Easy VPN remota de Cisco Contenidos Easy VPN remota de Cisco Contenidos Requisitos previos para la Easy VPN remota de Cisco Restricciones para la Easy VPN remota de Cisco Información acerca de la Easy VPN remota de Cisco Ventajas de la función Easy VPN remota de Cisco Información general sobre la Easy VPN remota de Cisco Modos de funcionamiento Autenticación Opciones de activación del túnel Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos Funciones de la Easy VPN remota de Cisco Cómo configurar la Easy VPN remota de Cisco Tareas remotas Tareas del servidor Easy VPN Tareas de la interfaz web Resolución de problemas de la conexión VPN Ejemplos de configuración para la Easy VPN remota de Cisco Ejemplos de configuración de la Easy VPN remota Ejemplos de configuración del servidor Easy VPN Referencias adicionales Documentos relacionados Normas MIB RFC Asistencia técnica Referencia de comandos clear crypto ipsec client ezvpn crypto ipsec client ezvpn (global)
crypto ipsec client ezvpn (interfaz) crypto ipsec client ezvpn connect crypto ipsec client ezvpn xauth debug crypto ipsec client ezvpn debug ip auth-proxy ezvpn icmp-echo ip http ezvpn show crypto ipsec client ezvpn show tech-support type echo protocol ipIcmpEcho xauth userid mode Apéndice A: Atributos compatibles con la configuración de modos Glosario
Easy VPN remota de Cisco Este documento proporciona información acerca de la configuración y supervisión de la función Easy VPN remota de Cisco para crear túneles con IPsec en la Red privada virtual (VPN) entre un router compatible y un servidor Easy VPN (un router de Cisco IOS, un concentrador VPN 3000 o el Firewall PIX de Cisco ) compatibles con este tipo de cifrado y descifrado IPsec. Para conocer las ventajas de esta función, consulte la sección " Beneficios de la función Easy VPN remota de Cisco". Historial de funciones de la Easy VPN remota de Cisco Versión
Modificación
12.2(4)YA
Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase I) en los routers 806, 826, 827 y 828 de Cisco , en los routers de la serie 1700 de Cisco ; y en los routers de Cisco de acceso por cable uBR905 y uBR925.
12.2(13)T
Se integró la Easy VPN remota de Cisco en la versión 12.2(13)T de Cisco IOS .
12.2(8)YJ
Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase II) en los routers 806, 826, 827 y 828 de Cisco , en los routers de la serie 1700 de Cisco ; y en los routers de Cisco de acceso por cable uBR905 y uBR925.
12.2(15)T
Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase II) a la versión 12.2(15)T de Cisco IOS . Se agregó la compatibilidad con los routers de Cisco series 2600, 3600 y 3700.
12.3(2)T
Se agregó la contraseña de 6 caracteres a la función de configuración del IOS.
12.3(4)T
Se agregaron las funciones Guardar contraseña y Hacer copia de respaldo de múltiples pares.
12.3(7)T
Se agregó la función de IPsec, opción de mensaje periódico para la detección de pares inactivos.
12.3(7)XR
Se introdujeron las siguientes funciones: detección de pares inactivos con migración tras error (failover) sin recuperación de información (Rastreo de objetos con Easy VPN): configuración local de la lista de servidores de respaldo y autoconfiguración de la lista de servidores de respaldo, mejoras en la administración, balance de carga, compatibilidad con VLAN, compatibilidad con múltiples subredes, activación por tráfico, confidencialidad directa perfecta (PFS) mediante "policy push", autenticación 802.1x, soporte de certificado (PKI), Easy VPN remota y Servidor en la misma interfaz, e Easy VPN remota y Sitio a Sitio en la misma interfaz. Nota Los routers de la serie 800 de Cisco no son compatibles con la versión 12.3(7)XR de Cisco IOS
. Nota Estas funciones sólo están disponibles en la versión 12.3(7)XR2 de Cisco. 12.3(7)XR2
Se introdujeron las funciones de la versión 12.3(7)XR de Cisco IOS en los routers de la serie 800 de Cisco.
12.3(8)YH
Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en el router 1812 de Cisco.
12.3(11)T
Excepto por las funciones respaldo de marcado y activación por tráfico, todas las funciones que se introdujeron en las versiones 12.3(7)XR y 12.3(7)XR2 de Cisco IOS se integraron en la versión 12.3(11)T de Cisco IOS.
12.3(14)T
Se integraron las funciones respaldo de marcado y activación por tráfico en la versión 12.3(14)T de Cisco IOS. Además, en esta versión se introdujo la función activación basada en la Web.
12.3(8)YI
Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en los routers de configuración fija de la serie 1800 de Cisco.
12.3(8)YI1
Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en los routers de las series 850 y 870 de Cisco.
12.2(4)T
En esta versión se introdujeron las siguientes funciones:
12.4(4)T
•
Compatibilidad con la interfaz virtual IPsec
•
Carteles, actualizaciones automáticas y mejoras en los exploradores del proxy.
En esta versión se introdujeron las siguientes funciones: •
Compatibilidad con el túnel doble
• Mejoras en la administración de configuración (Activación de un URL de configuración mediante un intercambio de configuración de modos) •
Reactivar par principal
12.2(33)SRA Se integró la Easy VPN remota de Cisco en la versión 12.2(33)SRA de Cisco IOS.
Búsqueda de información acerca de las plataformas y las imágenes del software Cisco IOS compatibles Utilice Cisco Feature Navigator para buscar información acerca de las plataformas y las imágenes del software Cisco IOS compatibles. Acceda al Cisco Feature Navigator en http://www.cisco.com/cisco/web/LA/support/index.html. Debe contar con una cuenta en Cisco.com. Si no tiene una cuenta o ha olvidado su nombre de usuario o contraseña, haga clic en Cancel (Cancelar) en el cuadro de diálogo y siga las instrucciones que aparecen.
Contenidos •
Requisitos previos para la Easy VPN remota de Cisco
•
Restricciones para la Easy VPN remota de Cisco
•
Información acerca de la Easy VPN remota de Cisco
•
Cómo configurar la Easy VPN remota de Cisco
•
Ejemplos de configuración para la Easy VPN remota de Cisco
•
Referencias adicionales
•
Referencia de comandos
•
Glosario
Requisitos previos para la Easy VPN remota de Cisco Funciones de la Easy VPN remota de Cisco • Un router de la serie 800 de Cisco que se ejecute con las versiones 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T de Cisco IOS o 12.3(7)XR2 configurada como una Easy VPN remota de Cisco.
• Un router de la serie 1700 de Cisco que se ejecute con las versiones 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T de Cisco IOS o 12.3(7)XR configurada como una Easy VPN remota de Cisco. •
Un router de configuración fija de la serie 1800 de Cisco que se ejecute con la versión 12.3(8)YI de Cisco IOS.
• Un router de Cisco de acceso por cable uBR905 o uBR925 que se ejecute con la versión 12.2(15)T de Cisco IOS, configurada como una Easy VPN remota de Cisco. • Otro router de Cisco o un concentrador VPN compatible con la función Servidor Easy VPN de Cisco configurada como un servidor Easy VPN de Cisco IOS. Consulte la sección "Servidores Easy VPN requeridos" para ver una lista detallada. Función reactivar par principal • Una configuración de una Easy VPN remota existente puede mejorarse agregando la función Reactivar par principal mediante los comandos peer (y la palabra clave default) e idle-time. Después de establecer el túnel entre la Easy VPN remota y el par no predeterminado, la función Reactivar par principal comienza a funcionar, es decir, la Easy VPN remota intenta comprobar la conectividad con el par principal periódicamente. En cualquier momento que la Easy VPN remota detecte que el enlace está funcionando, la Easy VPN remota cierra la conexión existente y activa el túnel con el par principal.
Restricciones para la Easy VPN remota de Cisco Servidores Easy VPN requeridos La función Easy VPN remota de Cisco requiere que el par de destino sea un servidor Easy VPN de Cisco IOS o un concentrador VPN compatible con la función Servidor Easy VPN de Cisco. En el momento de la publicación, los servidores y concentradores compatibles con esta función incluían las siguientes plataformas que se ejecutan con las versiones de software indicadas: • Routers 806, 826, 827, 828, 831, 836 y 837 de Cisco: Cisco IOS versión 12.2(8)T o superior. Los routers de Cisco de la serie 800 no son compatibles con la versión 12.3(7)XR de Cisco IOS, pero sí son compatibles con la versión 12.3(7)XR2 de Cisco IOS. •
Series 850 y 870 de Cisco: Cisco IOS versión 12.3(8)YI1.
•
Serie 1700 de Cisco: Cisco IOS versión 12.2(8)T o superior.
•
Un router de configuración fija de la serie 1800 de Cisco: Cisco IOS versión 12.3(8)YI.
•
Un router de la serie 1812 de Cisco: Cisco IOS versión 12.3(8)YH.
•
Serie 2600 de Cisco: Cisco IOS versión 12.2(8)T o superior.
•
Serie 3620 de Cisco: Cisco IOS versión 12.2(8)T o superior.
•
Serie 3640 de Cisco: versión 12.2(8)T de Cisco IOS o superior.
•
Serie 3660 de Cisco: Cisco IOS versión 12.2(8)T o superior.
•
Routers VPN de la serie 7100 de Cisco: Cisco IOS versión 12.2(8)T o superior.
•
Routers de la serie 7200 de Cisco: Cisco IOS versión 12.2(8)T o superior.
•
Routers de la serie 7500 de Cisco: Cisco IOS versión 12.2(8)T o superior.
•
PIX de la serie 500 de Cisco: Software versión 6.2 o superior.
•
VPN de la serie 3000 de Cisco: Software versión 3.11 o superior.
Sólo el grupo 2 de la política de ISAKMP es compatible con los servidores Easy VPN El protocolo de Unity sólo es compatible con las políticas de asociación de seguridad en Internet y el protocolo de administración de claves (ISAKMP) que usan las negociaciones de intercambio de claves de Internet grupo 2 (1024-bit Diffie-Hellman), por lo que el servidor Easy VPN que se utiliza con la función Easy VPN remota de Cisco debe estar configurado para una política de grupo 2 de ISAKMP. No se puede configurar el servidor Easy VPN para los grupos 1 o 5 de ISAKMP cuando se utiliza junto con un cliente Easy VPN de Cisco. Conjuntos de transformaciones compatibles Para garantizar una conexión por túnel segura, la función Easy VPN remota de Cisco no es compatible con los conjuntos de transformaciones que brindan cifrado sin autenticación (ESP-DES y ESP-3DES) o conjuntos de transformaciones que brindan autenticación sin cifrado (ESP-NULL ESP-SHA-HMAC y ESP-NULL ESP-MD5-HMAC).
Nota El Protocolo del cliente Cisco Unity no es compatible con el Encabezamiento de autenticación (AH), pero sí con el Protocolo de carga de seguridad de encapsulación (ESP).
Respaldo de marcado para las Easy VPN remotas Esta función no es compatible con el respaldo basado en el estado de la línea. Compatibilidad con la interoperabilidad de la Traducción de direcciones de red La interoperabilidad de la Traducción de direcciones de red (NAT) no es compatible en modo cliente con la tunelización dividida. Restricciones en la interfaz virtual IPsec • Para que la función de compatibilidad con la interfaz virtual IPsec funcione, es necesario que las plantillas virtuales sean compatibles. • Si está utilizando una interfaz virtual de túnel en el dispositivo remoto Easy VPN, se recomienda que configure el servidor para una interfaz virtual de túnel. Compatibilidad con el túnel doble Las siguientes restricciones se aplican si utiliza túneles dobles que comparten interfaces internas y externas: •
Si los túneles dobles están configurados, uno de los túneles debe contar con un túnel dividido configurado.
• Sólo se puede configurar la interrupción de la Web en uno de los túneles. No se debe utilizar la interrupción de la Web para el túnel de voz. • No se puede utilizar la interrupción de la Web para teléfonos IP hasta que el proxy de autorización sepa cómo desviar el teléfono IP. • Algunas funciones, tales como Activación de un URL de configuración mediante un intercambio de configuración de modos, sólo pueden utilizarse mediante un único túnel.
Información acerca de la Easy VPN remota de Cisco Para configurar las funciones de la Easy VPN remota de Cisco, debe comprender los siguientes conceptos: •
Ventajas de la función Easy VPN remota de Cisco
•
Información general sobre la Easy VPN remota de Cisco
•
Modos de funcionamiento
•
Autenticación
•
Opciones de activación del túnel
•
Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos
•
Funciones de la Easy VPN remota de Cisco
Ventajas de la función Easy VPN remota de Cisco • Permite la configuración dinámica de la política de usuario final, que requiere menos configuración manual por parte de los usuarios finales y técnicos de campo, lo que reduce los errores y las llamadas de servicio. • Permite que el proveedor modifique las configuraciones del equipo y de la red según sea necesario, sin tener que volver a configurar el equipo del usuario final o haciéndole muy pocos cambios. •
Permite la administración de la política de seguridad centralizada.
•
Permite la implementación a gran escala con un rápido abastecimiento del usuario.
•
Elimina la necesidad de que los usuarios finales compren y configuren dispositivos VPN externos.
•
Elimina la necesidad de que los usuarios finales instalen y configuren el software del cliente Easy VPN en sus PC.
•
Transfiere la creación y el mantenimiento de las conexiones VPN desde la PC al router.
• Reduce problemas de interoperabilidad entre los clientes VPN con distinto software basado en las PC, las soluciones VPN basadas en hardware externo y demás aplicaciones VPN. • Configura un único túnel IPsec independientemente de la cantidad de subredes múltiples compatibles y del tamaño de la lista de los divididos.
Información general sobre la Easy VPN remota de Cisco Los cables módem, los routers xDSL y demás accesos de banda ancha brindan conexiones de alto desempeño a Internet, pero muchas aplicaciones también requieren la seguridad de las conexiones VPN que ejercen un alto nivel de autenticación y cifran los datos entre dos puntos finales (endpoints) particulares. Sin embargo, el establecimiento de una conexión VPN entre dos routers puede ser complicada y generalmente requiere una tediosa coordinación entre los administradores de la red a fin de configurar los parámetros VPN de los dos routers. La función Easy VPN remota de Cisco elimina gran parte de esta tediosa tarea al implementar el Protocolo del cliente Cisco Unity, que permite que muchos parámetros VPN se definan en el servidor Easy VPN de Cisco IOS. Este servidor puede ser un dispositivo VPN dedicado, tal como el concentrador VPN 3000 de Cisco o el Firewall PIX de Cisco o un router de Cisco IOS que sea compatible con el Protocolo del cliente Cisco Unity. Después de haber configurado el servidor Easy VPN de Cisco, se puede crear una conexión VPN con una configuración mínima sobre una Easy VPN remota, tal como un router de la serie 800 de Cisco o uno de la serie 1700. Cuando la Easy VPN remota inicia la conexión con el túnel VPN, el servidor Easy VPN de Cisco implementa las políticas de IPsec a la Easy VPN remota y crea la conexión con el túnel VPN correspondiente. La función Easy VPN remota de Cisco brinda la administración automática de los siguientes detalles: •
Negociación de los parámetros del túnel, tales como las direcciones, los algoritmos y la vida útil.
•
Establecimiento de los túneles de acuerdo con los parámetros configurados.
• Creación automática de la Traducción de direcciones de red (NAT) o de la Traducción de direcciones de puertos (PAT) y listas de accesos asociadas según sea necesario. • Autenticación de usuarios, es decir, la comprobación de que los usuarios son quienes dicen ser mediante nombres de usuario, nombres de grupo y contraseñas. •
Administración de claves de seguridad para el cifrado y el descifrado.
•
Autenticación, cifrado y descifrado de datos por medio del túnel.
Modos de funcionamiento La función Easy VPN remota de Cisco es compatible con tres modos de funcionamiento: cliente, extensión de red y extensión de red plus: • Cliente: especifica la realización de NAT o PAT para que las PC y los demás hosts en el extremo remoto del túnel VPN formen una red privada que no use ninguna dirección IP en el espacio de dirección IP del servidor de destino. Se ha implementado una mejora para que la dirección IP que se recibe vía configuración de modo sea asignada automáticamente a una interfaz de bucle de retorno disponible. Las asociaciones de seguridad IPsec (SA) para esta dirección IP se crean automáticamente mediante la Easy VPN remota. Generalmente, la dirección IP se utiliza para la resolución de problemas (mediante ping, Telnet y SSH). • Extensión de red: especifica que las PC y demás hosts en el extremo del túnel VPN del cliente deben contar con direcciones IP totalmente enrutables y accesibles para la red de destino desde la red del túnel para formar una única red lógica. No se utiliza PAT, lo que permite que las PC de los clientes y los hosts tengan acceso directo a las PC y los hosts en la red de destino. • Extensión de red plus (modo red plus): Igual al modo extensión de red con la capacidad adicional de poder solicitar una dirección IP mediante la configuración de modo y asignarla automáticamente a una interfaz de bucle de retorno disponible. Las asociaciones de seguridad IPsec (SA) para esta dirección IP se crean automáticamente mediante la Easy VPN remota. Generalmente, la dirección IP se utiliza para la resolución de problemas (mediante ping, Telnet y SSH). Todos los modos de funcionamiento también son compatibles con la tunelización dividida, lo que permite un acceso seguro a los recursos corporativos mediante el túnel VPN, mientras que también permite el acceso a Internet mediante una conexión con un
Proveedor de servicios de Internet (ISP) u otro servicio. De esta manera, se elimina la red corporativa de la ruta de acceso a la Web.
Escenarios de los modos cliente y extensión de red La Figura 1 ilustra el modo de funcionamiento cliente. En este ejemplo, el router 831 de Cisco brinda acceso a dos PC, que tienen direcciones IP en el espacio de la red privada 10.0.0.0. Estas PC se conectan con la interfaz Ethernet mediante el router 831 de Cisco, que también cuenta con una dirección IP en el espacio de la red privada 10.0.0.0. El router 831 de Cisco realiza la traducción NAT o PAT en el túnel VPN para que las PC puedan acceder a la red de destino. Figura 1 Conexión con la Easy VPN remota de Cisco
Nota El diagrama de la Figura 1 también podría representar una conexión de tunelización dividida, en la cual la PC del cliente puede acceder a los recursos públicos en Internet global sin incluir la red corporativa en la ruta para los recursos públicos.
