Czy łatwa VPN wymaga klienta Cisco VPN?

Tunnel aktywuj interesujący ruch (ACL Trigger)

Streszczenie

W artykule omówiono, czy łatwa VPN wymaga klienta Cisco VPN. Dostarcza również informacji na temat konfigurowania VPN za pomocą Easy VPN i tunelu IPSEC. Routery serii Cisco 870 obsługują tworzenie wirtualnych sieci prywatnych (VPN) i zapewniają wysokowydajne połączenia z Internetem. Artykuł wyjaśnia dwa typy obsługiwanych VPN-dostęp do witryny i zdalny-i koncentruje się na konfiguracji VPN dostępu zdalnego za pomocą Cisco Easy VPN i tunelu IPSEC. Wyjaśnia również, że materiał w rozdziale nie dotyczy routerów serii Cisco 850, ponieważ nie obsługują one Cisco Easy VPN.

Kluczowe punkty

  1. Routery serii Cisco 870 obsługują tworzenie wirtualnych sieci prywatnych (VPN).
  2. Obsługiwane są dwa rodzaje VPN-dostęp do strony i zdalny.
  3. VPN dostępu zdalnego są używane przez klientów zdalnych do logowania się do sieci korporacyjnej.
  4. Przykład konfiguracji w artykule ilustruje konfigurację VPN dostępu do zdalnego dostępu za pomocą Cisco Easy VPN i tunelu IPSec.
  5. Cisco Easy VPN Client Funkcja eliminuje wiele żmudnych prac konfiguracyjnych poprzez wdrożenie protokołu klienta Cisco Unity.
  6. Łatwe urządzenie obsługujące serwer VPN może zakończyć tunele VPN zainicjowane przez pracowników mobilnych i zdalnych.
  7. Funkcja klienta Cisco Easy VPN można skonfigurować w trybie klienta lub w trybie rozszerzenia sieci.
  8. Po skonfigurowaniu serwera IPSEC można utworzyć połączenie VPN przy minimalnej konfiguracji klienta IPSec.
  9. Funkcja klienta Cisco Easy VPN obsługuje konfigurację tylko jednego rówieśniczego.
  10. Należy wykonać kilka zadań konfiguracyjnych, aby skonfigurować router dla scenariusza sieciowego.

pytania

  1. Czy łatwa VPN wymaga klienta Cisco VPN?
  2. Tak, łatwa VPN wymaga klienta Cisco VPN do wdrożenia.

  3. Jakie rodzaje VPN są obsługiwane przez routery serii Cisco 870?
  4. Routery serii Cisco 870 obsługują VPN witryny do witryny i zdalnego dostępu.

  5. Jaki jest cel VPN zdalnego dostępu?
  6. Zdalny VPN jest używany przez klientów zdalnych do logowania się do sieci korporacyjnej.

  7. Jaka jest funkcja klienta Cisco Easy VPN?
  8. Funkcja klienta Cisco Easy VPN eliminuje wiele żmudnych prac konfiguracyjnych poprzez wdrożenie protokołu klienta Cisco Unity.

  9. Jaka jest różnica między trybem klienta a trybem rozszerzenia sieci w Cisco Easy VPN?
  10. W trybie klienta tylko urządzenia w witrynie klienta mogą uzyskać dostęp do zasobów w witrynie centralnej. Tryb rozszerzenia sieci pozwala użytkownikom na witrynie centralnej dostęp do zasobów sieciowych na stronie klienta.

  11. Czy można tworzyć wiele tuneli VPN za pomocą funkcji klienta Cisco Easy VPN?
  12. Nie, funkcja klienta Cisco Easy VPN obsługuje konfigurację tylko jednego rówieśniczego.

  13. Jakie zadania konfiguracyjne należy wykonać, aby skonfigurować router dla scenariusza sieciowego?
  14. Zadania konfiguracyjne obejmują konfigurowanie zasad IKE, informacje o zasadach grupy, konfigurację trybu na mapie kryptograficznej, włączenie wyszukiwania zasad, konfigurowanie transformacji i protokołów IPSEC, konfigurowanie metody i parametrów kryptograficznych IPSEC, zastosowanie mapy kryptograficznej do interfejsu fizycznego oraz tworzenie łatwego konfiguracji VPN Remote Configuration.

  15. Jakie są warunku konfiguracji VPN w router Cisco 870 Series?
  16. Podstawowe funkcje routera, konfiguracje PPPOE lub PPPOA z NAT, DHCP i VLAN powinny być wcześniej skonfigurowane.

  17. Co pokazuje przykład konfiguracji w artykule?
  18. Przykład konfiguracji pokazuje wyniki wymienionych powyżej zadań konfiguracyjnych dla scenariusza sieciowego.

  19. Czy router Cisco 850 obsługuje Cisco Easy VPN?
  20. Nie, routery Cisco 850 nie obsługują Cisco Easy VPN.

Szczegółowe odpowiedzi

1. Czy łatwa VPN wymaga klienta Cisco VPN?
Tak, łatwa VPN wymaga klienta Cisco VPN do wdrożenia. Funkcja klienta Cisco Easy VPN eliminuje wiele żmudnych prac konfiguracyjnych poprzez wdrożenie protokołu klienta Cisco Unity. .

2. Jakie rodzaje VPN są obsługiwane przez routery serii Cisco 870?
Routery serii Cisco 870 obsługują VPN witryny do witryny i zdalnego dostępu. VPN na miejscu służą do łączenia oddziałów z biur korporacyjnych, a VPN zdalnego dostępu są używane przez klientów zdalnych do logowania się do sieci korporacyjnej.

3. Jaki jest cel VPN zdalnego dostępu?
VPN zdalnego dostępu pozwala klientom zdalnym bezpieczne łączenie się z siecią korporacyjną przez Internet. Umożliwia zdalnym pracownikom lub pracownikom mobilnym dostęp do zasobów firmy, takich jak pliki, aplikacje i systemy wewnętrzne, tak jakby były bezpośrednio połączone w sieci korporacyjnej.

4. Jaka jest funkcja klienta Cisco Easy VPN?
Funkcja klienta Cisco Easy VPN to uproszczony sposób konfiguracji łączności VPN. Umożliwia większość parametrów VPN, takich jak wewnętrzne adresy IP, maski podsieci, adresy serwera DHCP, wygrane adresy serwerów i flagi dzielonej tunelowania, na serwerze VPN, takie jak koncentrator serii Cisco VPN 3000, który działa jako serwer IPSEC Server. Funkcja Klienta Easy VPN jest zaimplementowana przez protokół Cisco Unity Client, który eliminuje wiele żmudnych prac konfiguracyjnych.

5. Jaka jest różnica między trybem klienta a trybem rozszerzenia sieci w Cisco Easy VPN?
W trybie klienta urządzenia na stronie klienta mogą uzyskać dostęp do zasobów w witrynie centralnej, ale zasoby na stronie klienta są niedostępne dla witryny centralnej. Tryb klienta to domyślna konfiguracja funkcji klienta Cisco Easy VPN. Z drugiej strony tryb rozszerzenia sieci umożliwia użytkownikom w środkowej stronie (gdzie znajduje się koncentrator serii VPN 3000) na dostęp do zasobów sieciowych na stronie klienta. Tryb rozszerzenia sieci rozszerza dostępność zasobów poza witryną klienta.

6. Czy można tworzyć wiele tuneli VPN za pomocą funkcji klienta Cisco Easy VPN?
Nie, funkcja klienta Cisco Easy VPN obsługuje konfigurację tylko jednego równorzędnego. Jeśli wymagane jest wiele tuneli VPN, ręczna konfiguracja VPN IPSEC i translacja adresu sieciowego/Parametry adresu równorzędnego (NAT/PAT) na kliencie i serwerze jest konieczne.

7. Jakie zadania konfiguracyjne należy wykonać, aby skonfigurować router dla scenariusza sieciowego?
Aby skonfigurować router dla scenariusza sieciowego, należy wykonać następujące zadania:

  • Skonfiguruj zasady IKE
  • Skonfiguruj informacje o zasadach grupy
  • Zastosuj konfigurację trybu na mapę kryptograficzną
  • Włącz wyszukiwanie zasad
  • Skonfiguruj transformacje i ipsec transformacje i protokoły
  • Skonfiguruj metodę i parametry kryptowalut IPSec
  • Zastosuj mapę kryptograficzną do interfejsu fizycznego
  • Utwórz łatwą konfigurację zdalną VPN

Przykład pokazujący wyniki tych zadań konfiguracyjnych znajduje się w sekcji „Przykład konfiguracji” artykułu.

8. Jakie są warunku konfiguracji VPN w router Cisco 870 Series?
Przed skonfigurowaniem VPN w router Cisco 870, należy skonfigurować podstawowe funkcje routera, takie jak PPPoE lub PPPOA z NAT, DHCP i VLAN. Te konfiguracje są niezbędne do ustanowienia podstaw sieci i umożliwienia łączności internetowej i usług sieciowych lokalnych.

9. Co pokazuje przykład konfiguracji w artykule?
Przykład konfiguracji podany w artykule pokazuje wyniki wymienionych wcześniej zadań konfiguracyjnych. Prezentuje ustawienia konfiguracji wymagane do ustalenia i zabezpieczenia VPN dostępu zdalnego za pomocą Cisco Easy VPN i tunelu IPSec. Postępując zgodnie z przykładem, użytkownicy mogą powtórzyć konfigurację na własnych routerach.

10. Czy router Cisco 850 obsługuje Cisco Easy VPN?
Nie, routery Cisco 850 nie obsługują Cisco Easy VPN. Materiał w artykule nie dotyczy routerów serii Cisco 850.

Czy łatwa VPN wymaga klienta Cisco VPN

Tunnel aktywuj interesujący ruch (ACL Trigger)

Czy łatwa VPN wymaga klienta Cisco VPN?

Оjed

Ыы зарегистрир John. С помощю этой страницы ыы сожем оRipееделить, что запросы оRтравляете имено ыы, а не роvert. Почем это могло пRроизойиS?

Эта страница отображается тех слччаях, когда автоматическими системамgz которые наршают усовия исполззования. Страница перестанеura. До этого момента для исползования слжжж Google неоtoś.

Источником запросов может слжить ведоносное по, подкbarów. ыылку заRzy. Еarag ы исползеете общий доступ и интернет, проблема может ыть с компюююеyn с таким жж жж жесом, кк у комszczeюююе000. Обратитеunks к соем системном адинистратору. Подроlit.

Проверка по слову может также появаятьenia, еaсли ы водите сложные ззапры, оind обычно enia оиизи инenia оtoś еами, или же водите заlektora.

Wsparcie

Konfigurowanie VPN za pomocą łatwego VPN i tunelu IPSC

Hierarchiczna nawigacja

Pliki

Spis treści

Konfigurowanie VPN za pomocą łatwego VPN i tunelu IPSC

Routery serii Cisco 870 obsługują tworzenie wirtualnych sieci prywatnych (VPN).

Routery Cisco i inne urządzenia szerokopasmowe zapewniają wysokowydajne połączenia z Internetem, ale wiele aplikacji wymaga również bezpieczeństwa połączeń VPN, które wykonują wysoki poziom uwierzytelnienia i które szyfrowują dane między dwoma konkretnymi punktami końcowymi.

Obsługiwane są dwa rodzaje VPN-dostęp do witryny i zdalny. Na przykład VPN dla witryn witryn są używane do łączenia oddziałów z biurami korporacyjnymi. VPN dostępu zdalnego są używane przez klientów zdalnych do logowania się do sieci korporacyjnej.

Przykład w tym rozdziale ilustruje konfigurację VPN zdalnego dostępu, który korzysta z Cisco Easy VPN i tunelu IPSec do konfigurowania i zabezpieczenia połączenia między klientem zdalnym a siecią korporacyjną. Rysunek 6-1 pokazuje typowy scenariusz wdrażania.

Notatka Materiał w tym rozdziale nie dotyczy routerów Cisco 850. Routery serii Cisco 850 nie obsługują Cisco Easy VPN.

