Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR
Easy VPN Server
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 624 KB | Inglés (4 Junio 2010) | Comentarios

Contenidos

Easy VPN Server

Encontrar la información de la característica

Contenido

Restricciones de Easy VPN Server

Información sobre Easy VPN Server

Cómo funciona

Soporte de RADIUS para Perfiles de Grupo

Para un Cisco Secure Access Control Server

Para los Demás Servidores RADIUS

Soporte de RADIUS para Perfiles de Usuario

Para los Demás Servidores RADIUS

Protocolos admitidos

Funciones Soportadas por Easy VPN Server

Soporte de la Versión 6 de Mode Configuration

Soporte de Xauth versión 6

IKE DPD

Control de la Tunelización Dividida

Contacto Inicial

Control de Políticas Basado en Grupo

Control de Políticas Basado en el Usuario

Monitoreo de Sesiones para el Acceso a Grupos de VPNs

Soporte de Virtual IPsec Interface Support on a Server

Soporte de Atributos Por Usuario de la Interfaz de Túnel Virtual

Banner, Auto-Update y Browser Proxy

Mejoras de la Administración de la Configuración

Descarga de Política de AAA por Usuario con PKI

Soporte del Atributo por Usuario para Easy VPN Server

Mejoras de Mensajes de Syslog

Soporte del Control de Admisión de Red para Easy VPN

Central Policy Push Firewall Policy Push

Desactualización de la Contraseña

DNS dividido

cTCP

Asignación de VRF por un Servidor AAA

Cómo Configurar Easy VPN Server

Habilitar las operaciones de búsqueda de la directiva vía el AAA

Definición de la Información de Política de Grupo para el Envío de la Configuración de Modo

Habilitar la supervisión de la sesión de VPN

Verificar a una sesión de VPN

Aplicación de la configuración de modo y del Xauth

Habilitar el Reverse Route Injection para el cliente

Habilitar el Dead Peer Detection IKE

Configurar el soporte del servidor de RADIUS

Verificar el Easy VPN Server

Configurar un banner

Configurar la actualización auto

Configurar el proxy del navegador

Configurar avanzar de una configuración URL con a
Intercambio de la configuración del modo

El configurar por la descarga del usuario AAA con el PKI — configurar el trustpoint Crypto PKI

Prerrequisitos

Configurar el real por la descarga del usuario AAA con el PKI

Configuración de Atributo Por Usuario en un Servidor AAA Easy VPN Local

Habilitar los mensajes de Syslog fáciles VPN

Definición de un empuje de las políticas del firewall de CPP usando un servidor de AAA local

Pasos Siguientes

Aplicación de un empuje de las políticas del firewall de CPP al grupo de configuración

Definición de un empuje de las políticas del firewall de CPP usando un servidor de AAA remoto

Pasos Siguientes

Agregar la CPP-directiva VSA bajo definición del grupo

Verificar el empuje de las políticas del firewall de CPP

Configurar la desactualización de contraseña

Restricciones

Configurar el DNS dividido

Prerrequisitos

Verificar el DNS dividido

Monitoreando y mantener el DNS dividido

Configurar un Easy VPN Server para obtener una dirección IP de un servidor DHCP

Verificar el proxy del Cliente de DHCP

Monitoreando y mantener el proxy del Cliente de DHCP

Configurar el cTCP

Prerrequisitos

Verificar el cTCP

Monitoreando y manteniendo una configuración del cTCP

Borrar una configuración del cTCP

Localización de averías de una configuración del cTCP

Ejemplos de Configuración de Easy VPN Server

Configuración de Cisco IOS para Easy VPN Server: Ejemplo:

Perfil de Grupo RADIUS con Pares AV IPSec: Ejemplo:

Perfil de Usuario RADIUS con Pares AV IPSec: Ejemplo:

Gateway de Respaldo con Logins y Usuarios Máximos: Ejemplo:

Easy VPN con una IPsec Virtual Tunnel Interface: Ejemplo:

Avanzar una configuración URL con una configuración del modo
Intercambio: Ejemplos

Descarga de Política de AAA por Usuario con PKI: Ejemplo:

Atributos por Usuario en un Easy VPN Server: Ejemplo:

Control de Admisión de Red: Ejemplo:

Configuración de la Desactualización de Contraseña: Ejemplo:

DNS Dividido: Ejemplos

Proxy de DHCP Client: Ejemplos

Sesión cTCP: Ejemplo:

Asignación de VRF por un Servidor AAA: Ejemplo:

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información sobre la Función Easy VPN Server

Glosario


Easy VPN Server


Primera publicación: De febrero el 25 de 2002
Última actualización: De junio el 03 de 2010

La función Easy VPN Server permite a un usuario final remoto comunicarse mediante IP Security (IPsec) con cualquier gateway de Red privada virtual (VPN) de Cisco IOS. Las políticas IPSec administradas de manera centralizada se envían al dispositivo cliente mediante el servidor, lo que minimiza la configuración que debe realizar el usuario final.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del Easy VPN Server”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.

Contenido

Restricciones de Easy VPN Server

Información sobre Easy VPN Server

Cómo Configurar Easy VPN Server

Ejemplos de Configuración de Easy VPN Server

Referencias adicionales

Información sobre la Función Easy VPN Server

Glosario

Restricciones de Easy VPN Server

Protocolos Nonsupported

El cuadro 1 delinea las opciones y los atributos del Protocolo IPSec que no son soportados por los Clientes Cisco VPN, así que estas opciones y atributos no se deben configurar en el router para estos clientes.

Opciones y atributos Nonsupported del Protocolo IPSec del cuadro 1

Opciones
Atributos

Tipos de Autenticación

Autenticación con la encripción de clave pública

Digital Signature Standard (DSS)

Grupos de Diffie Hellman (D-H)

1

Identificador del Protocolo IPSec

IPSEC_AH

Modo del Protocolo IPSec

Modo de transporte

Miscelánea

Claves manuales

Confidencialidad directa perfecta (PFS)


Restricciones del Cliente Cisco Secure VPN 1.x

Cuando está utilizado con esta característica, el Cliente Cisco Secure VPN 1.x tiene las restricciones siguientes:

No soporta el Dead Peer Detection (DPD) o ningún otro esquema del keepalive.

No soporta el contacto inicial.

Esta característica no puede utilizar los perfiles de la directiva del atributo del por-grupo tales como IP Addresses, y el servicio de nombre del dominio (DNS). Así, los clientes deben continuar utilizando la existencia, los parámetros global definidos para la asignación de la dirección IP, el Windows Internet Naming Service (TRIUNFOS) y el DNS, y las claves del preshared.

Multicast y Static NAT

El Multicast y el NAT estático se soportan solamente para los servidores VPN fáciles usando las interfaces del túnel virtuales dinámicas (DVTIs).

Restricciones de la Interfaz IPSec Virtual

La característica virtual del soporte de la interfaz del IPSec trabaja solamente con un cliente VPN del software de Cisco que sea versión 4.x o posterior, y un dispositivo del Easy VPN Remote que se configure para utilizar una interfaz virtual.

restricciones del cTCP

Si un puerto se está utilizando para el Control Protocol del túnel de Cisco (cTCP), no puede ser utilizado para otras aplicaciones.

el cTCP se puede utilizar en solamente diez en un momento de los puertos.

el cTCP se soporta en solamente los servidores del Cisco IOS Easy VPN.

Si una conexión del cTCP se configura en un puerto, el cTCP no se puede inhabilitar en ese puerto porque el hacer hace tan la conexión existente parar el recibir del tráfico.

La Alta disponibilidad del cTCP no se soporta actualmente en el Easy VPN Server.

Modo del Cliente universal usando el DHCP

La característica del Easy VPN Server no soporta el modo del Cliente universal usando el DHCP.

Información sobre Easy VPN Server

Cómo funciona

Soporte de RADIUS para Perfiles de Grupo

Soporte de RADIUS para Perfiles de Usuario

Protocolos admitidos

Funciones Soportadas por Easy VPN Server

Cómo funciona

Cuando el cliente inicia una conexión con un dispositivo VPN del Cisco IOS, la “conversación” que ocurre entre los pares consiste en la autenticación del dispositivo vía el Internet Key Exchange (IKE), seguido por la autenticación de usuario usando el empuje del IKE Extended Authentication (Xauth), de la política del VPN (usando la configuración de modo), y la creación de la asociación de seguridad IPSec (SA). Una descripción de este proceso es como sigue:

El cliente inicia la fase 1 IKE vía el modo agresivo () si se va una clave del preshared a ser utilizada para la autenticación; el cliente inicia al modo principal (MM) si se utilizan los Certificados digitales. Si el cliente se identifica con una clave del preshared, el nombre del grupo de acompañamiento ingresado en la configuración GUI (ID_KEY_ID) se utiliza para identificar el perfil del grupo asociado a este cliente. Si se utilizan los Certificados digitales, el campo de la unidad organizativa (OU) de un Nombre distintivo (DN) se utiliza para identificar el perfil del grupo.


Observeporque el cliente puede ser configurado para la clave de autentificación del preshared, que inicia IKE, se recomienda que el cambio del administrador la identidad del dispositivo VPN del Cisco IOS vía crypto isakmp identity hostname el comando. Esto no afectará a la autenticación certificada vía IKE MM.


El cliente intenta establecer IKE SA entre su IP Address público y el IP Address público del dispositivo VPN del Cisco IOS. Para reducir la cantidad de configuración manual en el cliente, cada combinación de cifrado y de algoritmos de troceo, además de los tamaños de los métodos de autentificación y del grupo del D-H, se propone.

Dependiendo de su configuración de la política IKE, el dispositivo VPN del Cisco IOS determinará qué oferta es aceptable de continuar negociando la fase 1.


La política IKEde la extremidad es global para el dispositivo VPN del Cisco IOS y puede consistir en varias ofertas. En el caso de las ofertas múltiples, el dispositivo VPN del Cisco IOS utilizará la primera coincidencia, así que usted debe enumerar siempre sus la mayoría de las políticas de seguridad primero.



Observelos extremos de la autenticación del dispositivo y la autenticación de usuario comienza en este momento.


Después de que IKE SA se establezca con éxito, y si el dispositivo VPN del Cisco IOS se configura para el Xauth, el cliente espera un desafío del “nombre de usuario/de la contraseña” y después responde al desafío del par. La información se ingresa que se marca contra las entidades de la autenticación usando los protocolos del Authentication, Authorization, and Accounting (AAA) tales como RADIO y TACACS+. Las placas Token se pueden también utilizar vía el proxy AAA. Durante el Xauth, es también posible que un atributo específico del usuario sea extraído si las credenciales de ese usuario se validan vía el RADIUS.


Observelos dispositivos VPN que se configuran para manejar los clientes remotos se deben configurar siempre para aplicar la autenticación de usuario.


Si el dispositivo VPN del Cisco IOS indica que la autenticación era acertada, los pedidos de cliente fomentan los parámetros de la configuración del par. Los parámetros del sistema restantes (por ejemplo, dirección IP, DNS, y los atributos del túnel dividido) se avanzan al cliente ahora usando la configuración de modo.


Observeel pool de la dirección IP y la clave del preshared del grupo (si las firmas del [RSA] del Rivest, del Shamir, y del Adelman no se están utilizando) es el único parámetro obligatorio en un perfil del grupo, el resto de los parámetros es opcional.


Después de que asignen cada cliente un IP Address interno vía la configuración de modo, es importante que el dispositivo VPN del Cisco IOS sabe a los paquetes de Routes a través del túnel apropiado VPN. El Reverse Route Injection (RRI) se asegurará de que una Static ruta esté creada en el dispositivo VPN del Cisco IOS para cada IP Address interno del cliente.


Notase recomienda que usted habilita el RRI en la correspondencia de criptografía (estática o dinámica) para el soporte de los clientes VPN a menos que la correspondencia de criptografía se esté aplicando a un túnel del Generic Routing Encapsulation (GRE) que se esté utilizando ya para distribuir la información de ruteo.


Después de que los parámetros de la configuración hayan sido recibidos con éxito por el cliente, el Quick Mode IKE se inicia para negociar el establecimiento IPSec SA.

Después de que se cree el SA de IPSec, la conexión es completa.

Soporte de RADIUS para Perfiles de Grupo

La información de política del grupo se salva en un perfil que se pueda definir localmente en la configuración del router o en un servidor de RADIUS que sea accesible por el dispositivo VPN del Cisco IOS. Si se utiliza el RADIUS, usted debe configurar el acceso al servidor y permitir que el dispositivo VPN del Cisco IOS envíe las peticiones al servidor.

