Software Cisco IOS e NX-OS : Software Cisco IOS versões 12.3 T

Interface de Túnel Virtual IPSec

2 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Inglês (19 Junho 2006) | Feedback

Índice

Interface de Túnel Virtual IPsec

Índice

Restrições para a Interface de Túnel Virtual IPsec

Informações sobre Interfaces de Túnel Virtual IPsec

Vantagens do Uso das Interfaces de Túnel Virtual IPsec

Roteamento com Interfaces de Túnel Virtual IPsec

Interfaces Estáticas de Túnel Virtual

Interfaces Dinâmicas de Túnel Virtual

Ciclo de Vida de Interfaces Dinâmicas de Túnel Virtual

Criptografia do Tráfego com a Interface de Túnel Virtual IPsec

Suporte de Atributo por Usuário para Servidores Easy VPN

Como fazer a configuração das Interfaces de Túnel Virtual IPsec

Configurando Interfaces Estáticas de Túnel Virtual IPsec

Configurando Interfaces Dinâmicas de Túnel Virtual IPsec

Configurando Atributos por Usuário em um Servidor AAA de Easy VPN Local

Exemplos de Configurações de Interfaces de Túnel Virtual IPsec

Interface Estática de Túnel Virtual com IPsec: Exemplo

Interface Estática de Túnel Virtual com Detecção de VRF: Exemplo

Interface Estática de Túnel Virtual com QoS: Exemplo

Interface Estática de Túnel Virtual com Firewall Virtual: Exemplo

Servidor Easy VPN de Interfaces Dinâmicas de Túnel Virtual: Exemplo

Easy VPN Client de Interfaces Dinâmicas de Túnel Virtual: Exemplo

IPsec com VTI Dinâmica e Detecção de VRF: Exemplo

Interface Dinâmica de Túnel Virtual com Firewall Virtual: Exemplo

Interface Dinâmica de Túnel Virtual com QoS: Exemplo

Suporte de Atributo por Usuário para Easy VPN Server: Exemplo

Referências Adicionais

Documentação Relacionada

Padrões

MIBs

RFCs

Assistência Técnica

Referências a Comandos

crypto aaa attribute list

crypto isakmp client configuration group

crypto isakmp profile

interface virtual-template

show vtemplate

tunnel mode

virtual-template

Informações de Recursos de Interfaces de Túnel Virtual IPSec


Interface de Túnel Virtual IPsec


Primeira Publicação: 18 de Outubro de 2004
Último Melhoramento: 1 de Agosto de 2006

As VTIs (virtual tunnel interfaces) IPsec (IPsec) fornecem um tipo de interface roteável para túneis IPsec terminais e uma maneira fácil de definir a proteção entre sites para formar uma rede de sobreposição. As VTIs IPsec simplificam a configuração de IPsec para a proteção de ligações remotas, suportam a transmissão múltipla e simplificam o gerenciamento de redes e o equilíbrio de carga.

Localizando Informações de Recursos Neste Módulo

É possível que a versão do Cisco IOS Software não tenha suporte para todos os recursos documentados neste módulo. Para obter as ligações para a documentação do recurso específico neste módulo e para ver uma lista das versões com suporte para cada recurso, consulte a seção "Informações de Recurso das Virtual Tunnel Interfaces IPsec".

Localizando Informações de Suporte para Plataformas e Imagens do Cisco IOS Software

Use o Cisco Feature Navigator para localizar informações sobre suporte de plataforma e suporte de imagem do Cisco IOS Software. Acesse Cisco Feature Navigator em http://www.cisco.com/go/fn. É necessário ter uma conta em Cisco.com. Se não possui uma conta ou esqueceu o nome de usuário ou a senha, clique em Cancelar na caixa de diálogo de login e siga as instruções exibidas.

Índice

Restrições para a Interface de Túnel Virtual IPsec

Informações sobre Interfaces de Túnel Virtual IPsec

Como fazer a configuração das Interfaces de Túnel Virtual IPsec

Exemplos de Configurações de Interfaces de Túnel Virtual IPsec

Referências Adicionais

Referências a Comandos

Informações de Recursos de Interfaces de Túnel Virtual IPSec

Restrições para a Interface de Túnel Virtual IPsec

Grupo de Transformação IPsec

O grupo de transformação IPsec deve ser configurado no modo de túnel somente.

Associação de Segurança IKE

A SA (security association) do IKE (Internet Key Exchange) é um vínculo à VTI. Por ser um vínculo à VTI, a mesma IKE SA não pode ser utilizada para um mapa de criptografia.

Proxy

VTIs estáticas suportam somente proxies IP ANY ANY.

Somente um proxy é suportado com a VTI.

VTIs Dinâmicas, por outro lado, suportam mais de um proxy.

Modelagem de Tráfego QoS

O tráfego modelado é um processo comutado.

Failover stateful

IPsec stateful failover não é suportado com IPsec VTIs.

Proteção de Túnel

A palavra-chave shared não é necessária e não deve ser configurada ao utilizar o comando tunnel mode ipsec ipv4 do modo IPsec IPv4.

VTIs Estáticas Versus Túneis GRE

A IPsec VTI é limitada ao tráfego IP de transmissão única e múltipla apenas, contrário aos túneis GRE, que possuem um aplicativo maior para implementação de IPsec.

Configuração do VRF-Aware IPsec

Em configurações VRF-aware IPsec com VTIs estáticas ou dinâmicas (DVTIs), o VRF não deve ser configurado em perfil ISAKMP (Internet Security Association and Key Management Protocol). Em vez disso, o VRF deve ser configurado na interface de túnel para VTIs estáticas. Para DVTIs, você deve aplicar VRF ao vtemplate utilizando o comando ip vrf forwarding.

Informações sobre Interfaces de Túnel Virtual IPsec

O uso de IPsec VTIs simplifica muito o processo de configuração quando é necessário fornecer proteção para acesso remoto e uma alternativa mais simples para usar túneis de GRE (generic routing encapsulation) ou L2TP (Layer 2 Tunneling Protocol) para encapsulamento e mapas de criptografia com IPsec. O maior benefício associado às IPsec VTIs é que a configuração não precisa de um mapeamento estático de sessões IPsec para uma interface física. O ponto final do túnel IPsec está associado a uma interface (virtual) real. Como há uma interface roteável no ponto final do túnel, muitos recursos comuns da interface podem ser aplicados ao túnel IPsec.

A IPsec VTI permite a flexibilidade de enviar e receber tanto por tráfego IP de transmissão única quanto múltipla, criptografado em qualquer interface física, como no caso de caminhos múltiplos. O tráfego é criptografado ou descriptografado quando é encaminhado de ou para uma interface de túnel e é gerenciado pela tabela de IP Routing. O IP Routing dinâmico ou estático pode ser utilizado para rotear o tráfego para interface virtual. Utilizando o IP Routing para encaminhar o tráfego para interface de túnel simplifica a configuração de IPsec VPN comparada ao processo mais complexo de utilizar ACLs (access control lists) com o mapa de criptografia em configurações IPsec nativas. A função das DVTIs, como qualquer outra interface real, pode ser aplicada a Quality of Service (QoS), firewall e outros serviços de segurança tão logo o túnel seja ativado.

Sem o VAM2+ (Acceleration Module2+) da VPN (Virtual Private Network) acelerando as interfaces virtuais, o pacote que atravessa uma interface virtual IPsec é direcionado para outro RP (router processor) para encapsulamento. Esse método tende a ser lento e com escalabilidade limitada. No modo de criptografia de hardware, todas as IPsec VTIs são aceleradas pelo mecanismo de criptografia VAM2+ e todo o tráfego que passa pelo túnel é criptografado e descriptografado pelo VAM2+.

As seções a seguir fornecem detalhes sobre a IPsec VTI:

Vantagens do Uso das Interfaces de Túnel Virtual IPsec

Roteamento com Interfaces de Túnel Virtual IPsec

Interfaces Estáticas de Túnel Virtual

Interfaces Dinâmicas de Túnel Virtual

Ciclo de Vida de Interfaces Dinâmicas de Túnel Virtual

Criptografia do Tráfego com a Interface de Túnel Virtual IPsec

Suporte de Atributo por Usuário para Servidores Easy VPN

Vantagens do Uso das Interfaces de Túnel Virtual IPsec

As VTIs IPsec permitem que você faça a configuração de uma interface virtual na qual pode aplicar os recursos. Recursos para pacotes de texto claro são configurados na VTI. Recursos para pacotes criptografados são aplicados na interface externa física. Quando são utilizadas as VTIs IPsec, você pode separar o aplicativo de recursos, como NAT, ACLs e QoS e aplicá-los ao texto claro, criptografado ou ambos. Quando são utilizados mapas de criptografia, não há maneira simples de aplicar recursos de criptografia ao túnel IPsec.

Roteamento com Interfaces de Túnel Virtual IPsec

Como as VITs são interfaces roteáveis, o roteamento exerce uma função importante no processo de criptografia. O tráfego é criptografado somente se ele for encaminhado para fora da VTI, e o tráfego que chega à VTI é descriptografado e roteado de acordo. As VTIs permitem que você estabeleça um túnel de criptografia utilizando uma interface real como ponto final do túnel. É possível rotear para a interface ou aplicar serviços como QoS, firewalls, tradução de endereço de rede e estatísticas Netflow, assim como faria para qualquer outra interface. É possível monitorar a interface, rotear para ela, e ela tem uma vantagem sobre os mapas de criptografia por ser uma interface real e fornecer o benefício de qualquer outra interface regular do Cisco IOS. Além disso, a VTI criptografa o tráfego que é enviado a ela.

É possível rotear protocolos na interface do túnel de modo que as informações de roteamento podem ser propagadas sobre o túnel virtual. O router pode estabelecer relacionamento de vizinhança sobre a VTI. Pacotes de transmissão múltipla podem ser criptografados e a interoperabilidade com instalações de IPsec baseadas em padrão é possível porque a IPsec VTI estática negociará e aceitará proxies permit IP ANY ANY.

Há dois tipos de interfaces VTI: VTI estática (SVTIs) e VTI dinâmica (DVTIs).

Interfaces Estáticas de Túnel Virtual

As configurações SVTI podem ser utilizadas para conectividade de site a site na qual um túnel fornece acesso sempre ativo entre dois sites. A vantagem de usar as SVTIs como opostas ao mapa de criptografia é porque os usuários podem permitir protocolos de roteamento dinâmico na interface de túnel sem os 4 bytes extras requeridos para cabeçalhos GRE, reduzindo assim a largura de banda para envio de dados criptografados.