Rysunek 6-1 zdalny dostęp do VPN za pomocą tunelu IPSec

Cisco Easy VPN

Funkcja klienta Cisco Easy VPN eliminuje wiele żmudnych prac konfiguracyjnych poprzez wdrożenie protokołu klienta Cisco Unity. Ten protokół umożliwia większość parametrów VPN, takich jak wewnętrzne adresy IP, wewnętrzne maski podsieci, adresy serwera DHCP, wygrane adresy serwera i flagi dzielone, które można zdefiniować na serwerze VPN, takie jak koncentrator serii Cisco VPN 3000, który działa jako serwer IPSec serwer.

Łatwe urządzenie obsługujące serwer VPN może zakończyć tunele VPN zainicjowane przez pracowników mobilnych i zdalnych, którzy uruchamiają zdalne oprogramowanie Cisco Easy VPN na komputerach PCS. Łatwe urządzenia obsługujące serwer VPN umożliwiają zdalne routery działające jako łatwe zdalne węzły VPN.

Funkcja klienta Cisco Easy VPN można skonfigurować w jednym z dwóch trybów – trybu rozszerzenia lub trybu rozszerzenia sieci. Tryb klienta jest domyślną konfiguracją i pozwala tylko urządzeniom w witrynie klienta dostęp do zasobów w witrynie centralnej. Zasoby na stronie klienta są niedostępne dla witryny centralnej. Tryb rozszerzenia sieci umożliwia użytkownikom na stronie centralnej (gdzie znajduje się koncentrator VPN 3000 Series) dostęp do zasobów sieciowych na stronie klienta.

Po skonfigurowaniu serwera IPSEC można utworzyć połączenie VPN przy minimalnej konfiguracji klienta IPSec, takiego jak obsługiwany router dostępu Cisco 870 Series. Gdy klient IPSec inicjuje połączenie tunelu VPN, serwer IPSEC przesyła zasady IPSec do klienta IPSec i tworzy odpowiednie połączenie tunelu VPN.

Notatka Funkcja klienta Cisco Easy VPN obsługuje konfigurację tylko jednego rówieśniczego. Jeśli Twoja aplikacja wymaga utworzenia wielu tuneli VPN, musisz ręcznie skonfigurować parametry IPSec VPN i translacja adresów sieciowych/Peer (NAT/PAT) zarówno na kliencie, jak i serwer.

Zadania konfiguracyjne

Wykonaj następujące zadania, aby skonfigurować router dla tego scenariusza sieciowego:

• Skonfiguruj zasady IKE

• Skonfiguruj informacje o zasadach grupy

• Zastosuj konfigurację trybu na mapę kryptograficzną

• Włącz wyszukiwanie zasad

• Skonfiguruj transformacje i ipsec transformacje i protokoły

• Skonfiguruj metodę i parametry kryptografii IPSec

• Zastosuj mapę kryptograficzną do interfejsu fizycznego

• Utwórz łatwą konfigurację zdalną VPN

Przykład pokazujący wyniki tych zadań konfiguracyjnych znajduje się w sekcji „Przykład konfiguracji”.

Notatka Procedury w tym rozdziale zakładają, że skonfigurowałeś już podstawowe funkcje routera, a także PPPoE lub PPPOA z NAT, DCHP i VLAN. Jeśli nie wykonałeś tych zadań konfiguracji, patrz rozdział 1 „Podstawowa konfiguracja routera”, rozdział 3 ”Konfigurowanie PPP nad Ethernet z NAT,„ Rozdział 4 ”Konfigurowanie PPP nad ATM z NAT” i Rozdział 5 „Konfigurowanie LAN z DHCP i VLAN”, odpowiednio dla routera.

Notatka Przykłady pokazane w tym rozdziale odnoszą się tylko do konfiguracji punktu końcowego w router Cisco 870. Każde połączenie VPN wymaga poprawnie skonfigurowania obu punktów końcowych do funkcjonowania. W razie potrzeby zobacz dokumentację konfiguracji oprogramowania, aby skonfigurować VPN dla innych modeli routera.

Skonfiguruj zasady IKE

Wykonaj te kroki, aby skonfigurować zasady Internetu Exchange Exchange (IKE), zaczynając od globalnego trybu konfiguracji:

Polecenie lub działanie

Router (config)# Polityka kryptograficzna ISAKMP 1 

Cisco Easy VPN na routerach opartych na oprogramowaniu Cisco IOS

Zestaw dokumentacji dla tego produktu stara się używać języka wolnego od stronniczości. Do celów tego zestawu dokumentacji wolne od uprzywilejowania jest definiowane jako język, który nie oznacza dyskryminacji w oparciu o wiek, niepełnosprawność, płeć, tożsamość rasową, tożsamość etniczną, orientacja seksualna, status społeczno-ekonomiczny i przecięcia. Wyjątki mogą być obecne w dokumentacji ze względu na język, który jest skodowany w interfejsach użytkowników oprogramowania produktowego, języka używanego na podstawie dokumentacji RFP lub języka, który jest używany przez odwołany produkt innej firmy. Dowiedz się więcej o tym, jak Cisco używa języka integracyjnego.

Przegląd rozwiązania Cisco Easy VPN

Rozwiązanie VPN Cisco ® Easy (ryc. 1) oferuje elastyczność, skalowalność i łatwość użycia dla VPN na miejscu i zdalnego dostępu:

• Ułatwia niż kiedykolwiek dla klientów wszystkich wielkości wdrażanie VPN w lokalizacjach z ograniczonymi pracownikami technicznymi, jak małe biura, telepracze i pracownicy mobilni

• Oferuje bezprecedensową elastyczność w wyborze i obsłudze urządzeń VPN, umożliwiając zintegrowanie routerów Cisco, urządzeń bezpieczeństwa i oprogramowania VPN

• Zmniejsza złożoność zarządzania na dużą skalę wdrażania VPN poprzez scentralizowanie zarządzania VPN za pomocą spójnej metody zarządzania polityką i kluczowymi we wszystkich urządzeniach Cisco VPN

Rysunek 1. Przegląd rozwiązania Cisco Easy VPN

Aplikacje: wdrożenie małego biura

Dla pracowników mobilnych i telekomutacji nie wystarczy mieć wysokowydajny połączenie z Internetem. Aby być naprawdę skutecznym, użytkownicy ci potrzebują kompletnego, bezpiecznego dostępu do zasobów elektronicznych w biurze domowym, co oznacza ustanowienie połączenia VPN z wysokim poziomem uwierzytelniania i możliwości szyfrowania danych. Rozwiązanie Cisco Easy VPN umożliwia zdalnym pracownikom i telekomunikacjom z małych biur lub oddziałów korporacyjnych na nawiązywanie połączeń VPN w Internecie publicznym bezpośrednio do tworzenia biura domowego, które potrzebują, aby wykonać swoje zadania dla nich za ułamek kosztów alternatywnych bezpiecznych połączeń.

Wcześniej zapewnienie bezpiecznego dostępu do zdalnych pracowników często wiązało się z przy użyciu protokołu tunelowania punkt-punkt (PPTP) do połączenia z biurem domowym. Chociaż ta metoda pozwala użytkownikom zakończyć bezpieczne połączenie ze swoim domowym biurem, tunel PPTP nie zapewnia uwierzytelniania użytkownika, co może obniżyć ogólny próg bezpieczeństwa połączenia. Alternatywne metody ustanowienia bezpiecznego połączenia były ograniczone, ponieważ nie obsługiwały wszystkich platform w całej sieci.

Rozwiązanie Cisco Easy VPN składa się przede wszystkim z dwóch komponentów operacyjnych: Cisco Easy VPN Remote i Cisco Easy VPN Server (Rysunek 2).

Rysunek 2. Rozwiązanie Cisco Easy VPN

Cisco Easy VPN Pilote reprezentuje gałąź lub zdalną stronę użytkownika połączenia VPN. Różnorodne urządzenia mogą uczestniczyć jako łatwe piloty VPN, w tym routery oparte na oprogramowaniu Cisco IOS ®, urządzenia Security Cisco ASA i komputery PCS z Cisco VPN Client Software.

Cisco Easy VPN Server to strona Headend w tunelu VPN. Routery oparte na oprogramowaniu Cisco IOS, Cisco Catalyst ® Switches i Cisco ASA Security Mogą działać jako łatwe punkty agregacji VPN dla tysięcy łatwych urządzeń zdalnych VPN, w tym urządzeń w oddziale, teleprzewajowych i mobilnych stronach pracowniczych.

Cisco Easy VPN Serwery Użyj scentralizowanej polityki, aby wysłać predefiniowane zasady bezpieczeństwa i parametry konfiguracyjne automatycznie do łatwych urządzeń zdalnych VPN. Na przykład parametry konfiguracyjne, takie jak wewnętrzne adresy IP, wewnętrzne maski podsieci, adresy serwera DHCP, wygrane adresy serwera i flagi dzielonej tunelowania można wypchnąć do urządzenia zdalnego. Upraszcza to zarządzanie, co czyni go idealnym do zdalnych biur z niewielkim wsparciem IT lub wdrożeniami na dużą skalę lokali klientów (CPE), w których niepraktyczne jest indywidualne konfigurowanie wielu zdalnych urządzeń.

Cechy i zalety

Rozwiązanie Cisco Easy VPN zapewnia wiele funkcji i korzyści, w tym:

• Integracja sieci: oprogramowanie Cisco IOS dostarcza zaawansowane rozwiązania VPN, które działają w wielu topologiach i przypadkach użycia. Kluczem do tego jest integracja sieci-sposoby, w jakie usługi VPN i IP są zintegrowane w urządzeniu, a także w wielu urządzeniach w sieci.

• Łatwość zarządzania: Rozwiązanie Cisco Easy VPN oferuje łatwość ciągłego zarządzania, z takimi funkcjami, jak scentralizowane push polityki i ulepszona łatwa architektura VPN (integracja interfejsu wirtualnego tunelu).

• Uwierzytelnianie: Cisco Easy VPN obsługuje dwuetapowy proces uwierzytelniania zdalnego klienta i użytkownika za pomocą uwierzytelniania na poziomie grupy, jak i Xauth.

• Skalowalność i wysoka dostępność: Cisco Easy VPN serwery są w stanie agregować tysiące zdalnych urządzeń, umożliwiając wysoce skalowalne wdrożenia. W tych scenariuszach wysoka dostępność jest głównym czynnikiem. Kilka mechanizmów jest wbudowanych w rozwiązanie Cisco Easy VPN, aby zapewnić, że duża liczba stron nie zostanie wyjęta przez awarie urządzenia lub łączności.

• Zmniejszony koszt własności: Łączenie bezpieczeństwa i VPN na jednym urządzeniu-zwłaszcza obowiązkowym rezultatami routera oddziału w początkowej oszczędności kosztów, a także ochronę inwestycji w formie skalowalności i modułowości routerów w miarę rozwoju potrzeb biznesowych. A mając tylko jedno rozwiązanie zarządzania do nauki, potrzeby szkoleniowe są zminimalizowane, a bieżące operacje uproszczone. Routery oparte na oprogramowaniu Cisco IOS zapewniają najlepsze, skalowalne rozwiązanie dla multiprotocolu, bezpieczeństwa obwodowego, wykrywania włamań i zaawansowanego VPN, a także wiodącego w branży zarządzania urządzeniami i zarządzaniem.

Tabela 1 zawiera główne funkcje integracji sieci i korzyści z rozwiązania Cisco Easy VPN.

Tabela 1. Funkcje integracji sieci i korzyści

Opis i korzyść

Nowa integracja wirtualnego interfejsu tunelu VPN VPN (VTI)

• Ulepszona easy architektura VPN zawiera nowe wirtualne interfejsy, które można skonfigurować bezpośrednio za pomocą IP Security (IPSec) bez konieczności zamknięcia protokołów IPSEC, takich jak ogólne enkapsulacja routingu (GRE). Korzyści z integracji sieci obejmują:

• Atrybuty dla użytkownika, takie jak jakość usług (QoS) -VTI, umożliwia bezbolesną konfigurację zasad dla użytkownika; umożliwianie administratorom proaktywne w dostarczaniu pożądanej wydajności aplikacji i utrzymywaniu użytkowników produktywnych i motywacji

• Funkcje specyficzne dla tunelu-VTI pozwala na konfigurowanie każdego gałęzi VPN Tunnel z własnym zestawem parametrów, zapewniając elastyczność w celu dostosowania konfiguracji i bezpieczeństwa w oparciu o potrzeby specyficzne dla witryny

Integracja wirtualnego przekazywania trasy (VRF)

Integracja VRF z VTI umożliwia zakończenie wielu instancji VRF w wielu interfejsach, ułatwiając duże dostawcę usług i wdrażanie etykiet wieloprotokolowych Enterprise (MPLS).

