Software Cisco IOS e NX-OS : Software Cisco IOS versões 12.3 T

Cisco Easy VPN Remote

1 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Inglês (31 Outubro 2005) | Feedback

Índice

Cisco Easy VPN Remote

Índice

Pré-requisitos para o Cisco Easy VPN Remote

Restrições para o Cisco Easy VPN Remote

Informações sobre o Cisco Easy VPN Remote

Benefícios do Recurso Cisco Easy VPN Remote

Visão Geral do Cisco Easy VPN Remote

Modos de Operação

Autenticação

Opções de Ativação de Túnel

Suporte a Dead Peer Detection Stateless Failover

Recursos Cisco Easy VPN Remote

Como fazer a Configuração do Cisco Easy VPN Remote

Tarefas Remotas

Tarefas do Easy VPN Server

Tarefas de Interface da Web

Análise de falhas da Conexão VPN

Exemplos de Configurações para o Cisco Easy VPN Remote

Exemplos de Configurações do Easy VPN Remote

Exemplos de Configurações do Easy VPN Server

Referências Adicionais

Documentação Relacionada

Padrões

MIBs

RFCs

Assistência Técnica

Referências a Comandos

clear crypto ipsec client ezvpn

crypto ipsec client ezvpn (global)

crypto ipsec client ezvpn (interface)

crypto ipsec client ezvpn connect

crypto ipsec client ezvpn xauth

debug crypto ipsec client ezvpn

debug ip auth-proxy ezvpn

icmp-echo

ip http ezvpn

show crypto ipsec client ezvpn

show tech-support

type echo protocol ipIcmpEcho

xauth userid mode

Apêndice A: Atributos de Configuração de Modo Suportado

Glossário


Cisco Easy VPN Remote


Este documento fornece informações sobre a configuração e o monitoramento do recurso Cisco Easy VPN Remote, a fim de criar túneis IPsec da VPN (Virtual Private Network) entre um router suportado e um Easy VPN Server (router Cisco IOS, concentrador VPN 3000 ou Cisco PIX Firewall), que suporta essa forma de criptografia e descriptografia IPsec.

Para conhecer os benefícios desse recurso, consulte a seção "Benefícios do Recurso Cisco Easy VPN Remote".

Histórico de Recursos para Cisco Easy VPN Remote

Versão
Modificação

12.2(4)YA

O suporte para Cisco Easy VPN Remote (Fase I) desse recurso foi apresentado para as Referências a Comandos Cisco 806, Cisco 826, Cisco 827 e Cisco 828; routers da série Cisco 1700, e routers de acesso a cabo do Cisco uBR905 e Cisco uBR925.

12.2(13)T

O Cisco Easy VPN Remote foi integrado ao Cisco IOS Versão 12.2(13)T.

12.2(8)YJ

O suporte para Cisco Easy VPN Remote (Fase II) desse recurso foi apresentado para os routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828, routers da série Cisco 1700, e routers de acesso a cabo do Cisco uBR905 e Cisco uBR925.

12.2(15)T

O Cisco Easy VPN Remote (Fase II) foi integrado ao Cisco IOS Versão 12.2(15)T. O suporte aos routers da série Cisco 2600, Cisco 3600 e Cisco 3700 foi incluído posteriormente.

12.3(2)T

A Senha do Tipo 6 do recurso de Configuração IOS foi incluída.

12.3(4)T

Os recursos Salvar Senha e Backup de Peer Múltiplo foram incluídos.

12.3(7)T

O recurso Opção de Mensagem Periódica de Dead Peer Detection IPsec foi incluído.

12.3(7)XR

Os seguintes recursos foram incluídos: Dead Peer Detection com Stateless Failover (Rastreamento de Objeto com o Easy VPN)—Configuração Local e Automática da Lista de Servidores de Backup, Melhorias de Gerenciamento, Balanceamento de Carga, Suporte de VLAN, Suporte de Sub-Redes Múltiplas, Ativação Acionada por Tráfego, PFS (perfect forward secrecy via policy push), Autenticação 802.1x, Suporte de Certificação (PKI), Easy VPN Remote e Server na Mesma Interface e Easy VPN Remote e Site-to-Site na Mesma Interface.

Observação Cisco 800 series routers não são suportados no Cisco IOS
Versão 12.3(7)XR.

Observação Esses recursos estão disponíveis somente para o Cisco Release 12.3(7)XR2.

12.3(7)XR2

Os recursos do Cisco IOS Versão 12.3(7)XR foram incluídos aos routers da série Cisco 800.

12.3(8)YH

Os recursos Backup de Discagem, Ativação Acionada por Tráfego e Ativação com Base na Web foram incluídos ao router Cisco 1812.

12.3(11)T

Com exceção aos recursos Backup de Discagem e Ativação Acionada por Tráfego, todos os outros recursos incluídos no Cisco IOS Versões 12.3(7)XR e 12.3(7)XR2IOS foram integrados ao Cisco IOS Versão 12.3(11)T.

12.3(14)T

Os recursos Backup de Discagem e Ativação Acionada por Tráfego foram integrados ao Cisco IOS Versão 12.3(14)T. Além disso, o recurso Com Base Web foi inserido nesta versão.

12.3(8)YI

Os recursos Backup de Discagem, Ativação Acionada por Tráfego e Ativação Com Base na Web foram incluídos aos routers de configuração fixa da série Cisco 1800.

12.3(8)YI1

Os recursos Backup de Discagem, Ativação Acionada por Tráfego e Ativação Com Base na Web foram incluídos nos routers da série Cisco 850 e Cisco 870.

12.4(2)T

Os seguintes recursos foram incluídos nesta versão:

Suporte de Interface IPsec Virtual

Melhorias de Banner, Atualização Automática e Navegador-Proxy.

12.4(4)T

Os seguintes recursos foram incluídos nesta versão:

Suporte de Túnel Duplo

Melhorias de Gerenciamento de Configuração (Forçar um URL de Configuração Através de Troca de Configuração de Modo)

Reativar Peer Primário

12.2(33)SRA

O Cisco Easy VPN Remote foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Localizando Informações de Suporte para Plataformas e Imagens do Cisco IOS Software

Use o Cisco Feature Navigator para localizar informações sobre suporte de plataforma e suporte de imagem do software Cisco IOS. Acesse o Cisco Feature Navigator em http://www.cisco.com/cisco/web/BR/support/index.html. É necessário ter uma conta em Cisco.com. Se não possui uma conta ou esqueceu o nome de usuário ou a senha, clique em Cancelar na caixa de diálogo de login e siga as instruções exibidas.

Índice

Pré-requisitos para o Cisco Easy VPN Remote

Restrições para o Cisco Easy VPN Remote

Informações sobre o Cisco Easy VPN Remote

Como fazer a Configuração do Cisco Easy VPN Remote

Exemplos de Configurações para o Cisco Easy VPN Remote

Referências Adicionais

Referências a Comandos

Glossário

Pré-requisitos para o Cisco Easy VPN Remote

Recursos do Cisco Easy VPN Remote

O router da série Cisco 800 que executa o Cisco IOS Versões 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T ou 12.3(7)XR2, configurado como um Cisco Easy VPN remoto.

O router da série Cisco 1700 que executa o Cisco IOS Versões 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T ou 12.3(7)XR2, configurado como um Cisco Easy VPN remoto.

O router de configuração fixa da série Cisco 1800 que executa o Cisco IOS Versão 12.3(8)YI.

Router de acesso a cabo Cisco uBR905 ou Cisco uBR925 que executa o Cisco IOS Versão 12.2(15)T, configurado como um Cisco Easy VPN remoto.

Outro router Cisco ou concentrador VPN que suporta o recurso do Cisco Easy VPN Server configurado como um servidor Cisco IOS Easy VPN. Consulte a seção "Easy VPN Servers Necessários" para uma lista detalhada.

Reativar o Recurso Peer Primário

Uma configuração remota Easy VPN existente pode ser aprimorada para acomodar o recurso Reativar Peer Primário, utilizando o comando peer (e a palavra-chave default) e o comando idle-time. Quando o túnel entre o Easy VPN remoto e um peer não padrão estiver funcionando, o recurso Reativar Peer Primário passa a operar, ou seja, o Easy VPN remoto verifica a conexão com o peer primário periodicamente. Quando o Easy VPN remote detectar que a ligação está funcionando, o Easy VPN remoto interrompe a conexão existente e recupera o túnel com o peer primário.

Restrições para o Cisco Easy VPN Remote

Easy VPN Servers Necessários

O recurso Cisco Easy VPN Remote exige que o peer de destino seja um servidor Cisco IOS Easy VPN ou um concentrador VPN que suporta o recurso do Cisco Easy VPN Server. No momento da publicação, os servidores ou concentradores que suportam esse recurso incluem as seguintes plataformas ao executar as versões de software indicadas:

Routers Cisco 806, Cisco 826, Cisco 827, Cisco 828, Cisco 831, Cisco 836, e Cisco 837—Cisco IOS Versão 12.2(8)T ou posterior. Os Cisco 800 series routers não são suportados no Cisco IOS Versão 12.3(7)XR, mas são suportados no Cisco IOS Versão 12.3(7)XR2 .

Série Cisco 850 e Cisco 870—Cisco IOS Versão 12.3(8)YI1.

Série Cisco 1700—Cisco IOS Versão 12.2(8)T ou posterior.

O router de configuração fixa da série Cisco 1800—Cisco IOS Versão 12.3(8)YI.

Router Cisco 1812 —Cisco IOS Versão 12.3(8)YH.

Série Cisco 2600—Cisco IOS Versão 12.2(8)T ou posterior.

Cisco 3620—Cisco IOS Versão 12.2(8)T ou posterior.

Cisco 3640—Cisco IOS Versão 12.2(8)T ou posterior.

Cisco 3660—Cisco IOS Versão 12.2(8)T ou posterior.

Routers VPN da série Cisco 7100—Cisco IOS Versão 12.2(8)T ou posterior.

Routers da série Cisco 7200—Cisco IOS Versão 12.2(8)T ou posterior.

Routers da série Cisco 7200—Cisco IOS Versão 12.2(8)T ou posterior.

Série Cisco PIX 500—Versão de Software 6.2 ou posterior.

Série Cisco VPN 3000—Versão de Software 3.11 ou posterior.

Somente o Grupo 2 de Política ISAKMP é Suportado nos Easy VPN Servers

O Protocolo de Unidade suporta somente as políticas do Protocolo ISAKMP (Internet Security Association Key Management), que utilizam a negociação IKE (Internet Key Exchange) do grupo 2 (1024-bit Diffie-Hellman), de forma que o Easy VPN Server utilizado com o recurso Cisco Easy VPN Remote seja configurado para uma política ISAKMP do grupo 2. O Easy VPN Server não pode ser configurado para o grupo 1 ou o grupo 5 do ISAKMP ao ser utilizado com um cliente do Cisco Easy VPN.

Conjuntos de Transformação Suportados

Para garantir um conexão de túnel segura, o recurso Cisco Easy VPN Remote não suporta os conjuntos de transformação que fornecem criptografia sem autenticação (ESP-DES e ESP-3DES) ou os conjuntos de transformação que fornecem autenticação sem criptografia (ESP-NULL ESP-SHA-HMAC e ESP-NULL ESP-MD5-HMAC).


Observação O Protocolo do Cliente da Cisco Unity não suporta a autenticação AH (Authentication Header), mas suporta ESP (Encapsulation Security Protocol).


Backup de Discagem para Easy VPN Remotes

O backup com base em status de linha não é suportado nesse recurso.

Suporte à Interoperabilidade de Conversão de Endereço de Rede

Interoperabilidade NAT (Network Address Translation) não é suportada no modo do cliente com o tunelamento em divisão.

Restrições de Interface IPsec Virtual

Para que o recurso Suporte de Interface IPsec Virtual funcione, é necessário o suporte a modelos virtuais.

Se uma interface de túnel virtual estiver sendo utilizada no dispositivo Easy VPN remoto, é recomendável que o servidor seja configurado para essa interface.

Suporte de Túnel Duplo

As seguintes restrições são aplicadas se estiver utilizando túneis duplos que compartilham interfaces internas ou externas comuns:

Se forem configurados os túneis duplos, um deles deverá apresentar um túnel dividido configurado no servidor.

A Interceptação da Web pode ser configurada somente para um dos túneis. A Interceptação da Web não deve ser utilizada para o túnel de voz.

A Interceptação da Web não pode ser utilizada para telefones IP até que o proxy de autorização conheça o modo de desvio do telefone IP.

Alguns recursos, tais como Forçar um URL de Configuração Através de Troca de Configuração de Modo, podem ser utilizados através de um único túnel.

Informações sobre o Cisco Easy VPN Remote

Para fazer a configuração dos recursos Cisco Easy VPN Remote, é necessário conhecer os seguintes conceitos:

Benefícios do Recurso Cisco Easy VPN Remote

Visão Geral do Cisco Easy VPN Remote

Modos de Operação

Autenticação

Opções de Ativação de Túnel

Suporte a Dead Peer Detection Stateless Failover

Recursos Cisco Easy VPN Remote

Benefícios do Recurso Cisco Easy VPN Remote

Permite a configuração dinâmica da política de usuário final, exigindo menos configuração manual por parte dos usuários finais e técnicos da área, reduzindo, assim, erros e requisições de serviço adicionais.

Permite que o provedor altere as configurações de equipamento e rede, conforme necessário, com pouca ou nenhuma necessidade de reconfiguração do equipamento do usuário final.

Possibilita o gerenciamento da política de segurança centralizada.

Habilita implantações de larga escala, com rápido aprovisionamento de usuário.

Elimina a necessidade de aquisição e configuração de dispositivos VPN externos pelos usuários finais.

Elimina a necessidade de instalação e configuração do software Easy VPN Client pelos usuários finais em seus PCs.

Descarrega a criação e manutenção de conexões VPN do PC para o router.

Reduz os problemas de interoperabilidade entre os diferentes clientes VPN de software com base em PCs, soluções VPN com base em hardware externo e outros aplicativos VPN.

Configura um túnel IPsec único, independentemente do número de sub-redes múltiplas suportadas e do tamanho da lista de divisão e inclusão.

Visão Geral do Cisco Easy VPN Remote

Cable modems, routers xDSL e outras formas de acesso de banda larga fornecem conexões de alto desempenho à Internet, mas muitos aplicativos requerem também a segurança de conexões VPN, que executem um alto nível de autenticação e que criptografem dados entre dois pontos finais específicos. Entretanto, o estabelecimento de uma conexão VPN entre dois routers pode ser complicado e normalmente requer uma tediosa coordenação entre os administradores de rede para a configuração dos parâmetros VPN dos dois routers.

O recurso Cisco Easy VPN Remote elimina grande parte desse trabalho tedioso ao implementar o Protocolo Cisco Unity Client, que permite que a maioria dos parâmetros de VPN sejam definidos em um servidor Cisco IOS Easy VPN. Esse servidor pode ser um dispositivo VPN dedicado, tal como um concentrador Cisco VPN 3000 ou um Cisco PIX Firewall ou um router Cisco IOS que suporta o Protocolo Cisco Unity Client.

Depois que o servidor Cisco Easy VPN for configurado, uma conexão VPN poderá ser criada com uma configuração mínima em um Easy VPN remoto, tal como um router da série Cisco 800 ou Cisco 1700. Quando o Easy VPN remoto iniciar a conexão de túnel VPN, o servidor Cisco Easy VPN envia as políticas IPsec para o Easy VPN remote e cria a conexão de túnel VPN correspondente.

O recurso Cisco Easy VPN Remote fornece o gerenciamento automático dos seguintes itens:

Negociação de parâmetros de túnel, tais como endereços, algoritmos e vida útil.

Definição de túneis de acordo com os parâmetros configurados.

Criação automática de NAT ou PAT (Port Address Translation) e das listas de acesso associadas, se necessárias.

Autenticação de usuários, ou seja, garantia de que os usuários sejam identificados corretamente por meio dos nomes do usuário, nomes de grupo e senhas.

Gerenciamento das chaves de segurança para criptografia e descriptografia.

Dados de autenticação, criptografia e descriptografia através de túnel.

Modos de Operação

O recurso Cisco Easy VPN Remote suporta três modos de operação: cliente, extensão de rede e extensão de rede plus:

Cliente—Especifica que a NAT ou PAT seja efetuada de forma que os PCs e outros hosts na extremidade remota do túnel VPN formem uma rede privada, que não utiliza nenhum endereço IP no espaço de endereço IP do servidor de destino.

Foi realizada uma melhoria, de maneira que o endereço IP, recebido via configuração de modo, seja atribuído automaticamente a uma interface de circuito fechado disponível. As SAs (Security Associations) IPsec para este endereço IP são criadas automaticamente pelo Easy VPN Remote. O endereço IP é utilizado normalmente para análise de falhas (utilizando ping, Telnet e Secure Shell).

Extensão de rede—Especifica que os PCs e outros hosts na extremidade do cliente do túnel VPN devem receber endereços IP roteável e que possam ser acessados pela rede de destino sobre a rede em túnel, formando, assim, uma rede lógica. A PAT não é utilizada, permitindo que os PCs de clientes e hosts tenham acesso direto aos PCs e hosts na rede de destino.

Extensão de rede plus (modo rede-plus)—Idêntica ao modo extensão de rede, com a capacidade adicional de solicitar um endereço IP por meio da configuração do modo e atribuí-lo automaticamente a uma interface de circuito fechado disponível. As SAs IPsec para este endereço IP são criadas automaticamente pelo Easy VPN Remote. O endereço IP é utilizado normalmente para análise de falhas (utilizando ping, Telnet e Secure Shell).

Todos os modos de operação também suportam o tunelamento dividido opcionalmente, permitindo acesso seguro a recursos corporativos através de túnel VPN, além de acesso ao provedor de acesso à Internet (ISP) ou a outro serviço, eliminando, assim, a rede corporativa a partir do caminho para o acesso a web.

Cenários do Modo Cliente e Modo de Extensão de Rede

A Figura 1 ilustra o modo cliente de operação. Nesse exemplo, o router Cisco 831 fornece acesso a dois PCs, que possuem endereços IP no espaço da rede privada 10.0.0.0. Esses PCs se conectam à interface Ethernet no router Cisco 831, que também possui um endereço IP no espaço da rede privada 10.0.0.0. O router Cisco 831 executa a conversão NAT ou PAT no túnel VPN, de maneira que os PCs possam acessar a rede de destino.

Figure 1 Conexão Cisco Easy VPN Remote


Observação O diagrama na Figura 1 também pode representar uma conexão de tunelamento dividido, na qual os PCs do cliente podem acessar recursos públicos na Internet global, sem incluir a rede corporativa no caminho desses recursos.


A Figura 2 também ilustra o modo cliente de operação, no qual o concentrador VPN fornece os pontos finais de destino para vários clientes xDSL. Nesse exemplo, os routers da série Cisco 800 fornecem o acesso a vários clientes de microempresas, sendo que cada um utiliza endereços IP no espaço da rede privada 10.0.0.0. Os routers da série Cisco 800 executa a conversão NAT ou PAT no túnel VPN, de maneira que os PCs possam acessar a rede de destino.

Figura 2 Conexão do Cisco Easy VPN Remote (utilizando um concentrador VPN)

A Figura 3 ilustra o modo de extensão de rede de operação. Nesse exemplo, o router da série Cisco 831 e Cisco 1700 atuam como dispositivos remotos do Cisco Easy VPN, conectando-se ao concentrador Cisco VPN 3000.

Os hosts do cliente recebem endereços IP roteáveis pela rede de destino pelo túnel. Esses endereços IP podem estar no mesmo espaço da sub-rede como a rede de destino ou em sub-redes separadas, assumindo que os routers de destino estejam configurados para rotear esses endereços IP adequadamente pelo túnel.

Nesse exemplo, os PCs e hosts anexados aos dois routers apresentam endereços IP no mesmo espaço de endereço que a rede de destino da empresa. Esses PCs se conectam à interface Ethernet no router Cisco 831, que também possui um endereço IP no espaço de endereço da empresa. Esse cenário fornece uma extensão perfeita da rede remota.

Figura 3 Conexão da Extensão de Rede Cisco Easy VPN

Autenticação

O recurso Cisco Easy VPN Remote suporta um processo composto de 2 estágios para autenticar o router remoto para o concentrador central. A primeira etapa é a Autenticação do Nível do Grupo, que é parte da criação do canal de controle. Nesse primeiro estágio, é possível utilizar dois tipos de credenciais de autenticação: chaves pré-compartilhadas ou certificados digitais. Os seguintes parágrafos fornecem detalhes sobre essas opções.

A segunda etapa da autenticação é chamada de Autenticação Estendida ou Xauth. Nessa etapa, o lado remoto (nesse caso, o router Easy VPN) fornece um nome do usuário e a senha ao router central do site. Essa etapa consiste no mesmo processo que ocorre quando o usuário do cliente do software Cisco VPN digita o nome de usuário e senha para ativar o túnel VPN. Ao utilizar o router, a diferença é que o mesmo estará sendo autenticado para a rede, e não para um PC com o software Cisco VPN Client. A Xauth é uma etapa opcional (pode ser desabilitada), porém este é normalmente habilitado para aumentar a segurança. Quando a Xauth obtiver êxito e o túnel funcionar, todos os PCs sob o router Easy VPN remoto possuirão acesso a esse túnel.

Se a autenticação Xauth estiver habilitada, é fundamental decidir como inserir o nome do usuário e a senha. Há duas opções. A primeira é armazenar o nome do usuário e a senha no arquivo de configuração do router. Essa opção é utilizada normalmente se o router for compartilhado entre diversos PCs para manter o túnel VPN funcionando o tempo todo (consulte a seção "Ativação Automática"), ou fazer com que o router acione o túnel automaticamente quando houver dados a serem enviados (consulte a seção "Ativação Acionada por Tráfego"). Um exemplo desse aplicativo é a situação de uma filial, na qual os usuários precisam que o túnel VPN esteja disponível sempre que eles tiverem dados a serem enviados, e não desejarem fazer algo especial para ativar o túnel VPN. Se os PCs da filial devem ser autenticados individualmente com base no ID de cada usuário, a configuração correta é estabelecer o router Easy VPN no modo Ativação Automática, para manter o túnel "em funcionamento" o tempo todo, além de utilizar o Proxy de Autenticação Cisco IOS ou o 802.1x para autenticar os PCs individuais. Uma vez que o túnel estiver sempre em funcionamento, o Proxy de Autenticação ou o 802.1x poderá acessar uma base de dados do usuário da página central, tal como o AAA/RADIUS para autenticar as requisições do usuário individual, à medida que estas são fornecidas pelos usuários de PC. (Consulte as seções "Documentos Relacionados", "Informação Geral sobre IPsec e VPN" para uma referência de configuração do Proxy de Autenticação e "autenticação 802.1x" para uma referência de configuração da autenticação 802.1x.)

A segunda opção é não armazenar a entrada do nome do usuário e senha de Xauth no router. Em vez disso, o usuário do PC conectado ao router terá acesso a uma página da web especial, permitindo que este digite manualmente o nome do usuário e a senha (consulte a seção "Ativação Manual"). O router envia o nome do usuário e a senha ao concentrador da página central e, se o nome do usuário e senha estiverem corretos, o túnel entrará em funcionamento. A aplicação típica para essa configuração é uma rede de trabalho à distância. Assim, o trabalhador à distância poderá controlar o momento de ativação do túnel para inserir suas credenciais pessoais de usuário (que podem incluir senhas únicas) para ativar o túnel. Além disso, o administrador de rede pode precisar dos túneis de trabalho à distância ativados somente quando alguém os utiliza para manter os recursos nos concentradores centrais. (Consulte a seção "Ativação com Base na Web" para detalhes sobre esta configuração).

O nome do usuário e senha Xauth também podem ser inseridos manualmente, a partir da interface de linha de comando (CLI) do router. Esse método não é recomendado para a maioria das situações, pois o usuário deve primeiro efetuar logon no router (para isso, é necessário um ID de usuário no router). Entretanto, ele pode ser útil para administradores de rede durante a análise de falhas.

Utilizando Chaves Pré-Compartilhadas

Ao utilizar chaves pré-compartilhadas; cada peer conhece a chave do outro peer. As chaves pré-compartilhadas são exibidas nas configurações de execução, portanto elas podem ser vistas por qualquer pessoa (referido como formato evidente). Quando um tipo de autenticação mais segura for necessário, o software Cisco também suportará um outro tipo de chave pré-compartilhada: a chave criptografada.

A utilização dessa chave para autenticação permite armazenar com segurança senhas em texto simples no formato tipo 6 (criptografada) no NVRAM. Um grupo de chaves pré-compartilhadas pode ser pré-configurado em ambos os peers do túnel VPN. A forma criptografada da palavra-chave pode ser visualizada na configuração de execução, mas a palavra-chave real não é visualizada. (Para mais informações sobre as chaves criptografadas pré-compartilhadas, consulte a seção Chaves Criptografadas Pré-Compartilhadas).

Utilizando Certificados Digitais

Os certificados digitais fornecem o suporte das assinaturas Rivest, Shamir, e Adelman (RSA) nos dispositivos remotos do Easy VPN. Esse suporte é fornecido através de um certificado RSA, que pode ser armazenado dentro ou fora do dispositivo remoto.


Observação O intervalo recomendado para a utilização de certificados digitais pela Easy VPN é de 40 segundos.


Para mais informações sobre os certificados digitais, consulte o guia de funções Suporte de Assinatura RSA do Easy VPN Remote, Versão 12.3(7)T1.

Utilizando Xauth

O Xauth é um nível de autenticação adicional que pode ser utilizado. Esse nível é aplicado quando as chaves de grupo pré-compartilhadas ou os certificados digitais são utilizados. As credenciais Xauth podem ser inseridas utilizando um administrador de interface da web, tal como o SDM (Security Device Manager), ou o CLI. (Consulte a seção "Administradores de Web para o Cisco Easy VPN Remote".)

O recurso Salvar Senha permite que o nome do usuário e a senha para o Xauth sejam salvos na configuração do Easy VPN Remote, para que não seja necessário digitá-los manualmente. A OTP (One-Time Passwords) não é suportada pelo recurso Salvar Senha e deve ser digitado manualmente quando a Xauth for solicitada. O Easy VPN Server deve ser configurado para "Permitir Senhas Salvas." (Para mais informações sobre como fazer a configuração do recurso Salvar Senha, consulte a seção "Opção de Mensagem Periódica de Dead Peer Detection".)

A Xauth é controlada pelo Easy VPN Server. Quando o servidor Cisco IOS Easy VPN solicitar a autenticação Xauth, as seguintes mensagens serão exibidas no console do router:

EZVPN: Pending XAuth Request, Please enter the following command:
crypto ipsec client ezvpn xauth

Ao ver essa mensagem, forneça o ID de usuário, a senha e outras informações necessárias ao inserir o comando crypto ipsec client ezvpn connect e respondendo aos avisos subseqüentes.

O intervalo recomendado para a Xauth é igual ou menor que 50 segundos.


Observação O intervalo para digitar o nome do usuário e a senha é determinado pela configuração do servidor Cisco IOS Easy VPN. Para servidores que executam o software Cisco IOS, o valor desse intervalo é especificado pelo comando crypto isakmp xauth timeout.


Ativação Com Base na Web

A Ativação Com Base na Web fornece um método de fácil compreensão para que o trabalhador à distância autentique o túnel VPN entre o seu router remoto Easy VPN e o router central da página. Esse recurso permite que os administradores configurem suas LANs remotas para que a requisição HTTP inicial, originada de um dos PCs remotos, seja interceptada pelo router Easy VPN remoto. A página de login será retornada ao usuário que, por sua vez, poderá inserir as credenciais para autenticar o túnel VPN. Depois que o túnel VPN entrar em funcionamento, todos os usuários sob essa página remota podem acessar a LAN corporativa sem que sejam solicitados novamente o nome do usuário e a senha. Uma alternativa seria o usuário desviar-se do túnel VPN e conectar-se somente à Internet, não sendo necessária a senha.

Uma aplicação típica para a ativação com base na web é o trabalhador à distância ativar o túnel Easy VPN somente quando precisar conectar-se à LAN corporativa. Se o trabalhador à distância não estiver presente, outros membros da família (como cônjuge e filhos) poderão utilizar a opção Somente Internet para navegar na Internet sem ativar o túnel VPN. A Figura 4 exibe um cenário típico de ativação com base na web.