Além disso, os múltiplos recursos do software Cisco IOS podem ser configurados diretamente na interface de túnel e na interface de afastamento físico da interface de túnel. Essa configuração direta permite que os usuários tenham controle sólido do aplicativo de recursos no caminho pré ou pós criptografia.

A Figura 1 ilustra como uma VTI estática é utilizada.

Figura 1: VTI Estática IPsec

A VTI IPsec suporta tunelamento IPsec nativo e exibe a maior parte das propriedades de uma interface física.

Interfaces Dinâmicas de Túnel Virtual

As DVTIs podem fornecer conectividade altamente segura e escalável para VPNs de acesso remoto. A tecnologia DVTI substitui mapas de criptografia dinâmica e o método hub-and-spoke dinâmico para estabelecer túneis.

As VTIs dinâmicas podem ser utilizadas para configuração de servidor e remota. Os túneis fornecem uma interface de

acesso virtual separada sob demanda para cada sessão VPN. A configuração das interfaces de acesso virtual é clonada de uma configuração de modelo virtual, que inclui a configuração IPsec e qualquer recurso do software Cisco IOS configurado na interface de modelo virtual, como QoS, NetFlow ou ACLs.

As DVTIs funcionam como qualquer outra interface real, de modo que é possível aplicar os serviços QoS, firewall ou outros serviços de segurança tão logo o túnel esteja ativo. Os recursos QoS podem ser utilizados para melhorar o desempenho de vários aplicativos pela rede. Qualquer combinação de recursos QoS oferecidos no software Cisco IOS pode ser utilizada para suportar aplicativos de voz, vídeo e dados.

As VTIs dinâmicas são eficientes no uso de endereços IP e oferecem conectividade segura. As VTIs dinâmicas permitem a configuração de políticas dinamicamente transferíveis por grupo e por usuário em um servidor RADIUS. A definição por grupo ou por usuário pode ser criada utilizando autenticação estendida (Xauth) grupo de Usuário ou Unidade, ou ela pode ser derivada de um certificado. As VTIs dinâmicas são baseadas em padrões, de modo que há suporte para interoperabilidade em um ambiente de vários fornecedores. As VTIs dinâmicas IPsec permitem criar uma conectividade altamente segura para VPNs de acesso remoto e podem ser combinadas com Cisco AVVID (Arquitetura for Voice, Video, and Integrated Data) para fornecer voz, vídeo e dados convergidos para redes IP. A VTI dinâmica simplifica o roteamento VRF (Virtual Private Network) e implementação de IPsec de detecção de encaminhamento (VRF-). O VRF é configurado na interface.

Uma VTI dinâmica requer configuração mínima no router. Um modelo virtual único pode ser configurado e clonado.

A VTI dinâmica cria uma interface para sessões IPsec e utiliza a infra-estrutura do modelo virtual para prontidão e gerenciamento dinâmico de VTIs dinâmicas IPsec. A infra-estrutura do modelo virtual é estendida para criar interfaces de túnel de acesso virtual dinâmico. As VTIs dinâmicas são utilizadas em configurações hub-and-spoke. Uma única VTI dinâmica pode suportar várias VTIs estáticas. São tomadas decisões através dos melhoramentos de roteamento. A Figura 2 ilustra o caminho de autenticação VTI dinâmico.

Figura 2: VTI IPsec Dinâmica

A autenticação mostrada na Figura 2 segue este caminho:

1. Usuário 1 chama o router.

2. Router 1 autentica Usuário 1.

3. IPsec clona a interface de acesso virtual de uma interface modelo virtual.

Ciclo de Vida de Interfaces Dinâmicas de Túnel Virtual

Perfis IPsec definem a política para VTIs dinâmicas. A interface dinâmica é criada no final da IKE Fase 1 e IKE Fase 1.5. A interface é excluída quando a sessão IPsec para o ponto é fechada. A sessão IPsec é fechada quando SAs, IKE e IPsec para o ponto são excluídos.

Criptografia do Tráfego com a Interface de Túnel Virtual IPsec

Quando uma VTI IPsec é configurada, a criptografia ocorre no túnel. O tráfego é criptografado quando é encaminhado para a interface de túnel. O encaminhamento do tráfego é tratado pela tabela de IP Routing, e o IP Routing dinâmico ou estático pode ser utilizado para rotear o tráfego na VTI. Utilizando o IP Routing para encaminhar o tráfego para criptografia simplifica a configuração de IPsec VPN porque o uso de ACLs com um mapa de criptografia em configurações IPsec nativas não é exigido. O túnel virtual IPsec também permite que você criptografe tráfego de transmissão múltipla com IPsec.

O fluxo do pacote IPsec dentro do túnel IPsec está ilustrado na Figura 3.

Figura 3: Fluxo do Pacote Dentro do Túnel IPsec

Depois dos pacotes apareceram na interface interna, o mecanismo de encaminhamento comuta os pacotes para a VTI, onde são criptografados. Os pacotes criptografados são conduzidos novamente para o mecanismo de encaminhamento, onde são comutados por toda interface externa.

A Figura 4 mostra o fluxo do pacote fora do túnel IPsec.

Figura 4: Fluxo do Pacote fora do Túnel IPsec

Suporte de Atributo por Usuário para Servidores Easy VPN

O recurso Suporte de Atributo Por-Usuário para Servidores Easy VPN fornece aos usuários a capacidade de suportar atributos por-usuário em servidores Easy VPN. Esses atributos são aplicados na interface de acesso virtual.

Servidor Easy VPN AAA Local

Para um servidor Easy VPN AAA local, os atributos por usuário podem ser aplicados no nível de grupo ou em nível de grupo utilizando a interface de linha de comandos CLI (command-line interface).

Para fazer a configuração dos atributos por usuário para um servidor Easy VPN local, consulte "Configurando Atributos Por-Usuário em um Servidor Easy VPN AAA Local."

Servidor Easy VPN AAA Remoto

Pares de AV (attribute value) podem ser definidos em um servidor Easy VPN AAA remoto como mostrado neste exemplo:

cisco-avpair = "ip:outacl#101=permit tcp any any established

Atributos Por Usuário

Os seguintes atributos por usuário estão atualmente definidos no servidor AAA e são aplicáveis ao IPsec:

inacl

interface-config

outacl

route

rte-fltr-in

rte-fltr-out

sub-policy-In

sub-policy-Out

policy-route

prefix

Como fazer a configuração das Interfaces de Túnel Virtual IPsec

Configurando Interfaces Estáticas de Túnel Virtual IPsec

Configurando Interfaces Dinâmicas de Túnel Virtual IPsec

Configurando Atributos por Usuário em um Servidor AAA de Easy VPN Local

Configurando Interfaces Estáticas de Túnel Virtual IPsec

Esta configuração mostra como configurar uma VTI IPsec estática.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. crypto IPsec profile profile-name

4. set transform-set transform-set-name

5. interface type number

6. ip address address mask

7. tunnel mode ipsec ipv4

8. tunnel source interface

9. tunnel destination ip-address

10. tunnel protection IPsec profile profile-name [shared]

ETAPAS DETALHADAS

 
Comando ou Ação
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

crypto IPsec profile profile-name

Exemplo:

Router(config)# crypto IPsec profile PROF

Define os parâmetros de IPsec a serem usados na criptografia de IPsec entre dois routers IPsec.

Etapa 4 

set transform-set transform-set-name [transform-set-name2...transform-set-name6]

Exemplo:

Router(config)# set transform-set tset

Especifica os grupos de transformação que podem ser utilizados com a entrada de mapa de criptografia.

Etapa 5 

interface type number

Exemplo:

Router(config)# interface tunnel0

Especifica a interface na qual o túnel será configurado e insere o modo de configuração da interface.

Etapa 6 

ip address address mask

Exemplo:

Router(config-if)# ip address 10.1.1.1 255.255.255.0

Especifica o endereço IP e a máscara.

Etapa 7 

tunnel mode ipsec ipv4

Exemplo:

Router(config-if)# tunnel mode ipsec ipv4

Define o modo do túnel.

Etapa 8 

tunnel source interface

Exemplo:

Router(config-if)# tunnel source loopback0

Especifica a origem do túnel como uma interface loopback.

Etapa 9 

tunnel destination ip-address

Exemplo:

Router(config-if)# tunnel destination 172.16.1.1

Identifica o endereço IP do destino do túnel.

Etapa 10 

tunnel protection IPsec profile profile-name [shared]

Exemplo:

Router(config-if)# tunnel protection IPsec profile PROF

Associa uma interface de túnel a um perfil IPsec.

Configurando Interfaces Dinâmicas de Túnel Virtual IPsec

Esta tarefa mostra como fazer a configuração de uma VTI IPsec dinâmica.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. crypto IPsec profile profile-name

4. set transform-set transform-set-name

5. interface virtual-template number

6. tunnel mode mode

7. tunnel protection IPsec profile profile-name [shared]

8. exit

9. crypto isakamp profile profile-name

10. virtual-template template-number

ETAPAS DETALHADAS

 
Comando ou Ação
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

crypto IPsec profile profile-name

Exemplo:

Router(config)# crypto IPsec profile PROF

Define os parâmetros de IPsec a serem usados na criptografia de IPsec entre dois routers IPsec.

Etapa 4 

set transform-set transform-set-name [transform-set-name2...transform-set-name6]

Exemplo:

Router(config)# set transform-set tset

Especifica os grupos de transformação que podem ser utilizados com a entrada de mapa de criptografia.

Etapa 5 

interface virtual-template number

Exemplo:

Router(config)# interface virtual-template 2

Define uma interface de túnel de modelo virtual e insere o modo de configuração da interface.

Etapa 6 

tunnel mode ipsec ipv4

Exemplo:

Router(config-if)# tunnel mode ipsec ipv4

Define o modo do túnel.

Etapa 7 

tunnel protection IPsec profile profile-name [shared]

Exemplo:

Router(config-if)# tunnel protection IPsec profile PROF

Associa uma interface de túnel a um perfil IPsec.

Etapa 8 

exit

Exemplo:

Router(config-if)# exit

Sai do modo de configuração da interface.

Etapa 9 

crypto isakamp profile profile-name

Exemplo:

Router(config)# crypto isakamp profile red

Define o perfil ISAKAMP a ser utilizado para o modelo virtual.

Etapa 10 

virtual-template template-number

Exemplo:

Router(config)# virtual-template 1

Especifica o modelo virtual conectado ao perfil ISAKAMP.

Configurando Atributos por Usuário em um Servidor AAA de Easy VPN Local

Para fazer a configuração dos atributos por usuário em um servidor Easy VPN AAA local, execute as seguintes tarefas.