TCP TCP Traversal

Pakiety IPSec TCP można tunelować za pomocą urządzeń zapory innej firmy, umożliwiając bezpieczne połączenie, w którym standardowe enkapsulacyjne ładunek bezpieczeństwa (ESP) lub Port 500 protokołu DataGram (UDP) nie jest akceptowany ani dozwolony.

Integracja tłumaczenia adresów sieciowych (NAT)

Adresy integracji NAT i rozwiązuje znane niezgodności między IPSEC i NAT poprzez obsługę przejrzystości NAT w Port 500 UDP (RFC 3947)

Klienci SafeNet wiążą z grupą konfiguracji klienta za pomocą określonego adresu lokalnego stowarzyszenia bezpieczeństwa internetowego i protokołu zarządzania kluczami (ISAKMP). Różni klienci mogą korzystać z tych samych tożsamości rówieśniczej i klawiszy ISAKMP za pomocą różnych lokalnych adresów zakończenia.

Niektóre z głównych możliwości łatwości użytkowania w Cisco Easy VPN obejmują:

• Dynamiczne aktualizacje zasad: umożliwia operatorom sieci lub dostawcom usług na zmianę sprzętu i konfiguracji sieci w razie potrzeby, bez dotykania urządzeń użytkowników końcowych. Łatwe serwery VPN popychają najnowsze zasady bezpieczeństwa w razie potrzeby, minimalizacja ręcznej konfiguracji i błędów operatora, zmniejszając w ten sposób dodatkowe połączenia serwisowe.

• Enhanced Easy VPN Architecture (VTI Integration): znacznie upraszcza wymagania konfiguracyjne na głowie, a także zdalne gałęzie. Usługi IP można konfigurować przy użyciu interfejsów wirtualnych płyt-płyt (lub pobieranych z serwerów uwierzytelniania, autoryzacji i rachunkowości [AAA]), a w czasie połączenia instancje VTI są dynamicznie klonowane z tych szablonów. Nie ma potrzeby ręcznego tworzenia podobnych zestawów poleceń konfiguracyjnych dla każdej zdalnej witryny. Ulepszone łatwe VPN nie obsługuje protokołów routingu; Jednak działa dobrze z wstrzyknięciem odwrotnej trasy (RRI) w celu dystrybucji informacji o osiągalności dla różnych podsieci.

• Klient sprzętu VPN: umożliwia routerowi VPN lub urządzeniu bezpieczeństwa działać jako klient VPN, przetwarzanie szyfrowania w imieniu użytkowników komputerów w sieci LAN. Eliminuje to potrzebę zakupu użytkowników końcowych i konfiguracji zewnętrznych urządzeń VPN.

• Cisco Easy VPN i Cisco Unity ® Framework: Zmniejsza problemy interoperacyjności między różnymi klientami oprogramowania VPN opartymi na komputerze, zewnętrznymi rozwiązaniami VPN opartymi na sprzęcie i innymi aplikacjami VPN.

Dynamika (ja.mi., Na żądanie i zautomatyzowane) charakter funkcji Push Push Cisco Easy VPN ma kluczowe znaczenie dla znacznego uproszczenia wdrażania VPN do małego biura, telepracera i zdalnego/oddziału. Tabela 2 poniżej zawiera główne funkcje i korzyści na rzecz polityki.

Tabela 2. Scentralizowane funkcje i korzyści na rzecz polityki

Opis i korzyść

Konfiguracja proxy przeglądarki

Ta funkcja umożliwia łatwemu serwerowi VPN automatyczne naciskanie serwera proxy do zdalnego urządzenia bez ręcznej interwencji. Oryginalne ustawienia proxy na pilocie są również automatycznie powracane po odłączeniu.

Łączność LAN może być zachowana w połączeniu z tunelem, które nie są. Umożliwia to lokalne zasoby, takie jak drukarki i serwery, pozostają osiągalne po ustanowieniu bezpiecznego połączenia.

Baner logowania (dla klientów sprzętowych)

Easy VPN Server popycha baner do zdalnego urządzenia, w którym sztandar może być używany podczas rozszerzonego uwierzytelniania (Xauth) i aktywacji internetowej. Spersonalizowane wiadomości mogą być wyświetlane na urządzeniu zdalnym za pierwszym razem, gdy porusza się łatwy tunel VPN.

Auto Upgrade (dla klientów oprogramowania)

Łatwy serwer VPN można skonfigurować, aby zapewnić zautomatyzowany mechanizm aktualizacji oprogramowania dla łatwych klientów VPN.

Automatyczna aktualizacja konfiguracji

Łatwy serwer VPN można skonfigurować do zapewnienia zautomatyzowanego mechanizmu modernizacji oprogramowania i oprogramowania układowego na łatwym kliencie zdalnym VPN. Każda zmiana konfiguracji może być popchnięta do dowolnej liczby klientów, bez konieczności ich dotykania.

Centralna polityka naciska na zintegrowaną zaporę klientów

Ta funkcja umożliwia łatwe serwery VPN oparte na oprogramowaniu Cisco IOS na konfigurację osobistych zapór ogniowych na maszynach klientów, umożliwiając lepsze bezpieczeństwo przed podzielonym tunelowaniem. Serwery EasyVPN mogą nie zezwalać klientom, którzy nie mają najnowszych zasad konfiguracji zapory, aby dołączyć do VPN.

Proxy klienta DHCP i rozproszone DNS

Łatwy serwer VPN działa jako klient proxy DHCP, nabywa adres IP z serwera DHCP i przesuwa adres IP do klienta. Dzięki tej funkcji serwer Cisco Easy VPN jest w stanie przypisać adres IP do klienta z korporacyjnego serwera DHCP, dzięki czemu zarządzanie alokacją adresów IP.

Podzielone tunelowanie umożliwia wysyłanie ruchu w Internecie niezaszyfrowania bezpośrednio do Internetu. Bez tej funkcji cały ruch jest wysyłany do urządzenia Headend, a następnie kierowany do zasobów docelowych (eliminowanie sieci korporacyjnej ze ścieżki dostępu do sieci). Podzielone tunelowanie zapewnia bardziej efektywne wykorzystanie korporacyjnych zasobów informatycznych, uwalniając przepustowość dla tych, którzy uzyskują dostęp do danych i aplikacji o krytycznym punkcie misji z odległych lokalizacji.

Podzielone wsparcie DNS

Split-DNS umożliwia łatwemu klientowi VPN działanie jako proxy DNS, kierowanie zapytaniami internetowymi do serwera DNS ISP i kierowanie żądaniami korporacyjnymi DNS do korporacyjnych serwerów DNS.

Tabela 3 zawiera główne funkcje uwierzytelniania i zalety rozwiązania Cisco Easy VPN.

Tabela 3. Funkcje i korzyści uwierzytelniania

Opis i korzyść

Działa jako klient RADIUS, wykonuje uwierzytelnianie użytkownika za pomocą RADIUS, wykonując lokalne uwierzytelnianie i autoryzację oraz obsługuje informacje o sesji księgowej.

Obsługuje cyfrowe certyfikaty uwierzytelniania punktów końcowych tunelu.

Poprawia schemat szyfrowania, aby zaciemniać hasła w oprogramowaniu Cisco IOS za pomocą silniejszego szyfru.

Tunnel aktywuj interesujący ruch (ACL Trigger)

Bezpieczne tunele można budować na podstawie interesującego ruchu zdefiniowanego na liście kontroli dostępu (ACL). Zdolność do kontrolowania, na poziomie ziarnistym, który ruch jest szyfrowany, zmniejsza potencjalne odpady przepustowości.

Intercept internetowy dla Xauth

Zapewnia interfejs HTTP do wprowadzenia poświadczeń Xauth do klienta sprzętowego opartego na oprogramowaniu Cisco IOS. Eliminuje to potrzebę użycia CLI do logowania się i pozwala użytkownikom uwierzytelnić całe urządzenie, a nie tylko jeden port.

Zapewnia opcję ominięcia tunelu, umożliwiając niezaszyfrowany dostęp do Internetu dla członków gospodarstwa domowego.

Wygaśnięcie hasła za pomocą AAA

Użytkownicy klientów VPN mogą wprowadzić nowe hasła po wygaśnięciu starych haseł.

Skalowalność i wysoka dostępność

Tabela 4 zawiera główne funkcje o wysokiej dostępności i skalowalności oraz korzyści z rozwiązania Cisco Easy VPN.

Tabela 4. Skalowalność i funkcje i korzyści o wysokiej dostępności

Opis i korzyść

Wstrzyknięcie do odwrotnej trasy (RRI)

W przypadku VPN wymagających wysokiej dostępności lub równoważenia obciążenia, RRI upraszcza projekty sieciowe. RRI tworzy trasy dla każdej zdalnej sieci lub hosta na urządzeniu Headend, aby umożliwić dynamiczne propagacja trasy.

Detekcja martwej rówieśniczej (DPD) i Keepalives

DPD jest idealny dla środowisk, w których klienci chcą przełączania awaryjnego między koncentratorami na różnych podsieciach. Router pyta swojego równorzędnego Ike w regularnych odstępach czasu, umożliwiając wcześniejsze wykrycie martwych rówieśników.

Hot Standby Router Protocol (HSRP)

HSRP zapewnia wysoką dostępność sieci poprzez routowanie ruchu IP z hostów w sieciach Ethernet bez polegania na dostępności dowolnego routera. W przypadku użytkowania razem RRI i HSRP zapewniają bardziej niezawodny projekt sieci dla VPN i zmniejszają złożoność w konfigurowaniu zdalnych rówieśników.

IPSEC Stateful Failover

Stateful Failover umożliwia routerowi kontynuowanie przetwarzania i przekazywania pakietów IPSec po zaplanowanym lub nieplanowanym czasie awarii.

Nieprawidłowy wskaźnik parametrów bezpieczeństwa (SPI) Odzyskiwanie

Otrzymanie nieprawidłowego komunikatu SPI automatycznie uruchamia odbiornik w celu zainicjowania nowej wymiany klawiszy. W przypadku rówieśników IKE, którzy nie obsługują Keepalives lub DPD, nieprawidłowe odzyskiwanie SPI pomaga resynchronizować rówieśników po awarii awaryjnej.

Wielu rówieśników zapasowych

Ta funkcja umożliwia obsługę wielu konfiguracji równorzędnych lokalnie na routerze.

Pierwotna reaktywacja rówieśnicza

Jeśli podstawowe połączenie tunelu VPN zostanie utracone, łatwy klient VPN będzie nadal ponownie ponowny połączenie z głównym rówieśnikiem po przejściu przełączania awaryjnego. Gdy główny rówieśnik stanie się dostępny, połączenie zostanie przywrócone, a połączenie z kopią zapasową spadnie.

Zdalne podwójne tunele

Ta funkcja umożliwia skonfigurowanie wielu łatwych tuneli VPN, które dzielą wspólne interfejsy wewnątrz i na zewnątrz, aby podłączyć dwa rówieśników z dwoma różnymi serwerami VPN jednocześnie.

IPSEC Single Security Association

Ta funkcja konfiguruje pojedynczy tunel ipsec, niezależnie od liczby obsługiwanych podsieci i rozmiar listy dzielonych. Zastosowanie zasobów na routerach VPN jest zmniejszone, zwiększając ich zdolność do skalowania.

Bilansowanie obciążenia serwera

Oprogramowanie Cisco IOS wybiera serwer na podstawie skonfigurowanego algorytmu równoważenia obciążenia. Jeśli jeden z serwerów zawiedzie, wszystkie przychodzące żądania są dynamicznie przekierowane do pozostałych serwerów.