Figura 4 Cenário Típico de Ativação Com Baseada na Web


Observação A entrada das credenciais Xauth ativa o túnel para todos os usuários sob essa página remota. Após a ativação do túnel, os PCs adicionais sob essa página remota não recebem a avisos de credenciais Xauth. A Ativação com Base na Web consiste numa autenticação que ativa o túnel VPN para todos os PCs remotos e que não pode ser considerada uma autenticação individual do usuário. A autenticação individual do usuário para acessar o túnel VPN é disponibilizada com a utilização dos recursos Proxy de Autenticação Cisco°IOS ou 802.1x, que podem ser configurados para o router Easy VPN remoto. (Consulte as seções "Documentos Relacionados", "Informação Geral sobre IPsec e VPN" para uma referência de configuração do Proxy de Autenticação e "autenticação 802.1x" para uma referência de configuração da autenticação 802.1x.)


Para fazer a configuração da ativação com base na Web, consulte a seção "Configurando a Ativação Com Base na Web".

As seguintes seções exibem as diversas capturas de tela, que o trabalhador à distância pode vizualizar quando o recurso Ativação Com Base na Web for acionado:

Página do Portal de Ativação Com Base na Web

Desvio de Autenticação VPN

Autenticação de Túnel VPN

Autenticação Com Sucesso

Desativação

Página do Portal de Ativação Com Base na Web

A Figura 5 é um exemplo da página do portal de ativação com base na Web. O usuário pode optar por conectar-se à LAN corporativa ao clicar em Conectar-se Agora, ou conectar-se somente à Internet clicando em Somente Internet.


Observação Se o usuário optar por conectar-se somente à Internet, a senha não será exigida.


Figura 5 Página do Portal

Desvio de Autenticação VPN

A Figura 6 é um exemplo de ativação com base na Web, em que o usuário opta por conectar-se somente à Internet ao clicar na opção Somente Internet. Essa opção é muito útil quando os membros da família precisarem navegar pela Internet, sem que o trabalhador à distância esteja presente para autenticar o túnel VPN para uso corporativo.

Figura 6 Página de Desvio de Autenticação VPN


Observação Se um usuário fechar, por engano, a janela Ativação Com Base na Web, essa janela poderá ser aberta novamente ao acessar o router remoto (para isso, digite o endereço http://routeripaddress/ezvpn/connect). Após abrir a janela Ativação Com Base na Web, o túnel Easy VPN poderá ser autenticado.


Autenticação de Túnel VPN

A Figura 7 é um exemplo de ativação com base na Web, em que o usuário opta por conectar-se à LAN corporativa, digitando o nome do usuário e a senha. Depois da autenticação com sucesso do usuário, o túnel Easy VPN é ativado para essa página remota. Se houver vários PCs sob essa página remota, nenhum usuário adicional conectado à LAN corporativa terá suas credenciais Xauth solicitadas, pois o túnel já estará ativo.

Figura 7 Autenticação de Túnel VPN

Autenticação Com Sucesso

A Figura 8 é um exemplo de ativação com sucesso. Se o usuário optar por desativar o túnel VPN, ele deverá clicar no botão Desconectar. Após o término do intervalo da associação de segurança (SA) IKE (cujo valor padrão é de 24 horas), o trabalhador à distância terá que digitar as credenciais Xauth para ativar o túnel.

Figura 8 Ativação Com-Sucesso

Desativação

A Figura 9 é um exemplo de túnel VPN que foi desativado com sucesso. A página fechará automaticamente em 5 segundos.

Figura 9 Túnel VPN Desativado Com Sucesso

Autenticação 802.1x

O recurso Autenticação 802.1x permite combinar o funcionamento do modo cliente do Easy VPN com a autenticação 802.1x nos routers Cisco IOS. Para mais informações sobre esse recurso, consulte "Autenticação 802.1" na seção "Referências Adicionais".

Opções de Ativação de Túnel

Há três opções de ativação de túnel:

Ativação Automática

Ativação Manual

Ativação acionada por tráfego (não disponível para Cisco IOS Versão 12.3(11)T)

As opções de conexão e desconexão de túnel estão disponíveis no SDM.

Ativação Automática

O túnel Cisco Easy VPN é conectado automaticamente quando o recurso Easy VPN Remote estiver configurado na interface. Se o túnel falhar ou o tempo se esgotar, ele será reconectado automaticamente com tentativas indefinidas.

Para especificar o controle de túnel automático no dispositivo remoto do Cisco Easy VPN, é necessário fazer a configuração do comando crypto ipsec client ezvpn e, em seguida, o sub-comando connect auto. Entretanto, não é necessário utilizar esses dois comandos ao criar uma nova configuração do Easy VPN, pois o padrão é "automático".

Para desconectar-se ou reconfigurar um determinado túnel, insira o comando clear crypto ipsec client ezvpn ou utilize o SDM.

Ativação Manual

O software Cisco Easy VPN Remote implementa o controle manual de túneis da Cisco Easy VPN, de forma que seja possível definir e encerrar o túnel, conforme a demanda.

Para especificar o controle de túnel manual no dispositivo remoto Cisco Easy VPN, insira o comando crypto ipsec client ezvpn e, em seguida, o comando connect manual.

A configuração manual significa que o Cisco Easy VPN Remote aguardará o comando antes de tentar estabelecer sua conexão. Quando o túnel falhar ou tiver seu tempo esgotado, as conexões subseqüentes também terão que aguardar o comando.

Se a configuração for manual, o túnel será conectado somente após a entrada do comando crypto ipsec client ezvpn connect.

Para desconectar-se ou reconfigurar um determinado túnel, insira o comando clear crypto ipsec client ezvpn ou utilize o SDM.

Consulte a seção "Configurando Controle Manual de Túnel" para informações específicas sobre como fazer a configuração do controle manual de um túnel.

Ativação Acionada por Tráfego


Observação Este recurso não está disponível para o Cisco IOS Versão 12.3(11)T.


O recurso Ativação Acionada por Tráfego é recomendado para aplicativos VPN com base em transações. Além disso, recomenda-se a utilização do recurso backup de discagem para a configuração backup do Easy VPN, de forma que este backup seja ativado apenas quando houver tráfego a ser enviado pelo túnel.

Para utilizar o controle de túnel ACL (Access Control List), primeiro é necessário descrever o tráfego considerado "interessante". Para mais informações sobre ACL, consulte o capítulo " Listas de Controle de Acesso: Visão Geral e Diretrizes" na seção "Filtragem de Tráfego e Firewalls" do Guia de Configuração do Cisco IOS Security, Versão 12.3. Para fazer a configuração do túnel acionado por ACL, insira o comando crypto ipsec client ezvpn, com o sub-comando connect acl.

Suporte a Dead Peer Detection Stateless Failover

Há duas opções para a configuração do Suporte Failover Stateless Dead Peer Detection:

Configuração Local da Lista de Servidores de Backup

Configuração Automática da Lista de Servidores de Backup

Configuração Local da Lista de Servidores de Backup

A Configuração Local da Lista de Servidores de Backup permite os usuários inserirem instruções de vários peers. Com a configuração desse recurso, se o cliente estiver conectado a um a peer e a negociação falhar, o Easy VPN passará para o próximo peer. Essa failover continuará por toda a lista de peers. Quando o último peer for acessado, o Easy VPN retornará ao primeiro peer da lista. O IKE e as SAs IPsec do peer anterior serão excluídas. As instruções de peers múltiplos funcionam tanto para endereços IP quanto para nomes de host. A configuração ou a desconfiguração das instruções de peer não afetarão a ordem das mesmas.

Para utilizar esse recurso, insira o sub-comandopeer do comando crypto ipsec client ezvpn.

Configuração Automática da Lista de Servidores de Backup

O Easy VPN remoto com base no software Cisco IOS pode possuir até 10 servidores de backup configurados para redundância. O recurso Servidor de Backup permite que o Easy VPN Server "force" a lista de servidores de backup para o Easy VPN remoto.

A lista de backups permite que o administrador controle os servidores de backup aos quais um determinado dispositivo Easy VPN remoto será conectado em caso de falha, retransmissões ou mensagens de DPD (dead peer detection).


Observação Antes do funcionamento do recurso servidor de backups, é necessário fazer a configuração da lista de servidores de backup neste servidor.


Como o Servidor de Backup Opera

Se o dispositivo remoto A for direcionado para o servidor A e a conexão falhar, esse dispositivo A irá para o servidor B. Se o servidor B possuir uma lista de backups configurada, essa lista substituirá a lista de servidores de backup do servidor A. Se a conexão ao servidor B falhar, o dispositivo remoto A prosseguirá através dos servidores de backup configurados.


Observação Se o usuário estiver no modo automático e houver uma falha, a transição do servidor A para o servidor B será automática. Entretanto, se o usuário estiver no modo manual, será necessário fazer a configuração da transição manualmente. Para fazer a configuração da transição manualmente, insira o comando crypto ipsec client ezvpn com a palavra-chave connect.


Nenhuma configuração nova será necessária para habilitar esse recurso no Easy VPN remoto. Para exibir o servidor atual, insira o comando show crypto ipsec client ezvpn. Para localizar os peers enviados pelo Easy VPN Server, utilize o mesmo comando.

Para análise de falhas desse recurso, insira o comando debug crypto ipsec client ezvpn. Para mais informações sobre análise de falhas, insira o comando debug crypto isakmp. O comando show crypto ipsec client ezvpn também pode ser utilizado para análise de falhas.

Recursos Cisco Easy VPN Remote

O Cisco Easy VPN Remote consiste num conjunto de recursos que aprimoram as capacidades do recurso Cisco Easy VPN Remote incluído no Cisco IOS Versão 12.2(4)YA. O recurso Cisco Easy VPN Remote inclui os seguintes itens:

Interface Interna Padrão—Esse recurso suporta a configuração automática da interface interna padrão do Easy VPN, para os routers da série Cisco 800.

Interfaces Internas Múltiplas—Esse recurso permite fazer a configuração de até oito interfaces internas no Cisco Easy VPN remoto.

Interfaces Externas Múltiplas—Esse recurso permite fazer a configuração de até quatro túneis externos para as interfaces externas.

Suporte a VLAN—Esse recurso permite fazer a configuração de VLANs como interfaces internas válidas do Easy VPN.

Suporte de Sub-Redes Múltiplas—Esse recurso permite incluir sub-redes múltiplas a partir da interface interna Easy VPN no túnel Easy VPN.

Suporte a Interoperabilidade NAT—Este recurso restaura automaticamente a configuração NAT quando o túnel IPsec VPN é desconectado.

Suporte a Endereço Local—O recurso Cisco Easy VPN Remote é aperfeiçoado para suportar um atributo local-address adicional que especifica qual interface é utilizada para determinar o endereço IP utilizado para originar o tráfego do túnel Easy VPN.

Nome do Host Peer—Quando um peer é definido como um nome de host, o nome de host é armazenado e a procura de DNS (Domain Name System) é realizada no momento da conexão do túnel.

Suporte do Servidor DNS Proxy—Esse recurso permite fazer a configuração do router em um Cisco Easy VPN remoto, para que esse atue como um servidor DNS proxy para os usuários conectados à LAN.

Suporte de Cisco IOS Firewall—Este recurso suporta configurações do Cisco IOS Firewall em todas as plataformas.

Easy VPN Remoto e Servidor na Mesma Interface—O Easy VPN remoto e o Easy VPN Server são suportados na mesma interface, o que torna possível estabelecer um túnel para outro Easy VPN Server e encerrar o cliente do software Easy VPN na mesma interface.

Easy VPN Remote e Site to Site na Mesma Interface—O Easy VPN remote e o site to-site (mapa de criptografia) são suportados na mesma interface, o que possibilita estabelecer um túnel para outro Easy VPN Server e também ter um site to site na mesma interface, simultaneamente.

Administradores de Web do Cisco Easy VPN Remote—Os usuários podem gerenciar o recurso Easy VPN Remote nos routers de acesso a cabo Cisco uBR905 e Cisco uBR925, utilizando uma interface integrada na web.

Opção de Mensagem Periódica de Detecção de Peer Inativo—Este recurso permite que se configure seu router para consultar a atividade de seu peer IKE em intervalos regulares.

Balanceamento de Carga—Se um dispositivo remoto estiver carregado e impossibilitado de aceitar mais tráfegos, o VPN 3000 enviará uma mensagem de notificação contendo um endereço IP, que representa o novo servidor IKE, para o qual o dispositivo remoto deverá se conectar.

Melhorias de Gerenciamento—Esse recurso permite o gerenciamento remoto do dispositivo VPN remoto.

Suporte PFS—O atributo do modo de configuração PFS será enviado pelo servidor, caso seja solicitado pelo dispositivo VPN remoto.

Backup de Discagem—Esse recurso permite fazer a configuração da conexão do túnel de backup de discagem no dispositivo remoto.

Suporte de Interface Virtual —Esse recurso permite enviar o tráfego seletivamente para diversos concentradores Easy VPN, bem como para a Internet (inclui uma referência ao recurso Interface de Túnel Virtual IPSec).

Suporte de Túnel Duplo—Esse recurso permite fazer a configuração de vários túneis Easy VPN, que compartilham interfaces internas e externas comuns, para conectar dois peers a dois servidores VPN diferentes ao mesmo tempo.

Banner—O dispositivo EasyVPN remoto pode fazer o download de um banner enviado pelo Easy VPN Server. O banner pode ser utilizado para Xauth e ativação baseada na Web. O banner é exibido quando o túnel Easy VPN está "ativado" no console Easy VPN remote ou como página HTML, no caso de ativação baseada na Web.

Melhorias de Gerenciamento de Configuração (Forçar um URL de Configuração Através de Troca de Configuração de Modo)—O dispositivo EasyVPN remoto pode fazer o download de um URL, que é enviado pelo Easy VPN Server, permitindo que esse dispositivo faça o download do conteúdo da configuração e o aplique à configuração de execução.

Reativar Peer Primário—Esse recurso permite designar um peer primário. Quando um dispositivo Easy VPN apresenta falha em um peer primário e passar para um peer de backup, o peer primário tornar-se disponível novamente, as conexões com o peer de backup serão desfeitas e uma nova conexão será feita com o peer primário.

Interface Interna Padrão

O Easy VPN Remote suporta a configuração automática da interface interna padrão do Easy VPN para os routers da série Cisco 800. A interface Ethernet 0 é a interface interna padrão.

Para desabilitar a interface interna padrão e fazer a configuração de outra interface interna no router da série Cisco 800, é necessário fazer a configuração primeiro da outra interface interna e, em seguida, desabilitar a interface interna padrão. É possível utilizar seguinte comando para desabilitar a interface interna padrão:

no crypto ipsec client ezvpn <name> inside

Se a outra interface interna não for configurada primeiro antes de desabilitar a interface interna padrão, será exibida a seguinte mensagem (ver as linhas 3 e 4):

Router (config)# interface ethernet0
Router (config-if)# no crypto ipsec client ezvpn hw-client inside
Cannot remove the single inside interface unless
one other inside interface is configured

Interfaces Internas Múltiplas

O suporte à interface interna é aprimorado no recurso Cisco Easy VPN Remote para suportar interfaces internas múltiplas para todas as plataformas. As interfaces internas podem ser configuradas manualmente com o comando e o sub-comando aprimorado:

interface interface-name
crypto ipsec client ezvpn name [outside | inside]

Consulte a seção "Configurando Interfaces Internas Múltiplas" para informações sobre como fazer a configuração de mais de uma interface interna.

As interfaces internas múltiplas oferecem as seguintes capacidades:

Até oito interfaces internas são suportadas nos routers da série Cisco 800 e Cisco 1700.

Pelo menos uma interface interna deve ser configurada para cada interface externa; caso contrário, o recurso Cisco Easy VPN Remote não estabelece a conexão.

A inclusão ou a exclusão de uma interface interna reiniciará automaticamente a conexão do Cisco Easy VPN Remote (ou seja, o túnel estabelecido atualmente). É necessário reconectar-se ao túnel configurado manualmente e, se a autenticação Xauth for solicitada pelo servidor Cisco Easy VPN, o usuário será avisado novamente. Se a configuração do Cisco Easy VPN Remote for definida para conectar-se automaticamente e nenhuma autenticação Xauth for solicitada, nenhuma entrada de usuário será exigida.

As interfaces internas configuradas ou a configuração padrão podem ser exibidas com o comando show crypto ipsec client ezvpn.

Interfaces Externas Múltiplas

O recurso Easy VPN Remote suporta um túnel Easy VPN por interface externa. É possível fazer a configuração de até quatro túneis Easy VPN por router Cisco. Cada túnel Easy VPN pode possuir várias interfaces internas configuradas, mas este não pode sobrepor outro túnel, a menos que a opção backup de discagem esteja configurada. Para mais informações sobre backup de discagem, consulte a seção "Backup de Discagem". Para fazer a configuração de várias interfaces externas, insira o comando crypto ipsec client ezvpn e a palavra-chave outside.

Para desconectar ou eliminar um túnel específico, insira o comando clear crypto ipsec client ezvpn para indicar o nome do túnel VPN IPsec. Se não houver um nome de túnel definido, todos os túneis existentes serão eliminados.

Consulte a seção "Configurando Interfaces Externas Múltiplas" para mais informações sobre a configuração de mais de uma interface externa.

Suporte a VLAN

O suporte a interface interna em VLANs possibilita um suporte de interface interna Easy VPN válido em uma VLAN, o que não era possível antes do Cisco IOS Versão 12.3(7)XR. Com esse recurso, as SAs podem ser estabelecidas na conexão, por meio do endereço da sub-rede da VLAN ou da máscara como um proxy de origem.

Para que o suporte de interface interna em VLANs funcione, é necessário definir cada VLAN como uma interface interna Easy VPN. Além disso, as SAs IPsec devem ser definidas para cada interface interna, da mesma maneira para as outras interfaces internas. Para mais informações sobre as interfaces internas e externas, consulte as seções "Interfaces Internas Múltiplas" e "Interfaces Externas Múltiplas".

O suporte de interface interna em VLANs é suportado somente nos routers Cisco que suportam VLANs.

Suporte de Sub-Redes Múltiplas

Para as situações em que há diversas sub-redes conectadas a uma interface interna Easy VPN, é possível, opcionalmente, incluir essas sub-redes no túnel Easy VPN. Em primeiro lugar, indique as sub-redes que devem ser incluídas, definindo-as em uma ACL. Para fazer a configuração de uma ACL, consulte "Listas de Controle de Acesso, configuração" na seção "Referências Adicionais". Em seguida, utilize o sub-comando acl do comando (global) crypto ipsec client ezvpn para ligar sua ACL à configuração do Easy VPN. O Easy VPN Remote criará as SAs IPsec automaticamente para cada sub-rede definida na ACL, como também para as sub-redes definidas na interface interna de Easy VPN.


Observação O suporte de sub-redes múltiplas não é suportado no modo cliente.


Suporte a Interoperabilidade NAT

O Cisco Easy VPN Remote suporta interoperabilidade com o NAT. As configurações NAT e Cisco Easy VPN Remote podem coexistir. Quando um túnel VPN IPsec estiver inativo, a configuração NAT entrará em vigor.

No recurso Cisco Easy VPN Remote, o router recuperará automaticamente a configuração NAT anterior quando o túnel VPN IPsec estiver inativo. As listas de acesso definidas pelo usuário não são prejudicadas. Os usuários podem continuar a acessar as áreas que não sejam de túnel da Internet, quando o túnel desconectar ou tiver seu tempo esgotado.


Observação Interoperabilidade NAT (Network Address Translation) não é suportada no modo do cliente com o tunelamento em divisão.


Suporte de Endereço Local

O recurso Cisco Easy VPN Remote é ampliado para suportar o atributo adicional local-address. Esse atributo especifica a interface utilizada para determinar o endereço IP, que será a origem do tráfego de túnel Easy VPN Remote. Depois de especificar uma interface com o sub-comando local-address, é possível atribuir manualmente um endereço IP estático à interface ou utilizar o comando cable-modem dhcp-proxy interface para fazer a configuração automaticamente da interface especificada com um endereço IP público. Consulte a seção "Configurando o Suporte de Servidor DNS Proxy" para informações de configuração.

O Suporte de Endereço Local está disponível para todas as plataformas, mas este se aplica melhor aos routers de acesso a cabo Cisco uBR905 e Cisco uBR925, juntamente com o comando cable-modem dhcp-proxy interface . Em geral, a interface de circuito fechado é utilizada para originar o tráfego de túnel para os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

Em uma rede DOCSIS típica, os routers de acesso a cabo Cisco uBR905 e Cisco uBR925 são configurados normalmente com um endereço IP privado na interface de modem a cabo. No recurso inicial Cisco Easy VPN Remote, era necessário ter um endereço IP público na interface de modem a cabo para suportar o Easy VPN remoto.

No recurso Cisco Easy VPN Remote, os provedores a cabo podem utilizar o recurso Cable DHCP Proxy para obter um endereço IP público e atribui-lo à interface de modem a cabo que é normalmente a interface de circuito fechado.

Para mais informações sobre o comando cable-modem dhcp-proxy interface , consulte o capítulo "Comandos CPE de Cabo" no Guia de Referências a Comandos de Cabo de Banda Larga da Cisco.


Observação O comando cable-modem dhcp-proxy interface é suportado somente nos routers de acesso a cabo Cisco uBR905 e Cisco uBR925.


Nome do Host Peer

O peer em uma configuração Cisco Easy VPN Remote pode ser definido como um endereço IP ou um nome do host. Em geral, quando um peer é definido como um nome do host, a busca DNS é efetuada imediatamente para obter um endereço IP. No recurso Cisco Easy VPN Remote, a operação do nome do host peer foi aprimorada para suportar as alterações da entrada DNS. A seqüência de texto do nome do host é armazenada, para que a busca DNS seja efetuada na conexão do túnel e não quando o peer for definido como nome do host.

Consulte a seção "Configurando e Atribuindo a Configuração Easy VPN Remote" para mais informações sobre como habilitar a funcionalidade do nome do host peer.

Suporte a Servidor de Proxy DNS.

Quando um túnel Easy VPN estiver inativo, os endereços DNS do ISP ou do provedor a cabo deverão ser utilizados para atender às requisições DNS. Quando a conexão WAN estiver ativa, os endereços DNS da empresa deverão ser utilizados.

Como uma maneira de implementar a utilização dos endereços DNS do provedor a cabo quando a conexão WAN estiver inativa, o router na configuração Cisco Easy VPN Remote poderá ser configurado para operar como um servidor proxy DNS. O router que opera como um servidor proxy DNS para os usuários conectados à LAN recebe as consultas DNS dos usuários locais, aos cuidados do servidor DNS real. Em seguida, o servidor DHCP poderá enviar o endereço LAN do router como o endereço IP do servidor DNS. Depois da conexão WAN tornar-se ativa, o router encaminha as consultas DNS para o servidor DNS real e armazena em cache os registros dessas consultas.

Consulte a seção "Configurando o Suporte do Servidor DNS Proxy" para mais informações sobre como habilitar a funcionalidade do servidor proxy DNS.

Suporte de Cisco IOS Firewall

O recurso Cisco Easy VPN Remote opera em conjunto com as configurações de Cisco IOS Firewall em todas as plataformas.

Easy VPN Remote e Server na Mesma Interface

Esse recurso permite que o Easy VPN remoto e o Easy VPN Server sejam suportados na mesma interface, possibilitando estabelecer um túnel para outro Easy VPN Server e encerrar o cliente do software Easy VPN na mesma interface, simultaneamente. Uma aplicação típica seria o caso de uma localização geográfica remota, para a qual o Easy VPN Remote está sendo utilizado para conectar-se a um Easy VPN Server corporativo, e também encerrar os usuários clientes do software locais.

Para mais informações sobre o recurso Easy VPN Remote e Server na Mesma Interface, consulte "Easy VPN Remote e Server na Mesma Interface", na seção "Referências Adicionais".

Easy VPN Remote e Site to Site na Mesma Interface

Esse recurso permite que o Easy VPN remoto e o site to site (mapa de criptografia) sejam suportados na mesma interface, o que possibilita estabelecer um túnel para outro Easy VPN Server e também ter um site to site na mesma interface, simultaneamente. Uma aplicação típica seria o caso de um provedor de serviço VPN de terceiros, que gerencia um router remoto por meio do túnel site-to-site, e utilizando o Easy VPN Remote para conectar a página remota a um Easy VPN Server corporativo.

Para mais informações sobre o recurso Easy VPN Remote e Site to Site na Mesma Interface, consulte "Easy VPN Remote e Site to Site na Mesma Interface", na seção " Referências Adicionais".

Administradores de Web do Cisco Easy VPN Remote

Os administradores da interface com a Web podem ser utilizados para gerenciar o recurso Cisco Easy VPN Remote. Um desses administradores de interface com a web é o SDM, que é suportado nos routers das séries Cisco 830, Cisco 1700, Cisco 2600, Cisco 3600 e Cisco 3700. O SDM possibilita a conexão ou desconexão de túnel e fornece uma interface com de web para a Xauth. Para mais informações sobre o SDM, consulte Cisco Security Device Manager.

Um segundo exemplo de administrador de interface da web é a ferramenta Cisco Router Web Setup (CRWS), que é suportado no router Cisco 806. O CRWS fornece uma interface da web semelhante ao SDM.

O terceiro exemplo de administrador de interface da web é o Cisco Easy VPN Remote Web Manager, utilizado para gerenciar o recurso Cisco Easy VPN Remote para os routers de acesso a cabo Cisco uBR905 e Cisco uBR925. Não é necessário acessar o CLI para gerenciar a conexão remota Cisco Easy VPN.

Os administradores da interface da web permitem efetuar as seguintes ações:

Consultar o status atual do túnel remoto Cisco Easy VPN.

Conectar-se a um túnel configurado para controle manual.

Desconectar um túnel configurado para controle manual ou reiniciar um túnel configurado para conexão automática.

Se necessário, será solicitado do usuário informações de Xauth.

Consulte a seção "Análise de falhas de Conexão VPN" para mais informações sobre o Cisco Easy VPN Remote Web Manager.

Opção de Mensagem Periódica de Dead Peer Detection

A opção de mensagem periódica de dead peer detection permite fazer a configuração do router para consultar a atividade do peer IKE, em intervalos regulares. O benefício em utilizar essa abordagem em vez da abordagem padrão (dead peer detection sob demanda) é a detecção precoce de peers inativos. Para mais informações sobre a opção de mensagem periódica de dead peer detection, consulte "Dead peer detection" na seção " Referências Adicionais".

Balanceamento de carga

Quando o concentrador Cisco VPN 3000 for configurado para o balanceamento de carga, o VPN 3000 aceitará uma requisição IKE de entrada a partir do dispositivo VPN remoto no seu endereço IP virtual. Se o dispositivo estiver carregado e impossibilitado de aceitar mais tráfegos, o VPN 3000 enviará uma mensagem de notificação contendo um endereço IP, que representa o novo servidor IKE, para o qual o dispositivo remoto deverá se conectar. A conexão antiga será desfeita e uma nova conexão será estabelecida para o gateway VPN redirecionado.

Nenhuma configuração é necessária para a execução do balanceamento de carga. Se o gateway VPN for configurado para o balanceamento de carga e notificar o VPN remoto sobre a execução desse balanceamento, o VPN remoto terá acesso ao recurso balanceamento de carga.

Para verificar a ocorrência do balanceamento de carga, insira os comandos debug crypto isakmp, debug crypto ipsec client ezvpn, e show crypto ipsec. Para análise de falhas do processo de balanceamento de carga, insira o comando show crypto ipsec.

Melhorias de Gerenciamento

As melhorias no gerenciamento de dispositivos remotos Easy VPN permitem o gerenciamento remoto do VPN. Esse recurso permite que o endereço IPv4 seja enviado pelo modo de configuração para o VPN remoto. O endereço IPv4 é atribuído à primeira interface de circuito fechado disponível no VPN remoto, e os circuitos fechados definidos estaticamente não são substituídos. Ao desconectar, o endereço e a interface de circuito fechado são excluídos da lista de interfaces ativas.

Depois que o VPN remoto é conectado, a interface de circuito fechado deverá estar acessível a partir da extremidade remota do túnel. Todas as atividades de PAT serão convertidas através desse endereço IP da interface.

Se houver um circuito fechado com um endereço IP associado a ele e o seu estado for não atribuído, a interface será candidata ao gerenciamento de endereços do modo de configuração.


Observação Após atribuir um endereço à interface de circuito fechado, o endereço de configuração ficará permanentemente contido na configuração se essa for salva em NVRAM e o VPN remote for reiniciado. Se o usuário salvou a configuração em NVRAM e reiniciou o VPN remoto, será necessário inserir o modo de configuração e excluir o endereço IP da interface de circuito fechado manualmente.


Insira o comando show ip interface com a palavra-chave brief para verificar se o circuito fechado foi excluído. A saída do comando show também exibe a interface.

Suporte a PFS

O atributo do modo de configuração PFS será enviado pelo servidor, caso seja solicitado pelo dispositivo VPN remoto. Se uma conexão subseqüente pelo dispositivo remoto mostrar que o PFS não foi recebido por este, o PFS não será enviado nos conjuntos de proposta IPsec.