Para definir los atributos de la política del grupo para el RADIUS, usted debe hacer la tarea siguiente en su servidor de RADIUS:

Defina a un usuario que tenga un nombre igual al nombre del grupo según lo definido en el Interfaz gráfica del usuario (GUI) del cliente. Por ejemplo, si los usuarios conectan con el Cisco IOS el dispositivo VPN usando el nombre del grupo “ventas,” usted necesitará a un usuario cuyo nombre sea “ventas.” La contraseña para este usuario es “Cisco,” que es un identificador especial que es utilizado por el router para los propósitos RADIUS. El nombre de usuario se debe entonces hacer un miembro de un grupo en quien se defina la directiva correcta. Para la simplicidad, se recomienda que el nombre del grupo sea lo mismo que el nombre de usuario.

Para un Cisco Secure Access Control Server

Si usted está utilizando un Cisco Secure Access Control Server (ACS), usted puede configurar sus perfiles del grupo del VPN de acceso remoto en este servidor. Para realizar esta tarea, usted debe asegurarse de que los atributos de RADIUS de la Fuerza de tareas de ingeniería en Internet (IETF) (IETF) están seleccionados para la configuración de grupo tal y como se muestra en del cuadro 1. (esta figura también muestra los atributos obligatorios requeridos para un grupo del VPN de acceso remoto.) Todos los valores se deben ingresar excepto el atributo de la Túnel-contraseña, que es realmente la clave del preshared para los propósitos IKE; si se prefieren los Certificados digitales, este atributo puede ser omitido.

Cuadro 1 selección de los atributos IETF RADIUS para la configuración de grupo

Además de los atributos obligatorios mostrados en el cuadro 1, otros valores pueden ser ingresados que representan la directiva del grupo que se avanza al cliente remoto vía la configuración de modo. El cuadro 2 muestra un ejemplo de una directiva del grupo. Todos los atributos son opcionales excepto el addr-pool, el key-exchange=preshared-key, y los atributos del key-exchange=ike. Los valores de los atributos son lo mismo que la configuración se utiliza que si la directiva se define localmente en el router bastante que en un servidor de RADIUS. (Estos valores se explican en “definiendo la información de política del grupo para la sección del empuje de la configuración de modo”.)

Cuadro 2 configuración de la directiva del grupo del CiscoSecure ACS

Después de que se cree el perfil del grupo, un usuario que es un miembro del grupo debe ser agregado. (Recuerde que el nombre de usuario que es correspondencias definidas al nombre del grupo según lo definido en el cliente remoto, y la contraseña definida para el nombre de usuario en las bases de datos RADIUS debe ser “cisco.") si los Certificados digitales son el método preferido de autenticación IKE, el nombre de usuario debe reflejar el campo OU en el certificado presentado por el cliente remoto.

Para los Demás Servidores RADIUS

Asegúrese de que su servidor de RADIUS permita que usted defina los pares del valor de atributo (AV). (Por un ejemplo, vea “configurar el Cisco IOS para el Easy VPN Server: Sección del ejemplo”).


Observesi los Certificados digitales se utilizan, el nombre de usuario definido en el RADIUS debe ser igual al campo OU del DN del certificado del cliente.


Soporte de RADIUS para Perfiles de Usuario

Los atributos también se pueden aplicar para cada usuario. Si usted aplica los atributos sobre por usuario una base, usted puede reemplazar un valor de atributo del grupo con un atributo del usuario individual. Los atributos se recuperan en el momento que ocurre la autenticación de usuario vía Xauth. Los atributos después se combinan con los atributos del grupo y se aplican durante la configuración de modo.

Los atributos basados en el usuario están disponibles solamente si el RADIUS se está utilizando para la autenticación de usuario.

Para definir los atributos de la política de usuario para el RADIUS, usted debe hacer la tarea siguiente en su servidor de RADIUS:

Defina a un usuario o agregue los atributos al perfil existente de un usuario en sus bases de datos RADIUS. La contraseña para el usuario será utilizada durante la autenticación de usuario del Xauth, o usted puede proxy a un servidor de tercera persona, tal como un servidor de placa Token.

El cuadro 3 muestra cómo el CiscoSecure ACS se puede utilizar para la autenticación de usuario y para la asignación de un atributo del Framed-IP-direccionamiento que se pueda avanzar al cliente. La presencia de este atributo significa que el pool de la dirección local definido para el grupo a quien ese usuario pertenece será reemplazado.

Cuadro 3 configuración del perfil del usuario del CiscoSecure ACS

Para los Demás Servidores RADIUS

Asegúrese de que su servidor de RADIUS permita que usted defina las pares AV. (Por un ejemplo, vea configurar el Cisco IOS para el Easy VPN Server: Ejemplo.)

Protocolos admitidos

El cuadro 2 delinea las opciones y los atributos soportados del Protocolo IPSec que se pueden configurar para esta característica. (Véase el cuadro 1 para las opciones y los atributos nonsupported.)

Opciones y atributos soportados del Protocolo IPSec del cuadro 2 

Opciones
Atributos

Algoritmos de autenticación

Códigos de autenticación de mensaje desmenuzados con la publicación de mensaje 5 (HMAC-MD5)

Algoritmo de troceo HMAC-seguro 1 (HMAC-SHA1)

Tipos de Autenticación

Claves del preshared

Firmas digitales RSA

Grupos del D-H

2

5

Algoritmos de encripción (IKE)

Estándar de Encripción de Datos (DES)

Estándar de triple cifrado de datos (3DES)

Algoritmos de encripción (IPSec)

DES

3DES

NULO

Identificadores del Protocolo IPSec

Encapsulating Security Payload (ESP)

Compresión LZS IP (IPCOMP-LZS)

Modo del Protocolo IPSec

Modo túnel


Funciones Soportadas por Easy VPN Server

Soporte de la Versión 6 de Mode Configuration

Soporte de Xauth versión 6

IKE DPD

Control de la Tunelización Dividida

Contacto Inicial

Control de Políticas Basado en Grupo

Control de Políticas Basado en el Usuario

Monitoreo de Sesiones para el Acceso a Grupos de VPNs

Soporte de Virtual IPsec Interface Support on a Server

Soporte de Atributos Por Usuario de la Interfaz de Túnel Virtual

Banner, Auto-Update y Browser Proxy

Mejoras de la Administración de la Configuración

Descarga de Política de AAA por Usuario con PKI

Soporte del Atributo por Usuario para Easy VPN Server

Mejoras de Mensajes de Syslog

Soporte del Control de Admisión de Red para Easy VPN

Central Policy Push Firewall Policy Push

Desactualización de la Contraseña

DNS dividido

cTCP

Asignación de VRF por un Servidor AAA

Soporte de la Versión 6 de Mode Configuration

La versión 6 de la configuración de modo ahora se soporta para más atributos (según lo descrito en una presentación del borrador IETF).

Soporte de Xauth versión 6

El Cisco IOS se ha aumentado para soportar la versión 6 del Xauth. El Xauth para la autenticación de usuario se basa en una presentación del borrador IETF.

IKE DPD

El cliente implementa nuevo Keepalives proyecta — IKE DPD.

El DPD permite que dos peeres IPSecs determinen si el otro todavía esté “vivo” durante el curso de la vida de una conexión VPN. El DPD es útil porque un host puede reiniciar, o el link de marcación manual de un usuario remoto puede desconectar sin la notificación del par que ha salido la conexión VPN. Cuando un host del IPSec determina que existe una conexión VPN no más, el host puede notificar a un usuario, intenta conmutar a otro IPSec el host, o limpia los recursos valiosos que fueron afectados un aparato para el par que existe no más.

Un dispositivo VPN del Cisco IOS se puede configurar para enviar y para contestar a los mensajes DPD. Se envían los mensajes DPD si no se está pasando ningún otro tráfico a través del túnel VPN. Si ha pasado una cantidad configurada de tiempo desde que los datos entrante más recientes fueron recibidos, el DPD enviará un mensaje (“DPD R-U-THERE”) la próxima vez que envía los datos salientes del IPSec al par. Los mensajes DPD son unidireccionales y son enviados automáticamente por los Clientes Cisco VPN. El DPD se debe configurar en el router solamente si el router desea enviar los mensajes DPD al cliente VPN para determinar la salud del cliente.

Control de la Tunelización Dividida

Los clientes remotos pueden soportar el Túnel dividido, que permite a un cliente para tener el intranet y acceso a internet al mismo tiempo. Si el Túnel dividido no se configura, el cliente dirigirá todo el tráfico a través del túnel, incluso trafica destinado para Internet.

Contacto Inicial

Si desconectan a un cliente repentinamente, el gateway no puede ser notificado. Por lo tanto, el retiro de la información de conexión (IKE y SA de IPSec) para ese cliente no ocurrirá inmediatamente. Así, si el cliente intenta volver a conectar al gateway otra vez, el gateway rechazará la conexión porque la información de la conexión anterior es todavía válida.

Para evitar tal escenario, una nueva capacidad llamada contacto inicial se ha introducido; es soportada por todos los Productos del Cisco VPN. Si un cliente o un router está conectando con otro gateway de Cisco por primera vez, se envía un mensaje del contacto inicial que dice al receptor ignorar y borrar cualquier vieja información de conexión que se haya mantenido para ese par nuevamente de conexión. El contacto inicial se asegura de que los intentos de conexión no estén rechazados debido a los problemas de sincronización SA, que se identifican a menudo vía los mensajes inválidos del Security Parameter Index (SPI) y que requieren los dispositivos tener sus conexiones borradas.

Control de Políticas Basado en Grupo

Los atributos de la política tales como IP Addresses, DNS, y acceso del túnel dividido se pueden proporcionar en un por-grupo o por usuario una base.

Control de Políticas Basado en el Usuario

Los atributos también se pueden aplicar para cada usuario. Usted puede reemplazar un valor de atributo del grupo con un atributo del usuario individual. Los atributos se recuperan en el momento que ocurre la autenticación de usuario vía Xauth. Después se combinan con los atributos del grupo y se aplican durante la configuración de modo.

Del Cisco IOS Release 12.3(4)T adelante, los atributos se pueden aplicar sobre por usuario una base después de que hayan autenticado al usuario. Estos atributos pueden reemplazar cualquier atributo del grupo similar. Los atributos basados en el usuario están disponibles solamente si el RADIUS se utiliza como la base de datos.

Framed-IP-direccionamiento

Para seleccionar el atributo del Framed-IP-direccionamiento para el CiscoSecure para NT, haga el siguiente: Bajo perfil del usuario, elija opción “uso del este IP Address” bajo dirección y ingrese manualmente el direccionamiento. (Usted debe marcar el método de configurar una dirección IP enmarcada con su propio servidor de RADIUS porque este procedimiento variará.)


Observesi una dirección IP enmarcada está presente, y hay también un direccionamiento de la agrupación local configurado para el grupo que el usuario pertenece a, la dirección IP enmarcada reemplazará la configuración de la agrupación local.


Cliente Proxy de DHCP

Los servidores VPN fáciles actualmente asignan a dirección IP a un dispositivo remoto usando cualquier una agrupación local que se configure en el router o el atributo enmarcado de la dirección IP que se define en el RADIUS. Eficaz con el Cisco IOS Release 12.4(9)T, la característica del proxy del Cliente de DHCP proporciona la opción de configurar un Easy VPN Server para obtener una dirección IP de un servidor DHCP. La dirección IP se avanza al dispositivo remoto usando la configuración de modo.


Observeesta característica no incluye las funciones para que el servidor DHCP avance el DNS, GANA el servidor, o el Domain Name al cliente remoto.


Para configurar el proxy del Cliente de DHCP, vea “configurando un Easy VPN Server para obtener una dirección IP la sección de un servidor DHCP”.

Ventajas del proxy del Cliente de DHCP

Las funciones proporcionaron las ayudas de esta característica en la creación de las entradas DDNS (Sistema de nombres de dominio (DNS) dinámico) cuando un servidor DNS existe conjuntamente con el servidor DHCP.

No restringen al usuario a los pools de la dirección IP.

Usuario-Salvaguardia-contraseña

Según la descripción del grupo, el atributo de la Usuario-Salvaguardia-contraseña se puede recibir además de la variante del grupo (Salvaguardia-contraseña), pero si se recibe, reemplazará el valor afirmado por el grupo.

Lo que sigue es un ejemplo de resultado de las pares AV RADIUS para el atributo de la Usuario-Salvaguardia-contraseña:

ipsec:user-save-password=1

USUARIO-INCLUIR-LOCAL-LAN

Según la descripción del grupo, el atributo Usuario-Incluir-Local-LAN se puede recibir además de la variante del grupo (Incluir-Local-LAN), pero si se recibe, reemplazará el valor afirmado por el grupo.

Lo que sigue es un ejemplo de resultado de las pares AV RADIUS para el atributo Usuario-Incluir-local LAN:

ipsec:user-include-local-lan=1

Usuario-VPN-grupo

El atributo del Usuario-VPN-grupo es un reemplazo para el atributo del Grupo-bloqueo. Permite el soporte para la clave del preshared y los mecanismos de autenticación de la firma RSA. tales como Certificados.

