VPN de acesso remoto usando o túnel IPSEC

Cisco Easy VPN

O recurso Cisco Easy VPN Client elimina grande parte do trabalho de configuração tedioso implementando o Cisco Unity Client Protocol. Esse protocolo permite que a maioria dos parâmetros VPN, como endereços IP internos, máscaras de sub-rede internas, endereços do servidor DHCP, endereços do servidor vencem e bandeiras de tunneamento dividido, sejam definidas em um servidor VPN, como um concentrador da série Cisco VPN 3000 que está agindo como um servidor IPSec.

Um dispositivo fácil habilitado para servidor VPN pode encerrar túneis VPN iniciados por trabalhadores móveis e remotos que estão executando o software remoto da Cisco Easy VPN em PCs. Dispositivos habilitados para servidor VPN fáceis permitem que os roteadores remotos atuem como nós remotos fáceis de VPN.

O recurso Cisco Easy VPN Client pode ser configurado em um dos dois modos – modo de qualidade ou modo de extensão de rede. O modo do cliente é a configuração padrão e permite que apenas dispositivos no site do cliente acessem recursos no site central. Recursos no site do cliente não estão disponíveis para o site central. O modo de extensão de rede permite que os usuários no site central (onde o concentrador da série VPN 3000 está localizado) para acessar recursos de rede no site do cliente.

Depois que o servidor IPsec foi configurado, uma conexão VPN pode ser criada com a configuração mínima em um cliente IPSEC, como um roteador de acesso à série Cisco 870 suportado. Quando o cliente IPSEC inicia a conexão de túnel VPN, o servidor IPsec empurra as políticas IPsec para o cliente IPsec e cria a conexão de túnel VPN correspondente.

Observação O recurso Cisco Easy VPN Client suporta a configuração de apenas um par de destino. Se o seu aplicativo exigir a criação de vários túneis de VPN, você deverá configurar manualmente os parâmetros IPSEC VPN e Tradução de Endereço de Rede/Tradução de Endereço de Peer (NAT/PAT) no cliente e no servidor.

Tarefas de configuração

Execute as seguintes tarefas para configurar seu roteador para este cenário de rede:

• Configurar a política IKE

• Configurar informações da política de grupo

• Aplicar a configuração do modo ao mapa criptográfico

• Ativar pesquisa de políticas

• Configurar transformações e protocolos IPSEC

• Configurar o método e parâmetros de criptografia IPSEC

• Aplicar o mapa criptográfico na interface física

• Crie uma configuração remota fácil de VPN

Um exemplo mostrando os resultados dessas tarefas de configuração é fornecido na seção “Exemplo de configuração”.

Observação Os procedimentos neste capítulo assumem que você já configurou recursos básicos do roteador, bem como PPPOE ou PPPOA com NAT, DCHP e VLANS. Se você não executou essas tarefas de configurações, consulte o Capítulo 1 “Configuração básica do roteador”, “Capítulo 3” Configurando o PPP sobre Ethernet com NAT “, Capítulo 4” Configurando PPP sobre atm com NAT “e Capítulo 5” Configurando uma LAN com DHCP e VLANS “, conforme apropriado.

Observação Os exemplos mostrados neste capítulo referem -se apenas à configuração do terminal no roteador da série Cisco 870. Qualquer conexão VPN exige que ambos os endpoints sejam configurados corretamente para funcionar. Consulte a documentação de configuração de software conforme necessário para configurar a VPN para outros modelos de roteador.

Configure a política IKE

Execute essas etapas para configurar a política da Internet Key Exchange (IKE), começando no modo de configuração global:

Comando ou ação

Roteador (configuração)# Crypto ISAKMP Policy 1 

Cisco Easy VPN nos roteadores baseados em software da Cisco iOS

A documentação conjunta para este produto se esforça para usar a linguagem sem preconceitos. Para os propósitos deste conjunto de documentação, o preconceito é definido como linguagem que não implica discriminação com base na idade, incapacidade, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Exceções podem estar presentes na documentação devido ao idioma que é codificado nas interfaces do usuário do software de produto, linguagem usada com base na documentação da RFP ou idioma usado por um produto de terceiros referenciados. Saiba mais sobre como a Cisco está usando o idioma inclusivo.

Visão geral da solução VPN Cisco Easy

A solução Cisco ® Easy VPN (Figura 1) oferece flexibilidade, escalabilidade e facilidade de uso para VPNs de local e local e acesso remoto:

• Torna mais fácil do que nunca para clientes de todos os tamanhos implantar VPNs em locais com equipe técnica limitada-como pequenos escritórios de filiais, teletrônicos e trabalhadores móveis

• Oferece flexibilidade sem precedentes na escolha e suporte de dispositivos VPN, permitindo que os roteadores da Cisco, aparelhos de segurança e clientes VPN de software sejam integrados a uma única implantação

• Reduz a complexidade do gerenciamento de implantações de VPN em larga escala, centralizando o gerenciamento de VPN com uma política consistente e o método de gerenciamento-chave em todos os dispositivos Cisco VPN

figura 1. Visão geral da solução VPN Cisco Easy

Aplicações: implantação de pequenos escritórios

Para trabalhadores móveis e telecomutores, não basta ter uma conexão de alto desempenho com a Internet. Para ser verdadeiramente eficaz, esses usuários precisam de acesso completo e seguro a recursos eletrônicos no escritório em casa, o que significa estabelecer uma conexão VPN com um alto nível de autenticação e a capacidade de criptografar dados. A solução Cisco Easy VPN permite que trabalhadores remotos e telecomutores de pequenos escritórios ou filiais corporativas estabeleçam conexões de VPN em toda a Internet pública diretamente para o seu escritório em casa, com os recursos de rede de alta velocidade necessários para fazer seus empregos disponíveis para eles a uma fração do custo das conexões seguras alternativas.

Anteriormente, fornecendo acesso seguro a trabalhadores remotos frequentemente implicando usando o protocolo de tunelamento ponto a ponto (PPTP) para se conectar a um escritório em casa. Embora esse método permita que os usuários encerrem uma conexão segura ao seu escritório em casa, um túnel PPTP não fornece autenticação do usuário, o que pode diminuir o limiar geral de segurança da conexão. Métodos alternativos para estabelecer uma conexão segura foram limitados porque eles não suportavam todas as plataformas em toda a rede.

A solução Cisco Easy VPN consiste principalmente em dois componentes operacionais: Cisco Easy VPN Remote e Cisco Easy VPN Server (Figura 2).

Figura 2. Solução Cisco Easy VPN

A Cisco Easy VPN Remote representa a filial ou o lado remoto do usuário da conexão VPN. Uma variedade de dispositivos pode participar como controles remotos fáceis de VPN, incluindo roteadores baseados em software Cisco IOS ®, aparelhos de segurança Cisco ASA e PCs executando o software Cisco VPN Client Software.

O Cisco Easy VPN Server é o lado do túnel da VPN no túnel VPN. Os roteadores baseados em software da Cisco iOS, os switches Cisco Catalyst ® e os aparelhos de segurança da Cisco ASA podem atuar como pontos de agregação de VPN fáceis para milhares de dispositivos remotos fáceis de VPN, incluindo dispositivos na filial, teletrabalho e locais de trabalhadores móveis.

Os servidores Cisco Easy VPN usam a política centralizada para enviar políticas de segurança predefinidas e parâmetros de configuração automaticamente para dispositivos remotos fáceis de VPN. Por exemplo, parâmetros de configuração, como endereços IP internos, máscaras de sub-rede internas, endereços do servidor DHCP, endereços do servidor WINS e sinalizadores de tunelamento dividido podem ser empurrados para o dispositivo remoto. Isso simplifica o gerenciamento, tornando-o ideal para escritórios remotos com pouco suporte de TI ou implantações de equipamentos de instalações de clientes em larga escala (CPE), onde é impraticável configurar individualmente vários dispositivos remotos.

Características e benefícios

A solução Cisco Easy VPN fornece vários recursos e benefícios, incluindo:

• Integração de rede: o software Cisco iOS fornece soluções VPN avançadas que funcionam em várias topologias e casos de uso. A chave para isso é a integração de rede-as maneiras pelas quais os serviços de VPN e IP são integrados no dispositivo, bem como em vários dispositivos na rede.

• Facilidade de gerenciamento: a solução Cisco Easy VPN oferece facilidade de gerenciamento contínuo, com recursos como push de política centralizada e uma arquitetura Easy Easy VPN (Integração de Interface do Túnel Virtual).

• Autenticação: a Cisco Easy VPN suporta um processo de dois estágios para autenticar o cliente remoto e o usuário usando a autenticação de nível de grupo e Xauth.

• Escalabilidade e alta disponibilidade: os servidores Cisco Easy VPN podem agregar milhares de dispositivos remotos, permitindo implantações altamente escaláveis. Nesses cenários, a alta disponibilidade é uma consideração primordial. Vários mecanismos são incorporados na solução Cisco Easy VPN para ajudar a garantir que um grande número de sites não seja retirado por falhas de dispositivo ou conectividade.