Observação O grupo de PFS que será proposto nos conjuntos de proposta IPsec é o mesmo utilizado para IKE.


Você pode utilizar o comando show crypto ipsec client ezvpn para exibir o grupo PFS e para verificar se está utilizando PFS.

Backup de Discagem


Observação O recurso Backup de Discagem não está disponível para o Cisco IOS Versão 12.3(11)T.


O recurso Backup de Discagem para Easy VPN remotos permite fazer a configuração da conexão do túnel de backup de discagem no dispositivo remoto. O recurso de backup é "resgatado" somente quando for necessário enviar dados reais, eliminando a necessidade de linhas discadas ou ligações ISDN onerosas, que devem ser criadas e mantidas até mesmo quando não houver tráfego.

AFigura 10 ilustra um cenário típico de Easy VPN remoto com o recurso backup de discagem. Nesse cenário, o dispositivo remoto Cisco 1751 está tentando conectar-se a outro Cisco 1751 (atuando como um servidor). Há uma falha no túnel Easy VPN primário e a conexão é roteada novamente por meio do túnel de backup Easy VPN para o servidor Cisco 1751.

Figura 10 Backup de Discagem para Cenário Easy VPN

Backup de Discagem Utilizando Solução de Discagem Sob Demanda

O rastreamento de rota estática IP permite o Cisco IOS software identificar quando um Protocolo Ponto-a-Ponto da Ethernet (PPPoE) ou túnel VPN IPsec tornar-se "desativado" e, em seguida, iniciar uma conexão Dial-on-Demand (DDR) para um destino pré-configurado a partir de uma porta alternativa WAN ou LAN (por exemplo, uma porta T1, ISDN, analógica ou auxiliar). A falha pode ser causada por diversos eventos catastróficos (por exemplo, falhas no circuito da Internet ou falha no dispositivo de peer). A rota remota possui apenas uma rota estática para a rede corporativa. O recurso de rastreamento de rota estática IP permite que um objeto seja rastreado (por meio de um endereço IP ou nome do host), utilizando-se o Internet Control Message Protocol (ICMP), o TCP, ou outros protocolos, além de instalar ou excluir a rota estática, com base no estado do objeto rastreado. Se o recurso de rastreamento determinar que a conexão com a Internet foi perdida, a rota padrão da interface primária será excluída, e a rota estática flutuante para a interface de backup será habilitada.

Backup de Discagem Utilizando o Rastreamento de Objetos

O rastreamento de rota estática IP deve ser configurado para backup de discagem em um dispositivo remoto Easy VPN para que possa funcionar. A configuração do rastreamento de objetos é independente da configuração de backup de discagem do Easy VPN remoto. (Para mais informações sobre o rastreamento de objetos, consulte o guia de funções Backup de Roteamento Estático Confiável Utilizando o Rastreamento de Objetos).

Configuração de Suporte ao Backup de Discagem no Easy VPN Remote

Você pode fazer a configuração do backup de discagem para o seu Easy VPN remoto utilizando duas opções do Easy VPN remoto que permitem uma conexão à configuração do Easy VPN de backup e uma conexão ao sistema de rastreamento.

Para especificar uma configuração Easy VPN a ser ativada quando o backup for acionado, insira o sub-comando backup do comando global crypto ipsec client ezvpn.

O dispositivo remoto Easy VPN registra-se no sistema de rastreamento para obter as notificações de alteração no estado do objeto. Insira o sub-comando track para informar ao processo de rastreamento que o dispositivo remoto Easy VPN pretende rastrear um objeto, identificado pelo seu número. O processo de rastreamento, por sua vez, informa ao dispositivo remoto Easy VPN sobre a alteração do estado desse objeto. Essa notificação avisa ao dispositivo remoto Easy VPN sobre a alteração do estado desse objeto. Além disso, a notificação avisa o dispositivo remoto Easy VPN para resgatar a conexão backup quando o estado do objeto rastreado for DESATIVADO. Quando o objeto rastreado estiver ATIVO novamente, a conexão backup será interrompida e o dispositivo remoto Easy VPN retornará à conexão primária.


Observação Para cada configuração primária Easy VPN, apenas uma configuração backup é suportada. Cada interface interna deve especificar as configurações primárias e de backup do Easy VPN.


Ambientes Endereçados Dinamicamente

Para possibilitar a implantação de backup de discagem nos ambientes endereçados dinamicamente, utilize o recurso IP SLA Pre-Routed ICMP Echo Probe. (Para mais informações sobre esse recurso, consulte as release notes Cisco 1700 Series- Cisco IOS Versão 12.3(7)XR. Para utilizar o recurso IP SLA Pre-Routed ICMP Echo Probe, insira o comando icmp-echo com a palavra-chave source-interface.

Exemplos de Backup de Discagem

Para obter exemplos de configurações de backup de discagem, consulte a seção " Dial Backup: Examples."

Suporte de Interface Virtual

O recurso Suporte de Interface Virtual fornece uma interface roteável para o envio seletivo de tráfego a diversos concentradores Easy VPN, como também à Internet.

Antes do Cisco IOS Versão 12.4(2)T, os atributos forçados durante a configuração do modo tinham que ser analisados e aplicados na transição de túnel ativo para desativado. Quando esses atributos resultavam nas configurações aplicadas na interface, a configuração existente tinha que ser substituída. Com o recurso Suporte de Interface Virtual, a configuração de túnel ativo pode ser aplicada em interfaces separadas, facilitando, assim, o suporte de recursos isolados quando o túnel estiver ativo. Os recursos aplicados ao tráfego no interior do túnel podem ser separados dos recursos aplicados ao tráfego que não passa pelo túnel (como por exemplo o tráfego de túnel dividido e o tráfego que deixa o dispositivo quando o túnel não estiver ativo). Quando a negociação Easy VPN for bem-sucedida, o estado do protocolo de linha da interface de acesso virtual será alterado para ativo. Quando o túnel Easy VPN fica inativo porque a associação de segurança (SA) expira ou é excluída, o estado do protocolo de linha das interfaces de acesso virtual se altera para inativo.

As rotas atuam como seletores de tráfego em uma interface virtual Easy VPN, isto é, as rotas substituem a lista de acesso no mapa de criptografia. Na configuração de interface virtual, o Easy VPN negocia uma SA IPsec única se o Easy VPN Server tiver sido configurado com uma interface IPsec dinâmica virtual. Esta única SA é criada independente do modo do Easy VPN que está configurado.

Depois que a SA é estabelecida, as rotas que apontam à interface de acesso virtual são adicionadas ao tráfego direto para a rede corporativa. O Easy VPN também adiciona uma rota ao concentrador VPN para que os pacotes encapsulados no IPsec sejam roteados para a rede corporativa. A rota padrão, que aponta para a interface de acesso virtual, é incluída no caso de um modo não dividido. Quando o Easy VPN Server "forçar" o túnel dividido, a sub-rede desse túnel será o destino para o qual as rotas que apontam para o acesso virtual são incluídas. Nos dois casos, se o peer (concentrador VPN) não for conectado diretamente, o Easy VPN inclui uma rota ao peer.


ObservaçãoA maioria dos routers que executa o software Cisco Easy VPN Client tem uma rota padrão configurada. A rota padrão que é configurada deve ter um valor métrico superior a 1. O valor métrico deve ser superior a 1 porque o Easy VPN adiciona uma rota padrão que tem um valor métrico igual a 1. A rota aponta a interface de acesso virtual para que o tráfego seja direcionado para a rede corporativa quando o concentrador não "envia" o atributo de túnel dividido.


Para mais informações sobre o recurso Interface de Túnel Virtual IPSec, consulte o documento IPSec Virtual Tunnel Interface (cujo URL é fornecido na seção " Related Documents" desse documento [Informação Geral sobre IPsec e VPN]).

Tabela 1 apresenta os diferentes métodos de fazer a configuração de um dispositivo remoto e as configurações do agregador IPsec do fim de cabeçalho correspondente. Cada linha representa uma maneira de fazer a configuração de um dispositivo remoto. A terceira coluna mostra as diferentes configurações de fim de cabeçalho que podem ser usadas com interfaces IPsec. Consulte a Tabela 2 para uma descrição dos termos usados na Tabela 1 e na Tabela 3.

Tabela 1 Como as Diferentes Configurações de Dispositivo Remoto Interagem com Várias Extremidades
e Configurações 

Configurações de Dispositivo Remoto
IOS Headend - Utilizando Mapas de Criptografia
IOS Headend - Utilizando Interfaces IPsec
VPN3000/ASA

Mapas de criptografia

Suportado.

Interface virtual Easy VPN

Suportado.

Criará várias SAs para um túnel dividido.

Como não há interface no fim de cabeçalho, os recursos de interface não podem ser suportados.

O quality of service (QoS) limitado é suportado.

Suportado.

Cria apenas uma única SA em túneis divididos e não divididos.

A injeção de rota é obtida no servidor.

As rotas são injetadas nos dispositivos remotos para direcionar tráfego para a interface.

Suportado.

Criará várias SAs para um túnel dividido.

Easy VPN de Legado

Cria uma única IPsec SA no fim de cabeçalho quando uma política padrão é enviada.

Cria várias SAs quando uma política de túnel dividido é enviada ao servidor remoto.

Não suportado.

Não pode ser utilizado com túneis divididos porque a interface de fim de cabeçalho não suporta várias SAs em uma única interface.

Suportado.

Cria várias SAs para túneis divididos.

Interface virtual estática

Não suportado.

Suportado.

Pode ser utilizada com uma interface estática ou interface dinâmica no fim do cabeçalho.

O suporte de roteamento é obrigatório para acessar a rede.

Não suportado.


A Tabela 2 fornece uma descrição dos termos utilizados na Tabela 1 e na Tabela 3.

Tabela 2 Termos utilizados na Tabela 1 e na Tabela 3

Termos
Descrição

ASA

Cisco Adaptive Security Appliance, um aplicativo de segurança do gerenciamento de ameaças.

Mapas de criptografia

Normalmente utilizados para fazer a configuração de túneis IPsec. O mapa de criptografia é anexado a uma interface. Para mais informações sobre mapas de criptografia, consulte a seção "Criando Conjuntos de Mapas de Criptografia" do capítulo "Configurando Segurança para VPNs com IPSec" do Guia de Configuração Cisco IOS Security . (Endereço URL fornecido na seção " Documentação Relacionada" deste documento.)

Dispositivo remoto de túnel duplo Easy VPN

Duas configurações de dispositivo remoto Easy VPN que utilizam a interface de túnel virtual IPsec dinâmico.

Dispositivo remoto da interface virtual Easy VPN (interface virtual Easy VPN)

Configuração remota Easy VPN, que define a utilização de uma interface de túnel virtual IPSec dinâmico.

Interface IPsec

Consiste em interfaces virtuais IPsec estáticas e dinâmicas.

Interface de Túnel Virtual IPsec

Interface de túnel criada a partir de uma interface de túnel de um modelo virtual, utilizando o modo IPsec. Para mais informações sobre as configurações de interface de túnel virtual, consulte o documento IPSec Virtual Tunnel Interface (cujo URL é fornecido na seção "Documentação Relacionada" desse documento [Informação Geral sobre IPsec e VPN]).

Easy VPN de Legado

Configuração de dispositivo remoto Easy VPN, que utiliza mapas de criptografia e não interfaces IPsec.

Interface de túnel virtual IPsec estático (static virtual tunnel interface)

Interface de túnel utilizada com o modo IPsec, que propõe e aceita somente um seletor "ipv4 any any". Para mais informações sobre as configurações de interface de túnel virtual, consulte o documento IPSec Virtual Tunnel Interface (cujo URL é fornecido na seção "Documentação Relacionada" desse documento [Informação Geral sobre IPsec e VPN]).

VPN 3000

Routers da série Cisco VPN 3000.


Suporte de Túnel Duplo

O Easy VPN agora suporta a habilidade para fazer a configuração de dois túneis Easy VPN, que possuem as mesmas interfaces internas e externas. Esse recurso é chamado Túnel Duplo Easy VPN. A configuração de túneis múltiplos em um único dispositivo remoto pode ser feita de várias maneiras, conforme relacionado na Tabela 3, juntamente com as suas configurações e considerações de uso. Há discussões adicionais nessa seção referentes a apenas um método de configuração de túneis duplos, utilizando túneis Easy VPN que possuem interfaces virtuais. Esse método será denominado Suporte de Túnel Duplo.

Na instalação do túnel duplo Easy VPN, cada túnel é configurado por meio do suporte de interface virtual, conforme exibido na seção " Suporte de Interface Virtual". Cada túnel Easy VPN possui uma interface virtual exclusiva, criada quando a configuração do Easy VPN for concluída.

Há duas combinações possíveis nas quais os túneis duplos podem ser utilizados.

Uma delas consiste em túneis duplos Easy VPN com um túnel utilizando uma política de túnel não dividido e o outro túnel utilizando um política de túnel dividido, enviado da respectiva extremidade.

A outra combinação consiste em túneis duplos Easy VPN, com ambos os túneis utilizando uma política de túnel dividido independente, enviado da respectiva extremidade.


Observação Não é permitido ter túneis duplo Easy VPN nos quais ambos os túneis utilizam uma política de túnel não dividido.


O túnel duplo Easy VPN utiliza injeções de rota para direcionar o tráfego adequado pela interface de túnel virtual Easy VPN correta. Quando o túnel Easy VPN no dispositivo remoto "tornar-se ativo," ele "detectará" a política de túnel dividido ou não dividido a partir da extremidade. O dispositivo remoto EasyVPN injeta rotas em sua tabela de roteamento, que correspondem às redes não divididas detectadas. Se a extremidade enviar uma política de túnel não dividido para o dispositivo remoto Easy VPN, esse dispositivo instalará uma rota padrão em sua tabela de roteamento, que direciona todo o tráfego para fora da interface virtual Easy VPN correspondente a esse túnel Easy VPN. Se a extremidade enviar redes de túnel dividido para o dispositivo remoto, esse dispositivo instalará rotas específicas para as redes divididas na tabela de roteamento, direcionando o tráfego para essas redes fora da interface de túnel virtual.


Observação O túnel duplo Easy VPN utiliza roteamento com base em destino para enviar tráfego para os respectivos túneis.


Os recursos de saída podem ser aplicados nesta interface virtual. Os exemplos de tais recursos de saída são Cisco IOS Quality of Service e Cisco IOS Firewall. Estes recursos devem ser configurados no template virtual que é configurado na configuração do cliente Easy VPN.

ATabela 3 explica como esse recurso deve ser utilizado. Consulte a Tabela 2 para uma descrição dos termos usados na Tabela 1 e na Tabela 3.

Tabela 3 Diretrizes de Uso de Túnel Duplo 

Combinações de Túnel Duplo
Extremidades Suportadas
Considerações de Configuração e Utilização no Dispositivo Remoto Easy VPN e Fim de Cabeçalho

Dois túneis Easy VPN de legados

IOS, ASA e VPN 3000

Dois túneis não podem compartilhar uma interface externa comum.

Dois túneis não podem compartilhar uma interface interna comum.

Os dois túneis devem utilizar interfaces internas e externas separadas.

O tráfego de uma interface interna que pertence a um túnel Easy VPN não pode ser enviado a outro túnel.

Um túnel Easy VPN legado e um mapa de criptografia

IOS, ASA e VPN 3000

O mapa de criptografia pode compartilhar a mesma interface externa como a configuração do cliente Easy VPN de legado. Entretanto, o comportamento dos dois dispositivos remotos depende do modo do Easy VPN assim como dos seletores de IPsec e do dispositivo remoto Easy VPN. Essa não é uma combinação recomendada.

Um túnel legado Easy VPN e uma interface virtual estática

IOS

Os dois túneis não podem terminar na mesma extremidade. O túnel do dispositivo remoto da interface virtual estática tem que ser concluído em uma interface virtual estática no router do fim de cabeçalho. O túnel do dispositivo Easy VPN remoto de legado pode ser concluído na interface de túnel virtual ou mapa de criptografia que é configurado no fim de cabeçalho.

Um túnel legado Easy VPN e uma interface virtual Easy VPN

IOS, ASA e VPN 3000

Os dois túneis não podem terminar na mesma extremidade.

O túnel Easy VPN de legado e a interface virtual Easy VPN podem compartilhar uma interface interna e externa comum.

Uma interface virtual Easy VPN deve ser utilizada apenas com o tunelamento dividido.

O túnel Easy VPN de legado pode utilizar um túnel dividido ou nenhum túnel dividido.

A recurso Ativação Baseada na Web não pode ser aplicado em ambos os túneis Easy VPN.

A utilização de duas interfaces virtuais Easy VPN deve ser priorizada para utilizar essa combinação.

Uma interface virtual Easy VPN e uma interface virtual estática

IOS

Os dois túneis não podem terminar no mesmo peer. A interface virtual estática e a interface virtual Easy VPN podem utilizar a mesma interface externa.

A interface virtual Easy VPN deve utilizar tunelamento por divisão.

Duas interface virtuais Easy VPN

IOS, ASA e VPN 3000

Os dois túneis não podem terminar no mesmo peer.

Pelo menos um dos túneis deve utilizar tunelamento por divisão.

A Ativação Baseada na Web não pode ser aplicada em ambos os túneis Easy VPN.


Banner

O Easy VPN Server envia um banner para o dispositivo remoto Easy VPN. O dispositivo remoto Easy VPN pode utilizar o banner durante Xauth e ativação baseada na Web. O dispositivo remoto Easy VPN exibe o banner na primeira vez que o túnel Easy VPN é ativado.

O banner é configurado na configuração de grupo no Easy VPN Server.

Melhorias de Gerenciamento de Configuração (Forçar um URL de Configuração Através de Troca de Configuração de Modo)

Após a configuração desse recurso no servidor por meio dos comandos configuration url e configuration version (sub-comandos sob o comando crypto isakmp client configuration group), o servidor poderá "forçar" o URL e o número da versão de configuração para o dispositivo remoto Easy VPN. Com estas informações, o dispositivo remoto Easy VPN pode fazer o download do conteúdo de configuração e aplicá-lo à sua configuração em execução. Para mais informações sobre esse recurso, consulte a seção "Melhorias do Gerenciamento de Configuração" no módulo de recurso Easy VPN Server.

Reativar Peer Primário

O recurso Reativar Peer Primário permite que um peer primário padrão seja definido. O peer primário padrão (um servidor) é um considerado melhor que outros peers por razões tais como custo, menor distância ou maior largura de banda. Com esse recurso configurado, se o Easy VPN falhar durante a Fase 1 das negociações SA do peer primário para o próximo peer em sua lista de backups, e se o peer primário estiver disponível novamente, as conexões com o peer de backup serão desfeitas e refeitas com o peer primário.

O Dead Peer Detection é um dos mecanismos que atua como acionador para a reativação do peer primário. Os cronômetros de ociosidade configurados sob o Easy VPN consistem em outro mecanismo de acionamento. Quando configurado, o cronômetro de ociosidade detecta a inatividade no túnel e o interrompe. Uma conexão subseqüente (imediata no modo automático) será tentada com o peer primário preferencial ao invés do último peer utilizado.


Observação Apenas um peer primário pode ser definido.


Como fazer a Configuração do Cisco Easy VPN Remote

Esta seção inclui as seguintes tarefas obrigatórias e opcionais.

Tarefas Remotas

Configurando e Atribuição o Easy VPN Remote (obrigatório)

Verificação da Configuração do Cisco Easy VPN (opcional)

Configurando o Recurso Salvar Senha (opcional)

Configurando o Controle de Túnel Manual (opcional)

Configurando o Controle de Túnel Automático (opcional)

Configurando Interfaces Internas Múltiplas (opcional)

Configurando Interfaces Externas Múltiplas (opcional)

Configurando Suporte de Sub-Redes Múltiplas (opcional)

Configurando Suporte de Servidor DNS Proxy (opcional)

Configurando Backup de Discagem (opcional)

Configurando Pool de Servidores DHCP (obrigatório)

Reconfigurando a Conexão VPN (opcional)

Monitoramento e Manutenção de Eventos VPN e IKE (opcional)

Configurando Interface Virtual (opcional)

Análise de falhas de Suporte de Túnel Duplo

Configurando o Recurso Reativar Peer Primário (padrão) (opcional)

Tarefas do Easy VPN Server

Configurando o Cisco IOS Easy VPN Server (obrigatório)

Configurando um Easy VPN Server em um VPN 3000 Series Concentrator (opcional)

Configurando um Easy VPN Server em um Cisco PIX Firewall (opcional)

Tarefas de Interface da Web

Configurando a Ativação com Base na Web (opcional)

Monitoramento e Manutenção da Ativação com Base na Web (opcional)

Utilizando SDM como Gerenciador da Web (opcional)

Análise de falhas da Conexão VPN

Análise de falhas de Conexão VPN com o Recurso Cisco Easy VPN Remote (opcional)

Análise de falhas do Modo Cliente de Operação (opcional)

Análise de falhas de Gerenciamento Remoto (opcional)

Análise de falhas de Dead Peer Detection (opcional)

Tarefas Remotas

Configurando e Atribuindo o Easy VPN Remote

O router que atua como Easy VPN remoto deve criar uma configuração Cisco Easy VPN Remote e atribuí-la à interface de saída. Para fazer a configuração e atribuir a configuração remota, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. group group-name key group-key

5. peer [ip-address | hostname]

6. mode {client | network-extension}

7. exit

8. interface interface

9. crypto ipsec client ezvpn name [outside]

10. exit

11. exit

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

crypto ipsec client ezvpn name

Exemplo:

Router (config)# crypto ipsec client ezvpn easy client remote

Cria uma configuração remota e insere o modo de configuração do Cisco Easy VPN Remote.

Etapa 4 

group group-name key group-key

Exemplo:

Router (config-crypto-ezvpn)# group easy-vpn-remote-groupname key easy-vpn-remote-password

Especifica o grupo IPSec e o valor da chave IPSec a ser associado a esta configuração.

Observação O valor do argumento group-name deve corresponder-se ao grupo definido no Easy VPN Server. Nos routers Cisco IOS, insira os comandos crypto isakmp client configuration group e crypto map dynmap isakmp authorization list.

Observação O valor do argumento group-key deve corresponder à chave definida no Easy VPN Server. Nos routers Cisco IOS, insira o comando crypto isakmp client configuration group.

Etapa 5 

peer [ip-address | hostname]

Exemplo:

Router (config-crypto-ezvpn)# peer 192.185.0.5

Especifica o endereço IP ou nome do host para o peer de destino (normalmente o endereço IP na interface externa da rota de destino).

É possível fazer a configuração de vários peers.

Observação É necessário possuir um servidor DNS configurado e disponível para utilizar a opção hostname.

Etapa 6 

mode {client | network-extension}

Exemplo:

Router (config-crypto-ezvpn)# mode client

Especifica o tipo de conexão VPN que deve ser feita.

client—Especifica que o router está configurado para a operação de cliente VPN, utilizando a conversão de endereços NAT ou PAT. A operação de cliente será o padrão se o tipo de conexão VPN não for especificado.

network-extension—Especifica que o router está prestes a se tornar uma extensão remota da rede da empresa no destino da conexão VPN.

Etapa 7 

exit

Exemplo:

Router (config-crypto-ezvpn)# exit

Sai do modo de configuração do Cisco Easy VPN Remote.

Etapa 8 

interface interface

Exemplo:

Router (config)# interface Ethernet1

Insere o modo de configuração da interface.

Essa interface será a interface externa para a conversão de NAT ou PAT.

Etapa 9 

crypto ipsec client ezvpn name [outside]

Exemplo:

Router (config-if)# crypto ipsec client ezvpn easy_vpn_remote1 outside

Atribui uma configuração à interface do Cisco Easy VPN .

Essa configuração cria automaticamente os parâmetros necessários de conversão NAT ou PAT e inicia a conexão VPN (se estiver no modo cliente).

Observação A interface interna deve ser especificada no Cisco 1700 e em plataformas superiores.

Etapa 10 

exit

Exemplo:

Router(config-if)# exit

Sai do modo de configuração da interface.

Etapa 11 

exit

Exemplo:

Router(config)# exit

Sai do modo de configuração global.

Verificação da configuração do Cisco Easy VPN

Para verificar se a configuração do Cisco Easy VPN Remote foi feita corretamente e atribuída a uma interface e, ainda, se o túnel VPN IPsec foi estabelecido, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. show crypto ipsec client ezvpn

2. show ip nat statistics

ETAPAS DETALHADAS


Etapa 1 Exibir o estado atual da conexão Cisco Easy VPN Remote utilizando o comando show crypto ipsec client ezvpn. A seguir eis uma saída típica para os routers da série Cisco 1700 utilizando o modo cliente:

Router# show crypto ipsec client ezvpn

Tunnel name : hw1
Inside interface list: FastEthernet0/0, Serial0/0,
Outside interface: Serial1/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.0.0.5
Mask: 255.255.255.255
Default Domain: cisco.com
Tunnel name : hw2
Inside interface list: Serial0/1,
Outside interface: Serial1/1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Default Domain: cisco.com

Etapa 2 Exibir a configuração de NAT ou PAT criada automaticamente para a conexão VPN utilizando o comando show ip nat statistics. O campo "Mapeamentos dinâmicos" dessa vizualização fornece os detalhes para a conversão NAT ou PAT que está ocorrendo no túnel VPN.

Router# show ip nat statistics

Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
  cable-modem0
Inside interfaces:
  Ethernet0
Hits: 1489  Misses: 1
Expired translations: 1
Dynamic mappings:
-- Inside Source
access-list 198 pool enterprise refcount 0
 pool enterprise: netmask 255.255.255.0
        start 192.168.1.90 end 192.168.1.90
        type generic, total addresses 1, allocated 0 (0%), misses 0\

Se, nesse ponto, a saída exibir IPSEC_ACTIVE, a operação está fluindo como esperado.


Configurando Salvar Senha

Para fazer a configuração do recurso Salvar senha, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. password encryption aes

4. crypto ipsec client ezvpn name

5. username name password {0 | 6} {password}

6. exit

7. show running-config

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

password encryption aes

Exemplo:

Router (config)# password encryption aes

Habilita uma chave pré-compartilhada criptografada do tipo 6.

Etapa 4 

crypto ipsec client ezvpn name

Exemplo:

Router (config)# crypto ipsec client ezvpn ezvpn1

Cria uma configuração remota do Cisco Easy VPN e insere o modo de configuração remota do Cisco Easy VPN.

Etapa 5 

username name password {0 | 6} {password}

Exemplo:

Router (config-crypto-ezvpn)# username server_1 password 0 blue

Permite salvar sua senha de Xauth localmente no PC.

A palavra-chave 0 indica que uma senha criptografada virá em seguida.

A palavra-chave 6 indica que uma senha criptografada virá em seguida.

O argumento passwordé a senha do usuário (cleartext) não criptografada.

Etapa 6 

exit

Exemplo:

Router (config-crypto-ezvpn)# exit

Sai do modo de configuração remota do Cisco Easy VPN.

Etapa 7 

show running-config

Exemplo:

Router(config)# show running-config

Exibe o conteúdo do arquivo de configuração executado atualmente.

Configurando o Controle de Túnel Manual

Para fazer a configuração manualmente do controle dos túneis VPN IPsec, para que possa estabelecer e encerrar os túneis VPN IPsec sob demanda, siga as seguintes etapas.


Observação O CLI é uma opção de conexão de túnel. O método por meio de interface da web (utilizando o SDM) é o preferencial.


RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. connect [auto | manual]

5. exit

6. exit

7. crypto ipsec client ezvpn connect name

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

crypto ipsec client ezvpn name

Exemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Atribui uma configuração remota do Cisco Easy VPN a uma interface e entra no modo de configuração do Cisco Easy VPN Remote.

O argumento name especifica o nome da configuração a ser atribuída à interface.

Etapa 4 

connect [ auto | manual]

Exemplo:

Router (config-crypto-ezvpn)# connect manual

Conecta o túnel VPN. Especifique manual para fazer a configuração do controle manual de túnel.

O padrão é automático; não é necessário utilizar a palavra-chave manual se a configuração for automática.

Etapa 5 

exit

Exemplo:

Router (config-crypto-ezvpn)# exit

Sai do modo de configuração do Cisco Easy VPN Remote.

Etapa 6 

exit

Exemplo:

Router(config)# exit

Sai do modo de configuração global e entra no modo EXEC com privilégio.

Etapa 7 

crypto ipsec client ezvpn connect name

Exemplo:

Router# crypto ipsec client ezvpn connect easy vpn remote1

Conecta uma determinada configuração remota do Cisco Easy VPN.

O argumento name especifica o nome do túnel VPN IPsec.