Si usted necesita marcar que el grupo que un usuario está intentando conectar con es de hecho el grupo el usuario pertenece a, utiliza el atributo del Usuario-VPN-grupo. El administrador fija este atributo a una cadena, que es el grupo que el usuario pertenece a. Corresponden con al grupo que el usuario pertenece a contra el grupo VPN según lo definido por el nombre del grupo (ID_KEY_ID) para las claves del preshared o por el campo OU de un certificado. Si los grupos no hacen juego, se termina la conexión cliente.

Esta característica trabaja solamente con RADIUS AAA. La autenticación del Xauth local debe todavía utilizar el atributo del Grupo-bloqueo.

Lo que sigue es un ejemplo de resultado de las pares AV RADIUS para el atributo del Uso-VPN-grupo:

ipsec:user-vpn-group=cisco

Grupo-bloqueo

Si usted está utilizando las claves del preshared (ningunos Certificados u otros mecanismos de autenticación de la firma RSA.) con el RADIUS o el AAA local, usted puede continuar utilizando el atributo del Grupo-bloqueo. Si usted está utilizando las claves del preshared (ningunos Certificados u otros mecanismos de autenticación de la firma RSA.) con el RADIUS solamente, usted puede o continuar utilizando el atributo del Grupo-bloqueo o usted puede utilizar el nuevo atributo del Usuario-VPN-grupo.

Cómo trabaja

La característica del bloqueo del grupo, introducida en el Cisco IOS 12.2(13)t, permite que usted realice un control adicional de la autenticación durante el Xauth. Con esta característica habilitada, el usuario debe ingresar un nombre de usuario, un nombre del grupo, y una contraseña del usuario durante el Xauth para autenticar. El nombre de usuario y el nombre del grupo se pueden ingresar en un de los después de los formatos: “nombre de usuario/nombre del grupo,” “nombre de usuario \ nombre del grupo,” “nombre username%group,” o “nombre del grupo del nombre de usuario.” El nombre del grupo ingresado durante el Xauth es comparado por el servidor con el nombre del grupo enviado para la autenticación del dispositivo fundamental del preshared. Si no hacen juego, el servidor niega la conexión. Para habilitar esta característica, utilice group-lock el comando para el grupo.

El Cisco IOS Software no elimina el @group del nombre de usuario del Xauth, así que el nombre de usuario user@group debe existir en las bases de datos de AAA locales o externas señaladas por al perfil ISAKMP seleccionado en la fase 1 (autenticación del grupo de la máquina).


La precauciónno utiliza el atributo del Grupo-bloqueo si usted está utilizando los mecanismos de autenticación de la firma RSA. tales como Certificados. Utilice el atributo del Usuario-VPN-grupo en lugar de otro. El atributo del Usuario-VPN-grupo se recomienda sin importar si las claves o la firma RSA. del preshared está utilizadas como el método de autenticación cuando se utilizan las bases de datos de AAA externas.

Monitoreo de Sesiones para el Acceso a Grupos de VPNs

Es posible imitar las funciones proporcionadas por algunos servidores de RADIUS para limitar la cantidad máxima de conexiones a un grupo de servidores específico y también para limitar el número de logines simultáneos para los usuarios en ese grupo. Después de que los umbrales definidos por el usario se definan en cada grupo VPN, las conexiones serán negadas hasta el descenso de las cuentas debajo de estos umbrales.

Si usted utiliza a un servidor de RADIUS, tal como CiscoSecure ACS, se recomienda que usted habilita este control de sesión en el servidor de RADIUS si se proporcionan las funciones. De esta manera, el uso puede ser controlado a través de varios servidores por un repositorio central. Al habilitar esta característica en el router sí mismo, solamente las conexiones a los grupos en ese dispositivo específico se monitorean. Los escenarios de la carga compartida no se explican exactamente.

Para configurar la supervisión de la sesión usando el comando line interface(cli), utilice crypto isakmp client configuration group el comando y max-users y max-logins los submandatos.

Lo que sigue es un ejemplo de resultado de las pares AV RADIUS que se han agregado al grupo relevante:

ipsec:max-users=1000
ipsec:max-logins=1

Soporte de Virtual IPsec Interface Support on a Server

El soporte virtual de la interfaz del IPSec en un servidor permite que usted envíe selectivamente el tráfico a diversos concentradores VPN fáciles (servidores) así como a Internet.

Antes de Cisco IOS Release 12.4(4)T, en transición de túnel ascendente/túnel descendente, los atributos avanzados durante la configuración de modo tenían que analizarse y aplicarse. Cuando dichos atributos tenían como resultado configuraciones que se estaban aplicando en la interfaz, la configuración existente tenía que reemplazarse.

Con la característica virtual del soporte de la interfaz del IPSec, la configuración del túnel-para arriba se puede aplicar a las interfaces diferentes, haciéndola más fácil soportar las características diferentes en el túnel-para arriba. Las funciones que se aplican al tráfico que entra en el túnel pueden ser independientes de las funciones que se aplican al tráfico que no pasa a través del túnel (por ejemplo, el tráfico de tunelización dividida y tráfico que sale del dispositivo cuando el túnel no está activo). Cuando la negociación Easy VPN es exitosa, el estado de Line Protocol de la interfaz de acceso virtual cambia a activo. Cuando va el túnel fácil VPN abajo porque el SA expira o se borra, el estado del Line Protocol de las interfaces de acceso virtual cambia a abajo.


Observeesta característica no soporta el Multicast.


Para más información sobre esta característica, vea el módulo remoto delCisco Easy VPN” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura. (Esta característica se configura en el dispositivo del Easy VPN Remote.)

Para la información sobre la característica virtual de la interfaz del túnel del IPSec, vea “el módulo de la interfaz del túnel virtual del IPSec” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Soporte de Atributos Por Usuario de la Interfaz de Túnel Virtual

Eficaz con el Cisco IOS Release 12.4(9)T, la interfaz del túnel virtual proporciona el soporte del atributo de usuario para los servidores VPN fáciles.

Para más información sobre esta característica, vea “el módulo de la interfaz del túnel virtual del IPSec” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura.

Banner, Auto-Update y Browser Proxy

Las características siguientes proporcionan el soporte para los atributos que ayudan en la Administración del dispositivo remoto del Cisco Easy VPN.

Banner

Un Easy VPN Server se puede configurar para avanzar el banner al dispositivo del Easy VPN Remote. Un banner es necesario para la característica basada en web de la activación. Se visualiza el banner cuando el túnel fácil VPN está para arriba en la consola del Easy VPN Remote o como páginas HTML en el caso de activación basada en web.

Automóvil Update Button

Un Easy VPN Server se puede configurar para proporcionar un mecanismo automatizado para el software y las actualizaciones del firmware en un dispositivo del Easy VPN Remote.

Proxy del navegador

Un Easy VPN Server puede ser configurado de modo que un dispositivo del Easy VPN Remote pueda acceder los recursos en la red corporativa. Usando esta característica, el usuario no tiene que manualmente modificar las configuraciones de representación de su buscador Web al conectar con la red corporativa usando el cliente VPN del Cisco IOS ni invierte manualmente las configuraciones de representación sobre la desconexión.

Mejoras de la Administración de la Configuración

Avanzar una configuración URL con un intercambio de la configuración del modo

Cuando los dispositivos remotos conectan con un gateway corporativo para crear un túnel del IPSec VPN, cierta directiva y información de la configuración tiene que ser aplicada al dispositivo remoto cuando el túnel VPN es activo permitir que el dispositivo remoto se convierta en una parte del VPN corporativo.

Avanzar una configuración URL a través de una característica del intercambio de la configuración del modo preve un atributo de la configuración del modo que los “empujes” un URL del concentrador (servidor) al dispositivo remoto del Cisco IOS Easy VPN. El URL contiene la información de la configuración que el dispositivo remoto tiene que descargar y aplicar a la configuración corriente, y contiene enumerar del Cisco IOS CLI. (Para más información sobre el Cisco IOS CLI que enumera, vea la documentación sobre Cisco IOS para configuration url el comando.) El CLI para esta característica se configura en el concentrador.

La configuración que se avanza al dispositivo remoto es persistente por abandono. Es decir, la configuración es aplicada cuando el túnel IPsec está “para arriba,” pero no se retira cuando va el túnel IPsec “abajo.” Sin embargo, es posible escribir una sección de la configuración que es transitoria en la naturaleza, en este caso la configuración de la sección se invierte cuando el túnel es disconnected.

No hay restricciones en donde el servidor de la distribución de la configuración se localiza físicamente. Sin embargo, se recomienda que un protocolo seguro tal como HTTPS (HTTP seguro) esté utilizado para extraer la configuración. El servidor de configuración se puede situar en la red corporativa, así que porque la transferencia sucede a través del túnel IPsec, los protocolos de acceso inseguros (HTTP) puede ser utilizado.

En relación con la compatibilidad descendente: el dispositivo remoto pide los atributos CONFIGURATION-URL y CONFIGURATION-VERSION. Porque los atributos CONFIGURATION-URL y CONFIGURATION-VERSION no son atributos obligatorios, el servidor los envía solamente si los hace configurar para el grupo. No hay restricción incorporada para avanzar la configuración, pero las configuraciones de la carga inicial (por ejemplo para la dirección IP) no se pueden enviar porque esas configuraciones se requieren para configurar el túnel fácil VPN, y el CONFIGURATION-URL entran en el efecto solamente después que sube el túnel fácil VPN.

Después de que la configuración haya sido adquirida por el dispositivo del Easy VPN Remote

Después de que la configuración haya sido adquirida por el dispositivo del Easy VPN Remote, el dispositivo remoto envía una nueva notificación ISAKMP al Easy VPN Server. La notificación contiene varios mensajes de información de la manejabilidad sobre el cliente (dispositivo remoto). El Easy VPN Server toma dos medidas cuando se recibe esta información:

El Easy VPN Server oculta la información en su base de datos del par. La información se puede visualizar usando show crypto isakmp peer config el comando. Esta salida de comando visualiza toda la información de la manejabilidad que sea enviada por el cliente (dispositivo remoto).

Si se habilita el considerar, el Easy VPN Server envía un expediente de la actualización de las estadísticas que contenga los mensajes de información de la manejabilidad sobre el dispositivo remoto al servidor de RADIUS de las estadísticas. Esta actualización de las estadísticas está más adelante disponible en el archivo de registro del servidor de RADIUS.

Cómo configurar esta característica

Los comandos que se utilizan para configurar esta característica y los atributos CONFIGURATION-URL y CONFIGURATION-VERSION se describen en crypto isakmp client configuration group la documentación del comando.

Descarga de Política de AAA por Usuario con PKI

Con el apoyo por de la descarga de la directiva del usuario AAA con la característica PKI, los atributos de usuario se obtienen del servidor de AAA y se avanzan al dispositivo remoto con la configuración de modo. El nombre de usuario que se utiliza para conseguir los atributos se extrae del certificado del dispositivo remoto.

Soporte del Atributo por Usuario para Easy VPN Server

El soporte del atributo de usuario para la característica fácil de los servidores VPN proporciona a los usuarios con la capacidad de soportar los atributos de usuario en los servidores VPN fáciles. Estos atributos se aplican en la interfaz de acceso virtual.

Servidor de AAA fácil local VPN

Para un servidor de AAA fácil local VPN, los atributos de usuario pueden ser aplicados en el nivel de grupo o en el nivel del usuario usando el comando line interface(cli).

Para configurar los atributos de usuario para un Easy VPN Server local, vea “configurando los atributos de usuario en la sección de un servidor de AAA fácil local VPN”.

Servidor de AAA fácil remoto VPN

Los pares del valor de atributo (AV) se pueden definir en un servidor de AAA fácil remoto VPN tal y como se muestra en de este ejemplo:

cisco-avpair = "ip:outacl#101=permit tcp any any established

Atributos de usuario

Los atributos de usuario siguientes se definen en el servidor de AAA y son actualmente aplicables al IPSec:

inacl

interfaz-config

outacl

rutear

RTE-fltr-en

RTE-fltr-hacia fuera

Sub-directiva-en

sub-directiva-Hacia fuera

directiva-ruta

prefijo

Mejoras de Mensajes de Syslog

Algunos nuevos mensajes de Syslog se han agregado para el VPN fácil en el Cisco IOS Release 12.4(4)T. Los mensajes de Syslog se pueden habilitar en su servidor usando el comando line interface(cli). El formato de los mensajes de Syslog es como sigue:

timestamp: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server)  <event message>  User=<username>  
Group=<groupname>  Client_public_addr=<ip_addr> Server_public_addr=<ip addr>

Para un evento autenticación-pasajero, el mensaje de Syslog parece el siguiente:

Jul 25 23:33:06.847: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) Authentication PASS 
ED User=blue Group=Cisco1760group Client_public_addr=10.20.20.1 
Server_public_addr=10.20.20.2  

Tres de los mensajes (los usuarios máximos, los logines máximos, y el grupo no existe) son problemas de la autorización y se imprimen solamente con el nombre del grupo en el formato. La razón solamente del nombre del grupo que es impreso es que sucede la comprobación de autorización mucho antes de que suceda la configuración de modo. Por lo tanto, la información de peer no está todavía presente y no puede ser impresa. Lo que sigue es un ejemplo de un “grupo no sale” el mensaje.