Zmniejszony całkowity koszt własności

Rozwiązanie Cisco Easy VPN pomaga firmom obniżyć ich całkowity koszt posiadania na kilka sposobów:

• Zmniejszone nakłady inwestycyjne: Zintegrowane rozwiązanie oparte na oprogramowaniu Cisco IOS zmniejsza początkowe koszty zamówień w porównaniu z wdrażaniem oddzielnych urządzeń. Oprogramowanie klienta VPN jest dołączone do rozwiązania, zapewniając obsługę użytkowników zdalnego dostępu bez konieczności dodatkowych licencji na funkcje.

• Zmniejszone koszty szkolenia: Cisco Easy VPN funkcje można skonfigurować ze standardowym Cisco IOS CLI, umożliwiając operatorom sieci na łatwe i intuicyjne rozwiązanie rozwiązania bez intensywnego szkolenia; Nie ma potrzeby uczyć się nowego sprzętu i oprogramowania.

• Niższe koszty operacyjne: duże wdrożenia korzystają ze scentralizowanych możliwości pchania polityki, które minimalizują interwencję człowieka podczas bieżących zmian w zdalnym sprzęcie i oprogramowaniu. W przypadku mniejszych wdrożeń Cisco Easy VPN można skonfigurować z dołączoną aplikacją do zarządzania urządzeniami, routerem Cisco i Managerem Security Device Manager (SDM). Łatwe w użyciu czarodzieje Cisco SDM umożliwiają konfigurację routingu, QoS, VPN i funkcji bezpieczeństwa (e.G., Domyślne zasady zapory zatwierdzonej przez Cisco TAC), a także monitorowanie dzienników zapory.

• Niższe koszty wsparcia i konserwacji: pojedyncze zintegrowane urządzenie oznacza pojedynczą umowę o wsparcie, co dodatkowo zmniejsza bieżące koszty związane z wieloma urządzeniami. Ponadto zarządzanie jednym dostawcą jest znacznie prostsze niż zarządzanie wieloma relacjami.

Tabela 5 zawiera listę liczby tuneli Cisco Easy VPN obsługiwanych na podstawie platformy Cisco.

Tabela 5. Liczba tuneli obsługiwanych na platformę

Maksymalna liczba łatwych tuneli VPN

Zintegrowane usługi Cisco 800 Series

Cisco 1800 (wszystkie 18xx z wyjątkiem 1841) zintegrowane routery usług

Cisco 1841 Integrated Services Routerów z zaawansowanym modułem integracji 1 (AIM-VPN/SSL-1)

Cisco 1941 Integrated Services Routerów z pokładowym modułem kryptowalutowym

Zintegrowane usługi Cisco 2800 seriale z AIM-VPN/SSL-2

Zintegrowane usługi Cisco 2900 Series z pokładowymi krypto

Cisco 3825 zintegrowane routery usług z AIM-SSL-3

Cisco 3925 zintegrowane routery usług z SPE-100

Cisco 3845 zintegrowane routery usług z AIM-SSL-3

Cisco 3945 zintegrowane routery usług z SPE-150

Router serii Cisco ASR 1000

Routery serii Cisco 7200 z modułem przyspieszenia VPN 2+ (VAM2+)

Cisco 7201/7301 Routery z VAM2+

Routery Cisco 7200VXR z adapterem VPN Services (VSA)

Routery serii Cisco 7600 z adapterem portu udostępnionego IPsec VPN (SPA)

Cisco Catalyst 6500 Series z IPSec VPN SPA lub VSPA

Tabela 6 zawiera wymogi systemowe dotyczące oprogramowania Cisco Easy VPN na routerach Cisco i przełącznikach z oprogramowaniem Cisco IOS.

Tabela 6. wymagania systemowe

Podręcznik użytkownika dla Cisco Security Manager 4.22

Zestaw dokumentacji dla tego produktu stara się używać języka wolnego od stronniczości. Do celów tego zestawu dokumentacji wolne od uprzywilejowania jest definiowane jako język, który nie oznacza dyskryminacji w oparciu o wiek, niepełnosprawność, płeć, tożsamość rasową, tożsamość etniczną, orientacja seksualna, status społeczno-ekonomiczny i przecięcia. Wyjątki mogą być obecne w dokumentacji ze względu na język, który jest skodowany w interfejsach użytkowników oprogramowania produktowego, języka używanego na podstawie dokumentacji RFP lub języka, który jest używany przez odwołany produkt innej firmy. Dowiedz się więcej o tym, jak Cisco używa języka integracyjnego.

Treść książki

Treść książki

  • Podstawy korzystania z menedżera bezpieczeństwa
    • Pierwsze kroki z menedżerem bezpieczeństwa
    • Przygotowywanie urządzeń do zarządzania
    • Zarządzanie zapasami urządzeń
    • Zarządzanie działaniami
    • Zarządzanie zasadami
    • Zarządzanie obiektami zasad
    • Zarządzanie FlexConfigs
    • Zarządzanie wdrożeniem
    • Rozwiązywanie problemów z komunikacją i wdrażaniem urządzeń
    • Zarządzanie serwerem menedżera bezpieczeństwa
    • Konfigurowanie ustawień administracyjnych menedżera bezpieczeństwa
    • Wprowadzenie do usług zapory
    • Zarządzanie zasadami ogniowymi świadomymi tożsamości
    • Zarządzanie zasadami ogniowymi Trustsec
    • Zarządzanie zasadami zapory AAA
    • Zarządzanie zasadami dostępu do zapory
    • Zarządzanie zasadami inspekcji zapory
    • Zarządzanie regułami filtra internetowego zapory
    • Zarządzanie regułami filtra ruchu botnetu zapory
    • Praca z Scansafe Web Security
    • Zarządzanie zasadami zapory opartymi na strefie
    • Zarządzanie strefami ruchu
    • Zarządzanie przepisami transaparentnymi
    • Konfigurowanie tłumaczenia adresu sieciowego
    • Zarządzanie VPN na miejscu: Podstawy
    • Konfigurowanie zasad IKE i IPSEC
    • GRE i DM VPNS
    • Łatwy VPN
    • Grupa zaszyfrowana transport (GET) VPN
    • Zarządzanie zdalnym dostępem do VPN: Podstawy
    • Zarządzanie VPN dostępu do zdalnego dostępu na ASA i PIX 7.0+ urządzeń
    • Zarządzanie zasadami dynamicznego dostępu do VPN dostępu zdalnego (ASA 8.0+ urządzeń)
    • Zarządzanie VPN dostępu zdalnego na iOS i PIX 6.3 urządzenia
    • Konfigurowanie obiektów zasad dla VPN dostępu do zdalnego dostępu
    • Za pomocą widoku mapy
    • Rozpoczęcie konfiguracji IPS
    • Zarządzanie interfejsem urządzenia IPS
    • Konfigurowanie wirtualnych czujników
    • Definiowanie podpisów IPS
    • Konfigurowanie reguł działania zdarzenia
    • Zarządzanie wykrywaniem anomalii IPS
    • Konfigurowanie globalnej korelacji
    • Konfigurowanie kontrolera odpowiedzi na atak do blokowania i ograniczania prędkości
    • Zarządzanie czujnikami IPS
    • Konfigurowanie routerów IOS IPS
    • Zarządzanie urządzeniami zapory
    • Konfigurowanie zasad pomostowych na urządzeniach zaporowych
    • Konfigurowanie zasad administracji urządzeń na urządzeniach zaporowych
    • Konfigurowanie ustawień dostępu do urządzenia na urządzeniach zapory
    • Konfigurowanie awaryjnego
    • Konfigurowanie nazwy hosta, zasobów, kont użytkowników i SLA
    • Konfigurowanie ustawień dostępu do serwera na urządzeniach zapory
    • Konfigurowanie ustawień dostępu do serwera FXOS na urządzeniach serii Firepower 2100
    • Konfigurowanie zasad rejestrowania na urządzeniach zapory
    • Konfigurowanie zasad multiemisji na urządzeniach zaporowych
    • Konfigurowanie zasad routingu na urządzeniach zaporowych
    • Konfigurowanie zasad bezpieczeństwa na urządzeniach zaporowych
    • Konfigurowanie zasad zasad usługi na urządzeniach zaporowych
    • Konfigurowanie kontekstów bezpieczeństwa na urządzeniach zaporowych
    • Preferencje użytkownika
    • Zarządzanie routerami
    • Konfigurowanie interfejsów routera
    • Administracja urządzenia routera
    • Konfigurowanie zasad tożsamości
    • Konfigurowanie zasad rejestrowania
    • Konfigurowanie jakości usług
    • Konfigurowanie zasad routingu
    • Zarządzanie przełącznikami Cisco Catalyst i routerami Cisco 7600 serii
    • Przeglądanie wydarzeń
    • Zarządzanie raportami
    • Monitorowanie zdrowia i wydajności
    • Korzystanie z zewnętrznego monitorowania, rozwiązywania problemów i narzędzi diagnostycznych
    • Korzystanie z Menedżera obrazu

    Znajdź mecze w tej książce

    Zaloguj się, aby zapisać treść

    dostępne języki

    Opcje pobierania

    Tytuł książki

    Podręcznik użytkownika dla Cisco Security Manager 4.22

    Łatwy VPN

    • PDF – Kompletna książka (44.67 MB) PDF – Ten rozdział (1.06 MB) Widok z Adobe Reader na różnych urządzeniach

    Wyniki

    Zaktualizowano: 10 listopada 2020

    Rozdział: łatwy VPN

    Zawartość rozdziału

    • Łatwy VPN
    • Zrozumienie łatwego VPN
      • Łatwa VPN z kopią zapasową wybierania
      • Łatwa VPN z wysoką dostępnością
      • Łatwy VPN z dynamicznymi wirtualnymi interfejsami tunelowymi
      • Łatwe tryby konfiguracji VPN
      • Easy VPN i IKE Extended Authentication (Xauth)
      • Przegląd konfigurowania łatwego VPN
      • Ważne notatki o łatwej konfiguracji VPN
      • Konfigurowanie obiektów zasad poświadczeń
      • Konfigurowanie dynamicznego VTI dla łatwego VPN

      Łatwy VPN

      Easy VPN to topologia VPN Hub-and-Spoke, której można używać z różnymi routerami, pix i urządzeniami ASA. Zasady są definiowane głównie na hubie i popychane do zdalnych urządzeń VPN, zapewniając, że klienci mają aktualne zasady przed ustanowieniem bezpiecznego połączenia.

      Ten rozdział zawiera następujące tematy:

      Zrozumienie łatwego VPN

      Easy VPN upraszcza wdrażanie VPN dla zdalnych biur. Dzięki łatwemu VPN zasady bezpieczeństwa zdefiniowane na głównym końcu są popychane do zdalnych urządzeń VPN, zapewniając, że klienci mają aktualne zasady przed ustanowieniem bezpiecznego połączenia.

      Menedżer ds. Bezpieczeństwa obsługuje konfigurację łatwych zasad VPN na topologiach VPN Hub-and-Spoke. W takiej konfiguracji większość parametrów VPN jest zdefiniowana na serwerze Easy VPN, który działa jako urządzenie piasty. Centralnie zarządzane zasady IPSEC są przesuwane przez serwer do łatwych urządzeń klienta VPN, minimalizując konfigurację urządzeń zdalnych (mówienia).

      Łatwy serwer VPN może być routerem Cisco IOS, zaporą pix lub urządzeniem ASA 5500. Klient Easy VPN jest obsługiwany na PIX 501, 506, 506E Firewall z PIX 6.3, Cisco 800-3900 Routerów i urządzenia ASA 5505 z wykorzystaniem oprogramowania ASA Release 7.2 lub później.

      Począwszy od wersji 4.17, Cisco Security Manager zapewnia łatwe wsparcie VPN z BVI. Zazwyczaj Easy VPN określa najwyższe i najniższe interfejsy poziomu bezpieczeństwa podczas startupu ASA. Najniższy interfejs poziomu bezpieczeństwa jest używany jako interfejs zewnętrzny, na którym klient VPN inicjuje tunel do końca, a interfejs najwyższego poziomu bezpieczeństwa jest używany jako wewnętrzny interfejs zabezpieczony.