Observação Se o nome do túnel não for especificado, o túnel ativo será conectado. Se houver mais de um túnel ativo, o comando falhará com um erro solicitando que o usuário especifique o nome do túnel.

Configurando o Controle Automático de Túnel

Para fazer a configuração do controle automático de túnel, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. connect [auto | manual]

5. exit

6. exit

7. crypto ipsec client ezvpn connect name

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

crypto ipsec client ezvpn name

Exemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Atribui uma configuração remota do Cisco Easy VPN a uma interface e entra no modo de configuração do Cisco Easy VPN Remote.

Especifique o nome da configuração a ser atribuída à interface.

Etapa 4 

connect [auto | manual ]

Exemplo:

Router (config-crypto-ezvpn)# connect auto

Conecta o túnel VPN.

Especifique auto para fazer a configuração do controle automático de túnel. O padrão é automático; não é necessário utilizar esse sub-comando se a configuração for automática.

Etapa 5 

exit

Exemplo:

Router (config-crypto-ezvpn)# exit

Sai do modo de configuração do Cisco Easy VPN Remote.

Etapa 6 

exit

Exemplo:

Router(config)# exit

Sai do modo de configuração global e entra no modo EXEC com privilégio.

Etapa 7 

crypto ipsec client ezvpn connect name

Exemplo:

Router# crypto ipsec client ezvpn connect easy vpn remote1

Conecta uma determinada configuração remota do Cisco Easy VPN.

O argumento name especifica o nome do túnel VPN IPsec.

Observação Se o nome do túnel não for especificado, o túnel ativo será conectado. Se houver mais de um túnel ativo, o comando falhará com um erro solicitando que o usuário especifique o nome do túnel.

Configurando Interfaces Internas Múltiplas

Você pode fazer a configuração de até três interfaces internas para todas as plataformas. É necessário fazer a configuração manualmente de cada interface interna, utilizando o seguinte procedimento.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. interface interface-name

4. exit

5. crypto ipsec client ezvpn name [outside | inside]

6. interface interface-name

7. exit

8. crypto ipsec client ezvpn name [outside | inside]

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

interface interface-name

Exemplo:

Router (config)# interface Ethernet0

Seleciona a interface a ser configurada, especificando o nome da interface e entra no modo de configuração de interface.

Etapa 4 

exit

Exemplo:

Router(config-if)# exit

Sai do modo de configuração da interface.

Etapa 5 

crypto ipsec client ezvpn name [outside | inside]

Exemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote 1 inside

Especifica o nome da configuração remota do Cisco Easy VPN a ser atribuído à primeira interface interna.

É necessário especificar inside para cada interface interna.

Etapa 6 

interface interface-name

Exemplo:

Router (config)# interface Ethernet1

Seleciona a próxima interface a ser configurada, indicando o nome dessa interface e entrando no modo de configuração de interface.

Etapa 7 

exit

Exemplo:

Router(config-if)# exit

Sai do modo de configuração da interface.

Etapa 8 

crypto ipsec client ezvpn name [outside | inside]

Exemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote2 inside

Especifica o nome da configuração remota do Cisco Easy VPN a ser atribuído à próxima interface interna.

É necessário especificar inside para cada interface interna.

Repita as etapas 3 e 4 para fazer a configuração de um túnel adicional, se necessário.

Configurando Interfaces Externas Múltiplas

É possível fazer a configuração de vários túneis para interfaces externas, definindo um túnel para cada interface. Você pode fazer a configuração de um máximo de quatro túneis usando o seguinte procedimento para cada interface externa.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. interface interface-name

4. exit

5. crypto ipsec client ezvpn name [outside | inside]

6. interface interface-name

7. exit

8. crypto ipsec client ezvpn name [outside | inside]

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

interface interface-name

Exemplo:

Router (config)# interface Ethernet0

Seleciona a primeira interface externa a ser configurada, especificando o nome da interface e entrando no modo de configuração de interface.

Etapa 4 

exit

Exemplo:

Router(config-if)# exit

Sai do modo de configuração da interface.

Etapa 5 

crypto ipsec client ezvpn name [outside | inside]

Exemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote1 outside

Especifica o nome da configuração remota do Cisco Easy VPN a ser atribuído à primeira interface externa.

Especifique outside (opcional) para cada interface externa. Se não for especificado outside ou inside para a interface, o padrão será outside.

Etapa 6 

interface interface-name

Exemplo:

Router (config)# interface Ethernet1

Seleciona a próxima interface externa a ser configurada, especificando o nome da próxima interface.

Etapa 7 

exit

Exemplo:

Router(config-if)# exit

Sai do modo de configuração da interface.

Etapa 8 

crypto ipsec client ezvpn name [outside | inside]

Exemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote2 outside

Especifica o nome da configuração remota do Cisco Easy VPN a ser atribuído à próxima interface externa.

Especifique outside (opcional) para cada interface externa. Se não for especificado outside ou inside para a interface, o padrão será outside.

Repita as etapas 3 e 4 para fazer a configuração de túneis adicionais, se necessário.

Configurando o Suporte de Sub-Redes Múltiplas

Ao fazer a configuração do suporte de sub-redes múltiplas, deve-se, em primeiro lugar, fazer a configuração de uma lista de acesso para definir as sub-redes reais a serem protegidas. Cada sub-rede de origem ou par de máscaras indica que todo o tráfego originado dessa rede para qualquer destino é protegido pelo IPsec. Para informações sobre a configuração de ACLs, consulte "Listas de controle de acesso, configuração" na seção "Referências Adicionais".

Depois de definir as sub-redes, é necessário fazer a configuração do perfil crypto IPsec client EZVPN para utilizar as ACLs.


Observação As sub-redes múltiplas não são suportadas no modo cliente.


RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. interface interface-name

4. exit

5. crypto ipsec client ezvpn name

6. acl {acl-name | acl-number}

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

interface interface-name

Exemplo:

Router (config)# interface Ethernet1

Seleciona a interface a ser configurada, especificando o nome da interface e entra no modo de configuração de interface.

Etapa 4 

exit

Exemplo:

Router(config-if)# exit

Sai do modo de configuração da interface.

Etapa 5 

crypto ipsec client ezvpn name

Exemplo:

Router (config)# crypto ipsec client ezvpn ez1

Cria uma configuração remota do Cisco Easy VPN e entra no modo de configuração criptografado do Cisco Easy VPN.

Etapa 6 

acl {acl-name | acl-number}

Exemplo:

Router (config-crypto-ezvpn)# acl acl-list1

Especifica as sub-redes múltiplas no túnel Easy VPN.

Configurando o Suporte de Servidor DNS Proxy

Como uma maneira de implementar a utilização dos endereços DNS de ISP quando a conexão WAN estiver inativa, o router na configuração Cisco Easy VPN remoto poderá ser configurado para atuar como um servidor DNS proxy. Para habilitar a função de servidor DNS proxy com o comando ip dns server, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. ip dns server

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

ip dns server

Exemplo:

Router (config)# ip dns server

Habilita o router para atuar como um servidor DNS proxy.

Observação Essa definição é especifica do IOS.

O Que Fazer em Seguida

Depois de fazer a configuração do router, é necessário fazer a configuração do servidor Cisco IOS Easy VPN, como mostra a seguir:

No comando crypto isakmp client configuration group, configure o sub-comando dns, conforme ilustrado no seguinte exemplo:

dns A.B.C.D A1.B1.C1.D1

Esses endereços de servidor DNS devem ser enviados para o Cisco Easy VPN remoto e adicionados ou excluídos dinamicamente da configuração de execução do router.

Para informações sobre a função geral de servidor DNS nos aplicativos do Cisco IOS software, consulte Configurando DNS e Configurando DNS nos Routers Cisco.

Configurando Backup de Discagem


Observação O recurso Backup de Discagem não está disponível para o Cisco IOS Versão 12.3(11)T.


Para fazer a configuração do backup de discagem, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. Crie a configuração de backup de Easy VPN.

2. Adicione os detalhes de sub-comando de backup às configurações primárias.

3. Aplique a configuração de backup de Easy VPN à interface externa de backup de discagem.

4. Aplique o perfil Easy VPN às interfaces internas.

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

Crie a configuração de backup de discagem Easy VPN.


Para detalhes sobre a configuração de backup, consulte a seção " Backup de Discagem".

Etapa 2 

Adicione os detalhes de sub-comando de backup às configurações primárias.

Insira o sub-comando backup e a palavra-chave track do comando crypto ipsec client ezvpn.

Etapa 3 

Aplique a configuração de backup Easy VPN à interface externa de backup de discagem (por exemplo, serial, assíncrono ou discador).

Para detalhes sobre como aplicar a configuração backup à interface externa de backup de discagem, consulte a seção "Configurando Interfaces Externas Múltiplas".

Etapa 4 

Aplique o perfil Easy VPN às interfaces internas (pode haver mais de um).

Para detalhes sobre como aplicar o perfil Easy VPN às interfaces internas, consulte a seção "Configurando Interfaces Internas Múltiplas".

Configurando o Pool de Servidores DHCP

Para fazer a configuração do pool de servidores de DHCP (Dynamic Host Configuration Protocol), consulte o capítulo " Configurando DHCP" no Guia de Configuração IP Cisco IOS, Versão 12.3.

Reconfigurando uma conexão VPN

Para reconfigurar uma conexão VPN, siga os seguintes Etapas. Os comandos clear podem ser configurados em ordem ou de maneira independente.

RESUMO DAS ETAPAS

1. enable

2. clear crypto ipsec client ezvpn

3. clear crypto sa

4. clear crypto isakmp

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

clear crypto ipsec client ezvpn

Exemplo:

Router# clear crypto ipsec client ezvpn

Reconfigura a máquina de estado do Cisco Easy VPN remoto e desativa a conexão do Cisco Easy VPN remoto em todas as interfaces ou em uma determinada Interface (túnel).

Etapa 3 

clear crypto sa

Exemplo:

Router# clear crypto sa

Exclui as SAs IPsec.

Etapa 4 

clear crypto isakmp

Exemplo:

Router# clear crypto isakmp

Desobstrui conexões IKE ativas.

Monitoramento e Manutenção de Eventos VPN e IKE

Para monitorar e manter eventos VPN e IKE, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. enable

2. debug crypto ipsec client ezvpn

3. debug crypto ipsec

4. debug crypto isakmp

RESUMO DAS ETAPAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

debug crypto ipsec client ezvpn

Exemplo:

Router# debug crypto ipsec client ezvpn

Exibe informações sobre a configuração e a implementação do recurso Cisco Easy VPN Remote.

Etapa 3 

debug crypto ipsec

Exemplo:

Router# debug crypto ipsec

Exibe eventos IPsec.

Etapa 4 

debug crypto isakmp

Exemplo:

Router# debug crypto isakmp

Exibe mensagens sobre eventos IKE.

Configurando uma Interface Virtual

Para fazer a configuração de uma interface virtual, siga as seguintes etapas.


Observação Antes da configuração da interface virtual, é necessário verificar se o perfil Easy VPN não está atribuído a uma outra interface externa. Exclua o perfil Easy VPN da interface externa e, em seguida, configure a interface virtual.


RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. interface virtual-template number type type-of-virtual-template

4. tunnel mode ipsec ipv4

5. exit

6. crypto ipsec client ezvpn name

7. virtual-interface [virtual-template-number]

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

interface virtual-template number type type-of-virtual-template

Exemplo:

Router (config)# interface virtual-template1 type tunnel

(Opcional) Cria um modelo virtual do tipo de túnel e entra no modo de configuração de interface.

As etapas 3, 4, e 5 são opcionais, mas se alguma delas for configurada, todas também deverão ser configuradas.

Etapa 4 

tunnel mode ipsec ipv4

Exemplo:

Router (if-config)# tunnel mode ipsec ipv4

(Opcional) Configura o túnel que faz o tunelamento IPsec.

Etapa 5 

exit

Exemplo:

Router (if-config)# exit

(Opcional) Sai do modo de configuração de interface (túnel virtual).

Etapa 6 

crypto ipsec client ezvpn name

Exemplo:

Router (config)# crypto ipsec client ezvpn EasyVPN1

Cria uma configuração remota do Cisco Easy VPN e insere o modo de configuração remota do Cisco Easy VPN.

Etapa 7 

virtual-interface [virtual-template-number]

Exemplo:

Router (config-crypto-ezvpn)# virtual-interface 3

Instrui o Easy VPN remoto para criar uma interface virtual a ser utilizada como interface externa. Se o número do modelo virtual for especificado, a interface de acesso virtual será derivada da interface virtual que foi especificada. Se o número do modelo virtual não for especificado, será criada uma interface de acesso virtual genérica.

Análise de falhas de Suporte de Túnel Duplo

Os seguintes comandos debug e show podem ser utilizados para análise de falhas de configuração de túnel duplo.

RESUMO DAS ETAPAS

1. enable

2. debug crypto ipsec client ezvpn

3. debug ip policy

4. show crypto ipsec client ezvpn

5. show ip interface

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

debug crypto ipsec client ezvpn

Exemplo:

Router# debug crypto ipsec client ezvpn

Exibe as informações sobre as conexões do Cisco Easy VPN remoto.

Etapa 3 

debug ip policy

Exemplo:

Router# debug ip policy

Exibe a atividade do pacote de roteamento de política IP.

Etapa 4 

show crypto ipsec client ezvpn

Exemplo:

Router# show crypto ipsec client ezvpn

Exibe a configuração do Cisco Easy VPN Remote.

Etapa 5 

show ip interface

Exemplo:

Router# show ip interface

Exibe um status de utilização das interfaces configuradas para IP.

Configurando Reativar Peer Primário (Padrão)

Para fazer a configuração de um peer primário, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. peer {ip address | hostname} [default]

5. idle-time idle-time

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

crypto ipsec client ezvpn name

Exemplo:

Router (config)# crypto ipsec client ezvpn ez1

Cria uma configuração remota do Cisco Easy VPN e entra no modo de configuração criptografado do Cisco Easy VPN.

Etapa 4 

peer {ip address | hostname} [default]

Exemplo:

Router (config-crypto-ezvpn)# peer 10.2.2.2 default

Configura o endereço IP ou um nome do host do peer para a conexão VPN.

O nome do host poderá ser especificado somente quando o router possuir um servidor DNS disponível para a resolução do nome do host.

O sub-comando peer pode ser inserido diversas vezes. Entretanto, poderá haver somente uma entrada de peer padrão ou primário por vez (por exemplo, padrão 10.2.2.2).

A palavra-chave default define o peer como primário.

Etapa 5 

idle-time idle-time

Exemplo:

Router (config-crypto-ezvpn)# idle-time 60

(Opcional) Tempo de ociosidade em segundos após a desativação do túnel Easy VPN.

Tempo de ociosidade=60 a 86.400 segundos.

Observação Se o tempo de ociosidade for configurado, o túnel para o servidor primário não será desativado.

Tarefas do Easy VPN Server

Configurando em Cisco IOS Easy VPN Server

Para informações sobre a configuração do Easy VPN Server, observe o seguinte documento:

Easy VPN Server

Configurando um Easy VPN Server em um VPN 3000 Series Concentrator

Essa seção descreve as diretrizes necessárias para fazer a configuração da série de concentradores Cisco VPN 3000 para utilização com o recurso Cisco Easy VPN Remote. Como regra geral, é possível utilizar a configuração padrão, exceto para endereços IP, endereços de servidor, configurações de roteamento e para os seguintes parâmetros e opções:

Configuração de Peer em um Cisco Easy VPN Remote Utilizando o Nome do Host

Interactive Hardware Client Authentication Versão 3.5

Protocolo de Túnel IPsec

Grupo IPsec

Bloqueio de Grupo

Xauth

Divisão de túnel

Propostas IKE

Nova SA IPsec


Observação É necessário utilizar um software concentrador da série Cisco VPN 3000 Versão 3.11, ou posterior, para suportar os clientes e dispositivos remotos do software Cisco Easy VPN.


Configuração de Peer em um Cisco Easy VPN Remote Utilizando o Nome do Host

Depois de fazer a configuração do servidor Cisco Easy VPN no concentrador VPN 3000 para utilizar o nome do host como identificação, é preciso fazer a configuração do peer no dispositivo remoto Cisco Easy VPN utilizando o nome do host. Você pode fazer a configuração do DNS no cliente para resolver o nome do host peer ou fazer a configuração do nome de host do peer localmente no cliente usando o comandoip host . Por exemplo, é possível fazer a configuração do nome do host do peer localmente no Easy VPN remoto, como mostra a seguir:

ip host crypto-gw.cisco.com 10.0.0.1

Ou, ainda, é possível fazer a configuração do Easy VPN remoto para utilizar o nome do host com o comando peer e o argumento hostname como mostra a seguir:

peer crypto-gw.cisco.com.

Interactive Hardware Client Authentication Versão 3.5

O recurso Cisco Easy VPN Remote não suporta o recurso Interactive Hardware Client Authentication Versão 3.5 . Esse recurso pode ser desabilitado. Você pode desativar o recurso no concentrador da série VPN 3000 clicando na guia HW Client na tela Configuration | User Management | Base Group (Configuração | Gerenciamento de Usuários | Grupo Básico).

Protocolo de Túnel IPsec

O Protocolo de Túnel IPSec habilita o túnel IPSec para que ele fique disponível para os usuários. O Protocolo de Túnel IPsec é configurado no concentrador da série Cisco VPN 3000 ao clicar na guia Geral da tela Configuration | User Management | Base Group (Configuração | Gerenciamento de Usuário | Grupo Básico).

Grupo IPsec

O grupo IPSec configura o concentrador da série VPN 3000 com um nome de grupo e uma senha que correspondam aos valores configurados para o Cisco Easy VPN remoto no router. Esses valores são configurados no router com o sub-comando e argumentos group group-name key group-key . Os valores são configurados no concentrador da série Cisco VPN 3000 utilizando a tela Configuration | User Management | Groups (Configuração | Gerenciamento de Usuário | Grupo Básico) .

Bloqueio de Grupo

Ao definir usuários múltiplos em vários grupos no concentrador da série VPN 3000, selecione a caixa Bloqueio de Grupo na guia IPsec para impedir que os usuários de um grupo se registrem com os parâmetros de outro grupo. Por exemplo, se um grupo foi configurado para acesso de tunelamento dividido e o outro sem este acesso, clique na caixa Bloqueio de Grupo para impedir que os usuários do segundo grupo obtenham acesso aos recursos de tunelamento dividido. A caixa de seleção Bloqueio de Grupo é exibida na guia IPsec da tela Configuration | User Management | Base Group (Configuração | Gerenciamento de Usuário | Grupo Básico) e na guia IPsec da tela Configuration | User Management | Groups | Add/Modify (Configuração |Gerenciamento de Usuário | Grupos | Adicionar/Alterar) .

Xauth

Para utilizar a autenticação Xauth, configure o parâmetro Authentication para None. O parâmetro Authentication é exibido na guia IPsec da tela Configuration | User Management | Base Group (Configuração | Gerenciamento de Usuário | Grupo Básico) e na guia IPsec das telas Configuration | User Management | Groups | Add/Modify (Configuração | Gerenciamento de Usuário | Grupos | Adicionar/Alterar) .

Divisão de túnel

A tela Configuration | User Management | Base Group, Mode Configuration Parameters Tab (Configuração | Gerenciamento de Usuário | Grupo Básico, Guia de Parâmetros de Modo de Configuração) inclui a opção Split Tunnel (Tunelamento Dividido), com a caixa de seleção "Allow the networks in the list to bypass the tunnel" (Permitir que as redes da lista desviem-se do túnel).

Propostas IKE

O concentrador da série Cisco VPN 3000 é pré-configurado com a proposta IKE padrão CiscoVPNClient-3DES-MD5, que pode ser utilizada com os dispositivos remotos Cisco Easy VPN. Essa proposta IKE suporta as chaves pré-compartilhadas com autenticação estendida (Xauth), utilizando o algoritmo MD5/HMAC-128 e o Diffie-Hellman Grupo 2.

Essa proposta fica ativa por padrão, mas é preciso verificar se ainda está ativa utilizando a tela Configuration | System | Tunneling Protocols | IPSec | IKE Proposals (Configuração | Sistema | Protocolos de Tunelamento | IPSec | Propostas IKE).

Além disso, como parte da configuração do concentrador da série Cisco VPN 3000—para a imagem do Cisco Easy VPN Remote, não é necessário criar uma nova SA IPsec. Utilize a duração padrão IKE e Easy VPN remoto, configurada no concentrador da série Cisco VPN 3000.


Observação Também é possível utilizar as propostas IKE padrão IKE-DES-MD5 e IKE-3DES-MD5, mas elas não incluem suporte a Xauth por padrão.


Nova SA IPsec

Você pode criar um novo IPsec SA. Os clientes do Cisco Easy VPN utilizam uma SA com os seguintes parâmetros:

Authentication Algorithm=ESP/MD5/HMAC-128

Encryption Algorithm=DES-56 or 3DES-168 (recomendado)

Encapsulation Mode=Tunnel

IKE Proposal=CiscoVPNClient-3DES-MD5 (preferencial)

O concentrador da série Cisco VPN 3000 é pré-configurado com várias associações de segurança (SAs) padrão, mas elas não atendem aos requisitos da proposta IKE. Para utilizar uma proposta IKE CiscoVPNClient-3DES-MD5, copie a SA ESP/IKE-3DES-MD5 e a modifique para utilizar o CiscoVPNClient-3DES-MD5 como sua proposta IKE. A proposta IKE será configurada no concentrador da série VPN 3000 utilizando a tela Configuration | Policy Management | Traffic Management | Security Associations (Configuração I Gerenciamento de Política I Gerenciamento de Tráfego I Associações de Segurança) .

Configurando um Easy VPN Server em um Cisco PIX Firewall

Para informações sobre a configuração do Easy VPN Server em um Cisco PIX Firewall, observe o seguinte documento:

Easy VPN Server

Tarefas de Interface da Web

Configurando Ativação Com Base na Web

Para fazer a configuração de uma LAN de modo que as requisições HTTP originadas de um PC de LAN privada sejam interceptadas, fornecendo aos usuários da empresa o acesso à página corporativa da Web, siga as seguintes etapas.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. xauth userid mode {http-intercept | interactive | local}

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

crypto ipsec client ezvpn name

Exemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Atribui uma configuração remota do Cisco Easy VPN a uma interface e entra no modo de configuração do Cisco Easy VPN Remote.

O argumento name especifica o nome da configuração a ser atribuída à interface.

Etapa 4 

xauth userid mode {http-intercept | interactive | local}

Exemplo:

Router (config-crypto-ezvpn)# xauth userid mode http-intercept

Especifica como o dispositivo VPN manipula as requisições ou avisos de Xauth a partir do servidor.

Monitoramento e Manutenção da Ativação com Base na Web

Para monitorar e manter a ativação com base na web, siga as seguintes etapas. (Os comandos debug e show podem ser utilizados independentemente ou a configuração pode ser feita para todos.)

RESUMO DAS ETAPAS

1. enable

2. debug crypto ipsec client ezvpn

3. debug ip auth-proxy ezvpn

4. show crypto ipsec client ezvpn

5. show ip auth-proxy config

ETAPAS DETALHADAS

 
Comando
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

debug crypto ipsec client ezvpn

Exemplo:

Router# debug crypto ipsec client ezvpn

Exibe as informações sobre a conexão do Cisco Easy VPN.

Etapa 3 

debug ip auth-proxy ezvpn

Exemplo:

Router# debug ip auth-proxy ezvpn

Exibe informações relacionadas ao comportamento de autenticação do proxy para ativação com base na web.

Etapa 4 

show crypto ipsec client ezvpn

Exemplo:

Router# show crypto ipsec client ezvpn

Demonstra que o nome do usuário e a senha, utilizados como credenciais do usuário durante as negociações de Xauth, serão obtidos pela interceptação de conexões HTTP do usuário.

Etapa 5 

show ip auth-proxy config

Exemplo:

Router# show ip auth-proxy config

Exibe a regra auth-proxy criada e aplicada pelo Easy VPN.

Exemplos

Saída de depurações

A saída debug a seguir é um exemplo de uma situação típica, na qual um usuário abre um navegador e se conecta ao website corporativo:

Router# debug ip auth-proxy ezvpn

Dec 10 12:41:13.335: AUTH-PROXY: New request received by EzVPN WebIntercept
! The following line shows the ip address of the user.
from 10.4.205.205
Dec 10 12:41:13.335: AUTH-PROXY:GET request received
Dec 10 12:41:13.335: AUTH-PROXY:Normal auth scheme in operation
Dec 10 12:41:13.335: AUTH-PROXY:Ezvpn is NOT active. Sending connect-bypass page to user

Nesse momento, o usuário seleciona "connect" em seu navegador:

Dec 10 12:42:43.427: AUTH-PROXY: New request received by EzVPN WebIntercept
from 10.4.205.205
Dec 10 12:42:43.427: AUTH-PROXY:POST request received
Dec 10 12:42:43.639: AUTH-PROXY:Found attribute <connect> in form
Dec 10 12:42:43.639: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:43.639: EZVPN(tunnel22): Communication from Interceptor
  application.
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:43.639:         connect: Connect Now
Dec 10 12:42:43.639: EZVPN(tunnel22): Received CONNECT from 10.4.205.205!
Dec 10 12:42:43.643: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
Dec 10 12:42:43.643: EZVPN(tunnel22): Event: CONNECT
Dec 10 12:42:43.643: EZVPN(tunnel22): ezvpn_connect_request

O Easy VPN acessa o servidor:

Dec 10 12:42:43.643: EZVPN(tunnel22): Found valid peer 192.168.0.1
Dec 10 12:42:43.643: EZVPN(tunnel22): Added PSK for address 192.168.0.1

Dec 10 12:42:43.643: EZVPN(tunnel22): New State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Event: IKE_PFS
Dec 10 12:42:44.815: EZVPN(tunnel22): No state change
Dec 10 12:42:44.819: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.819: EZVPN(tunnel22): Event: CONN_UP
Dec 10 12:42:44.819: EZVPN(tunnel22): ezvpn_conn_up B8E86EC7 E88A8A18 D0D51422
  8AFF32B7

O servidor solicita informações de autenticação Xauth:

Dec 10 12:42:44.823: EZVPN(tunnel22): No state change
Dec 10 12:42:44.827: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.831: EZVPN(tunnel22): Event: XAUTH_REQUEST
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_xauth_request
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_parse_xauth_msg
Dec 10 12:42:44.831: EZVPN: Attributes sent in xauth request message:
Dec 10 12:42:44.831:         XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:44.831:         XAUTH_USER_NAME_V2(tunnel22):
Dec 10 12:42:44.831:         XAUTH_USER_PASSWORD_V2(tunnel22):
Dec 10 12:42:44.831:         XAUTH_MESSAGE_V2(tunnel22) <Enter Username and
Password.>
Dec 10 12:42:44.831: EZVPN(tunnel22): Requesting following info for xauth
Dec 10 12:42:44.831:         username:(Null)
Dec 10 12:42:44.835:         password:(Null)
Dec 10 12:42:44.835:         message:Enter Username and Password.
Dec 10 12:42:44.835: EZVPN(tunnel22): New State: XAUTH_REQ

São solicitados o nome do usuário e a senha no navegador:

Dec 10 12:42:44.835: AUTH-PROXY: Response to POST  is CONTINUE
Dec 10 12:42:44.839: AUTH-PROXY: Displayed POST response successfully
Dec 10 12:42:44.843: AUTH-PROXY:Served POST response to the user

Quando o usuário digita seu nome de usuário e senha, as seguintes informações são enviadas ao servidor:

Dec 10 12:42:55.343: AUTH-PROXY: New request received by EzVPN WebIntercept
  from 10.4.205.205
Dec 10 12:42:55.347: AUTH-PROXY:POST request received
Dec 10 12:42:55.559: AUTH-PROXY:No of POST parameters is 3
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <username> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <password> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <ok> in form
Dec 10 12:42:55.563: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:55.563: EZVPN(tunnel22): Communication from Interceptor application.
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:55.563:         username:http
Dec 10 12:42:55.563:         password:<omitted>
Dec 10 12:42:55.563:         ok:Continue
Dec 10 12:42:55.563: EZVPN(tunnel22): Received usename|password from 10.4.205.205!
Dec 10 12:42:55.567: EZVPN(tunnel22): Current State: XAUTH_PROMPT
Dec 10 12:42:55.567: EZVPN(tunnel22): Event: XAUTH_REQ_INFO_READY
Dec 10 12:42:55.567: EZVPN(tunnel22): ezvpn_xauth_reply
Dec 10 12:42:55.567:         XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:55.567:         XAUTH_USER_NAME_V2(tunnel22): http
Dec 10 12:42:55.567:         XAUTH_USER_PASSWORD_V2(tunnel22): <omitted>
Dec 10 12:42:55.567: EZVPN(tunnel22): New State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Current State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Event: XAUTH_STATUS
Dec 10 12:42:55.891: EZVPN(tunnel22): xauth status received: Success

Depois de utilizar o túnel, o usuário seleciona "Disconnect":

Dec 10 12:48:17.267: EZVPN(tunnel22): Received authentic disconnect credential
Dec 10 12:48:17.275: EZVPN(): Received an HTTP request: disconnect
Dec 10 12:48:17.275: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client)  User=
  Group=tunnel22  Client_public_addr=192.168.0.13  Server_public_addr=192.168.0.1
  Assigned_client_addr=10.3.4.5

Exibir Saída Antes da Conexão do Usuário ao Túnel

A seguinte saída dos comandos show (show crypto ipsec client ezvpn e show ip auth-proxy config) exibe o que será visualizado, antes de o usuário conectar-se a um túnel VPN:

Router# show crypto ipsec client ezvpn tunnel22

Tunnel name : tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: CONNECT_REQUIRED
Last Event: RESET
Save Password: Disallowed
! Note the next line.
        XAuth credentials: HTTP intercepted
        HTTP return code : 200
        IP addr being prompted: 0.0.0.0
Current EzVPN Peer: 192.168.0.1

Router# show ip auth-proxy config

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled

Authentication Proxy Rule Configuration
! Note that the next line is the Easy VPN-defined internal rule.
    Auth-proxy name ezvpn401***
      Applied on Ethernet0
      http list not specified inactivity-timer 60 minutes

Exibir Saída Depois da Conexão do Usuário ao Túnel

A seguinte saída dos comandos show (show crypto ipsec client evpn e show ip auth-proxy config) exibe o que será visualizado, depois de o usuário conectar-se ao túnel:

Router# show crypto ipsec client ezvpn tunnel22

Tunnel name : tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.3.4.5
Mask: 255.255.255.255
Save Password: Disallowed
        XAuth credentials: HTTP intercepted
        HTTP return code : 200
        IP addr being prompted: 192.168.0.0
Current EzVPN Peer: 192.168.0.1

Router# show ip auth-proxy config

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled

Auth-proxy name ezvpnWeb*** (EzVPN-defined internal rule)
http list not specified inactivity-timer 60 minutes

Utilizando SDM como Gerenciador da Web

Para mais informações sobre o gerenciador da web SDM, observe o seguinte documento:

Cisco Security Device Manager

Análise de falhas da Conexão VPN

Análise de falhas de Conexão VPN com o Recurso Cisco Easy VPN Remote

Para análise de falhas de uma conexão VPN criada com o Cisco Easy VPN Remote, utilize as seguintes técnicas sugeridas.