• Custo reduzido de propriedade: combinando segurança e VPN em um único dispositivo, especialmente um resulta obrigatório do roteador de ramificação na economia inicial de custos, bem como na proteção de investimentos na forma de escalabilidade e modularidade dos roteadores, à medida que as necessidades de negócios se expandem. E com apenas uma solução de gerenciamento para aprender, as necessidades de treinamento são minimizadas e as operações em andamento são simplificadas. Os roteadores baseados em software da Cisco iOS oferecem a melhor solução escalável e multifuncional para roteamento multiprotocolo, segurança de perímetro, detecção de intrusões e VPN avançado, juntamente com o gerenciamento de dispositivos e o gerenciamento de dispositivos líderes da indústria.

A Tabela 1 lista os principais recursos de integração de rede e benefícios da solução Cisco Easy VPN.

tabela 1. Recursos e benefícios de integração de rede

Descrição e benefício

Nova integração Easy Easy VPN Virtual Tunnel Interface (VTI)

• A arquitetura Easy Easy VPN Easy apresenta novas interfaces virtuais que podem ser configuradas diretamente com a IP Security (IPSEC) sem precisar encapsular protocolos IPSEC internos, como o encapsulamento de roteamento genérico (GRE). Os benefícios de integração de rede incluem:

• Atributos por usuário, como qualidade de serviço (QoS) -VTI, permite a configuração indolor das políticas por usuário; Permitir que os administradores sejam proativos no fornecimento do desempenho desejado do aplicativo e mantendo os usuários produtivos e motivados

• Recursos específicos do túnel-VTI permite que cada túnel VPN de ramificação seja configurado com seu próprio conjunto de parâmetros, proporcionando flexibilidade para personalizar configuração e segurança com base nas necessidades específicas do site

Integração de encaminhamento de rota virtual (VRF)

A integração do VRF com o VTI permite que várias instâncias de VRF sejam encerradas em várias interfaces, facilitando implantações de provedor de serviços em larga escala e comutação de rótulos multiprotocol (MPLS) corporativa (MPLS).

Traversal do firewall baseado em TCP

Os pacotes IPSEC TCP podem ser túneles através de dispositivos de firewall de terceiros, permitindo uma conexão segura em que a porta de pagamento de segurança que encapsulações padrão (ESP) ou o protocolo de datagrama do usuário (UDP) Porta 500 não é aceito ou permitido.

Integração de tradução para endereço de rede (NAT)

A Integração do NAT aborda e resolve incompatibilidades conhecidas entre IPSEC e NAT, apoiando a transparência do NAT sob a porta UDP 500 (RFC 3947)

Os clientes SafeNet se vinculam a um grupo de configuração do cliente usando um endereço local de associação de segurança da Internet e Protocolo de Gerenciamento de Chaves (ISAKMP). Diferentes clientes podem usar as mesmas identidades de pares e teclas ISAKMP usando diferentes endereços de rescisão local.

Alguns dos principais recursos de facilidade de uso na Cisco Easy VPN incluem:

• Atualizações de políticas dinâmicas: permite que operadores de rede ou provedores de serviços mudem de equipamento e configurações de rede, conforme necessário, sem tocar em dispositivos de usuário final. Os servidores VPN fáceis pressionam as mais recentes políticas de segurança conforme e quando necessário, minimizando os erros de configuração manual e operador, reduzindo assim chamadas de serviço adicionais.

• Arquitetura Easy Easy VPN aprimorada (integração VTI): simplifica bastante os requisitos de configuração no headend, bem como as ramificações remotas. Os serviços de IP podem ser configurados usando interfaces virtuais-tempos (ou baixadas de servidores de autenticação, autorização e contabilidade [AAA]) e, no momento da conexão, as instâncias VTI são clonadas dinamicamente desses modelos. Não há necessidade de criar manualmente conjuntos de comandos de configuração para cada site remoto. A VPN fácil aprimorada não suporta protocolos de roteamento; No entanto, funciona bem com a injeção de rota reversa (RRI) para distribuir as informações de acessibilidade para várias sub -redes.

• Cliente VPN de hardware: permite que o roteador VPN ou o dispositivo de segurança atue como um cliente VPN, processando a criptografia em nome de usuários de PC na LAN. Isso elimina a necessidade de os usuários finais comprarem e configurarem dispositivos VPN externos.

• Cisco Easy VPN e Cisco Unity ® Framework: reduz os problemas de interoperabilidade entre os diferentes clientes VPN de software baseados em PC, soluções VPN externas baseadas em hardware e outros aplicativos VPN.

O dinâmico (eu.e., sob demanda e automatizado) Natureza do recurso Push Push Push da Cisco Easy VPN é central para simplificar significativamente os lançamentos de VPN para pequenos escritórios, teletrabalhadores e ambientes remotos/ramificados. A Tabela 2 abaixo lista os principais recursos e benefícios de empurrar da política.

mesa 2. Centralized Policy Push Features and Benefits

Descrição e benefício

Configuração do proxy do navegador

Esse recurso permite que o servidor VPN fácil empurre automaticamente o servidor proxy para o dispositivo remoto sem intervenção manual. As configurações originais de proxy no controle remoto também são automaticamente revertidas após a desconexão.

A conectividade da LAN pode ser retida em uma conexão sem túnel sem explosão. Isso permite que recursos locais, como impressoras e servidores, permaneçam acessíveis quando uma conexão segura é estabelecida.

Banner de login (para clientes de hardware)

O Easy VPN Server empurra um banner para o dispositivo remoto, onde o banner pode ser usado durante a autenticação prolongada (XAuth) e ativação baseada na Web. Mensagens personalizadas podem ser exibidas no dispositivo remoto na primeira vez que o túnel VPN fácil é criado.

Atualização automática (para clientes de software)

O servidor VPN fácil pode ser configurado para fornecer um mecanismo automatizado para atualizações de software para clientes fáceis de VPN.

Atualização de configuração automática

O servidor VPN fácil pode ser configurado para fornecer um mecanismo automatizado para atualizações de software e firmware em um cliente remoto fácil de VPN. Qualquer alteração de configuração pode ser empurrada para qualquer número de clientes, sem precisar tocá -los.

Central Policy Push for Integrated Client Firewall

Esse recurso permite que os servidores VPN fáceis de software da Cisco iOS configurem firewalls pessoais em máquinas clientes, permitindo uma segurança melhorada contra o tunelamento dividido. Os servidores EasyVPN podem optar por não permitir que clientes que não possuam as mais recentes políticas de configuração do firewall para ingressar na VPN.

Proxy do cliente DHCP e DNS distribuído

O Easy VPN Server atua como um cliente DHCP proxy, adquire um endereço IP do servidor DHCP e empurra o endereço IP para o cliente. Com esse recurso, o Cisco Easy VPN Server é capaz de atribuir um endereço IP a um cliente do servidor DHCP corporativo, tornando centralizadas o gerenciamento de alocação de endereço IP centralizado.

O tunelamento dividido permite que o tráfego destacado pela Internet seja enviado sem criptografia diretamente para a Internet. Sem esse recurso, todo o tráfego é enviado para o dispositivo de headend e depois roteado para os recursos de destino (eliminando a rede corporativa do caminho para acesso à web). O Split Tunneling fornece um uso mais eficiente de recursos de TI corporativos, libertando largura de banda para aqueles que acessam dados e aplicativos da missão crítica em locais remotos.

SPLIT DNS SUPPORTE

O SPLIT-DNS permite que o cliente Easy VPN atue como proxy DNS, direcionando consultas da Internet para o servidor DNS do ISP e direcionando solicitações corporativas de DNS para os servidores DNS corporativos.

A Tabela 3 lista os principais recursos de autenticação e benefícios da solução Cisco Easy VPN.

Tabela 3. Recursos e benefícios de autenticação

Descrição e benefício

Atua como um cliente RADIUS, executa a autenticação do usuário através do RADIUS, realizando autenticação e autorização local e apoiando informações de sessão contábil.

Suporta certificados digitais para autenticação de terminais de túnel.

Melhora o esquema de criptografia para ofuscar senhas no software Cisco iOS usando uma cifra mais forte.

O túnel é ativado no tráfego interessante (gatilho da ACL)

Os túneis seguros podem ser construídos com base no tráfego interessante definido em uma lista de controle de acesso (ACL). A capacidade de controlar, em um nível granular, que o tráfego é criptografado reduz potenciais resíduos de largura de banda.

Interceptação da web para xauth

Fornece uma interface HTTP para inserir credenciais Xauth para o cliente de hardware baseado em software Cisco iOS. Isso elimina a necessidade de usar a CLI para fazer login e permite que os usuários autentiquem o dispositivo inteiro, em vez de apenas uma única porta.

Fornece a opção de ignorar o túnel, permitindo acesso à Internet não criptografado para membros da família.

Expiração de senha usando AAA

Os usuários dos clientes da VPN podem inserir novas senhas assim que as senhas antigas expirarem.

Escalabilidade e alta disponibilidade

A Tabela 4 lista os principais recursos e benefícios de alta disponibilidade e escalabilidade da solução VPN Cisco Easy VPN.