La Figura 2 también ilustra el modo de funcionamiento cliente, en el cual un concentrador VPN ofrece puntos finales (endpoints) de destino a múltiples clientes con xDSL. En este ejemplo, los routers de la serie 800 de Cisco brindan acceso a múltiples clientes de pequeñas empresas, cada uno de los cuales utiliza direcciones IP en el espacio de la red privada 10.0.0.0. Los routers de la serie 800 de Cisco realizan la traducción NAT o PAT en el túnel VPN para que las PC puedan acceder a la red de destino. Figura 2 Conexión con la Easy VPN remota de Cisco (mediante un concentrador VPN)
La Figura 3 ilustra el modo de funcionamiento extensión de red. En este ejemplo, el router 831 de Cisco y el router de la serie 1700 de Cisco actúan como dispositivos remotos Easy VPN de Cisco, que se conectan a un concentrador VPN 3000 de Cisco. Los hosts del cliente reciben direcciones IP totalmente enrutables para la red de destino desde el túnel. Estas direcciones IP pueden encontrarse tanto en el mismo espacio de subred de la red de destino como en subredes diferentes, asumiendo que los routers de destino están configurados adecuadamente para enrutar tales direcciones IP por el túnel. En este ejemplo, las PC y los hosts conectados a los dos routers tienen direcciones IP en el mismo espacio de la dirección de la red corporativa de destino. Las PC se conectan con la interfaz Ethernet del router 831 de Cisco, que también tiene una dirección IP en el
espacio de la dirección corporativa. Este escenario brinda una extensión perfecta de la red remota. Figura 3 Conexión de extensión de red Easy VPN de Cisco
Autenticación La función Easy VPN remota de Cisco es compatible con un procedimiento de dos etapas para autenticar el router remoto ante el concentrador central. El primer paso es la Autenticación a nivel grupal que forma parte de la creación del canal de control. Es esta primera etapa, se pueden usar dos tipos de credenciales de autenticación: las llaves previamente compartidas o los certificados digitales. Los siguientes párrafos brindan más detalles acerca de estas opciones. El segundo paso para la autenticación se llama Autenticación ampliada o Xauth. En este paso, el lado remoto (en este caso el router Easy VPN) envía un nombre de usuario y una contraseña al router del sitio central. Este paso es igual al procedimiento realizado cuando un usuario del cliente de software Cisco VPN en una PC ingresa su nombre de usuario y contraseña para activar su túnel VPN. Cuando se utiliza un router, la diferencia es que se autentica el router mismo ante la red, y no una PC con el software del cliente VPN de Cisco. Xauth es un paso opcional (puede desactivarse) que generalmente se encuentra activado para mejorar la seguridad. Después de que se haya realizado la autenticación Xauth exitosamente y el túnel se haya activado, todas las PC con el router remoto Easy VPN tendrán acceso al túnel. Si Xauth está activado, es primordial decidir cómo ingresar el nombre de usuario y la contraseña. Hay dos opciones. La primera opción es almacenar el nombre de usuario y la contraseña de Xauth en el archivo de configuración del router. Esta opción se utiliza generalmente si varias PC comparten el mismo router y el objetivo es mantener el túnel VPN siempre activo (consulte la sección " Activación automática") o que el router active automáticamente el túnel cuando haya que enviar datos (consulte la sección " Activación por tráfico"). Un ejemplo de esta aplicación es una situación en una sucursal, en la cual los usuarios desean que el túnel VPN esté disponible siempre que necesiten enviar información y no desean tener que realizar ninguna acción especial para activar el túnel VPN. Si las PC de la sucursal requieren que cada usuario ingrese su ID para autenticarse de manera individual, se debe configurar el router Easy VPN en el modo Activación automática para mantener el túnel siempre activado y se debe usar el proxy de autenticación de Cisco IOS o el 802.1x para autenticar la PC individual. Dado que el túnel siempre está activo, el proxy de autenticación o el 802.1x pueden acceder a una base de datos de un usuario en un sitio central, tal como AAA/RADIUS, para autenticar las solicitudes de usuarios particulares a medida que éstas son enviadas por los usuarios de las PC. (Consulte las secciones " Documentos relacionados", "Información general sobre IPsec y VPN" para obtener referencias acerca de cómo configurar el proxy de autenticación y "autenticación 802.1x" para obtener referencias acerca de cómo configurar la autenticación 802.1x). La segunda opción para ingresar el nombre de usuario y la contraseña de Xauth es no almacenarlos en el router. En este caso, aparecerá una página web especial ante el usuario de la PC conectada con el router que le permitirá ingresar manualmente su nombre de usuario y su contraseña (consulte la sección " Activación manual"). El router envía el nombre de usuario y la contraseña al concentrador del sitio central y si el nombre de usuario y la contraseña son correctos, el túnel se activa. La aplicación típica para este tipo de configuración es una red de teletrabajadores. El teletrabajador desea controlar cuándo el túnel está activado y cuándo debe ingresar sus credenciales de usuario personales (que pueden incluir contraseñas de uso único) para activar el túnel. También es posible que el administrador de la red desee que los túneles de los teletrabajadores estén activados únicamente cuando alguien los está utilizando para conservar los recursos en los concentradores centrales. (Consulte la sección " Activación basada en la Web" para obtener detalles acerca de esta configuración). También se puede ingresar el nombre de usuario y la contraseña de Xauth manualmente desde la interfaz de línea de comandos (CLI) del router. No se recomienda este método en la mayoría de las situaciones debido a que el usuario debe conectarse primero con el router (y para ello necesita una ID de usuario en el router). Sin embargo, puede ser útil para los administradores de la red durante la resolución de problemas.
Uso de llaves previamente compartidas Cuando se utilizan llaves previamente compartidas, cada par conoce la llave de otro par. Las llaves previamente compartidas se muestran en las configuraciones en ejecución para que todos puedan verlas (conocidas como formato claro). Cuando se requiere un tipo de autenticación más segura, el software de Cisco también es compatible con otro tipo de llave previamente compartida: la llave previamente compartida cifrada.
El uso de una llave previamente compartida para la autenticación le permite almacenar de manera segura contraseñas no cifradas con formato de 6 caracteres (cifrados) en NVRAM. Se puede configurar con anticipación una llave grupal previamente compartida en ambos pares de túneles VPN. La forma cifrada de la palabra clave puede verse en la configuración en ejecución, pero la palabra clave real no se ve. Para obtener más información acerca de las llaves cifradas previamente compartidas, consulte Llave cifrada previamente compartida).
Uso de certificados digitales Los certificados digitales aseguran la compatibilidad con las firmas Rivest, Shamir y Adelman (RSA) en los dispositivos remotos de Easy VPN. Un certificado RSA, que se puede almacenar dentro o fuera del dispositivo remoto, mantiene la compatibilidad.
Nota El tiempo de espera recomendado para la Easy VPN que utiliza certificados digitales es de 40 segundos.
Para obtener más información acerca de los certificados digitales, consulte la guía de características Compatibilidad con la firma RSA de la Easy VPN remota, versión 12.3(7)T1.
Uso de Xauth Xauth es un nivel adicional de autenticación que puede utilizarse. Xauth puede aplicarse junto con las llaves grupales previamente compartidas o los certificados digitales. Las credenciales de Xauth pueden ingresarse mediante un administrador de interfaz web, tal como el administrador de dispositivos de seguridad (SDM), o mediante la CLI. (Consulte la sección "Administradores web de la Easy VPN remota de Cisco"). La función guardar contraseña permite que el nombre de usuario y la contraseña de Xauth se guarden en la configuración de la Easy VPN remota para que no tenga que ingresar el nombre de usuario y la contraseña manualmente. Las contraseñas de uso único (OTP) no son compatibles con la función Guardar contraseña y se deben ingresar manualmente cuando se requiere Xauth. El servidor Easy VPN debe estar configurado en "Permitir contraseñas guardadas". (Para obtener más información acerca de cómo configurar la función Guardar contraseña, consulte la sección "Opción de mensaje periódico para la detección de pares inactivos"). Xauth está controlada por el servidor Easy VPN. Cuando el servidor Easy VPN de Cisco IOS solicita la autenticación Xauth, los siguientes mensajes aparecerán en la consola del router: EZVPN: Pending XAuth Request, Please enter the following command: crypto ipsec client ezvpn xauth
Cuando vea este mensaje, podrá ingresar la ID de usuario, la contraseña y demás información necesaria ingresando el comando crypto ipsec client ezvpn connect y respondiendo a los mensajes que aparezcan. El tiempo de espera recomendado para Xauth es de 50 segundos o menos.
Nota La configuración del servidor Easy VPN de Cisco IOS determina el tiempo de espera para ingresar el nombre de usuario y la contraseña. Para los servidores con el software Cisco IOS, este valor de tiempo de espera está especificado por el comando crypto isakmp xauth timeout.
Activación basada en la Web La activación basada en la Web brinda a los teletrabajadores remotos un método fácil de autenticar el túnel VPN entre su router Easy VPN remoto y el router del sitio central. Esta función le permite a los administradores configurar sus LAN remotas para que la solicitud HTTP inicial proveniente de cualquier PC remota sea interceptada por el router remoto Easy VPN. El usuario se encontrará con una página de inicio de sesión donde deberá ingresar sus credenciales para autenticar el túnel VPN. Una vez que el túnel VPN es activado, todos los usuarios de este sitio remoto pueden acceder a la LAN corporativa sin que se les vuelva a solicitar el nombre de usuario y la contraseña. Por otro lado, el usuario puede optar por omitir el túnel VPN y conectarse únicamente a Internet, en cuyo caso no necesitará una contraseña. Un caso típico para la activación basada en la Web es el de un teletrabajador que desempeña sus tareas desde su hogar y activa el
túnel Easy VPN sólo cuando necesita conectarse a la LAN corporativa. Si el teletrabajador remoto no está presente, algún miembro del hogar (tal como el cónyuge o hijos) puede usar la opción Internet Only (Sólo Internet) para navegar por Internet sin tener que activar el túnel VPN. La Figura 4 muestra un escenario típico para la activación basada en la Web. Figura 4 Escenario típico de activación basada en la Web
Nota El ingreso de las credenciales de Xauth activa el túnel para todos los usuarios de este sitio remoto. Una vez que el túnel es activado, a ninguna de las PC de este sitio remoto se le solicita las credenciales de Xauth. La activación basada en la Web es una autenticación que activa el túnel VPN para todas las PC remotas y no puede considerarse una autenticación de usuario individual. La autenticación de usuario individual para el acceso al túnel VPN está disponible con las funciones del proxy de autenticación de Cisco IOS o el 802.1x, que pueden configurarse en el router remoto Easy VPN. (Consulte las secciones " Documentos relacionados", "Información general sobre IPsec y VPN" para obtener referencias acerca de cómo configurar el proxy de autenticación y "autenticación 802.1x" para obtener referencias acerca de cómo configurar la autenticación 802.1x).
Para configurar la activación basada en la Web, consulte la sección "Configuración de la activación basada en la Web". Las siguientes secciones muestran las diferentes capturas de pantalla que el teletrabajador remoto ve cuando la función activación basada en la Web está activada: •
Página principal de activación basada en la Web
•
Omisión de la autenticación de VPN
•
Autenticación del túnel VPN
•
Autenticación exitosa
•
Desactivación
Página principal de activación basada en la Web La Figura 5 es un ejemplo de una página principal de activación basada en la Web. El usuario puede optar por conectarse a la LAN corporativa haciendo clic en Connect Now (Conectar ahora) o puede conectarse sólo a Internet haciendo clic en Internet Only (Sólo Internet).
Nota Si el usuario opta por conectarse sólo a Internet, no se requiere una contraseña.
Figura 5 Página principal
Omisión de la autenticación de VPN La Figura 6 es un ejemplo de una activación basada en la Web en la cual el usuario optó por conectarse sólo a Internet haciendo clic en la opción Internet Only. Esta opción es muy útil para los miembros del hogar que necesitan navegar por Internet cuando el teletrabajador remoto no se encuentra disponible para autenticar el túnel VPN para su uso corporativo. Figura 6 Página de omisión de la autenticación de VPN
Nota Si un usuario cierra la ventana de activación basada en la Web por error, puede volver a abrirla accediendo al router remoto (escribiendo http://routeripaddress/ezvpn/connect). Una vez que aparece la ventana de activación basada en la Web, se puede autenticar el túnel Easy VPN.
Autenticación del túnel VPN La Figura 7 es un ejemplo de una activación basada en la Web, en la cual el usuario optó por conectarse a la LAN corporativa ingresando un nombre de usuario y una contraseña. Una vez que el usuario se autenticó con éxito, se activa el túnel Easy VPN para este sitio remoto. Si hay múltiples PC detrás de este sitio remoto, a ninguno de los demás usuarios que se conecten a la LAN corporativa se les solicitará las credenciales de Xauth ya que el túnel ya está activado. Figura 7 Autenticación del túnel VPN
Autenticación exitosa La Figura 8 es un ejemplo de activación exitosa. Si el usuario opta por desactivar el túnel VPN, debe hacer clic en el botón Disconnect (Desconectar). Cuando finaliza el tiempo de espera de la asociación de seguridad (SA) IKE (el valor predeterminado es de 24 horas), el teletrabajador remoto debe ingresar sus credenciales de Xauth para activar el túnel. Figura 8 Activación exitosa
Desactivación La Figura 9 es un ejemplo de un túnel VPN que ha sido desactivado con éxito. La página se cierra automáticamente en 5 segundos. Figura 9 Desactivación exitosa del túnel VPN
Autenticación 802.1x La función autenticación 802.1x le permite combinar el modo de funcionamiento cliente del Easy VPN con la autenticación 802.1x en los routers de Cisco IOS. Para obtener más información acerca de esta función, consulte "Autenticación 802.1" en la sección "Referencias adicionales".
Opciones de activación del túnel Hay tres opciones de activación del túnel: •
Activación automática
•
Activación manual
•
Activación por tráfico (no disponible en Cisco IOS versión 12.3(11)T)
Las opciones de conexión y desconexión están disponibles con el Administrador de dispositivos de seguridad (SDM).
Activación automática El túnel Easy VPN de Cisco se conecta automáticamente cuando la función Easy VPN remota de Cisco está configurada en la interfaz. Si el túnel expira o falla, se vuelve a conectar automáticamente e intenta indefinidamente. Para especificar el control automático del túnel en un dispositivo remoto Easy VPN de Cisco, debe configurar el comando crypto ipsec client ezvpn y luego el subcomando connect auto. No obstante, no es necesario usar estos dos comandos cuando se crea una nueva configuración de la Easy VPN remota ya que la opción predeterminada es "automática". Para desconectar o restablecer un túnel particular, debe usar el comando clear crypto ipsec client ezvpn o puede usar el SDM.
Activación manual El software de Easy VPN remota de Cisco implementa el control manual de los túneles de la Easy VPN de Cisco para que pueda establecer y finalizar el túnel cuando lo desee. Para especificar el control manual del túnel en un dispositivo remoto Easy VPN de Cisco, debe ingresar el comando crypto ipsec client ezvpn y luego el comando connect manual. La configuración manual implica que la Easy VPN remota de Cisco esperará un comando antes de intentar establecer la conexión con la Easy VPN remota de Cisco. Cuando el túnel expira o falla, las conexiones siguientes también deberán esperar el comando. Si la configuración es manual, el túnel se conecta sólo si emite el comando crypto ipsec client ezvpn connect. Para desconectar o restablecer un túnel particular, debe usar el comando clear crypto ipsec client ezvpn o puede usar el SDM. Consulte la sección "Configuración del control manual del túnel" para obtener información específica acerca de cómo configurar el
control manual de un túnel.
Activación por tráfico
Nota Esta función no está disponible en la versión 12.3(11)T de Cisco IOS.
Se recomienda la función activación por tráfico para las aplicaciones de la VPN basadas en transacciones. También se recomienda su utilización con la función respaldo de marcado de la Easy VPN para la configuración de respaldo de la Easy VPN para que el respaldo se active sólo cuando hay tráfico para enviar por el túnel. Para utilizar el control del túnel mediante la Lista de control de acceso (ACL), primero debe describir el tráfico que considera "interesante". Para obtener más información acerca de las ACL, consulte el capítulo " Listas de control de acceso: información general y pautas" en la sección "Filtración de tráfico y firewalls" de la Guía de configuración de seguridad de Cisco IOS, versión 12.3. Para configurar un túnel activado por ACL, utilice el comando crypto ipsec client ezvpn con el subcomando connect acl.
Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos Hay dos opciones disponibles para configurar la compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos: •
Configuración local de la lista de servidores de respaldo
•
Autoconfiguración de la lista de servidores de respaldo
Configuración local de la lista de servidores de respaldo La configuración local de la lista de servidores de respaldo permite a los usuarios ingresar múltiples instrucciones de pares. Con esta función configurada, si el cliente se está conectando a un par y la negociación falla, la Easy VPN conmuta al siguiente par. Esta migración tras error continúa con toda la lista de pares. Cuando llega al último par, la Easy VPN vuelve al primer par. Se eliminan las SA IPsec e IKE al par anterior. Múltiples instrucciones de pares funcionan tanto para las direcciones IP como para los nombres de los hosts. Configurar o desconfigurar las instrucciones de pares no afectará el orden de las instrucciones de pares. Para utilizar esta función, utilice el subcomando peer del comando crypto ipsec client ezvpn.
Autoconfiguración de la lista de servidores de respaldo Una Easy VPN remota basada en el software Cisco IOS puede tener hasta 10 servidores de respaldo para redundancia. La función servidor de respaldo permite al servidor Easy VPN "activar" la lista de servidores de respaldo en la Easy VPN remota. La lista de respaldo le permite al administrador controlar los servidores de respaldo con los cuales se conectará una Easy VPN remota específica en caso de falla, retransmisiones o mensajes de detección de pares inactivos (DPD).
Nota Antes de que la función servidor de respaldo pueda utilizarse, se debe configurar la lista de servidores de respaldo en el servidor.
Cómo funciona un servidor de respaldo Si A remota se conecta con el servidor A y la conexión falla, A remota se conecta con el servidor B. Si el servidor B tiene configurada una lista de respaldo, esa lista cancelará la lista de servidores de respaldo del servidor A. Si la conexión con el servidor B falla, la A remota continuará con los demás servidores de respaldo que hayan sido configurados.
Nota Si está en modo automático y ocurre una falla, habrá una transición automática del servidor A al B. No obstante, si está en modo manual, deberá configurar la transición manualmente. Para configurar la transición manualmente, utilice el comando crypto ipsec client ezvpn con la palabra clave connect.
No se requiere ninguna configuración nueva en la Easy VPN remota para activar esta función. Si desea ver el servidor actual, puede utilizar el comando show crypto ipsec client ezvpn. Si desea saber cuáles fueron los pares que el servidor Easy VPN activó, puede utilizar el mismo comando. Para resolver los problemas de esta función, utilice el comando debug crypto ipsec client ezvpn. Si necesita más información para resolver problemas, utilice el comando debug crypto isakmp. El comando show crypto ipsec client ezvpn también puede utilizarse para la resolución de problemas.
Funciones de la Easy VPN remota de Cisco La función Easy VPN remota de Cisco es una colección de funciones que mejora las capacidades de la función Easy VPN remota de Cisco introducida en Cisco IOS versión 12.2(4)YA. La función Easy VPN remota de Cisco incluye lo siguiente: • Interfaz interna predeterminada: esta función es compatible con la autoconfiguración de la interfaz interna predeterminada de la Easy VPN para los routers de la serie 800 de Cisco. •
Múltiples interfaces internas: esta función permite configurar hasta ocho interfaces en la Easy VPN remota de Cisco.
•
Múltiples interfaces externas: esta función permite configurar hasta cuatro túneles externos para interfaces externas.
•
Compatibilidad con VLAN: esta función permite configurar VLAN como interfaces internas de Easy VPN válidas.