RESUMO DAS ETAPAS

1. enable

2. configure terminal

3. aaa attribute list list-name

4. attribute type name value [service service] [protocol protocol]

5. exit

6. crypto isakmp client configuration group group-name

7. crypto aaa attribute list list-name

ETAPAS DETALHADAS

 
Comando ou Ação
Propósito

Etapa 1 

enable

Exemplo:

Router> enable

Habilita o modo EXEC com privilégio.

Insira a senha, se solicitado.

Etapa 2 

configure terminal

Exemplo:

Router# configure terminal

Insere o modo de configuração global.

Etapa 3 

aaa attribute list list-name

Exemplo:

Router(config)# aaa attribute list list1

Define uma lista de atributos AAA localmente em um router e insere o modo de configuração da lista de atributos.

Etapa 4 

attribute type name value [service service] [protocol protocol]

Exemplo:

Router(config-attr-list)# attribute type attribute xxxx service ike protocol ip

Define um tipo de atributo que é para ser adicionado a uma lista de atributos localmente em um router.

Etapa 5 

exit

Exemplo:

Router(config-attr-list)# exit

Encerra do modo de configuração da lista de atributos.

Etapa 6 

crypto isakmp client configuration group group-name

Exemplo:

Router (config)# crypto isakmp client configuration group group1

Especifica a qual grupo um perfil de política será definido e insere o modo de configuração de grupo ISAKMP.

Etapa 7 

crypto aaa attribute list list-name

Exemplo:

Router (config-isakmp-group)# crypto aaa attribute list listname1

Define uma lista de atributos AAA localmente em um router.

Exemplos de Configurações de Interfaces de Túnel Virtual IPsec

Os exemplos a seguir são fornecidos para ilustrar cenários de configuração para VTIs IPsec:

Interface Estática de Túnel Virtual com IPsec: Exemplo

Interface Estática de Túnel Virtual com Detecção de VRF: Exemplo

Interface Estática de Túnel Virtual com QoS: Exemplo

Interface Estática de Túnel Virtual com Firewall Virtual: Exemplo

Servidor Easy VPN de Interfaces Dinâmicas de Túnel Virtual: Exemplo

Easy VPN Client de Interfaces Dinâmicas de Túnel Virtual: Exemplo

IPsec com VTI Dinâmica e Detecção de VRF: Exemplo

Interface Dinâmica de Túnel Virtual com Firewall Virtual: Exemplo

Interface Dinâmica de Túnel Virtual com QoS: Exemplo

Suporte de Atributo por Usuário para Easy VPN Server: Exemplo

Interface Estática de Túnel Virtual com IPsec: Exemplo

O exemplo de configuração a seguir utiliza uma chave previamente compartilhada para autenticação entre pontos. O tráfego VPN é encaminhado à VTI IPsec para criptografia e então enviada para fora da interface física. O túnel na sub-rede 10 verifica os pacotes para política IPsec e os transmite para o CE (Crypto Engine) para encapsulamento IPsec. A Figura 5 ilustra a configuração da VTI IPsec.

Figura 5: VTI com IPsec

Configuração do Router C7206

version 12.3

service timestamps debug datetime
service timestamps log datetime
hostname 7200-3
no aaa new-model
ip subnet-zero
ip cef
controller ISA 6/1
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key Cisco12345 address 0.0.0.0 0.0.0.0
crypto IPsec transform-set T1 esp-3des esp-sha-hmac
crypto IPsec profile P1
set transform-set T1
!


interface Tunnel0
 ip address 10.0.51.203 255.255.255.0
 ip ospf mtu-ignore
 load-interval 30
 tunnel source 10.0.149.203
 tunnel destination 10.0.149.217
 tunnel mode IPsec ipv4
 tunnel protection IPsec profile P1
!
interface Ethernet3/0
 ip address 10.0.149.203 255.255.255.0
 duplex full
!
interface Ethernet3/3
 ip address 10.0.35.203 255.255.255.0
 duplex full
!
ip classless
ip route 10.0.36.0 255.255.255.0 Tunnel0
line con 0
line aux 0
line vty 0 4
end

Configuração do Router C1750

version 12.3

hostname c1750-17
no aaa new-model
ip subnet-zero
ip cef
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2

crypto isakmp key Cisco12345 address 0.0.0.0 0.0.0.0
crypto IPsec transform-set T1 esp-3des esp-sha-hmac
crypto IPsec profile P1
set transform-set T1
!
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 ip ospf mtu-ignore
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
!
interface FastEthernet0/0
 ip address 10.0.149.217 255.255.255.0
 speed 100
 full-duplex
!
interface Ethernet1/0
 ip address 10.0.36.217 255.255.255.0
 load-interval 30
 full-duplex
!


ip classless
ip route 10.0.35.0 255.255.255.0 Tunnel0
line con 0
line aux 0
line vty 0 4
end

Verificando os Resultados da Virtual Tunnel Interface Estática IPsec: Exemplo

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente. Nesta exibição, o Túnel 0 está "up," e o protocolo da linha está "up." Se o protocolo da linha estiver "down," a sessão não estará ativa.

Verificando o Status C7206

Router# show interface tunnel 0

Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.0.51.203/24
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 103/255, rxload 110/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 10.0.149.203, destination 10.0.149.217
Tunnel protocol/transport IPsec/IP, key disabled, sequencing disabled
Tunnel TTL 255

Checksumming of packets disabled, fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPsec (profile "P1")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
30 second input rate 13000 bits/sec, 34 packets/sec
30 second output rate 36000 bits/sec, 34 packets/sec
191320 packets input, 30129126 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
59968 packets output, 15369696 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

Router# show crypto session

Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 10.0.149.217 port 500
IKE SA: local 10.0.149.203/500 remote 10.0.149.217/500 Active
IPsec FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 4, origin: crypto map

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C 10.0.35.0/24 is directly connected, Ethernet3/3
S 10.0.36.0/24 is directly connected, Tunnel0
C 10.0.51.0/24 is directly connected, Tunnel0
C 10.0.149.0/24 is directly connected, Ethernet3/0

Interface Estática de Túnel Virtual com Detecção de VRF: Exemplo

Para adicionar VRF à VTI estática do exemplo, inclua os comandos ipvrf e ip vrf forwarding na configuração conforme mostrado no exemplo a seguir.

Configuração do Router C7206

hostname c7206
.
.
ip vrf sample-vti1
 rd 1:1
 route-target export 1:1
 route-target import 1:1
!
.
.
interface Tunnel0
 ip vrf forwarding sample-vti1
 ip address 10.0.51.217 255.255.255.0
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
.
.
!
end

Interface Estática de Túnel Virtual com QoS: Exemplo

Você pode aplicar qualquer política QoS ao ponto final do túnel incluindo a instrução service-policy sob a interface do túnel. O exemplo a seguir é um tráfego de vigilância fora da interface de túnel.

Configuração do Router C7206

hostname c7206
.
.
class-map match-all VTI
 match any
!
policy-map VTI
  class VTI
  police cir 2000000
    conform-action transmit
    exceed-action drop
!
.
.
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
 service-policy output VTI
!
.
.
!
end

Interface Estática de Túnel Virtual com Firewall Virtual: Exemplo

A aplicação do firewall virtual ao túnel VTI estático permite que o tráfego do spoke passe pelo hub para chegar à Internet. A Figura 6 ilustra uma VTI estática com o spoke protegido inerentemente pelo firewall corporativo.

Figura 6: VTI Estática com Firewall Virtual

A configuração básica da VTI estática foi modificada para incluir a definição de firewall virtual.

Configuração do Router C7206

hostname c7206
.
.
ip inspect max-incomplete high 1000000
ip inspect max-incomplete low 800000
ip inspect one-minute high 1000000
ip inspect one-minute low 800000
ip inspect tcp synwait-time 60
ip inspect tcp max-incomplete host 100000 block-time 2
ip inspect name IOSFW1 tcp timeout 300
ip inspect name IOSFW1 udp
!
.
.
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
 ip access-group 100 in
 ip nat outside
!
interface Tunnel0
 ip address 10.0.51.217 255.255.255.0
 ip nat inside
 ip inspect IOSFW1 in
 tunnel source 10.0.149.217
 tunnel destination 10.0.149.203
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile P1
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
ip nat translation timeout 120
ip nat translation finrst-timeout 2
ip nat translation max-entries 300000
ip nat pool test1 10.2.100.1 10.2.100.50 netmask 255.255.255.0
ip nat inside source list 110 pool test1 vrf test-vti1 overload
!
access-list 100 permit esp any any
access-list 100 permit udp any eq isakmp any
access-list 100 permit udp any eq non500-isakmp any
access-list 100 permit icmp any any
access-list 110 deny   esp any any
access-list 110 deny   udp any eq isakmp any
access-list 110 permit ip any any
access-list 110 deny   udp any eq non500-isakmp any
!
end

Servidor Easy VPN de Interfaces Dinâmicas de Túnel Virtual: Exemplo

O exemplo a seguir ilustra o uso do servidor DVTI Easy VPN, que serve como um agregador de acesso remoto IPsec. O cliente pode ser um usuário local executando um Cisco VPN Client ou pode ser um router Cisco IOS configurado como um cliente Easy VPN.

Configuração do Router C7206

hostname c7206
!
aaa new-model
aaa authentication login local_list local
aaa authorization network local_list local
aaa session-id common
!
ip subnet-zero
ip cef
!
username cisco password 0 cisco123
!
controller ISA 1/1
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group group1
 key cisco123
 pool group1pool
 save-password
!
crypto isakmp profile vpn1-ra
   match identity group group1
   client authentication list local_list
   isakmp authorization list local_list
   client configuration address respond
   virtual-template 1
!
crypto ipsec transform-set VTI-TS esp-3des esp-sha-hmac
!
crypto ipsec profile test-vti1
 set transform-set VTI-TS
!
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
!
interface GigabitEthernet0/2
 description Internal Network
 ip address 10.2.1.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
ip local pool group1pool 192.168.1.1 192.168.1.4
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
end

Verificando os Resultados do Easy VPN Server da Virtual Tunnel Interface Dinâmica: Exemplo

Os exemplos a seguir mostram que uma VTI dinâmica foi configurada para um servidor Easy VPN.

Router# show running-config interface Virtual-Access2

Building configuration...