Tabela 4. Escalabilidade e recursos e benefícios de alta disponibilidade

Descrição e benefício

Injeção de rota reversa (RRI)

Para VPNs que exigem alta disponibilidade ou balanceamento de carga, o RRI simplifica os designs de rede. O RRI cria rotas para cada rede remota ou host no dispositivo de headend para permitir a propagação dinâmica de rota.

Detecção de colegas mortos (DPD) e Keepalives

O DPD é ideal para ambientes nos quais os clientes desejam failover entre concentradores em diferentes sub -redes. O roteador consulta seus colegas IKE em intervalos regulares, permitindo a detecção anterior de colegas mortos.

Protocolo de roteador de espera quente (HSRP)

O HSRP fornece alta disponibilidade de rede, roteando o tráfego IP dos hosts em redes Ethernet sem depender da disponibilidade de qualquer roteador único. Quando usados ​​juntos, o RRI e o HSRP fornecem um design de rede mais confiável para VPNs e reduz a complexidade na configuração de pares remotos.

Failover de Ipsec Stateful

O failover com estado permite que um roteador continue processando e encaminhando pacotes IPSEC após ocorrer uma interrupção planejada ou não planejada.

Recuperação de parâmetros de segurança inválida (SPI)

O recebimento de uma mensagem SPI inválida aciona automaticamente o receptor para iniciar uma nova troca de chaves. Para os colegas IKE que não apóiam o Keepalives ou o DPD, a recuperação inválida do SPI ajuda a ressincronizar os colegas após o failover.

Vários colegas de backup

Esse recurso permite o suporte para várias configurações de pares localmente no roteador.

Reativação de pares primários

Se a conexão primária do túnel VPN for perdida, o cliente Easy VPN continuará a reatceptar uma conexão com o par principal após a ocorrência de failover. Uma vez que o par principal estivesse disponível, a conexão é restabelecida e a conexão com o backup caiu.

Túneis duplos remotos

Esse recurso permite configurar vários túneis fáceis de VPN que compartilham interfaces comuns dentro e externa para conectar dois pares a dois servidores VPN diferentes simultaneamente.

IPSEC Single Security Association

Esse recurso configura um único túnel IPsec, independentemente do número de várias sub-redes suportadas e do tamanho da lista de inclusão dividida. O uso de recursos nos roteadores VPN é reduzido, aumentando sua capacidade de escalar.

Balanceamento de carga do servidor

O software Cisco iOS escolhe um servidor com base em um algoritmo de balanceamento de carga configurado. Se um dos servidores falhar, todas as solicitações de entrada são redirecionadas dinamicamente para os servidores restantes.

Custo total reduzido de propriedade

A solução Cisco Easy VPN ajuda as empresas a reduzir seu custo total de propriedade de várias maneiras:

• Despesas de capital reduzidas: uma solução integrada baseada em software do Cisco iOS reduz os custos iniciais de compras quando comparada com a implantação de aparelhos separados. O software cliente VPN está incluído na solução, fornecendo suporte para usuários de acesso remoto sem exigir licenças de recursos adicionais.

• Custos de treinamento reduzidos: os recursos da Cisco Easy VPN podem ser configurados com a CLI da Cisco IOS padrão, permitindo que os operadores de rede configurem e solucionassem problemas de solução de maneira fácil e intuitiva sem treinamento extensivo; Não há necessidade de aprender novo hardware e software.

• Custos de operações mais baixos: grandes implantações se beneficiam de recursos centralizados de push de política que minimizam a intervenção humana durante mudanças em andamento em hardware e software remotos. Para implantações menores, a Cisco Easy VPN pode ser configurada com o aplicativo de gerenciamento de dispositivos incluído, o roteador Cisco e o gerenciador de dispositivos de segurança (SDM). Os assistentes Cisco SDM fáceis de usar permitem a configuração do roteamento, QoS, VPN e recursos de segurança (e.g., Políticas de firewall padrão aprovadas pelo Cisco TAC), bem como o monitoramento em tempo real dos toras de firewall.

• Custos mais baixos de suporte e manutenção: um único dispositivo integrado significa um único contrato de suporte, reduzindo ainda mais os custos contínuos associados a vários dispositivos. Além disso, gerenciar um único fornecedor é muito mais simples do que gerenciar vários relacionamentos.

A Tabela 5 lista o número de túneis Cisco Easy VPN suportados com base na plataforma Cisco.

Tabela 5. Número de túneis suportados por plataforma

Número máximo de túneis VPN fáceis

Cisco 800 Series Integrated Services Routers

Cisco 1800 (todos 18xx, exceto 1841), roteadores de serviços integrados

Cisco 1841 Roteadores de Serviços Integrados com Módulo de Integração Avançado 1 (AIM-VPN/SSL-1)

Cisco 1941 Roteadores de serviços integrados com módulo de criptografia a bordo

Cisco 2800 Series Integrated Services Routers com AIM-VPN/SSL-2

Cisco 2900 Series Integrated Services Routers com criptografia a bordo

Cisco 3825 Roteadores de serviços integrados com AIM-SSL-3

Cisco 3925 Roteadores de Serviços Integrados com SPE-100

Cisco 3845 Roteadores de Serviços Integrados com Aim-SSL-3

Cisco 3945 Roteadores de Serviços Integrados com SPE-150

Roteador da série Cisco ASR 1000

Roteadores da série Cisco 7200 com módulo de aceleração VPN 2+ (VAM2+)

Cisco 7201/7301 roteadores com VAM2+

Roteadores Cisco 7200VXR com adaptador de serviços VPN (VSA)

Roteadores da série Cisco 7600 com IPSec VPN Compartilhado Adaptador de Porta (SPA)

Switches da série Cisco Catalyst 6500 com IPSec VPN Spa ou VSPA

A Tabela 6 lista os requisitos do sistema para o software Cisco Easy VPN em roteadores Cisco e comutadores executando o software Cisco iOS.

Tabela 6. Requisitos de sistema

Guia do usuário para o Cisco Security Manager 4.22

A documentação conjunta para este produto se esforça para usar a linguagem sem preconceitos. Para os propósitos deste conjunto de documentação, o preconceito é definido como linguagem que não implica discriminação com base na idade, incapacidade, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Exceções podem estar presentes na documentação devido ao idioma que é codificado nas interfaces do usuário do software de produto, linguagem usada com base na documentação da RFP ou idioma usado por um produto de terceiros referenciados. Saiba mais sobre como a Cisco está usando o idioma inclusivo.

Conteúdo do livro

Conteúdo do livro

• O básico do uso do gerente de segurança
  • Introdução ao gerente de segurança
  • Preparando dispositivos para gerenciamento
  • Gerenciando o inventário do dispositivo
  • Gerenciamento de atividades
  • Gerenciando políticas
  • Gerenciando objetos de política
  • Gerenciando o FlexConfigs
  • Gerenciando a implantação
  • Solução de problemas de comunicação e implantação do dispositivo
  • Gerenciando o Security Manager Server
  • Configurando configurações administrativas do gerente de segurança
  • Introdução aos serviços de firewall
  • Gerenciando políticas de firewall com consciência de identidade
  • Gerenciando políticas de firewall
  • Gerenciando as regras do Firewall AAA
  • Gerenciando regras de acesso ao firewall
  • Gerenciando regras de inspeção de firewall
  • Gerenciando regras de filtro da web em firewall
  • Gerenciando regras de filtro de tráfego de botnet de firewall
  • Trabalhando com a Scansafe Web Security
  • Gerenciando regras de firewall baseadas em zona
  • Gerenciando zonas de tráfego
  • Gerenciando regras de firewall transaparente
  • Configurando a tradução de endereço de rede
  • Gerenciando VPNs Site a Site: The Basics
  • Configurando políticas IKE e IPSEC
  • VPNs GRE e DM
  • VPN fácil
  • VPNs de transporte criptografado em grupo (GET)
  • Gerenciando VPNs de acesso remoto: o básico
  • Gerenciando VPNs de acesso remoto na ASA e Pix 7.0+ dispositivos
  • Gerenciando políticas de acesso dinâmico para VPNs de acesso remoto (ASA 8.0+ dispositivos)
  • Gerenciando VPNs de acesso remoto no iOS e Pix 6.3 dispositivos
  • Configurando objetos de política para VPNs de acesso remoto
  • Usando a visualização do mapa
  • Introdução com a configuração do IPS
  • Gerenciando a interface do dispositivo IPS
  • Configurando sensores virtuais
  • Definindo assinaturas de IPS
  • Configurando regras de ação do evento
  • Gerenciando a detecção de anomalia IPS
  • Configurando correlação global
  • Configurando o controlador de resposta de ataque para bloqueio e taxa de limitação
  • Gerenciando sensores IPS
  • Configurando os roteadores IOS IPS
  • Gerenciando dispositivos de firewall
  • Configurando políticas de ponte em dispositivos de firewall
  • Configurando políticas de administração de dispositivos em dispositivos de firewall
  • Configurando configurações de acesso ao dispositivo em dispositivos de firewall
  • Configurando failover
  • Configurando nome do host, recursos, contas de usuário e SLAs
  • Configurando configurações de acesso ao servidor em dispositivos de firewall
  • Configurando configurações de acesso ao servidor FXOS em dispositivos da série 2100 de Firepower
  • Configurando políticas de registro em dispositivos de firewall
  • Configurando políticas multicast em dispositivos de firewall
  • Configurando políticas de roteamento em dispositivos de firewall
  • Configurando políticas de segurança em dispositivos de firewall
  • Configurando regras de política de serviço em dispositivos de firewall
  • Configurando contextos de segurança em dispositivos de firewall
  • Preferências de usuário
  • Gerenciando roteadores
  • Configurando interfaces de roteador
  • Administração do dispositivo do roteador
  • Configurando políticas de identidade
  • Configurando políticas de registro
  • Configurando a qualidade de serviço
  • Configurando políticas de roteamento
  • Gerenciando switches Cisco Catalyst e roteadores da série Cisco 7600
  • Visualizando eventos
  • Gerenciando relatórios
  • Monitoramento de saúde e desempenho
  • Usando monitoramento externo, solução de problemas e ferramentas de diagnóstico
  • Usando o Image Manager