• Compatibilidad con múltiples subredes: esta función permite incluir múltiples subredes de la interfaz interna de Easy VPN en el túnel Easy VPN. • Compatibilidad con la interoperabilidad NAT: esta función restablece automáticamente la configuración NAT cuando el túnel VPN con IPsec se desconecta. • Compatibilidad con dirección local: la función mejorada Easy VPN remota de Cisco es compatible con un atributo de dirección local adicional que especifica qué interfaz se utiliza para determinar la dirección IP desde la cual se origina el tráfico del túnel Easy VPN. • Nombre del par host: cuando se define un par como un nombre de host, el nombre del host se almacena y la búsqueda del sistema de nombres de dominio (DNS) se realiza en el momento de la conexión con el túnel. • Compatibilidad con servidores proxy DNS: esta función permite configurar el router en una configuración de la Easy VPN remota de Cisco para que actúe como un servidor proxy DNS para los usuarios conectados mediante LAN. • Compatibilidad con el firewall de Cisco IOS: esta función es compatible con las configuraciones de los firewall de Cisco IOS en todas las plataformas. • Easy VPN remota y Servidor en la misma interfaz: la Easy VPN remota y el servidor Easy VPN son compatibles con la misma interfaz, lo que permite establecer un túnel con otro Servidor Easy VPN y terminar el cliente del software Easy VPN en la misma interfaz simultáneamente. • Easy VPN remota y Sitio a Sitio en la misma interfaz: la Easy VPN remota y sitio a sitio (criptografía) son compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y tener otra conexión entre sedes en la misma interfaz simultáneamente. • Administradores web de la Easy VPN remota de Cisco: los usuarios pueden administrar la función Easy VPN remota de Cisco en los routers de Cisco de acceso por cable uBR905 y uBR925 mediante una interfaz web incorporada. • Opción de mensaje periódico para la detección de pares inactivos: esta función permite configurar el router para consultar la actividad de su par IKE en intervalos regulares. • Balance de carga: si un dispositivo remoto está cargado y no puede aceptar más tráfico, la VPN 3000 enviará una notificación con una dirección IP que representa el servidor IKE con el cual se debe conectar el dispositivo remoto. •
Mejoras en la administración: esta función permite la administración remota de la VPN remota.
•
Compatibilidad con PFS: el servidor envía el atributo del modo de configuración PFS si el dispositivo remoto VPN lo requiere.
•
Respaldo de marcado: esta función permite configurar una conexión de túnel con respaldo de marcado en su dispositivo remoto.
• Compatibilidad con la interfaz virtual: esta función permite enviar tráfico de manera selectiva a diferentes concentradores Easy VPN y a Internet (incluye una referencia a la función interfaz virtual del túnel IPsec).
• Compatibilidad con el túnel doble: esta función permite configurar múltiples túneles Easy VPN que comparten interfaces internas y externas para que conecten dos pares con dos servidores VPN diferentes simultáneamente. • Cartel: el dispositivo remoto Easy VPN puede descargar un cartel activado por el servidor Easy VPN. El cartel puede utilizarse para la activación Xauth y la activación basada en la Web. El cartel aparece cuando el túnel Easy VPN está activado en la consola de la Easy VPN remota o como una página HTML en el caso de una activación basada en la Web. • Mejoras en la administración de configuración (Activación de un URL de configuración mediante un intercambio de configuración de modos): el dispositivo remoto Easy VPN puede descargar un URL activado por el servidor Easy VPN, y permitir que el dispositivo remoto Easy VPN descargue información relacionada con la configuración y la aplique a la configuración en ejecución. • Reactivar par principal: esta función permite designar un par principal. Cuando se produce una conmutación por error en el dispositivo Easy VPN del par principal a un par de respaldo y el par principal está nuevamente disponible, se interrumpe la conexión con el par de respaldo y se vuelve a establecer la conexión con el par principal.
Interfaz interna predeterminada Easy VPN remota es compatible con la autoconfiguración de la interfaz interna predeterminada de la Easy VPN para los routers de la serie 800 de Cisco. La interfaz Ethernet 0 es la interfaz interna predeterminada. Si desea desactivar la interfaz interna predeterminada y configurar otra interfaz interna en el router de la serie 800 de Cisco, primero debe configurar la otra interfaz interna y luego desactivar la interfaz interna predeterminada. Puede utilizar el siguiente comando para desactivar la interfaz interna predeterminada: no crypto ipsec client ezvpn inside
Si no configura la otra interfaz interna primero, antes de desactivar la interfaz interna predeterminada, recibirá un mensaje como el siguiente (vea las líneas tres y cuatro): Router (config)# interface ethernet0 Router (config-if)# no crypto ipsec client ezvpn hw-client inside Cannot remove the single inside interface unless one other inside interface is configured
Múltiples interfaces internas En la función Easy VPN remota de Cisco, la compatibilidad con la interfaz interna ha sido mejorada para que pueda funcionar con múltiples interfaces internas para todas las plataformas. Las interfaces internas pueden configurarse manualmente con los comandos y subcomandos mejorados: interface interface-name crypto ipsec client ezvpn name [outside | inside]
Consulte la sección "Configuración de múltiples interfaces internas" para obtener información acerca de cómo configurar más de una interfaz interna. Las múltiples interfaces internas ofrecen las siguientes capacidades: •
Los routers 800 y 1700 de Cisco son compatibles con hasta ocho interfaces internas.
• Se debe configurar al menos una interfaz interna por cada interfaz externa; de lo contrario, la función Easy VPN remota de Cisco no establecerá una conexión. • Cuando se agrega una nueva interfaz interna o se elimina una interfaz interna existente, la conexión de Easy VPN remota de Cisco se restablece automáticamente (el túnel actualmente establecido). Debe volver a conectarse con un túnel configurado manualmente, y si el servidor Easy VPN de Cisco requiere una autenticación Xauth, se la solicitará al usuario nuevamente. Si ha configurado la Easy VPN remota de Cisco para que se conecte automáticamente y no se requiere Xauth, no será necesario ingresar
ninguna información del usuario. • Puede ver las interfaces internas configuradas o la configuración predeterminada mediante el comando show crypto ipsec client ezvpn.
Múltiples interfaces externas La función Easy VPN remota es compatible con un túnel Easy VPN por interfaz externa. Puede configurar hasta cuatro túneles Easy VPN por cada router de Cisco. Cada túnel Easy VPN puede contar con múltiples interfaces internas configuradas, pero no pueden superponerse con otro túnel Easy VPN a menos que el respaldo de marcado esté configurado. Para obtener más información acerca del respaldo de marcado, consulte la sección "Respaldo de marcado". Para configurar múltiples interfaces externas, utilice el comando crypto ipsec client ezvpn y la palabra clave outside. Para desconectar o despejar un túnel en particular, el comando clear crypto ipsec client ezvpn especifica el nombre del túnel VPN con IPsec. Si no hay ningún nombre de túnel específico, se despejan todos los túneles existentes. Consulte la sección "Configuración de múltiples interfaces externas" para obtener más información acerca de cómo configurar más de una interfaz externa.
Compatibilidad con VLAN La compatibilidad de las VLAN con las interfaces internas, hace posible conseguir una interfaz interna de Easy VPN válida en una VLAN, lo que no era posible antes de Cisco IOS versión 12.3(7)XR. Con esta función, se pueden establecer asociaciones de seguridad (SA) en la conexión usando una dirección de subred VLAN o enmascarándose como un proxy de origen. Para que la interfaz interna sea compatible con VLAN, debe definir cada VLAN como una interfaz interna de Easy VPN. Además, se deben establecer las SA IPsec para cada interfaz interna de la misma manera que para otras interfaces internas. Para obtener más información acerca de las interfaces internas y externas, consulte las secciones "Múltiples interfaces internas" y " Múltiples interfaces externas". Sólo los routers de Cisco compatibles con VLAN admiten interfaces internas compatibles con VLAN.
Compatibilidad con múltiples subredes En caso de tener múltiples subredes conectadas con una interfaz interna de Easy VPN, puede incluir, si lo desea, estas subredes al túnel Easy VPN. Primero, debe especificar las subredes que desea incluir definiéndolas en una ACL. Para configurar una ACL, consulte "Configuración de listas de control de acceso" en la sección " Referencias adicionales". Luego, debe usar el subcomando acl del comando crypto ipsec client ezvpn (global) para vincular su ACL con la configuración de la Easy VPN. La Easy VPN remota creará automáticamente las SA IPsec para cada subred definida en la ACL, así como para las subredes definidas en las interfaces internas de la Easy VPN.
Nota No se admite la compatibilidad con múltiples subredes en modo cliente.
Compatibilidad con la interoperabilidad NAT La Easy VPN remota de Cisco es compatible con la interoperabilidad NAT. Las configuraciones de la Easy VPN remota de Cisco y NAT pueden coexistir. Cuando el túnel VPN con IPsec se desconecta, la configuración NAT funciona. En la función Easy VPN remota de Cisco, cuando se interrumpe el túnel VPN con IPsec, el router restablece automáticamente la configuración NAT previa . Las listas de acceso definidas por el usuario no se modifican. Los usuarios pueden seguir accediendo a las áreas fuera del túnel de Internet cuando el túnel expira o se desconecta.
Nota La interoperabilidad NAT no es compatible en modo cliente con la tunelización dividida.
Compatibilidad con direcciones locales La función mejorada Easy VPN remota de Cisco es compatible con un atributo de dirección local adicional. Este atributo especifica qué interfaz se utiliza para determinar la dirección IP desde la cual se origina el tráfico del túnel de la Easy VPN remota. Después de
especificar la interfaz con el subcomando local-address, puede asignar una dirección IP estática a la interfaz manualmente o usar el comando cable-modem dhcp-proxy interface para configurar automáticamente la interfaz especificada con una dirección IP pública. Consulte la sección "Configuración de la compatibilidad con servidores proxy DNS" para obtener información acerca de la configuración. La compatibilidad con direcciones locales está disponible para todas las plataformas, pero se aplica mejor a los routers de acceso por cable uBR905 y uBR925 de Cisco, junto con el comando cable-modem dhcp-proxy interface . Por lo general, la interfaz de bucle de retorno es la interfaz desde la cual se origina el tráfico del túnel para los routers de Cisco de acceso por cable uBR905 y uBR925. En una red DOCSIS típica, los routers de acceso por cable uBR905 y uBR925 de Cisco están configurados con una dirección IP privada en la interfaz de cable módem. En la función inicial Easy VPN remota de Cisco, se necesitaba una dirección IP pública en la interfaz de cable módem para lograr la compatibilidad con la Easy VPN remota. En la función Easy VPN remota de Cisco, los proveedores de cable pueden utilizar la función Cable DHCP Proxy para obtener una dirección IP pública y asignarla a la interfaz de cable módem, que es, por lo general, la interfaz de bucle de retorno. Para obtener más información acerca del comando cable-modem dhcp-proxy interface , consulte el capítulo "Comandos para CPE de cable" en la Guía de referencia para los comandos de cable de banda ancha de Cisco.
Nota El comando cable-modem dhcp-proxy interface sólo es compatible con los routers de Cisco de acceso por cable uBR905 y uBR925.
Nombre del par host Se puede definir a la configuración del par de la Easy VPN remota de Cisco como una dirección IP o un nombre de host. Por lo general, cuando se define un par como un nombre de host, se realiza una búsqueda en el DNS para obtener una dirección IP. En la función Easy VPN remota de Cisco, se mejora la operación del nombre del par host para que sea compatible con los cambios de entrada en el DNS. La cadena de texto del nombre del host se almacena para que la búsqueda en el DNS se realice cuando se conecta el túnel, y no cuando el par se define como un nombre de host. Consulte la sección "Configuración y asignación de la configuración de la Easy VPN remota" para obtener información acerca de la activación de la funcionalidad del nombre del par host.
Compatibilidad con servidores proxy DNS Cuando el túnel Easy VPN no funciona, se deben utilizar las direcciones DNS del proveedor de servicios de Internet (ISP) o de cable para resolver las solicitudes de DNS. Cuando la conexión WAN está en funcionamiento, se deben utilizar las direcciones DNS de la empresa. Para implementar el uso de direcciones DNS del proveedor de cable cuando la conexión WAN no funciona, se puede configurar el router en una configuración de la Easy VPN remota de Cisco para que actúe como un servidor proxy DNS. El router, que actúa como un servidor proxy DNS para los usuarios conectados mediante LAN, recibe consultas DNS de usuarios locales en lugar del servidor DNS real. El servidor DHCP puede enviar la dirección LAN del router como la dirección IP del servidor DNS. Una vez que la conexión WAN funciona, el router reenvía las consultas DNS al servidor DNS real y almacena en la memoria caché los registros de las consultas DNS. Consulte la sección " Configuración de la compatibilidad con servidores proxy DNS" para obtener información acerca de la activación de la funcionalidad del servidor proxy DNS.
Compatibilidad con el firewall de Cisco IOS La función Easy VPN remota opera en conjunto con las configuraciones del firewall de Cisco IOS en todas las plataformas.
La Easy VPN remota y el Servidor en la misma interfaz Esta función permite que la Easy VPN remota y el servidor Easy VPN sean compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y terminar el cliente del software Easy VPN en la misma interfaz simultáneamente. Una aplicación típica sería el caso de una Easy VPN remota que se utiliza en una ubicación geográfica remota para lograr la conexión con un servidor Easy VPN corporativo y para terminar los usuarios clientes de software local. Para obtener más información acerca de la Easy VPN remota y el Servidor en la misma interfaz, consulte "Easy VPN remota y Servidor en la misma interfaz" en la sección "Referencias adicionales".
Easy VPN remota y Sitio a Sitio en la misma interfaz
Esta función permite que la Easy VPN remota y sitio a sitio (criptografía) sean compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y tener otra conexión entre sedes en la misma interfaz simultáneamente. Una aplicación típica sería el caso de un tercer proveedor de servicios VPN que administra un router remoto mediante un túnel sitio a sitio y la Easy VPN remota para conectar la sede remota con un servidor Easy VPN corporativo. Para obtener más información acerca de la Easy VPN remota y Sitio a Sitio en la misma interfaz, consulte "Easy VPN remota y Sitio a Sitio en la misma interfaz" en la sección "Referencias adicionales".
Administradores web de la Easy VPN remota de Cisco Se pueden utilizar administradores de interfaces web para administrar la función Easy VPN remota de Cisco. Uno de esos administradores de interfaces web es el SDM, que es compatible con los routers de las series 830, 1700, 2600, 3600 y 3700 de Cisco. El SDM permite conectar y desconectar el túnel y brinda una interfaz web para Xauth. Para obtener más información acerca del SDM, consulte Administrador de dispositivos de seguridad de Cisco. Otro administrador de interfaces web es la herramienta de configuración web del router de Cisco (CRWS), que es compatible con el router 806 de Cisco. La CRWS brinda una interfaz web similar a la del SDM. Además, el Administrador web de la Easy VPN remota de Cisco es otro administrador de interfaces web que se utiliza para administrar la función Easy VPN remota de Cisco para los routers de Cisco de acceso por cable uBR905 y uBR925. No es necesario acceder a la CLI para administrar la conexión de la Easy VPN remota de Cisco. Los administradores de interfaces web le permiten hacer lo siguiente: •
Ver el estado actual del túnel de la Easy VPN remota de Cisco.
•
Conectar un túnel que esté configurado para control manual.
• Desconectar un túnel configurado para ser controlado manualmente o restablecer un túnel configurado para conectarse automáticamente. •
Recibir mensajes que le soliciten información para Xauth, si es necesario.
Consulte la sección "Resolución de problemas de la conexión VPN" para obtener más información acerca del Administrador web de la Easy VPN remota de Cisco.
Opción de mensaje periódico para la detección de pares inactivos La opción de mensaje periódico para la detección de pares inactivos permite configurar el router para consultar la actividad de su par IKE en intervalos regulares. El beneficio de este enfoque sobre el enfoque predeterminado (detección a pedido de pares inactivos) es la detección temprana de pares inactivos. Para obtener información acerca de la opción de mensaje periódico para la detección de pares inactivos, consulte "Detección de pares inactivos" en la sección " Referencias adicionales".
Balance de carga Cuando el concentrador VPN 3000 de Cisco está configurado para balance de carga, la VPN 3000 aceptará una solicitud IKE entrante de la VPN remota en su dirección IP virtual. Si el dispositivo está cargado y no puede aceptar más tráfico, la VPN 3000 enviará una notificación con una dirección IP que representa el servidor IKE nuevo con el que se debe conectar el dispositivo remoto. La vieja conexión se interrumpirá y se establecerá una nueva conexión con la puerta de enlace VPN redirigida. Para que el balance de carga tenga lugar no se requiere ninguna configuración. Si la puerta de enlace VPN está configurada para el balance de carga y notifica a la VPN remota que está realizando un balance de carga, la VPN remota tiene acceso a la función balance de carga. Para verificar el balance de carga, utilice los comandos debug crypto isakmp, debug crypto ipsec client ezvpn y show crypto ipsec. Para la resolución de problemas durante el proceso de balance de carga, utilice el comando show crypto ipsec.
Mejoras en la administración Las mejoras en la administración para las Easy VPN remotas permiten la administración remota de la VPN remota. La función permite que la dirección IPv4 sea activada mediante el modo configuración en la VPN remota. La dirección IPv4 se asigna a la primera interfaz de bucle de retorno disponible en la VPN remota, y los bucles de retorno ya definidos de manera estática no se anulan. Cuando está desconectado, se eliminan la dirección y la interfaz de bucle de retorno de la lista de interfaces activas. Una vez que la VPN remota está conectada, debería poder acceder a la interfaz de bucle de retorno desde el extremo remoto del túnel. Todas las actividades de PAT se traducirán por medio de la interfaz de esta dirección IP. Si ya hay un bucle de retorno y una dirección IP asociada con él cuyo estado es "no asignada", la interfaz es candidata para la administración de dirección del modo configuración.
Nota Después de haber asignado una dirección a una interfaz de bucle de retorno, si guarda la configuración en NVRAM y reinicia la VPN remota, la dirección de configuración queda de manera permanente en la configuración. Si ha guardado la configuración en NVRAM y ha reiniciado la VPN remota, debe ingresar al modo configuración y eliminar manualmente la dirección IP de la interfaz de bucle de retorno.
Puede utilizar el comando show ip interface con la palabra clave brief para verificar si se ha eliminado un bucle de retorno. El resultado de este comando show también muestra la interfaz.
Compatibilidad con PFS El servidor envía el atributo del modo de configuración PFS si el dispositivo remoto VPN lo requiere. Si las siguientes conexiones del dispositivo remoto muestran que no está recibiendo PFS, ésta no será enviada en conjuntos de protocolos IPsec.
Nota El grupo PFS que será propuesto en los conjuntos de protocolos IPsec es igual al grupo usado para IKE.
Puede utilizar el comando show crypto ipsec client ezvpn para mostrar el grupo PFS y para verificar su uso.
Respaldo de marcado
Nota La función de respaldo de marcado no está disponible en la versión 12.3(11)T de Cisco IOS.
El respaldo de marcado para la Easy VPN remota permite configurar una conexión de túnel con respaldo de marcado en su dispositivo remoto. La función de respaldo se activa sólo cuando hay que enviar datos reales, eliminando la necesidad del costoso marcado manual o los enlaces ISDN que deben crearse y mantenerse incluso cuando no hay tráfico. La Figura 10 ilustra una típica Easy VPN remota en un escenario de respaldo de marcado. En este escenario, un dispositivo remoto 1751 de Cisco está intentando conectarse con otro 1751 de Cisco (que actúa como servidor). Hay una falla en el túnel Easy VPN principal, y la conexión se vuelve a enrutar por el túnel de respaldo Easy VPN al servidor 1751 de Cisco. Figura 10 Respaldo de marcado en un escenario de Easy VPN
Respaldo de marcado con solución de marcado a pedido El rastreo de rutas IP estáticas permite que el software Cisco IOS identifique cuando un Protocolo punto a punto en Ethernet (PPPoE) o un túnel VPN con IPsec no funcionan e inicie una conexión de marcado a pedido (DDR) con un destino preconfigurado de cualquier puerto WAN o LAN alternativo (por ejemplo, T1, ISDN, un puerto analógico o auxiliar). Muchos eventos catastróficos pueden causar la falla (por ejemplo, fallas en el circuito de Internet o fallas en el dispositivo del par). La ruta remota sólo cuenta con una ruta estática a la red corporativa. La función rastreo de rutas IP estáticas permite rastrear un objeto (mediante una dirección IP o un nombre de host) utilizando el Protocolo de mensajes de control de Internet (ICMP), TCP, u otros protocolos, e instala o elimina la ruta estática conforme al estado del objeto rastreado. Si la función rastreo determina que la conexión a Internet se perdió, se
eliminará la ruta predeterminada para la interfaz principal y se activará la ruta estática flotante para la interfaz de respaldo.