*Jun 30 18:02:58.107: %CRYPTO-6-VPN_TUNNEL_STATUS: Group: group_1 does not exist

Mensajes de Syslog fáciles VPN se soportan que

El ezvpn_connection_up y el ezvpn_connection_down fueron soportados ya en una versión anterior de los mensajes de Syslog. Las mejoras en el Cisco IOS Release 12.4(4)T siguen el mismo formato, pero se introducen los nuevos Syslog. Los Syslog agregados son como sigue:

Autenticación pasajera

Autenticación Rechazada

– Bloqueo del grupo habilitado

– Nombre de usuario incorrecto o contraseña

– Usuarios máximos excedidos/logines máximos excedidos

– No del Retries excedido

Autenticación fallada (AAA no contactable)

La agrupación IP no present/No libera la dirección IP disponible en el pool

ACL asociado a la directiva del EzVPN pero no definido (por lo tanto, ningún Túnel dividido posible)

Salve la contraseña girada

Expediente incorrecto del Firewall que es enviado por el cliente (vendedor incorrecto | producto | capacidad)

Autenticación Rechazada

– Acceso restringido vía la interfaz entrante

– El grupo no existe

Soporte del Control de Admisión de Red para Easy VPN

El control de admisión de red fue introducido en el Cisco IOS Release 12.3(8)T como manera de determinar si un PC cliente se debe permitir conectar con el LAN. El control de admisión de red utiliza el protocolo extensible authentication sobre UDP (EAPoUDP) para preguntar el Cisco Trust Agent en el PC y permite que un PC acceda la red si el estatus del cliente es sano. Diversas directivas se pueden aplicar en el servidor para negar o para limitar el acceso de los PC se infectan que.

Eficaz con el Cisco IOS Release 12.4(4)T, el control de admisión de red se puede ahora utilizar para monitorear el estatus de los clientes de la PC remota también. Después de que suba el túnel fácil VPN y el PC comienza a enviar el tráfico, el tráfico se intercepta en el Easy VPN Server, y el comienzo del proceso de validación de la postura. El proceso de validación de la postura consiste en el enviar de una petición del EAPoUDP sobre el túnel fácil VPN y el preguntar del Cisco Trust Agent. El servidor de autenticación se configura dentro de la red de confianza, detrás del aggregator del IPSec.

La configuración de un Easy VPN Server que tiene control de admisión de red habilitado se muestra en la salida en el control de admisión de red: Ejemplo.

Central Policy Push Firewall Policy Push

El empuje central de las políticas del firewall del empuje de la directiva de los soportes del Easy VPN Server (CPP). Esta característica permite que los administradores avancen las directivas que aplican la Seguridad al cliente del Cisco Easy VPN (software) y al software de escudo de protección relacionado.

Un túnel dividido habilita el acceso a las redes corporativas, pero también permite que un dispositivo remoto sea expuesto a los ataques de Internet. Esta característica permite al servidor para determinar si permitir o negar un túnel si el dispositivo remoto no tiene un Firewall requerido, de tal modo reduciendo la exposición a los ataques.

Soportan a los tipos siguientes del Firewall:

Cisco-Integrado-Firewall (central-directiva-empuje)

Cisco Security Agent (control-presencia)

Zonelabs-ZoneAlarm (ambos)

Zonelabs-ZonealarmPro (ambos)

El servidor se puede utilizar para marcar la presencia de un Firewall en el cliente (dispositivo remoto) usando la opción de la control-presencia o para especificar los específicos de las políticas del firewall que se deben aplicar por el cliente que usa el central-directiva-empuje.


Observe policy check-presence el comando y la palabra clave, que se utilizan con esta característica, substituye firewall are-u-there las funciones del comando que fueron soportadas antes del Cisco IOS Release 12.4(6)T. firewall are-u-there El comando continuará siendo soportado para la compatibilidad descendente.


Para habilitar esta característica, vea “definiendo un empuje de las políticas del firewall de CPP usando la sección de un servidor de AAA local” y “aplicando un empuje de las políticas del firewall de CPP sección al grupo de configuración”.

Soporte de Syslog para el empuje de las políticas del firewall de CPP

El soporte de Syslog se puede habilitar usando crypto logging ezvpn el comando en su router. Los mensajes de Syslog de CPP serán impresos para las condiciones de error siguientes:

Si la directiva se configura en una configuración de grupo (usando firewall policy el comando), solamente una política global con el mismo nombre no se define (usando crypto isakmp client firewall el comando). El mensaje de Syslog es como sigue:

Policy enabled on group configuration but not defined

Ingresos de la configuración de túnel como normal (con el Firewall).

Si se recibe una petición incorrecta del Firewall (pedido incorrecta del vendedor/del producto/del casquillo), el mensaje de Syslog es como sigue:

Incorrect firewall record received from client

Si una discordancía de la directiva ocurre entre el Cliente Cisco VPN y el servidor, el Syslog es como sigue:

CPP policy mismatch between client and headend

Desactualización de la Contraseña

Antes del Cisco IOS Release 12.4(6)T, los dispositivos remotos del EasyVPN (clientes) enviaron los valores del nombre de usuario y contraseña al Easy VPN Server, que a su vez los enviaron al subsistema AAA. El subsistema AAA generó un pedido de autenticación al servidor de RADIUS. Si había expirado la contraseña, el servidor de RADIUS contestó con una falla de autenticación. La razón del error no fue devuelta al subsistema AAA. Negaron el usuario el acceso debido a la falla de autenticación, pero él o ella no sabía que el error era debido al vencimiento de contraseña.

Eficaz con el Cisco IOS Release 12.4(6)T, si usted ha configurado la característica de la desactualización de contraseña, notifican al cliente del EasyVPN cuando ha expirado una contraseña, y a le indican que ingrese una nueva contraseña. Para configurar la característica de la desactualización de contraseña, vea la sección el configurar de la desactualización de contraseña.

Para más información sobre la desactualización de contraseña, vea la referencia para la “desactualización de contraseña” en las referencias adicionales de la sección (la subdivisión “relacionó los documentos).

DNS dividido

Eficaz con el Cisco IOS Release 12.4(9)T, las funciones del DNS dividido están disponibles en los servidores VPN fáciles. Esta característica permite al hardware cliente fácil VPN para utilizar los valores primarios y de los DN secundarios para resolver las interrogaciones DNS. Estos valores son avanzados por el Easy VPN Server al dispositivo del Easy VPN Remote. Para configurar esta característica en su servidor, utilice el comando del DNS dividido (véase “definiendo la información de política del grupo para la sección del empuje de la configuración de modo”). Configurando este comando agrega el atributo del DNS dividido al grupo de políticas. El atributo incluirá la lista de Domain Name que usted configuró. El resto de los nombres serán resueltos usando el servidor DNS público.

Para más información sobre configurar el DNS dividido, vea “configurar el DNS dinámico y dividido en el Cisco VPN el 3000" en el URL siguiente: http://www.cisco.com/warp/public/471/dns_split_dynam.pdf.

cTCP

Cisco que hace un túnel la característica del Control Protocol (cTCP) se puede utilizar para las situaciones en las cuales un dispositivo del Easy VPN Remote está actuando en un entorno en el cual el IPSec estándar no funcione o en cuál no funciona transparente sin la modificación a las reglas de firewall existentes. Estas situaciones incluyen lo siguiente:

Network Address Translation (NAT) de ejecución o Port Address Translation (PAT) pequeño o de la oficina en el hogar del router

Dirección IP proporcionada por PAT detrás de un router más grande (por ejemplo, en una corporación)

Firewall que no es NAT (filtrado de paquetes o con estado)

Servidor proxy

El Firewall se debe configurar para permitir que el headend valide las conexiones del cTCP en el puerto configurado del cTCP. Esta configuración se habilita en el Easy VPN Server. Si el Firewall no se configura, no permitirá el tráfico del cTCP.


El tráficodel cTCP de la nota es realmente tráfico del Transmission Control Protocol (TCP). los paquetes del cTCP son los paquetes IKE o del Encapsulating Security Payload (ESP) que se están transmitiendo sobre el TCP.


El servidor del cTCP envía un mensaje ACK gratuito al cliente siempre que los datos recibidos del cliente sobre la sesión del cTCP establecida alcancen 3 kilobytes (KB). Un procedimiento similar es seguido por el cliente. Por abandono, este mensaje ACK gratuito se envía para guardar el NAT o las sesiones del Firewall entre el servidor del cTCP y el cliente del cTCP vivos. Los tamaños de los datos en las cuales se envían los mensajes ACK gratuitos no son configurables.

El Keepalives que es enviado por un cliente o un servidor no mantiene las sesiones vivas cuando el servidor o el cliente envía los datos en una velocidad.

El servidor del cTCP que envía el mensaje ACK se asegura de que las sesiones NAT o del Firewall no caen los paquetes cuando hay tráfico unidireccional y los datos son grandes. También se asegura de que un acuse de recibo esté proporcionado del dispositivo que recibe los datos.

Asignación de VRF por un Servidor AAA

Para asignar el VRF a los usuarios de VPN fáciles, los atributos siguientes se deben habilitar en un servidor de AAA:

Cisco-avpair "ip:interface-config=ip vrf forwarding example1"
Cisco-avpair "ip:interface-config=ip unnumbered loopback10"

Cómo Configurar Easy VPN Server

Esta sección incluye los siguientes procedimientos:

Habilitando las operaciones de búsqueda de la directiva vía el AAA (requerido)

Definiendo la información de política del grupo para el empuje de la configuración de modo (requerido)

Habilitando la supervisión de la sesión de VPN (opcional)

Verificando a una sesión de VPN (opcional)

Aplicando la configuración de modo y el Xauth (requeridos)

Habilitando el Reverse Route Injection para el cliente (opcional)

Habilitando el Dead Peer Detection IKE (opcional)

Configurando el soporte del servidor de RADIUS (opcional)

Verificando el Easy VPN Server (opcional)

Configurando un banner (opcional)

Configurando la actualización auto (opcional)

Configurando el proxy del navegador (opcional)

Configurando avanzar de una configuración URL con un intercambio de la configuración del modo (opcional)

El configurar por la descarga del usuario AAA con el PKI — configurando el trustpoint Crypto PKI (opcional)

Configurando el real por la descarga del usuario AAA con el PKI (opcional)

Configuración de Atributo Por Usuario en un Servidor AAA Easy VPN Local

Configurando los atributos de usuario en un servidor de AAA fácil local VPN (opcional)

Definiendo un empuje de las políticas del firewall de CPP usando un servidor de AAA local (opcional)

Aplicando un empuje de las políticas del firewall de CPP al grupo de configuración (opcional)

Definiendo un empuje de las políticas del firewall de CPP usando un servidor de AAA remoto (opcional)

Agregando la CPP-directiva VSA bajo definición del grupo (opcional)

Verificando el empuje de las políticas del firewall de CPP (opcional)

Configurando la desactualización de contraseña (opcional)

Configurando el DNS dividido (opcional)

Verificando el DNS dividido (opcional)

Monitoreando y mantener el DNS dividido (opcional)

Configurando un Easy VPN Server para obtener una dirección IP de un servidor DHCP (opcional)

Verificando el proxy del Cliente de DHCP (opcional)

Monitoreando y mantener el proxy del Cliente de DHCP (opcional)

Configurando el cTCP (opcional)

Verificando el cTCP (opcional)

Monitoreando y manteniendo una configuración del cTCP (opcional)

Localizando averías una configuración del cTCP (opcional)

Habilitar las operaciones de búsqueda de la directiva vía el AAA

Para habilitar las operaciones de búsqueda de la directiva vía el AAA, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication password-prompt text-string

5. aaa authentication username prompt text-string

6.aaa authentication login []list-name method1del []method2...

7. aaa authorization network list-name local group radius

8. username name password encryption-type encrypted-password

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

aaa new-model

Example:

Router(config)# aaa new-model

Habilita AAA.

Paso 4 

aaa authentication password-prompt text-string

Example:

Router(config)# aaa authentication password-prompt "Enter your password now:"

(Opcional) cambia el texto visualizado cuando indican a los usuarios para una contraseña.