Current configuration : 250 bytes
!
interface Virtual-Access2
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel source 172.18.143.246
 tunnel destination 172.18.143.208
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
 no tunnel protection ipsec initiate
end

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.1.10 to network 0.0.0.0

     172.18.0.0/24 is subnetted, 1 subnets
C       172.18.143.0 is directly connected, GigabitEthernet0/1
     192.168.1.0/32 is subnetted, 1 subnets
S       192.168.1.1 [1/0] via 0.0.0.0, Virtual-Access2
     10.0.0.0/24 is subnetted, 1 subnets
C       10.2.1.0 is directly connected, GigabitEthernet0/2
S*   0.0.0.0/0 [1/0] via 172.18.143.1

Easy VPN Client de Interfaces Dinâmicas de Túnel Virtual: Exemplo

O exemplo a seguir mostra como você pode configurar um router como cliente Easy VPN. Este exemplo utiliza basicamente a mesma idéia que o cliente Easy VPN que você pode executar a partir de um PC para conectar. Na realidade, a configuração do servidor Easy VPN trabalhará para o software cliente ou o Cisco IOS cliente.

hostname c1841
!
no aaa new-model
!
ip cef
!
username cisco password 0 cisco123
!
crypto ipsec client ezvpn CLIENT
 connect manual
 group group1 key cisco123
 mode client
 peer 172.18.143.246
 virtual-interface 1
 username cisco password cisco123
 xauth userid mode local
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface FastEthernet0/0
 description Internet Connection
 ip address 172.18.143.208 255.255.255.0
 crypto ipsec client ezvpn CLIENT
!
interface FastEthernet0/1
 ip address 10.1.1.252 255.255.255.0
 crypto ipsec client ezvpn CLIENT inside
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
!
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
end

A definição de cliente pode ser configurada de muitas maneiras diferentes. O modo especificado com o comando connect pode ser automático ou manual. Se o modo de conexão estiver configurado para manual, o túnel IPsec precisa ser iniciado manualmente por um usuário.

Observe também o uso do comando mode. O modo pode ser cliente, extensão de rede ou extensão de rede ampla. Esse exemplo indica modo cliente, o que significa que ao cliente é dado um endereço privado do servidor. O modo extensão de rede é diferente do modo cliente já que o cliente especifica para o servidor sua sub-rede privada conectada. Dependendo do modo, a tabela de roteamento em ambas as extremidades será ligeiramente diferente. A operação básica do túnel IPSec permanece a mesma, independentemente do modo especificado.

Verificando os Resultados do Easy VPN Client da Virtual Tunnel Interface Dinâmica: Exemplo

Os exemplos a seguir ilustram diferentes maneiras de exibir o status da DVTI.

Router# show running-config interface Virtual-Access2

Building configuration...

Current configuration : 148 bytes
!
interface Virtual-Access2
 ip unnumbered Loopback1
 tunnel source FastEthernet0/0
 tunnel destination 172.18.143.246
 tunnel mode ipsec ipv4
end

Router# show running-config interface Loopback1

Building configuration...

Current configuration : 65 bytes
!
interface Loopback1
 ip address 192.168.1.1 255.255.255.255
end

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 172.18.143.1 to network 0.0.0.0

     10.0.0.0/32 is subnetted, 1 subnets
C       10.1.1.1 is directly connected, Loopback0
     172.18.0.0/24 is subnetted, 1 subnets
C       172.18.143.0 is directly connected, FastEthernet0/0
     192.168.1.0/32 is subnetted, 1 subnets
C       192.168.1.1 is directly connected, Loopback1
S*   0.0.0.0/0 [1/0] via 172.18.143.1
               [1/0] via 0.0.0.0, Virtual-Access2

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : CLIENT
Inside interface list: FastEthernet0/1
Outside interface: Virtual-Access2 (bound to FastEthernet0/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.1.1
Mask: 255.255.255.255
Save Password: Allowed
Current EzVPN Peer: 172.18.143.246

IPsec com VTI Dinâmica e Detecção de VRF: Exemplo

Este exemplo mostra como fazer a configuração da IPsec de Detecção de VRF para tirar vantagem da VTI dinâmica:

hostname c7206
.
.
ip vrf test-vti1
 rd 1:1
 route-target export 1:1
 route-target import 1:1
!
.
.
interface Virtual-Template1 type tunnel
 ip vrf forwarding test-vti1
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
.
.
end

Interface Dinâmica de Túnel Virtual com Firewall Virtual: Exemplo

O servidor DVTI Easy VPN pode ser configurado por trás de um firewall virtual. A configuração por trás do firewall permite aos usuários entrarem na rede, enquanto o firewall de rede é protegido contra acesso não autorizado. O firewall virtual utiliza Controle de Acesso Baseado em Contexto (CBAC) e NAT aplicado à interface da Internet assim como ao modelo virtual.


hostname c7206
.
.
ip inspect max-incomplete high 1000000
ip inspect max-incomplete low 800000
ip inspect one-minute high 1000000
ip inspect one-minute low 800000
ip inspect tcp synwait-time 60
ip inspect tcp max-incomplete host 100000 block-time 2
ip inspect name IOSFW1 tcp timeout 300
ip inspect name IOSFW1 udp
!
.
.
interface GigabitEthernet0/1
 description Internet Connection
 ip address 172.18.143.246 255.255.255.0
 ip access-group 100 in
 ip nat outside
!
interface GigabitEthernet0/2
 description Internal Network
 ip address 10.2.1.1 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip nat inside
 ip inspect IOSFW1 in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.143.1
!
ip nat translation timeout 120
ip nat translation finrst-timeout 2
ip nat translation max-entries 300000
ip nat pool test1 10.2.100.1 10.2.100.50 netmask 255.255.255.0
ip nat inside source list 110 pool test1 vrf test-vti1 overload
!
access-list 100 permit esp any any
access-list 100 permit udp any eq isakmp any
access-list 100 permit udp any eq non500-isakmp any
access-list 100 permit icmp any any
access-list 110 deny   esp any any
access-list 110 deny   udp any eq isakmp any
access-list 110 permit ip any any
access-list 110 deny   udp any eq non500-isakmp any
!
end

Interface Dinâmica de Túnel Virtual com QoS: Exemplo

Você pode adicionar QoS ao túnel DVTI aplicando a política de serviço ao modelo virtual. Quando o modelo é clonado para fazer a interface de acesso virtual, a política de serviço será aplicada então. O exemplo a seguir mostra a configuração básica DVTI com QoS incluído.

hostname c7206
.
.
class-map match-all VTI
 match any
!
policy-map VTI
  class VTI
  police cir 2000000
    conform-action transmit
    exceed-action drop
!
.
.
interface Virtual-Template1 type tunnel
 ip vrf forwarding test-vti1
 ip unnumbered Loopback0
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti1
 service-policy output VTI
!
.
.
!
end

Suporte de Atributo por Usuário para Easy VPN Server: Exemplo

O exemplo a seguir mostra que os atributos por-usuário foram configurados em um servidor Easy VPN.

!

aaa new-model
!
!
aaa authentication login default local
aaa authentication login noAAA none
aaa authorization network default local
!
aaa attribute list per-group
 attribute type inacl "per-group-acl" service ike protocol ip mandatory
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
username example password 0 example
!
!
crypto isakmp policy 3
 authentication pre-share
 group 2
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group PerUserAAA
 key cisco
 pool dpool
 crypto aaa attribute list per-group
!
crypto isakmp profile vi
 match identity group PerUserAAA
 isakmp authorization list default
 client configuration address respond
 client configuration group PerUserAAA
 virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac
!
crypto ipsec profile vi
 set transform-set set
 set isakmp-profile vi
!
!
interface GigabitEthernet0/0
 description 'EzVPN Peer'
 ip address 192.168.1.1 255.255.255.128
 duplex full
 speed 100
 media-type rj45
 no negotiation auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
ip classless
!
no ip http server
no ip http secure-server
!
!
ip access-list extended per-group-acl
 permit tcp any any
 deny   icmp any any
logging alarm informational
logging trap debugging
!
control-plane
!
gatekeeper
 shutdown
!
line con 0
line aux 0
 stopbits 1
line vty 0 4
!
!
end

Referências Adicionais

As seções a seguir oferecem referências relacionadas à interface de túnel virtual IPsec.

Documentação Relacionada

Tópico Relacionado
Título do Documento

IPsec, problemas de segurança

Guia de Configuração de Segurança do Cisco IOS

Comandos de Segurança

Referências a Comandos de Segurança do Cisco IOS

Configuração de VPN

Cisco IOS Easy VPN Server

Cisco IOS Easy VPN Remoto


Padrões

Padrão
Título

Não há suporte para padrões novos ou modificados neste recurso, e o suporte para os padrões existentes não foi modificado por este recurso.


MIBs

MIB
Ligação de MIBs

Não há suporte para MIBs novos ou modificados neste recurso, e o suporte para os MIBs existentes não foi modificado por este recurso.

Para localizar e fazer download de MIBs para plataformas, versões do Cisco IOS e conjuntos de recursos selecionados, use o Localizador de MIBs da Cisco, no seguinte URL:

http://tools.cisco.com/ITDIT/MIBS/servlet/index


RFCs

RFC
Título

RFC 2401

Arquitetura de Segurança para Internet Protocol

RFC 2408

Associação de Segurança da Internet e Protocolo de Gerenciamento de Chave

RFC 2409

O IKE (Internet Key Exchange)


Assistência Técnica

Descrição
Ligação

O website de Suporte Técnico e Documentação Cisco contém milhares de páginas de conteúdo técnico pesquisável, incluindo ligações para produtos, tecnologias, soluções, dicas técnicas e ferramentas e documentação técnica. Os usuários registrados da Cisco.com podem fazer login nessa página para acessar ainda mais conteúdo.

http://www.cisco.com/cisco/web/BR/support/index.html


Referências a Comandos

Esta seção documenta os seguintes comandos novos e modificados apenas.

crypto aaa attribute list

crypto isakmp client configuration group

show vtemplate

interface virtual-template

tunnel mode

tunnel mode

virtual-template

crypto aaa attribute list

Para definir uma lista de atributo AAA (authentication, authorization, and accounting) de atributos por-usuário em um servidor Easy VPN local, utilize o comando crypto aaa attribute list em um modo de configuração de grupo crypto isakmp. Para remover a lista de atributos AAA, utilize a forma no desse comando.

crypto aaa attribute list list-name

no crypto aaa attribute list list-name

Descrição da sintaxe

list-name

Nome da lista de atributos locais.


Padrão do Comando

Uma lista de atributo local não está definida.

Modos de comando

Configuração de grupo crypto isakmp

Histórico de comando

Versão
Modificação

12.4(9)T

Esse comando foi introduzido.