Respaldo de marcado con rastreo de objetos Para que el rastreo de rutas IP estáticas funcione para el respaldo de marcado en un dispositivo remoto Easy VPN, debe ser configurado. La configuración del rastreo de objetos es independiente de la configuración del respaldo de marcado de la Easy VPN remota. (Para obtener más información acerca del rastreo de objetos, consulte la guía de características Rutas estáticas confiables de respaldo con rastreo de objetos).
Configuración del respaldo de marcado en la Easy VPN remota Puede configurar el respaldo de marcado para su Easy VPN remota mediante dos opciones de la Easy VPN remota que permiten la conexión con la configuración de respaldo de la Easy VPN y una conexión con el sistema de rastreo. • Para especificar la configuración de la Easy VPN que se activará con el respaldo, utilice el subcomando backup del comando (global) crypto ipsec client ezvpn. • El dispositivo remoto Easy VPN se registra en el sistema de rastreo para recibir notificaciones sobre los cambios en el estado del objeto. Utilice el comando track para informar al proceso de rastreo que el dispositivo remoto Easy VPN está interesado en rastrear un objeto, identificado por el número de objeto. A su vez, el proceso de rastreo informa al dispositivo remoto Easy VPN cuando se modifica el estado de este objeto. Esta notificación informa al dispositivo remoto Easy VPN cuando se modifica el estado del objeto. Esta notificación hace que el dispositivo remoto Easy VPN active la conexión de respaldo cuando el estado del objeto rastreado es INACTIVO. Cuando el objeto rastreado está nuevamente ACTIVO, se interrumpe la conexión de respaldo y el dispositivo remoto Easy VPN vuelve a usar la conexión principal.
Nota Sólo se admite una configuración de respaldo por cada configuración Easy VPN principal. Cada interfaz interna debe especificar las configuraciones de la Easy VPN principales y de respaldo.
Entornos con direcciones dinámicas Para poder implementar el respaldo de marcado en entornos con direcciones dinámicas, utilice la función "IP SLA Pre-Routed ICMP Echo Probe". (Para obtener más información acerca de esta función, consulte las release notes serie 1700 de Cisco- Cisco IOS versión 12.3(7)XR). Para utilizar la función "IP SLA Pre-Routed ICMP Echo Probe", use el comando icmp-echo con la palabra clave source-interface.
Ejemplos de respaldo de marcado Para obtener ejemplos de configuraciones de respaldo de marcado, consulte la sección "Respaldo de marcado: ejemplos".
Compatibilidad con la interfaz virtual La función compatibilidad con la interfaz virtual brinda una interfaz enrutable para enviar tráfico de manera selectiva a diferentes concentradores Easy VPN y a Internet. Antes de Cisco IOS versión 12.4(2)T, en la transición del túnel activo/túnel inactivo, los atributos activados durante la configuración del modo debían ser analizados y aplicados. Cuando tales atributos hicieron que las configuraciones se aplicasen a la interfaz, la configuración existente debió ser anulada. Con la función compatibilidad con la interfaz virtual, se puede aplicar la configuración del túnel activo a interfaces separadas, facilitando la compatibilidad con funciones separadas en el momento de la activación del túnel. Se pueden separar las funciones que se aplican al tráfico que pasa por el túnel de las funciones que se aplican al tráfico que no pasa por el túnel (por ejemplo, el tráfico del túnel dividido y el tráfico que deja el dispositivo cuando el túnel no está activo). Cuando la negociación con la Easy VPN tiene éxito, el estado del protocolo de línea de la interfaz de acceso virtual cambia a activo. Cuando el túnel Easy VPN se desactiva porque la asociación de seguridad (SA) expira o se elimina, el estado del protocolo de línea de las interfaces de acceso virtual cambia a inactivo. Las rutas actúan como selectores de tráfico en la interfaz virtual de una Easy VPN, es decir, las rutas reemplazan la lista de acceso en la criptografía. En una configuración de interfaz virtual, la Easy VPN negocia una asociación de seguridad IPsec si el servidor Easy VPN ha sido configurado con una interfaz virtual dinámica IPsec. Esta única SA se crea independientemente del modo de la Easy VPN configurada. Después de establecer la SA, se agregan rutas que señalan a la interfaz de acceso virtual para dirigir el tráfico a la red corporativa. La Easy VPN también agrega una ruta al concentrador VPN para que los paquetes encapsulados con IPsec sean enrutados a la red corporativa. Se agrega una ruta predeterminada que señala a la interfaz de acceso virtual en el caso de un modo no dividido. Cuando el servidor Easy VPN "activa" el túnel dividido, la subred del túnel dividido se convierte en el destino al cual se agregan las rutas que señalan al acceso virtual. En cualquier caso, si el par (concentrador VPN) no está conectado directamente, la Easy VPN agrega una
ruta al par.
Nota • La mayoría de los routers que funcionan con el software del cliente Easy VPN de Cisco cuentan con una ruta predeterminada configurada. La ruta predeterminada configurada debe tener un valor métrico superior a 1. El valor métrico debe ser superior a 1 porque la Easy VPN agrega una ruta predeterminada cuyo valor métrico es 1. La ruta señala a la interfaz de acceso virtual para que todo el tráfico sea dirigido a la red corporativa cuando el concentrador no "activa" el atributo de túnel dividido.
Para obtener más información acerca de la función interfaz virtual del túnel IPsec, consulte el documento Interfaz virtual del túnel IPsec (enlace URL en la sección " Documentos relacionados" de este documento [Información general sobre IPsec y VPN]). La Tabla 1 presenta los diferentes métodos para configurar un dispositivo remoto y las configuraciones del agregador IPsec de cabecera correspondientes. Cada fila representa un modo de configurar un dispositivo remoto. La tercera columna muestra las diferentes configuraciones de cabeceras que pueden utilizarse con las interfaces IPsec. Consulte la Tabla 2 para obtener una descripción de los términos utilizados en la Tabla 1 y en la Tabla 3. Configuraciones de los dispositivos remotos
Cabecera IOS con criptografías
Cabecera IOS con interfaces IPsec
VPN3000/ASA
Criptografías
•
Compatible.
—
Interfaz virtual de una Easy VPN
•
Compatible.
•
Easy VPN heredada
• Crea una sola SA IPsec • No compatible. en la cabecera cuando una política predeterminada es • No puede utilizarse con implementada. túneles divididos porque la interfaz de cabecera no es • Crea múltiples SA compatible con múltiples SA cuando una política de túnel en una interfaz. dividido es implementada en el dispositivo remoto.
•
•
•
Interfaz virtual estática
— Compatible.
•
Compatible.
• Crea múltiples SA para • Crea sólo una SA en • Crea múltiples un túnel dividido. túneles divididos y no SA para un túnel divididos. dividido. • Debido a la ausencia de interfaz en la cabecera, las • Las rutas se insertan en el funciones de interfaz no son servidor. compatibles. • Las rutas se insertan en los • Compatible con dispositivos remotos para limitada Calidad de dirigir el tráfico hacia la Servicio (QoS). interfaz.
No compatible.
•
Compatible.
Compatible.
• Crea múltiples SA para túneles divididos.
No compatible.
• Puede utilizarse con una interfaz estática o dinámica en la cabecera. • La compatibilidad con el router es obligatoria para alcanzar la red.
La Tabla 2 brinda una descripción de los términos utilizados en la Tabla 1 y en la Tabla 3. Términos
Descripción
ASA
Dispositivo adaptable de seguridad Cisco, un dispositivo de seguridad de administración de amenazas.
Criptografías
Utilizadas comúnmente para configurar túneles IPsec. La criptografía se adjunta a una interfaz. Para obtener más información acerca de las criptografías consulte la sección "Creación de conjuntos de criptografías" del capítulo "Configuración de seguridad para VPN con IPSec" de la Guía de configuración
de seguridad de Cisco IOS. (Enlace URL en la sección "Documentos relacionados" de este documento). Dispositivo remoto de túnel doble Easy VPN
Dos configuraciones de dispositivo remoto Easy VPN que utilizan una interfaz virtual dinámica del túnel IPsec.
Dispositivo remoto de Configuración de la Easy VPN remota que configura el uso de una interfaz interfaz virtual Easy virtual dinámica del túnel IPsec. VPN (interfaz virtual de la Easy VPN) Interfaz IPsec
Consiste en interfaces virtuales estáticas y dinámicas IPsec.
Interfaz virtual del túnel Interfaz de túnel que se crea a partir de una interfaz de túnel de plantilla virtual IPsec mediante el modo IPsec. Para obtener más información acerca de las configuraciones de la interfaz virtual del túnel, consulte el documento Interfaz virtual del túnel IPsec (enlace URL en la sección " Documentos relacionados" de este documento [Información general sobre IPsec y VPN]). Easy VPN heredada
Configuración del dispositivo remoto Easy VPN que utiliza criptografías pero no interfaces IPsec.
Interfaz virtual estática del túnel IPsec (interfaz virtual estática del túnel)
Interfaz de túnel utilizada con el modo IPsec que propone y acepta sólo un selector "ipv4 any any". Para obtener más información acerca de las configuraciones de la interfaz virtual estática del túnel, consulte el documento Interfaz virtual del túnel IPsec (enlace URL en la sección " Documentos relacionados" de este documento [Información general sobre IPsec y VPN]).
VPN 3000
Routers VPN de la serie 3000 de Cisco
Compatibilidad con el túnel doble Ahora la Easy VPN puede configurar dos túneles Easy VPN con las mismas interfaces internas y externas. La función se llama túnel doble Easy VPN. Se pueden configurar múltiples túneles en un mismo dispositivo remoto de muchos modos, los cuales se enumeran en la Tabla 3 junto con sus consideraciones de configuración y uso. Lo que resta de esta sección se refiere sólo a uno de esos métodos de configuración de túneles dobles, mediante los túneles Easy VPN que cuentan con interfaces virtuales. Se utilizará "compatibilidad con el túnel doble" para hacer referencia a este método. En la configuración de un túnel Easy VPN doble, cada túnel Easy VPN se configura utilizando la compatibilidad con la interfaz virtual, como se muestra en la sección "Compatibilidad con la interfaz virtual". Cada túnel Easy VPN tiene una única interfaz virtual, que se crea cuando la configuración de la Easy VPN está completa. Los túneles dobles pueden utilizarse en dos combinaciones posibles. • Túneles Easy VPN dobles, con un túnel que usa una política de túnel no dividido y otro que usa una política de túnel dividido, que ha sido activada desde la respectiva cabecera. • Túneles Easy VPN dobles, cuyos túneles utilizan una política de túnel dividido independiente, que ha sido activada desde la respectiva cabecera.
Nota No se permite tener túneles Easy VPN dobles cuyos túneles utilicen una política de túneles no divididos simultáneamente.
El túnel Easy VPN doble utiliza inserciones de ruta para dirigir al tráfico apropiado por la interfaz virtual del túnel Easy VPN correcta. Cuando se activa el túnel Easy VPN en el dispositivo remoto, "aprende" la política de dividido o no dividido de la cabecera. El dispositivo remoto Easy VPN inserta rutas en la tabla de enrutamiento que coinciden con las redes no divididas que han sido aprendidas. Si la cabecera activa una política de túnel no dividido en el dispositivo remoto Easy VPN, éste instala una ruta predeterminada en su tabla de enrutamiento que dirige todo el tráfico fuera de la interfaz virtual de la Easy VPN que corresponde a este túnel Easy VPN. Si la cabecera activa redes de túneles divididos en el dispositivo remoto, éste instala rutas específicas hacia las redes divididas en su tabla de enrutamiento, que dirigen todo el tráfico hacia estas redes y fuera de la interfaz virtual del túnel.
Nota El túnel Easy VPN doble utiliza un enrutamiento basado en el destino para enviar tráfico a los túneles respectivos.
Se pueden aplicar funciones de salida a esta interfaz virtual. Ejemplos de tales funciones de salida son la calidad del servicio de Cisco IOS y el firewall de Cisco IOS. Estas funciones deben configurarse en la plantilla virtual que está configurada en la configuración de cliente Easy VPN. La Tabla 3 explica cómo se debe utilizar esta función. Consulte la Tabla 2 para obtener una descripción de los términos utilizados en la Tabla 1 y en la Tabla 3. Combinaciones del túnel doble
Cabeceras compatibles
Dos túneles Easy VPN IOS, ASA y heredados VPN 3000
Consideraciones sobre la configuración y el uso del dispositivo remoto Easy VPN y las cabeceras •
Dos túneles no pueden compartir la misma interfaz externa.
•
Dos túneles no pueden compartir la misma interfaz interna.
• Los dos túneles deben usar interfaces internas y externas separadas. • El tráfico de una interfaz interna que pertenece a un túnel Easy VPN no puede derivarse a otro túnel. Un túnel Easy VPN heredado y una criptografía
IOS, ASA y VPN 3000
La criptografía puede compartir la misma interfaz externa que la configuración de cliente Easy VPN heredada. No obstante, el comportamiento de los dos dispositivos remotos depende del modo de la Easy VPN, así como de los selectores IPsec de la criptografía y del dispositivo remoto Easy VPN. No se recomienda esta combinación.
Un túnel Easy VPN IOS heredado y una interfaz virtual estática
Los dos túneles no pueden terminar en la misma cabecera. El túnel del dispositivo remoto con interfaz virtual estática debe terminar en una interfaz virtual estática de la cabecera del router. El túnel del dispositivo remoto Easy VPN heredado puede terminar en una interfaz virtual del túnel o en una criptografía configurada en la cabecera.
Un túnel Easy VPN heredado y una interfaz virtual Easy VPN
•
IOS, ASA y VPN 3000
Los dos túneles no pueden terminar en la misma cabecera.
• El túnel Easy VPN heredado y la interfaz virtual de la Easy VPN pueden compartir las mismas interfaces internas y externas. • Una interfaz virtual Easy VPN sólo debe usarse con tunelización dividida. • Una Easy VPN heredada puede utilizar un túnel dividido o un túnel no dividido. • La función activación basada en la Web no puede aplicarse a ambos túneles Easy VPN. • Se prefiere la utilización de dos interfaces virtuales Easy VPN a esta combinación.
Una interfaz virtual IOS Easy VPN y una interfaz virtual estática
• Los dos túneles no pueden terminar en el mismo par. La interfaz virtual estática y la interfaz virtual Easy VPN pueden utilizar la misma interfaz externa. • La interfaz virtual Easy VPN debe utilizar una tunelización dividida.
Dos interfaces virtuales Easy VPN
IOS, ASA y VPN 3000
•
Los dos túneles no pueden terminar en el mismo par.
• Al menos uno de los túneles debe utilizar tunelización dividida. • No se puede aplicar la activación basada en la Web a ambos túneles Easy VPN.
Cartel El servidor Easy VPN activa un cartel en el dispositivo remoto Easy VPN. El dispositivo remoto Easy VPN puede utilizar el cartel durante la activación Xauth o basada en la Web. El dispositivo remoto Easy VPN muestra el cartel la primera vez que el túnel Easy VPN se activa.
El cartel recibe una configuración de grupo en el servidor Easy VPN.
Mejoras en la administración de configuración (Activación de un URL de configuración mediante un intercambio de configuración de modos) Una vez que esta función ha sido configurada en el servidor mediante los comandos configuration url y configuration version (subcomandos dentro del comando crypto isakmp client configuration group), el servidor puede "activar" el URL de configuración y el número de versión de configuración en el dispositivo remoto Easy VPN. Con esta información, el dispositivo remoto Easy VPN puede descargar la información relacionada con la configuración y aplicarla a la configuración en ejecución. Para obtener más información acerca de esta función, consulte la sección "Mejoras en la administración de configuración" en el módulo de la función Servidor Easy VPN.
Reactivar par principal La función Reactivar par principal permite definir una par principal predeterminado. El par principal predeterminado (un servidor) es uno que se considera mejor que otros pares por razones tales como bajo costo, menor distancia o mayor ancho de banda. Con esta función configurada, si la Easy VPN conmuta durante las negociaciones SA de la fase 1 del par principal al próximo par en su lista de respaldo, y si el par principal está nuevamente disponible, las conexiones con el par de respaldo se interrumpen y se vuelve a establecer la conexión con el par principal. La detección de pares inactivos es uno de los mecanismos que actúa como disparador para la reactivación del par principal. Los temporizadores de inactividad configurados en Easy VPN constituyen otro mecanismo disparador. Cuando está configurado, el temporizador de inactividad detecta la inactividad en el túnel y lo desactiva. A continuación, se intenta establecer una conexión (que es inmediata en el caso del modo automático) con el par principal preferido antes que con el par utilizado por última vez.
Nota Sólo se puede definir un par principal.
Cómo configurar la Easy VPN remota de Cisco Esta sección incluye las siguientes tareas requeridas y opcionales: Tareas remotas •
Configuración y asignación de la configuración de la Easy VPN remota (requerido)
•
Verificación de la configuración de la Easy VPN de Cisco (opcional)
•
Configuración de guardar contraseña (opcional)
•
Configuración del control manual del túnel (opcional)
•
Configuración del control automático del túnel (opcional)
•
Configuración de múltiples interfaces internas (opcional)
•
Configuración de múltiples interfaces externas (opcional)
•
Configuración de la compatibilidad con múltiples subredes (opcional)
•
Configuración de la compatibilidad con servidores proxy DNS (opcional)
•
Configuración de respaldo de marcado (opcional)
•
Configuración de agrupación de servidores DHCP (requerido)
•
Restablecimiento de la conexión VPN (opcional)
•
Supervisión y mantenimiento de eventos VPN e IKE (opcional)
•
Configuración de interfaz virtual (opcional)
•
Resolución de problemas de compatibilidad con el túnel doble
•
Configuración de Reactivar par principal (predeterminado) (opcional)
Tareas del servidor Easy VPN •
Configuración del servidor Easy VPN de Cisco IOS (requerido)
•
Configuración de un servidor Easy VPN en un concentrador VPN de la serie 3000 (opcional)
•
Configuración de un servidor Easy VPN en el firewall PIX de Cisco (opcional)
Tareas de la interfaz web •
Configuración de la activación basada en la Web (opcional)
•
Supervisión y mantenimiento de la activación basada en la Web (opcional)
•
Uso del SDM como administrador web (opcional)
Resolución de problemas de la conexión VPN •
Resolución de problemas de una conexión VPN mediante la función Easy VPN remota de Cisco (opcional)
•
Resolución de problemas del modo de funcionamiento cliente (opcional)
•
Resolución de problemas de administración remota (opcional)
•
Resolución de problemas de detección de pares inactivos (opcional)
Tareas remotas Configuración y asignación de la configuración de la Easy VPN remota El router que actúa como una Easy VPN remota debe crear una configuración de la Easy VPN remota de Cisco y asignarla a la interfaz de salida. Para configurar y asignar la configuración remota, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. crypto ipsec client ezvpn nombre 4. group nombre del grupo key clave grupal 5. peer [dirección ip | nombre del host] 6. mode {client | network-extension} 7. exit 8. interface interfaz 9. crypto ipsec client ezvpn nombre [outside] 10. exit 11. exit
PASOS DETALLADOS Comando Paso 1
Paso 2
Propósito
enable
Activa el modo EXEC privilegiado.