Paso 5 

aaa authentication username-prompt text-string

Example:

Router(config)# aaa authentication username-prompt "Enter your name here:"

(Opcional) cambia el texto visualizado cuando se indica a los usuarios que ingresen un nombre de usuario.

Paso 6 

aaa authentication login [list-name method1] [method2...]

Example:

Router(config)# aaa authentication login userlist local group radius

Define la autenticación AAA en el login.

Un servidor local y RADIUS se pueden usar juntos y se intentarán en orden.

Observeeste comando debe ser habilitado para aplicar el Xauth.

Paso 7 

aaa authorization network list-name local group radius

Example:

Router(config)# aaa authorization network grouplist local group radius

Operaciones de búsqueda de la directiva del grupo de los permisos.

Un servidor local y RADIUS se pueden usar juntos y se intentarán en orden.

Paso 8 

username name password encryption-type encrypted-password

Example:

Router(config)# username server_r password 7 121F0A18

(Opcional) define a los usuarios locales para el Xauth si el RADIUS o el TACACS+ no se utiliza.

Observeel uso este comando solamente si no se utiliza ningún repositorio externo de la validación.

Definición de la Información de Política de Grupo para el Envío de la Configuración de Modo

Aunque los usuarios puedan pertenecer a solamente un grupo por la conexión, pueden pertenecer a los grupos específicos con diversos requisitos de política. Así, los usuarios pueden decidir conectar con el cliente que usa un diverso ID de grupo cambiando su perfil del cliente en el dispositivo VPN. Para definir los atributos de la política que se avanzan al cliente vía la configuración de modo, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp client configuration group {group-name | default}

4. key name

5. dns primary-server secondary-server

6. wins primary-server secondary-server

7. domain name

8. pool name

9. netmask name

10. acl number

11access-restrict {interface-name}

12. policy check-presence

o

firewall are-u-there

13. group-lock

14. include-local-lan

15. save-password

16. backup-gateway

17. pfs

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration group {group-name | default}

Example:

Router(config)# crypto isakmp client configuration group group1

Especifica el perfil de la directiva del grupo que será definido y ingresa el modo de la configuración de grupo del protocolo internet security association key management (ISAKMP).

Si no se define ninguna coincidencia de grupo del específico ni ningún grupo predeterminado, los usuarios tendrán automáticamente la política de un grupo predeterminado.

Paso 4 

key name

Example:

Router(config-isakmp-group)# key group1

Especifica la llave precompartida IKE para la definición de atributos de la política de grupos.

Observeeste comando debe ser habilitado si el cliente se identifica con una clave del preshared.

Paso 5 

dns primary-server secondary-server

Example:

Router(config-isakmp-group)# dns 10.2.2.2 10.3.3.3

(Opcional) especifica los servidores DNS principales y secundarios para el grupo.

Paso 6 

wins primary-server secondary-server

Example:

Router(config-isakmp-group)# wins 10.10.10.10 10.12.12.12

(Opcional) especifica los servidores primarios y secundarios de los TRIUNFOS para el grupo.

Paso 7 

domain name

Example:

Router(config-isakmp-group)# domain domain.com

(Opcional) especifica el dominio DNS al cual un grupo pertenece.

Paso 8 

pool name

Example:

Router(config-isakmp-group)# pool green

Define una dirección de conjunto local.

Aunque un usuario deba definir por lo menos un nombre del pool, las agrupaciones distintas pueden ser definidas para cada directiva del grupo.

Observeeste comando debe ser definido y referir a un direccionamiento de la agrupación local del IP válido o a la conexión cliente fallará.

Paso 9 

netmask name

Example:

Router(config-isakmp-group)# netmask 255.255.255.255

(Opcional) especifica que una máscara de subred esté descargada al cliente para la conectividad local.

Observea algunos clientes VPN utilizan la máscara predeterminada para sus clases determinadas de direccionamiento. Sin embargo, para un router, la máscara basada en el host se utiliza típicamente (/32). Si usted quiere reemplazar la máscara predeterminada, utilice netmask el comando.

Paso 10 

acl number

Example:

Router(config-isakmp-group)# acl 199

Túnel dividido (opcional) de las configuraciones.

number El argumento especifica un grupo de reglas del Access Control List (ACL) que representen las subredes protegidas para los propósitos del Túnel dividido.

Paso 11 

access-restrict {interface-name}

Example:

Router(config-isakmp-group)# access-restrict fastethernet0/0

Restringe a los clientes en un grupo a una interfaz.

Paso 12 

policy check-presence


o

firewall are-u-there

Example:

Router(config-isakmp-group)# policy check-presence


o


Router(config-isakmp-group)# firewall are-u-there

(Opcional) denota que el servidor debe marcar para saber si hay la presencia del Firewall especificado (como se muestra como el tipo del Firewall en el cliente).

o

Agrega el Firewall son-u-allí atributo al grupo de servidores si su PC está funcionando con los escudos de protección personales de la alarma del hielo negro o de la zona.

Observeel comando policy y check-presence la palabra clave fue agregada a la documentación sobre Cisco IOS en el Cisco IOS 12.4(6)T. Se recomienda que utilicen al comando policy en vez firewall are-u-there del comando porque soportan al comando policy en el AAA local y las configuraciones AAA remotas. firewall are-u-there El comando se puede figurar solamente localmente, pero todavía se soporta para la compatibilidad descendente.

Paso 13 

group-lock

Example:

Router(config-isakmp-group)# group-lock

Aplica la característica del bloqueo del grupo.

Paso 14 

include-local-lan

Example:

Router(config-isakmp-group)# include-local-lan

(Opcional) configura el atributo Incluir-Local-LAN para permitir que una conexión del nonsplit-Tunelización acceda el red secundario local al mismo tiempo que el cliente.

Paso 15 

save-password

Example:

Router(config-isakmp-group)# save-password

(Opcional) guarda su contraseña del Xauth localmente en su PC.

Paso 16 

backup-gateway

Example:

Router(config-isakmp-group)# backup gateway

(Opcional) bastante que los gatewayes de backup agregados a las configuraciones del cliente manualmente, es posible hacer que el servidor “empuje hacia abajo” una lista de gatewayes de backup al dispositivo del cliente.

Estos gatewayes se intentan en la orden en el caso de un error del gateway anterior. Los gatewayes se pueden especificar usando los IP Addresses o los nombres del host.

Paso 17 

pfs

Example:

Router(config-isakmp-group)# pfs

(Opcional) notifica al cliente de la directiva del sitio central en relación con si el PFS está requerido para cualquier IPSec SA.

Porque el dispositivo del cliente no tiene una opción de interfaz de usuario para habilitar o para inhabilitar la negociación PFS, el servidor notificará el dispositivo del cliente de la directiva del sitio central usando este parámetro. El grupo de Diffie Hellman (D-H) que se propone para el PFS será lo mismo que fue negociada en la fase 1 de la negociación IKE.

Habilitar la supervisión de la sesión de VPN

Si usted desea fijar las restricciones en la cantidad máxima de conexiones al router por el grupo VPN y el número máximo de logines simultáneos por el usuario, agregue los atributos siguientes al grupo VPN.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4. exit

5. max-logins number-of-logins

6. max-users number-of-users

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration group group-name

Example:

Router(config)# crypto isakmp client configuration group group1

Especifica el perfil de la política del grupo que se definirá e ingresa en el modo de la configuración de grupo ISAKMP.

group-name — Agrupe la definición que identifica qué directiva se aplica para los usuarios.

Paso 4 

exit

Example:

Router(config-isakmp-group)# exit

Modo de la configuración de grupo de las salidas ISAKMP.

Paso 5 

max-logins number-of-logins

Example:

Router(config)# max-logins 10

(Opcional) limita el número de logines simultáneos para los usuarios en un grupo de servidores específico.

Paso 6 

max-users number-of-users

Example:

Router(config)# max-users 1000

(Opcional) limita el número de conexiones a un grupo de servidores específico.

Verificar a una sesión de VPN

Para verificar a una sesión de VPN, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. show crypto session group

3. show crypto session summary

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show crypto session group

Example:

Router# show crypto session group

Visualiza a los grupos que están actualmente - active en el dispositivo VPN.

Paso 3 

show crypto session summary

Example:

Router# show crypto session summary

Visualiza a los grupos que están actualmente - active en el dispositivo VPN y los usuarios que estén conectados para cada uno de esos grupos.

Aplicación de la configuración de modo y del Xauth

La configuración de modo y el Xauth se deben aplicar a una correspondencia de criptografía que se aplicará. Para aplicar la configuración de modo y el Xauth a una correspondencia de criptografía, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto map tag client configuration address [initiate | respond]

4. crypto map map-name isakmp authorization list list-name

5. crypto map map-name client authentication list list-name

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto map tag client configuration address [initiate | respond]

Example:

Router(config)# crypto map dyn client configuration address initiate

Configura al router para iniciar o para contestar a las peticiones de la configuración de modo.

Los clientes de Ciscode la nota requieren respond la palabra clave ser utilizados; sin embargo, si utilizan al Cliente Cisco Secure VPN 1.x, initiate la palabra clave debe ser utilizada; initiate y respond las palabras claves se pueden utilizar simultáneamente.

Paso 4 

crypto map map-name isakmp authorization list list-name

Example:

Router(config)# crypto map ikessaaamap isakmp authorization list ikessaaalist

Habilita el IKE que pregunta para la directiva del grupo cuando es pedido por el cliente.

list-name El argumento es utilizado por el AAA para determinar que la fuente del almacenamiento se utiliza para encontrar la directiva (local o RADIO) según lo definido en aaa authorization network el comando.

Paso 5 

crypto map map-name client authentication list list-name

Example:

Router(config)# crypto map xauthmap client authentication list xauthlist

Aplica el Xauth.

list-name El argumento se utiliza para determinar la ubicación de almacenamiento apropiada del nombre de usuario y contraseña (local o RADIO) según lo definido en aaa authentication login el comando.

Habilitar el Reverse Route Injection para el cliente

Para habilitar el RRI en la correspondencia de criptografía (estática o dinámica) para el soporte del cliente VPN, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto dynamic map-name seq-num

o

crypto map map-name seq-num ipsec-isakmp

4. set peer ip-address

5. set transform-set transform-set-name

6. reverse-route

7. match-address

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita al modo EXEC privilegiado

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto dynamic map-name seq-num


o

crypto map map-name seq-num ipsec-isakmp

Example:

Router(config)# crypto dynamic mymap 10


o

Router(config)# crypto map yourmap 15 ipsec-isakmp

Crea una entrada de crypto map e ingresa en el modo de configuración del crypto map.

o

Agrega un conjunto de la correspondencia cifrada dinámica a un conjunto de la correspondencia de criptografía estática y ingresa al modo de configuración de la correspondencia de criptografía.

Paso 4 

set peer ip-address

Example:

Router(config-crypto-map)# set peer 10.20.20.20

Especifica una dirección IP de peer IPSec en una entrada de crypto map.

Este paso es opcional cuando se configuran las entradas del crypto map dinámico.

Paso 5 

set transform-set transform-set-name

Example:

Router(config-crypto-map)# set transform-set dessha

Especifica qué conjuntos de transformación se permiten para la entrada de crypto map.

Lista varios conjuntos de transformaciones en orden de prioridad (la prioridad más alta primero).

Observeesta lista es la única sentencia de configuración requerida en las entradas de la correspondencia cifrada dinámica.

Paso 6 

reverse-route

Example:

Router(config-crypto-map)# reverse-route

Crea la Información del proxy del origen.

Paso 7 

match address

Example:

Router(config-crypto-map)# match address

Especifica una lista de acceso ampliada para una entrada de crypto map.

Este paso es opcional cuando se configuran las entradas del crypto map dinámico.

Habilitar el Dead Peer Detection IKE

Para permitir a un gateway de VPN del Cisco IOS (en vez del cliente) para enviar los mensajes IKE DPD, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp keepalive secs retries

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp keepalive secs retries

Example:

Router(config)# crypto isakmp keepalive 20 10

Permite que el gateway envíe los mensajes DPD al router.

secs El argumento especifica el número de segundos entre los mensajes DPD (el rango es a partir 1 a 3600 segundos); retries el argumento especifica el número de segundos entre las recomprobaciones si los mensajes DPD fallan (el rango es a partir 2 a 60 segundos).

Configurar el soporte del servidor de RADIUS

Para configurar el acceso al servidor y permitir que el dispositivo VPN del Cisco IOS envíe las peticiones al servidor, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.radius server host ip-address []auth-port port-numberdel []acct-port port-numberdel []key string

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

radius server host ip-address [auth-port port-number] [acct-port port-number] [key string]

Example:

Router(config)# radius server host 192.168.1.1. auth-port 1645 acct-port 1646 key XXXX

Especifica un host de servidor de RADIUS.