Diretrizes de uso

Não há limite para o número de listas que podem ser definidas (exceto para limites de armazenamento NVRAM).

Exemplos

O exemplo a seguir mostra que os atributos por-usuário foram definidos em um servidor Easy VPN AAA:

!

aaa new-model
!
!
aaa authentication login default local
aaa authentication login noAAA none
aaa authorization network default local
!
aaa attribute list per-group
 attribute type inacl "per-group-acl" service ike protocol ip mandatory
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
username example password 0 example
!
!
crypto isakmp policy 3
 authentication pre-share
 group 2
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group PerUserAAA
 key cisco
 pool dpool
 crypto aaa attribute list per-group
!
crypto isakmp profile vi
 match identity group PerUserAAA
 isakmp authorization list default
 client configuration address respond
 client configuration group PerUserAAA
 virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac
!
crypto ipsec profile vi
 set transform-set set
 set isakmp-profile vi
!
!
interface GigabitEthernet0/0
 description 'EzVPN Peer'
 ip address 192.168.1.1 255.255.255.128
 duplex full
 speed 100
 media-type rj45
 no negotiation auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
ip classless
!
no ip http server
no ip http secure-server
!
!
ip access-list extended per-group-acl
 permit tcp any any
 deny   icmp any any
logging alarm informational
logging trap debugging
!
control-plane
!
gatekeeper
 shutdown
!
line con 0
line aux 0
 stopbits 1
line vty 0 4
!
!
end

Comandos relacionados

Comando
Descrição

crypto isakmp client configuration group

Especifica a qual grupo um perfil de política será definido.


crypto isakmp client configuration group

Para especificar a qual grupo um perfil de comando será definido e para inserir o modo de configuração de grupo crypto ISAKMP, utilize o comando crypto isakmp client configuration group no modo de configuração global. Para remover esse comando e todos os subcomandos associados de sua configuração, utilize a forma no desse comando.

crypto isakmp client configuration group {group-name | default}

no crypto isakmp client configuration group

Descrição da sintaxe

group-name

Definição de grupo que identifica qual política é imposta aos usuários.

padrão

A política imposta a todos os usuários que não oferecem um nome de grupo que combine com um argumento group-name . A palavra-chave default só pode ser configurada localmente.


Padrões de Comando

Sem comportamento ou valores-padrão.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(8)T

Esse comando foi introduzido.

12.3(2)T

Os comandos access-restrict, firewall are-u-there, group-lock, include-local-lan e save-password são adicionados. Esses comandos são adicionados durante o Configuração de Modo. Além disso, esse comando foi modificado de forma que a saída desse comando mostrará que a chave pré-configurada está criptografada ou não criptografada.

12.3(4)T

Os comandos backup-gateway, max-logins, max-users e pfs foram adicionados.

12.2(18)SXD

Este comando foi integrado ao Cisco IOS Versão 12.2(18)SXD.

12.4(2)T

O comando browser-proxy foi adicionado.

12.4(6)T

O comando firewall policy foi adicionado.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.

12.4(9)T

Os comandos crypto aaa attribute list, dhcp-server e dhcp-timeout foram adicionados.


Diretrizes de uso

Utilize o comando crypto isakmp client configuration group para especificar informações de política de grupo que precisam ser definidas ou alteradas. Você pode querer alterar a política de grupo em seu router se decidir conectar a um cliente utilizando um ID de grupo que não corresponde ao argumento group-name .

Após permitir esse comando, que o coloca no modo de configuração de grupo ISAKMP (Internet Security Association Key Management Protocol) , você pode especificar características para política do grupo utilizando os seguintes comandos:

access-restrict—Vincula um grupo VPN (Virtual Private Network) particular a uma interface específica para acessar o gateway Cisco IOS e o serviço que ele protege.

acl—Configura tunelamento de divisão.

auto-update-client—Configura melhoramento automático.

backup-gateway—Configura um servidor para "aplicar" uma lista de gateways de backup ao cliente. Esses gateways são experimentados em ordem no caso de uma falha do gateway anterior. Os gateways podem ser especificados utilizando endereços IP ou nomes de host.

banner—Especifica um banner de configuração de modo.

browser-proxy—Aplica um mapa de navegador-proxy a um grupo.

configuration url—Especifica em um servidor o URL que um dispositivo Easy VPN remoto deve utilizar para obter uma configuração na Troca de Configuração de Modo.

configuration version—Especifica em um servidor a versão que um dispositivo Cisco Easy VPN remoto precisa utilizar para obter uma determinada configuração na Troca de Configuração de Modo.

crypto aaa attribute list—Define uma lista de atributo AAA composta de atributos por-usuário em um servidor Easy VPN local.

dhcp server—Configura várias entradas do servidor DHCP.

dhcp timeout—Controla o tempo de espera antes que o próximo servidor DHCP na lista seja experimentado.

dns—Especifica os servidores DNS (Domain Name Service) primário e secundário no grupo.

domain—Especifica o membro de domínio de grupo.

firewall are-u-there—Adiciona o atributo Firewall-Are-U-There ao grupo do servidor se seu PC estiver executando os firewalls pessoais Black Ice ou Zone Alarm.

firewall policy—Especifica o nome push da política de firewall CPP para o grupo de configuração do cliente crypto ISAKMP em um servidor AAA local.

group-lock—Use se for utilizada autenticação de chave com Internet Key Exchange (IKE). Permite que você digite seu nome de usuário de autenticação estendida (Xauth). O delimitador de grupo é comparado com o identificador de grupo enviado durante o modo agressivo IKE.

include-local-lan Configura o atributo Include-Local-LAN para permitir que uma conexão de tunelamento sem divisão acesse a sub-rede local no mesmo tempo que o cliente.

key—Especifica a chave pré-compartilhada IKE ao definir informações de política de grupo para forçar a Configuração de Modo.

max-logins—Limita o número de logins simultâneos para usuários em um grupo de usuário específico.

max-users—Limita o número de conexões a um grupo de servidor específico.

netmask—Máscara de sub-rede a ser utilizada pelo cliente para conectividade local.

pfs—Configura um servidor para notificar o cliente da política de site central independentemente de ser requerido o PFS por qualquer IPsec SA. Como o dispositivo cliente não possui uma opção de interface do usuário para permitir ou desabilitar a negociação PFS, o servidor notificará o dispositivo cliente sobre a política de site central através deste parâmetro. O grupo D-H (Diffie-Hellman) proposto para PFS será o mesmo que foi negociado na Fase 1 da negociação IKE.

pool—Refere-se ao endereço do conjunto local IP utilizado para alocar os endereços IP internos para clientes.

save-password—Salva sua senha Xauth localmente em seu PC.

split-dns—Especifica uma lista de nomes de domínios que precisam estar em túnel ou resolvidos para a rede privada.

wins—Especifica os servidores WINS (Windows Internet Naming Service) primário ou secundário para o grupo.

Saída do comando crypto isakmp client configuration group (utilizando o subcomando key) mostrará que a chave pré-compartilhada está criptografada ou não criptografada. Um exemplo de saída para uma chave pré-criptografada seria como segue:

crypto isakmp client configuration group key test

Um exemplo de saída para uma chave pré-criptografada do tipo 6 seria como segue:

crypto isakmp client configuration group

 key 6 JK_JHZPeJV_XFZTKCQFYAAB

Monitoramento e Limitação da Sessão para Easy VPN Clients

É possível simular a funcionalidade fornecida por alguns servidores RADIUS para limitar o número de conexões a um grupo de servidor específico e também limitar o número de logins simultâneos de usuários desse grupo.

Para limitar o número de conexões a um grupo de servidor específico, utilize o subcomando max-users. Para limitar o número de logins simultâneos para usuários no grupo de servidor, utilize o subcomando max-logins.

O exemplo a seguir mostra os pares de AV (attribute-value) RADIUS para o máximo de usuários e de parâmetros de logins:

ipsec:max-users=1000
ipsec:max-logins=1

Os comandos max-users e max-logins podem ser habilitados juntos ou individualmente para controlar o uso de recursos por qualquer grupo ou indivíduo.

Se você utiliza um servidor RADIUS, como um ACS (access control server) CiscoSecure, é recomendado permitir esse controle de sessão no servidor RADIUS caso a funcionalidade esteja fornecida. Desse modo, o uso pode ser controlado através de vários servidores por um repositório central. Ao permitir esse recurso no próprio router, somente as conexões para grupos nesse dispositivo cliente são monitoradas, e os cenários de carregamento compartilhado não são contabilizados com precisão.

Exemplos

O exemplo a seguir mostra como definir informações de política de grupo para forçar a Configuração de Modo. Neste exemplo, o primeiro nome de grupo é "cisco" e o segundo nome de grupo é "default." Assim, a política padrão será imposta a todos os usuários que não fornecerem um nome de grupo que combine com "cisco."

crypto isakmp client configuration group cisco
 key cisco
 dns 10.2.2.2 10.2.2.3
 wins 10.6.6.6
 domain cisco.com
 pool fred
 acl 199
!
crypto isakmp client configuration group default
 key cisco
 dns 10.2.2.2 10.3.2.3
 pool fred
 acl 199

Comandos relacionados

Comando
Descrição

access-restrict

Vincula um grupo VPN particular a uma interface específica para acesso ao gateway Cisco IOS e aos serviços que ela protege.

acl

Configura o tunelamento de divisão.

backup-gateway

Configura um servidor a "aplicar" uma lista de gateways de backup ao cliente.

browser-proxy

Aplica configurações de parâmetro de navegador-proxy a um grupo.

crypto isakmp keepalive

Adiciona o atributo Firewall-Are-U-There ao grupo do servidor se o PC estiver executando os firewalls pessoais Black Ice ou Zone Alarm.

dns

Especifica os servidores DNS primário e secundário.

domain (isakmp-group)

Especifica o domínio DNS ao qual o grupo pertence.

firewall are-u-there

Adiciona o atributo Firewall-Are-U-There ao grupo do servidor se o PC estiver executando os firewalls pessoais Black Ice ou Zone Alarm.

firewall policy

Especifica o nome push da política de firewall CPP do grupo de configuração do cliente crypto ISAKMP em um servidor AAA local.

group-lock

Permite digitar seu nome de usuário Xauth, incluindo o nome do grupo, quando a autenticação de chave pré-compartilhada é utilizada com IKE.

include-local-lan

Configura o atributo Include-Local-LAN para permitir uma conexão de tunelamento sem divisão para acessar a sub-rede local ao mesmo tempo que o cliente.

key (isakmp-group)

Especifica a chave pré-compartilhada IKE para definição do atributo Group-Policy.

max-logins

Limita o número de logins simultâneos para usuários em um grupo de servidor específico.

max-users

Limita o número de conexões a um grupo de servidor específico.

pool (isakmp-group)

Define um endereço de conjunto local.

save-password

Salva sua senha Xauth localmente em seu PC.

set aggressive-mode client-endpoint

Especifica o atributo Tunnel-Client-Endpoint dentro de uma configuração de ponto ISAKMP.


crypto isakmp profile

Para definir um perfil ISAKMP (Internet Security Association and Key Management Protocol) e para auditar as sessões de usuário de segurança IP (IPsec), utiliza o comando crypto isakmp profile em um modo de configuração global. Para excluir um perfil crypto ISAKMP, utilize a forma no desse comando.

crypto isakmp profile profile-name [accounting aaa-list]

no crypto isakmp profile profile-name [accounting aaa-list]

Descrição da sintaxe

profile-name

Nome do perfil do usuário. Associar um perfil de usuário ao servidor RADIUS, o nome do perfil de usuário deve ser identificado.

accounting aaa-list

(Opcional) Nome de uma lista de contabilidade de cliente.