Ejemplo: Router> enable
•
configure terminal
Accede al modo de configuración global.
Introduzca la contraseña si se solicita.
Ejemplo: Router# configure terminal Paso 3
crypto ipsec client ezvpn nombre
Crea una configuración remota y accede al modo configuración de la Easy VPN remota de Cisco.
Ejemplo: Router (config)# crypto ipsec client ezvpn easy client remote Paso 4
group nombre del grupo key clave grupal
Especifica los valores de grupo y llave IPsec que se deben asociar con esta configuración.
Ejemplo: Router (config-crypto-ezvpn)# group easy-vpn-remotegroupname key easy-vpnremote-password
Nota El valor del argumento nombre del grupo debe coincidir con el grupo definido en el servidor Easy VPN. En los routers de Cisco IOS, utilice los comandos crypto isakmp client configuration group y crypto map dynmap isakmp authorization list. Nota El valor del argumento clave grupal debe coincidir con la clave definida en el servidor Easy VPN. En los routers de Cisco IOS, utilice el comando crypto isakmp client configuration group.
Paso 5
peer [dirección ip | nombre del host] Ejemplo: Router (config-crypto-ezvpn)# peer 192.185.0.5
Paso 6
mode {client | networkextension} Ejemplo: Router (config-crypto-ezvpn)# mode client
Especifica la dirección IP o el nombre del host para el par de destino (por lo general, la dirección IP en la interfaz externa de la ruta de destino). •
Se pueden configurar múltiples pares.
Nota Debe tener un servidor DNS configurado y disponible para usar la opción nombre del host. Especifica el tipo de conexión VPN que se debe establecer. • client: especifica que el router está configurado para el modo de funcionamiento cliente de la VPN, mediante la traducción de direcciones NAT o PAT. El modo de funcionamiento cliente es el predeterminado si no se especifica el tipo de conexión VPN. • network-extension: especifica que el router se convertirá en una extensión remota de la red corporativa en el destino de la conexión VPN.
Paso 7
exit Ejemplo: Router (config-crypto-ezvpn)# exit
Paso 8
Paso 9
Sale del modo configuración de la Easy VPN remota de Cisco.
interface interfaz
Accede al modo configuración de interfaz para la interfaz.
Ejemplo: Router (config)# interface Ethernet1
• Esta interfaz se convertirá en la interfaz externa para la traducción NAT o PAT.
crypto ipsec client ezvpn nombre [outside]
Asigna la configuración de la Easy VPN remota de Cisco a la interfaz.
Ejemplo: Router (config-if)# crypto ipsec client ezvpn easy_vpn_remote1 outside
• Esta configuración crea automáticamente los parámetros de traducción NAT o PAT necesarios e inicia la conexión VPN (si está en modo cliente).
Paso 10: exit
Nota Se debe especificar la interfaz interna en las plataformas de Cisco 1700 y superiores. Sale del modo configuración de interfaz.
Ejemplo: Router (config-if)# exit Paso 11: exit Ejemplo: Router (config-if)# exit
Sale del modo configuración global.
Verificación de la configuración de la Easy VPN de Cisco Para verificar que la configuración de la Easy VPN remota de Cisco haya sido configurada correctamente, que haya sido asignada a una interfaz y que se haya establecido el túnel VPN con IPsec, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. show crypto ipsec client ezvpn 2. show ip nat statistics
PASOS DETALLADOS
Paso 1 Muestra el estado actual de la conexión de la Easy VPN remota de Cisco mediante el comando show crypto ipsec client ezvpn. El siguiente es un caso de salida típica en el router de la serie 1700 de Cisco en modo cliente: Router# show crypto ipsec client ezvpn
Tunnel name : hw1 Inside interface list: FastEthernet0/0, Serial0/0, Outside interface: Serial1/0 Current State: IPSEC_ACTIVE Last Event: SOCKET_UP Address: 10.0.0.5 Mask: 255.255.255.255 Default Domain: cisco.com Tunnel name : hw2 Inside interface list: Serial0/1, Outside interface: Serial1/1 Current State: IPSEC_ACTIVE Last Event: SOCKET_UP Default Domain: cisco.com
Paso 2 Muestra la configuración NAT o PAT que se crea automáticamente para la conexión VPN mediante el comando show ip nat statistics. El campo "Asignaciones dinámicas" de esta pantalla de visualización muestra los detalles para la traducción NAT o PAT que ocurre en el túnel VPN. Router# show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended) Outside interfaces: cable-modem0 Inside interfaces: Ethernet0 Hits: 1489
Misses: 1
Expired translations: 1 Dynamic mappings: -- Inside Source access-list 198 pool enterprise refcount 0 pool enterprise: netmask 255.255.255.0 start 192.168.1.90 end 192.168.1.90 type generic, total addresses 1, allocated 0 (0%), misses 0\
Si en este momento ve IPSEC_ACTIVE en la salida, todo funciona según lo previsto.
Configuración de guardar contraseña Para configurar la función Guardar contraseña, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. password encryption aes 4. crypto ipsec client ezvpn nombre 5. username nombre password {0 | 6} {contraseña} 6. exit 7. show running-config
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable Paso 2 configure terminal Ejemplo: Router# configure terminal
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Accede al modo de configuración global.
Paso 3 password encryption aes
Activa una llave previamente compartida cifrada de 6 caracteres.
Ejemplo: Router (config)# password encryption aes
Paso 4 crypto ipsec client ezvpn nombre Crea una configuración de la Easy VPN remota de Cisco y accede al modo configuración de la Easy VPN remota de Ejemplo: Cisco. Router (config)# crypto ipsec client ezvpn ezvpn1 Paso 5 username nombre password {0 | 6 Permite guardar su contraseña Xauth localmente en su PC. } {contraseña} • La palabra clave 0 especifica que le sigue una Ejemplo: contraseña no cifrada. Router (config-crypto-ezvpn)# username server_1 password 0 • La palabra clave 6 especifica que le sigue una blue contraseña cifrada. • El argumento contraseña es la contraseña de usuario no cifrada (cleartext). Paso 6 exit
Sale del modo configuración de la Easy VPN remota de Cisco.
Ejemplo: Router (config-crypto-ezvpn)# exit Paso 7 show running-config Ejemplo: Router (config)# show runningconfig
Muestra el contenido del archivo de configuración que se está ejecutando actualmente.
Configuración del control manual del túnel Para configurar el control manual de los túneles VPN con IPsec con el fin de poder establecer y terminar los túneles VPN con IPsec a pedido, debe seguir los siguientes pasos:
Nota CLI es una de las opciones para conectar el túnel. El método preferido es mediante la interfaz web (usando SDM).
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. crypto ipsec client ezvpn nombre 4. connect [auto | manual] 5. exit 6. exit 7. crypto ipsec client ezvpn connect nombre
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable Paso 2 configure terminal
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Accede al modo de configuración global.
Ejemplo: Router# configure terminal Paso 3 crypto ipsec client ezvpn Asigna una configuración de la Easy VPN remota a una interfaz y nombre accede al modo configuración de la Easy VPN remota de Cisco. Ejemplo: Router (config)# crypto ipsec client ezvpn easy vpn remote1
• El argumento nombre especifica el nombre de la configuración que se asignará a la interfaz.
Paso 4 connect [auto | manual] Conecta el túnel VPN. Especifique manual para configurar el control manual del túnel. Ejemplo: Router (config-crypto• Automático es la opción predeterminada; no es necesario usar la ezvpn)# connect manual palabra clave manual si su configuración es automática. Paso 5 exit
Sale del modo configuración de la Easy VPN remota de Cisco.
Ejemplo: Router (config-cryptoezvpn)# exit Paso 6 exit Ejemplo: Router (config-if)# exit
Sale del modo configuración global y accede al modo EXEC privilegiado.
Paso 7 crypto ipsec client ezvpn Conecta una configuración de la Easy VPN remota dada. connect nombre • El argumento nombre especifica el nombre del túnel VPN con Ejemplo: IPsec. Router# crypto ipsec client ezvpn connect easy Nota Si no se especifica el nombre del túnel, se conecta el túnel vpn remote1 activo. Si hay más de un túnel activo, el comando falla y emite un mensaje que solicita la especificación de un nombre de túnel.
Configuración del control automático del túnel Para configurar el control automático del túnel, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. crypto ipsec client ezvpn nombre 4. connect [auto | manual] 5. exit 6. exit 7. crypto ipsec client ezvpn connect nombre
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable Paso 2 configure terminal Ejemplo: Router# configure terminal
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Accede al modo de configuración global.
Paso 3 crypto ipsec client ezvpn Asigna una configuración de la Easy VPN remota a una interfaz y nombre accede al modo configuración de la Easy VPN remota de Cisco. Ejemplo: Router (config)# crypto ipsec client ezvpn easy vpn remote1
• Especifique el nombre de la configuración que se asignará a la interfaz.
Paso 4 connect [auto | manual ] Conecta el túnel VPN. Ejemplo: Router (config-cryptoezvpn)# connect auto Paso 5 exit
• Especifique auto para configurar el control automático del túnel. Automático es la opción predeterminada; no es necesario usar este subcomando si su configuración es automática. Sale del modo configuración de la Easy VPN remota de Cisco.
Ejemplo: Router (config-cryptoezvpn)# exit Paso 6 exit Ejemplo: Router (config-if)# exit
Sale del modo configuración global y accede al modo EXEC privilegiado.
Paso 7 crypto ipsec client ezvpn Conecta una configuración de la Easy VPN remota dada. connect nombre • El argumento nombre especifica el nombre del túnel VPN con Ejemplo: IPsec. Router# crypto ipsec client ezvpn connect easy Nota Si no se especifica el nombre del túnel, se conecta el túnel vpn remote1 activo. Si hay más de un túnel activo, el comando falla y emite un mensaje que solicita la especificación de un nombre de túnel.
Configuración de múltiples interfaces internas Puede configurar hasta tres interfaces internas para todas las plataformas. Debe configurar manualmente cada interfaz interna mediante el siguiente procedimiento:
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. interface nombre de interfaz 4. exit 5. crypto ipsec client ezvpn nombre [outside | inside] 6. interface nombre de interfaz 7. exit 8. crypto ipsec client ezvpn nombre [outside | inside]
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable Paso 2 configure terminal
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Accede al modo de configuración global.
Ejemplo: Router# configure terminal Paso 3 interface nombre de interfaz
Selecciona la interfaz que desea configurar especificando el nombre de la interfaz y accede al modo configuración de
Ejemplo: Router (config)# interface Ethernet0
interfaz.
Paso 4 exit
Sale del modo configuración de interfaz.
Ejemplo: Router (config-if)# exit Paso 5 crypto ipsec client ezvpn nombre [outside | inside]
Especifica el nombre de la configuración de la Easy VPN remota de Cisco que se asignará a la primera interfaz interna.
Ejemplo: • Router (config)# crypto ipsec client ezvpn easy vpn remote 1 inside Paso 6 interface nombre de interfaz
Debe especificar inside para cada interfaz interna.
Selecciona la siguiente interfaz que desea configurar especificando el nombre de la siguiente interfaz y accede al modo configuración de interfaz.
Ejemplo: Router (config)# interface Ethernet1 Paso 7 exit
Sale del modo configuración de interfaz.
Ejemplo: Router (config-if)# exit Paso 8 crypto ipsec client ezvpn nombre [outside | inside]
Especifica el nombre de la configuración de la Easy VPN remota de Cisco que se asignará a la siguiente interfaz interna.
Ejemplo: Router (config)# crypto ipsec client ezvpn easy vpn remote2 inside
•
Debe especificar inside para cada interfaz interna.
Repita los Pasos 3 y 4 para configurar un túnel adicional, si lo desea.
Configuración de múltiples interfaces externas Puede configurar múltiples túneles para interfaces externas, configurando un túnel por cada interfaz externa. Puede configurar hasta cuatro túneles mediante el siguiente procedimiento para cada interfaz externa:
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. interface nombre de interfaz 4. exit 5. crypto ipsec client ezvpn nombre [outside | inside] 6. interface nombre de interfaz 7. exit 8. crypto ipsec client ezvpn nombre [outside | inside]
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable Paso 2 configure terminal
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Accede al modo de configuración global.
Ejemplo: Router# configure terminal Paso 3 interface nombre de interfaz
Selecciona la primera interfaz externa que desea configurar
Ejemplo: Router (config)# interface Ethernet0 Paso 4 exit
especificando el nombre de la interfaz y accede al modo configuración de interfaz.
Sale del modo configuración de interfaz.
Ejemplo: Router (config-if)# exit Paso 5 crypto ipsec client ezvpn nombre [outside | inside]
Especifica el nombre de la configuración de la Easy VPN remota de Cisco que se asignará a la primera interfaz externa.
Ejemplo: • Especifique outside (opcional) para cada interfaz externa. Si Router (config)# crypto ipsec no se especifica ni outside ni inside para la interfaz, la opción client ezvpn easy vpn remote1 predeterminada es outside. outside Paso 6 interface nombre de interfaz Ejemplo: Router (config)# interface Ethernet1 Paso 7 exit
Selecciona la siguiente interfaz externa que desea configurar especificando el nombre de la siguiente interfaz.
Sale del modo configuración de interfaz.
Ejemplo: Router (config-if)# exit Paso 8 crypto ipsec client ezvpn nombre [outside | inside]
Especifica el nombre de la configuración de la Easy VPN remota de Cisco que se asignará a la siguiente interfaz externa.
Ejemplo: • Especifique outside (opcional) para cada interfaz externa. Si Router (config)# crypto ipsec no se especifica ni outside ni inside para la interfaz, la opción client ezvpn easy vpn remote2 predeterminada es outside. outside Repita los Pasos 3 y 4 para configurar túneles adicionales, si lo desea.
Configuración de la compatibilidad con múltiples subredes Cuando se configura la compatibilidad con múltiples subredes, primero debe configurar una lista de acceso para definir las subredes reales que deben ser protegidas. Cada subred de origen o par máscara indica que todo el tráfico que se origina desde esta red a cualquier destino está protegido por IPsec. Para obtener más información acerca de la configuración de ACL, consulte "Configuración de listas de control de acceso" en la sección "Referencias adicionales". Después de haber definido las subredes, debe configurar el perfil crypto IPsec client EZVPN para utilizar las ACL.
Nota No se admiten múltiples subredes en modo cliente.
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. interface nombre de interfaz 4. exit 5. crypto ipsec client ezvpn nombre 6. acl {nombre de acl | número de acl}
PASOS DETALLADOS Comando
Propósito
Paso 1 enable
Activa el modo EXEC privilegiado.
Ejemplo: Router> enable Paso 2 configure terminal
•
Introduzca la contraseña si se solicita.
Accede al modo de configuración global.
Ejemplo: Router# configure terminal Paso 3 interface nombre de interfaz
Selecciona la interfaz que desea configurar especificando el nombre de la interfaz y accede al modo configuración de interfaz.
Ejemplo: Router (config)# interface Ethernet1 Paso 4 exit
Sale del modo configuración de interfaz.
Ejemplo: Router (config-if)# exit Paso 5 crypto ipsec client ezvpn nombre
Crea una configuración de la Easy VPN remota de Cisco y accede al modo configuración criptográfica de la Easy VPN.
Ejemplo: Router (config)# crypto ipsec client ezvpn ez1 Paso 6 acl {nombre de acl | número de acl}
Especifica múltiples subredes en un túnel VPN.
Ejemplo: Router (config-cryptoezvpn)# acl acl-list1
Configuración de la compatibilidad con servidores proxy DNS Para implementar el uso de direcciones DNS del ISP cuando la conexión WAN no funciona, se puede configurar el router en una configuración Easy VPN remota de Cisco para que actúe como un servidor proxy DNS. Para activar la funcionalidad del servidor proxy DNS con el comando ip dns server, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. ip dns server
PASOS DETALLADOS Comando Paso 1
Paso 2
Propósito
enable
Activa el modo EXEC privilegiado.
Ejemplo: Router> enable
•
configure terminal
Accede al modo de configuración global.
Introduzca la contraseña si se solicita.
Ejemplo: Router# configure terminal Paso 3
ip dns server
Permite que el router actúe como servidor proxy DNS.
Ejemplo: Router (config)# ip dns server
Nota Esta definición es específica de IOS.
Siguiente paso Después de configurar el router, debe configurar el servidor Easy VPN de Cisco IOS de la siguiente manera:
•
Bajo el comando crypto isakmp client configuration group, configure el subcomando dns como en el siguiente ejemplo:
dns A.B.C.D A1.B1.C1.D1 Estas direcciones de servidores DNS deberían activarse desde el servidor a la Easy VPN remota de Cisco y agregarse o eliminarse dinámicamente de la configuración en ejecución del router. Para obtener más información acerca de la funcionalidad general del servidor DNS en las aplicaciones del software Cisco IOS, consulte Configuración del DNS y Configuración del DNS en los routers de Cisco.
Configuración de respaldo de marcado
Nota La función de respaldo de marcado no está disponible en la versión 12.3(11)T de Cisco IOS.
Para configurar el respaldo de marcado, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. Crea la configuración de respaldo de Easy VPN. 2. Agrega los detalles del subcomando de respaldo a la configuración principal. 3. Aplica la configuración de respaldo de Easy VPN a la interfaz externa de respaldo de marcado. 4. Aplica el perfil de Easy VPN a las interfaces internas.
PASOS DETALLADOS Comando
Propósito
Paso 1 Crea la configuración de respaldo de marcado de Easy VPN.
Para obtener más detalles acerca de la configuración de respaldo, consulte la sección "Respaldo de marcado".
Paso 2 Agrega los detalles del subcomando de respaldo a la configuración principal.
Utilice el subcomando backup y la palabra clave track del comando crypto ipsec client ezvpn.
Paso 3 Aplica la configuración de respaldo de Easy VPN a la interfaz externa de respaldo de marcado (por ejemplo, serial, asincrónica o marcador).
Para obtener detalles acerca de la aplicación de la configuración de respaldo a la interfaz externa de respaldo de marcado, consulte la sección "Configuración de múltiples interfaces externas".
Paso 4 Aplica el perfil Easy VPN a las interfaces internas (puede haber más de uno).
Para obtener detalles acerca de la aplicación del perfil Easy VPN a las interfaces internas, consulte la sección "Configuración de múltiples interfaces internas ".
Configuración de agrupación de servidores DHCP Para configurar la agrupación de servidores con Protocolo de configuración de host dinámico (DHCP), consulte el capítulo " Configuración de DHCP" en la Guía de configuración IP de Cisco IOS, versión 12.3.
Restablecimiento de la conexión VPN Para restablecer la conexión VPN, debe seguir los siguientes pasos: Los comandos clear se pueden configurar en cualquier orden o independientemente uno de otro.
RESUMEN DE LOS PASOS 1. enable 2. clear crypto ipsec client ezvpn 3. clear crypto sa
4. clear crypto isakmp
PASOS DETALLADOS Comando Paso 1 enable
Propósito Activa el modo EXEC privilegiado.
