Gerenciamento e automatização de redes : Cisco Configuration Professional

IOS Router como o Easy VPN Server usando o exemplo de configuração do profissional da configuração

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar um roteador do � do Cisco IOS como um server fácil VPN (EzVPN) usando o Cisco Configuration Professional (Cisco CP) e o CLI. A característica Easy VPN Server permite que um usuário final remoto comunique-se usando a Segurança IP (IPsec) com qualquer gateway da Rede Privada Virtual (VPN) do Cisco IOS. As políticas de IPsec centralmente gerenciadas são "empurradas" ao dispositivo de cliente pelo servidor, minimizando a configuração pelo usuário final.

Para obter mais informações sobre do Easy VPN Server refira a seção do Easy VPN Server da biblioteca do manual de configuração da conectividade segura, Cisco IOS Release 12.4T.

Pré-requisitos

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 1841 Router com Cisco IOS Software Release 12.4(15T)

  • Versão 2.1 de Cisco CP

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Instale Cisco CP

Execute estas etapas a fim instalar Cisco CP:

  1. Transfira Cisco CP V2.1 do Centro de Software da Cisco (clientes registrados somente) e instale-o em seu PC local.

    A versão a mais atrasada de Cisco CP pode ser encontrada no Web site de Cisco CP.

  2. Lance Cisco CP de seu PC local através do Start > Programs > do Cisco Configuration Professional (CCP) e escolha a comunidade que tem o roteador que você quer configurar.

    easyvpn-router-config-ccp-01.gif

    easyvpn-router-config-ccp-02.gif

  3. A fim descobrir o dispositivo que você quer configurar, para destacar o roteador e o clique descobre.

    easyvpn-router-config-ccp-03.gif

Nota: Para obter informações sobre dos modelos e das versões do IOS do roteador Cisco que são compatíveis a Cisco CP v2.1, refira a seção compatível das liberações do Cisco IOS.

Nota: Para obter informações sobre das exigências PC que dirige Cisco CP v2.1, refira a seção dos requisitos do sistema.

Configuração de roteador para dirigir Cisco CP

Execute estas etapas de configuração a fim dirigir Cisco CP em um roteador Cisco:

  1. Conecte a seu roteador que usa o telnet, SSH, ou através do console.

    Incorpore o modo de configuração global usando este comando:

    Router(config)#enable
    Router(config)#
  2. Se o HTTP e o HTTPS são permitidos e configurados de usar números de porta não padronizados, você pode saltar esta etapa e simplesmente usar o número de porta já configurado.

    Permita o roteador HTTP ou o servidor HTTPS usando estes comandos do Cisco IOS Software:

    Router(config)# ip http server
    Router(config)# ip http secure-server
    Router(config)# ip http authentication local
    
  3. Crie um usuário com o nível de privilégio 15:

    Router(config)# username <username> privilege 15 password 0 <password>
    
    

    Nota: Substitua o <username> e o <password> com o nome de usuário e senha que você quer configurar.

  4. Configurar o SSH e o telnet para o login local e o nível de privilégio 15.

    Router(config)# line vty 0 4
    Router(config-line)# privilege level 15
    Router(config-line)# login local
    Router(config-line)# transport input telnet
    Router(config-line)# transport input telnet ssh
    Router(config-line)# exit
    
  5. (Opcional) permita o logging local de apoiar a função de monitoramento do log:

    Router(config)# logging buffered 51200 warning
    

Requisitos

Este documento supõe que o roteador Cisco é plenamente operacional e configurado para permitir que Cisco CP faça alterações de configuração.

Para obter informações completas sobre de como começar usar Cisco CP, refira a obtenção começado com Cisco Configuration Professional.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você é presentado com a informação para configurar as configurações básicas para um roteador em uma rede.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/112037/easyvpn-router-config-ccp-23.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços da RFC1918 que foram usados em um ambiente de laboratório.leavingcisco.com

Cisco CP - Configuração do Easy VPN Server

Execute estas etapas a fim configurar o roteador do Cisco IOS como um Easy VPN Server:

  1. Escolha configuram o > segurança > o VPN > o Easy VPN Server > criam o Easy VPN Server e clicam o assistente do Easy VPN Server do lançamento a fim configurar o roteador do Cisco IOS como um Easy VPN Server:

    /image/gif/paws/112037/easyvpn-router-config-ccp-04.gif

  2. Clique em seguida a fim continuar com a configuração do Easy VPN Server.

    /image/gif/paws/112037/easyvpn-router-config-ccp-05.gif

  3. No indicador resultante, uma interface virtual será configurada como parte da configuração do Easy VPN Server. Forneça o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface de túnel virtual e igualmente escolha o método de autenticação usado autenticando os clientes VPN. Aqui, as chaves pré-compartilhada são o método de autenticação usado. Clique em seguida:

    /image/gif/paws/112037/easyvpn-router-config-ccp-06.gif

  4. Especifique o algoritmo de criptografia, o algoritmo de autenticação e o método das trocas de chave a ser usado por este roteador ao negociar com o dispositivo remoto. Uma política de IKE do padrão esta presente no roteador que pode ser usado se for necessário. Se você quer adicionar uma política de IKE nova, o clique adiciona.

    /image/gif/paws/112037/easyvpn-router-config-ccp-07.gif

  5. Forneça o algoritmo de criptografia, o algoritmo de autenticação, e o método das trocas de chave como mostrado aqui, a seguir clique a APROVAÇÃO:

    /image/gif/paws/112037/easyvpn-router-config-ccp-08.gif

  6. A política de IKE do padrão é usada neste exemplo. Em consequência, escolha a política de IKE do padrão e clique-a em seguida.

    /image/gif/paws/112037/easyvpn-router-config-ccp-09.gif

  7. Na nova janela, os detalhes ajustados da transformação devem ser fornecidos. O grupo da transformação especifica a criptografia e os algoritmos de autenticação usados para proteger dados no VPN escavam um túnel. O clique adiciona para fornecer estes detalhes. Você pode adicionar todo o número de grupos Transform como necessário quando você clique adiciona e fornece os detalhes.

    Nota:  O padrão CP transforma o grupo esta presente à revelia no roteador quando configurado usando Cisco CP.

    /image/gif/paws/112037/easyvpn-router-config-ccp-10.gif

  8. Forneça os detalhes ajustados da transformação (criptografia e algoritmo de autenticação) e clique a APROVAÇÃO.

    easyvpn-router-config-ccp-11.gif

  9. O padrão transforma o padrão nomeado grupo CP transforma o grupo é usado neste exemplo. Em consequência, escolha o padrão transformam o grupo e clicam-no em seguida.

    easyvpn-router-config-ccp-12.gif

  10. Na nova janela, escolha o server em que as políticas do grupo serão configuradas que podem ser Local ou RAIO ou Local e RAIO. Neste exemplo, nós usamos o servidor local para configurar políticas do grupo. Escolha o Local e clique-o em seguida.

    easyvpn-router-config-ccp-13.gif

  11. Escolha o server a ser usado para a autenticação de usuário nesta nova janela que pode ser Local somente ou RAIO ou Local somente e RAIO. Neste exemplo nós usamos o servidor local para configurar credenciais do usuário para a autenticação. Certifique-se que a caixa de verificação ao lado de para permitir a autenticação de usuário está verificada. Escolha o Local somente e clique-o em seguida.

    easyvpn-router-config-ccp-14.gif

  12. O clique adiciona para criar uma política nova do grupo e para adicionar os usuários remotos neste grupo.

    easyvpn-router-config-ccp-15.gif

  13. Na janela de política do grupo adicionar, forneça o nome do grupo no espaço preveem o nome deste grupo (Cisco neste exemplo) junto com a chave pré-compartilhada, e a informação do IP pool (o endereço IP de Um ou Mais Servidores Cisco ICM NT começando e endereço IP de Um ou Mais Servidores Cisco ICM NT do término) como mostrado e a APROVAÇÃO do clique.

    Nota: Você pode criar um IP pool novo ou usar um IP pool existente se presente.

    easyvpn-router-config-ccp-16.gif

  14. Escolha agora a política nova do grupo criada com o nome Cisco e clique então a caixa de verificação ao lado do configuram o temporizador de ociosidade como exigido na ordem para configurar o temporizador de ociosidade. Clique em Next.

    easyvpn-router-config-ccp-17.gif

  15. Permita Cisco que escava um túnel o protocolo de controle (cTCP) se for necessário. Se não, clique em seguida.

    easyvpn-router-config-ccp-18.gif

  16. Reveja o sumário da configuração. Clique em Finish.

    easyvpn-router-config-ccp-19.gif

  17. Na configuração do fornecimento à janela de roteador, o clique entrega para entregar a configuração ao roteador. Você pode clicar sobre a salvaguarda para arquivar para salvar a configuração como um arquivo no PC.

    easyvpn-router-config-ccp-20.gif

  18. A janela de status da entrega do comando mostra o estado da entrega dos comandos ao roteador. Aparece como a configuração entregada ao roteador. Clique em OK.

    easyvpn-router-config-ccp-21.gif

  19. Você pode ver o Easy VPN Server recém-criado. Você pode editar o servidor existente escolhendo edita o Easy VPN Server. Isto termina a configuração do Easy VPN Server no roteador do Cisco IOS.

    easyvpn-router-config-ccp-22.gif

Configuração de CLI

Configuração do roteador
Router#show run
Building configuration...