      Na platformie ASA5506 domyślna konfiguracja obejmuje BVI z najwyższym interfejsem poziomu bezpieczeństwa 100 z poziomem bezpieczeństwa interfejsów członkowskich również ustawionych na poziomie 100, wraz z interfejsem zewnętrznym z poziomem bezpieczeństwa 0 (zero). Klient VPN odrzuca dwa lub więcej interfejsów o tym samym najwyższym poziomie bezpieczeństwa. Easy VPN określa, że ​​istnieją więcej niż dwa interfejsy o tym samym najwyższym poziomie bezpieczeństwa, a zatem klient VPN nie jest włączony.

      W celu przezwyciężenia tego problemu wprowadzono VPNClient Secure Interface CLI dla wszystkich urządzeń ASA 5506, 5508 i 5512 [X/H/W] z ASA 9.9 (2) dalej. Tak więc, aby wspierać CLI w Cisco Security Manager, zaczynając od wersji 4.17, nowy komponent “Interfejs klienta VPN” jest wprowadzany do topologii typu Hub & Spoke (Easy VPN).

      Notatka Niektóre zasady stosowane w łatwych topologiach VPN są podobne do tych używanych w VPN dostępu do zdalnego dostępu. W VPN w zdalnym dostępie zasady są skonfigurowane między serwerami a mobilnymi zdalnymi komputerami komputerowymi z oprogramowaniem klienckim VPN, podczas gdy w Topologie Easy VPN na miejscu klienci są urządzeniami sprzętowymi.

      Ta sekcja zawiera następujące tematy:

      • Łatwa VPN z kopią zapasową wybierania
      • Łatwa VPN z wysoką dostępnością
      • Łatwy VPN z dynamicznymi wirtualnymi interfejsami tunelowymi
      • Łatwe tryby konfiguracji VPN
      • Easy VPN i IKE Extended Authentication (Xauth)
      • Przegląd konfigurowania łatwego VPN
      • Ważne notatki o łatwej konfiguracji VPN

      Łatwa VPN z kopią zapasową wybierania

      Wybieraj kopię zapasową dla łatwego VPN umożliwia skonfigurowanie połączenia tunelu wybierania kopii zapasowej na zdalnym urządzeniu klienckim. Funkcja kopii zapasowej jest aktywowana tylko wtedy, gdy prawdziwy ruch jest gotowy do wysłania, eliminując potrzebę kosztownych połączeń lub linków ISDN, które muszą być utworzone i utrzymywane, nawet jeśli nie ma ruchu.

      Notatka Łatwa kopie zapasowe VPN TEL można skonfigurować tylko dla zdalnych klientów, które są routerami z iOS w wersji 12.3 (14) t lub nowszy.

      W łatwej konfiguracji VPN, gdy zdalne urządzenie próbuje podłączyć się do serwera, a śledzony adres IP nie jest już dostępny, podstawowe połączenie jest rozdarte, a nowe połączenie jest ustalane przez łatwy tunel zapasowy VPN do serwera. Jeśli nie można osiągnąć głównego piasty, pierwotna konfiguracja przełącza się na hub awaryjny z tą samą konfiguracją pierwotną, a nie na konfigurację kopii zapasowej.

      Dla każdej podstawowej konfiguracji Easy VPN jest obsługiwana tylko jedna konfiguracja kopii zapasowej. Każdy interfejs wewnętrzny musi określić podstawową i kopię zapasową łatwą konfigurację VPN. IP Statyczne śledzenie trasy należy skonfigurować do tworzenia kopii zapasowej, aby działać na łatwym urządzeniu zdalnym VPN. Konfiguracja śledzenia obiektów jest niezależna od łatwej konfiguracji kopii zapasowej zdalnego wybierania VPN. Szczegóły śledzenia obiektów są określone w mówieniu’S okno dialogowe Edytuj punkty końcowe.

      Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej, zobacz konfigurację kopii zapasowej wybierania.

      Łatwa VPN z wysoką dostępnością

      Możesz skonfigurować wysoką dostępność (HA) na urządzeniach w łatwej topologii VPN. Wysoka dostępność zapewnia automatyczną kopię zapasową urządzenia po skonfigurowaniu na routerach Cisco IOS lub urządzeniach Catalyst 6500/7600, które działają IP nad LAN. Możesz utworzyć grupę HA złożoną z dwóch lub więcej urządzeń piasty w łatwym VPN, które korzystają z Hot Standby Routing Protocol (HSRP), aby zapewnić przejrzyste, automatyczne awaryjne urządzenia awaryjne. Aby uzyskać więcej informacji, zobacz Konfigurowanie wysokiej dostępności w topologii VPN.

      Łatwy VPN z dynamicznymi wirtualnymi interfejsami tunelowymi

      Funkcja IPSec Virtual Tunnel Interface (VTI) upraszcza konfigurację tuneli GRE, które muszą być chronione przez IPSec dla linków do zdalnego dostępu. VTI to interfejs obsługujący tunelowanie IPSec i pozwala zastosować polecenia interfejsu bezpośrednio do tuneli IPSec. Konfiguracja wirtualnego interfejsu tunelu zmniejsza ogólną, ponieważ nie wymaga statycznego mapowania sesji IPSec na określony fizyczny interfejs, w którym stosuje się mapę kryptograficzną.

      IPSec VTIS obsługuje ruch wynikający i multiemisji szyfrowanego na dowolnym interfejsie fizycznym, na przykład w przypadku wielu ścieżek. Ruch jest szyfrowany lub odszyfrowany, gdy jest przekazywany z interfejsu lub do interfejsu tunelu i jest zarządzany przez tabelę routingu IP. Dynamiczne lub statyczne routing IP może być używany do kierowania ruchu do interfejsu wirtualnego. Korzystanie z routingu IP w celu przesyłania ruchu do interfejsu tunelu upraszcza konfigurację IPSec VPN w porównaniu z bardziej złożonym procesem korzystania z list kontroli dostępu (ACL) z mapą kryptograficzną. Dynamiczne funkcje VTIS jak każdy inny prawdziwy interfejs, dzięki czemu można zastosować jakość usług (QoS), zaporę ogniową i inne usługi bezpieczeństwa, gdy tylko tunel będzie aktywny.

      Dynamiczne VTI używają wirtualnej infrastruktury szablonów do dynamicznego tworzenia instancji i zarządzania interfejsami IPSec. W łatwej topologii VPN Menedżer ds. Bezpieczeństwa domyślnie tworzy wirtualny interfejs szablonu dla urządzenia. Jeśli urządzenie jest centrum, użytkownik musi podać adres IP w hubie, który będzie używany jako interfejs szablonu wirtualnego – może to być podsieć (pula adresów) lub istniejący interfejs pętli lub fizyczny interfejs. W mówieniu interfejs wirtualnego szablonu jest tworzony bez adresu IP.

      W menedżerze bezpieczeństwa konfigurujesz Dynamic VTI na stronie Easy VPN IPsec. Zobacz Konfigurowanie dynamicznego VTI dla łatwego VPN.

      Notatki

      • Dynamiczny VTI można skonfigurować tylko w hub-ipoke łatwej topologii VPN na routerach z iOS w wersji 12.4 (2) t i nowsze, z wyjątkiem 7600 urządzeń. Nie jest obsługiwany na zaporach pix, urządzeniach ASA lub przełącznikach serii Catalyst 6000.
      • Nie wszystkie piasty/szprychy wymagają dynamicznej konfiguracji VTI podczas wykrywania lub dostarczenia. Możesz przedłużyć istniejącą łatwą topologię VPN (w tym routery nie obsługujące DVTI), aby dodać routery obsługujące DVTI.
      • Dynamiczny VTI jest obsługiwany tylko na serwerach, tylko klienci (jeśli serwer nie obsługuje DVTI) lub zarówno klientów, jak i serwerów.
      • Nie można skonfigurować wysokiej dostępności na piastach/serwerach, które zostały skonfigurowane z DVTI.
      • Możesz także skonfigurować dynamiczny VTI w VPN dostępu do zdalnego dostępu. Aby uzyskać więcej informacji, zobacz Konfigurowanie dynamicznego VTI/VRF Awse IPsec w VPN dostępu do zdalnego dostępu (urządzenia iOS).

      Łatwe tryby konfiguracji VPN

      Łatwy VPN można skonfigurować w trzech trybach – rozszerzenie sieci, rozszerzenie sieci i rozszerzenie sieci.

      • Tryb klienta – domyślna konfiguracja, która umożliwia urządzeniom w witrynie klienta dostęp do zasobów w witrynie centralnej, ale pozwala na dostęp do witryny centralnej w celu uzyskania zasobów na stronie klienta. W trybie klienta pojedynczy adres IP jest przesuwany do zdalnego klienta z serwera po ustaleniu połączenia VPN. Ten adres jest zazwyczaj adresem routera w prywatnej przestrzeni adresu sieci klienta. Cały ruch przechodzący przez tunel łatwy VPN przechodzi tłumaczenie adresu portu (PAT) na ten pojedynczy adres IP.
      • Tryb rozszerzenia sieci – pozwala użytkownikom w centralnej stronie, aby uzyskać dostęp do zasobów sieciowych w witrynie klienta, i umożliwia komputerom klientom i hostom bezpośredni dostęp do komputerów i hostów w witrynie centralnej. Tryb rozszerzenia sieci określa, że ​​hosty na końcu klienta tunelu VPN powinny otrzymać adresy IP, które są w pełni roczne i osiągalne przez sieć docelową. Urządzenia na obu końcach połączenia będą tworzyć jedną sieć logiczną. PAT nie jest używany, więc hosty na końcu klienta mają bezpośredni dostęp do hostów w sieci docelowej. Innymi słowy, łatwy serwer VPN (Hub) podaje adresy routabelowe do łatwego klienta VPN (mówienie), podczas gdy cała LAN za klientem nie zostanie poddana PAT.
      • Tryb rozszerzenia sieci Plus – ulepszenie trybu rozszerzenia sieci, który można skonfigurować tylko na routerach iOS. Umożliwia automatyczne przypisanie adresu IP, który jest odbierany za pomocą konfiguracji trybu do dostępnego interfejsu Loopback. Ten adres IP może być używany do łączenia się z routerem w celu zdalnego zarządzania i rozwiązywania problemów (ping, telnet i bezpieczna powłoka). Jeśli wybierzesz tę opcję, niektóre clienx to nie są routery iOS, klienci ci są skonfigurowani w trybie rozszerzenia sieci.

      Konfigurujesz tryb w zasadzie charakterystyki połączenia klienta, jak opisano w konfiguracji charakterystyk połączenia klienta dla łatwego VPN.

      Powiązane tematy

      • Ważne notatki o łatwej konfiguracji VPN
      • Zrozumienie łatwego VPN

      Easy VPN i IKE Extended Authentication (Xauth)

      Podczas negocjowania parametrów tunelowych w celu ustanowienia tuneli IPSec w łatwej konfiguracji VPN, IKE Extended Authentication (Xauth) dodaje kolejny poziom uwierzytelnienia, który identyfikuje użytkownika, który żąda połączenia IPSec połączenia. Jeśli serwer VPN jest skonfigurowany dla Xauth, klient czeka na wyzwanie nazwy użytkownika/hasła po ustaleniu IKE Security Association (SA). Gdy użytkownik końcowy odpowiada na wyzwanie, odpowiedź jest przekazywana do rówieśników IPSec w celu uzyskania dodatkowego poziomu uwierzytelnienia.

      Wprowadzone informacje są sprawdzane w stosunku do jednostek uwierzytelniających za pomocą protokołów uwierzytelniania, autoryzacji i rachunkowości (AAA), takich jak promień i tacacs+. Karty tokenowe mogą być również używane za pośrednictwem proxy AAA. Podczas Xauth atrybut specyficzny dla użytkownika można odzyskać, jeśli poświadczenia tego użytkownika zostaną zatwierdzone przez promień.

      Notatka Serwery VPN skonfigurowane do obsługi zdalnych klientów powinny być zawsze skonfigurowane do egzekwowania uwierzytelniania użytkownika.