Ejemplo: Router> enable Paso 2 clear crypto ipsec client ezvpn Ejemplo: Router# clear crypto ipsec client ezvpn Paso 3 clear crypto sa
•
Introduzca la contraseña si se solicita.
Restablece la máquina de estado remoto Easy VPN de Cisco y desactiva la conexión de la Easy VPN remota en todas las interfaces o en una interfaz dada (túnel).
Elimina las asociaciones de seguridad IPsec.
Ejemplo: Router# clear crypto sa Paso 4 clear crypto isakmp Borra las conexiones IKE activas. Ejemplo: Router# clear crypto isakmp
Supervisión y mantenimiento de eventos VPN e IKE Para supervisar y mantener los eventos VPN e IKE, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. enable 2. debug crypto ipsec client ezvpn 3. debug crypto ipsec 4. debug crypto isakmp
RESUMEN DE LOS PASOS Comando Paso 1 enable Ejemplo: Router> enable
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Paso 2 debug crypto ipsec client Muestra información sobre la configuración y la implementación de ezvpn la función Easy VPN remota de Cisco. Ejemplo: Router# debug crypto ipsec client ezvpn Paso 3 debug crypto ipsec
Muestra eventos IPsec.
Ejemplo: Router# debug crypto ipsec Paso 4 debug crypto isakmp Ejemplo: Router# debug crypto isakmp
Muestra mensajes sobre eventos IKE.
Configuración de interfaz virtual Para configurar una interfaz virtual, debe seguir los siguientes pasos:
Nota Antes de configurar la interfaz virtual, asegúrese de que el perfil Easy VPN no esté aplicado a cualquier interfaz externa. Elimine el perfil Easy VPN de la interfaz externa y luego configure la interfaz virtual.
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. interface virtual-template número type tipo de plantilla virtual 4. tunnel mode ipsec ipv4 5. exit 6. crypto ipsec client ezvpn nombre 7. virtual-interface [número de plantilla virtual]
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Paso 2 configure terminal Accede al modo de configuración global. Ejemplo: Router# configure terminal Paso 3 interface virtual(Opcional) Crea una plantilla virtual del túnel tipo y accede al modo template número configuración de interfaz. type tipo de plantilla virtual • Los Pasos 3, 4 y 5 son opcionales, pero si uno se configura los demás también deben configurarse. Ejemplo: Router (config)# interface virtualtemplate1 type tunnel Paso 4 tunnel mode ipsec ipv4
(Opcional) Configura el túnel que realiza la IP Tunnelingsec.
Ejemplo: Router (if-config)# tunnel mode ipsec ipv4 Paso 5 exit
(Opcional) Sale del modo configuración de interfaz (túnel virtual).
Ejemplo: Router (config-if)# exit Paso 6 crypto ipsec client ezvpn nombre Ejemplo:
Crea una configuración de la Easy VPN remota de Cisco y accede al modo configuración de la Easy VPN remota de Cisco.
Router (config)# crypto ipsec client ezvpn EasyVPN1 Paso 7 virtual-interface [ número de plantilla virtual] Ejemplo: Router (configcrypto-ezvpn)# virtual-interface 3
Ordena a la Easy VPN remota la creación de una interfaz virtual que se utilizará como una interfaz externa. Si se especifica el número de la plantilla virtual, la interfaz de acceso virtual se deriva de la interfaz virtual que se especificó. Si no se especifica el número de la plantilla virtual, se crea una interfaz de acceso virtual genérica.
Resolución de problemas de compatibilidad con el túnel doble Los siguientes comandos debug y show pueden utilizarse para resolver problemas de la configuración del túnel doble.
RESUMEN DE LOS PASOS 1. enable 2. debug crypto ipsec client ezvpn 3. debug ip policy 4. show crypto ipsec client ezvpn 5. show ip interface
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Paso 2 debug crypto ipsec client ezvpn Muestra información acerca de las conexiones de la Easy VPN remota de Cisco. Ejemplo: Router# debug crypto ipsec client ezvpn Paso 3 debug ip policy Ejemplo: Router# debug ip policy
Muestra la política IP sobre la actividad de enrutamiento de paquetes.
Paso 4 show crypto ipsec client ezvpn Muestra la configuración de la Easy VPN remota de Cisco. Ejemplo: Router# show crypto ipsec client ezvpn Paso 5 show ip interface Ejemplo: Router# show ip interface
Muestra el estado de uso de las interfaces configuradas para IP.
Configuración de Reactivar par principal (predeterminado) Para configurar un par principal predeterminado, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. crypto ipsec client ezvpn nombre
4. peer {dirección ip | nombre del host} [default] 5. idle-time tiempo de inactividad
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable Paso 2 configure terminal
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Accede al modo de configuración global.
Ejemplo: Router# configure terminal Paso 3 crypto ipsec client ezvpn Crea una configuración de la Easy VPN remota de Cisco y accede al nombre modo configuración criptográfica de la Easy VPN. Ejemplo: Router (config)# crypto ipsec client ezvpn ez1 Paso 4 peer {dirección ip | nombre del host} [ default] Ejemplo: Router (config-cryptoezvpn)# peer 10.2.2.2 default
Establece la dirección IP del par o el nombre del host para la conexión VPN. • Sólo se puede especificar un nombre de host cuando el router cuenta con un servidor DNS disponible para la resolución de un nombre de host. • Se puede utilizar el subcomando peer múltiples veces. No obstante, sólo puede existir un par principal o predeterminado por vez (por ejemplo, 10.2.2.2 predeterminado). •
Paso 5 idle-time tiempo de inactividad Ejemplo: Router (config-cryptoezvpn)# idle-time 60
La palabra clave default define al par como par principal.
(Opcional) Tiempo de inactividad en segundos posterior a la desconexión del túnel Easy VPN. •
Tiempo de inactividad= 60 hasta 86400 segundos.
Nota Si el tiempo de inactividad está configurado, el túnel para el servidor principal no se desconecta.
Tareas del servidor Easy VPN Configuración del servidor Easy VPN de Cisco IOS Para obtener más información acerca del servidor Easy VPN, consulte el siguiente documento: •
Servidor Easy VPN
Configuración de un servidor Easy VPN en un concentrador VPN de la serie 3000 Esta sección describe las pautas requeridas para configurar el concentrador VPN de la serie 3000 de Cisco para su uso con la función Easy VPN remota de Cisco. Como regla general, puede utilizar la configuración predeterminada excepto por las direcciones IP, las direcciones de servidores, las configuraciones de enrutamiento y los siguientes parámetros y opciones: •
Configuración de par en una Easy VPN remota de Cisco con nombre de host
•
Autenticación del cliente de hardware interactivo versión 3.5
•
Protocolo de túnel IPsec
•
Grupo IPSec
•
Cerrojo de grupo
•
Xauth
•
Tunelización dividida
•
Propuestas IKE
•
Nueva SA IPsec
Nota Debe utilizar un software de concentrador VPN de la serie 3000 de Cisco versión 3.11 o superior para Soportar los clientes de software y dispositivos remotos Easy VPN de Cisco.
Configuración de par en una Easy VPN remota de Cisco con nombre de host Después de haber configurado el servidor Easy VPN de Cisco en el concentrador VPN 3000 para usar el nombre del host como identidad, debe configurar al par en la Easy VPN remota de Cisco mediante el nombre del host. Puede configurar DNS en el cliente para resolver el nombre del par host o configurar el nombre del par host localmente en el cliente, mediante el comando ip host . Por ejemplo, puede configurar el nombre del par host localmente en una Easy VPN remota de la siguiente manera: ip host crypto-gw.cisco.com 10.0.0.1
O puede configurar la Easy VPN remota para usar el nombre del host con el comando peer y el argumento nombre del host de la siguiente manera: peer crypto-gw.cisco.com.
Autenticación del cliente de hardware interactivo versión 3.5 La función Easy VPN remota de Cisco no es compatible con la función autenticación del cliente de hardware interactivo versión 3.5. Se debe desactivar esta función. Puede desactivar la función en el concentrador VPN de la serie 3000 haciendo clic en la ficha HW Client en la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico).
Protocolo de túnel IPsec El Protocolo de túnel IPsec activa el protocolo de túnel IPsec para que esté disponible para los usuarios. El Protocolo de túnel IPsec se puede configurar en el concentrador VPN de la serie 3000 de Cisco haciendo clic en la ficha General en la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico).
Grupo IPSec El grupo IPsec configura el concentrador VPN de la serie 3000 de Cisco con un nombre de grupo y una contraseña que coinciden con los valores configurados para la Easy VPN remota de Cisco en el router. Estos valores se configuran en el router mediante los subcomandos y argumentos group nombre del grupo key clave grupal . Los valores se configuran en el concentrador VPN de la serie 3000 de Cisco mediante la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Groups (Grupos).
Cerrojo de grupo Si está definiendo múltiples usuarios en múltiples grupos en el concentrador VPN de la serie 3000, debe seleccionar la casilla Group Lock (Cerrojo de grupo) en la ficha IPsec para evitar que los usuarios de un grupo se registren con los parámetros de otro grupo. Por ejemplo, si ha configurado a un grupo con acceso de tunelización dividida y a otro grupo con acceso sin tunelización dividida, la selección de la casilla Group Lock evita que los usuarios del segundo grupo puedan acceder a las funciones de tunelización dividida. La casilla de verificación Group Lock aparece en la ficha IPsec en la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico) y en la ficha IPsec en las pantallas Configuration (Configuración)| User Management (Administración de usuarios)| Groups (Grupos)| Add/Modify (Agregar/Modificar) .
Xauth Para usar Xauth, establezca el parámetro Authentication en None. La casilla de verificación Group Lock aparece en la ficha IPsec en la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico) y en la ficha IPsec en las pantallas Configuration (Configuración)| User Management (Administración de usuarios)| Groups (Grupos)| Add/Modify (Agregar/Modificar) .
Tunelización dividida Las pantallas Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico), Mode Configuration Parameters Tab (Ficha de parámetros de configuración de modo) incluyen una opción Split Tunnel (Túnel dividido) con una casilla de verificación que dice "Allow the networks in the list to bypass the tunnel" (Permitir a las redes de las listas omitir el túnel).
Propuestas IKE El concentrador VPN de la serie 3000 de Cisco está preconfigurado con una propuesta IKE predeterminada, CiscoVPNClient-3DESMD5, que puede utilizarse con los dispositivos remotos Easy VPN de Cisco. La propuesta IKE es compatible con llaves previamente compartidas con Xauth que utilizan el algoritmo MD5/HMAC-128 y Diffie-Hellman Grupo 2. Esta propuesta IKE está activa en forma predeterminada, pero debería verificar si aún es una propuesta activa mediante la pantalla Configuration (Configuración)| System (Sistema)| Tunneling Protocols (Protocolos de tunelización)| IPsec | IKE Proposals (Propuestas IKE). Además, como parte de la configuración del concentrador VPN de la serie 3000 de Cisco (para la imagen de la Easy VPN remota de Cisco), no es necesario que cree una nueva SA IPsec. Utilice el IKE predeterminado y la vida útil de la Easy VPN remota configurada en el concentrador VPN de la serie 3000 de Cisco.
Nota También puede utilizar las propuestas IKE predeterminadas IKE-DES-MD5 e IKE-3DES-MD5, pero no activan la compatibilidad con Xauth en forma predeterminada.
Nueva SA IPsec Puede crear una nueva SA IPsec. Los clientes Easy VPN de Cisco utilizan una SA con los siguientes parámetros: •
Algoritmo de autenticación= ESP/MD5/HMAC-128
•
Algoritmo de cifrado= DES-56 o 3DES-168 (recomendado)
•
Modo encapsulación= túnel
•
Propuesta IKE= CiscoVPNClient-3DES-MD5 (preferido)
El concentrador VPN de la serie 3000 de Cisco está preconfigurado con varias asociaciones de seguridad (SA) predeterminadas, pero no cumplen con los requisitos de la propuesta IKE. Para utilizar una propuesta IKE del CiscoVPNClient-3DES-MD5, copie el ESP/IKE-3DES-MD5 SA y modifíquelo para usar el CiscoVPNClient-3DES-MD5 como su propuesta IKE. Una propuesta IKE se configura en el concentrador VPN de la serie 3000 mediante la pantalla Configuration (Configuración)| Policy Management (Administración de políticas)| Traffic Management (Administración de tráfico)| Security Associations (Asociaciones de seguridad).
Configuración de un servidor Easy VPN en el firewall PIX de Cisco Para obtener más información acerca de la configuración de un servidor Easy VPN en el firewall PIX de Cisco, consulte el siguiente documento: •
Servidor Easy VPN
Tareas de la interfaz web Configuración de la activación basada en la Web Para configurar una LAN de manera que las solicitudes HTTP provenientes de cualquier PC en la LAN privada sean interceptadas y para brindar a los usuarios corporativos acceso a las páginas web corporativas, debe seguir los siguientes pasos:
RESUMEN DE LOS PASOS 1. enable 2. configure terminal 3. crypto ipsec client ezvpn nombre
4. xauth userid mode {http-intercept | interactive | local}
PASOS DETALLADOS Comando
Propósito
Paso 1 enable
Activa el modo EXEC privilegiado.
Ejemplo: Router> enable
•
Paso 2 configure terminal
Introduzca la contraseña si se solicita.
Accede al modo de configuración global.
Ejemplo: Router# configure terminal Paso 3 crypto ipsec client ezvpn nombre Asigna una configuración de la Easy VPN remota a una interfaz y accede al modo configuración de la Easy VPN Ejemplo: remota de Cisco. Router (config)# crypto ipsec client ezvpn easy vpn remote1 • El argumento nombre especifica el nombre de la configuración que se asignará a la interfaz. Paso 4 xauth userid mode {httpintercept | interactive | local}
Especifica la manera en que el dispositivo VPN administra las solicitudes Xauth o los mensajes del servidor.
Ejemplo: Router (config-crypto-ezvpn)# xauth userid mode http-intercept
Supervisión y mantenimiento de la activación basada en la Web Para supervisar y mantener la activación basada en la Web, debe seguir los siguientes pasos: (Se pueden utilizar los comandos debug y show independientemente o se pueden configurar todos).
RESUMEN DE LOS PASOS 1. enable 2. debug crypto ipsec client ezvpn 3. debug ip auth-proxy ezvpn 4. show crypto ipsec client ezvpn 5. show ip auth-proxy config
PASOS DETALLADOS Comando Paso 1 enable Ejemplo: Router> enable
Propósito Activa el modo EXEC privilegiado. •
Introduzca la contraseña si se solicita.
Paso 2 debug crypto ipsec Muestra información acerca de la conexión Easy VPN de Cisco. client ezvpn Ejemplo: Router# debug crypto ipsec client ezvpn Paso 3 debug ip authproxy ezvpn
Muestra información relacionada con el comportamiento de autenticación del proxy para la activación basada en la Web.
Ejemplo: Router# debug ip auth-proxy ezvpn Paso 4 show crypto ipsec client ezvpn
Muestra que el nombre de usuario y la contraseña utilizadas para las credenciales de usuarios durante las negociaciones Xauth se obtendrán
Ejemplo: Router# show crypto ipsec client ezvpn
interceptando las conexiones HTTP del usuario.
Paso 5 show ip auth-proxy Muestra la regla auth-proxy que ha sido creada y aplicada por Easy VPN. config Ejemplo: Router# show ip auth-proxy config
Ejemplos Resultado de depuración El siguiente es un ejemplo de resultado de depuración debug en una situación típica en la cual el usuario ha abierto un explorador y se ha conectado con el sitio web corporativo: Router# debug ip auth-proxy ezvpn
Dec 10 12:41:13.335: AUTH-PROXY: New request received by EzVPN WebIntercept ! The following line shows the ip address of the user. from 10.4.205.205 Dec 10 12:41:13.335: AUTH-PROXY:GET request received Dec 10 12:41:13.335: AUTH-PROXY:Normal auth scheme in operation Dec 10 12:41:13.335: AUTH-PROXY:Ezvpn is NOT active. Sending connect-bypass page to user
En este punto, el usuario opta por "conectarse" en su explorador: Dec 10 12:42:43.427: AUTH-PROXY: New request received by EzVPN WebIntercept from 10.4.205.205 Dec 10 12:42:43.427: AUTH-PROXY:POST request received Dec 10 12:42:43.639: AUTH-PROXY:Found attribute in form Dec 10 12:42:43.639: AUTH-PROXY:Sending POST data to EzVPN Dec 10 12:42:43.639: EZVPN(tunnel22): Communication from Interceptor application. Request/Response from 10.4.205.205, via Ethernet0 Dec 10 12:42:43.639:
connect: Connect Now
Dec 10 12:42:43.639: EZVPN(tunnel22): Received CONNECT from 10.4.205.205! Dec 10 12:42:43.643: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
Dec 10 12:42:43.643: EZVPN(tunnel22): Event: CONNECT Dec 10 12:42:43.643: EZVPN(tunnel22): ezvpn_connect_request
Easy VPN se contacta con el servidor: Dec 10 12:42:43.643: EZVPN(tunnel22): Found valid peer 192.168.0.1 Dec 10 12:42:43.643: EZVPN(tunnel22): Added PSK for address 192.168.0.1
Dec 10 12:42:43.643: EZVPN(tunnel22): New State: READY Dec 10 12:42:44.815: EZVPN(tunnel22): Current State: READY Dec 10 12:42:44.815: EZVPN(tunnel22): Event: IKE_PFS Dec 10 12:42:44.815: EZVPN(tunnel22): No state change Dec 10 12:42:44.819: EZVPN(tunnel22): Current State: READY Dec 10 12:42:44.819: EZVPN(tunnel22): Event: CONN_UP Dec 10 12:42:44.819: EZVPN(tunnel22): ezvpn_conn_up B8E86EC7 E88A8A18 D0D51422 8AFF32B7
El servidor solicita información Xauth: Dec 10 12:42:44.823: EZVPN(tunnel22): No state change Dec 10 12:42:44.827: EZVPN(tunnel22): Current State: READY Dec 10 12:42:44.831: EZVPN(tunnel22): Event: XAUTH_REQUEST Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_xauth_request Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_parse_xauth_msg Dec 10 12:42:44.831: EZVPN: Attributes sent in xauth request message: Dec 10 12:42:44.831:
XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:44.831:
XAUTH_USER_NAME_V2(tunnel22):
Dec 10 12:42:44.831:
XAUTH_USER_PASSWORD_V2(tunnel22):
Dec 10 12:42:44.831:
XAUTH_MESSAGE_V2(tunnel22) Dec 10 12:42:44.831: EZVPN(tunnel22): Requesting following info for xauth
Dec 10 12:42:44.831:
username:(Null)
Dec 10 12:42:44.835:
password:(Null)
Dec 10 12:42:44.835:
message:Enter Username and Password.