  Encontre partidas neste livro

  Faça login para salvar o conteúdo

  idiomas disponíveis

  Baixar opções

  Título do livro

  Guia do usuário para o Cisco Security Manager 4.22

  VPN fácil

  • PDF – Livro completo (44.67 MB) PDF – Este capítulo (1.06 MB) Veja com o Adobe Reader em uma variedade de dispositivos

  Resultados

  Atualizado: 10 de novembro de 2020

  Capítulo: VPN fácil

  Conteúdo do capítulo

  • VPN fácil
  • Entendendo a VPN fácil
    • VPN fácil com backup de discagem
    • VPN fácil com alta disponibilidade
    • VPN fácil com interfaces dinâmicas de túnel virtual
    • Modos de configuração fáceis de VPN
    • Autenticação Easy VPN e Ike Extended (Xauth)
    • Visão geral da configuração da VPN fácil
    • Notas importantes sobre a configuração fácil de VPN
    • Configurando objetos de política de credenciais
    • Configurando VTI dinâmico para fácil VPN

    VPN fácil

    O Easy VPN é uma topologia VPN de cubo e raios que pode ser usada com uma variedade de roteadores, pix e dispositivos ASA. As políticas são definidas principalmente no hub e pressionadas para dispositivos VPN de raio remoto, garantindo que os clientes tenham políticas atualizadas antes de estabelecer uma conexão segura.

    Este capítulo contém os seguintes tópicos:

    Entendendo a VPN fácil

    Easy VPN simplifica a implantação da VPN para escritórios remotos. Com a VPN fácil, as políticas de segurança definidas na extremidade da cabeça são pressionadas para dispositivos VPN remotos, garantindo que os clientes tenham políticas atualizadas antes de estabelecer uma conexão segura.

    O Security Manager suporta a configuração de políticas fáceis de VPN em topologias de VPN de hub e spoke. Em tal configuração, a maioria dos parâmetros VPN é definida no servidor VPN Easy, que atua como o dispositivo Hub. As políticas IPSEC gerenciadas centralmente são empurradas para os dispositivos clientes fáceis de VPN pelo servidor, minimizando a configuração de dispositivos remotos (spoke).

    O servidor VPN Easy pode ser um roteador Cisco iOS, um firewall pix ou um dispositivo da série ASA 5500. O cliente Easy VPN é suportado nos firewalls da pix 501, 506, 506e, executando a pix 6.3, Cisco 800-3900 Series roteadores e dispositivos ASA 5505 executando o ASA Software Release 7.2 ou mais tarde.

    Começando com a versão 4.17, o Cisco Security Manager fornece um suporte fácil de VPN com BVI. Normalmente, a VPN fácil determina as interfaces mais altas e mais baixas no nível de segurança durante a Startup ASA. A interface mais baixa no nível de segurança é usada como a interface externa na qual o cliente VPN inicia o túnel para o cabeçote, e a interface mais alta no nível de segurança é usada como interface interna protegida.

    Na plataforma ASA5506, a configuração padrão inclui BVI com a interface 100 de maior nível de segurança com o nível de segurança de suas interfaces de membro também definido no nível 100, juntamente com uma interface externa com o nível de segurança 0 (zero). O cliente VPN rejeita duas ou mais interfaces com o mesmo nível de segurança mais alto. A VPN fácil determina que existem mais de duas interfaces com o mesmo nível de segurança mais alto e, portanto, o cliente VPN não está ativado.

    Para superar esse problema, a interface segura VPNCLIENT foi introduzida para todos os dispositivos ASA 5506, 5508 e 5512 [x/h/w] da ASA 9.9 (2) em diante. Assim, para apoiar a CLI no gerente de segurança da Cisco, a partir da versão 4.17, um novo componente &ldquo;Interface do cliente VPN&rdquo; é introduzido no Hub & Spoke Topology of Type (Easy VPN).

    Observação

    Algumas das políticas usadas em topologias fáceis de VPN são semelhantes às usadas em VPNs de acesso remoto. Em VPNs de acesso remoto, as políticas são configuradas entre servidores e PCs remotos móveis executando o software cliente VPN, enquanto que, em topologias de VPN fáceis de site a local, os clientes são dispositivos de hardware.

    Esta seção contém os seguintes tópicos:

    • VPN fácil com backup de discagem
    • VPN fácil com alta disponibilidade
    • VPN fácil com interfaces dinâmicas de túnel virtual
    • Modos de configuração fáceis de VPN
    • Autenticação Easy VPN e Ike Extended (Xauth)
    • Visão geral da configuração da VPN fácil
    • Notas importantes sobre a configuração fácil de VPN

    VPN fácil com backup de discagem

    Disque o backup para fácil VPN permite configurar uma conexão de túnel de backup de discagem no seu dispositivo cliente remoto. O recurso de backup é ativado apenas quando o tráfego real está pronto para ser enviado, eliminando a necessidade de links de dialup ou ISDN caros que devem ser criados e mantidos mesmo quando não há tráfego.

    Observação

    O backup fácil do Dial VPN pode ser configurado apenas em clientes remotos que são roteadores executando o iOS versão 12.3 (14) t ou mais tarde.

    Em uma configuração fácil de VPN, quando um dispositivo remoto tenta se conectar ao servidor e o IP rastreado não está mais acessível, a conexão primária é destruída e uma nova conexão é estabelecida sobre o túnel de backup VPN fácil para o servidor. Se o hub principal não puder ser alcançado, as troca de configuração primária para o hub de failover com a mesma configuração primária e não para a configuração de backup.

    Apenas uma configuração de backup é suportada para cada configuração de VPN fácil primária. Cada interface interna deve especificar a configuração Primária e Backup Easy VPN. O rastreamento de rota estática do IP deve ser configurado para o backup do discagem para funcionar em um dispositivo remoto fácil de VPN. A configuração de rastreamento de objetos é independente da configuração fácil de backup de discagem remota VPN. Os detalhes de rastreamento de objetos são especificados no spoke&rsquo;s Caixa de diálogo Editar pontos de extremidade.

    Para obter mais informações sobre o backup de discagem, consulte Configurando o Dial Backup.

    VPN fácil com alta disponibilidade

    Você pode configurar alta disponibilidade (HA) em dispositivos em uma topologia fácil de VPN. A alta disponibilidade fornece backup automático de dispositivo quando configurado em roteadores Cisco iOS ou Catalyst 6500/7600, que executam IP sobre LANs. Você pode criar um grupo HA composto de dois ou mais dispositivos hub em sua VPN fácil que usam o protocolo de roteamento de espera quente (HSRP) para fornecer failover transparente e automático de dispositivo. Para mais informações, consulte Configurando alta disponibilidade em sua topologia VPN.

    VPN fácil com interfaces dinâmicas de túnel virtual

    O recurso IPSec Virtual Tunnel Interface (VTI) simplifica a configuração dos túneis GRE que precisam ser protegidos pelo iPsec para links de acesso remoto. Um VTI é uma interface que suporta o Tunelamento IPSec e permite que você aplique comandos de interface diretamente aos túneis IPSEC. A configuração de uma interface de túnel virtual reduz a sobrecarga, pois não requer um mapeamento estático de sessões IPSEC para uma interface física específica em que o mapa criptográfico é aplicado.

    O IPSEC VTIS suporta o tráfego criptografado unicast e multicast em qualquer interface física, como no caso de vários caminhos. O tráfego é criptografado ou descriptografado quando é encaminhado de ou para a interface do túnel e é gerenciado pela tabela de roteamento IP. O roteamento IP dinâmico ou estático pode ser usado para rotear o tráfego para a interface virtual. Usando o roteamento IP para encaminhar o tráfego para a interface do túnel simplifica a configuração IPSec VPN em comparação com o processo mais complexo de usar listas de controle de acesso (ACLs) com um mapa de criptografia. A função dinâmica do VTIS como qualquer outra interface real para que você possa aplicar a qualidade de serviço (QoS), o firewall e outros serviços de segurança assim que o túnel estiver ativo.

    Os VTIs dinâmicos usam uma infraestrutura de modelo virtual para instanciação dinâmica e gerenciamento de interfaces IPSEC. Em uma topologia fácil de VPN, o gerente de segurança cria implicitamente a interface de modelo virtual para o dispositivo. Se o dispositivo for um hub, o usuário deverá fornecer o endereço IP no hub que será usado como interface do modelo virtual – isso pode ser uma sub -rede (pool de endereços) ou um loopback existente ou interface física. Em um raio, a interface do modelo virtual é criada sem um endereço IP.