      Menedżer ds. Bezpieczeństwa umożliwia zapisanie nazwy użytkownika i hasła Xauth na samym urządzeniu, aby nie musisz wprowadzać tych poświadczeń ręcznie za każdym razem, gdy ustalany jest łatwy tunel VPN. Informacje są zapisywane w urządzeniu’s Plik konfiguracyjny i używany za każdym razem, gdy tunel jest ustalany. Zapisanie poświadczeń w urządzeniu’P Plik konfiguracyjny jest zwykle używany, jeśli urządzenie jest udostępniane między kilkoma komputerami i chcesz utrzymać tunel VPN przez cały czas, lub jeśli chcesz, aby urządzenie automatycznie wychowuje tunel, gdy jest wysyłany ruch.

      Zapisanie poświadczeń w urządzeniu’S Plik konfiguracyjny może jednak stworzyć ryzyko bezpieczeństwa, ponieważ każdy, kto ma dostęp do konfiguracji urządzenia, może uzyskać te informacje. Alternatywną metodą uwierzytelniania Xauth jest ręczne wprowadzenie nazwy użytkownika i hasła za każdym razem, gdy żądanie Xauth. Możesz wybrać, czy użyć okna przeglądarki internetowej, czy konsoli routerów, aby wprowadzić poświadczenia. Korzystając z interakcji internetowych, zwracana jest strona logowania, w której możesz wprowadzić poświadczenia, aby uwierzytelnić tunel VPN. Po pojawieniu się tunelu VPN wszyscy użytkownicy tej zdalnej witryny mogą uzyskać dostęp do korporacyjnej sieci LAN. Alternatywnie możesz ominąć tunel VPN i połączyć się tylko z Internetem, w którym to przypadku hasło nie jest wymagane.

      Łatwa aktywacja tunelu VPN

      Jeśli poświadczenia urządzenia (nazwa użytkownika i hasło Xauth) są przechowywane na samym urządzeniu, musisz wybrać metodę aktywacji tunelu dla klientów routerów iOS. Dostępne są dwie opcje:

      • Auto – Łatwy tunel VPN jest ustanowiony automatycznie, gdy łatwa konfiguracja VPN jest dostarczana do pliku konfiguracyjnego urządzenia. Jeśli tunel czas się upadnie, tunel automatycznie łączy się i odzyskuje w nieskończoność. Jest to opcja domyślna.
      • Aktywacja wyzwalana ruchem – łatwy tunel VPN jest ustalany za każdym razem, gdy wykrywa się ruch lokalny (strona LAN). Zalecana jest aktywacja uruchamiana ruchem do użytku z łatwą konfiguracją kopii zapasowej wybierania VPN, dzięki czemu kopia zapasowa jest aktywowana tylko wtedy. Korzystając z tej opcji, musisz określić listę kontroli dostępu (ACL), która definiuje “ciekawy” ruch drogowy.

      Konfigurujesz tryb aktywacji Xauth i Tunel w zasadzie charakterystyki połączenia klienta, jak opisano w konfigurowaniu charakterystyk połączenia klienta dla łatwego VPN.

      Powiązane tematy

      • Ważne notatki o łatwej konfiguracji VPN
      • Zrozumienie łatwego VPN
      • Konfigurowanie obiektów zasad poświadczeń

      Przegląd konfigurowania łatwego VPN

      Gdy zdalny klient inicjuje połączenie z serwerem VPN, uwierzytelnianie urządzenia między rówieśnikami występuje za pomocą IKE, a następnie uwierzytelnianie użytkownika za pomocą rozszerzonego uwierzytelniania IKE (Xauth), Push VPN Push (w trybie rozszerzenia sieci lub rozszerzenia sieci lub rozszerzenia sieci Plus) oraz IPSEC Security Association (SA) Stowarzyszenie (SA).

      Poniżej zawiera przegląd tego procesu:

      1. Klient inicjuje fazę 1 IKE w trybie agresywnym, jeśli do uwierzytelniania ma być używany klucz do uwierzytelnienia lub. Jeśli klient identyfikuje się z klawiszem złożonym, towarzysząca nazwa grupy użytkowników (zdefiniowana podczas konfiguracji) jest używana do identyfikacji profilu grupy powiązanego z tym klientem. Jeśli używane są certyfikaty cyfrowe, pole jednostki organizacyjnej (OU) o nazwie wyróżniającej (DN) służy do identyfikacji nazwy grupy użytkowników. Zobacz okno dialogowe Rejestracyjne PKI – karta nazwy tematu Certificate.
      1. Klient próbuje ustanowić IKE SA między publicznym adresem IP a publicznym adresem IP serwera VPN. Aby zmniejszyć ilość ręcznej konfiguracji na kliencie, zaproponowano każdą kombinację algorytmów szyfrowania i skrótu, oprócz metod uwierzytelniania i wielkości grupy D-H.
      2. W zależności od konfiguracji zasad IKE serwer VPN określa, która propozycja jest dopuszczalna, aby kontynuować negocjowanie fazy 1.
      1. Po pomyślnym ustaleniu IKE SA, a jeśli serwer VPN jest skonfigurowany dla Xauth, klient czeka na “Nazwa użytkownika Hasło” wyzwanie, a następnie reaguje na wyzwanie rówieśnika. Wprowadzone informacje są sprawdzane w stosunku do jednostek uwierzytelniających za pomocą protokołów uwierzytelniania, autoryzacji i rachunkowości (AAA), takich jak promień i tacacs+. Karty tokenowe mogą być również używane za pośrednictwem proxy AAA. Podczas Xauth atrybut specyficzny dla użytkownika można odzyskać, jeśli poświadczenia tego użytkownika zostaną zatwierdzone przez promień.
      1. Jeśli serwer wskazuje, że uwierzytelnianie zakończyło się powodzeniem, klient żąda dalszych parametrów konfiguracyjnych od rówieśnika. Pozostałe parametry systemu (na przykład adres IP, DNS i podzielone atrybuty tunelu) są naciskowe do klienta za pomocą konfiguracji trybu rozszerzenia klienta lub sieci.
      1. Po tym, jak każdy klient otrzyma wewnętrzny adres IP za pomocą konfiguracji trybu, odwrócona wtrysk trasy (RRI), jeśli jest skonfigurowana, zapewnia, że ​​trasa statyczna jest tworzona na urządzeniu dla każdego wewnętrznego adresu IP klienta.
      2. Ike Quick Mode jest inicjowany w celu negocjowania i tworzenia IPSec SAS.

      Połączenie jest kompletne.

      Ważne notatki o łatwej konfiguracji VPN

      Przed skonfigurowaniem łatwej zasady VPN w swojej topologii powinieneś wiedzieć, co następuje:

      • W łatwej konfiguracji topologii VPN wdrożenie się nie powiedzie, jeśli router serii 72xx jest używany jako zdalne urządzenie klienckie. Klient Easy VPN jest obsługiwany na PIX 501, 506, 506E Firewall z PIX 6.3, Cisco 800-3900 Routerów i urządzenia ASA 5505 z wykorzystaniem oprogramowania ASA Release 7.2 lub później.
      • Jeśli spróbujesz skonfigurować zasadę infrastruktury klucza publicznego (PKI) na PIX 6.3 Zdalny klient w łatwej konfiguracji topologii VPN, wdrożenie się nie powiedzie. Aby uzyskać pomyślne wdrożenie na tym urządzeniu, musisz najpierw wydać certyfikat PKI na serwerze CA, a następnie spróbować ponownie wdrożyć urządzenie. Aby uzyskać więcej informacji na temat polityk PKI, zobacz Zrozumienie zasad infrastruktury kluczowej publicznej.
      • W niektórych przypadkach wdrożenie zawodzi na urządzeniu, które służy jako łatwy klient VPN, jeśli mapa kryptograficzna jest skonfigurowana na interfejsie wewnętrznym NAT (lub PAT) zamiast interfejsu zewnętrznego. Na niektórych platformach ustalone są interfejsy wewnętrzne i zewnętrzne. Na przykład w routerze Cisco 1700 interfejs VPN musi być urządzeniem’S interfejs FastEthernet0. Na routerze Cisco 800 interfejs VPN może być albo urządzeniem’interfejs Ethernet0 lub Dialer1, w zależności od konfiguracji. W router kablowy Cisco UBR905/UBR925 interfejs VPN musi być interfejs Ethernet0.

      Konfigurowanie charakterystyk połączenia klienta dla łatwego VPN

      Użyj strony Charakterystyka połączenia klienta, aby określić, w jaki sposób ruch będzie kierowany w łatwej topologii VPN i jak zostanie ustanowiony tunel VPN. Charakterystyka zdefiniowana w niniejszej Polityce są skonfigurowane dla klientów zdalnych. Przed skonfigurowaniem tych zasad przeczytaj następujące tematy:

      • Łatwe tryby konfiguracji VPN
      • Easy VPN i IKE Extended Authentication (Xauth)

      Ścieżka nawigacyjna

      • (Site-to Site VPN Manager Window) Wybierz łatwą topologię VPN w selektorze VPNS, a następnie wybierz Charakterystykę połączenia klienta w Selector Polityce.
      • (Widok zasad) Wybierz witrynę witryny VPN> Charakterystyka połączenia klienta i utwórz nową zasadę lub edytuj istniejące zasady.

      Powiązane tematy

      • Zrozumienie łatwego VPN
      • Tworzenie obiektów listy kontroli dostępu
      • Ważne notatki o łatwej konfiguracji VPN

      Odniesienie pola

      Tryb konfiguracji dla urządzeń zdalnych:

      • Klient – określa, że ​​cały ruch od zdalnego klienta’S Wewnętrzna sieć przejdzie tłumaczenie adresu portu (PAT) na jeden adres IP, który został przypisany do urządzenia przez serwer końcowy w czasie połączenia.
      • Rozszerzenie sieci – określa, że ​​komputery i inne hosty na końcu klienta tunelu VPN powinny otrzymać adresy IP, które są w pełni roczne i osiągalne przez sieć docelową. PAT nie jest używany, umożliwiając komputerom klientom i hostom na bezpośredni dostęp do komputerów i hostów w sieci docelowej.
      • Rozszerzenie sieci Plus – ulepszenie trybu rozszerzenia sieci, które umożliwia automatyczne przypisanie adresu IP, który jest odbierany za pomocą konfiguracji trybu do dostępnego interfejsu pętli. IPSec SAS dla tego adresu IP są automatycznie tworzone przez klienta Easy VPN. Adres IP jest zwykle używany do rozwiązywania problemów (za pomocą ping, telnet i bezpiecznej powłoki).

      Jeśli wybierzesz rozszerzenie Network Plus, ten tryb jest skonfigurowany tylko na routerach iOS. Klienci, które są urządzeniami PIX lub ASA, są skonfigurowane w trybie rozszerzenia sieci.

      Źródło poświadczeń Xauth

      Wybierz sposób, w jaki chcesz wprowadzić poświadczenia Xauth do uwierzytelnienia użytkownika podczas ustanowienia połączenia VPN z serwerem:

      • Uwierzytelności przechowywane przez urządzenie (domyślnie) – nazwa użytkownika i hasło są zapisywane na samym urządzeniu w urządzeniu’p plik konfiguracyjny, który ma być używany za każdym razem, gdy tunel jest ustalany.
      • Interaktywne wprowadzone poświadczenia – uniemożliwia ręczne wprowadzenie nazwy użytkownika i hasła za każdym razem, gdy żądanie Xauth, w oknie przeglądarki internetowej lub z konsoli routera.

      Dostępne tylko wtedy, gdy wybrałeś przechowywane przez urządzenie poświadczenia jako źródło poświadczeń Xauth.

      Obiekt polityki poświadczeń, który określa domyślne poświadczenia ksuuth. Wprowadź nazwę obiektu lub kliknij wybierz, aby wybrać go z listy lub utworzyć nowy obiekt. Aby uzyskać więcej informacji, zobacz Konfigurowanie obiektów zasad poświadczeń.

      Aktywacja tunelu (iOS)

      Dostępne tylko wtedy, gdy wybrałeś opcję przechowywane urządzeniem dla źródła hasła Xauth.