Dec 10 12:42:44.835: EZVPN(tunnel22): New State: XAUTH_REQ
Se muestran los mensajes con el nombre de usuario y la contraseña en el explorador del usuario: Dec 10 12:42:44.835: AUTH-PROXY: Response to POST
is CONTINUE
Dec 10 12:42:44.839: AUTH-PROXY: Displayed POST response successfully Dec 10 12:42:44.843: AUTH-PROXY:Served POST response to the user
Cuando el usuario ingresa su nombre de usuario y contraseña, se envía al servidor lo siguiente: Dec 10 12:42:55.343: AUTH-PROXY: New request received by EzVPN WebIntercept from 10.4.205.205 Dec 10 12:42:55.347: AUTH-PROXY:POST request received Dec 10 12:42:55.559: AUTH-PROXY:No of POST parameters is 3 Dec 10 12:42:55.559: AUTH-PROXY:Found attribute in form Dec 10 12:42:55.559: AUTH-PROXY:Found attribute in form Dec 10 12:42:55.559: AUTH-PROXY:Found attribute in form Dec 10 12:42:55.563: AUTH-PROXY:Sending POST data to EzVPN Dec 10 12:42:55.563: EZVPN(tunnel22): Communication from Interceptor application. Request/Response from 10.4.205.205, via Ethernet0 Dec 10 12:42:55.563:
username:http
Dec 10 12:42:55.563:
password:
Dec 10 12:42:55.563:
ok:Continue
Dec 10 12:42:55.563: EZVPN(tunnel22): Received usename|password from 10.4.205.205! Dec 10 12:42:55.567: EZVPN(tunnel22): Current State: XAUTH_PROMPT Dec 10 12:42:55.567: EZVPN(tunnel22): Event: XAUTH_REQ_INFO_READY Dec 10 12:42:55.567: EZVPN(tunnel22): ezvpn_xauth_reply Dec 10 12:42:55.567:
XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:55.567:
XAUTH_USER_NAME_V2(tunnel22): http
Dec 10 12:42:55.567:
XAUTH_USER_PASSWORD_V2(tunnel22):
Dec 10 12:42:55.567: EZVPN(tunnel22): New State: XAUTH_REPLIED Dec 10 12:42:55.891: EZVPN(tunnel22): Current State: XAUTH_REPLIED Dec 10 12:42:55.891: EZVPN(tunnel22): Event: XAUTH_STATUS Dec 10 12:42:55.891: EZVPN(tunnel22): xauth status received: Success
Después de usar el túnel, el usuario opta por "desconectarse": Dec 10 12:48:17.267: EZVPN(tunnel22): Received authentic disconnect credential Dec 10 12:48:17.275: EZVPN(): Received an HTTP request: disconnect Dec 10 12:48:17.275: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client) Group=tunnel22
Client_public_addr=192.168.0.13
User=
Server_public_addr=192.168.0.1
Assigned_client_addr=10.3.4.5
Mostrar resultado antes de que el usuario se conecte al túnel El siguiente resultado de los dos comandos show (show crypto ipsec client ezvpn y show ip auth-proxy config) muestra lo que puede ver antes de que un usuario se conecte con el túnel VPN: Router# show crypto ipsec client ezvpn tunnel22
Tunnel name : tunnel22 Inside interface list: Ethernet0 Outside interface: Ethernet1 Current State: CONNECT_REQUIRED Last Event: RESET Save Password: Disallowed ! Note the next line. XAuth credentials: HTTP intercepted HTTP return code : 200 IP addr being prompted: 0.0.0.0 Current EzVPN Peer: 192.168.0.1
Router# show ip auth-proxy config
Authentication global cache time is 60 minutes Authentication global absolute time is 0 minutes Authentication Proxy Watch-list is disabled
Authentication Proxy Rule Configuration ! Note that the next line is the Easy VPN-defined internal rule. Auth-proxy name ezvpn401*** Applied on Ethernet0 http list not specified inactivity-timer 60 minutes
Mostrar resultado después de que el usuario se conecte al túnel El siguiente resultado de los dos comandos show (show crypto ipsec client evpn y show ip auth-proxy config) muestra lo que puede ver después de que el usuario se haya conectado al túnel: Router# show crypto ipsec client ezvpn tunnel22
Tunnel name : tunnel22 Inside interface list: Ethernet0 Outside interface: Ethernet1 Current State: IPSEC_ACTIVE Last Event: SOCKET_UP Address: 10.3.4.5 Mask: 255.255.255.255 Save Password: Disallowed XAuth credentials: HTTP intercepted HTTP return code : 200 IP addr being prompted: 192.168.0.0 Current EzVPN Peer: 192.168.0.1
Router# show ip auth-proxy config
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes Authentication Proxy Watch-list is disabled
Auth-proxy name ezvpnWeb*** (EzVPN-defined internal rule) http list not specified inactivity-timer 60 minutes
Uso del SDM como administrador web Para obtener información acerca del administrador web SDM, consulte el siguiente documento: •
Administrador de dispositivos de seguridad de Cisco
Resolución de problemas de la conexión VPN Resolución de problemas de una conexión VPN mediante la función Easy VPN remota de Cisco Para resolver problemas en una conexión VPN creada mediante la función Easy VPN remota de Cisco, utilice las siguientes técnicas sugeridas. • Tenga en cuenta que las modificaciones en la configuración de una Easy VPN remota activa o las modificaciones de las direcciones IP en las interfaces involucradas, tales como el agregado o la eliminación de una interfaz interna, hacen que la conexión Easy VPN remota de Cisco se reinicie. •
Active la función de depuración de la Easy VPN remota de Cisco mediante el comando debug crypto ipsec client ezvpn.
•
Active la depuración de los eventos IKE mediante los comandos debug crypto ipsec y debug crypto isakmp.
•
Muestre las conexiones VPN con IPsec activas mediante el comando show crypto engine connections active .
• Para restablecer la conexión VPN, utilice el comando clear crypto ipsec client ezvpn. Si la depuración está activada, puede preferir usar los comandos clear crypto sa y clear crypto isakmp.
Resolución de problemas del modo de funcionamiento cliente La siguiente información puede ser usada para resolver problemas en la configuración de la Easy VPN remota para el modo de funcionamiento cliente. En modo cliente, la función Easy VPN remota de Cisco configura automáticamente la traducción NAT o PAT y las listas de acceso necesarias para implementar el túnel VPN. Estas configuraciones se crean automáticamente cuando se inicia la conexión VPN con IPsec. Cuando el túnel se desactiva, las configuraciones de NAT o PAT y la lista de acceso se borran automáticamente. La configuración de NAT o PAT se crea con las siguientes suposiciones: • El comando ip nat inside se aplica a todas las interfaces internas, incluidas las interfaces internas predeterminadas. La interfaz interna predeterminada es la interfaz Ethernet 0 (para los routers 806, 826, 827, 828, 831, 836 y 837 de Cisco). • El comando ip nat outside se aplica a la interfaz configurada con la configuración de la Easy VPN remota de Cisco. En los routers de las series 800 y 1700 de Cisco, la interfaz externa está configurada con la configuración de la Easy VPN remota de Cisco. En los routers de las series 1700, 2600, 3600 y 3700 de Cisco, se pueden configurar múltiples interfaces externas.
Recomendación Las configuraciones de NAT o PAT y la lista de acceso que la función Easy VPN remota de Cisco crea no están escritas ni en la configuración de inicio ni en los archivos de configuración en ejecución. No obstante, estas configuraciones pueden verse utilizando los comandos show ip nat statistics y show access-list.
Resolución de problemas de administración remota Para resolver los problemas de administración remota de la VPN remota, utilice el comando show ip interface. Mediante la palabra
clave brief, puede verificar si el bucle de retorno ha sido eliminado y si la interfaz se muestra correctamente.
Ejemplos El siguiente es un ejemplo típico del resultado del comando show ip interface. Router# show ip interface brief
Interface
IP-Address
OK? Method Status
Ethernet0
unassigned
YES NVRAM
administratively down down
Ethernet1
10.0.0.11
YES NVRAM
up
up
Loopback0
192.168.6.1
YES manual up
up
Loopback1
10.12.12.12
YES NVRAM
up
up
Protocol
Router# show ip interface brief
Interface
IP-Address
OK? Method Status
Protocol
Ethernet0
unassigned
YES NVRAM
administratively down down
Ethernet1
10.0.0.11
YES NVRAM
up
up
Loopback1
10.12.12.12
YES NVRAM
up
up
Resolución de problemas de detección de pares inactivos Para resolver los problemas de detección de pares inactivos, utilice el comando show crypto ipsec client ezvpn.
Ejemplos El siguiente resultado típico muestra el servidor actual y los pares que han sido activados mediante el servidor Easy VPN: Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 4 Tunnel name : ez1 Inside interface list: Loopback1, Outside interface: Ethernet1 Current State: IPSEC_ACTIVE
Last Event: CONNECT Address: 192.168.6.5 Mask: 255.255.255.255 DNS Primary: 10.2.2.2 DNS Secondary: 10.2.2.3 NBMS/WINS Primary: 10.6.6.6 Default Domain: cisco.com Save Password: Allowed Current EzVPN Peer:10.0.0.110 Backup Gateways (0): green.cisco.com (1): blue
Ejemplos de configuración para la Easy VPN remota de Cisco Esta sección brinda los siguientes ejemplos de configuración. Ejemplos de configuración de la Easy VPN remota •
Ejemplos de configuración del modo cliente
•
Ejemplo de compatibilidad con direcciones locales para la Easy VPN remota
•
Ejemplos de configuración del modo extensión de red
•
Ejemplo de configuración de guardar contraseña
•
Ejemplos de compatibilidad con PFS
•
Ejemplos de respaldo de marcado
•
Ejemplo de activación basada en la Web
•
Ejemplos de configuración de la Easy VPN remota con compatibilidad de interfaz virtual
•
Ejemplo de configuración de túnel doble
•
Ejemplos de resultado del comando show en el túnel doble
•
Ejemplo de reactivar par principal
Ejemplos de configuración del servidor Easy VPN •
Ejemplo del servidor Easy VPN de Cisco sin tunelización dividida
•
Ejemplo de configuración del servidor Easy VPN de Cisco con tunelización dividida
•
Ejemplo de configuración del servidor Easy VPN de Cisco con Xauth
•
Ejemplo de compatibilidad con la interoperabilidad del servidor Easy VPN
Ejemplos de configuración de la Easy VPN remota Ejemplos de configuración del modo cliente
Los ejemplos en esta sección muestran configuraciones para la función Easy VPN remota de Cisco en modo cliente. También se muestran las configuraciones del servidor Easy VPN de Cisco IOS correspondientes a estas configuraciones de clientes. •
Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 831)
•
Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 837)
•
Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 1700)
Para obtener más ejemplos sobre la configuración del modo cliente, consulte VPN con IPSec (en las secciones "Documentos técnicos" y "Documentos de configuración IPsec de Cisco IOS") y Soluciones Easy VPN de Cisco.
Nota Por lo general, los usuarios configuran los routers de la serie 800 de Cisco con la interfaz web SDM o CRWS y no mediante los comandos CLI. No obstante, las configuraciones que aquí se muestran para los routers de la serie 800 de Cisco muestran configuraciones típicas que pueden usarse si desea una configuración manual.
Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 831) En el siguiente ejemplo, el router 831 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo cliente. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco: • Agrupación de servidores DHCP: el comando ip dhcp pool crea una agrupación de direcciones IP que se asignarán a las PC conectadas con la interfaz Ethernet 0 del router. La agrupación asigna direcciones en el espacio de direcciones privadas clase C (192.168.100.0) y configura cada PC para que su ruta predeterminada sea 192.168.100.1, que es la dirección IP asignada a la interfaz Ethernet del router. El período de validez del DHCP es de un día. • Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn easy vpn remote (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote". Esta configuración especifica el nombre del grupo "easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password", y establece el destino del par en la dirección IP 192.185.0.5 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo predeterminado cliente.
Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.
• El segundo comando crypto ipsec client ezvpn easy vpn remote (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz Ethernet 1, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN. ! Cisco Router Web Setup Template ! no service pad no service tcp-small-servers no service udp-small-servers service timestamps debug uptime service timestamps log uptime service password-encryption
! hostname 806Router ! ! ip subnet-zero ip domain-lookup ip dhcp excluded-address 10.10.10.1 ! ip dhcp pool CLIENT import all network 10.10.10.0 255.255.255.255 default-router 10.10.10.1 lease 1 0 0 ! ! crypto ipsec client ezvpn easy_vpn_remote peer 192.168.0.5 group easy_vpn_remote_groupname key easy_vpn_remote_password mode client ! ! interface Ethernet0 ip address 10.10.10.1 255.255.255.255 no cdp enable hold-queue 32 in ! interface Ethernet1 ip address dhcp no cdp enable
crypto ipsec client ezvpn easy_vpn_remote ! ip classless ip http server ! ! ip route 10.0.0.0 10.0.0.0 Ethernet1 ! line con 0 exec-timeout 120 0 stopbits 1 line vty 0 4 exec-timeout 0 0 login local
Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 837) En el siguiente ejemplo, el router 837 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo de funcionamiento cliente. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco: • Configuración del PPPoE: la interfaz ATM 0 posee una configuración compatible con las conexiones PPPoE por medio de la interfaz virtual de marcado 1. Dado que las interfaces utilizan el PPPoE, no se necesita una agrupación de direcciones IP con DHCP para proporcionar direcciones IP a las PC conectadas. • Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote". Esta configuración especifica el nombre del grupo " easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password", y establece el destino del par en la dirección IP 10.0.0.5 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo predeterminado cliente.
Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.
• El segundo comando crypto ipsec client ezvpn (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz de marcado 1, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN. version 12.2 no service pad service timestamps debug uptime service timestamps log uptime
no service password-encryption ! hostname c827 ! ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ip mtu adjust !! ! crypto ipsec client ezvpn easy_vpn_remote group easy_vpn_remote_groupname key easy_vpn_remote_password mode client peer 10.0.0.5 !! ! interface Ethernet0 ip address 10.0.0.117 255.0.0.0
hold-queue 100 out ! interface ATM0 no ip address no atm ilmi-keepalive pvc 1/40 pppoe-client dial-pool-number 1 ! dsl operating-mode auto ! interface Dialer1 ip address 10.0.0.3 255.0.0.0 ip mtu 1492 encapsulation ppp dialer pool 1 crypto ipsec client ezvpn easy_vpn_remote ! ip classless ip route 0.0.0.0 0.0.0.0 ATM0 ip route 0.0.0.0 0.0.0.0 Dialer1 permanent ip route 10.0.0.0 255.0.0.0 10.0.0.13 ip http server ip pim bidir-enable ! line con 0 stopbits 1 line vty 0 4 login !
scheduler max-task-time 5000 end
Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 1700) En el siguiente ejemplo, el router 1753 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo de funcionamiento cliente. Este ejemplo muestra una configuración en ejecución de un 1753 de Cisco con dos interfaces internas y una externa en un túnel. El subcomando connect auto establece manualmente el túnel VPN con IPsec. Router# show running-config
Building configuration... Current configuration : 881 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname mma-1753 ! ! memory-size iomem 15 ip subnet-zero !! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! ! ! crypto ipsec client ezvpn easy_vpn_remote connect auto group ezvpn key ezvpn mode client
peer 10.6.6.1 ! ! ! interface FastEthernet0/0 ip address 10.4.4.2 255.255.255.0 speed auto crypto ipsec client ezvpn easy_vpn_remote inside ! interface Serial0/0 ip address 10.6.6.2 255.255.255.0 no fair-queue crypto ipsec client ezvpn easy_vpn_remote ! interface Serial1/0 ip address 10.5.5.2 255.255.255.0 clock rate 4000000 crypto ipsec client ezvpn easy_vpn_remote inside ! ip classless no ip http server ip pim bidir-enable ! ! ! line con 0 line aux 0 line vty 0 4 login ! end
El siguiente ejemplo muestra una configuración en ejecución de un router 1760 de Cisco con dos túneles activos conectados automáticamente, easy vpn remote1 e easy vpn remote2. El túnel easy vpn remote1 cuenta con dos interfaces internas y una interfaz externa configuradas. El túnel easy vpn remote2 cuenta con una interfaz interna y una interfaz externa configuradas. El ejemplo también muestra el resultado del comando show crypto ipsect client ezvpn que enumera los nombres del túnel y las interfaces internas y externas. Router# show running-config
Building configuration... Current configuration : 1246 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 1760 ! aaa new-model ! ! aaa session-id common ! ip subnet-zero !! ! crypto ipsec client ezvpn easy_vpn_remote2 connect auto group ez key ez mode network-extension peer 10.7.7.1
crypto ipsec client ezvpn easy_vpn_remote1 connect auto group ezvpn key ezvpn mode client peer 10.6.6.1 ! ! ! interface FastEthernet0/0 ip address 10.5.5.2 255.255.255.0 speed auto no cdp enable crypto ipsec client ezvpn easy_vpn_remote1 inside ! interface Serial0/0 ip address 10.4.4.2 255.255.255.0 no ip route-cache no ip mroute-cache no fair-queue no cdp enable crypto ipsec client ezvpn easy_vpn_remote1 inside ! interface Serial0/1 ip address 10.3.3.2 255.255.255.0 no cdp enable crypto ipsec client ezvpn easy_vpn_remote2 inside ! interface Serial1/0 ip address 10.6.6.2 255.255.255.0 clockrate 4000000
no cdp enable crypto ipsec client ezvpn easy_vpn_remote1 ! interface Serial1/1 ip address 10.7.7.2 255.255.255.0 no keepalive no cdp enable crypto ipsec client ezvpn easy_vpn_remote2 ! ip classless no ip http server ip pim bidir-enable ! ! radius-server retransmit 3 radius-server authorization permit missing Service-Type ! line con 0 line aux 0 line vty 0 4 ! no scheduler allocate end
Router# show crypto ipsec client ezvpn
Tunnel name : easy_vpn_remote1 Inside interface list: FastEthernet0/0, Serial0/0, Outside interface: Serial1/0
Current State: IPSEC_ACTIVE Last Event: SOCKET_UP Address: 10.0.0.5 Mask: 255.255.255.255 Default Domain: cisco.com Tunnel name : easy_vpn_remote2 Inside interface list: Serial0/1, Outside interface: Serial1/1 Current State: IPSEC_ACTIVE Last Event: SOCKET_UP Default Domain: cisco.com
Ejemplo de compatibilidad con direcciones locales para la Easy VPN remota El siguiente ejemplo muestra cómo se utiliza el comando local-address para especificar la interfaz bucle de retorno 0 para determinar el origen del tráfico del túnel: Router# configure terminal Router(config)# crypto ipsec client ezvpn telecommuter-client Router(config-crypto-ezvpn)# local-address loopback0
Ejemplos de configuración del modo extensión de red En esta sección, los siguientes ejemplos demuestran cómo configurar la función Easy VPN remota de Cisco en el modo de funcionamiento extensión de red. También se muestran las configuraciones del servidor Easy VPN de Cisco IOS correspondientes a estas configuraciones de clientes. •
Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 831)
•
Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 837)
•
Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 1700)
Para obtener más ejemplos sobre la configuración del modo extensión de red, consulte VPN con IPSec (en las secciones "Documentos técnicos" y "Documentos de configuración IPsec de Cisco IOS") y Soluciones Easy VPN de Cisco.
Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 831) En el siguiente ejemplo, el router 831 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco: • Se le asigna una dirección en el espacio de dirección de red del servidor Easy VPN de Cisco IOS a la interfaz Ethernet 0. El comando ip route dirige todo el tráfico para este espacio de red desde la interfaz Ethernet 1 hasta el servidor de destino. • Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote". Esta configuración especifica el nombre del grupo " easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password", y establece el destino del par en la dirección IP 192.185.0.5 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo extensión de red.
Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.