    No Security Manager, você configura o VTI dinâmico na página de proposta Easy VPN IPSEC. Consulte Configurando VTI dinâmico para fácil VPN.

    Notas

    • O VTI dinâmico pode ser configurado apenas em uma topologia VPN fácil de hub e spoke em roteadores executando o iOS versão 12.4 (2) t e posterior, exceto 7600 dispositivos. Não é suportado em firewalls de pix, dispositivos ASA ou switches da série Catalyst 6000.
    • Nem todos os hubs/raios requerem configuração dinâmica de VTI durante a descoberta ou disposição. Você pode estender a topologia Easy VPN existente (incluindo roteadores que não suportam DVTI) para adicionar roteadores que suportam DVTI.
    • O VTI dinâmico é suportado apenas em servidores, apenas clientes (se o servidor não suportar DVTI) ou clientes e servidores.
    • Você não pode configurar alta disponibilidade em hubs/servidores que foram configurados com DVTI.
    • Você também pode configurar VTI dinâmico em VPNs de acesso remoto. Para obter mais informações, consulte Configurando o VTI/VRF dinâmico IPSEC em VPNs de acesso remoto (dispositivos iOS).

    Modos de configuração fáceis de VPN

    A VPN fácil pode ser configurada em três modos – client, extensão de rede e extensão de rede Plus.

    • Modo do cliente – a configuração padrão que permite que os dispositivos no site do cliente acessem os recursos no site central, mas desviam o acesso ao site central para obter recursos no site do cliente. No modo cliente, um único endereço IP é empurrado para o cliente remoto do servidor quando a conexão VPN é estabelecida. Este endereço geralmente é um endereço rotável no espaço de endereço privado da rede de clientes. Todo o tráfego que passa pelo túnel VPN fácil passa por tradução de endereço da porta (PAT) para esse único endereço IP empurrado.
    • Modo de extensão de rede – permite que os usuários do site central acessem os recursos de rede no site do cliente e permite que os PCs e hospedeiros do cliente sejam acesso direto aos PCs e hosts no site central. Modo de extensão de rede especifica que os hosts no final do cliente do túnel VPN devem receber endereços IP que são totalmente rotáveis ​​e acessíveis pela rede de destino. Os dispositivos nas duas extremidades da conexão formarão uma rede lógica. PAT não é usado, portanto, os hosts na extremidade do cliente têm acesso direto aos hosts na rede de destino. Em outras palavras, o servidor VPN Easy (o hub) fornece endereços rotáveis ​​para o cliente Easy VPN (o Spoke), enquanto toda a LAN atrás do cliente não passará por Pat.
    • Modo de extensão de rede Plus – um aprimoramento para o modo de extensão de rede, que pode ser configurado apenas em roteadores iOS. Ele permite que um endereço IP recebido via configuração do modo seja atribuído automaticamente a uma interface de loopback disponível. Este endereço IP pode ser usado para se conectar ao seu roteador para gerenciamento remoto e solução de problemas (ping, telnet e shell seguro). Se você selecionar esta opção e alguns clienx’ts não são roteadores iOS, esses clientes estão configurados no modo de extensão de rede.

    Você configura o modo na política de características de conexão do cliente, conforme descrito na configuração de características de conexão do cliente para fácil VPN.

    Tópicos relacionados

    • Notas importantes sobre a configuração fácil de VPN
    • Entendendo a VPN fácil

    Autenticação Easy VPN e Ike Extended (Xauth)

    Ao negociar parâmetros de túnel para estabelecer túneis IPSEC em uma configuração fácil de VPN, a IKE Extended Authentication (Xauth) adiciona outro nível de autenticação que identifica o usuário que solicita a conexão IPsec. Se o servidor VPN estiver configurado para Xauth, o cliente aguarda um desafio de nome de usuário/senha depois que a Ike Security Association (SA) foi estabelecida. Quando o usuário final responde ao desafio, a resposta é encaminhada aos pares do IPSEC para um nível adicional de autenticação.

    As informações inseridas são verificadas contra entidades de autenticação usando protocolos de autenticação, autorização e contabilidade (AAA), como RADIUS e TACACS+. Cartões de token também podem ser usados ​​via proxy AAA. Durante o Xauth, um atributo específico do usuário pode ser recuperado se as credenciais desse usuário forem validadas por raio.

    Observação

    Servidores VPN configurados para lidar com clientes remotos devem sempre ser configurados para aplicar a autenticação do usuário.

    O Security Manager permite que você salve o nome de usuário e a senha do Xauth no próprio dispositivo, para que você não precise inserir essas credenciais manualmente sempre que o túnel VPN fácil for estabelecido. As informações são salvas no dispositivo&rsquo;arquivo de configuração S e usado cada vez que o túnel é estabelecido. Salvando as credenciais no dispositivo&rsquo;O arquivo de configuração S é normalmente usado se o dispositivo for compartilhado entre vários PCs e você quiser manter o túnel VPN até.

    Salvando as credenciais no dispositivo&rsquo;O arquivo de configuração S, no entanto, pode criar um risco de segurança, porque qualquer pessoa que tenha acesso à configuração do dispositivo pode obter essas informações. Um método alternativo para a autenticação Xauth é inserir manualmente o nome de usuário e a senha sempre que o Xauth for solicitado. Você pode selecionar se deve usar uma janela do navegador da web ou o console do roteador para inserir as credenciais. Usando a interação baseada na Web, uma página de login é retornada, na qual você pode inserir as credenciais para autenticar o túnel VPN. Depois que o túnel da VPN aparece, todos os usuários por trás deste site remoto podem acessar a LAN corporativa sem ser solicitado novamente para o nome de usuário e a senha. Como alternativa, você pode optar por ignorar o túnel VPN e conectar -se apenas à Internet; nesse caso, uma senha não é necessária.

    Easy VPN Tunnel Attivation

    Se as credenciais do dispositivo (nome de usuário e senha Xauth) forem armazenadas no próprio dispositivo, você deverá selecionar um método de ativação do túnel para clientes do roteador iOS. Duas opções estão disponíveis:

    • AUTO – O Túnel VPN fácil é estabelecido automaticamente quando a configuração fácil da VPN é entregue ao arquivo de configuração do dispositivo. Se o túnel se destacar ou falhar, o túnel se reconectará automaticamente e experimenta indefinidamente. Esta é a opção padrão.
    • Ativação acionada pelo tráfego – o túnel VPN fácil é estabelecido sempre que o tráfego local (lado LAN) é detectado. A ativação acionada por tráfego é recomendada para uso com a configuração fácil de backup de discagem VPN, para que o backup seja ativado apenas quando houver tráfego para enviar através do túnel. Ao usar esta opção, você deve especificar a lista de controle de acesso (ACL) que define o &ldquo;interessante&rdquo; tráfego.

    Você configura o modo de ativação do XAuth e Tunnel na política de características de conexão do cliente, conforme descrito na configuração de características de conexão do cliente para fácil VPN.

    Tópicos relacionados

    • Notas importantes sobre a configuração fácil de VPN
    • Entendendo a VPN fácil
    • Configurando objetos de política de credenciais

    Visão geral da configuração da VPN fácil

    Quando um cliente remoto inicia uma conexão com um servidor VPN, a autenticação do dispositivo entre os pares ocorre usando o IKE, seguido de autenticação do usuário usando a autenticação ike estendida (XAuth), a Push Push (na extensão do cliente, a extensão da rede ou a extensão da rede mais) e a criação da IPSec Security (SA) Creation (SA).

    A seguir, fornece uma visão geral deste processo:

    1. O cliente inicia a fase 1 IKE via modo agressivo se uma chave pré -compartilhada for usada para autenticação ou modo principal se os certificados digitais forem usados. Se o cliente se identificar com uma chave pré -compartilhada, o nome do grupo de usuários que acompanha (definido durante a configuração) será usado para identificar o perfil do grupo associado a este cliente. Se os certificados digitais forem usados, o campo da Unidade Organizacional (OU) de um nome distinto (DN) é usado para identificar o nome do grupo de usuários. Consulte a caixa de diálogo PKI Instrução – guia Certificada Nome do Assunto.
    1. O cliente tenta estabelecer um IKE SA entre seu endereço IP público e o endereço IP público do servidor VPN. Para reduzir a quantidade de configuração manual no cliente, todas as combinações de criptografia e algoritmos de hash, além de métodos de autenticação e tamanhos de grupo D-H, são propostos.
    2. Dependendo da sua configuração de política IKE, o servidor VPN determina qual proposta é aceitável para continuar negociando a Fase 1.
    1. Depois que o IKE SA é estabelecido com sucesso e se o servidor VPN estiver configurado para Xauth, o cliente espera por um &ldquo;usuário senha&rdquo; desafiar e depois responder ao desafio do par. As informações inseridas são verificadas contra entidades de autenticação usando protocolos de autenticação, autorização e contabilidade (AAA), como RADIUS e TACACS+. Cartões de token também podem ser usados ​​via proxy AAA. Durante o Xauth, um atributo específico do usuário pode ser recuperado se as credenciais desse usuário forem validadas por raio.
    1. Se o servidor indicar que a autenticação foi bem -sucedida, o cliente solicita outros parâmetros de configuração do par. Os demais parâmetros do sistema (por exemplo, endereço IP, DNS e atributos de túnel dividido) são empurrados para o cliente usando o cliente ou a configuração do modo de extensão de rede.
    1. Depois que cada cliente recebe um endereço IP interno via configuração do modo, a injeção de rota reversa (RRI), se configurada, garante que uma rota estática seja criada no dispositivo para cada endereço IP interno do cliente.
    2. O modo Ike Quick é iniciado para negociar e criar ipsec sas.