      W przypadku klientów routera iOS wybierz metodę aktywacji tunelu:

      • Auto (domyślnie) – łatwy tunel VPN jest ustanowiony automatycznie, gdy łatwa konfiguracja VPN jest dostarczana do pliku konfiguracyjnego urządzenia. Jeśli tunel czas się upadnie, tunel automatycznie łączy się i odzyskuje w nieskończoność.
      • Aktywacja wyzwalana ruchem – łatwy tunel VPN jest ustalany za każdym razem, gdy wykrywa się ruch lokalny (strona LAN). Jeśli wybierzesz Aktywację wyzwalaną ruchem, wprowadź również nazwę obiektu zasad List Kontrola dostępu (ACL), który określa ruch, który powinien aktywować tunel. Kliknij Wybierz, aby wybrać obiekt lub utworzyć nowy obiekt.

      Zalecana jest aktywacja uruchamiana ruchem do użytku, gdy skonfigurowana jest łatwa kopia zapasowa wybierania VPN, aby kopia zapasowa była aktywowana tylko wtedy, gdy jest ruch do wysłania przez tunel.

      Metoda uwierzytelniania użytkownika (iOS)

      Dostępne tylko wtedy, gdy wybrałeś opcję interaktywnych wprowadzonych poświadczeń dla źródła kody Xauth. Opcja dotyczy tylko odległych routerów iOS.

      Wybierz jeden z tych sposobów interaktywnego wprowadzenia nazwy użytkownika i hasła Xauth za każdym razem, gdy żądanie uwierzytelniania Xauth:

      • Przeglądarka internetowa (domyślnie) – mądra w oknie przeglądarki internetowej.
      • Konsola routera – mądra z routera’s wiersz poleceń.

      Konfigurowanie obiektów zasad poświadczeń

      Użyj okna dialogowego poświadczenia, aby tworzyć, kopiować i edytować obiekty poświadczeń.

      Obiekty poświadcza są używane w łatwej konfiguracji VPN podczas rozszerzonego uwierzytelniania IKE (Xauth) podczas uwierzytelniania dostępu użytkownika do usług sieciowych i sieciowych. Podczas negocjacji parametrów tunelowych w celu ustanowienia tuneli IPSec w łatwej konfiguracji VPN, Xauth identyfikuje użytkownika, który żąda połączenia IPSec. Jeśli serwer VPN jest skonfigurowany dla Xauth, klient czeka na “Nazwa użytkownika Hasło” Wyzwanie po ustanowieniu IKE SA. Gdy użytkownik końcowy odpowiada na wyzwanie, odpowiedź jest przekazywana do rówieśników IPSec w celu uzyskania dodatkowego poziomu uwierzytelnienia. Możesz zapisać poświadczenia Xauth (nazwa użytkownika i hasło) na samym urządzeniu, dzięki.

      Ścieżka nawigacyjna

      Wybierz Zarządzanie> Obiekty zasad, a następnie wybierz poświadczenia z selektora typu obiektów. Kliknij prawym przyciskiem myszy wewnątrz obszaru roboczego i wybierz nowy obiekt lub kliknij prawym przyciskiem myszy i wybierz Edytuj obiekt .

      Powiązane tematy

      • Easy VPN i IKE Extended Authentication (Xauth)
      • Konfigurowanie charakterystyk połączenia klienta dla łatwego VPN
      • Menedżer obiektów zasad

      Odniesienie pola

      Nazwa obiektu, która może mieć do 128 znaków. Nazwy obiektów nie są wrażliwe. Aby uzyskać więcej informacji, zobacz tworzenie obiektów zasad.

      Opcjonalny opis obiektu (do 1024 znaków).

      Nazwa, która zostanie użyta do identyfikacji użytkownika podczas uwierzytelniania Xauth.

      Hasło dla użytkownika, wprowadzone w obu polach. Hasło musi być alfanumeryczne i maksymalnie 128 znaków. Przestrzenie nie są dozwolone.

      Kategoria przypisana do obiektu. Kategorie pomagają organizować i identyfikować reguły i obiekty. Patrz przy użyciu obiektów kategorii.

      Zezwalaj na zastąpienie wartości na urządzenie

      Czy zezwolić na zmianę definicji obiektu na poziomie urządzenia. Aby uzyskać więcej informacji, zobacz umożliwienie zastąpienia obiektu polityki i zrozumienia zastępowania obiektów polityki dla poszczególnych urządzeń.

      Jeśli zezwalasz na zastępowanie urządzeń, możesz kliknąć przycisk Edytuj, aby utworzyć, edytować i wyświetlić zastępowanie. Pole zastąpienia wskazuje liczbę urządzeń, które mają zastąpienie tego obiektu.

      Konfigurowanie propozycji IPSec dla łatwego VPN

      Użyj strony Easy VPN IPsec, aby skonfigurować propozycję IPSec używaną podczas negocjacji fazy IKE dla łatwych topologii VPN. Propozycja IPSec jest skonfigurowana na karcie propozycji IPSec; Opcje zostały opisane poniżej.

      W łatwych topologiach VPN możesz również skonfigurować dynamiczny wirtualny interfejs na karcie Dynamic VTI. W celu wyjaśnienia konfiguracji DVTI, Seeconfiguring Dynamic VTI dla łatwego VPN .

      Notatka Ten temat opisuje stronę propozycji IPSec, gdy technologia VPN na miejscu jest łatwa VPN. Opis strony propozycji IPSec, gdy technologia VPN na miejscu jest czymś innym .

      Ścieżka nawigacyjna

      • (Site-to-Site VPN Manager Window) Wybierz łatwą topologię VPN w selektorze VPNS, a następnie wybierz Propozycję Easy VPN IPSec w selektorze zasad. Kliknij kartę propozycji IPSec.
      • (Widok zasad) Wybierz witrynę witryny VPN> Propozycja VPN IPSEC z selektora typów zasad. Wybierz istniejącą wspólną zasadę lub utwórz nową. Kliknij kartę propozycji IPSec.

      Powiązane tematy

      • Zrozumienie łatwego VPN
      • Konfigurowanie propozycji IPSec dla łatwego VPN
      • Zrozumienie obiektów grupy serwera AAA i serwera
      • Zrozumienie propozycji IPSec

      Odniesienie pola

      Zestawy transformacji IKEV1

      Zestawy transformacji do wykorzystania w polityce tunelowej. Zestawy transformacji Określ, które algorytmy uwierzytelniania i szyfrowania będą używane do zabezpieczenia ruchu w tunelu. Możesz wybrać do 11 zestawów transformacji. Aby uzyskać więcej informacji, zobacz Zrozumienie zestawów transformacji.

      Zestawy transformacji mogą używać tylko operacji IPSec w trybie tunelu.

      Jeśli więcej niż jeden z wybranych zestawów transformacji jest obsługiwany przez obu rówieśników, zostanie użyty zestaw transformacji, który zapewnia najwyższe bezpieczeństwo.

      Kliknij Wybierz, aby wybrać obiekty zasad transformacji ipsec, które należy użyć w topologii. Jeśli wymagany obiekt nie jest jeszcze zdefiniowany, możesz kliknąć przycisk Utwórz (+) pod listą dostępnych obiektów w oknie dialogowym Wybór, aby utworzyć nowy. Aby uzyskać więcej informacji, zobacz Konfigurowanie IPSec IKEV1 lub IKEV2 Przekształć obiekty zasad zasad.

      Obsługiwane na urządzeniach ASA 5500 serii, PIX 7.0+ urządzeń i routerów Cisco IOS z wyjątkiem 7600 urządzeń.

      Odwrotna trasa wstrzyknięcia (RRI) umożliwia automatyczne wkładanie tras statycznych do procesu routingu dla tych sieci i hostów chronionych przez zdalny punkt końcowy tunelu. Aby uzyskać więcej informacji, zobacz zrozumienie wstrzyknięcia odwrotnej trasy.

      Wybierz jedną z następujących opcji, aby skonfigurować RRI na mapie kryptograficznej:

      • Brak – Wykazuje konfigurację RRI na mapie kryptograficznej.
      • Standard – (ASA, PIX 7.0+, urządzenia iOS) tworzy trasy na podstawie informacji docelowych zdefiniowanych na liście kontroli dostępu do mapy kryptograficznej (ACL). Jest to opcja domyślna.
      • Zdalny peer – (tylko urządzenia iOS) tworzy dwie trasy, jedną dla zdalnego punktu końcowego i jeden dla rekurencji trasy do zdalnego punktu końcowego za pośrednictwem interfejsu, do którego zastosowana jest mapa kryptograficzna.
      • Zdalne równorzędne IP – (tylko urządzenia iOS) określa adres jako jawny następny przeskok do zdalnego urządzenia VPN. Wprowadź adres IP lub obiekt sieci/hosta, który określa adres lub kliknij Wybierz, aby wybrać obiekt sieci/hosta z listy lub utworzyć nowy obiekt.

      Włącz przemieszczenie translacji adresu sieciowego

      Obsługiwane na PIX 7.Urządzenia serii 0+ i ASA 5500.

      Czy zezwolić na przemieszczenie translacji adresu (NAT).

      Użyj NAT Traversal, gdy istnieje urządzenie między piastem połączonym przez VPN, a które wykonuje translację adresów sieciowych (NAT) na ruchu IPSec. Informacje na temat NAT Traversal, zobacz zrozumienie NAT w VPNS.

      Metoda wyszukiwania zasad grupy/AAA

      Obsługiwane tylko w routerach Cisco IOS.

      Lista metod autoryzacji AAA, która zostanie użyta do zdefiniowania kolejności przeszukiwania zasad grupowych. Zasady grupy można skonfigurować zarówno na serwerze lokalnym, jak i na zewnętrznym serwerze AAA. Użytkownicy zdalni są zgrupowani, tak że gdy zdalny klient ustanawia udane połączenie z serwerem VPN, zasady grupy dla tej konkretnej grupy użytkowników są przekształcane do wszystkich klientów należących do grupy użytkowników.

      Kliknij Wybierz, aby otworzyć okno dialogowe, które zawiera listę wszystkich dostępnych serwerów grupy AAA, w którym można tworzyć obiekty serwera grupy AAA. Wybierz wszystkie, które mają zastosowanie i użyj przycisków strzałek w górę i w dół, aby złożyć je w kolejności priorytetowej.

      Uwierzytelnianie użytkownika (Xauth)/AAA Metoda uwierzytelniania

      Obsługiwane na routerach Cisco IOS i PIX 6.3 zapory ogniowe.

      Metoda uwierzytelniania użytkownika AAA lub Xauth używana do zdefiniowania kolejności przeszukiwanych kont użytkowników.

      Xauth pozwala wszystkim metodom uwierzytelniania AAA wykonywanie uwierzytelniania użytkownika w osobnej fazie po IKE Authentication Faza Exchange 1. Nazwa listy konfiguracji AAA musi być zgodna z listą konfiguracji Xauth, aby wystąpić uwierzytelnianie użytkownika.

      Po pomyślnym ustaleniu IKE SA, a jeśli urządzenie jest skonfigurowane dla Xauth, klient czeka na wyzwanie nazwy użytkownika/hasła, a następnie odpowiada na wyzwanie rówieśnika. Wprowadzone informacje są sprawdzane w stosunku do jednostek uwierzytelniających za pomocą protokołów uwierzytelniania, autoryzacji i rachunkowości (AAA), takich jak promień i tacacs+.

      Kliknij Wybierz, aby otworzyć okno dialogowe, które zawiera listę wszystkich dostępnych serwerów grupy AAA, w którym można tworzyć obiekty serwera grupy AAA. Wybierz wszystkie, które mają zastosowanie i użyj przycisków strzałek w górę i w dół, aby złożyć je w kolejności priorytetowej.

      Konfigurowanie dynamicznego VTI dla łatwego VPN

      Użyj karty Dynamic VTI z zasady propozycji Easy VPN IPsec, aby skonfigurować dynamiczny wirtualny interfejs tunelu na urządzeniu w hub-ipoke łatwa topologia VPN. Aby uzyskać więcej informacji, zobacz Easy VPN z dynamicznymi wirtualnymi interfejsami tunelowymi.

      Notatka Dynamiczny VTI można skonfigurować tylko na routerach iOS z iOS w wersji 12.4 (2) t i nowsze, z wyjątkiem 7600 urządzeń.