Observeeste paso se requiere si usted elige salvar la información de política del grupo en un servidor de RADIUS.

Verificar el Easy VPN Server

Para verificar sus configuraciones para esta característica, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2.show crypto map [interface interface | tag map-name]

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show crypto map [interface interface | tag map-name]

Example:

Router# show crypto map interface ethernet 0

Visualiza la configuración de la correspondencia de criptografía.

Configurar un banner

Para configurar un Easy VPN Server para avanzar un banner a un dispositivo del Easy VPN Remote, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp client configuration group {group-name}

4.banner c {banner-text} c

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration group {group-name}

Example:

Router(config)# crypto isakmp client configuration group Group1

Especifica a qué grupo será definido un perfil de la directiva y ingresa el modo crypto de la configuración de grupo ISAKMP.

Paso 4 

banner c {banner-text} c

Example:

Router(config-isakmp-group)# banner c The quick brown fox jumped over the lazy dog c

Especifica el texto del banner.

Configurar la actualización auto

Para configurar un Easy VPN Server para proporcionar un mecanismo automatizado para poner el software y las actualizaciones del firmware automáticamente a disposición un dispositivo del Easy VPN Remote, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp client configuration group {group-name}

4.auto-update client {type-of-system} {url url} {rev review-version}

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration group {group-name}

Example:

Router(config)# crypto isakmp client configuration group Group2

Especifica a qué grupo será definido un perfil de la directiva y ingresa el modo crypto de la configuración de grupo ISAKMP.

Paso 4 

auto-update client {type-of-system} {url url} {rev review-version}

Example:

Router(config-isakmp-group)# auto-update client Win2000 url http:www.example.com/newclient rev 3.0.1(Rel), 3.1(Rel)

Configura los parámetros del automóvil Update Button para un dispositivo del Easy VPN Remote.

Configurar el proxy del navegador

Para configurar un servidor del EasyVPN de modo que el dispositivo del Easy VPN Remote pueda acceder los recursos en la red corporativa al usar el Cisco IOS software cliente VPN, realice los pasos siguientes. Con esta configuración, el usuario no tiene que modificar manualmente las configuraciones de representación de su buscador Web al conectar y no tiene que manualmente invertir las configuraciones de representación al desconectar.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp client configuration browser-proxy {browser-proxy-name}

4.proxy {proxy-parameter}

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration browser-proxy {browser-proxy-name}

Example:

Router(config)# crypto isakmp client configuration browser-proxy bproxy

Configura los parámetros del navegador-proxy para un dispositivo del Easy VPN Remote y ingresa el modo de la configuración de representación del hojeador ISAKMP.

Paso 4 

proxy {proxy-parameter}

Example:

Router(config-ikmp-browser-proxy)# proxy auto-detect

Configura los parámetros de proxy para un dispositivo del Easy VPN Remote.

Configurar avanzar de una configuración URL con a
Intercambio de la configuración del modo

Para configurar un Easy VPN Server para avanzar una configuración URL con un intercambio de la configuración del modo, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp client configuration group {group-name}

4.configuration url {url}

5.configuration version {version-number}

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration group {group-name}

Example:

Router(config)# crypto isakmp client configuration group Group1

Especifica a qué grupo será definido un perfil de la directiva y ingresa el modo crypto de la configuración de grupo ISAKMP.

Paso 4 

configuration url {url}

Example:

Router(config-isakmp-group)# configuration url http://10.10.88.8/easy.cfg

Especifica el URL que el dispositivo remoto debe utilizar para conseguir la configuración del servidor.

El URL debe ser una cadena de ASCII terminada no nula que especifica la trayectoria completa del archivo de configuración.

Paso 5 

configuration version {version-number}

Example:

Router(config-isakmp-group)# configuration version 10

Especifica la versión de la configuración.

El número de la versión será un Contenido no firmado en el rango 1 a 32767.

El configurar por la descarga del usuario AAA con el PKI — configurar el trustpoint Crypto PKI

Para configurar un servidor de AAA para avanzar los atributos de usuario a un dispositivo remoto, realice los pasos siguientes.

Prerrequisitos

Antes de configurar un servidor de AAA para avanzar los atributos de usuario a un dispositivo remoto, usted debe haber configurado el AAA. El trustpoint crypto PKI debe también ser configurado (véase la primera tarea de configuración abajo). Es preferible que la configuración del trustpoint contiene authorization username el comando.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. enrollment url url

5. revocation-check none

6. rsakeypair key-label

7.authorization username {subjectname subjectname}

8. exit

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto pki trustpoint name

Example:

Router(config)# crypto pki trustpoint ca-server

Declara el trustpoint que su router debe utilizar y entra en el modo de configuración de ca-trustpoint.

Paso 4 

enrollment url url

Example:

Router(config-ca-trustpoint)# enrollment url http://10.7.7.2:80

Especifica el URL del servidor del Certification Authority (CA) al cual enviar las peticiones de la inscripción.

Paso 5 

revocation-check none

Example:

Router(config-ca-trustpoint)# revocation-check none

Verifica el estado de revocación de un certificado.

Paso 6 

rsakeypair key-label

Example:

Router(config-ca-trustpoint)# rsakeypair rsa-pair

Especifica qué par clave a asociarse al certificado.

Paso 7 

authorization username {subjectname subjectname}

Example:

Router(config-ca-trustpoint)# authorization username subjectname commonname

Especifica los parámetros para los diversos campos del certificado que se utilizan para construir el nombre de usuario AAA.

Paso 8 

exit

Example:

Router(config-ca-trustpoint)# exit

Sale del modo de configuración de ca-trustpoint.

Configurar el real por la descarga del usuario AAA con el PKI

Para configurar por usuario la descarga real con el PKI, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp policy priority

4.group {1 | 2}

5. exit

6. crypto isakmp profile profile-name

7. match certificate certificate-map

8. client pki authorization list listname

9.client configuration address {initiate | respond}

10. virtual-template template-number

11. exit

12. crypto ipsec transform-set []transform-set-name transform1del []transform2del []transform3del []transform4

13. crypto ipsec profile name

14. set transform-set transform-set-name

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp policy priority

Example:

Router(config)# crypto isakmp policy 10

Define una política IKE y ingresa al modo de configuración de la política isakmp.

Paso 4 

group {1 | 2}

Example:

Router(config-isakmp-policy)# group 2

Especifica el identificador del grupo Diffie-Hellman dentro de una política IKE.

Paso 5 

exit

Example:

Router(config-isakmp-policy)# exit

Modo de configuración de la política isakmp de las salidas.

Paso 6 

crypto isakmp profile profile-name

Example:

Router(config)# crypto isakmp profile ISA-PROF

Define un perfil ISAKMP y auditoría las sesiones de usuario IPsec y ingresa el modo crypto de la configuración del perfil ISAKMP.

Paso 7 

match certificate certificate-map

Example:

Router(config-isakmp-profile)# match certificate cert_map

Asigna un perfil ISAKMP a un par en base del contenido de los campos arbitrarios en el certificado.

Paso 8 

client pki authorization list listname

Example:

Router(config-isakmp-profile)# client pki authorization list usrgrp

Especifica la lista de la autorización de servidores de AAA que sean utilizados para obtener por usuario los atributos AAA en base del nombre de usuario construido del certificado.

Paso 9 

client configuration address {initiate | respond}

Example:

Router(config-isakmp-profile)# client configuration address respond

Modo de la configuración IKE de las configuraciones en el perfil ISAKMP.

Paso 10 

virtual-template template-number

Example:

Router(config-isakmp-profile)# virtual-template 2

Especifica qué plantilla virtual se utilizará para clonar las interfaces de acceso virtual.

Paso 11 

exit

Example:

Router(config-isakmp-profile)# exit

Da salida al modo crypto de la configuración del perfil ISAKMP.

Paso 12 

crypto ipsec transform-set transform-set-name transform1 [transform2] [transform3] [transform4]

Example:

Router(config)# crypto ipsec transform-set trans2 esp-3des esp-sha-hmac1

Define una transformación fijada — una combinación aceptable de protocolos y de algoritmos de Seguridad.

Paso 13 

crypto ipsec profile name

Example:

Router(config)# crypto ipsec profile IPSEC_PROF

Define los parámetros de IPSec que se deben usar para la encripción IPSec entre dos routers IPSec.

Paso 14 

set transform-set transform-set-name

Example:

Router(config)# set transform-set trans2

Especifica qué conjuntos de transformación se pueden utilizar con la entrada de crypto map.

Configuración de Atributo Por Usuario en un Servidor AAA Easy VPN Local

Para configurar los atributos de usuario en un servidor de AAA fácil local VPN, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. aaa attribute list list-name

4.attribute type name value []service servicedel []protocol protocol

5. exit

6. crypto isakmp client configuration group group-name

7. crypto aaa attribute list list-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

aaa attribute list list-name

Example:

Router(config)# aaa attribute list list1

Define una lista de atribución AAA localmente en un router y ingresa al modo de configuración de la lista de atribución.

Paso 4 

attribute type name value [service service] [protocol protocol]

Example:

Router(config-attr-list)# attribute type attribute xxxx service ike protocol ip

Define un tipo del atributo que deba ser agregado a una lista de atribución localmente en un router.

Paso 5 

exit

Example:

Router(config-attr-list)# exit

Da salida al modo de configuración de la lista de atribución.

Paso 6 

crypto isakmp client configuration group group-name

Example:

Router(config)# crypto isakmp client configuration group group1

Especifica el perfil de la política de grupo que se definirá e ingresa en el modo de configuración de grupo ISAKMP.

Paso 7 

crypto aaa attribute list list-name

Example:

Router(config-isakmp-group)# crypto aaa attribute list listname1

Define una lista de atribución AAA localmente en un router.

Habilitar los mensajes de Syslog fáciles VPN

Para habilitar los mensajes de Syslog fáciles VPN en un servidor, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto logging ezvpn group group-name

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto logging ezvpn [group group-name]

Example:

Router(config)# crypto logging ezvpn group group1

Mensajes de Syslog fáciles de los permisos VPN en un servidor.

group La palabra clave y group-name el argumento son opcionales. Si un nombre del grupo no se proporciona, los mensajes de Syslog se habilitan para todas las conexiones VPN fáciles al servidor. Si se proporciona un nombre del grupo, los mensajes de Syslog se habilitan para ese grupo determinado solamente.

Definición de un empuje de las políticas del firewall de CPP usando un servidor de AAA local

Para definir las políticas del firewall de CPP avance en un servidor para permitir o negar un túnel en base a si un dispositivo remoto tiene un Firewall requerido para un servidor de AAA local, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto isakmp client firewall {policy-name} {required | optional} {firewall-type}

4.policy {check-presence | central-policy-push {access-list {in | out} access-list-name | access-list-number}}

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client firewall {policy-name} {required | optional} {firewall-type}

Example:

Router(config)# crypto isakmp client firewall hw-client-g-cpp required Cisco-Security-Agent

Define la directiva del empuje del Firewall CPP en un servidor y ingresa al modo de configuración del firewall del cliente ISAKMP.

Los argumentos y las palabras clave son los siguientes:

policy-name — Identifica únicamente una directiva. Un nombre de la directiva se puede asociar a la configuración de grupo de cliente VPN fácil del servidor (configuración del grupo local) o en el servidor de AAA.

required — La directiva es obligatoria. Si la directiva de CPP se define como obligatorio y se incluye en la configuración del Easy VPN Server, se permite la configuración de túnel solamente si el cliente confirma esta directiva. Si no, se termina el túnel.

optional — La directiva es opcional. Si la directiva de CPP se define como opcional, y se incluye en la configuración del Easy VPN Server, se continúa la configuración de túnel incluso si el cliente no confirma la política definida.

firewall-type — Tipo de Firewall (véase crypto isakmp client firewall el comando para una lista de tipos del Firewall).

Paso 4 

policy {check-presence | central-policy-push 
{access-list {in | out} access-list-name | 
access-list-number}}
Example:
Router(config-ikmp-client-fw)# policy 
central-policy-push access-list out acl1

or

Router(config-ikmp-client-fw)# policy check-presence

Define el empuje de las políticas del firewall de CPP.

Los argumentos y las palabras clave son los siguientes:

check-presence — Denota que el servidor debe marcar para saber si hay la presencia del Firewall especificado como se muestra por el valor firewall-type del argumento en el cliente.

central-policy-push — La configuración después de esta palabra clave especifica la directiva real, tal como las Listas de acceso de la entrada y salida que tienen que ser aplicadas por el firewall del cliente, que es del tipo especificado por el valor firewall-type del argumento.

access-list {in | out} — Define las listas entrantes y de acceso de salida.

access-list-name | access-list-number — Nombre o número de la lista de acceso.