Preste atenção para o fato de que qualquer alteração na configuração ativa do Cisco Easy VPN remoto ou no endereço IP das interfaces envolvidas, tal como a inclusão ou exclusão de uma interface interna, resulte na redefinição da conexão do Cisco Easy VPN Remote.

Habilite a depuração do recurso Cisco Easy VPN Remote inserindo o comando debug crypto ipsec client ezvpn .

Habilite a depuração dos eventos IKE inserindo os comandos debug crypto ipsec e debug crypto isakmp .

Exibir as conexões ativas VPN IPsec inserindo o comando show crypto engine connections active .

Para reconfigurar uma conexão VPN, insira o comando clear crypto ipsec client ezvpn. Se a depuração estiver habilitada, é possível inserir os comandos clear crypto sa e clear crypto isakmp.

Análise de falhas do Modo Cliente de Operação

As seguintes informações podem ser utilizadas para análise de falhas da configuração de Easy VPN Remote para o modo cliente de operação.

No modo cliente, o recurso Cisco Easy VPN Remote configura automaticamente a conversão NAT ou PAT e as listas de acesso necessárias para implementar o túnel VPN. Essas configurações são criadas automaticamente quando a conexão VPN IPsec for iniciada. Quando o túnel for dasativado, a NAT ou PAT e as configurações da lista de acesso são excluídas automaticamente.

A configuração NAT ou PAT é criada com as seguintes suposições:

O comando ip nat inside é aplicado a todas as interfaces, inclusive às interfaces internas padrão. A interface interna padrão é a Ethernet 0 (para os routers Cisco 806, Cisco 826, Cisco 827, Cisco 828, Cisco 831, Cisco 836 e Cisco 837).

O comando ip nat outside é aplicado à interface configurada com o Cisco Easy VPN Remote. Nos routers das séries Cisco 800 e Cisco 1700, a interface externa é configurada com o Cisco Easy VPN Remote. Nos routers das séries Cisco 1700, Cisco 2600, Cisco 3600 e Cisco 3700, é possível fazer a configuração de várias interfaces externas.


Dica As conversões NAT ou PAT e as configurações da lista de acesso, criadas com o recurso Cisco Easy VPN Remote, não são gravadas nos arquivos de configuração inicial e nem nos arquivos de configuração em execução. Essas configurações, entretanto, podem ser exibidas pelos comandos show ip nat statistics e show access-list.


Análise de falhas de Gerenciamento Remoto

Para análise de falhas de gerenciamento remoto do VPN remoto, insira o comando show ip interface. Utilizando a palavra-chave brief, é possível verificar se o circuito fechado foi removido e se a interface está sendo exibida corretamente.

Exemplos

A seguir, observe um exemplo típico da saída do comando show ip interface.

Router# show ip interface brief

Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0                  unassigned      YES NVRAM  administratively down down
Ethernet1                  10.0.0.11       YES NVRAM  up                    up
Loopback0                  192.168.6.1     YES manual up                    up
Loopback1                  10.12.12.12     YES NVRAM  up                    up

Router# show ip interface brief

Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0                  unassigned      YES NVRAM  administratively down down

Ethernet1                  10.0.0.11       YES NVRAM  up                    up

Loopback1                  10.12.12.12     YES NVRAM  up                    up

Análise de falhas de Dead Peer Detection

Para análise de falhas de dead peer detection, insira o comando show crypto ipsec client ezvpn.

Exemplos

A seguinte saída típica exibe o servidor atual e os peers enviados pelo Easy VPN Server:

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 4
Tunnel name : ez1
Inside interface list: Loopback1,
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: CONNECT
Address: 192.168.6.5
Mask: 255.255.255.255
DNS Primary: 10.2.2.2
DNS Secondary: 10.2.2.3
NBMS/WINS Primary: 10.6.6.6
Default Domain: cisco.com
Save Password: Allowed
Current EzVPN Peer:10.0.0.110
Backup Gateways
 (0): green.cisco.com
 (1): blue

Exemplos de Configurações para o Cisco Easy VPN Remote

Esta seção fornece os seguintes exemplos de configurações.

Exemplos de Configurações do Easy VPN Remote

Configuração do Modo Cliente: Exemplos

Suporte de Endereço Local para Easy VPN Remote: Exemplo

Configuração do Modo de Extensão de Rede: Exemplos

Configuração de Salvar Senha: Exemplo

Suporte a PFS: Exemplos

Backup de Discagem: Exemplos

Ativação Com Base na Web: Exemplos

Easy VPN Remote com Configuração de Suporte de Interface Virtual: Exemplos

Configuração de Túnel Duplo: Exemplo

Saída de Exibição de Túnel Duplo: Exemplos

Reativar Peer Primário: Exemplo

Exemplos de Configurações do Easy VPN Server

Cisco Easy VPN Server sem Tunelamento Dividido: Exemplo

Configuração do Cisco Easy VPN Server com Tunelamento Dividido: Exemplo

Configuração do Cisco Easy VPN Server com Xauth: Exemplo

Suporte à Interoperabilidade do Easy VPN Server: Exemplo

Exemplos de Configurações do Easy VPN Remote

Configuração do Modo Cliente: Exemplos

Os exemplos nessa seção exibem as configurações para o recurso Cisco Easy VPN Remote no modo cliente. Também são exibidas as configurações do servidor Cisco IOS VPN que correspondem a essas configurações do cliente.

Cisco Easy VPN Client no Modo Cliente (Cisco 831): Exemplo

Cisco Easy VPN Client no Modo Cliente (Cisco 837): Exemplo

Cisco Easy VPN Client no Modo Cliente (Cisco 1700 Series): Exemplo

Para mais exemplos de configurações do modo cliente, consulte IPSec VPN (nas seções "Documentos Técnicos" e "Documentos de Configuração IPSec Cisco IOS") e Soluções Cisco Easy VPN.


Observação Normalmente, os usuários configuram os routers das séries Cisco 800 as interfaces da web CRWS ou SDM, e não pelos comandos CLI. Entretanto, as configurações exibidas aqui para os routers da série Cisco 800 são típicas e podem ser utilizadas para configuração manual se desejado.


Cisco Easy VPN Client no Modo Cliente (Cisco 831): Exemplo

No seguinte exemplo, um router Cisco 831 é configurado como um Easy VPN remoto utilizando o recurso Cisco Easy VPN Remote no modo cliente. Este exemplo mostra os seguintes componentes da configuração do Cisco Easy VPN Remote:

Pool de servidores DHCP— O comando ip dhcp pool cria um pool de endereços IP a serem atribuídos aos PCs conectados à interface Ethernet 0 do router. O pool atribui endereços no espaço de endereço privado Classe C (192.168.100.0) e configura cada PC para que suas rotas padrão sejam 192.168.100.1, que é o endereço IP atribuído à interface Ethernet do router. O período de aluguel de DHCP é de um dia.

Configuração remota do Cisco Easy VPN—O primeiro comando crypto ipsec client ezvpn easy vpn remote (modo de configuração global) cria uma configuração remota do Cisco Easy VPN denominada "easy vpn remote". Essa configuração especifica o nome do grupo "easy vpn remote-groupname" e o valor da chave compartilhada "easy vpn remote-password," e, ainda, configura o destino do peer para o endereço IP 192.185.0.5 (que é o endereço atribuído à interface conectada à Internet no router do peer de destino). A configuração remota do Cisco Easy VPN é definida para o modo client padrão.


Observação Se o DNS também for configurado no router, a opção peer suportará um nome de host em vez de um endereço IP.


O segundo comando crypto ipsec client ezvpn easy vpn remote (modo de configuração de interface) atribui a configuração do Easy VPN Remote à interface Ethernet 1, de forma que todo o tráfego recebido e transmitido na interface seja enviado pelo túnel VPN.

! Cisco Router Web Setup Template
!
no service pad
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname 806Router
!
!
ip subnet-zero
ip domain-lookup
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.255
   default-router 10.10.10.1
   lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
 peer 192.168.0.5
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode client
!
!
interface Ethernet0
 ip address 10.10.10.1 255.255.255.255
 no cdp enable
 hold-queue 32 in
!
interface Ethernet1
 ip address dhcp
 no cdp enable
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip http server
!
!
ip route 10.0.0.0 10.0.0.0 Ethernet1
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local

Cisco Easy VPN Client no Modo Cliente (Cisco 837): Exemplo

No seguinte exemplo, um router Cisco 837 é configurado como um Easy VPN remoto, utilizando o recurso Cisco Easy VPN Remote no modo cliente de operação. Este exemplo mostra os seguintes componentes da configuração remota do Cisco Easy VPN:

Configuração PPPoE — A interface ATM 0 é configurada para suportar conexões de PPPoE na interface virtual Dialer 1. Como a interface utiliza o PPPoE, não é necessário um pool de endereços IP DHCP para fornecer endereços IP aos PCs conectados.

Configuração do Cisco Easy VPN Remote—O primeiro comando crypto ipsec client ezvpn (modo de configuração global) cria uma configuração remota do Cisco Easy VPN denominada "easy vpn remote". Essa configuração especifica o nome do grupo "easy vpn remote-groupname" e o valor da chave compartilhada "easy vpn remote-password," e, ainda, configura o destino do peer para o endereço IP 10.0.0.5 (que é o endereço atribuído à interface conectada à Internet no router do peer de destino). A configuração remota do Cisco Easy VPN é definida para o modo client padrão.


Observação Se o DNS também for configurado no router, a opção peer suportará um nome de host em vez de um endereço IP.


O segundo comando crypto ipsec client ezvpn (modo de configuração de interface) atribui a configuração do Easy VPN Remote à interface Dialer 1, de forma que todo o tráfego recebido e transmitido na interface seja enviado pelo túnel VPN.

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c827
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
 ip mtu adjust
!!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode client
 peer 10.0.0.5
!!
!
interface Ethernet0
 ip address 10.0.0.117 255.0.0.0
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 1/40
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address 10.0.0.3 255.0.0.0
 ip mtu 1492
 encapsulation ppp
 dialer pool 1
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
ip http server
ip pim bidir-enable
!
line con 0
 stopbits 1
line vty 0 4
 login
!
scheduler max-task-time 5000
end

Cisco Easy VPN Client no Modo Cliente (Cisco 1700 Series): Exemplo

No seguinte exemplo, um router Cisco 1753 é configurado como um Easy VPN remoto, utilizando o recurso Cisco Easy VPN Remote no modo cliente de operação. Esse exemplo exibe a configuração em execução de um Cisco 1753, que apresenta duas interfaces internas e uma interface externa em um túnel. O sub-comando connect auto estabelece manualmente o túnel VPN IPsec.

Router# show running-config

Building configuration...
Current configuration : 881 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname mma-1753
!
!
memory-size iomem 15
ip subnet-zero
!!
!
ip ssh time-out 120
ip ssh authentication-retries 3
! !
!
crypto ipsec client ezvpn easy_vpn_remote
connect auto
group ezvpn key ezvpn
mode client
peer 10.6.6.1
! !
!
interface FastEthernet0/0
ip address 10.4.4.2 255.255.255.0
speed auto
crypto ipsec client ezvpn easy_vpn_remote inside
!
interface Serial0/0
ip address 10.6.6.2 255.255.255.0
no fair-queue
crypto ipsec client ezvpn easy_vpn_remote
!
interface Serial1/0
ip address 10.5.5.2 255.255.255.0
clock rate 4000000
crypto ipsec client ezvpn easy_vpn_remote inside
!
ip classless
no ip http server
ip pim bidir-enable
! !
!
line con 0
line aux 0
line vty 0 4
login
!
end

O seguinte exemplo exibe a configuração em execução de um router Cisco 1760, que possui dois túneis ativos conectados automaticamente: o easy vpn remote1 e o easy vpn remote2. O túnel easy vpn remote1 apresenta uma interface externa e duas interfaces internas configuradas. O túnel easy vpn remote2 apresenta uma interface interna e uma interface externa configuradas. O exemplo também exibe a saída do comando show crypto ipsect client ezvpn, que lista nomes de túneis e as interfaces internas e externas.

Router# show running-config

Building configuration...
Current configuration : 1246 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1760
!
aaa new-model
!
!
aaa session-id common
!
ip subnet-zero
!!
!
crypto ipsec client ezvpn easy_vpn_remote2
connect auto
group ez key ez
mode network-extension
peer 10.7.7.1
crypto ipsec client ezvpn easy_vpn_remote1
connect auto
group ezvpn key ezvpn
mode client
peer 10.6.6.1
! !
!
interface FastEthernet0/0
ip address 10.5.5.2 255.255.255.0
speed auto
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1 inside
!
interface Serial0/0
ip address 10.4.4.2 255.255.255.0
no ip route-cache
no ip mroute-cache
no fair-queue
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1 inside
!
interface Serial0/1
ip address 10.3.3.2 255.255.255.0
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote2 inside
!
interface Serial1/0
ip address 10.6.6.2 255.255.255.0
clockrate 4000000
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1
!
interface Serial1/1
ip address 10.7.7.2 255.255.255.0
no keepalive
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote2
!
ip classless
no ip http server
ip pim bidir-enable
!
!
radius-server retransmit 3
radius-server authorization permit missing Service-Type
!
line con 0
line aux 0
line vty 0 4
!
no scheduler allocate
end


Router# show crypto ipsec client ezvpn

Tunnel name : easy_vpn_remote1
Inside interface list: FastEthernet0/0, Serial0/0,
Outside interface: Serial1/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.0.0.5
Mask: 255.255.255.255
Default Domain: cisco.com
Tunnel name : easy_vpn_remote2
Inside interface list: Serial0/1,
Outside interface: Serial1/1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Default Domain: cisco.com

Suporte de Endereço Local para Easy VPN Remote: Exemplo

O seguinte exemplo exibe o comando local-address, utilizado para especificar a interface de circuito fechado 0 para originar o tráfego do túnel:

Router# configure terminal
Router(config)# crypto ipsec client ezvpn telecommuter-client
Router(config-crypto-ezvpn)# local-address loopback0

Configuração do Modo de Extensão de Rede: Exemplos

Nesta seção, o seguinte exemplo exibe a configuração do recurso Cisco Easy VPN Remote no modo de operação de extensão de rede. Também são exibidas as configurações do servidor Cisco IOS VPN que correspondem a essas configurações do cliente.

Cisco Easy VPN Client no Modo de Extensão de Rede (Cisco 831): Exemplo

Cisco Easy VPN Client no Modo de Extensão de Rede (Cisco 837): Exemplo

Cisco Easy VPN Client no Modo de Extensão de Rede (Cisco 1700 Series): Exemplo

Para mais exemplos de configurações do modo extensão de rede, consulte IPSec VPN (nas seções "Documentos Técnicos" e "Documentos de Configuração Cisco IOS IPSec") e Soluções Cisco Easy VPN.

Cisco Easy VPN Client no Modo de Extensão de Rede (Cisco 831): Exemplo

No seguinte exemplo, um router Cisco 831 é configurado como um Easy VPN remoto utilizando o recurso Cisco Easy VPN Remote. Este exemplo mostra os seguintes componentes da configuração remota do Cisco Easy VPN:

Um endereço é atribuído à interface Ethernet 0 no espaço de endereço da rede do servidor Cisco IOS Easy VPN. O comando ip route direciona todo o tráfego para esse espaço da rede a partir da interface Ethernet 1 para o servidor de destino.

Configuração do Cisco Easy VPN Remote—O primeiro comando crypto ipsec client ezvpn (modo de configuração global) cria uma configuração remota do Cisco Easy VPN denominada "easy vpn remote". Essa configuração especifica o nome do grupo "easy vpn remote-groupname" e o valor da chave compartilhada "easy vpn remote-password," e, ainda, configura o destino do peer para o endereço IP 192.185.0.5 (que é o endereço atribuído à interface conectada à Internet no router do peer de destino). A configuração remota do Cisco Easy VPN é definida no modo network extension.


Observação Se o DNS também for configurado no router, a opção peer suportará um nome de host em vez de um endereço IP.


O segundo comando crypto ipsec client ezvpn (modo de configuração de interface) atribui a configuração do Easy VPN Remote à interface Ethernet 1, de forma que todo o tráfego recebido e transmitido na interface seja enviado pelo túnel VPN.

! Cisco Router Web Setup Template
!
no service pad
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
!
ip subnet-zero
ip domain-lookup
!
!
ip dhcp excluded-address 172.31.1.1
!
ip dhcp pool localpool
   import all
   network 172.31.1.0 255.255.255.255
   default-router 172.31.1.1
   lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
 peer 192.168.0.5
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension
!
!
interface Ethernet0
 ip address 172.31.1.1 255.255.255.255
 no cdp enable
 hold-queue 32 in
!
interface Ethernet1
 ip address dhcp
 no cdp enable
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 172.31.0.0 255.255.255.255 Ethernet1
ip http server
!
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local

Cisco Easy VPN Client no Modo de Extensão de Rede (Cisco 837): Exemplo

No seguinte exemplo, um router Cisco 837 é configurado como um Easy VPN remoto utilizando o recurso Cisco Easy VPN Remote no modo cliente. Este exemplo mostra os seguintes componentes da configuração remota do Cisco Easy VPN:

Configuração PPPoE — A interface ATM 0 é configurada para suportar conexões de PPPoE na interface virtual Dialer 1. Como a interface utiliza o PPPoE, não é necessário um pool de endereços IP DHCP para fornecer endereços IP aos PCs conectados.

Um endereço é atribuído à interface Ethernet 0 no espaço de endereço da rede do servidor Cisco IOS Easy VPN. O comando ip route direciona todo o tráfego para esse espaço da rede, a partir da interface Dialer 1 para o servidor de destino.

Configuração do Cisco Easy VPN Remote—O primeiro comando crypto ipsec client ezvpn (modo de configuração global) cria uma configuração remota do Cisco Easy VPN denominada "easy vpn remote". Essa configuração especifica o nome do grupo "easy vpn remote-groupname" e o valor da chave compartilhada "easy vpn remote-password" e, ainda, configura o destino do peer para o endereço IP 10.0.0.5 (que é o endereço atribuído à interface conectada à Internet no router do peer de destino). A configuração remota do
Cisco Easy VPN é definida para o modo network extension padrão.


Observação Se o DNS também for configurado no router, a opção peer suportará um nome de host em vez de um endereço IP.


O segundo comando crypto ipsec client ezvpn (modo de configuração de interface) atribui a configuração do
Cisco Easy VPN Remote à interface Dialer1, de forma que todo o tráfego recebido e transmitido na interface seja enviado pelo túnel VPN.

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c827
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
 ip mtu adjust
!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension
 peer 10.0.0.5
!
!
interface Ethernet0
 ip address 172.16.0.30 255.255.255.192
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 1/40
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address 10.0.0.3 255.0.0.0
 ip mtu 1492
 encapsulation ppp
 dialer pool 1
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 172.16.0.0 255.255.255.128 Dialer1
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
ip http server
ip pim bidir-enable
!
line con 0
 stopbits 1
line vty 0 4
 login
!
scheduler max-task-time 5000

Cisco Easy VPN Client no Modo de Extensão de Rede (Cisco 1700 Series): Exemplo

No seguinte exemplo, um router da série Cisco 1700 é configurado como um Easy VPN remoto, utilizando o recurso Cisco Easy VPN Remote no modo de operação de extensão de rede. Este exemplo mostra os seguintes componentes da configuração remota do Cisco Easy VPN:

Configuração do Cisco Easy VPN Remote—O primeiro comando crypto ipsec client ezvpn (modo de configuração global) cria uma configuração remota do Cisco Easy VPN denominada "easy vpn remote". Essa configuração determina o nome do grupo "easy vpn remote-groupname" e o valor da chave compartilhada "easy vpn remote-password" e, ainda, configura o destino do peer para o endereço IP 10.0.0.2 (que é o endereço atribuído à interface conectada à Internet no router do peer de destino). A configuração remota do Cisco Easy VPN é definida no modo network extension .


Observação Se o DNS também for configurado no router, a opção peer suportará um nome de host em vez de um endereço IP.


O segundo comando crypto ipsec client ezvpn easy vpn remote (modo de configuração de interface) atribui a configuração do Cisco Easy VPN Remote à interface Ethernet 0, de forma que todo o tráfego recebido e transmitido na interface seja enviado pelo túnel VPN.

!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1710
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
!
ip dhcp excluded-address 10.0.0.10
!
ip dhcp pool localpool
   import all
   network 10.70.0.0 255.255.255.248
   default-router 10.70.0.10
   lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension
 peer 10.0.0.2
!
!
interface Ethernet0
 ip address 10.50.0.10 255.0.0.0
 half-duplex
 crypto ipsec client ezvpn easy_vpn_remote
!
interface FastEthernet0
 ip address 10.10.0.10 255.0.0.0
 speed auto
!
ip classless
ip route 10.20.0.0 255.0.0.0 Ethernet0
ip route 10.20.0.0 255.0.0.0 Ethernet0
no ip http server
ip pim bidir-enable
!!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login

Configuração de Salvar Senha: Exemplo

A seguinte saída show running-config mostra que o recurso Salvar Senha foi configurado (observe o comando password encryption aes e a palavra-chave username na saída):

Router# show running-config

133.CABLEMODEM.CISCO: Oct 28 18:42:07.115: %SYS-5-CONFIG_I: Configured from console by
consolen
Building configuration...
Current configuration : 1269 bytes
!
! Last configuration change at 14:42:07 UTC Tue Oct 28 2003
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
clock timezone UTC -4
no aaa new-model
ip subnet-zero
no ip routing
!
!
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
password encryption aes
!
!
no crypto isakmp enable
!
!
crypto ipsec client ezvpn remote_vpn_client
 connect auto
 mode client
 username greentree password  6 ARiFgh`SOJfMHLK[MHMQJZagR\M
!
!
interface Ethernet0
 ip address 10.3.66.4 255.255.255.0
 no ip route-cache
 bridge-group 59

Suporte a PFS: Exemplos

A saída do seguinte comando show crypto ipsec client ezvpn exibe o nome do grupo ("2") e que o PFS está sendo utilizado:

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 4

Tunnel name : ez1
Inside interface list: Loopback1,
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.6.6
Mask: 255.255.255.255
Using PFS Group: 2
Save Password: Allowed
Current EzVPN Peer:10.0.0.110

Observe que em um servidor Cisco IOS EasyVPN, o PFS deverá ser incluído nas propostas de IPsec ao incluir ao mapa de criptografia, como mostra o seguinte exemplo:

crypto dynamic-map mode 1
 set security-association lifetime seconds 180
 set transform-set client
 set pfs group2
 set isakmp-profile fred
 reverse-route

Backup de Discagem: Exemplos

Endereçamento IP Estático

O seguinte exemplo exibe se o endereçamento IP estático para o router Cisco 1711 foi configurado:

Router# show running-config

Building configuration...

Current configuration : 3427 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph4_R5
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip cef
ip ids po max-events 100
ip dhcp-client default-router distance 1
no ftp-server write-enable
!
!
track 123 rtr 3 reachability
!
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec client ezvpn backup_profile_vpn3k
 connect auto
 group hw_client_groupname key password123
 mode client
 peer 10.0.0.5
 username rchu password  password123
crypto ipsec client ezvpn hw_client_vpn3k
 connect auto
 group hw_client_groupname key password123
 backup backup_profile_vpn3k track 123
 mode client
 peer 10.0.0.5
 username rchu password password123
!
!
interface Loopback0
 ip address 10.40.40.50 255.255.255.255
!
interface Loopback1
 ip address 10.40.40.51 255.255.255.255
!
interface Loopback2
 no ip address
!
interface FastEthernet0
 description Primary Link to 10.0.0.2
 ip address 10.0.0.10 255.255.255.0
 duplex auto
 speed auto
 no cdp enable
 crypto ipsec client ezvpn hw_client_vpn3k
!
interface FastEthernet1
 no ip address
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 no ip address
 no cdp enable
!
interface FastEthernet3
 no ip address
 no cdp enable
!
interface FastEthernet4
 no ip address
 no cdp enable
!
interface Vlan1
 ip address 10.0.0.1 255.255.255.0
 crypto ipsec client ezvpn backup_profile_vpn3k inside
 crypto ipsec client ezvpn hw_client_vpn3k inside
!
interface Async1
 description Backup Link
 no ip address
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 dialer in-band
 dialer pool-member 1
 dialer-group 1
 async default routing
 async mode dedicated
!
interface Dialer1
 ip address 10.30.0.1 255.255.255.0
 encapsulation ppp
 no ip route-cache cef
 dialer pool 1
 dialer idle-timeout 60
 dialer string 102
 dialer hold-queue 100
 dialer-group 1
 crypto ipsec client ezvpn backup_profile_vpn3k
!
ip local policy route-map policy_for_rtr
ip classless

ip route 0.0.0.0 0.0.0.0 faste0 track 123


ip route 0.0.0.0 0.0.0.0 Dialer1 240
no ip http server
no ip http secure-server
!
!
ip access-list extended dummy1
 permit ip host 10.0.0.2 host 10.3.0.1
ip access-list extended important_traffic
 permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.10.2 echo
dialer-list 1 protocol ip permit
no cdp run
!
route-map policy_for_rtr permit 10
 match ip address 112
 set interface Null0
 set ip next-hop 10.0.10.2
!
!
control-plane
!
rtr 2
 type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 2 life forever start-time now
rtr 3
 type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 3 life forever start-time now
!
line con 0
 exec-timeout 0 0
line 1
 modem InOut
 modem autoconfigure discovery
 transport input all
 autoselect ppp
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 password lab
!

DHCP Configurado na Interface Primária e PPP Assíncrono como Backup

O seguinte exemplo exibe se um router Cisco 1711 foi configurado de modo que o DHCP seja configurado na interface primária e o modo PPP assíncrono seja configurado como backup:

Router# show running-config

Building configuration...