• El segundo comando crypto ipsec client ezvpn (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz Ethernet 1, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN. ! Cisco Router Web Setup Template ! no service pad no service tcp-small-servers no service udp-small-servers service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname Router ! ! ip subnet-zero ip domain-lookup ! ! ip dhcp excluded-address 172.31.1.1 ! ip dhcp pool localpool import all network 172.31.1.0 255.255.255.255 default-router 172.31.1.1 lease 1 0 0 ! !
crypto ipsec client ezvpn easy_vpn_remote peer 192.168.0.5 group easy_vpn_remote_groupname key easy_vpn_remote_password mode network-extension ! ! interface Ethernet0 ip address 172.31.1.1 255.255.255.255 no cdp enable hold-queue 32 in ! interface Ethernet1 ip address dhcp no cdp enable crypto ipsec client ezvpn easy_vpn_remote ! ip classless ip route 172.31.0.0 255.255.255.255 Ethernet1 ip http server ! ! line con 0 exec-timeout 120 0 stopbits 1 line vty 0 4 exec-timeout 0 0 login local
Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 837) En el siguiente ejemplo, el router 837 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo cliente. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco: •
Configuración del PPPoE: la interfaz ATM 0 posee una configuración compatible con las conexiones PPPoE por medio de la
interfaz virtual de marcado 1. Dado que las interfaces utilizan el PPPoE, no se necesita una agrupación de direcciones IP con DHCP para proporcionar direcciones IP a las PC conectadas. • Se le asigna una dirección en el espacio de dirección de red del servidor Easy VPN de Cisco IOS a la interfaz Ethernet 0. El comando ip route dirige todo el tráfico para este espacio de red desde la interfaz de marcado 1 hasta el servidor de destino. • Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote". Esta configuración especifica el nombre del grupo " easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password", y establece el destino del par en la dirección IP 10.0.0.5 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo predeterminado extensión de red.
Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.
• El segundo comando crypto ipsec client ezvpn (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz de marcado 1, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN. version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname c827 ! ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 vpdn enable !
vpdn-group pppoe request-dialin protocol pppoe ip mtu adjust ! ! crypto ipsec client ezvpn easy_vpn_remote group easy_vpn_remote_groupname key easy_vpn_remote_password mode network-extension peer 10.0.0.5 ! ! interface Ethernet0 ip address 172.16.0.30 255.255.255.192 hold-queue 100 out ! interface ATM0 no ip address no atm ilmi-keepalive pvc 1/40 pppoe-client dial-pool-number 1 ! dsl operating-mode auto ! interface Dialer1 ip address 10.0.0.3 255.0.0.0 ip mtu 1492 encapsulation ppp dialer pool 1
crypto ipsec client ezvpn easy_vpn_remote ! ip classless ip route 172.16.0.0 255.255.255.128 Dialer1 ip route 0.0.0.0 0.0.0.0 ATM0 ip route 0.0.0.0 0.0.0.0 Dialer1 permanent ip route 10.0.0.0 255.0.0.0 10.0.0.13 ip http server ip pim bidir-enable ! line con 0 stopbits 1 line vty 0 4 login ! scheduler max-task-time 5000
Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 1700) En el siguiente ejemplo, el router 1700 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo de funcionamiento extensión de red. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco: • Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote." Esta configuración especifica el nombre del grupo " easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password," y establece el destino del par en la dirección IP 10.0.0.2 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo extensión de red .
Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.
• El segundo comando crypto ipsec client ezvpn easy vpn remote (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz Ethernet 0, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN. ! version 12.2 service timestamps debug uptime
service timestamps log uptime no service password-encryption ! hostname 1710 ! ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! ! ip dhcp excluded-address 10.0.0.10 ! ip dhcp pool localpool import all network 10.70.0.0 255.255.255.248 default-router 10.70.0.10 lease 1 0 0 ! ! crypto ipsec client ezvpn easy_vpn_remote group easy_vpn_remote_groupname key easy_vpn_remote_password mode network-extension
peer 10.0.0.2 ! ! interface Ethernet0 ip address 10.50.0.10 255.0.0.0 half-duplex crypto ipsec client ezvpn easy_vpn_remote ! interface FastEthernet0 ip address 10.10.0.10 255.0.0.0 speed auto ! ip classless ip route 10.20.0.0 255.0.0.0 Ethernet0 ip route 10.20.0.0 255.0.0.0 Ethernet0 no ip http server ip pim bidir-enable !! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login
Ejemplo de configuración de guardar contraseña El siguiente ejemplo de resultado show running-config muestra que la función Guardar contraseña ha sido configurada (tenga en cuenta el comando password encryption aes y las palabras clave username en el resultado): Router# show running-config
133.CABLEMODEM.CISCO: Oct 28 18:42:07.115: %SYS-5-CONFIG_I: Configured from console by consolen
Building configuration... Current configuration : 1269 bytes ! ! Last configuration change at 14:42:07 UTC Tue Oct 28 2003 ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! clock timezone UTC -4 no aaa new-model ip subnet-zero no IP Routing ! ! ip audit notify log ip audit po max-events 100 ip ssh break-string no ftp-server write-enable password encryption aes !
! no crypto isakmp enable ! ! crypto ipsec client ezvpn remote_vpn_client connect auto mode client username greentree password
6 ARiFgh`SOJfMHLK[MHMQJZagR\M
! ! interface Ethernet0 ip address 10.3.66.4 255.255.255.0 no ip route-cache bridge-group 59
Ejemplos de compatibilidad con PFS El siguiente resultado del comando show crypto ipsec client ezvpn muestra el nombre del grupo ("2") y qué PFS está siendo utilizado: Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 4
Tunnel name : ez1 Inside interface list: Loopback1, Outside interface: Ethernet1 Current State: IPSEC_ACTIVE Last Event: SOCKET_UP Address: 192.168.6.6 Mask: 255.255.255.255 Using PFS Group: 2 Save Password: Allowed
Current EzVPN Peer:10.0.0.110
Tenga en cuenta que en un servidor Easy VPN de Cisco IOS, PFS debe estar incluida en las propuestas IPsec agregándola a la criptografía, como en el siguiente ejemplo: crypto dynamic-map mode 1 set security-association lifetime seconds 180 set transform-set client set pfs group2 set isakmp-profile fred reverse-route
Ejemplos de respaldo de marcado Direccionamiento IP estático El siguiente ejemplo muestra que se ha configurado el direccionamiento IP estático en el router 1711 de Cisco: Router# show running-config
Building configuration...
Current configuration : 3427 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ph4_R5 ! boot-start-marker boot-end-marker ! no logging buffered
! username ph4_R8 password 0 cisco username ph4_R7 password 0 lab mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model ! ! aaa session-id common ip subnet-zero ! ! no ip domain lookup ip cef ip ids po max-events 100 ip dhcp-client default-router distance 1 no ftp-server write-enable ! ! track 123 rtr 3 reachability ! crypto isakmp keepalive 10 periodic ! ! crypto ipsec client ezvpn backup_profile_vpn3k connect auto group hw_client_groupname key password123
mode client peer 10.0.0.5 username rchu password
password123
crypto ipsec client ezvpn hw_client_vpn3k connect auto group hw_client_groupname key password123 backup backup_profile_vpn3k track 123 mode client peer 10.0.0.5 username rchu password password123 ! ! interface Loopback0 ip address 10.40.40.50 255.255.255.255 ! interface Loopback1 ip address 10.40.40.51 255.255.255.255 ! interface Loopback2 no ip address ! interface FastEthernet0 description Primary Link to 10.0.0.2 ip address 10.0.0.10 255.255.255.0 duplex auto speed auto no cdp enable crypto ipsec client ezvpn hw_client_vpn3k !
interface FastEthernet1 no ip address duplex full speed 100 no cdp enable ! interface FastEthernet2 no ip address no cdp enable ! interface FastEthernet3 no ip address no cdp enable ! interface FastEthernet4 no ip address no cdp enable ! interface Vlan1 ip address 10.0.0.1 255.255.255.0 crypto ipsec client ezvpn backup_profile_vpn3k inside crypto ipsec client ezvpn hw_client_vpn3k inside ! interface Async1 description Backup Link no ip address ip nat outside ip virtual-reassembly encapsulation ppp
no ip route-cache cef dialer in-band dialer pool-member 1 dialer-group 1 async default routing async mode dedicated ! interface Dialer1 ip address 10.30.0.1 255.255.255.0 encapsulation ppp no ip route-cache cef dialer pool 1 dialer idle-timeout 60 dialer string 102 dialer hold-queue 100 dialer-group 1 crypto ipsec client ezvpn backup_profile_vpn3k ! ip local policy route-map policy_for_rtr ip classless
ip route 0.0.0.0 0.0.0.0 faste0 track 123
ip route 0.0.0.0 0.0.0.0 Dialer1 240 no ip http server no ip http secure-server ! ! ip access-list extended dummy1
permit ip host 10.0.0.2 host 10.3.0.1 ip access-list extended important_traffic permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255 ip access-list extended important_traffic_2 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255 access-list 112 permit icmp any host 10.0.10.2 echo dialer-list 1 protocol ip permit no cdp run ! route-map policy_for_rtr permit 10 match ip address 112 set interface Null0 set ip next-hop 10.0.10.2 ! ! control-plane ! rtr 2 type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3 timeout 10000 threshold 1000 frequency 11 rtr schedule 2 life forever start-time now rtr 3 type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0 timeout 10000 threshold 1000 frequency 11
rtr schedule 3 life forever start-time now ! line con 0 exec-timeout 0 0 line 1 modem InOut modem autoconfigure discovery transport input all autoselect ppp stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 password lab !
DHCP configurado en la interfaz principal y PPP asincrónico como respaldo El siguiente ejemplo muestra la manera en que un router 1711 de Cisco ha sido configurado para que DHCP esté configurado en la interfaz principal y el PPP en modo asincrónico esté configurado como respaldo: Router# show running-config
Building configuration...
Current configuration : 3427 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption !
hostname ph4_R5 ! boot-start-marker boot-end-marker ! no logging buffered ! username ph4_R8 password 0 cisco username ph4_R7 password 0 lab mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model ! ! aaa session-id common ip subnet-zero ! ! no ip domain lookup ip cef ip ids po max-events 100 ip dhcp-client default-router distance 1 no ftp-server write-enable ! ! track 123 rtr 3 reachability !
crypto isakmp keepalive 10 periodic ! ! crypto ipsec client ezvpn backup_profile_vpn3k connect auto group hw_client_groupname key password123 mode client peer 10.0.0.5 username rchu password
password123
crypto ipsec client ezvpn hw_client_vpn3k connect auto group hw_client_groupname key password123 backup backup_profile_vpn3k track 123 mode client peer 10.0.0.5 username rchu password
password123
! ! interface Loopback0 ip address 10.40.40.50 255.255.255.255 ! interface Loopback1 ip address 10.40.40.51 255.255.255.255 ! interface Loopback2 no ip address ! interface FastEthernet0 description Primary Link to 10.0.0.2
ip dhcp client route track 123 ip address dhcp duplex auto speed auto no cdp enable crypto ipsec client ezvpn hw_client_vpn3k ! interface FastEthernet1 no ip address duplex full speed 100 no cdp enable ! interface FastEthernet2 no ip address no cdp enable ! interface FastEthernet3 no ip address no cdp enable ! interface FastEthernet4 no ip address no cdp enable ! interface Vlan1 ip address 10.0.0.1 255.255.255.0 crypto ipsec client ezvpn backup_profile_vpn3k inside crypto ipsec client ezvpn hw_client_vpn3k inside
! interface Async1 description Backup Link no ip address ip nat outside ip virtual-reassembly encapsulation ppp no ip route-cache cef dialer in-band dialer pool-member 1 dialer-group 1 async default routing async mode dedicated ! interface Dialer1 ip address 10.0.0.3 255.255.255.0 encapsulation ppp no ip route-cache cef dialer pool 1 dialer idle-timeout 60 dialer string 102 dialer hold-queue 100 dialer-group 1 crypto ipsec client ezvpn backup_profile_vpn3k ! ip local policy route-map policy_for_rtr ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 240 no ip http server
no ip http secure-server ! ! ip access-list extended dummy1 permit ip host 10.10.0.2 host 10.0.0.1 ip access-list extended important_traffic permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255 ip access-list extended important_traffic_2 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255 access-list 112 permit icmp any host 10.0.0.2 echo dialer-list 1 protocol ip permit no cdp run ! route-map policy_for_rtr permit 10 match ip address 112 set interface Null0 set ip next-hop 10.0.0.2 ! ! control-plane ! rtr 2 type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3 timeout 10000 threshold 1000 frequency 11 rtr schedule 2 life forever start-time now rtr 3
type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0 timeout 10000 threshold 1000 frequency 11 rtr schedule 3 life forever start-time now ! line con 0 exec-timeout 0 0 line 1 modem InOut modem autoconfigure discovery transport input all autoselect ppp stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 password lab !
Ejemplo de activación basada en la Web El siguiente ejemplo muestra que las conexiones HTTP del usuario se interceptarán y que el usuario puede realizar una activación basada en la Web (192.0.0.13 es el dispositivo del cliente VPN y 192.0.0.1 es el dispositivo del servidor): crypto ipsec client ezvpn tunnel22 connect manual group tunnel22 key 22tunnel mode client peer 192.168.0.1 xauth userid mode http-intercept !
! interface Ethernet0 ip address 10.4.23.15 255.0.0.0 crypto ipsec client ezvpn tunnel22 inside! interface Ethernet1 ip address 192.168.0.13 255.255.255.128 duplex auto crypto ipsec client ezvpn tunnel22 !
Ejemplos de configuración de la Easy VPN remota con compatibilidad de interfaz virtual Los siguientes ejemplos indican que se ha configurado la compatibilidad con la interfaz virtual IPsec en los dispositivos remotos Easy VPN.
Interfaz virtual IPsec: acceso virtual genérico El siguiente ejemplo muestra un dispositivo remoto Easy VPN, compatible con la interfaz virtual, que usa una interfaz IPsec de acceso virtual genérico. ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy !
clock timezone IST 0 ip subnet-zero no ip dhcp use vrf connected ! ! crypto ipsec client ezvpn ez connect manual group easy key cisco mode client peer 10.3.0.2 virtual-interface xauth userid mode interactive ! ! interface Ethernet0/0 ip address 10.1.0.2 255.255.255.0 no keepalive no cdp enable crypto ipsec client ezvpn ez inside ! interface Ethernet1/0 ip address 10.2.0.1 255.255.255.0 no keepalive no cdp enable crypto ipsec client ezvpn ez ! ip classless ip route 0.0.0.0 0.0.0.0 10.2.0.2 2 no ip http server
no ip http secure-server ! ! line con 0 line aux 0 line vty 0 4 login ! end
Interfaz virtual IPsec: acceso virtual que se obtiene de una plantilla virtual El siguiente ejemplo muestra un dispositivo remoto Easy VPN, compatible con la interfaz virtual, que usa una interfaz IPsec de acceso virtual que se obtiene de una plantilla virtual. ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! clock timezone IST 0 ip subnet-zero
no ip dhcp use vrf connected ! ! crypto ipsec client ezvpn ez connect manual group easy key cisco mode client peer 10.3.0.2 virtual-interface 1 xauth userid mode interactive ! ! interface Ethernet0/0 ip address 10.1.0.2 255.255.255.0 no keepalive no cdp enable crypto ipsec client ezvpn ez inside ! interface Ethernet1/0 ip address 10.2.0.1 255.255.255.0 no keepalive no cdp enable crypto ipsec client ezvpn ez ! interface Virtual-Template1 type tunnel no ip address tunnel mode ipsec ipv4 ! !
ip classless ip route 0.0.0.0 0.0.0.0 10.2.0.2 2 no ip http server no ip http secure-server ! ! line con 0 line aux 0 line vty 0 4 login ! end
Cuando el túnel no está activado El resultado de una configuración de interfaz virtual en un perfil de Easy VPN es la creación de una interfaz de acceso virtual. Esta interfaz brinda encapsulación IPsec. El siguiente resultado muestra la configuración de una interfaz de acceso virtual cuando la Easy VPN no está activada. Router# show running-config interface virtual-access 2
Building configuration...
Current configuration : 99 bytes ! interface Virtual-Access2 no ip address tunnel source Ethernet1/0 tunnel mode ipsec ipv4 end
La configuración de una interfaz virtual crea una interfaz de acceso virtual. Esta interfaz de acceso virtual se crea automáticamente fuera del perfil de la Easy VPN. Las rutas que se agregan con posterioridad, cuando los túneles Easy VPN se activan señalan esta interfaz virtual para enviar paquetes a la red corporativa. Si crypto ipsec client ezvpn name outside (comando crypto ipsec client ezvpn name y palabra clave outside) se aplica en una interfaz real, esa interfaz se usa como un punto final (endpoint) IKE (IPsec), (es decir, los paquetes IKE e IPsec utilizan la dirección de la interfaz como dirección de origen).
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 5
Tunnel name : ez Inside interface list: Ethernet0/0 Outside interface: Virtual-Access2 (bound to Ethernet1/0) Current State: CONNECT_REQUIRED Last Event: TRACKED OBJECT UP Save Password: Disallowed Current EzVPN Peer: 10.3.0.2
Dado que una interfaz virtual, o en realidad cualquier interfaz, es enrutable, las rutas actúan como selectores de tráfico. Cuando el túnel Easy VPN no funciona, no hay ninguna ruta que señale la interfaz virtual, como se observa en el siguiente ejemplo: Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.2.0.2 to network 0.0.0.0
10.0.0.0/24 is subnetted, 2 subnets C
10.2.0.0 is directly connected, Ethernet1/0
C
10.1.0.0 is directly connected, Ethernet0/0
S*
0.0.0.0/0 [2/0] via 10.2.0.2
Cuando el túnel está activado En el caso de los modos cliente o red plus, Easy VPN crea una interfaz de bucle de retorno y asigna la dirección que se activa en el modo configuración. Para asignar la dirección del bucle de retorno a la interfaz, utilice el comando ip unnumbered (ip unnumbered loopback). En el caso del modo extensión de red, el acceso virtual se configurará como ip unnumbered ethernet0 (la interfaz conectada). Router# show running-config interface virtual-access 2
Building configuration...
Current configuration : 138 bytes ! interface Virtual-Access2 ip unnumbered Loopback0 tunnel source Ethernet1/0 tunnel destination 10.3.0.2 tunnel mode ipsec ipv4 end
Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 5
Tunnel name : ez Inside interface list: Ethernet0/0 Outside interface: Virtual-Access2 (bound to Ethernet1/0) Current State: IPSEC_ACTIVE Last Event: SOCKET_UP Address: 10.5.0.2 Mask: 255.255.255.255 DNS Primary: 10.6.0.2 NBMS/WINS Primary: 10.7.0.1
Default Domain: cisco.com Using PFS Group: 2 Save Password: Disallowed Split Tunnel List: 1 Address
: 10.4.0.0
Mask
: 255.255.255.0
Protocol
: 0x0
Source Port: 0 Dest Port
: 0
Current EzVPN Peer: 10.3.0.2
Cuando los túneles se activan, la Easy VPN agrega una ruta predeterminada que señala la interfaz de acceso virtual o agrega rutas para todos los atributos divididos de las subredes que señalan la interfaz de acceso virtual. La Easy VPN también agrega una ruta al par (concentrador o de destino) si el par no se encuentra directamente conectado al dispositivo Easy VPN.
Los siguientes ejemplos de resultados del comando show ip route corresponden a situaciones en una interfaz virtual IPsec en las cuales un servidor envía un atributo de túnel dividido y otras en las que no lo hace. El servidor ha enviado el atributo de túnel dividido Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.2.0.2 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks C
10.2.0.0/24 is directly connected, Ethernet1/0
S
10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0