    A conexão está completa.

    Notas importantes sobre a configuração fácil de VPN

    Antes de configurar uma política fácil de VPN em sua topologia, você deve saber o seguinte:

    • Em uma configuração fácil de topologia VPN, a implantação falha se um roteador da série 72xx for usado como um dispositivo cliente remoto. O cliente Easy VPN é suportado nos firewalls da pix 501, 506, 506e, executando a pix 6.3, Cisco 800-3900 Series roteadores e dispositivos ASA 5505 executando o ASA Software Release 7.2 ou mais tarde.
    • Se você tentar configurar uma política de infraestrutura de chave pública (PKI) em um pix 6.3 Cliente remoto em uma configuração de topologia VPN fácil, a implantação falha. Para uma implantação bem -sucedida neste dispositivo, você deve primeiro emitir o certificado PKI no servidor da CA e depois tentar implantar o dispositivo. Para obter mais informações sobre políticas de PKI, consulte a compreensão das políticas de infraestrutura de chave pública.
    • Em alguns casos, a implantação falha em um dispositivo que serve como um cliente VPN fácil se o mapa cripto. Em algumas plataformas, as interfaces internas e externas são consertadas. Por exemplo, em um roteador da série Cisco 1700, a interface VPN deve ser o dispositivo&rsquo;S FASTETHERNET0 Interface. Em um roteador da série Cisco 800, a interface VPN pode ser o dispositivo&rsquo;s Ethernet0 ou Dialer1 Interface, dependendo da configuração. Em um roteador de acesso a cabo Cisco UBR905/UBR925, a interface VPN deve ser a interface Ethernet0.

    Configurando características de conexão do cliente para fácil VPN

    Use a página Características de conexão do cliente para especificar como o tráfego será roteado na topologia Easy VPN e como o túnel VPN será estabelecido. As características definidas nesta política são configuradas nos clientes remotos. Antes de configurar esta política, leia os seguintes tópicos:

    • Modos de configuração fáceis de VPN
    • Autenticação Easy VPN e Ike Extended (Xauth)

    Caminho de navegação

    • (Janela do gerenciador de VPN do site a site) Selecione uma topologia VPN fácil no seletor de VPNS e selecione Características de conexão do cliente no seletor de políticas.
    • (Visualização da política) Selecione VPN Site a Site> Características de conexão do cliente e crie uma nova política ou edite uma política existente.

    Tópicos relacionados

    • Entendendo a VPN fácil
    • Criando objetos da lista de controle de acesso
    • Notas importantes sobre a configuração fácil de VPN

    Referência de campo

    O modo de configuração para os dispositivos remotos:

    • Cliente – especifica que todo o tráfego do cliente remoto&rsquo;S Interior rede passará por tradução de endereço da porta (PAT) para um único endereço IP que foi atribuído ao dispositivo pelo servidor principal no tempo de conexão.
    • Extensão de rede – especifica que os PCs e outros hosts no final do cliente do túnel VPN devem receber endereços IP que são totalmente rotáveis ​​e acessíveis pela rede de destino. PAT não é usado, permitindo que os PCs e hosts do cliente tenham acesso direto aos PCs e hosts na rede de destino.
    • Extensão de rede Plus – um aprimoramento do modo de extensão de rede, que permite um endereço IP recebido por configuração do modo a ser atribuído automaticamente a uma interface de loopback disponível. O IPSEC SAS para este endereço IP é criado automaticamente pelo cliente VPN Easy. O endereço IP é normalmente usado para solução de problemas (usando ping, telnet e shell seguro).

    Se você selecionar a Rede Extension Plus, este modo será configurado apenas em roteadores iOS. Clientes que são dispositivos PIX ou ASA estão configurados no modo de extensão de rede.

    Credenciais Xauth Fonte

    Selecione como você deseja inserir as credenciais XAUTH para autenticação do usuário ao estabelecer uma conexão VPN com o servidor:

    • Credenciais armazenadas para dispositivos (padrão) – o nome de usuário e a senha são salvos no próprio dispositivo no dispositivo&rsquo;arquivo de configuração s a ser usado cada vez que o túnel é estabelecido.
    • Interactive Instrido credenciais – o que você entra no nome de usuário e a senha sempre que o Xauth é solicitado, em uma janela do navegador da web ou no console do roteador.

    Disponível apenas se você selecionou credenciais armazenadas como a fonte de credenciais Xauth.

    O objeto de política de credenciais que define as credenciais padrão do XAuth. Digite o nome do objeto ou clique em Selecionar para selecioná -lo em uma lista ou criar um novo objeto. Para obter mais informações, consulte Configurando objetos de política de credenciais.

    Ativação do túnel (iOS)

    Disponível apenas se você selecionou a opção Credenciais armazenadas para a fonte de senha do Xauth.

    Para clientes do roteador iOS, selecione um método de ativação do túnel:

    • Auto (padrão) – O túnel VPN fácil é estabelecido automaticamente quando a configuração fácil da VPN é entregue ao arquivo de configuração do dispositivo. Se o túnel se destacar ou falhar, o túnel se reconectará automaticamente e experimenta indefinidamente.
    • Ativação acionada pelo tráfego – o túnel VPN fácil é estabelecido sempre que o tráfego local (lado LAN) é detectado. Se você selecionar ativação acionada por tráfego, insira também o nome do objeto de política da lista de controle de acesso (ACL) que define o tráfego que deve ativar o túnel. Clique em Selecionar para selecionar o objeto ou criar um novo objeto.

    A ativação acionada por tráfego é recomendada para uso quando o backup fácil de discagem VPN é configurado para que o backup seja ativado apenas quando houver tráfego para enviar através do túnel.

    Método de autenticação do usuário (iOS)

    Disponível apenas se você selecionou a opção Interactive Instrida Credenciais para a fonte de credenciais Xauth. A opção se aplica apenas a roteadores iOS remotos.

    Selecione uma dessas maneiras de inserir o nome de usuário e senha do Xauth, interativamente sempre que a autenticação Xauth for solicitada:

    • Navegador da web (padrão) – manualmente em uma janela do navegador da web.
    • Console do roteador – muitas do roteador&rsquo;s linha de comando.

    Configurando objetos de política de credenciais

    Use a caixa de diálogo Credenciais para criar, copiar e editar objetos de credenciais.

    Objetos de credenciais são usados ​​na configuração fácil da VPN durante a autenticação estendida da IKE (XAUTH) ao autenticar o acesso ao usuário aos serviços de rede e rede. Ao negociar parâmetros de túnel para estabelecer túneis IPSEC em uma configuração fácil de VPN, Xauth identifica o usuário que solicita a conexão IPSEC. Se o servidor VPN estiver configurado para Xauth, o cliente espera por um &ldquo;usuário senha&rdquo; Desafio depois que o IKE SA foi estabelecido. Quando o usuário final responde ao desafio, a resposta é encaminhada aos pares do IPSEC para um nível adicional de autenticação. Você pode salvar as credenciais Xauth (nome de usuário e senha) no próprio dispositivo, para que você não precise inseri -las manualmente sempre que o túnel VPN fácil é estabelecido.

    Caminho de navegação

    Selecione Gerenciar> Objetos de Política e selecione Credenciais do seletor de tipo de objeto. Clique com o botão direito do mouse dentro da área de trabalho e selecione um novo objeto ou clique com o botão direito do mouse em uma linha e selecione Editar objeto .

    Tópicos relacionados

    • Autenticação Easy VPN e Ike Extended (Xauth)
    • Configurando características de conexão do cliente para fácil VPN
    • Policy Object Manager

    Referência de campo

    O nome do objeto, que pode ter até 128 caracteres. Os nomes de objetos não são sensíveis ao minúsculo. Para obter mais informações, consulte a criação de objetos de política.

    Uma descrição opcional do objeto (até 1024 caracteres).

    O nome que será usado para identificar o usuário durante a autenticação Xauth.

    A senha do usuário, inserida nos dois campos. A senha deve ser alfanumérica e um máximo de 128 caracteres. Espaços não são permitidos.

    A categoria atribuída ao objeto. As categorias ajudam você a organizar e identificar regras e objetos. Consulte Usando objetos de categoria.

    Permitir a substituição do valor por dispositivo

    Se deve permitir que a definição do objeto seja alterada no nível do dispositivo. Para obter mais informações, consulte Permitir que um objeto de política seja substituído e compreenda o objeto de política substituição para dispositivos individuais.