Current configuration : 3427 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph4_R5
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip cef
ip ids po max-events 100
ip dhcp-client default-router distance 1
no ftp-server write-enable
!
!
track 123 rtr 3 reachability
!
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec client ezvpn backup_profile_vpn3k
 connect auto
 group hw_client_groupname key password123
 mode client
 peer 10.0.0.5
 username rchu password  password123
crypto ipsec client ezvpn hw_client_vpn3k
 connect auto
 group hw_client_groupname key password123
 backup backup_profile_vpn3k track 123
 mode client
 peer 10.0.0.5
 username rchu password  password123
!
!
interface Loopback0
 ip address 10.40.40.50 255.255.255.255
!
interface Loopback1
 ip address 10.40.40.51 255.255.255.255
!
interface Loopback2
 no ip address
!
interface FastEthernet0
 description Primary Link to 10.0.0.2
 ip dhcp client route track 123
 ip address dhcp
 duplex auto
 speed auto
 no cdp enable
 crypto ipsec client ezvpn hw_client_vpn3k
!
interface FastEthernet1
 no ip address
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 no ip address
 no cdp enable
!
interface FastEthernet3
 no ip address
 no cdp enable
!
interface FastEthernet4
 no ip address
 no cdp enable
!
interface Vlan1
 ip address 10.0.0.1 255.255.255.0
 crypto ipsec client ezvpn backup_profile_vpn3k inside
 crypto ipsec client ezvpn hw_client_vpn3k inside
!
interface Async1
 description Backup Link
 no ip address
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 dialer in-band
 dialer pool-member 1
 dialer-group 1
 async default routing
 async mode dedicated
!
interface Dialer1
 ip address 10.0.0.3 255.255.255.0
 encapsulation ppp
 no ip route-cache cef
 dialer pool 1
 dialer idle-timeout 60
 dialer string 102
 dialer hold-queue 100
 dialer-group 1
 crypto ipsec client ezvpn backup_profile_vpn3k
!
ip local policy route-map policy_for_rtr
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1 240
no ip http server
no ip http secure-server
!
!
ip access-list extended dummy1
 permit ip host 10.10.0.2 host 10.0.0.1
ip access-list extended important_traffic
 permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.0.2 echo
dialer-list 1 protocol ip permit
no cdp run
!
route-map policy_for_rtr permit 10
 match ip address 112
 set interface Null0
 set ip next-hop 10.0.0.2
!
!
control-plane
!
rtr 2
 type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 2 life forever start-time now
rtr 3
 type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 3 life forever start-time now
!
line con 0
 exec-timeout 0 0
line 1
 modem InOut
 modem autoconfigure discovery
 transport input all
 autoselect ppp
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 password lab
!

Ativação Com Base na Web: Exemplos

O seguinte exemplo exibe se as conexões HTTP do usuário devem ser interceptadas e se o usuário pode efetuar a autenticação com base na web (o dispositivo cliente VPN é o 192.0.0.13 e o 192.0.0.1 é o servidor):

crypto ipsec client ezvpn tunnel22
  connect manual
  group tunnel22 key 22tunnel
  mode client
  peer 192.168.0.1
  xauth userid mode http-intercept
!
!
interface Ethernet0
  ip address 10.4.23.15 255.0.0.0
  crypto ipsec client ezvpn tunnel22 inside!
interface Ethernet1
  ip address 192.168.0.13 255.255.255.128
  duplex auto
  crypto ipsec client ezvpn tunnel22
!

Easy VPN Remote com Configuração de Suporte de Interface Virtual: Exemplos

Os seguintes exemplos indicam que o Suporte da Interface Virtual IPsec foi configurado nos dispositivos Easy VPN remoto.

Interface Virtual IPsec: Acesso Virtual Genérico

O seguinte exemplo exibe um dispositivo Easy VPN remoto com suporte de interface virtual, utilizando uma interface IPsec de acesso virtual genérico.

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
no ip dhcp use vrf connected
!
!
crypto ipsec client ezvpn ez
 connect manual
 group easy key cisco
 mode client
 peer 10.3.0.2
 virtual-interface
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 10.1.0.2 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez inside
!
interface Ethernet1/0
 ip address 10.2.0.1 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
no ip http server
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

Interface Virtual IPsec: Acesso Virtual Derivado do Modelo Virtual

O seguinte exemplo exibe um dispositivo Easy VPN remoto com suporte de interface virtual, utilizando uma interface IPsec de acesso virtual derivado de modelo virtual:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
no ip dhcp use vrf connected
!
!
crypto ipsec client ezvpn ez
 connect manual
 group easy key cisco
 mode client
 peer 10.3.0.2
 virtual-interface 1
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 10.1.0.2 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez inside
!
interface Ethernet1/0
 ip address 10.2.0.1 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez
!
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
no ip http server
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

Quando o Túnel Estiver Desativado

O resultado da configuração da interface virtual no perfil Easy VPN é a criação de uma interface de acesso virtual. Essa interface fornece o encapsulamento IPsec. A seguinte saída exibe a configuração da interface de acesso virtual quando o Easy VPN estiver "desativado".

Router# show running-config interface virtual-access 2

Building configuration...

Current configuration : 99 bytes
!
interface Virtual-Access2
 no ip address
 tunnel source Ethernet1/0
 tunnel mode ipsec ipv4
end

A configuração da interface virtual resulta na criação de uma interface de acesso virtual. Essa interface de acesso virtual é criada automaticamente fora da interface do perfil Easy VPN. As rotas adicionadas posteriormente quando os túneis de Easy VPN surgirem, direcionam para essa interface virtual para o envio de pacotes à rede corporativa. Se o comando crypto ipsec client ezvpn name outside (crypto ipsec client ezvpn name e a palavra-chave outside) forem aplicados numa interface real, esta será utilizada como ponto final de IKE (IPsec) (ou seja, os pacotes IKE e IPsec utilizam o endereço na interface como endereço de origem).

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5

Tunnel name : ez
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.3.0.2

Como a interface virtual, assim como qualquer outra interface, é roteável, as rotas atuarão como seletores de tráfego. Quando o túnel Easy VPN estiver "desativado", não há rotas que apontam para a interface virtual, como mostra o seguinte exemplo:

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.0.2 to network 0.0.0.0

     10.0.0.0/24 is subnetted, 2 subnets
C       10.2.0.0 is directly connected, Ethernet1/0
C       10.1.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [2/0] via 10.2.0.2

Quando o Túnel Estiver Ativado

No caso do modo plus de cliente ou rede, o Easy VPN cria uma interface de circuito fechado e atribui o endereço que é forçado na configuração de modo. Para atribuir o endereço do circuito de retorno à interface, utilize o comando ip unnumbered (ip unnumbered loopback). No caso do modo de extensão de rede, o acesso virtual será configurado como ip unnumbered ethernet0 (interface limite).

Router# show running-config interface virtual-access 2

Building configuration...

Current configuration : 138 bytes
!
interface Virtual-Access2
 ip unnumbered Loopback0
 tunnel source Ethernet1/0
 tunnel destination 10.3.0.2
 tunnel mode ipsec ipv4
end

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5

Tunnel name : ez
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.5.0.2
Mask: 255.255.255.255
DNS Primary: 10.6.0.2
NBMS/WINS Primary: 10.7.0.1
Default Domain: cisco.com
Using PFS Group: 2
Save Password: Disallowed
Split Tunnel List: 1
       Address    : 10.4.0.0
       Mask       : 255.255.255.0
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0
Current EzVPN Peer: 10.3.0.2

Quando os túneis surgirem, o Easy VPN adiciona uma rota padrão que aponta para a interface de acesso virtual ou rotas para todos os atributos divididos das sub-redes, que apontam para essa interface. O Easy VPN também adiciona uma rota ao peer (destino ou concentrador), se este não estiver conectado diretamente ao dispositivo Easy VPN.


O seguinte exemplo da saída do comando show ip route se destina a situações da interface IPsec virtual, em que um atributo de túnel dividido foi enviado pelo servidor, sem que esse atributo tenha sido efetivamente enviado.

Atributo de Túnel Dividido Enviado pelo Servidor

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.0.2 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C       10.2.0.0/24 is directly connected, Ethernet1/0
S       10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0  <<< Route to
 peer (EzVPN server)
C       10.1.0.0/24 is directly connected, Ethernet0/0
C       10.5.0.2/32 is directly connected, Loopback0
S       10.4.0.0/24 [1/0] via 0.0.0.0, Virtual-Access2  <<< Split
tunnel attr sent by the server
S*   10.0.0.0/0 [2/0] via 10.2.0.2

Atributo de Túnel Dividido Não Enviado pelo Servidor

Todas as redes no atributo dividido devem ser exibidas, como mostra o seguinte exemplo:

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C       10.2.0.0/24 is directly connected, Ethernet1/0
! The following line is the route to the peer (the Easy VPN server).
S       10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0
C       10.1.0.0/24 is directly connected, Ethernet0/0
C       10.5.0.3/32 is directly connected, Loopback0
! The following line is the default route.
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access2

Configuração de Túnel Duplo: Exemplo

O seguinte exemplo mostra uma configuração típica de túnel duplo:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password lab
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
!
!
username lab password 0 lab
!
!
crypto ipsec client ezvpn ezvpn1
 connect manual
 group easy key cisco
 mode network-extension
 peer 10.75.1.2
 virtual-interface 1
 xauth userid mode interactive
crypto ipsec client ezvpn ezvpn2
 connect manual
 group easy key cisco
 mode network-extension
 peer 10.75.2.2
 virtual-interface 1
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.255
 no keepalive
 crypto ipsec client ezvpn ezvpn1 inside
 crypto ipsec client ezvpn ezvpn2 inside
!
interface Ethernet0/1
 no ip address
 shutdown
!
interface Ethernet0/2
 no ip address
 shutdown
!
interface Ethernet0/3
 no ip address
 shutdown
!
interface Ethernet1/0
 ip address 10.76.1.2 255.255.255.0
 no keepalive
 crypto ipsec client ezvpn ezvpn1
 crypto ipsec client ezvpn ezvpn2
!
interface Serial2/0
 ip address 10.76.2.2 255.255.255.0
 no keepalive
 serial restart-delay 0
!
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
!
ip classless
ip route 10.0.0.0 10.0.0.0 10.76.1.1 2
no ip http server
no ip http secure-server
!
!
no cdp run
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login local
!
end

Saída de Exibição de Túnel Duplo: Exemplos

O seguinte comando show exibe informações sobre as três fases da ativação de um túnel duplo:

Primeiro: Túnel Easy VPN é Ativado

Segundo: Túnel Easy VPN é Iniciado

Ambos os túneis Easy VPN são Ativados

Antes de os Túneis EzVPN Serem Ativados

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

O gateway do último recurso é 10.76.1.1 para rede 0.0.0.0.

10.0.0.0/24 is subnetted, 2 subnets
C       10.76.2.0 is directly connected, Serial2/0
C       10.76.1.0 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [2/0] via 10.76.1.1

Observação A métrica da rota padrão deve ser maior que 1, de modo que essa rota adicionada posteriormente pelo Easy VPN tenha prioridade e o tráfego flua para a interface de acesso virtual Easy VPN.


Túnel Easy VPN "ezvpn2" Ativo

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

O gateway do último recurso é 0.0.0.0 para a rede 0.0.0.0.

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
! The next line is the Easy VPN route.
S       10.75.2.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route.
S*   0.0.0.0/0 [1/0] via 0.0.0.0, Virtual-Access3

Uma rota padrão e uma rota para o peer são incluídos, como mostrado acima.

Easy VPN "ezvpn2" Ativo e Easy VPN "ezvpn1" Iniciado

Router# crypto ipsec client ezvpn connect ezvpn1

Router# show crypto ipsec cli ent ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: READY
Last Event: CONNECT
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

O gateway do último recurso é 10.0.0.0 para rede 10.0.0.0.

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
S       10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router.
S       10.75.1.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3

A rota para o 10.75.1.2 é adicionada antes de o túnel Easy VPN "ezvpn1" ser ativado. Essa rota destina-se ao peer 10.75.1.2. Easy VPN "ezvpn1".

Ambos os Túneis Ativos

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Split Tunnel List: 1
       Address    : 192.168.3.0
       Mask       : 255.255.255.255
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

O gateway do último recurso é 10.0.0.0 para rede 10.0.0.0.

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
! The next line is the Easy VPN router (ezvpn2).
S       10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router (ezvpn1).
S       10.75.1.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route (ezvpn1).
S    192.168.3.0/24 [1/0] via 0.0.0.0, Virtual-Access2
! The next line is the Easy VPN (ezvpn2).
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3

A rota para o túnel dividido "192.168.3.0/24", que aponta para o Virtual-Access2, é adicionada ao túnel Easy VPN "ezvpn", conforme exibido na saída show acima.

Reativar Peer Primário: Exemplo

A seguinte exibição indica que o recurso de peer primário padrão foi ativado. O peer primário padrão é 10.3.3.2.

Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 6

Tunnel name : ezc
Inside interface list: Loopback0
Outside interface: Ethernet0/0
Current State: IPSEC_ACTIVE
Primary EzVPN Peer: 10.3.3.2, Last Tried: Dec 30 07:21:23.071
Last Event: CONN_UP
Address: 10.7.7.1
Mask: 255.255.255.255
DNS Primary: 10.1.1.1
NBMS/WINS Primary: 10.5.254.22
Save Password: Disallowed
Current EzVPN Peer: 10.4.4.2

23:52:44: %CRYPTO-6-EZVPN_CONNECTION_UP(Primary peer):
        User: lab, Group: hw-client-g
        Client_public_addr=10.4.22.103, Server_public_addr=10.4.23.112
        Assigned_client_addr=10.7.7.1

Exemplos de Configurações do Easy VPN Server

Esta seção descreve as configurações básicas do servidor Cisco Easy VPN, que suportam as configurações do Cisco Easy VPN remoto fornecidas nas seções anteriores. Para informações completas sobre a configuração desses servidores, consulte Easy VPN Server para o Cisco IOS Versão 12.3(7)T, disponível no site Cisco.com.

Cisco Easy VPN Server sem Tunelamento Dividido: Exemplo

Configuração do Cisco Easy VPN Server com Tunelamento Dividido: Exemplo

Configuração do Cisco Easy VPN Server com Xauth: Exemplo

Suporte à Interoperabilidade do Easy VPN Server: Exemplo

Cisco Easy VPN Server sem Tunelamento Dividido: Exemplo

O seguinte exemplo exibe o servidor Cisco Easy VPN, que é o router do peer de destino para as configurações do modo de extensão de rede do Cisco Easy VPN remoto, ilustradas anteriormente nessa seção. Além dos outros comandos de configuração IPsec, o comando crypto isakmp client configuration group define os atributos ao grupo VPN, especificados para o router Easy VPN remoto. Esses incluem um valor de chave correspondente (easy vpn remote password) e os parâmetros de roteamento apropriados, tais como o servidor DNS para os dispositivos Easy VPN remotos.

Para suportar o modo de operação de extensão de rede, o comando ip route instrui o direcionamento dos pacotes de entrada para a rede 172.168.0.0, a partir da interface de modem a cabo para o Cisco Easy VPN remoto. Outros comandos ip route podem ser necessários, dependendo da topologia da rede.


Observação Esse exemplo exibe um router de acesso a cabo Cisco uBR925, mas, normalmente, o Easy VPN remoto de destino é um router, tal como o concentrador Cisco VPN 3000 ou um router Cisco IOS, que suporta o recurso Easy VPN Server.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.128
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
! Add the appropriate ip route commands for network-extension mode
ip route 172.16.1.0 255.255.255.248 cable-modem0
no ip http server
no ip http cable-monitor
!
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000

Configuração do Cisco Easy VPN Server com Tunelamento Dividido: Exemplo

O seguinte exemplo mostra um servidor Cisco Easy VPN configurado para um tunelamento dividido com um Cisco Easy VPN remoto. Esse exemplo é idêntico ao exibido em " Cisco Easy VPN Server sem Tunelamento Dividido: Exemplo", exceto pela lista de acesso 150, que é atribuída como parte do comando crypto isakmp client configuration group. Essa lista de acesso permite que o Cisco Easy VPN remoto utilize o servidor para acessar uma sub-rede adicional, que não faz parte do túnel VPN, sem comprometer a segurança da conexão IPsec.

Para suportar o modo de extensão de rede, o comando ip route instrui o direcionamento dos pacotes de entrada para a rede 172.168.0.0, a partir da interface de modem a cabo para o Cisco Easy VPN remoto. Outros comandos ip route podem ser necessários, dependendo da topologia da rede.


Observação Esse exemplo exibe um router de acesso a cabo Cisco uBR925, mas, normalmente, o Easy VPN remoto de destino é um router, tal como o concentrador Cisco VPN 3000 ou um router Cisco IOS, que suporta o recurso Easy VPN Server.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
 acl 150
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.255
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
! Add the appropriate ip route commands for network-extension mode
ip route 172.16.1.0 255.255.255.255 cable-modem0
no ip http server
no ip http cable-monitor
!
access-list 150 permit ip 172.16.0.128 10.0.0.127 any
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
end

Configuração do Cisco Easy VPN Server com Xauth: Exemplo

O seguinte exemplo exibe um servidor Cisco Easy VPN server configurado para suportar a autenticação Xauth com o recurso Cisco Easy VPN Remote. Esse exemplo é idêntico ao exibido em " Configuração do Cisco Easy VPN Server com tunelamento dividido: Exemplo", exceto para os seguintes comandos que habilitam e configuram a autenticação Xauth:

aaa authentication login userlist local—Especifica a base de dados do nome do usuário local para a autenticação no momento do registro. Você também pode especificar a utilização de servidores RADIUS usando primeiramente o comando aaa authentication login userlist group radius e especificando os servidores RADIUS utilizando o comando aaa group server radius.

crypto isakmp xauth timeout—Especifica a quantia de tempo, em segundos, para que o usuário digite o nome do usuário e a senha apropriados para autenticar a sessão.

crypto map dynmap client authentication list userlist—Cria um mapa de criptografia chamado "dynmap" que habilita a autenticação Xauth.

username cisco password 7 cisco—Cria uma entrada na base de dados de nome do usuário local para um usuário com o nome "cisco" e uma senha criptografada "cisco". Esse comando deve ser repetido para cada usuário que acessar o servidor.

Os seguintes comandos, que também estão presentes nas configurações não-Xauth, são necessários para a utilização de Xauth:

aaa authorization network easy vpn remote-groupname local—Requer autorização para todas as requisições de serviço relacionadas a rede para os usuários do grupo chamado "easy vpn remote-groupname", utilizando a base de dados local de nome do usuário.

aaa new-model—Especifica que o router deve utilizar os novos comandos de autenticação AAA.

aaa session-id common—Especifica que um ID de sessão exclusivo e comum deve ser utilizado para as sessões AAA.

crypto map dynmap 1 ipsec-isakmp dynamic dynmap—Especifica que o IKE deve ser utilizado para estabelecer as SAs IPsec, utilizando o mapa de criptografia chamado "dynmap" como modelo de política.

crypto map dynmap client configuration address respond—Habilita a negociação IKE, aceitando requisições de quaisquer peers.

crypto map dynmap isakmp authorization list easy vpn remote-groupname—Configura o mapa de criptografia chamado "dynmap" para utilizar o IKE Shared Secret com o grupo chamado "easy vpn remote-groupname".


Dica Essa configuração exibe o servidor configurado para tunelamento dividido, mas a Xauth também pode ser utilizada com configurações de tunelamento não dividido.



Observação Esse exemplo exibe um router de acesso a cabo Cisco uBR925, mas, normalmente, o Easy VPN de destino é um router, tal como o concentrador Cisco VPN 3000 ou um router Cisco IOS que suporta o recurso Easy VPN Server.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authentication login userlist local
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
username cisco password 7 cisco
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
 acl 150
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.128
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
ip route 172.16.1.0 255.255.255.248 cable-modem0
no ip http server
no ip http cable-monitor
!
access-list 150 permit ip 172.16.0.128 0.0.0.127 any
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
end

Suporte à Interoperabilidade do Easy VPN Server: Exemplo

Para informações sobre esse recurso, consulte "Informação Geral sobre IPsec e VPN" na seção" Referências Adicionais" (Gerenciamento de Acesso Remoto VPN).

Referências Adicionais

As seguintes seções apresentam referências relacionadas ao Cisco Easy VPN Remote.

Documentação Relacionada

Tópico Relacionado
Título do Documento

Documentos específicos da plataforma

Cisco 800 series routers

Cisco 800 Series Routers

Guia de Instalação de Hardware do Cisco 806 Router e SOHO 71 Router

Guia de Configuração do Software Cisco 806

Guia de Configuração do Software Cisco 826, 827, 828, 831, 836 e 837 e SOHO 76, 77, 78, 91, 96 e 97 Routers

Guia de Instalação de Hardware do Cisco 826 Router

Guia de Instalação de Hardware do Cisco 827 e SOHO 77 Routers

Guia de Instalação de Hardware do Cisco 827 Router

Guia de Instalação de Hardware do Cisco 828 e SOHO 78 Routers

Router de Banda Larga ADSL Cisco 837

Routers de acesso a cabo Cisco uBR905 e Cisco uBR925

Guia de Instalação de Hardware do Router de Acesso a Cabo Cisco uBR925

Guia de Instalação de Hardware do Cisco uBR905

Guia de Configuração de Software do Router de Acesso a Cabo Cisco uBR905/uBR925

Cartão de Início Rápido de Instalação do Assinante do Router de Acesso a Cabo Cisco uBR905

Cartão de Início Rápido de Instalação do Assinante do Router de Acesso a Cabo Cisco uBR925

Guia do Usuário de Início Rápido do Router de Acesso a Cabo Cisco uBR925

Routers da série Cisco 1700

Guia de Configuração do Software do Cisco 1700 Series Router

Guia de Instalação de Hardware do Cisco 1710 Security Router

Guia de Configuração do Software Cisco 1710 Security Router

Router de Acesso de Segurança Cisco 1711

Guia de Instalação de Hardware do Cisco 1720 Series Router

Guia de Instalação de Hardware do Router de Acesso Cisco 1721

Guia de Instalação de Hardware do Cisco 1750 Series Router

Guia de Instalação de Hardware do Cisco 1751 Router

Guia de Configuração do Software Cisco 1751 Router

Guia de Instalação de Hardware do Cisco 1760 Modular Access Router

Consulte também as release notes Cisco IOS para Cisco IOS
Versão 12.2(4)YA:

SOHO 70 e Cisco 800 Series— Release Notes para
Versão 12.2(4)YA

Release Notes para dos Routers de Acesso a Cabo Cisco uBR905 e Cisco uBR925 para Cisco IOS Versão 12.2 YA.

Cisco 1700 Series—Release Notes para Versão 12.2(4)YA

Routers das séries Cisco 2600, Cisco 3600 e Cisco 3700

Cisco 2600 Series Multiservice Platforms

Guia de Instalação de Hardware do Cisco 2600 Series Routers

Cisco 3600 Series Multiservice Platforms

Guia de Instalação do Cisco 3600 Series Hardware (Manual de instalação de hardware Cisco série 3600)

Cisco 3700 Series Multiservice Access Routers

Guia de Instalação de Hardware do Cisco 3700 Series Routers

Conformidade de Regulamentações e Informações de Segurança da Cisco 2600, 3600 e 3700 Series em Cisco.com

Listas de controle de acesso, configuração

Capítulo" Listas de Controle de Acesso: Visão Geral e Diretrizes" da seção "Filtragem de Tráfego e Firewalls" do Guia de Configuração de Segurança do Cisco IOS, Versão 12.4.

Documentação de IPsec e VPN

Recurso Easy VPN Server, que fornece o suporte a cliente Cisco Unity para o recurso Cisco Easy VPN Remote.

Easy VPN Server

Informações gerais sobre IPsec e VPN

Implantando IPsec—Fornece uma visão geral da criptografia IPsec e seus conceitos fundamentais, juntamente com configurações de exemplo. Também fornece uma ligação para outros documentos e tópicos relacionados.

Suporte da Autoridade de Certificação para a Visão Geral do IPsec—Descreve o conceito de certificados digitais e informa como eles são utilizados para autenticar usuários do IPsec.

Capítulo "Configurando Proxy de Autenticação" do Guia de Configuração de Segurança do Cisco IOS, Versão 12.4

Introdução à Criptografia (IPsec) de Segurança IP—Apresenta uma descrição etapa a etapa de como fazer a configuração da criptografia do IPsec.

Configurando Cisco VPN Client e Easy VPN Server com Xauth—Descreve a configuração de uma solução Easy VPN de host para router, com base no cliente Cisco VPN e no servidor de acesso remoto do Cisco IOS.

Gerenciando Acesso Remoto VPN—Descreve a configuração do firewall Cisco PIX como Easy VPN Server, e também a configuração de clientes do software Easy VPN remoto.

Definindo Configurações VPN—Fornece informações sobre a configuração do firewall PIX para operar como um Cisco Secure VPN client.

" Criando Conjuntos de Mapas de Criptografia"—Fornece informações sobre a configuração de mapas de criptografia.

Interface de Túnel Virtual IPSec—Fornece informações sobre as interfaces de túnel virtual IPsec.

Seções de dicas técnicas de IP em Cisco.com.

Recurso Chaves Criptografadas Pré-Compartilhadas

Guia de funções Chave Criptografada Pré-Compartilhada, Versão 12.3(2)T

Certificados digitais (suporte de assinatura RSA)

Guia de funções Suporte de Assinatura RSA do Easy VPN Remote , Versão 12.3(7)T1

Dead peer detection

Guia de funções Opção Mensagem Periódica de Dead Peer Detection IPsec, Versão 12.3(7)T

Rastreamento de objetos

Guia de funções Backup de Roteamento Estático Confiável Utilizando Rastreamento de Objetos, Versão 12.3(8)T

DNS, configuração

Configurando DNS e Configurando DNS nos Routers Cisco

DHCP, configuração

" Configurando DHCP" no Guia de Configuração de IP Cisco IOS, Versão 12.3

Autenticação 802.1x

Cisco IOS Easy VPN Remote com Autenticação 802.1x (white paper)

Controle de Acesso VPN Utilizando Autenticação Local 802.1X

Informações adicionais detalhadas sobre configuração (disponíveis em Cisco.com)

Soluções Cisco Easy VPN—Fornecem white papers e exemplos para a configuração do Cisco IOS Easy VPN no modo de extensão de rede.

Guia de Configuração do Cisco IOS Security, Cisco IOS
Versão 12.4—Apresenta uma visão geral dos recursos de segurança do Cisco IOS.

Referências a Comandos do Cisco IOS Security, Cisco IOS
Versão 12.4—Apresenta uma referência para cada comando do Cisco IOS utilizado para fazer a configuração da criptografia do IPsec e recursos de segurança relacionados.

Lista de Comandos Mestre do Cisco IOS, Versão 12.4—Relaciona os comandos do Cisco IOS utilizados para fazer a configuração de todos os recursos de segurança da Versão 12.4.

IPSec/SSL VPNFornece informações gerais sobre IPsec e SSL VPN.

Observação A documentação adicional sobre o IPsec está disponível no endereço Cisco.com conforme novos recursos e plataformas são adicionados. A Cisco Press também publica vários livros sobre o IPsec—acesse o endereço http://www.ciscopress.com para mais informações sobre os livros da Cisco Press.


Padrões

Padrões
Título

Nenhum padrão novo ou modificado são suportados por esse recurso.


MIBs

MIBs
Ligação de MIBs

CISCO-IPSEC-FLOW-MONITOR-MIB—Contém atributos que descrevem as VPNs com base em IPsec (Rascunho do Grupo de Trabalho IPsec de Internet Engineering Task Force (IETF)).

CISCO-IPSEC-MIB—Descrevem os atributos específicos da implementação Cisco para os routers Cisco que implementam VPNs IPsec.

CISCO-IPSEC-POLICY-MAP-MIB—Ampliam o CISCO-IPSEC-FLOW-MONITOR-MIB para mapear estruturas criadas dinamicamente para as políticas, transformações, mapas de criptografia e outras estruturas que as criaram ou que as utilizam.

Para localizar e fazer download de MIBs para plataformas, versões do Cisco IOS e conjuntos de recursos selecionados, use o Localizador de MIBs da Cisco, no seguinte URL:

http://www.cisco.com/cisco/web/BR/support/index.html


RFCs

RFCs
Título

Nenhum RFC novo ou modificado são suportados por esse recurso.


Assistência Técnica

Descrição
Ligação

O website da Cisco Technical Support contém milhares de páginas de conteúdo técnico pesquisável, incluindo ligações para produtos, tecnologias, soluções, dicas técnicas e ferramentas. Os usuários registrados da Cisco.com podem fazer login nessa página para acessar ainda mais conteúdo.

http://www.cisco.com/cisco/web/BR/support/index.html


Referências a Comandos

Esta seção documenta os seguintes comandos novos e modificados apenas.