      Ścieżka nawigacyjna

      • (Site-to-Site VPN Manager Window) Wybierz łatwą topologię VPN w selektorze VPNS, a następnie wybierz Propozycję Easy VPN IPSec w selektorze zasad. Kliknij kartę Dynamic VTI.
      • (Widok zasad) Wybierz witrynę witryny VPN> Propozycja VPN IPSEC z selektora typów zasad. Wybierz istniejącą wspólną zasadę lub utwórz nową. Kliknij kartę Dynamic VTI.

      Powiązane tematy

      • Zrozumienie łatwego VPN
      • Konfigurowanie propozycji IPSec dla łatwego VPN

      Odniesienie pola

      Włącz dynamiczny VTI

      Po wybraniu umożliwia Menedżera bezpieczeństwa niejawne utworzenie dynamicznego wirtualnego interfejsu szablonu na urządzeniu.

      Jeśli urządzenie jest serwerem piasty, który nie obsługuje dynamicznego VTI, wyświetlany jest komunikat ostrzegawczy, a mapa kryptograficzna jest wdrażana bez dynamicznego VTI. W przypadku urządzenia klienckiego wyświetlany jest komunikat o błędzie.

      Szablon wirtualny IP

      Jeśli konfigurujesz dynamiczny VTI w hubu w topologii, określ rolę adresu podsieci lub interfejsu:

      • Podsieć – Aby użyć adresu IP pobranego z puli adresów. Wprowadź prywatny adres IP, w tym maska ​​podsieci, na przykład 10.1.1.0/24.
      • Rola interfejsu – aby użyć interfejsu fizycznego lub pętlowego na urządzeniu. W razie potrzeby kliknij wybierz, aby otworzyć selektor interfejsu, w którym można wybrać obiekt roli interfejsu, który identyfikuje żądany interfejs. Jeśli odpowiedni obiekt jeszcze nie istnieje, możesz utworzyć jeden w oknie dialogowym wyboru.

      Jeśli konfigurujesz dynamiczny VTI w mówieniu w topologii, wybierz Brak .

      Konfigurowanie zasad profilu połączenia dla łatwego VPN

      Profil połączenia składa się z zestawu rekordów zawierających zasady połączenia IPSec Tunnel. Profile połączeń lub grupy tunelowe, zidentyfikuj zasady grupy dla określonego połączenia i uwzględnij atrybuty zorientowane na użytkownika. Jeśli nie przypiszesz konkretnej zasady grupy użytkownikowi, obowiązuje domyślna zasady grupy dla połączenia. Aby uzyskać udane połączenie, nazwa użytkownika zdalnego klienta musi istnieć w bazie danych, w przeciwnym razie połączenie zostanie odrzucone.

      W witrynie witryny VPN konfigurujesz zasady profilu połączenia na łatwym serwerze VPN, który może być zaporem pix w wersji 7.0+ lub urządzenie serii ASA 5500. Polityka profilu połączenia VPN jest podobna do tej używanej do zdalnego dostępu VPN.Możesz zapisać zasadę profilu połączenia, jeśli żaden z łatwych serwerów VPN nie jest ASA lub PIX 7.0+ urządzeń.

      Tworzenie zasad profilu połączenia obejmuje określenie:

      • Polityka grupy-zbiór atrybutów zorientowanych na użytkownika przechowywane wewnętrznie na urządzeniu lub zewnętrznie na serwerze Radius/LDAP.
      • Globalne ustawienia AAA – serwery autentyczne, autoryzacja i rachunki.
      • Serwery DHCP, które mają być używane do przypisania adresu klienta, a pule adresów, z których adresy IP zostaną przypisane.
      • Ustawienia dla Internet Key Exchange (IKE) i IPsec (takie jak klucz do prethared).

      Na PIX7.0+/ASA Profile Profiles, możesz profile połączeń na swoim serwerze Easy VPN.

      Powiązane tematy

      • Tworzenie lub edytowanie topologii VPN
      • Zrozumienie technologii i zasad IPSec
      • Zrozumienie łatwego VPN

      Procedura

      Wykonaj jedną z następujących czynności:

      • (Site-to Site VPN Manager Window) Wybierz łatwą topologię VPN w selektorze VPNS, a następnie wybierz profile połączeń (PIX 7.0/ASA) w selektorze polityk.
      • (Widok zasad) Wybierz witrynę witryny VPN> Profile połączeń (PIX 7.0/ASA) z selektora typów zasad. Wybierz istniejącą wspólną zasadę lub utwórz nową.

      Informacje na temat zasad znajdują się strona profili połączenia.

      Na karcie Ogólne określ nazwę profilu połączenia i zasady grupy i wybierz, która metoda (lub metody) przypisania adresu do użycia. Opis dostępnych właściwości można znaleźć w karcie ogólnej (profile połączeń).

      Kliknij kartę AAA i określ parametry uwierzytelniania AAA dla profilu połączenia. Opis elementów na karcie patrz karta AAA (profile połączeń).

      Kliknij kartę IPSec i określ parametry IPSec i IKE dla profilu połączenia. Opis elementów na karcie patrz zakładka IPSec (profile połączeń).

      Konfigurowanie zasad grupy użytkowników dla łatwego VPN

      Użyj strony zasad grupy użytkowników, aby utworzyć lub edytować zasady grupy użytkowników na swoim serwerze Easy VPN. Po skonfigurowaniu łatwego serwera VPN tworzysz grupę użytkowników, do której należą zdalne klienci. Łatwe zasady grupy użytkowników VPN można skonfigurować na router Cisco IOS Security, PIX 6.3 urządzenie zapory ogniowe lub Catalyst 6500 /7600. Możesz zapisać zasady grupy użytkowników, jeśli żaden z łatwych serwerów VPN to routery iOS, urządzenia Catalyst 6500/7600 lub PIX 6.3 zapory ogniowe.

      Zdalne klienci muszą mieć tę samą nazwę grupy, co grupa użytkowników skonfigurowana na serwerze w celu podłączenia z urządzeniem, w przeciwnym razie nie zostanie ustalone połączenie. Gdy zdalny klient ustanawia pomyślne połączenie z serwerem VPN, zasady grupy dla tej konkretnej grupy użytkowników są popychane do wszystkich klientów należących do grupy użytkowników.

      Wybierz obiekt zasad grupy użytkowników, którego chcesz użyć na zasadzie z listy dostępnych grup użytkowników. Możesz utworzyć nowy obiekt grupy użytkowników, klikając przycisk Utwórz (+) lub edytuj istniejącą grupę, wybierając go i klikając przycisk Edytuj (ikona ołówka). Aby uzyskać informacje na temat konfigurowania obiektu grupy użytkowników, zobacz okno dialogowe Dodaj lub edytuj grupę grupy użytkowników.

      Ścieżka nawigacyjna

      • (Site-to Site VPN Manager Window) Wybierz łatwą topologię VPN w selektorze VPNS, a następnie wybierz zasady grupy użytkowników w Selector Policyties.
      • (Widok zasad) Wybierz witrynę witryny VPN> Polityka grupy użytkowników z selektora typów zasad. Wybierz istniejącą wspólną zasadę lub utwórz nową.

      Powiązane tematy

      Łatwe wymagania serwera VPN

      Aby wdrożyć łatwe możliwości zdalnych VPN, należy spełnić szereg warunków wstępnych. Cisco Easy VPN Zdalne funkcja wymaga, aby równorzędny był serwer Cisco Easy VPN lub koncentrator VPN, który obsługuje funkcję Cisco Easy VPN Server. Zasadniczo zestawy funkcji sprzętowych i oprogramowania muszą być zdolne do wykonywania ról i funkcji łatwego rozwiązania VPN. W tym celu wymagana jest minimalna wersja Cisco IOS w następujący sposób:

      ■ Cisco 831, 836, 837, 851, 857, 871, 876, 877 i 878 router.2 (8) t lub nowszy (zauważ, że routery serii 800 nie są obsługiwane w Cisco IOS 12.3 (7) XR, ale są obsługiwane w 12.3 (7) XR2

      ■ Routery serii Cisco 1700 – Oprogramowanie ACISCO IOS Wydanie 12.2 (8) t lub nowszy

      ■ Routery Cisco 2600 Series – Oprogramowanie Acisco IOS Wydanie 12.2 (8) t lub nowszy

      ■ Routery serii Cisco 3600 – oprogramowanie Acisco IOS Wydanie 12.2 (8) t lub nowszy

      ■ Routery VPN serii Cisco 7100 – Oprogramowanie ACISCO IOS Wydanie 12.2 (8) t lub nowszy

      ■ Routery serii Cisco 7200 – Oprogramowanie Acisco IOS Wydanie 12.2 (8) t lub nowszy

      ■ Routery serii Cisco 7500 – Oprogramowanie Acisco IOS Wydanie 12.2 (8) t lub nowszy

      ■ Cisco PIX 500 Series – Pix OS wydanie 6.2 lub później

      ■ Cisco VPN 3000 Series – Software Wydanie 3.11 lub później

      Ponadto wymagania dotyczące łatwych serwerów VPN obejmują potrzebę zasad bezpieczeństwa internetowego i zasad dotyczących protokołu zarządzania kluczami (ISAKMP) z wykorzystaniem negocjacji IKE Diffie-Hellman Group 2 (1024-bit). Jest to konieczne, ponieważ protokół Cisco Unity obsługuje tylko zasady ISAKMP za pomocą grupy 2 Ike. Protokół Cisco Unity odnosi się do Methodology VPN Klienci używają do określenia kolejności zdarzeń podczas próby połączenia z serwerem VPN.

      Protokół Cisco Unity działa w oparciu o pojęcie grupy klientów. Klient Unity musi najpierw zidentyfikować i uwierzytelnić się według grupy, a jeśli Xauth włączony, przez użytkownika później. Łatwy serwer VPN nie może być skonfigurowany dla grupy 1 lub 5 ISAKMP, gdy jest używany z łatwymi klientami VPN.

      Aby zapewnić bezpieczne połączenia tunelowe, funkcja zdalnego zdalnego VPN Cisco Easy VPN nie obsługuje zestawów transformacji, zapewniając szyfrowanie bez uwierzytelniania ani uwierzytelniania bez szyfrowania. Zarówno szyfrowanie, jak i uwierzytelnianie muszą być reprezentowane.

      Protokół Cisco Unity nie obsługuje uwierzytelniania nagłówka uwierzytelniania (AH), ale obsługuje enkapsulację ładunek bezpieczeństwa (ESP).

      Czasami połączenie VPN może być używane jako połączenie kopii zapasowej, które ma zostać ustalone i użyte, gdy podstawowy łącze jest niedostępne. Dostępne są różne możliwości tworzenia kopii zapasowych, aby zaspokoić taką potrzebę, w tym między innymi kopie zapasowe. Podczas korzystania z scenariuszy kopii zapasowej z łatwym VPN należy zrozumieć, że każda metoda kopii zapasowej oparta na statusie linii nie jest obsługiwana. Oznacza to, że główny interfejs w stanie w górę/w dół nie uruchomi zakładu połączenia VPN.

      Warto również wspomnieć o tym fakt, że interoperacyjność NAT nie jest obsługiwana w trybie klienta, gdy włączanie tunelowania podzielonego. Wynika to z faktu, że klient będzie podłączony zarówno do witryny centralnej, jak i z lokalną sieci LAN, z routingiem włączonym do obu sieci według definicji podzielonej tunelowania. Bez podziału tunelowania adres IP przypisany przez witrynę centralną stanie się adresem interfejsu klienta. Unika to możliwości nakładania się adresu. Kiedy włączono podzielone tunelowanie, nie zawsze tak jest. Po ustanowieniu połączenia i wstrzyknięciu trasy do centralnej sieci witryny w celu uzyskania zdalnej realizacji witryny, trasa musi być wyjątkowa. Podzielone tunelowanie pozwala na nakładanie się adresu.

      Czy ten artykuł był pomocny?

      powiązane posty

      • Czy znam to już quiz uvu
      • Koncentrator Cisco VPN 3000
      • Framework protokołu IPSEC – bezpieczny VPN
      • Badanie podstaw IPSec
      • Projektowanie sieci VPN – CCDA
      • Materiał naukowy dla studentów Cisco
      • Promieniowanie elektromagnetyczne i zdrowie ludzkie
      • Utwórz swoją pierwszą stronę zarabiania pieniędzy
      • Systemy zarządzania relacjami z klientami