Padrões de Comando

Não existe perfil se o comando não for utilizado.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(15)T

Esse comando foi introduzido.

12.2(18)SXD

Este comando foi integrado ao Cisco IOS Versão 12.2(18)SXD.

12.4(2)T

Foi incluído o suporte para interfaces dinâmicas de túnel virtual.

12.4(4)T

Foi incluído suporte para IPv6.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

Definindo um Perfil ISAKMP

Um perfil ISAKMP pode ser visualizado como um repositório de comandos de Fase 1 e Fase 1.5 para um conjunto de pontos. A configuração de Fase 1 inclui comandos para configurar coisas como manutenção de atividade, correspondência de identidade e a lista de autorização. A configuração de Fase 1.5 inclui comandos para configurar coisas como autenticação estendida (Xauth) e configuração de modo.

Os pontos são mapeados para um perfil ISAKMP quando suas identidades são correspondidas (como no payload de identificação [ID] do Internet Key Exchange [IKE]) contra as identidades definidas no perfil ISAKMP. Mapear exclusivamente para um perfil ISAKMP, nenhum dos dois perfis ISAKMP deve combinar com a mesma identidade. Se a identidade do ponto for correspondida nos dois perfis ISAKMP, a configuração fica inválida. Também, deve haver pelo menos um comando match identity definido no perfil ISAKMP para que ele fique completo.

Após permitir esse comando e digitar o modo de configuração do perfil ISAKMP, você pode configurar os seguintes comandos:

accounting—Habilita AAA (authentication, authorization, and accounting).

ca trust-point—Especifica autoridades de certificado.

client—Especifica definições de configuração de cliente.

default—Lista subcomandos do comando crypto isakmp profile.

description—Especifica uma descrição deste perfil.

initiate mode—Inicia um modo.

isakmp authorization—Parâmetros de autorização ISAKMP.

keepalive—Configura um intervalo de manutenção de atividade.

keyring—Especifica um conjunto de chaves.

local-address—Especifica a interface para utilizar o endereço local desse perfil ISAKMP.

match—Corresponde os valores do ponto.

qos-group—Aplica um mapa de classe de política de Quality of Service (QoS) para esse perfil.

self-identity—Especifica a identidade.

virtual-template—Especifica o modelo virtual da interface dinâmica.

vrf—Especifica a instância de VRF (Virtual Private Network routing and forwarding) para a qual o perfil está relacionado.

Auditando Sessões de Usuário IPSec

Utilize esse comando para auditar sessões de usuário múltiplas que estão terminando no gateway IPSec.


Observação O comando crypto isakmp profile e o comando crypto map (global IPSec) são mutuamente exclusivos. Se um perfil estiver presente (o comando crypto isakmp profile foi utilizado), sem nenhuma contabilidade configurada, mas com o comando global (o comando crypto isakmp profile sem a palavra-chave accounting), a contabilidade não ocorrerá utilizando os atributos no comando global.


Interfaces Dinâmicas de Túnel Virtual

Suporte para interfaces dinâmicas de túnel virtual permite que o perfil virtual seja mapeado dentro de um modelo virtual especificado.

Exemplos

Exemplo de Identidades de Ponto Correspondente do Perfil ISAKAMP

O exemplo a seguir mostra como definir um perfil ISAKMP e corresponder as identidades de ponto:

crypto isakmp profile vpnprofile
 match identity address 10.76.11.53

Exemplo do Perfil ISAKAMP com Contabilidade

O exemplo de contabilidade a seguir mostra que um perfil ISAKMP está configurado:

aaa new-model
!
!
aaa authentication login cisco-client group radius
aaa authorization network cisco-client group radius
aaa accounting network acc start-stop broadcast group radius
aaa session-id common
!
crypto isakmp profile cisco
vrf cisco
match identity group cclient
 client authentication list cisco-client
 isakmp authorization list cisco-client
 client configuration address respond
 accounting acc
!
crypto dynamic-map dynamic 1
 set transform-set aswan
 set isakmp-profile cisco
 reverse-route
!
!
radius-server host 172.16.1.4 auth-port 1645 acct-port 1646
radius-server key nsite

Comandos relacionados

Comando
Descrição

crypto map (global IPsec)

Insere o modo de configuração do mapa de criptografia e cria ou modifica uma entrada do mapa de criptografia, cria um perfil de criptografia que fornece um modelo para configuração de mapas de criptografia criados dinamicamente ou configura uma lista de contabilidade cliente.

debug crypto isakmp

Exibe mensagens sobre eventos IKE.

match identity

Corresponde uma identidade de um ponto em um perfil ISAKMP.

tunnel protection

Associa uma interface de túnel a um perfil IPsec (IP Security).

virtual template

Especifica qual modelo virtual será utilizado para clonar interfaces de acesso virtual.


interface virtual-template

Para criar uma interface de modelo virtual que possa ser configurada e aplicada dinamicamente ao criar interfaces de acesso virtual, utilize o comando interface virtual-template no modo de configuração global. Para remover a interface de modelo virtual, utilize a forma no desse comando.

interface virtual-template number

no interface virtual-template number

Descrição da sintaxe

número

Número utilizado para identificar a interface de modelo virtual. Até 200 interfaces de modelo virtual podem ser configuradas.


Padrão do Comando

Nenhuma interface de modelo virtual está definida.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

11.2F

Esse comando foi introduzido.

12.2(4)T

Esse comando foi aprimorado para aumentar o número máximo de interfaces de modelo virtual de 25 para 200.

12.2(28)SB

Este comando foi integrado ao Cisco IOS Versão 12.2(28)SB.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

Uma interface de modelo virtual é utilizada para fornecer a configuração para interfaces de acesso virtual criadas dinamicamente. Ela é criada por usuários e pode ser salva em NVRAM.

Depois de ser criada a interface de acesso virtual, ela pode ser configurada da mesma forma que a interface serial.

As interfaces de modelo virtual podem ser criadas e aplicadas por diversos aplicativos, como perfis virtuais, virtual private dialup networks (VPDNs), PPP sobre ATM, tradução de protocolo e MMP (Multichassis Multilink PPP).

Exemplos

Exemplo de Modelo Virtual com Autenticação PPP

O exemplo a seguir cria e configura a interface de modelo virtual 1:

interface virtual-template 1 type ethernet
 ip unnumbered ethernet 0
 ppp multilink
 ppp authentication chap

Exemplo de Modelo Virtual IPsec

O exemplo a seguir mostra como fazer a configuração de um modelo virtual para uma interface de túnel virtual IPsec.

interface virtual-template1 type tunnel
 ip unnumbered Loopback1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile virtualtunnelinterface

Comandos relacionados

Comando
Descrição

tunnel protection

Associa uma interface de túnel a um perfil IPsec.

virtual interface

Define o nome da zona da rede AppleTalk conectada.

virtual template

Especifica o destino de uma interface de túnel.


show vtemplate

Para exibir informações sobre todos os modelos virtuais configurados, utilize o comando show vtemplate no modo EXEC privilegiado.

show vtemplate

Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.0(7)DC

Este comando foi introduzido no Cisco 6400 NRP.

12.2(13)T

Este comando foi integrado ao Cisco IOS Versão 12.2(13)T.

12.3(14)T

A exibição mostrada abaixo foi modificada para exibir o tipo de interface do modelo virtual e fornecer contadores por tipo de interface para interfaces de túnel virtual IPsec.

12.2(33)SRA

Este comando foi integrado no Cisco IOS Versão 12.2(33)SRA.


Exemplos

A seguir está um exemplo de saída do comando show vtemplate:

Router# show vtemplate

Virtual access subinterface creation is globally enabled

         Active     Active    Subint  Pre-clone Pre-clone Interface
       Interface Subinterface Capable Available   Limit     Type
       --------- ------------ ------- --------- --------- ---------
Vt1            0            0   Yes          --        --   Serial
Vt2            0            0   Yes          --        --   Serial
Vt4            0            0   Yes          --        --   Serial
Vt21           0            0    No          --        --   Tunnel
Vt22           0            0   Yes          --        --   Ether
Vt23           0            0   Yes          --        --   Serial
Vt24           0            0   Yes          --        --   Serial

Usage Summary
                              Interface   Subinterface
                              ---------   ------------
Current Serial  in use                1              0
Current Serial  free                  0              3
Current Ether   in use                0              0
Current Ether   free                  0              0
Current Tunnel  in use                0              0
Current Tunnel  free                  0              0
Total                                 1              3

Cumulative created                    8              4
Cumulative freed                      0              4

Base virtual access interfaces: 1
Total create or clone requests: 0
Current request queue size: 0
Current free pending: 0

Maximum request duration: 0 msec
Average request duration: 0 msec
Last request duration: 0 msec

Maximum processing duration: 0 msec
Average processing duration: 0 msec
Last processing duration: 0 msec
Last processing duration:0 msec

A Tabela 1 descreve os campos significativos mostrados no exemplo.

A Tabela 1 mostra Descrições de Campo vtemplate 

Campo
Descrição

A criação da subinterface de acesso virtual está globalmente...

A definição configurada do comando virtual-template . A criação da subinterface de acesso virtual pode ser permitir ou desabilitar.

Interface Ativa

O número de interfaces de acesso virtual que são clonadas do modelo virtual especificado.

Subinterface Ativa

O número de subinterfaces de acesso virtual que são clonadas do modelo virtual especificado.

Subint Compatível

Especifica se a configuração do modelo virtual é suportado na subinterface de acesso virtual.