Pasos Siguientes

Aplique el empuje de las políticas del firewall de CPP al grupo configurado.

Aplicación de un empuje de las políticas del firewall de CPP al grupo de configuración

Ahora que se ha definido el empuje de las políticas del firewall de CPP, debe ser aplicado al grupo de configuración realizando los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4. firewall policy policy-name

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration group group-name

Example:

Router(config)# crypto isakmp client configuration group hw-client-g

Especifica el perfil de la política de grupo que se definirá e ingresa en el modo de configuración de grupo ISAKMP.

Paso 4 

firewall policy policy-name

Example:

Router(crypto-isakmp-group)# firewall policy hw-client-g-cpp

Especifica el nombre de la directiva del empuje del Firewall de CPP para el grupo crypto de la configuración del cliente ISAKMP en una autenticación local, servidor de AAA.

Definición de un empuje de las políticas del firewall de CPP usando un servidor de AAA remoto

Para definir un empuje de las políticas del firewall de CPP usando un servidor de AAA remoto, vea la sección el “definir de un empuje de las políticas del firewall de CPP usando un servidor de AAA local.” Los pasos son lo mismo para esta configuración.

Pasos Siguientes

Después de definir el empuje de las políticas del firewall de CPP, usted debe agregar la CPP-directiva VSA bajo definición del grupo.

Agregar la CPP-directiva VSA bajo definición del grupo

Para agregar el CPP-directiva VSA bajo definición del grupo que se define en el RADIUS, realice el paso siguiente.

PASOS SUMARIOS

1.Agregue la CPP-directiva VSA bajo definición del grupo que se define en el RADIUS.

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

Agregue el VSA “CPP-directiva” bajo definición del grupo que se define en el RADIUS.

Example:

IPSec: cpp-policy= " Firewall de la empresa”

Define la directiva del empuje del Firewall de CPP para un servidor remoto.

Verificar el empuje de las políticas del firewall de CPP

Para verificar la directiva del empuje del Firewall de CPP en un servidor de AAA local o remoto, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. debug crypto isakmp

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto isakmp

Example:

Router# debug crypto isakmp

Muestra mensajes sobre los eventos IKE.

Configurar la desactualización de contraseña

Para configurar la desactualización de contraseña para notificar el cliente VPN fácil si ha expirado la contraseña, realice los pasos siguientes.

Restricciones

Las restricciones siguientes se aplican a la característica de la desactualización de contraseña:

Trabaja solamente con los clientes del software VPN. No trabaja con el hardware del cliente VPN.

Trabaja solamente con los servidores de RADIUS.

PASOS SUMARIOS

1. enable

2. configure terminal

3. aaa new-model

4.aaa authentication login {list-name} password-expiry method1 []method2...

5.radius-server host {ip-address} auth-port port-number acct-port port-number key string}

6.Configure el perfil ISAKMP

7.client authentication list {list-name}

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

aaa new-model
Example:

Router(config)# aaa new-model

Habilita AAA.

Paso 4 

aaa authentication login {list-name} 
password-expiry method1 [method2...]
Example:
Router(config)# aaa authentication login 
userauth paswd-expiry group radius

Configura la lista de autenticación para habilitar la característica de la desactualización de contraseña.

Paso 5 

radius-server host {ip-address} auth-port 
port-number acct-port port-number key string
Example:

Router(config)# radius-server host 172.19.217.96 255.255.255.0 auth-port 1645 acct-port 1646 key cisco radius-server vsa send authentication

Configura al servidor de RADIUS.

Paso 6 

Configure el perfil ISAKMP.

Example:

vea la sección el “configurar de la desactualización de contraseña: Ejemplo

Configura el perfil ISAKMP y ingresa el modo de la configuración del perfil ISAKMP (véase la sección el “configurar de la desactualización de contraseña: Ejemplo”).

Paso 7 

client authentication list {list-name}
Example:
Router(config-isakmp-profile)# client 
authentication list userauth

Configura el IKE Extended Authentication (Xauth) en un perfil ISAKMP e incluye la lista de autenticación que fue definida arriba.

Configurar el DNS dividido

Para configurar el DNS dividido, realice los pasos siguientes.

Prerrequisitos

Antes de que la característica del DNS dividido pueda trabajar, los siguientes comandos se deben haber configurado en el Easy VPN Remote:

ip dns server

ip domain-lookup

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4. dns primary-server secondary-server

5. split-dns domain-name

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration group 
{group-name | default}
Example:

Router(config)# crypto isakmp client configuration group group1

Especifica el perfil de la política del grupo que se definirá e ingresa en el modo de la configuración de grupo ISAKMP.

Si no se define ninguna coincidencia de grupo del específico ni ningún grupo predeterminado, los usuarios tendrán automáticamente la política de un grupo predeterminado.

Paso 4 

dns primary-server secondary-server
Example:
Router(config-isakmp-group)# dns 10.2.2.2 
10.3.3.3

Especifica los servidores DNS principales y secundarios para el grupo.

Paso 5 

split-dns domain-name
Example:
Router(config-isakmp-group)# split-dns 
green.com 

Especifica un Domain Name que deba ser tunneled o resolved a la red privada.

Verificar el DNS dividido

Para verificar el DNS dividido configuración, realice los pasos siguientes ( show los comandos se pueden utilizar uno a la vez o juntos).

PASOS SUMARIOS

1. enable

2.show ip dns name-list[]name-list-number

3.show ip dns view []vrf vrf-name[default | view-name]

4.show ip dns view-list []view-list-name

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show ip dns name-list [name-list-number]

Example:

Router# show ip dns name-list 1

Visualiza la información sobre las listas de nombre DNS.

Paso 3 

show ip dns view [vrf vrf-name] [default | 
view-name]
Example:

Router# show ip dns view default

Información de las visualizaciones sobre las opiniones DNS.

Paso 4 

show ip dns view-list [view-list-name]
Example:
Router# show ip dns view-list 
ezvpn-internal-viewlist

Información de las visualizaciones sobre las listas de la opinión DNS.

Monitoreando y mantener el DNS dividido

Para monitorear y mantener la configuración del DNS dividido en los dispositivos del Easy VPN Remote, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. debug ip dns name-list

3. debug ip dns view

4. debug ip dns view-list

PASOS DETALLADOS

Paso 1 

enable
Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug ip dns name-list
Example:
Router# debug ip dns name-list

Habilita la salida de debbuging para los eventos de la nombre-lista del Domain Name System (DNS).

Paso 3 

debug ip dns view
Example:
Router# debug ip dns view

Salida de debbuging de los permisos para los eventos de la opinión DNS.

Paso 4 

debug ip dns view-list
Example:
Router# debug ip dns view-list

Habilita la salida de debbuging para los eventos de la vista-lista DNS.

Configurar un Easy VPN Server para obtener una dirección IP de un servidor DHCP

Cuando el Easy VPN Server selecciona el método para la asignación de dirección, hace tan en el siguiente orden de la precedencia:

1.Selecciona la dirección IP del Framed

2.Utiliza la dirección IP del servidor de autenticación (grupo/el usuario)

3.Utiliza a las agrupaciones de direcciones globales IKE

4.DHCP de las aplicaciones


Observepara permitir al Easy VPN Server para obtener una dirección IP de un servidor DHCP, quite otras asignaciones de dirección.


Para configurar un Easy VPN Server para obtener una dirección IP de un servidor DHCP, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4.dhcp server {ip-address | hostname}

5. dhcp timeout time

6. dhcp giaddr scope

PASOS DETALLADOS

Paso 1 

enable
Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal
Example:
Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto isakmp client configuration group 
group-name
Example:
Router(config)# crypto isakmp client 
configuration group group1

Especifica a qué grupo será definido un perfil de la directiva.

Observeingresar este comando coloca el CLI en el modo de la configuración de grupo ISAKMP. De este modo, usted puede utilizar los submandatos para especificar las características para la directiva del grupo.

Paso 4 

dhcp server {ip-address | hostname}
Example:
Router(config-isakmp-group)# dhcp server 
10.10.1.2

Especifica un servidor DHCP primario (y respaldo) para afectar un aparato los IP Addresses a los usuarios MS que ingresan un Punto de acceso determinado de la Red de datos públicos (PDN).

Paso 5 

dhcp timeout time
Example:
Router(config-isakmp-group)# dhcp timeout 6

Fija el tiempo de espera en los segundos antes de que el servidor DHCP siguiente en la lista se intente.

Paso 6 

dhcp giaddr scope
Example:
Router(config-isakmp-group)# dhcp giaddr 
10.1.1.4

Especifica el giaddr para el alcance de DHCP.

Verificar el proxy del Cliente de DHCP

Para verificar su configuración de representación del Cliente de DHCP, realice los pasos siguientes (utilice show los comandos uno a la vez o juntos).

PASOS SUMARIOS

1. enable

2. show dhcp lease

3. show ip dhcp pool

4. show ip dhcp binding

PASOS DETALLADOS

Paso 1 

enable
Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show dhcp lease
Example:
Router# show dhcp lease

Muestra información sobre los conjuntos de direcciones DHCP.

Observeel uso este comando cuando se utiliza un DHCP externo.

Paso 3 

show ip dhcp pool
Example:
Router# show ip dhcp pool

Muestra información sobre los conjuntos de direcciones DHCP.

Observeeste comando es aplicable solamente cuando el Easy VPN Server es también el servidor DHCP (generalmente no el caso porque en la mayoría de los casos, el servidor DHCP es servidor externo).

Paso 4 

show ip dhcp binding
Example:
Router# show ip dhcp binding

Visualiza las vinculaciones de dirección en el servidor DHCP.

Observeeste comando es aplicable solamente cuando el Easy VPN Server es también el servidor DHCP (generalmente no el caso porque en la mayoría de los casos, el servidor DHCP es servidor externo).

Monitoreando y mantener el proxy del Cliente de DHCP

Para monitorear y mantener su configuración de representación del Cliente de DHCP, realice los pasos siguientes (utilice debug los comandos uno a la vez o juntos).

PASOS SUMARIOS

1. enable

2. debug crypto isakmp

3. debug dhcp

4. debug dhcp detail

5. debug ip dhcp server events

PASOS DETALLADOS

Paso 1 

enable
Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto isakmp
Example:
Router# debug crypto isakmp

Visualiza los mensajes sobre el evento del Internet Key Exchange (IKE).

Paso 3 

debug dhcp
Example:
Router# debug dhcp

Notifica eventos de servidor, como las asignaciones de direcciones y las actualizaciones de bases de datos.

Paso 4 

debug dhcp detail
Example:
Router# debug dhcp detail

Información de debugging detallada del DHCP de las visualizaciones.

Paso 5 

debug ip dhcp server events
Example:
Router# debug ip dhcp server events

Notifica eventos de servidor, como las asignaciones de direcciones y las actualizaciones de bases de datos.

Observeeste comando es aplicable solamente cuando el Easy VPN Server es también el servidor DHCP (generalmente no el caso porque en la mayoría de los casos, el servidor DHCP es servidor externo).

Configurar el cTCP

Para habilitar el cTCP, realice los pasos siguientes en su Easy VPN Server.

Prerrequisitos

Antes de configurar el cTCP, usted debe haber configurado el IPSec crypto.

PASOS SUMARIOS

1. enable

2. configure terminal

3.crypto ctcp port[]port-number

PASOS DETALLADOS

Paso 1 

enable
Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal
Example:
Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

crypto ctcp port [port-number]
Example:
Router(config)# crypto ctcp port 120

Configura la encapsulación del cTCP para el VPN fácil.

Hasta 10 números del puerto pueden ser configurados.

Si port-number el argumento no se configura, el cTCP se habilita en el puerto 80 por abandono.

Verificar el cTCP

Para verificar su configuración del cTCP, realice los pasos siguientes ( show los comandos se pueden utilizar uno a la vez o juntos).

PASOS SUMARIOS

1. enable

2.show crypto ctcp []peer ip-address

PASOS DETALLADOS

Paso 1 

enable
Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show crypto ctcp [peer ip-address]
Example:
Router# show crypto ctcp peer 10.76.235.21

Visualiza la información sobre un par específico del cTCP.

Monitoreando y manteniendo una configuración del cTCP

Para monitorear y mantener su configuración del cTCP, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. debug crypto ctcp

PASOS DETALLADOS

Paso 1 

enable
Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

debug crypto ctcp
Example:
Router# debug crypto ctcp

Visualiza información sobre una sesión cTCP.

Borrar una configuración del cTCP

Para borrar una configuración del cTCP, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2.clear crypto ctcp []peer ip-address

PASOS DETALLADOS

Paso 1 

enable
Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

clear crypto ctcp [peer ip-address]
Example:
Router# clear crypto ctcp peer 10.76.23.21

Visualiza información sobre una sesión cTCP.