Comandos Novos

clear crypto ipsec client ezvpn

crypto ipsec client ezvpn (global)

crypto ipsec client ezvpn (interface)

crypto ipsec client ezvpn connect

crypto ipsec client ezvpn xauth

debug crypto ipsec client ezvpn

debug ip auth-proxy ezvpn

icmp-echo

ip http ezvpn

show crypto ipsec client ezvpn

type echo protocol ipIcmpEcho

Comandos Modificados

show tech-support

clear crypto ipsec client ezvpn

Para reconfigurar a máquina de estado do Cisco Easy VPN remoto e desativar a conexão do Cisco Easy VPN remoto em todas as interfaces ou em uma determinada interface (túnel), insira o comando clear crypto ipsec client ezvpn no modo EXEC com privilégios. Se o nome de um túnel for especificado, somente esse túnel será excluído.

clear crypto ipsec client ezvpn [name]

Descrição da sintaxe

nome

(Opcional) Identifica o túnel da rede privada virtual IPSec (VPN) a ser desconectado ou excluído, com um nome exclusivo e arbitrário. Se não houver um nome de túnel definido, todos os túneis existentes serão desconectados ou eliminados.


Defaults

Se não houver nomes de túnel especificados, todos os túneis ativos na máquina serão eliminados.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(4)YA

Esse comando foi introduzido aos routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828, routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(13)T

Este comando foi integrado ao Cisco IOS Versão 12.2(13)T.

12.2(8)YJ

Esse comando foi aprimorado para especificar um túnel VPN IPsec a ser excluído ou desconectado para os routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828; routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(15)T

Este comando foi integrado ao Cisco IOS Versão 12.2(15)T.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

O comando clear crypto ipsec client ezvpn reconfigura a máquina de estado do Easy VPN remoto, desativando a conexão atual Cisco Easy VPN e restaurando-a na interface. Se o nome de um túnel for especificado, somente esse túnel será excluído. Se não houver nomes de túnel especificados, todos os túneis ativos na máquina serão eliminados.

Se a conexão do Cisco Easy VPN remoto de uma determinada interface for configurada como automática, esse comando também iniciará uma nova conexão Cisco Easy VPN remoto.

Exemplos

O seguinte exemplo exibe a máquina de estado do Cisco Easy VPN remoto a ser reconfigurada:

Router# clear crypto ipsec client ezvpn

Comandos relacionados

Comando
Descrição

crypto ipsec client ezvpn (global)

Cria uma configuração remota do Cisco Easy VPN.

crypto ipsec client ezvpn (interface)

Atribui uma configuração remota do Cisco Easy VPN para uma interface.


crypto ipsec client ezvpn (global)

Para criar uma configuração remota do Cisco Easy VPN e entrar nesse modo de configuração, insira o comando crypto ipsec client ezvpn no modo de configuração global. Para excluir a configuração remota do Cisco Easy VPN, insira a forma no desse comando.

crypto ipsec client ezvpn name

no crypto ipsec client ezvpn name


Observação O comando crypto ipsec client ezvpn separado do modo de configuração de interface atribui uma configuração ao Cisco Easy VPN remoto para a interface.


Descrição da sintaxe

nome

Identifica a configuração remota do Cisco Easy VPN com um nome exclusivo e arbitrário.


Defaults

Padrão de configurações do Cisco Easy VPN remoto criadas recentemente para o modo client.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(4)YA

Esse comando foi introduzido aos routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828, routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(13)T

Este comando foi integrado ao Cisco IOS Versão 12.2(13)T.

12.2(8)YJ

Esse comando foi aprimorado para habilitar o usuário a estabelecer e encerrar manualmente um túnel VPN IPsec sob demanda para os routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828; routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(15)T

Este comando foi integrado ao Cisco IOS Versão 12.2(15)T.

12.3(4)T

O sub-comando username foi adicionado e o sub-comando peer foi alterado para que o comando possa ser inserido várias vezes.

12.3(7)XR

Os sub-comandos acl e backup foram adicionados.

12.2(18)SXD

Este comando foi integrado ao Cisco IOS Versão 12.2(18)SXD.

12.3(11)T

O sub-comando acl foi integrado ao Cisco IOS Versão 12.3(11)T. Entretanto, o sub-comando backup não foi integrado ao Cisco IOS Versão 12.3(11)T.

12.4(2)T

O sub-comando virtual-interface foi adicionado.

12.4(4)T

A palavra-chave default foi adicionada ao sub-comando peer e o sub-comando idle-time foi adicionado.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

O comando crypto ipsec client ezvpn cria uma configuração remota do Cisco Easy VPN e, em seguida, entra no modo de configuração Cisco Easy VPN Remote, permitindo que os seguintes sub-comandos possam ser inseridos:

acl {acl-name | acl-number}—Especifica sub-redes múltiplas em um túnel VPN (Virtual Private Network). Até 50 sub-redes podem ser configuradas.

O argumento acl-name é o nome da lista de controle de acesso (ACL).

O argumento acl-number é o número da ACL.

backup {ezvpn-config-name} track {tracked-object-number}—Especifica a configuração Easy VPN a ser ativada quando o backup for acionado.

backup {ezvpn-config-name}—Especifica a configuração Easy VPN a ser ativada quando o backup for acionado.

track {tracked-object-number}—Especifica a ligação para o sistema de rastreamento, de modo que a máquina de estado Easy VPN possa receber a notificação para acionar o backup.

connect [auto | manual | acl]—Define e encerra manualmente um túnel Virtual Private Network IP Security (IPSec) sob demanda.

A opção auto é a configuração padrão, uma vez que esta foi a função inicial do Cisco Easy VPN remoto. O túnel Easy VPN IPsec é conectado automaticamente quando o recurso Cisco Easy VPN Remote estiver configurado na interface.

A opção manual determina que a configuração manual oriente o Cisco Easy VPN remoto para aguardar por um comando ou uma chamada da interface de programas de aplicativos (API), antes de tentar estabelecer a conexão Cisco Easy VPN Remote. Quando o túnel falhar ou tiver seu tempo esgotado, as conexões subseqüentes terão que aguardar o comando reconfigurar para manual ou para uma chamada de API.

A opção acl especifica a configuração acionada por ACL, utilizada para aplicativos com base em transações e backup de discagem. Com essa opção, é possível definir o tráfego "interessante", que acionará o túnel a ser estabelecido.

default—Configura o seguinte comando para os valores padrão.

exit—Sai do modo de configuração do Cisco Easy VPN e retorna ao modo de configuração global.

group group-name key group-key—Especifica o nome do grupo e o valor da chave para a conexão VPN.

idle-time—(Opcional) Tempo de ociosidade decorrido para que o túnel Easy VPN seja desativado.

local-address interface-name—Informa o Cisco Easy VPN remoto sobre qual a interface será utilizada para determinar o endereço IP público, que será utilizado para originar o túnel. Isso se aplica somente aos routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

O valor do argumento interface-name determina a interface utilizada para o tráfego de túnel.

Depois de especificar o endereço local utilizado para originar o tráfego do túnel, o endereço IP pode ser obtido de duas maneiras:

O sub-comando local-address pode ser utilizado com o comando cable-modem dhcp-proxy {interface loopback number} para obter um endereço IP público e atribuí-lo automaticamente à interface de circuito fechado.

O endereço IP pode ser atribuído manualmente à interface de circuito fechado.

mode {client | network-extension | network extension plus}—Especifica o modo VPN de operação do router:

O modo client (padrão) configura automaticamente o router para o modo de operação cliente do Cisco Easy VPN, que utiliza a NAT (Network Address Translation) ou PAT (Peer Address Translation). Quando a configuração remota do Cisco Easy VPN for atribuída a uma interface, o router criará automaticamente a NAT ou PAT e a configuração da lista de acesso necessária para a conexão VPN.

A opção network-extension determina que o router deve tornar-se uma extensão remota da rede da empresa, na outra extremidade da conexão VPN. Os PCs conectados ao router normalmente recebem um endereço IP no espaço de endereços da rede da empresa.

O modo network extension plus é idêntico ao modo extensão de rede, com a capacidade adicional de solicitar um endereço IP por meio da configuração do modo e atribuí-lo automaticamente a uma interface de circuito fechado disponível. As associações de segurança (SAs) IPsec para este endereço IP são criadas automaticamente pelo Easy VPN Remote. O endereço IP é utilizado normalmente para análise de falhas (utilizando ping, Telnet e Secure Shell).

no—Remove o comando ou o configura para os valores padrão.

peer {ipaddress | hostname} [default]—Configura o endereço IP do peer ou o nome do host para a conexão VPN. O nome do host só poderá ser especificado quando o router possuir um servidor DNS (Domain Name System) disponível para a resolução do nome do host.

O sub-comando peer pode ser inserido diversas vezes.

A palavra-chave default define o peer como primário. Quando houver falha durante a Fase 1 das negociações SA e o Easy VPN falhar e passar do peer primário para o próximo peer em sua lista de backups, e o peer primário estiver disponível novamente, a conexão atual será desfeita e o peer primário será conectado novamente.

username name password {0 | 6} {password}—Permite salvar a senha de autenticação estendida (Xauth) localmente no PC. Nas autenticações subseqüentes, é possível ativar a caixa de seleção salvar senha no cliente do software, ou adicionar o nome do usuário e a senha ao perfil do cliente de hardware Cisco IOS. A configuração permanecerá até que o atributo salvar senha seja removido do perfil do grupo de servidores.

0 indica a utilização de uma senha não criptografada virá em seguida.

6 indica a utilização de uma senha criptografada virá em seguida.

password especifica uma senha de usuário (cleartext) não criptografada.

A opção salvar senha será útil somente quando a senha de usuário for estática, ou seja, não sendo uma senha de utilização única (OTP), tal como a senha gerada por um token.

virtual-interface [virtual-template-number]—Especifica uma interface virtual para um dispositivo Easy VPN remoto. Se o número do modelo virtual for especificado, a interface virtual será derivada do modelo virtual configurado. Se o número do modelo virtual não for especificado, será criada uma interface de acesso virtual genérica do tipo do túnel criado. Se a criação for bem-sucedida, o Easy VPN transformará a interface de acesso virtual em sua interface externa (ou seja, o mapa de criptografia e a NAT são aplicados a interface de acesso virtual). Se a criação falhar, o Easy VPN imprimirá uma mensagem de erro e permanecerá no estado IDLE (ocioso).

Depois de fazer a configuração do Cisco Easy VPN remoto, insira o comando exit para sair do modo de configuração do Cisco Easy VPN Remote e retornar ao modo de configuração global.


Observação Não é possível utilizar o comando no crypto ipsec client ezvpn para excluir uma configuração remota do Cisco Easy VPN atribuída a uma interface. É necessário remover a configuração remota do Cisco Easy VPN da interface antes de excluir a configuração.


Exemplos

O seguinte exemplo exibe a configuração remota do Cisco Easy VPN denominada "telecommuter-client", sendo criada em um router de acesso a cabo Cisco uBR905 ou Cisco uBR925 e atribuída à interface 0 do cabo:

Router# configure terminal
Router(config)# crypto ipsec client ezvpn telecommuter-client
Router(config-crypto-ezvpn)# group telecommute-group key secret-telecommute-key
Router(config-crypto-ezvpn)# peer telecommuter-server
Router(config-crypto-ezvpn)# mode client
Router(config-crypto-ezvpn)# exit
Router(config)# interface c0
Router(config-if)# crypto ezvpn telecommuter-client
Router(config-if)# exit

Observação A especificação da opção mode client é opcional, conforme descrito acima, pois essa é a configuração padrão para essas opções.


O seguinte exemplo exibe a configuração remota do Cisco Easy VPN denominada "telecommuter-client" sendo removida da interface e, em seguida, excluída:

Router# configure terminal
Router(config)# interface e1
Router(config-if)# no crypto ipsec client ezvpn telecommuter-client
Router(config-if)# exit
Router(config)# no crypto ipsec client ezvpn telecommuter-client

O seguinte exemplo demonstra que uma interface virtual IPsec foi configurada para o dispositivo de Easy VPN remoto:

crypto ipsec client ezvpn EasyVPN1
 virtual-interface 3

Comandos relacionados

Comando
Descrição

crypto ipsec client ezvpn (interface)

Atribui uma configuração do Cisco Easy VPN Remote para uma interface.


crypto ipsec client ezvpn (interface)

Para atribuir uma configuração do Cisco Easy VPN Remote para uma interface, especificar se esta interface é externa ou interna e fazer a configuração de várias interfaces externas e internas, insira o comando crypto ipsec client ezvpn no modo de configuração de interface. Para excluir a configuração do Cisco Easy VPN Remote, insira a forma no desse comando.

crypto ipsec client ezvpn name [outside | inside]

no crypto ipsec client ezvpn name [outside | inside]


Observação Existe um comando crypto ipsec client ezvpn separado, no modo de configuração global, que cria uma configuração do Cisco Easy VPN Remote.


Descrição da sintaxe

nome

Especifica a configuração do Cisco Easy VPN Remote a ser atribuída à interface.

externa

(Opcional) Especifica a interface externa do router do cliente IP Security (IPSec). Você pode adicionar até quatro túneis externos para todas as plataformas, um túnel por interfaces externas.

interna

Opcional) Especifica a interface interna do router do cliente IPSec. A série Cisco 1700 não possui interface interna padrão, portanto, todas as interfaces internas devem ser configuradas. Os routers da série Cisco 800 e os de acesso a cabo Cisco uBR905 e Cisco uBR925 possuem interfaces internas padrão. Entretanto, é possível fazer a configuração de uma interface interna. Você pode adicionar até três interfaces internas para todas as plataformas.


Defaults

A interface interna padrão é a interface Ethernet nos routers da série Cisco 800 e nos routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

Modos de comando

Configuração da interface

Histórico de comando

Versão
Modificação

12.2(4)YA

Esse comando foi introduzido aos routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828, routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(13)T

Este comando foi integrado ao Cisco IOS Versão 12.2(13)T.

12.2(8)YJ

Esse comando foi aprimorado para permitir a configuração de interfaces externas e internas múltiplas para os routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828; os routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(15)T

Este comando foi integrado ao Cisco IOS Versão 12.2(15)T.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

O comando crypto ipsec client ezvpn atribui uma configuração de Cisco Easy VPN Remote para uma interface, permitindo a criação de uma conexão VPN (Virtual Private Network) dessa interface para o peer VPN especificado. Se a configuração do Cisco Easy VPN Remote for definida para o modo cliente de operação, o router também será configurado automaticamente para a utilização de NAT (network address translation) ou PAT (port address translation), como também para a lista de acesso associada.

No Cisco IOS Velease 12.2(8)YJ, o comando crypto ipsec client ezvpn foi aprimorado para permitir a configuração de interfaces externas e internas múltiplas. Para fazer a configuração de várias interfaces externas ou internas, insira o comando interface interface-name para definir primeiro o tipo de interface no router do cliente IPSec.

No modo cliente para o Cisco Easy VPN Client, somente uma associação de segurança (SA) é utilizada para criptografar e descriptografar o tráfego originado de todas as interfaces internas. No modo de extensão de rede, uma conexão SA é estabelecida para cada interface interna.

Quando uma nova interface interna for adicionada ou uma interface existente for removida, todas as conexões SA serão excluídas e conexões novas são iniciadas.

As informações de configuração da interface interna padrão são exibidas com o comando crypto ipsec client ezvpn name inside . Todas as interfaces internas que correspondam a um túnel são relacionadas no modo de configuração de interface como uma interface interna, juntamente com os nomes dos túneis.

As seguintes restrições do Cisco IOS Versão 12.2(4)YA se aplicam ao comando crypto ipsec client ezvpn:

O recurso Cisco Easy VPN Remote suporta somente um túnel, portanto, o comando crypto ipsec client ezvpn pode ser atribuído somente a uma interface. Ao tentar atribuí-lo a mais de uma interface, uma mensagem de erro será exibida. É necessário utilizar a forma no deste comando para remover a configuração da primeira interface, antes de atribuí-la à segunda interface.

O comando crypto ipsec client ezvpn deve ser atribuído à interface externa da conversão NAT ou PAT. Esse comando não pode ser utilizado na interface interna de NAT ou PAT. Em algumas plataformas, as interfaces internas e externas são fixas.

Por exemplo, nos routers de acesso a cabo Cisco uBR905 e Cisco uBR925, a interface externa é sempre a interface de cabo. Nos routers da série Cisco 1700, a interface FastEthernet é a interface interna por padrão, assim, se houver uma tentativa de utilizar o comando crypto ipsec client ezvpn, uma mensagem de erro será exibida.


Observação É preciso utilizar primeiro a versão de configuração global do comando crypto ipsec client ezvpn para criar a configuração do Cisco Easy VPN Remote antes de atribuí-la a uma interface.


Exemplos

O seguinte exemplo exibe a configuração do Cisco Easy VPN Remote chamada "telecommuter-client", sendo atribuída a uma interface de cabo no router de acesso a cabo Cisco uBR905/uBR925:

Router# configure terminal
Router(config)# interface c0
Router(config-if)# crypto ipsec client ezvpn telecommuter-client
Router(config-if)# exit

O seguinte exemplo mostra, em primeiro lugar, uma tentativa de excluir a configuração do Cisco Easy VPN Remote chamada "telecommuter-client,", mas essa configuração não pode ser excluída porque ela ainda está atribuída a uma interface. Em seguida, a configuração é removida da interface e excluída.

Router# configure terminal
Router(config)# no crypto ipsec client ezvpn telecommuter-client
Error: crypto map in use by interface; cannot delete
Router(config)# interface e1
Router(config-if)# no crypto ipsec client ezvpn telecommuter-client
Router(config-if)# exit
Router(config)# no crypto ipsec client ezvpn telecommuter-client

Comandos relacionados

Comando
Descrição

crypto ipsec client ezvpn (global)

Cria e modifica uma configuração do Cisco Easy VPN Remote.

interface

Configura um tipo de interface.


crypto ipsec client ezvpn connect

Para conectar-se a um determinado túnel VPN (Virtual Private Network) IPsec em uma configuração manual, insira o comando crypto ipsec client ezvpn connect no modo EXEC com privilégio. Para desabilitar a conexão, utilize a forma no desse comando.

crypto ipsec client ezvpn connect name

no crypto ipsec client ezvpn connect name

Descrição da sintaxe

nome

Identifica o túnel IPSec VPN com um nome exclusivo e arbitrário.


Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(8)YJ

Esse comando foi introduzido aos routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828, routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(15)T

Este comando foi integrado ao Cisco IOS Versão 12.2(15)T.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

Esse comando é utilizado com o sub-comando connect [auto | manual | acl]. Depois de a configuração manual ser designada, o Cisco Easy VPN remoto aguarda por um comando ou uma chamada de API (application programming interface), antes de tentar estabelecer a conexão remota Cisco Easy VPN.

Se a configuração for manual, o túnel será conectado somente após inserir o comando crypto ipsec client ezvpn connect name no modo EXEC com privilégio, e depois de inserir o sub-comando connect [auto] | manual.

Exemplos

O seguinte exemplo mostra como conectar um túnel VPN IPsec chamado ISP-tunnel em um router de acesso a cabo Cisco uBR905/uBR925:

Router# crypto ipsec client ezvpn connect ISP-tunnel

Comandos relacionados

Comando
Descrição

connect

Define e encerra manualmente um túnel IPSec de VPN sob demanda.

crypto ipsec client ezvpn (global)

Cria e modifica uma configuração remota do Cisco Easy VPN.


crypto ipsec client ezvpn xauth

Para responder a uma requisição de autorização de VPN (Virtual Private Network) pendente, insira o comando crypto ipsec client ezvpn xauth, no modo EXEC com privilégios.

crypto ipsec client ezvpn xauth name

Descrição da sintaxe

nome

Identifica o túnel VPN IP Security (IPSec) com um nome exclusivo e arbitrário. Este nome é obrigatório.


Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(4)YA

Esse comando foi introduzido aos routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828, routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(8)YJ

Esse comando foi aprimorado para especificar um túnel IPSec VPN para os routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828; os routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(8)YJ

Esse comando foi aprimorado para especificar um túnel IPSec VPN para os routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828; os routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(15)T

Este comando foi integrado ao Cisco IOS Versão 12.2(15)T.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

Se o nome do túnel não for especificado, a requisição de autorização será efetuada no túnel ativo. Se houver mais de um túnel ativo, o comando falhará com um erro solicitando que o usuário especifique o nome do túnel.

Ao efetuar uma conexão VPN, os usuários também poderão ser obrigados a fornecer informações de autorização, tais como o nome do usuário ou a senha. Quando a extremidade remota exigir essas informações, o router exibirá uma mensagem no console, instruindo o usuário a inserir o comando crypto ipsec client ezvpn xauth . Em seguida, o usuário utiliza a CLI (command-line interfaceI) para inserir esse comando e fornecer as informações solicitadas pelos avisos que seguem após a inserção do comando.


Observação Se o usuário não responder à notificação de autenticação, a mensagem será repetida a cada 10 segundos.


Exemplos

O seguinte exemplo mostra a requisição para que o usuário insira o comando crypto ipsec client ezvpn xauth. Em seguida, o usuário digita as informações exigidas e continua.

Router#
20:27:39: EZVPN: Pending XAuth Request, Please enter the following command:
20:27:39: EZVPN: crypto ipsec client ezvpn xauth

Router> crypto ipsec client ezvpn xauth
Enter Username and Password: userid
Password: ************

Comandos relacionados

Comando
Descrição

crypto ipsec client ezvpn (interface)

Atribui uma configuração do Cisco Easy VPN Remote para uma interface.


debug crypto ipsec client ezvpn

Para exibir informações sobre as mensagens de controle de voz capturadas pelo Voice DSP Control Message Logger, além de informações de conexões remotas Cisco Easy VPN, insira o comando debug crypto ipsec client ezvpn no modo EXEC com privilégio. Para desabilitar a saída de depuração, utilizar a forma negativa desse comando.

debug crypto ipsec client ezvpn

no debug crypto ipsec client ezvpn

Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Defaults

Sem comportamento ou valores-padrão.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(4)YA

Esse comando foi introduzido aos routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828, routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(13)T

Este comando foi integrado ao Cisco IOS Versão 12.2(13)T.

12.3(4)T

Esse comando foi expandido para suportar o recurso Easy VPN Remote.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

Para forçar o Cisco Easy VPN Remote a re-estabelecer as conexões VPN (virtual private network), insira os comandos clear crypto sa and clear crypto isakmp para excluir as associações de segurança IPSec e as conexões IKE (Internet Key Exchange), respectivamente.

Exemplos

O seguinte exemplo exibe as mensagens de depuração quando o Cisco Easy VPN Remote é ativado, bem como as mensagens típicas de depuração que aparecem quando o túnel VPN é criado:

Router# debug crypto ipsec client ezvpn

EzVPN debugging is on
router#
00:02:28: EZVPN(hw1): Current State: IPSEC_ACTIVE
00:02:28: EZVPN(hw1): Event: RESET
00:02:28: EZVPN(hw1): ezvpn_close
00:02:28: EZVPN(hw1): New State: CONNECT_REQUIRED
00:02:28: EZVPN(hw1): Current State: CONNECT_REQUIRED
00:02:28: EZVPN(hw1): Event: CONNECT
00:02:28: EZVPN(hw1): ezvpn_connect_request
00:02:28: EZVPN(hw1): New State: READY
00:02:29: EZVPN(hw1): Current State: READY
00:02:29: EZVPN(hw1): Event: MODE_CONFIG_REPLY
00:02:29: EZVPN(hw1): ezvpn_mode_config
00:02:29: EZVPN(hw1): ezvpn_parse_mode_config_msg
00:02:29: EZVPN: Attributes sent in message:
00:02:29: Address: 10.0.0.5
00:02:29: Default Domain: cisco.com
00:02:29: EZVPN(hw1): ezvpn_nat_config
00:02:29: EZVPN(hw1): New State: SS_OPEN
00:02:29: EZVPN(hw1): Current State: SS_OPEN
00:02:29: EZVPN(hw1): Event: SOCKET_READY
00:02:29: EZVPN(hw1): No state change
00:02:30: EZVPN(hw1): Current State: SS_OPEN
00:02:30: EZVPN(hw1): Event: MTU_CHANGED
00:02:30: EZVPN(hw1): No state change
00:02:30: EZVPN(hw1): Current State: SS_OPEN
00:02:30: EZVPN(hw1): Event: SOCKET_UP
00:02:30: ezvpn_socket_up
00:02:30: EZVPN(hw1): New State: IPSEC_ACTIVE

O seguinte exemplo mostra a exibição típica de um túnel VPN reconfigurado com o comando clear crypto ipsec client ezvpn:

3d17h: EZVPN: Current State: READY
3d17h: EZVPN: Event: RESET
3d17h: ezvpn_reconnect_request
3d17h: ezvpn_close
3d17h: ezvpn_connect_request
3d17h: EZVPN: New State: READY
3d17h: EZVPN: Current State: READY
3d17h: EZVPN: Event: MODE_CONFIG_REPLY
3d17h: ezvpn_mode_config
3d17h: ezvpn_parse_mode_config_msg
3d17h: EZVPN: Attributes sent in message:
3d17h:         DNS Primary: 172.16.0.250
3d17h:         DNS Secondary: 172.16.0.251
3d17h:         NBMS/WINS Primary: 172.16.0.252
3d17h:         NBMS/WINS Secondary: 172.16.0.253
3d17h:         Split Tunnel List: 1
3d17h:               Address    : 172.16.0.128
3d17h:               Mask       : 255.255.255.128
3d17h:               Protocol   : 0x0
3d17h:               Source Port: 0
3d17h:               Dest Port  : 0
3d17h:         Split Tunnel List: 2
3d17h:               Address    : 172.16.1.128
3d17h:               Mask       : 255.255.255.128
3d17h:               Protocol   : 0x0
3d17h:               Source Port: 0
3d17h:               Dest Port  : 0
3d17h:         Default Domain: cisco.com
3d17h: ezvpn_nat_config
3d17h: EZVPN: New State: SS_OPEN
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_READY
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_READY
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: MTU_CHANGED
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_UP
3d17h: EZVPN: New State: IPSEC_ACTIVE
3d17h: EZVPN: Current State: IPSEC_ACTIVE
3d17h: EZVPN: Event: MTU_CHANGED
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: IPSEC_ACTIVE
3d17h: EZVPN: Event: SOCKET_UP

O seguinte exemplo mostra a exibição típica de um túnel VPN removido da interface com o comando no crypto ipsec client ezvpn:

4d16h: EZVPN: Current State: IPSEC ACTIVE
4d16h: EZVPN: Event: REMOVE INTERFACE CFG
4d16h: ezvpn_close_and_remove
4d16h: ezvpn_close
4d16h: ezvpn_remove
4d16h: EZVPN: New State: IDLE

Comandos relacionados

Comando
Descrição

debug crypto ipsec

Exibe as mensagens de depuração para eventos IPSec genéricos.

debug crypto isakmp

Exibe as mensagens de depuração para eventos IKE.


debug ip auth-proxy ezvpn

Para exibir as informações relacionadas ao comportamento da autenticação do proxy para a ativação com base na em web, insira o comando debug ip auth-proxy ezvpn no modo EXEC com privilégio. Para desabilitar a depuração, utilize a forma no desse comando.

debug ip auth-proxy ezvpn

no debug ip auth-proxy ezvpn

Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Defaults

A depuração não está ativada.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.3(14)T

Esse comando foi introduzido.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso


Cuidado A utilização desse comando pode resultar em uma saída considerável se ocorrerem autenticações simultâneas.

Exemplos

A seguir eis uma saída do comando debug ip auth-proxy ezvpn. A saída exibe o comportamento da autenticação do proxy para a ativação com base na em web.

Router# debug ip auth-proxy ezvpn

*Dec 20 20:25:11.006: AUTH-PROXY: New request received by EzVPN WebIntercept from
  10.4.205.205
*Dec 20 20:25:17.150: AUTH-PROXY:GET request received
*Dec 20 20:25:17.150: AUTH-PROXY:Authentication scheme is 401
*Dec 20 20:25:17.362: AUTH-PROXY:Authorization information not present in GET request
*Dec 20 20:25:17.362: AUTH-PROXY: Allocated on credinfo for connect at 0x81EF1A84
*Dec 20 20:25:17.362: AUTH-PROXY: Posting CONNECT request to EzVPN
*Dec 20 20:25:17.362: EZVPN(tunnel22): Received CONNECT from 10.4.205.205!
*Dec 20 20:25:17.366: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
*Dec 20 20:25:17.366: EZVPN(tunnel22): Event: CONNECT

A saída na exibição é auto-explicativa.