Pré-clone Disponível

O número de interfaces de acesso virtual pré-clonadas atualmente disponível para uso por um modelo virtual em particular.

Limite de Pré-clone

O número de interfaces de acesso virtual pré-clonadas disponível para esse modelo de acesso virtual em particular.

Atualmente em uso

O número de interfaces de acesso virtual e subinterfaces que estão em uso atualmente.

Atualmente livre

O número de interfaces e subinterfaces de acesso virtual que não estão mais em uso.

Total

O número total de interfaces e subinterfaces de acesso virtual que existe.

Acúmulo criado

O número de pedidos para uma interface ou subinterface de acesso virtual que foi atendido.

Acúmulo liberado

O número de vezes em que o aplicativo que utiliza a interface ou subinterface de acesso virtual foi liberado.

Interfaces de acesso virtual básico

Este campo especifica o número de interfaces de acesso virtual básico. A interface de acesso virtual básico é utilizada para criar subinterfaces de acesso virtual. Há uma interface de acesso virtual básico por aplicativo que suporta subinterfaces. Uma interface de acesso virtual básico pode ser identificada a partir da saída do comando show interfaces virtual-access .

Total de pedidos criados ou clonados

O número de pedidos que foram feitos através da API de pedido assíncrono do gerenciador de modelo virtual.

Tamanho da fila de pedido atual

O número de itens na fila de trabalho do gerenciador de modelo virtual.

Pendência livre atual

O número de interfaces de acesso virtual cuja liberação final está pendente. Essas interfaces de acesso virtual não podem ser liberadas atualmente porque ainda estão em uso.

Duração máxima do pedido

O tempo máximo transcorrido desde o momento em que do pedido assíncrono foi feito até quando o aplicativo foi notificado que o pedido foi feito.

Média de duração do pedido

O tempo médio transcorrido desde o momento em que do pedido assíncrono foi feito até quando o aplicativo foi notificado que o pedido foi feito.

Duração do último pedido

O tempo transcorrido desde o momento em que o pedido assíncrono foi feito até quando o aplicativo foi notificado que o pedido foi feito, referente ao pedido mais recente.

Máximo de duração do processamento

O tempo máximo que o gerenciador do modelo virtual gastou atendendo o pedido.

Média de duração do processamento

O tempo médio que o gerenciador do modelo virtual gastou atendendo o pedido.

Duração do último processamento

O tempo que o gerenciador de modelo virtual gastou atendendo o pedido, referente ao pedido mais recente.


Comandos relacionados

Comando
Descrição

show interfaces virtual-access

Exibe informações de status, dados do tráfego e configuração sobre uma determinada interface de acesso virtual.

virtual-template

Especifica qual modelo virtual será utilizado para clonar interfaces de acesso virtual.


tunnel mode

Para definir o modo de encapsulamento da interface do túnel, utilize o comando tunnel mode no modo de configuração da interface. Para restaurar o modo padrão, utilize a forma no desse comando.

tunnel mode {aurp | cayman | dvmrp | eon | gre | gre multipoint | gre ipv6 | ipip [decapsulate-any] | ipsec ipv4 | iptalk | ipv6 | ipsec ipv6 | mpls | nos | rbscp}

no tunnel mode

Descrição da sintaxe

aurp

Protocolo AppleTalk Update-Based Routing.

cayman

Encapsulamento do Cayman TunnelTalk AppleTalk.

dvmrp

Distance Vector Multicast Routing Protocol.

eon

Túnel CLNS (Connectionless Network Protocol) compatível com EON.

gre

Protocolo GRE (generic routing encapsulation). Esse é o padrão.

gre multipoint

Multipoint GRE (mGRE).

gre ipv6

Tunelamento GRE utilizando IPv6 como protocolo de entrega.

ipip

Encapsulamento IP sobre IP.

decapsulate-any

(Opcional) Finaliza qualquer número de túneis IP-in-IP na interface de túnel.

Esse túnel não transportará nenhum tráfego de saída; entretanto, vários pontos finais de túnel remoto podem utilizar um túnel configurado dessa forma como seu destino.

ipsec ipv4

O modo de túnel é IPSec, e o transporte é IPv4.

iptalk

Encapsulamento Apple IPTalk.

ipv6

Interface estática de túnel configurada para encapsular pacotes IPv6 ou IPv4 em IPv6.

ipsec ipv6

O modo de túnel é IPSec, e o transporte é IPv6.

mpls

Encapsulamento de Multiprotocol Label Switching (MPLS).

nos

KA9Q/NOS compatível IP sobre IP.

rbscp

RBSCP (Rate Based Satellite Control Protocol).


Padrões de Comando

Tunelamento GRE

Modos de comando

Configuração da interface

Histórico de comando

Versão
Modificação

10.0

Esse comando foi introduzido.

10.3

As palavras-chaves aurp, dvmrp e ipip foram adicionadas.

11.2

A palavra-chave decapsulate-any opcional foi adicionada.

12.2(13)T

A palavra-chave gre multipoint foi adicionada.

12.3(7)T

As seguintes palavras-chave foram adicionadas:

gre ipv6 para suportar tunelamento GRE utilizando IPv6 como protocolo de entrega.

ipv6 para permitir uma interface de túnel estática a ser configurada para encapsular pacotes IPv6 ou IPv4 em IPv6.

rbscp para suportar RBSCP.

12.3(14)T

A palavra-chave ipsec ipv4 foi adicionada.

12.2(18)SXE

A palavra-chave gre multipoint foi adicionada.

12.2(30)S

Este comando foi integrado ao Cisco IOS Versão 12.2(30)S.

12.4(4)T

A palavra-chave ipsec ipv6 foi adicionada.

12.2(33)SRA

Este comando foi integrado ao Cisco IOS Versão 12.2(33)SRA.


Diretrizes de uso

Endereço de Origem e Destino

Você não pode ter dois túneis que utilizam o mesmo modo de encapsulamento com exatamente os mesmos endereços de origem e destino. A alternativa é criar uma interface de loopback e pacotes de origem fora da interface loopback.

Tunelamento Cayman

Projetado por Cayman Systems, o tunelamento Cayman implementa tunelamento para permitir routers Cisco a interoperarem com Cayman GatorBoxes. Com o tunelamento Cayman, é possível estabelecer túneis entre dois routers ou entre um router Cisco e um GatorBox. Ao utilizar o tunelamento Cayman, você deve fazer a configuração do túnel com um endereço de rede AppleTalk.

DVMRP

Utilize o DVMRP quando um router se conecta a um router mrouted (transmissão múltipla) para executar DVMRP sobre um túnel. Você deve fazer a configuração do PIM (Protocol Independent Multicast) e um endereço IP em um túnel DVMRP.

GRE com AppleTalk

O tunelamento GRE pode ser feito entre routers Cisco somente. Ao utilizar o tunelamento GRE para AppleTalk, é feita a configuração do túnel com um endereço de rede AppleTalk. Utilizando o endereço de rede AppleTalk, é possível executar ping na outra extremidade do túnel para verificar a conexão.

Multipoint GRE

Após permitir o tunelamento mGRE, pode-se permitir o comando tunnel protection, que permite associar o túnel mGRE a um perfil IPSec. Combinando túneis mGRE e criptografia IPSec é possível que uma única interface mGRE suporte vários túneis IPSec, simplificando assim o tamanho e a complexidade da configuração.


Observação Túneis GRE com manutenção de atividade utilizando o comando keepalive sob uma interface GRE são suportados somente em túneis GRE de ponto-a-ponto.


RBSCP

O tunelamento RBSCP é projetado para ligações de atraso de tecnologia sem fio ou de longa distância com altas taxas de erro, como ligações de satélite. Utilizando túneis, o RBSCP pode melhorar o desempenho de certos protocolos IP, como TCP e IPSec, sobre ligações de satélite sem interromper o modelo ponto-a-ponto.

IPSec em Transporte IPv6

O encapsulamento IPv6 IPSec fornece proteção IPSec de site-a-site de tráfego IPv6 de transmissão única ou múltipla. Esse recurso permite que os routers IPv6 funcionem como um gateway de segurança, estabelece túneis IPSec entre outro router de gateway de segurança e fornece proteção de IPSec criptografado para tráfego de uma rede interna quando está transmitindo através de Internet IPv6 pública. IPv6 IPSec é muito similar ao modelo de gateway de segurança utilizando a proteção IPv4 IPsec.

Exemplos

Tunelamento Cayman

O exemplo a seguir mostra como permitir o tunelamento Cayman:

Router(config)# interface tunnel 0
Router(config-if)# tunnel source ethernet 0
Router(config-if)# tunnel destination 10.108.164.19
Router(config-if)# tunnel mode cayman

Tunelamento GRE

O exemplo a seguir mostra como permitir o tunelamento GRE:

Router(config)# interface tunnel 0
Router(config-if)# appletalk cable-range 4160-4160 4160.19
Router(config-if)# appletalk zone Engineering
Router(config-if)# tunnel source ethernet0
Router(config-if)# tunnel destination 10.108.164.19
Router(config-if)# tunnel mode gre

IPSec em Transporte IPv4

O exemplo a seguir mostra como fazer a configuração de um túnel utilizando encapsulamento IPSec com IPv4 como o mecanismo de transporte:

Router(config)# crypto ipsec profile PROF

Router(configcrypto isakmp profile vpnprofile #  set transform tset

match identity address 10.76.11.53

Router(configaaa new-model # interface Tunnel0

Router(config! # ip address 10.1.1.1 255.255.255.0

Router(config! # tunnel mode ipsec ipv4

Router(configaaa authentication login cisco-client group radius # tunnel source Loopback0

Router(configaaa authorization network cisco-client group radius # tunnel destination 172.16.1.1

Router(configaaa accounting network acc start-stop broadcast group radius # tunnel protection ipsec profile PROF

IPSec em Transporte IPv6

O exemplo a seguir mostra como fazer a configuração de uma interface de túnel IPv6 IPSec:

Router(config)# interface tunnel 0
Router(config-if)# ipv6 address 2001:0DB8:1111:2222::2/64
Router(config-if)# tunnel destination 10.0.0.1
Router(config-if)# tunnel source Ethernet 0/0
Router(config-if)# tunnel mode ipsec ipv6