    Se você permitir que as substituições do dispositivo, clique no botão Editar para criar, editar e visualizar as substituições. O campo substituto indica o número de dispositivos que têm substituídos para este objeto.

    Configurando uma proposta IPSEC para VPN fácil

    Use a página de proposta Easy VPN IPSEC para configurar a proposta IPSEC usada durante as negociações da Fase 2 IKE para Easy VPN Topologies. A proposta IPSEC está configurada na guia Proposta IPSEC; As opções são descritas abaixo.

    Em topologias fáceis de VPN, você também pode configurar uma interface virtual dinâmica na guia Dynamic VTI. Para uma explicação da configuração do DVTI, SeeConfiguring Dynamic VTI for Easy VPN .

    Observação

    Este tópico descreve a página de proposta IPSEC quando a tecnologia VPN do site para o local é fácil VPN. Para uma descrição da página da proposta IPSEC quando a tecnologia VPN do site para o local é outra coisa, consulte Configurando as propostas IPSEC em VPNs Site a Site .

    Caminho de navegação

    • (Janela de gerente VPN do site a site) Selecione uma topologia VPN fácil no seletor de VPNS e selecione Fácil VPN IPSEC Proposta no seletor de políticas. Clique na guia Proposta IPSEC.
    • (Visualização da política) Selecione VPN Site a Site> Proposta Easy VPN IPSEC no seletor de tipos de políticas. Selecione uma política compartilhada existente ou crie uma nova. Clique na guia Proposta IPSEC.

    Tópicos relacionados

    • Entendendo a VPN fácil
    • Configurando uma proposta IPSEC para VPN fácil
    • Compreendendo os objetos do Grupo de Servidor e Servidor AAA
    • Entendendo as propostas do IPSEC

    Referência de campo

    Conjuntos de transformação IKEV1

    Os conjuntos de transformados a serem usados ​​para sua política de túnel. Conjuntos de transformação especificam quais algoritmos de autenticação e criptografia serão usados ​​para proteger o tráfego no túnel. Você pode selecionar até 11 conjuntos de transformação. Para mais informações, consulte Compreendendo os conjuntos de transformar.

    Conjuntos de transformação podem usar apenas operação IPsec do modo de túnel.

    Se mais de um dos seus conjuntos de transformação selecionados for suportado por ambos os pares, o conjunto de transformados que fornece a maior segurança será usado.

    Clique em Selecionar para selecionar os objetos de política do IPSEC Transform Definir na topologia. Se o objeto necessário ainda não estiver definido, você poderá clicar no botão Criar (+) abaixo da lista de objetos disponíveis na caixa de diálogo de seleção para criar um novo. Para obter mais informações, consulte Configurando os objetos de política IPSEC IKEV1 ou IKEV2 Set Set.

    Suportado em dispositivos da série ASA 5500, Pix 7.0+ dispositivos e roteadores Cisco iOS, exceto 7600 dispositivos.

    A injeção de rota reversa (RRI) permite que as rotas estáticas sejam inseridas automaticamente no processo de roteamento para essas redes e hosts protegidos por um terminal de túnel remoto. Para mais informações, consulte a compreensão da injeção de rota reversa.

    Selecione uma das seguintes opções para configurar o RRI no mapa criptográfico:

    • Nenhum – Indiváveis ​​a configuração do RRI no mapa criptográfico.
    • Padrão – (Asa, Pix 7.0+, dispositivos iOS) cria rotas com base nas informações de destino definidas na Lista de Controle de Acesso ao Mapa Crypto (ACL). Esta é a opção padrão.
    • PEER remoto – (apenas dispositivos iOS) cria duas rotas, uma para o terminal remoto e outro para recursão de rota ao ponto final remoto através da interface à qual o mapa criptográfico é aplicado.
    • Remote Peer IP – apenas os dispositivos iOS) especifica um endereço como o próximo salto explícito para o dispositivo VPN remoto. Digite o endereço IP ou um objeto de rede/host que especifica o endereço ou clique em Selecionar para selecionar o objeto de rede/host em uma lista ou para criar um novo objeto.

    Ativar Traversal de Tradução de Endereço de Rede

    Suportado no Pix 7.0+ e ASA 5500 Dispositivos da série.

    Se deve permitir travessia de tradução para endereço de rede (NAT).

    Use Nat Traversal quando houver um dispositivo entre um hub conectado à VPN e o Spoke, e que executa a tradução de endereço de rede (NAT) no tráfego IPSEC. Para obter informações sobre Nat Traversal, consulte Compreendendo o NAT em VPNs.

    Método de Autorização de Política de Política de Grupo/AAA

    Apoiado apenas nos roteadores Cisco iOS.

    A lista de métodos de autorização AAA que será usada para definir a ordem em que as políticas de grupo são pesquisadas. As políticas de grupo podem ser configuradas no servidor local ou em um servidor AAA externo. Usuários remotos são agrupados, de modo que, quando o cliente remoto estabelece uma conexão bem -sucedida com o servidor VPN, as políticas de grupo para esse grupo de usuários em particular são empurradas para todos os clientes pertencentes ao grupo de usuários.

    Clique em Selecionar para abrir uma caixa de diálogo que lista todos os servidores de grupo AAA disponíveis e nos quais você pode criar objetos de servidor de grupo AAA. Selecione tudo o que se aplica e use os botões de seta para cima e para baixo para colocá -los em ordem prioritária.

    Método de autenticação do usuário (XAuth)/AAA

    Suportado no Cisco IOS Roteters e Pix 6.Somente 3 firewalls.

    O método de autenticação de usuário AAA ou XAuth usado para definir a ordem em que as contas de usuário são pesquisadas.

    Xauth permite que todos os métodos de autenticação AAA executem autenticação de usuário em uma fase separada após a troca da fase 1 de autenticação IKE. O nome da lista de configuração AAA deve corresponder ao nome da lista de configuração do Xauth para que a autenticação do usuário ocorra.

    Depois que o IKE SA é estabelecido com sucesso e se o dispositivo estiver configurado para Xauth, o cliente aguarda um desafio de nome de usuário/senha e depois responder ao desafio do par. As informações inseridas são verificadas contra entidades de autenticação usando protocolos de autenticação, autorização e contabilidade (AAA), como RADIUS e TACACS+.

    Clique em Selecionar para abrir uma caixa de diálogo que lista todos os servidores de grupo AAA disponíveis e nos quais você pode criar objetos de servidor de grupo AAA. Selecione tudo o que se aplica e use os botões de seta para cima e para baixo para colocá -los em ordem prioritária.

    Configurando VTI dinâmico para fácil VPN

    Use a guia Dynamic VTI da Política de proposta Easy VPN IPSEC para configurar uma interface de túnel virtual dinâmico em um dispositivo em uma topologia VPN fácil de cubo e raios. Para mais informações, consulte VPN fácil com interfaces dinâmicas de túnel virtual.

    Observação

    O VTI dinâmico pode ser configurado apenas em roteadores iOS executando o iOS versão 12.4 (2) t e posterior, exceto 7600 dispositivos.

    Caminho de navegação

    • (Janela de gerente VPN do site a site) Selecione uma topologia VPN fácil no seletor de VPNS e selecione Fácil VPN IPSEC Proposta no seletor de políticas. Clique na guia Dynamic VTI.
    • (Visualização da política) Selecione VPN Site a Site> Proposta Easy VPN IPSEC no seletor de tipos de políticas. Selecione uma política compartilhada existente ou crie uma nova. Clique na guia Dynamic VTI.

    Tópicos relacionados

    • Entendendo a VPN fácil
    • Configurando uma proposta IPSEC para VPN fácil

    Referência de campo

    Ativar VTI dinâmico

    Quando selecionado, permite que o Security Manager crie implicitamente uma interface de modelo virtual dinâmico no dispositivo.

    Se o dispositivo for um servidor hub que não suporta VTI dinâmico, uma mensagem de aviso é exibida e um mapa criptográfico será implantado sem VTI dinâmico. No caso de um dispositivo cliente, uma mensagem de erro é exibida.

    Modelo virtual IP

    Se você estiver configurando o VTI dinâmico em um hub na topologia, especifique o endereço da sub -rede ou a função da interface:

    • Subnet – Para usar o endereço IP retirado de um pool de endereços. Digite o endereço IP privado, incluindo a máscara de sub -rede, por exemplo 10.1.1.0/24.
    • Função da interface – para usar uma interface física ou de loopback no dispositivo. Se necessário, clique em Selecionar para abrir o seletor de interface, onde você pode selecionar o objeto de função de interface que identifica a interface desejada. Se um objeto apropriado ainda não existir, você pode criar um na caixa de diálogo de seleção.

    Se você estiver configurando VTI dinâmico em um falado na topologia, selecione nenhum .

    Configurando uma política de perfil de conexão para fácil VPN

    Um perfil de conexão consiste em um conjunto de registros que contêm políticas de conexão de túnel IPSEC. Perfis de conexão, ou grupos de túneis, identifique a política do grupo para uma conexão específica e inclua atributos orientados ao usuário. Se você não atribuir uma política de grupo específica a um usuário, a política de grupo padrão para a conexão se aplica. Para uma conexão bem -sucedida, o nome de usuário do cliente remoto deve existir no banco de dados, caso contrário, a conexão é negado.