Current configuration : 2069 bytes

!

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Router
boot-start-marker
boot-end-marker

no logging buffered
enable password cisco

!---AAA enabled using aaa newmodel command. Also 
AAA Authentication and Authorization are enabled---!

aaa new-model
!
!
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization network ciscocp_vpn_group_ml_1 local
!
!
aaa session-id common
ip cef
!
!
!
!
ip domain name cisco.com
!
multilink bundle-name authenticated
!
!

!--- Configuration for IKE policies.
!--- Enables the IKE policy configuration (config-isakmp) 
!--- command mode, where you can specify the parameters that 
!--- are used during an IKE negotiation. Encryption and Policy details are hidden
as the default values are chosen.

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp keepalive 10
!
crypto isakmp client configuration group cisco
 key cisco123
 pool SDM_POOL_1
crypto isakmp profile ciscocp-ike-profile-1
   match identity group cisco
   client authentication list ciscocp_vpn_xauth_ml_1
   isakmp authorization list ciscocp_vpn_group_ml_1
   client configuration address respond
   virtual-template 1
!
!

!--- Configuration for IPsec policies.
!--- Enables the crypto transform configuration mode, 
!--- where you can specify the transform sets that are used 
!--- during an IPsec negotiation.

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile CiscoCP_Profile1
 set security-association idle-time 86400
 set transform-set ESP-3DES-SHA
 set isakmp-profile ciscocp-ike-profile-1
!
!
!

!--- RSA certificate generated after you enable the 
!--- ip http secure-server command.

crypto pki trustpoint TP-self-signed-1742995674
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1742995674
 revocation-check none
 rsakeypair TP-self-signed-1742995674


!--- Create a user account named cisco123 with all privileges.

username cisco123 privilege 15 password 0 cisco123
archive
 log config
  hidekeys
!
!

!--- Interface configurations are done as shown below---!

interface Loopback0
 ip address 10.10.10.10 255.255.255.0
!
interface FastEthernet0/0
 ip address 10.77.241.111 255.255.255.192
 duplex auto
 speed auto
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile CiscoCP_Profile1
!

!--- VPN pool named SDM_POOL_1 has been defined in the below command---!

ip local pool SDM_POOL_1 192.168.1.1 192.168.1.254


!--- This is where the commands to enable HTTP and HTTPS are configured.

ip http server
ip http authentication local
ip http secure-server
!
!
!
!
control-plane
!
line con 0
line aux 0

!--- Telnet enabled with password as cisco.

line vty 0 4
 password cisco
 transport input all
scheduler allocate 20000 1000
!

!
!
!

end

Verificar

Easy VPN Server - comandos show

Use esta seção para confirmar se a sua configuração funciona corretamente.

  • mostre isakmp cripto sa — Mostra todo o IKE atual SA em um par.

    Router#show crypto isakmp sa
    
    IPv4 Crypto ISAKMP SA
    dst             src             state          conn-id slot status
    10.77.241.111   172.16.1.1     QM_IDLE           1003    0 ACTIVE
    
  • mostre IPsec cripto sa — Mostra todo o sas de IPSec atual em um par.

    Router#show crypto ipsec sa
    		interface: Virtual-Access2
        Crypto map tag: Virtual-Access2-head-0, local addr 10.77.241.111
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
       remote ident (addr/mask/prot/port): (192.168.1.3/255.255.255.255/0/0)
       current_peer 172.16.1.1 port 1086
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 28, #pkts encrypt: 28, #pkts digest: 28
        #pkts decaps: 36, #pkts decrypt: 36, #pkts verify: 36
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 2
    
         local crypto endpt.: 10.77.241.111, remote crypto endpt.: 172.16.1.1
         path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
         current outbound spi: 0x186C05EF(409732591)
    
         inbound esp sas:
          spi: 0x42FC8173(1123844467)
            transform: esp-3des esp-sha-hmac

Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Debugação antes de usar comandos debug.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 112037