Router(config-if)# tunnel protection ipsec profile profile1

Tunelamento Multipoint GRE

O exemplo a seguir mostra como permitir o tunelamento mGRE:

interface Tunnel0
 bandwidth 1000
 ip address 10.0.0.1 255.255.255.0
! Ensures longer packets are fragmented before they are encrypted; otherwise, the
! receiving router would have to do the reassembly.
 ip mtu 1416
! Turns off split horizon on the mGRE tunnel interface; otherwise, EIGRP will not
! advertise routes that are learned via the mGRE interface back out that interface.
 no ip split-horizon eigrp 1
 no ip next-hop-self eigrp 1
 delay 1000
! Sets IPSec peer address to Ethernet interface's public address.
 tunnel source Ethernet0
 tunnel mode gre multipoint
! The following line must match on all nodes that want to use this mGRE tunnel.
 tunnel key 100000
 tunnel protection ipsec profile vpnprof

Tunelamento RBSCP

O exemplo a seguir mostra como permitir o tunelamento RBSCP:

Router(config)# interface tunnel 0
Router(config-if)# tunnel source ethernet 0
Router(config-if)# tunnel destination 10.108.164.19
Router(config-if)# tunnel mode rbscp

Comandos relacionados

Comando
Descrição

appletalk cable-range

Habilita uma rede AppleTalk estendida.

appletalk zone

Define o nome da zona da rede AppleTalk conectada.

tunnel destination

Especifica o destino de uma interface de túnel.

tunnel protection

Associa uma interface de túnel a um perfil IPSec.

tunnel source

Define o endereço de origem de uma interface de túnel.


virtual-template

Para especificar qual modelo virtual será utilizado para clonar interfaces de acesso virtual, utilize o comando virtual-template no modo de configuração de grupo VPDN. Para remover o modelo virtual de um grupo VPDN (virtual private dial-up network), utilize a forma no desse comando.

virtual-template template-number

no virtual-template

Descrição da sintaxe

template-number

Número do modelo virtual será utilizado para clonar interfaces de acesso virtual.


Padrões de Comando

Nenhum modelo virtual está habilitado.

Modos de comando

Configuração de grupo de VPDN

Histórico de comando

Versão
Modificação

12.0(5)T

Esse comando foi introduzido.

12.1(1)T

Esse comando foi aprimorado para permitir PPPoE no ATM para aceitar sessões de discagem PPPoE (PPP over Ethernet).

12.2(15)T

Esse comando foi aprimorado para permitir atributos IP por usuário a serem aplicados em uma sessão de discagem L2TP (Layer 2 Tunneling Protocol).


Diretrizes de uso

Primeiro é necessário permitir um protocolo de tunelamento no grupo VPDN utilizando o comando protocol (VPDN) antes que possa permitir o comando virtual-template . Removendo ou modificando o comando protocol removerá o comando virtual-template do grupo VPDN.

Cada grupo VPDN pode clonar somente interfaces de acesso virtual utilizando um modelo virtual. Se você digitar um segundo comando virtual-template em um grupo VPDN, ele substituirá o primeiro comando virtual-template.

A Tabela 1 relaciona os comandos do grupo VPDN sob o qual o comando virtual-template pode ser digitado. Digitando o comando do grupo VPDN é iniciado o modo de configuração do grupo VPDN. A tabela inclui o prompt de linha de comando para o modo de configuração de grupo VPDN e o tipo de serviço configurado.

Tabela 2: Subgrupos VPDN

Comando do Grupo VPDN
Prompt do Modo de Comando
Tipo de Serviço

accept-dialin

aaa session-id common

Servidor de túnel

request-dialout

!

LNS (L2TP network server)


Quando o comando virtual-template é digitado sob um subgrupo VPDN request-dialout , IP e outros atributos por usuário podem ser aplicados a uma sessão de discagem L2TP a partir de um LNS. Antes de esse comando ter sido aprimorado, as configurações IP por usuário de servidores AAA (authentication, authorization, and accounting) não eram suportadas; a configuração IP vinha da interface do discador definida no router.

O comando virtual-template aprimorado funciona de maneira similar à configuração de perfis virtuais e discagem L2TP. A interface de acesso virtual L2TP é primeiro clonada do modelo virtual, o que significa que as configurações da interface de modelo virtual serão aplicadas à interface de acesso virtual L2TP. Após a autenticação, a configuração por usuário AAA será aplicada à interface de acesso virtual. Como os atributos por usuário AAA são aplicados somente depois que o usuário foi autenticado, o LNS deve ser configurado para autenticar o usuário de discagem (a autenticação da configuração é necessária para esse comando).

Com o comando virtual-template aprimorado, todos os componentes do software podem agora utilizar a configuração presente na interface de acesso virtual, em vez de aquela presente na interface do discador. Por exemplo, a negociação de endereço IPCP (IP Control Protocol) utiliza o endereço local da interface de acesso virtual como endereço do router enquanto negocia com o ponto.

Exemplos

O exemplo a seguir habilita o LNS a aceitar um túnel L2TP de um LAC (L2TP access concentrator) denominado LAC2. Uma interface de acesso virtual será clonada do modelo virtual 1.

vpdn-group 1
 accept-dialin
  protocol l2tp
  virtual-template 1
 terminate-from hostname LAC2

O exemplo a seguir habilita o PPPoE em ATM a aceitar sessões de discagem PPPoE. Uma interface de acesso virtual da sessão PPP é clonada do modelo virtual 1.

vpdn-group 1
 accept-dialin
  protocol pppoe
  virtual-template 1

O exemplo parcial a seguir mostra como fazer a configuração de um LNS para suportar configurações por usuário IP de um servidor AAA:

!
vpdn enable
vpdn search-order domain
!
vpdn-group 1
.
.
.
 request-dialout
  protocol l2tp
  rotary-group 1
  virtual-template 1
 initiate-to ip 10.0.1.194.2
 local name lns
 l2tp tunnel password 7094F3$!5^3
 source-ip 10.0.194.53
!

A configuração anterior requer um perfil de AAA como o exemplo a seguir para especificar os atributos por usuário:

5300-Router1-out  Password = "cisco"
     Service-Type = Outbound
     cisco-avpair = "outbound:dial-number=5550121"
7200-Router1-1  Password = "cisco"
     Service-Type = Outbound
     cisco-avpair = "ip:route=10.17.17.1 255.255.255.255 Dialer1 100 name 5300-Router1"
5300-Router1 Password = "cisco"
     Service-Type = Framed
     Framed-Protocol = PPP
     cisco-avpair = "lcp:interface-config=ip unnumbered loopback 0"
     cisco-avpair = "ip:outacl#1=deny ip host 10.5.5.5 any log"
     cisco-avpair = "ip:outacl#2=permit ip any any"
     cisco-avpair = "ip:inacl#1=deny ip host 10.5.5.5 any log"
     cisco-avpair = "ip:inacl#2=permit ip any any"
     cisco-avpair = "multilink:min-links=2"
     Framed-Route = "10.5.5.6/32 Ethernet4/0"
     Framed-Route = "10.5.5.5/32 Ethernet4/0"
     Idle-Timeout = 100

Comandos relacionados

Comando
Descrição

accept-dialin

Configura um LNS a aceitar conexões de tunelamento PPP de um LAC e criar um subgrupo VPDN que aceite discagem.

protocol (VPDN)

Especifica o Protocolo de Tunelamento de Camada 2 que o subgrupo VPDN utilizará.

request-dialout

Habilita um LNS a pedir chamadas de discagem VPDN utilizando L2TP e a criar um subgrupo VPDN de pedido de discagem.

vpdn-group

Define um identificador de número de grupo local e exclusivo.


Informações de Recursos de Interfaces de Túnel Virtual IPSec

A Tabela 3 relaciona o histórico de versões deste recurso.

É possível que nem todos os comandos estejam disponíveis em sua versão do Cisco IOS Software . Para mais informações sobre um comando específico de uma versão, consulte a documentação de referências a comandos.

As imagens do Cisco IOS Software são específicas para uma versão desse software, um conjunto de recursos e uma plataforma. Use o Cisco Feature Navigator para localizar informações sobre suporte de plataforma e suporte de imagem do Cisco IOS Software. Acesse Cisco Feature Navigator em http://www.cisco.com/go/fn. É necessário ter uma conta em Cisco.com. Se não possui uma conta ou esqueceu o nome de usuário ou a senha, clique em Cancelar na caixa de diálogo de login e siga as instruções exibidas.


Observação A Tabela 3 relaciona apenas a versão do Cisco IOS Software que lançou o suporte para determinado recurso, em determinado treinamento da versão do Cisco IOS Software . A menos que especificado de outra forma, as versões subseqüentes desse treinamento da versão do Cisco IOS Software também têm suporte para esse recurso.


Tabela 3: Informações de Recursos de Virtual Tunnel Interface IPSec

Nome do Recurso
Versões
Informações de Configuração do Recurso

VTIs IPsec Estáticas

12.3(7)T
12.3(14)T
12.2(33)SRA

As VTIs (VTIs) IPsec fornecem um tipo de interface roteável para túneis IPsec terminais e uma maneira fácil de definir a proteção entre sites para formar uma rede de sobreposição. As VTIs IPsec simplificam a configuração de IPsec para a proteção de ligações remotas, suportam a transmissão múltipla e simplificam o gerenciamento de redes e o equilíbrio de carga.

As interfaces estáticas de túnel podem ser configuradas para encapsular pacotes IPv6 ou IPv4 em IPv6.

VTIs IPsec Dinâmicas

12.3(7)T
12.3(14)T

As VTIs dinâmicas são eficientes no uso de endereços IP e oferecem conectividade segura. As VTIs dinâmicas permitem a configuração de políticas dinamicamente transferíveis por grupo e por usuário em um servidor RADIUS. A definição por grupo ou por usuário pode ser criada utilizando Xauth de grupo de Usuário ou Unidade, ou ela pode ser derivada de um certificado. As VTIs dinâmicas são baseadas em padrões, de modo que há suporte para interoperabilidade em um ambiente de vários fornecedores. As VTIs dinâmicas IPsec permitem criar uma conectividade altamente segura para VPNs de acesso remoto e podem ser combinadas com Cisco AVVID (Arquitetura for Voice, Video, and Integrated Data) para fornecer voz, vídeo e dados convergidos para redes IP. A VTI dinâmica simplifica a implementação da IPsec de detecção de VRF. O VRF é configurado na interface.

Suporte de Atributo por Usuário para Servidores Easy VPN

12.4(9)T

Esse recurso fornece suporte de atributo por usuário em um servidor Easy VPN.

As seções a seguir fornecem informações sobre este recurso: seção "Suporte de Atributo Por-Usuário para Servidores de Atributo para Easy VPN Servers"

Os comandos a seguir foram incluídos ou modificados por estes recursos: crypto aaa attribute list e crypto isakmp client configuration group.