    Em VPNs do site para site, você configura políticas de perfil de conexão em um servidor VPN fácil, que pode ser um firewall de pix versão 7.0+ ou um dispositivo da série ASA 5500. A política fácil de perfil de conexão VPN é semelhante à usada para VPNs de acesso remoto.Você pode desconectar a política de perfil de conexão se nenhum dos servidores VPN fácil for ASA ou PIX 7.0+ dispositivos.

    Criar uma política de perfil de conexão envolve especificar:

    • A política do grupo-uma coleção de atributos orientados ao usuário armazenados internamente no dispositivo ou externamente no servidor RADIUS/LDAP.
    • Configurações globais de AAA – servidores de autenticação, autorização e contabilidade.
    • Os servidores DHCP a serem usados ​​para a atribuição de endereços do cliente e os pools de endereços dos quais os endereços IP serão atribuídos.
    • Configurações para troca de chaves da Internet (IKE) e IPSEC (como chave pré -compartilhada).

    No pix7.0+/ASA PERFILES DE CONEXTIMENTOS, você pode conectar perfis de conexão em seu servidor VPN fácil.

    Tópicos relacionados

    • Criando ou editando topologias de VPN
    • Entendendo as tecnologias e políticas IPSEC
    • Entendendo a VPN fácil

    Procedimento

    Faça um dos seguintes:

    • (Janela do gerenciador de VPN no local a site) Selecione uma topologia VPN fácil no seletor de VPNS e selecione perfis de conexão (Pix 7.0/ASA) no seletor de políticas.
    • (Visualização da política) Selecione VPN Site a Site> Perfis de conexão (Pix 7.0/ASA) do seletor de tipos de política. Selecione uma política compartilhada existente ou crie uma nova.

    Para obter informações sobre a política, consulte a página de perfis de conexão.

    Na guia Geral, especifique o nome do perfil de conexão e as políticas de grupo e selecione qual método (ou métodos) de atribuição de endereço para usar. Para uma descrição das propriedades disponíveis, consulte a guia Geral (perfis de conexão).

    Clique na guia AAA e especifique os parâmetros de autenticação AAA para um perfil de conexão. Para uma descrição dos elementos na guia, consulte a guia AAA (perfis de conexão).

    Clique na guia IPsec e especifique os parâmetros IPSEC e IKE para o perfil de conexão. Para uma descrição dos elementos na guia, consulte a guia Ipsec (perfis de conexão).

    Configurando uma política de grupo de usuários para fácil VPN

    Use a página de política do grupo de usuários para criar ou editar uma política de grupo de usuários no seu servidor VPN fácil. Quando você configura um servidor VPN fácil, você cria um grupo de usuários para o qual os clientes remotos pertencem. Uma política fácil do grupo de usuários da VPN pode ser configurada em um roteador de segurança do Cisco iOS, Pix 6.3 Firewall, ou Catalyst 6500 /7600 Dispositivo. Você pode desconectar a política do grupo de usuários se nenhum dos servidores VPN fácil são roteadores iOS, dispositivos Catalyst 6500/7600 ou Pix 6.3 firewalls.

    Os clientes remotos devem ter o mesmo nome do grupo que o grupo de usuários configurado no servidor para se conectar ao dispositivo, caso contrário, nenhuma conexão será estabelecida. Quando o cliente remoto estabelece uma conexão bem -sucedida com o servidor VPN, as políticas de grupo para esse grupo de usuários em particular são empurradas para todos os clientes pertencentes ao grupo de usuários.

    Selecione o objeto de política do grupo de usuários que você deseja usar na política da lista de grupos de usuários disponíveis. Você pode criar um novo objeto de grupo de usuários clicando no botão Criar (+) ou editar um grupo existente selecionando -o e clicando no botão Editar (ícone de lápis). Para obter informações sobre como configurar o objeto do grupo de usuários, consulte a caixa de diálogo Adicionar ou editar grupo de usuários.

    Caminho de navegação

    • (Janela do gerenciador de VPN do site a site) Selecione uma topologia VPN fácil no seletor de VPNS e selecione Política do grupo de usuários no seletor de políticas.
    • (Visualização da política) Selecione VPN Site a Site> Política do Grupo de Usuário do Seletor de Tipos de Política. Selecione uma política compartilhada existente ou crie uma nova.

    Tópicos relacionados

    Requisitos fáceis do servidor VPN

    Para implementar recursos remotos de VPN fáceis, várias diretrizes de pré -requisito devem ser atendidas. O recurso remoto da Cisco Easy VPN exige que o ponto de destino seja um servidor Cisco Easy VPN ou concentrador de VPN que suporta o recurso Cisco Easy VPN Server. Essencialmente, os conjuntos de recursos de hardware e software devem ser aqueles capazes de desempenhar as funções e funções da solução Easy VPN. Para esse fim, é necessária uma versão mínima do Cisco iOS da seguinte maneira:

    ■ Cisco 831, 836, 837, 851, 857, 871, 876, 877 e 878 Roteadores da série – Cisco IOS Software Lançamento 12.2 (8) t ou posterior (observe que os roteadores da série 800 não são suportados no Cisco IOS 12.3 (7) XR, mas são suportados em 12.3 (7) XR2

    ■ Routers da série Cisco 1700 – Cisco IOS Software Release 12.2 (8) t ou mais tarde

    ■ Routers da série Cisco 2600 – Cisco IOS Software Release 12.2 (8) t ou mais tarde

    ■ Routers da série Cisco 3600 – Cisco IOS Software Liberação 12.2 (8) t ou mais tarde

    ■ Cisco 7100 Series VPN Routers – Cisco IOS Software Release 12.2 (8) t ou mais tarde

    ■ Routers da série Cisco 7200 – Cisco IOS Software Release 12.2 (8) t ou mais tarde

    ■ Routers da série Cisco 7500 – Cisco IOS Software Release 12.2 (8) t ou mais tarde

    ■ Cisco Pix 500 Series – Pix OS Release 6.2 ou mais tarde

    ■ Cisco VPN 3000 Series – Software Release 3.11 ou mais tarde

    Além disso, os requisitos para servidores fáceis de VPN incluem as políticas de associação de segurança da Internet e Protocolo de Gerenciamento de Chaves (ISAKMP) usando o Diffie-Hellman Group 2 (1024 bits) IKE Negociação. Isso é necessário porque o Cisco Unity Protocol suporta apenas as políticas ISAKMP usando o Grupo 2 IKE. O Cisco Unity Protocol refere -se a uma metodologia que os clientes da VPN usam para determinar a ordem dos eventos ao tentar uma conexão com um servidor VPN. O

    O Cisco Unity Protocol opera com base na noção de um grupo de clientes. Um cliente da Unity deve se identificar e se autenticar primeiro pelo grupo e, se o Xauth habilitado, pelo usuário posteriormente. O servidor VPN fácil não pode ser configurado para o Grupo 1 ou 5 ISAKMP quando usado com clientes VPN fáceis.

    Para garantir conexões seguras de túnel, o recurso remoto da Cisco Easy VPN não suporta conjuntos de transformação que fornecem criptografia sem autenticação ou aqueles que fornecem autenticação sem criptografia. Tanto a criptografia quanto a autenticação devem ser representadas.

    O Cisco Unity Protocol não suporta a autenticação do cabeçalho de autenticação (AH), mas suporta a carga útil de segurança do encapsulamento (ESP).

    Às vezes, uma conexão VPN pode ser usada como uma conexão de backup destinada a ser estabelecida e usada quando o link principal não estiver disponível. Vários recursos de backup estão disponíveis para atender a essa necessidade, incluindo, entre outros. Ao usar cenários de backup de discagem com VPN fácil, deve -se entender que qualquer método de backup baseado no status da linha não é suportado. Isso significa que uma interface primária no estado UP/Down não acionará o estabelecimento de conexão VPN.

    Também digno de menção neste momento é o fato de que a interoperabilidade NAT não é suportada no modo de cliente quando o tunelamento dividido está ativado. Isso ocorre porque o cliente estará conectado ao site central e à LAN local, com o roteamento habilitado para ambas as redes de acordo com a definição de tunelamento dividido. Sem o tunelamento dividido, o endereço IP atribuído pelo site central se tornará o endereço da interface do cliente. Isso evita qualquer possibilidade de endereço sobreposto. Quando o tunelamento dividido é ativado, esse nem sempre é o caso. Quando a conexão é estabelecida e uma rota é injetada na rede central do local para a acessibilidade do local remoto, a rota deve ser única. O tunelamento dividido permite a possibilidade de sobreposição de endereço.

    Esse artigo foi útil?

    Postagens relacionadas

    • Eu sei disso já quiz uvu
    • Concentrador Cisco VPN 3000
    • Estrutura do protocolo IPSEC – VPN seguro
    • Explorando o básico do iPsec
    • Design de rede VPN – CCDA
    • Material de estudo para estudantes da Cisco
    • Radiação eletromagnética e saúde humana
    • Crie seu primeiro site para ganhar dinheiro
    • Sistemas de gerenciamento de relacionamento com clientes
    • Guias de empreendedorismo