Comandos relacionados

Comando
Descrição

xauth userid mode

Especifica como o Cisco Easy VPN Client manipula as requisições ou avisos de Xauth a partir do servidor.


icmp-echo

Para fazer a configuração de uma operação eco ICMP (Internet Control Message Protocol) de SLAs (Service Level Agreements) de IP, insira o comando icmp-echo , no modo de configuração IP SLA.

icmp-echo {destination-ip-address | destination-hostname} [source-ip {ip-address | hostname} | source-interface interface-name]

Descrição da sintaxe

destination-ip-address | destination-hostname

Endereço IP ou nome do host de destino.

source-ip {ip-address | hostname}

(Opcional) Especifica a origem do endereço IP ou do nome do host. Quando uma origem do endereço IP ou do nome do host não for especificada, os SLAs de IP escolhem o endereço IP mais próximo ao destino.

source-interface interface-name

(Opcional) Especifica a interface de origem para a operação.


Defaults

Não há nenhum tipo de operação de SLAs de IP configurado para a operação que está sendo configurada.

Modos de comando

Configuração IP SLA (config-ip-sla)

Histórico de comando

Versão
Modificação

12.4(4)T

Esse comando foi introduzido. Esse comando substitui o comando type echo protocol ipIcmpEcho .


Diretrizes de uso

O tamanho dos dados do pacote de requisição padrão para uma operação eco ICMP é de 28 bytes. Insira o comando request-data-size para modificar esse valor. Este tamanho de dados é a porção de carga útil do pacote ICMP que cria um pacote IP de 64 bytes.

É necessário fazer a configuração do tipo de operação de SLAs de IP (tal como um jitter UDP [User Datagram Protocol] ou eco ICMP [Internet Control Message Protocol]), antes da configuração de qualquer outro parâmetro de operação. Para alterar o tipo da operação de SLAs de IP existente, é preciso excluir primeiro essa operação (utilizando o comando de configuração global no ip sla ) e, em seguida, reconfigurar a operação com o novo tipo.

Exemplos

No seguinte exemplo, a operação SLAs de IP 10 é criada e configurada como uma operação eco, utilizando o protocolo ICMP e o endereço IP de destino 172.16.1.175:

ip sla 10
 icmp-echo 172.16.1.175
!
ip sla schedule 10 start-time now

Comandos relacionados

Comando
Descrição

ip sla monitor

Inicia a configuração de uma operação de SLAs de IP e entra no modo de configuração de monitor SLA de IP.

rtr

Inicia a configuração de uma operação de SLAs de IP e entra no modo de configuração RTR.


ip http ezvpn

Para habilitar a interface do servidor da web Cisco Easy VPN remoto, insira o comando ip http ezvpn no modo de configuração global. Para desabilitar a interface de servidor da web Cisco Easy VPN remoto, utilize a forma no desse comando.

Routers de acesso a cabo Cisco uBR905 e Cisco uBR925

ip http ezvpn

no ip http ezvpn

Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Defaults

A interface de servidor da web Cisco Easy VPN Remote é desabilitada por padrão.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(8)YJ

Esse comando foi introduzido aos routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(15)T

Este comando foi integrado ao Cisco IOS Versão 12.2(15)T.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

Esse comando habilita o servidor da web Cisco Easy VPN Remote, que é integrado e permite que os usuários se conectem a um túnel IPsec Easy VPN e forneçam as informações de autenticação exigidas. O servidor da web Cisco Easy VPN Remote permite que o usuário execute essas funções sem ter que utilizar a CLI (command-line interfaceI) Cisco.

Antes de utilizar esse comando, é preciso habilitar o servidor da web Cisco integrado ao router de acesso a cabo, inserindo o comando ip http server. Em seguida, insira o comando ip http ezvpn para habilitar o servidor da web Cisco Easy VPN remoto. Em seguida, é possível acessar o servidor da web inserindo no navegador o endereço IP para a interface Ethernet do router.


Observação A interface da web Cisco Easy VPN Remote não opera com a interface da web de monitor a cabo no Cisco IOS Versão 12.2(8)YJ. Para acessar a interface da web de monitor a cabo, desabilite primeiro a interface remota da web Cisco Easy VPN com o comando no ip http ezvpn e, em seguida, habilite o monitor a cabo com o comando ip http cable-monitor.


Exemplos

Este exemplo mostra como habilitar a interface de servidor da web do Cisco Easy VPN remoto:

Router# configure terminal
Router(config)# ip http server
Router(config)# ip http ezvpn
Router(config)# exit
Router# copy running-config startup-config

Comandos relacionados

Comando
Descrição

ip http cable-monitor

Habilita e desabilita o recurso Cable Monitor Web Server.

ip http port

Configura o número da porta TCP para o servidor da web HTTP do router.

ip http server

Habilita e desabilita o servidor da web HTTP do router.


show crypto ipsec client ezvpn

Para exibir a configuração do Cisco Easy VPN Remote, insira o comando show crypto ipsec client ezvpn no modo EXEC com privilégio.

show crypto ipsec client ezvpn

Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(4)YA

Esse comando foi introduzido aos routers Cisco 806, Cisco 826, Cisco 827 e Cisco 828, routers da série Cisco 1700; e os routers de acesso a cabo Cisco uBR905 e Cisco uBR925.

12.2(13)T

Este comando foi integrado ao Cisco IOS Versão 12.2(13)T.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Exemplos

O seguinte exemplo mostra uma exibição típica do comando show crypto ipsec client ezvpn para uma conexão VPN (Virtual Private Network), quando o router estiver no modo cliente. As duas últimas linhas indicam que um URL e o número da versão de configuração foram enviados pelo servidor, através do Mode-Configuration Exchange (troca de configuração de modo), para o dispositivo remoto Easy VPN.

Router# show crypto ipsec client ezvpn

Tunnel name: hw1
Inside interface list: FastEthernet0/0, Serial1/0,
Outside interface: Serial0/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.201.0
Mask: 255.255.255.224
DNS Primary: 192.168.201.1
DNS Secondary: 192.168.201.2
NBMS/WINS Primary: 192.168.201.3
NBMS/WINS Secondary: 192.168.201.4
Default Domain: cisco.com
Configuration URL: http://10.8.8.88/easy.cfg
Configuration Version: 10

O seguinte exemplo mostra uma exibição típica do comando show crypto ipsec client ezvpn para uma conexão VPN ativa quando o router estiver no modo de extensão de rede:

Router# show crypto ipsec client ezvpn

Tunnel name: hw1
Inside interface list: FastEthernet0/0, Serial1/0,
Outside interface: Serial0/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.202.128
Mask: 255.255.255.224
Default Domain: cisco.com

Split Tunnel List: 1
       Address    : 192.168.200.225
       Mask       : 255.255.255.224
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0

O seguinte exemplo mostra uma exibição típica do comando show crypto ipsec client ezvpn para uma conexão VPN inativa:

Router# show crypto ipsec client ezvpn

Current State: IDLE
Last Event: REMOVE INTERFACE CFG
Router#

O seguinte exemplo exibe informações sobre a interface externa "Virtual-Access1", que é ligada à interface real (Ethernet0/0) na qual o usuário configurou o Easy VPN como uma interface externa:

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5
Tunnel name : ez
Inside interface list: Ethernet1/0,
Outside interface: Virtual-Access1 (bound to Ethernet0/0)
Easy VPN connect ACL checking active
Connect : ACL based with access-list 101
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.0.0.2

A Tabela 4 descreve campos significativos exibidos pelo comando show crypto ipsec client ezvpn:

Tabela 4 Descrições do Campo show crypto ipsec client ezvpn

Campo
Descrição

Estado Atual

Mostra se a conexão de túnel VPN está ativa ou ociosa. Normalmente, quando o túnel está ativo, o estado atual é IPSEC ACTIVE.

Último Evento

Exibe o último evento executado no túnel VPN. Normalmente, o último evento antes de um túnel ser criado é SOCKET UP.

Endereço

Exibe o endereço IP utilizado na interface externa.

Máscara

Exibe a máscara da sub-rede utilizada para a interface externa.

DNS Primário

Exibe o servidor DNS (domain name system) primário, fornecido pelo servidor DHCP (Dynamic Host Configuration Protocol).

DNS Secundário

Exibe o servidor DNS secundário fornecido pelo servidor DHCP.

Nome de Domínio

Exibe o nome de domínio fornecido pelo servidor DHCP.

NBMS/WINS Primário

Exibe o NetBIOS Microsoft Windows Name Server primário fornecido pelo servidor DHCP.

NBMS/WINS Secundário

Exibe o NetBIOS Microsoft Windows Name Server secundário fornecido pelo servidor DHCP.


Comandos relacionados

Comando
Descrição

show crypto ipsec transform

Exibe a configuração específica para um ou todos os conjuntos de transformação.


show tech-support

Para exibir informações gerais sobre o router quando este informar um problema, insira o comando show tech-support , no modo EXEC com privilégio.

show tech-support [page] [password] [cef | ipc | ipmulticast | isis | mpls | ospf [process-ID | detail] | rsvp]

Descrição da sintaxe

page

(Opcional) Faz com que a saída exiba uma página de informações por vez. Utilize a tecla de retorno para exibir a próxima linha de saída, ou a barra de espaço para exibir a próxima página de informações. Caso não tenha sido utilizada, a saída será rolada (ou seja, não pausará para quebras de página).

senha

(Opcional) Deixa as senhas e outras informações de segurança na saída. Se não tiverem sido utilizadas, as senhas e outras informações de segurança na saída serão substituídas com o rótulo "<removido>" (o padrão).

cef

(Opcional) Exibe a saída do comando show específica para CEF (Cisco Express Forwarding).

ipc

(Opcional) Exibe a saída do comando show específica para IPC (Inter-Process Communications).

ipmulticast

(Opcional) Exibe a saída do comando show relacionada à configuração IP Multicast, incluindo as informações de PIM (Protocol Independent Multicast), IGMP (Internet Group Management Protocol) e DVMRP (Distance Vector Multicast Routing Protocol).

isis

(Opcional) Exibe a saída do comando show específica para CLNS (Connectionless Network Service) e ISIS (Intermediate System-to-Intermediate System Protocol).

mpls

(Opcional) Exibe a saída do comando show específica para o encaminhamento e aplicativos do MPLS (Multilayer Switching Protocol).

ospf [ process-ID | detail]

(Opcional) Exibe a saída do comando show específica para a rede OSPF (Open Shortest Path First Protocol).

rsvp

(Opcional) Exibe a saída do comando show específica para a rede RSVP (Resource Reservation Protocol).


Defaults

A saída será rolada sem quebras de página.
As senhas e outras informações de segurança serão removidas da saída.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

11.2

Esse comando foi introduzido.

11.3(7), 11.2(16)

A saída desse comando foi expandida para exibir informações adicionais sobre inicialização, flash de inicialização, contexto e tráfego para todos os protocolos habilitados.CSCdj06229

12.0

A saída desse comando foi expandida para exibir informações adicionais sobre inicialização, flash de inicialização, contexto e tráfego para todos os protocolos habilitados. As palavras-chave cef, ipmulticast, isis, mlps e ospf foram adicionadas a este comando.

12.2(13)T

O suporte a AppleTalk EIGRP, Apollo Domain, Banyan VINES, Novell Link-State Protocol e XNS foi excluído do Cisco IOS software.

12.3(4)T

A saída desse comando foi expandida para incluir a saída do comando show inventory.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

O comando show tech-support é útil para coletar uma grande quantidade de informações sobre o dispositivo de roteamento para análise de falhas. A saída desse comando pode ser fornecida a representantes de suporte técnico quando relatar um problema.


Observação Esse comando pode gerar uma grande quantidade de saída. Você pode querer redirecionar a saída para um arquivo, utilizando a extensão de sintaxe do comando show inventory | redirect url. O redirecionamento da saída para um arquivo também facilita o envio desta para o representante de suporte técnico. Para mais informações sobre essa opção, consulte a documentação do comando show <command> | redirect.


O comando show tech-support exibe a saída de diversos comandos show de uma vez. A saída desse comando irá variar de acordo com sua plataforma e configuração. Por exemplo, os servidores de acesso exibirão a saída voice-related show. Além disso, os comandos show protocol traffic serão exibidos apenas para os protocolos habilitados no dispositivo. A saída do comando show tech-support pode incluir a saída dos seguintes comandos:

show apollo traffic

show appletalk traffic

show bootflash

show bootvar

show buffers

show cdp neighbors

show cef

show clns traffic

show context

show controllers

show decnet traffic

show interfaces

show ip cef

show ip interface

show ip traffic

show isis

show mpls

show novell traffic

show processes cpu

show processes memory

show running-config

show stacks

show version

show vines traffic

show xns traffic

show file systems

dir nvram:

show disk0: all

show process cpu

show pci controller

A utilização das palavras-chave opcionais cef, ipmulticast, ipc, isis, mpls , ospf ou rsvp possibilita a exibição de diversos comandos show, específicos de um determinado protocolo ou processo, além dos comandos show relacionados anteriormente.

Por exemplo, se o seu representante de suporte TAC suspeita que você tenha um problema na sua configuração do Cisco Express Forwarding (CEF), você pode ser solicitado a fornecer a saída do comando show tech-support cef . O comando show tech-support [page] [password] cef exibirá a saída dos seguintes comandos, além da saída do comando padrão show tech-support:

show ip cef summary

show adjacency summary

show ip cef events summary

show ip cef inconsistency records detail

show cef interface

show cef events

show cef timers

show interfaces stats

show cef drop

show cef not-cef-switched

Exemplos

Para um exemplo de exibição da saída do comando show tech-support consulte a documentação dos comandos show, relacionados na seção "Diretrizes de Uso".

Comandos relacionados

Comando
Descrição

show bootflash

Exibe o conteúdo da memória Flash de inicialização.

show bootvar

Exibe o conteúdo da variável de ambiente BOOT, o nome do arquivo de configuração apontado pela variável de ambiente CONFIG_FILE, o conteúdo da variável de ambiente BOOTLDR e a definição do registro de configuração.

show buffers

Exibe as estatísticas de pools de buffer no servidor de rede.

show clns traffic

Exibe uma relação dos pacotes CLNS vistos por este router.

show <command> | redirect

Redireciona a saída de um comando show para um arquivo.

show context

Exibe dados do contexto.

show controllers

Exibe as informações específicas para o hardware.

show controllers tech-support

Exibe as informações gerais sobre um cartão VIP para o relatório de problemas.

show decnet traffic

Exibe as estatísticas do tráfego DECnet (inclusive os datagramas enviados, recebidos e encaminhados).

show interfaces

Exibe as informações de ALC.

show inventory

Exibe a relação do inventário de produtos e o UDI de todos os produtos da Cisco instalados no dispositivo de rede.

show ip traffic

Exibe as estatísticas sobre o tráfego IP.

show processes cpu

Exibe informações sobre os processos ativos.

show processes memory

Exibe a quantidade de memória utilizada.

show region

Exibe as informações sobre o status do gerenciador de região.

show running-config

Exibe a configuração atual do dispositivo de roteamento.

show stacks

Exibe a utilização de pilhas de processos e rotinas de interrupção.

show version

Exibe a configuração de hardware do sistema, a versão de software, os nomes e as origens de arquivos de configuração e as imagens de inicialização.


type echo protocol ipIcmpEcho


Observação Eficiente com o Cisco IOS Versão 12.4(4)T, o comando type echo protocol ipIcmpEcho é substituído pelo comando icmp-echo . Consulte o comando icmp-echo para mais informações.


Para fazer a configuração de uma operação eco ICMP (Internet Control Message Protocol) de SLAs (Service Level Agreements) de IP, insira o comando type echo protocol ipIcmpEcho , na configuração de monitor de SLA IP ou no modo de configuração RTR.

type echo protocol ipIcmpEcho {destination-ip-address | destination-hostname} [source-ipaddr {ip-address | hostname} | source-interface interface-name]

Descrição da sintaxe

destination-ip-address | destination-hostname

Endereço IP ou nome do host de destino para a operação.

source-ipaddr {ip-address | hostname}

(Opcional) Especifica a origem do endereço IP ou do nome do host. Quando uma origem do endereço IP ou do nome do host não for especificada, os SLAs de IP escolhem o endereço IP mais próximo ao destino.

source-interface interface-name

(Opcional) Especifica a interface de origem para a operação.


Defaults

Não há nenhum tipo de operação de SLAs de IP configurado para a operação que está sendo configurada.

Modos de comando

Modo de configuração de monitor SLA de IP (config-sla-monitor)
configuração RTR (config-rtr)

Histórico de comando

Versão
Modificação

11.2

Esse comando foi introduzido.

12.0(5)T

As seguintes palavras-chave e argumentos foram adicionadas:

source-ipaddr {ip-address | hostname}

12.3(7)XR

A palavra-chave source-interface keyword e interface-name foram adicionados.

12.3(11)T

A palavra-chave source-interface keyword e interface-name foram adicionados.

12.4(4)T

Esse comando foi substituído pelo comando icmp-echo.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

O tamanho dos dados do pacote de requisição padrão para uma operação eco ICMP é de 28 bytes. Insira o comando request-data-size para modificar esse valor. Este tamanho de dados é a porção de carga útil do pacote ICMP que cria um pacote IP de 64 bytes.

Conformidade da Configuração de Operação de SLAs IP no Cisco IOS Versão

O comando Cisco IOS utilizado para iniciar a configuração de uma operação de SLAs de IP, varia de acordo com a versão Cisco IOS que está sendo executada (consulte aTabela 5). É necessário fazer a configuração do tipo de operação de SLAs de IP (tal como um jitter UDP [User Datagram Protocol] ou eco ICMP [Internet Control Message Protocol]), antes da configuração de qualquer outro parâmetro de operação.

Para alterar o tipo da operação de SLAs de IP existente, exclua primeiro a operação IP SLA (utilizando o comando de configuração global no ip sla monitor ou no rtr) e, em seguida, configure novamente a operação com o novo tipo.

Tabela 5 Comando Utilizado para Iniciar a Configuração de uma Operação de SLAs de IP Com Base no Cisco IOS Versão. 

Versão do Cisco IOS
Comando de Configuração Global
Modo de Comando Inserido

12.3(14)T, 12.4 e 12.4(2)T

ip sla monitor

Configuração de monitor SLA de IP

12.4(4)T ou versões posteriores

Eficiente com o Cisco IOS Versão 12.4(4)T, o comando ip sla monitor é substituído pelo comando ip sla . Consulte o comando ip sla para mais informações.

Configuração SLA de IP

Todas as outras versões do Cisco IOS

rtr

Configuração de RTR


Exemplos

No seguinte exemplo, a operação de SLAs de IP 10 é criada e configurada como uma operação eco, utilizando o protocolo IP/ICMP e o endereço IP de destino 172.16.1.175. Observe que o comando Cisco IOS, utilizado para iniciar a configuração de uma operação de SLAs de IP, varia de acordo com a versão do Cisco IOS que está sendo executada (consulte a Tabela 5).

Configurando Monitor de SLA de IP

ip sla monitor 10
 type echo protocol ipIcmpEcho 172.16.1.175
!
ip sla monitor schedule 10 start-time now

Configuração de RTR

rtr 10
 type echo protocol ipIcmpEcho 172.16.1.175
!
rtr schedule 10 start-time now

Comandos relacionados

Comando
Descrição

ip sla monitor

Inicia a configuração de uma operação de SLAs de IP e entra no modo de configuração de monitor SLA de IP.

rtr

Inicia a configuração de uma operação de SLAs de IP e entra no modo de configuração RTR.


xauth userid mode

Para especificar como o cliente Easy VPN manipula as requisições de autenticação (Xauth) estendidas, insira o comando xauth userid mode no modo de configuração remota do Cisco IOS Easy VPN. Para remover a configuração, utilize a forma negativa desse comando.

xauth userid mode {http-intercept | interactive | local}

no xauth userid mode {http-intercept | interactive | local}

Descrição da sintaxe

http-intercept

As conexões de HTTP são interceptadas a partir do usuário através da interface interna e de aviso.

interactive

Para autenticar, o usuário deverá utilizar os avisos da CLI (command-line interface) no console. O comportamento padrão é o interativo.

local

O nome do usuário ou a senha salvos é utilizado na configuração.


Defaults

Se o comando não for configurado, o comportamento padrão será o interativo.

Modos de comando

Configuração remota do Cisco IOS Easy VPN

Histórico de comando

Versão
Modificação

12.3(14)T

Esse comando foi introduzido.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

Para receber avisos do console, utilize a palavra-chave interactive.

Para utilizar o nome do usuário ou senha salvos, utilize a palavra-chave local . Se um nome de usuário local ou senha for definido, o modo alterará para o nome de usuário ou senha definido.

Exemplos

O seguinte exemplo mostra que as conexões HTTP serão interceptadas a partir do usuário, que poderá fazer a autenticação utilizando a ativação com base na web:

crypto ipsec client ezvpn tunnel22
  connect manual
  group tunnel22 key 22tunnel
  mode client
  peer 192.168.0.1
  xauth userid mode http-intercept
!
!
interface Ethernet0
  ip address 10.4.23.15 255.0.0.0
  crypto ipsec client ezvpn tunnel22 inside !
interface Ethernet1
  ip address 192.168.0.13 255.255.255.128
  duplex auto
  crypto ipsec client ezvpn catch22
!

Comandos relacionados

Comando
Descrição

crypto ipsec client ezvpn

Cria uma configuração remota do Cisco Easy VPN.

debug crypto ipsec client ezvpn

Exibe as informações sobre as mensagens de controle de voz que foram capturadas pelo Voice DSP Control Message Logger.

debug ip auth-proxy ezvpn

Exibe informações relacionadas ao comportamento de autenticação do proxy para ativação com base na web.

show crypto ipsec client ezvpn

Exibe a configuração do Cisco Easy VPN Remote.

show ip auth-proxy

Exibe as entradas do proxy de autenticação ou a configuração do mesmo em execução.


Apêndice A: Atributos de Configuração de Modo Suportado

Os atributos do modo de configuração são suportados pelo recurso Easy VPN Remote como mostra a seguir:

INTERNAL_IPV4_ADDRESS

INTERNAL_IPV4_NETMASK

INTERNAL_IPV4_DNS

INTERNAL_IPV4_WINS

MODECFG_BACKUPSERVER

MODECFG_DEFDOMAIN

MODECFG_PFS

MODECFG_SPLIT_INCLUDE

Glossário

AAA—autenticação, autorização e contabilidade. Estrutura dos serviços de segurança que fornece o método para identificar usuários (autenticação); controlar acesso remoto (autorização) e coletar e enviar informações do servidor de segurança, utilizadas para faturamento, auditoria e emissão de relatórios (contabilidade).

modo agressivo—Modo que elimina várias etapas durante a negociação de autenticação IKE (Internet Key Exchange) entre dois ou mais peers IPsec. O modo agressivo é mais rápido que o modo principal, porém menos seguro.

autorização—Método de controle de acesso remoto, incluindo a autorização única ou a autorização para cada serviço; a lista de contas por usuário e o perfil; o suporte ao grupo de usuários e o suporte de IP, IPX, ARA e Telnet. A autorização AAA funciona reunindo um conjunto de atributos que descreve o que o usuário está autorizado a executar. Esses atributos são comparados às informações contidas em uma base de dados de um determinado usuário e o resultado retorna para AAA, a fim de determinar as capacidades reais e as restrições do usuário. A base de dados pode ser localizada no servidor de acesso ou router, ou pode estar hospedado remotamente em um servidor de segurança RADIUS ou TACACS+. Os servidores remotos de segurança, tais como o RADIUS e o TACACS+ concedem determinados direitos aos usuários com a associação de pares de valor-atributo (AV), que definem esses direitos para o usuário apropriado. Todos os métodos de autorização devem ser definidos através do AAA.

CA—certificate authority. Uma entidade de rede que emite e gerencia as credenciais de segurança e as chaves públicas (sob a forma de certificados X509v3) para a criptografia de mensagens. Como parte de uma public key infrastructure (PKI), a CA verifica com a RA (registration authority) informações fornecidas pelo usuário que solicitou um certificado digital. Se a RA autenticar as informações do solicitante, a CA poderá então emitir um certificado. Normalmente, os certificados incluem a chave pública do proprietário, a data de expiração do certificado, o nome do proprietário e outras informações sobre o mesmo.

CRWS—Cisco Router Web Setup Tool. Ferramenta que fornece as capacidades de interface da web.

DPD—dead peer detection. Consulta a atividade do peer IKE (Internet Key Exchange) de um router em intervalos regulares.

DSLAM—digital subscriber line access multiplexer. Dispositivo que conecta várias linhas digitais do assinante a uma rede, propagando o tráfego DSL para uma ou mais linhas de tronco da rede.

IKE—Internet Key Exchange. Padrão do protocolo de gerenciamento de chave utilizado em conjunto com o padrão IP Security (IPsec). O IPsec é um recurso de segurança IP que fornece autenticação robusta e a criptografia de pacotes IP. O IPsec pode ser configurado sem o IKE, mas este aprimora o IPsec ao fornecer recursos adicionais, flexibilidade e facilidade de configuração do padrão IPsec. O IKE é um protocolo híbrido que implementa a Oakley key exchange e a Skeme key exchange na estrutura ISAKMP (Internet Security Association and Key Management Protocol). ISAKMP, Oakley e Skeme são protocolos de segurança implementados pelo IKE.

IPsec—IP Security Protocol. Uma estrutura de padrões abertos que fornece confidencialidade, integridade e autenticidade de dados entre os peers participantes. O IPSec fornece esses serviços de segurança na camada IP. O IPSec utiliza o IKE para manipular a negociação de protocolos e algoritmos com base na política local, e para gerar as chaves de criptografia e autenticação a serem utilizadas pelo IPSec. O IPSec pode ser utilizado para proteger um ou mais fluxos de dados entre um par de hosts, de gateways de segurança ou entre um gateway de segurança e um host.

main mode—Modo que garante o nível de segurança mais alto quando dois ou mais peers de IPsec negociam a autenticação IKE. Este requer um tempo de processamento maior que o modo agressivo.

MIB—Management Information Base. Base de dados com informações de gerenciamento de redes utilizada e mantida por um protocolo de gerenciamento de redes, tal como o SNMP (Simple Network Management Protocol) ou o CMIP (Common Management Information Protocol). O valor de um objeto MIB pode ser alterado ou recuperado utilizando os comandos de SNMP ou CMIP, normalmente, através do sistema de NMS (network management system) da GUI (graphical user interface). Os objetos MIB são organizados em uma estrutura de árvore que inclui ramificações públicas (padrão) e privadas (registrado).
peer—Roteador ou dispositivo que atua como ponto final no IPsec e IKE.

preshared key—Chave secreta e compartilhada que utiliza IKE para autenticação.

QoS—quality of service. Capacidade de a rede fornecer melhores serviços para um tráfego de rede selecionado com várias tecnologias, tais como Frame Relay, Asynchronous Transfer Mode (ATM); Ethernet, e redes 802.1, SONET e redes IP roteadas, que podem utilizar uma ou várias dessas tecnologias subjacentes.

RADIUS—Remote Authentication Dial-In User Service. Cliente ou sistema de servidor distribuído, que protege a rede contra acesso não autorizado. Os clientes RADIUS são executados nos routers da Cisco e enviam requisições de autenticação a um servidor RADIUS central, que contém todas as informações referentes à autenticação de usuário e ao acesso a serviços de rede.

SA—security association. Exemplo de política de segurança e material de definição de chaves aplicados a um fluxo de dados. Tanto o IKE quanto o IPsec utilizam SAs, entretanto, essas são independentes entre si. As SAs de IPsec são unidirecionais e exclusivas para cada protocolo de segurança. Já a SA de IKE é utilizada somente pelo IKE e diferentemente da SA de IPsec, é bidirecional. O IKE negocia e estabelece as SAs segundo o IPsec. O usuário também pode estabelecer as SAs de IPsec manualmente.

É necessário um conjunto de SAs para um canal de dados protegido, sendo um por direção para cada protocolo. Por exemplo, se este canal suportar o ESP (encapsulating security payload) entre peers, uma SA de ESP será necessária para cada direção. As SAs são identificadas exclusivamente pelo endereço de destino (ponto final IPsec), protocolo de segurança (AH ou ESP) e SPI (security parameter index).

SDM—Security Device Manager. Gerenciador de interface da web que permite conectar ou desconectar um túnel VPN, além de fornecer essa interface para a autenticação estendida (Xauth).

SNMP—Simple Network Management Protocol. Protocolo de camada do aplicativo que fornece um formato de mensagem para comunicação entre os gerentes e agentes de SNMP.

trap—Mensagem enviada por um agente de SNMP para que um sistema de gerenciamento de redes, console ou terminal indique a ocorrência de um evento significativo, tal como uma condição definida especificamente ou um limite alcançado.

VPN—virtual private network. Habilita o tráfego IP a viajar com segurança em uma rede TCP/IP pública ao criptografar todo o tráfego de uma rede para outra. Um VPN utiliza túneis para criptografar todas as informações no nível IP.

Observação Consulte Internetworking Terms and Acronyms para informações para termos não incluídos neste glossário.