Localización de averías de una configuración del cTCP

Para resolver problemas una configuración del cTCP, realice los pasos siguientes.

PASOS SUMARIOS

1. Asegúrese de que la sesión del cTCP esté en el estado CTCP_ACK_RECEIVED.

2. Si la sesión del cTCP no está en el estado CTCP_ACK_RECEIVED, habilite debug crypto ctcp el comando.

3. Si no se considera ningunos bug del cTCP, asegúrese de que el Firewall esté permitiendo que los paquetes del cTCP consiguieran al servidor.

4. Si la configuración de escudo de protección está correcta, se habilita el hacer el debug de, y usted no ve ninguna debugs del cTCP en su consola, usted debe descubrir porqué el puerto del cTCP en el router no está recibiendo los paquetes.

PASOS DETALLADOS


Paso 1Para asegurarse de que la sesión del cTCP esté en el estado CTCP_ACK_RECEIVED, utilice show crypto ctcp el comando.

Paso 2Si la sesión del cTCP no está en el estado CTCP_ACK_RECEIVED, habilite debug crypto ctcp el comando y después intente usar show crypto ctcp el comando otra vez.

Paso 3Si no se considera ningunos bug del cTCP, asegúrese de que el Firewall esté permitiendo que los paquetes del cTCP consiguieran al servidor (marque la configuración de escudo de protección).

Paso 4Si la configuración de escudo de protección está correcta, se habilita el hacer el debug de, y usted no ve ninguna debugs del cTCP en su consola, usted debe descubrir porqué el puerto del cTCP en el router no está recibiendo los paquetes. Si usted no ve ninguna debugs del cTCP y una sesión del cTCP no se ha configurado, hay una posibilidad que los paquetes del cTCP que son realmente paquetes TCP se habrían podido entregar a un stack TCP en vez al puerto del cTCP. Por habilitar debug ip packet y debug ip tcp packet los comandos, usted puede poder determinar si el paquete se está dando al stack TCP.


Ejemplos de Configuración de Easy VPN Server

Esta sección proporciona los siguientes ejemplos de configuración:

Configuración de Cisco IOS para Easy VPN Server: Ejemplo:

Perfil de Grupo RADIUS con Pares AV IPSec: Ejemplo:

Perfil de Usuario RADIUS con Pares AV IPSec: Ejemplo:

Gateway de Respaldo con Logins y Usuarios Máximos: Ejemplo:

Easy VPN con una IPsec Virtual Tunnel Interface: Ejemplo:

Avanzar una configuración URL con un intercambio de la configuración del modo: Ejemplos

Descarga de Política de AAA por Usuario con PKI: Ejemplo:

Atributos por Usuario en un Easy VPN Server: Ejemplo:

Control de Admisión de Red: Ejemplo:

Configuración de la Desactualización de Contraseña: Ejemplo:

DNS Dividido: Ejemplos

Proxy de DHCP Client: Ejemplos

Sesión cTCP: Ejemplo:

Asignación de VRF por un Servidor AAA: Ejemplo:

Configuración de Cisco IOS para Easy VPN Server: Ejemplo:

Las demostraciones del siguiente ejemplo cómo definir la información de política del grupo localmente para la configuración de modo. En este ejemplo, un nombre del grupo se nombra “Cisco” y otro nombre del grupo se nombra “valor por defecto.” La directiva se aplica para todos los usuarios que no ofrezcan un nombre del grupo que las coincidencias “Cisco.”

! Enable policy look-up via AAA. For authentication and authorization, send requests to
! RADIUS first, then try local policy.
aaa new-model
aaa authentication login userlist group radius local
aaa authorization network grouplist group radius local
enable password XXXX
!
username cisco password 0 cisco
clock timezone PST -8
ip subnet-zero
! Configure IKE policies, which are assessed in order so that the first policy that
matches the proposal of the client will be used.
crypto isakmp policy 1
 group 2
!
crypto isakmp policy 3
 hash md5
 authentication pre-share
 group 2
crypto isakmp identity hostname
!
! Define "cisco" group policy information for mode config push.
crypto isakmp client configuration group cisco
 key cisco
 dns 10.2.2.2 10.2.2.3
 wins 10.6.6.6
 domain cisco.com
 pool green
 acl 199
! Define default group policy for mode config push.
crypto isakmp client configuration group default
 key cisco
 dns 10.2.2.2 10.3.2.3
 pool green
 acl 199
!
!
crypto ipsec transform-set dessha esp-des esp-sha-hmac 
!
crypto dynamic-map mode 1
 set transform-set dessha 
!
! Apply mode config and xauth to crypto map "mode." The list names that are defined here
! must match the list names that are defined in the AAA section of the config.
crypto map mode client authentication list userlist
crypto map mode isakmp authorization list grouplist
crypto map mode client configuration address respond
crypto map mode 1 ipsec-isakmp dynamic mode 
!
!
controller ISA 1/1
!
!         
interface FastEthernet0/0
 ip address 10.6.1.8 255.255.0.0
 ip route-cache
 ip mroute-cache
 duplex auto
 speed auto
 crypto map mode
!
interface FastEthernet0/1
 ip address 192.168.1.28 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 duplex auto
 speed auto
! Specify IP address pools for internal IP address allocation to clients.
ip local pool green 192.168.2.1 192.168.2.10
ip classless
ip route 0.0.0.0 0.0.0.0 10.6.0.1
!
! Define access lists for each subnet that should be protected.
access-list 199 permit ip 192.168.1.0 0.0.0.255 any
access-list 199 permit ip 192.168.3.0 0.0.0.255 any
!
! Specify a RADIUS server host and configure access to the server.
radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key XXXXX
radius-server retransmit 3
!
!
line con 0
 exec-timeout 0 0
 length 25
 transport input none
line aux 0
line vty 5 15
!

Perfil de Grupo RADIUS con Pares AV IPSec: Ejemplo:

Lo que sigue es un ejemplo de un perfil del grupo estándar RADIUS que incluya las pares AV del IPSec RADIUS. Para conseguir los atributos de la autorización del grupo, “Cisco” se debe utilizar como la contraseña.

client_r Password = "cisco"
 Service-Type = Outbound
 cisco-avpair = "ipsec:tunnel-type*ESP"
 cisco-avpair = "ipsec:key-exchange=ike"
 cisco-avpair = "ipsec:tunnel-password=lab"
 cisco-avpair = "ipsec:addr-pool=pool1"
 cisco-avpair = "ipsec:default-domain=cisco"
 cisco-avpair = "ipsec:inacl=101"
 cisco-avpair = "ipsec:access-restrict=fastethernet 0/0"
 cisco-avpair = "ipsec:group-lock=1"
 cisco-avpair = "ipsec:dns-servers=10.1.1.1 10.2.2.2"
 cisco-avpair = "ipsec:firewall=1"
 cisco-avpair = "ipsec:include-local-lan=1"
 cisco-avpair = "ipsec:save-password=1"
 cisco-avpair = "ipsec:wins-servers=10.3.3.3 10.4.4.4"
 cisco-avpair = "ipsec:split-dns=green.com"
 cisco-avpair = "ipsec:ipsec-backup-gateway=10.1.1.1"
 cisco-avpair = "ipsec:ipsec-backup-gateway=10.1.1.2"
 cisco-avpair = "ipsec:pfs=1"
 cisco-avpair = "ipsec:cpp-policy="Enterprise Firewall"
 cisco-avpair = "ipsec:auto-update="Win http://www.example.com 4.0.1"
 cisco-avpair = "ipsec:browser-proxy=bproxy_profile_A"
 cisco-avpair = "ipsec:banner=Xauth banner text here"

Lo que sigue es un ejemplo de un perfil del usuario de RADIUS que se configure para el grupo que hace el grupo-bloqueo configurar. El Nombre de usuario se ingresa en el mismo formato que el formato de user@domain.

abc@example.com Password = "abcll1111"
cisco-avpair = "ipsec:user-include-local-lan=1"
cisco-avpair = "ipsec:user-save-password=1"
Framed-IP-Address = 10.10.10.10

Perfil de Usuario RADIUS con Pares AV IPSec: Ejemplo:

Lo que sigue es un ejemplo de un perfil del usuario de RADIUS estándar que incluya las pares AV del IPSec RADIUS. Estos atributos de usuario serán obtenidos durante el Xauth.

ualluall Password = "uall1234"
        cisco-avpair = "ipsec:user-vpn-group=unity"
        cisco-avpair = "ipsec:user-include-local-lan=1"
        cisco-avpair = "ipsec:user-save-password=1"
        Framed-IP-Address = 10.10.10.10

Gateway de Respaldo con Logins y Usuarios Máximos: Ejemplo:

El siguiente ejemplo muestra que se han configurado cinco gatewayes de backup, que han fijado a los Usuarios máximos a 250, y que los logines máximos se han fijado a 2:

crypto isakmp client configuration group sdm
 key 6 RMZPPMRQMSdiZNJg`EBbCWTKSTi\d[
 pool POOL1
 acl 150
 backup-gateway 172.16.12.12
 backup-gateway 172.16.12.13
 backup-gateway 172.16.12.14
 backup-gateway 172.16.12.130
 backup-gateway 172.16.12.131
 max-users 250
 max-logins 2

Easy VPN con una IPsec Virtual Tunnel Interface: Ejemplo:

El producto siguiente muestra que el VPN fácil se ha configurado con una interfaz del túnel virtual del IPSec.

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local 
!
aaa session-id common
!
resource policy
!         
clock timezone IST 0
ip subnet-zero
ip cef
no ip domain lookup
no ip dhcp use vrf connected
!
username lab password 0 lab
!
crypto isakmp policy 3
 authentication pre-share
 group 2
crypto isakmp xauth timeout 90

!
crypto isakmp client configuration group easy
 key cisco
 domain foo.com
 pool dpool
 acl 101
crypto isakmp profile vi
   match identity group easy
   isakmp authorization list default
   client configuration address respond
   client configuration group easy
   virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac 
!
crypto ipsec profile vi
 set transform-set set 
 set isakmp-profile vi
!
!
interface Loopback0
 ip address 10.4.0.1 255.255.255.0
!
interface Ethernet0/0
 ip address 10.3.0.2 255.255.255.0
 no keepalive
 no cdp enable
interface Ethernet1/0
 no ip address
 no keepalive
 no cdp enable
!
interface Virtual-Template1 type tunnel
 ip unnumbered Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
!
ip classless
ip route 10.2.0.0 255.255.255.0 10.3.0.1
no ip http server
no ip http secure-server
!         
!
access-list 101 permit ip 10.4.0.0 0.0.0.255 any
no cdp run
!
!
line con 0
line aux 0
line vty 0 4
!
end

Avanzar una configuración URL con una configuración del modo
Intercambio: Ejemplos

La salida show crypto ipsec client ezvpn del siguiente comando visualiza la ubicación y la versión de la configuración de modo URL:

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5

Tunnel name : branch
Inside interface list: Vlan1
Outside interface: FastEthernet0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 172.16.1.209
Mask: 255.255.255.255
Default Domain: cisco.com
Save Password: Allowed
Configuration URL [version]: tftp://172.16.30.2/branch.cfg [11]
Config status: applied, Last successfully applied version: 11
Current EzVPN Peer: 192.168.10.1

La salidashow crypto isakmp peers config del siguiente comando visualiza toda la información de la manejabilidad que sea enviada por el dispositivo remoto.

Router# show crypto isakmp peers config

Client-Public-Addr=192.168.10.2:500; Client-Assigned-Addr=172.16.1.209; 
Client-Group=branch; Client-User=branch; Client-Hostname=branch.; Client-Platform=Cisco 
1711; Client-Serial=FOC080210E2 (412454448); Client-Config-Version=11; 
Client-Flash=33292284; Client-Available-Flash=10202680; Client-Memory=95969280; 
Client-Free-Memory=14992140; Client-Image=flash:c1700-advipservicesk9-mz.ef90241;
Client-Public-Addr=192.168.10.3:500; Client-Assigned-Addr=172.16.1.121; 
Client-Group=store; Client-User=store; Client-Hostname=831-storerouter.; 
Client-Platform=Cisco C831; Client-Serial=FOC08472UXR (1908379618); 
Client-Config-Version=2; Client-Flash=24903676; Client-Available-Flash=5875028; 
Client-Memory=45298688; Client-Free-Memory=6295596; 
Client-Image=flash:c831-k9o3y6-mz.ef90241

Descarga de Política de AAA por Usuario con PKI: Ejemplo:

El producto siguiente muestra que por la descarga de la directiva del usuario AAA con la característica PKI se ha configurado en el Easy VPN Server.

Router# show running-config

Building configuration...

Current configuration : 7040 bytes
!
! Last configuration change at 21:06:51 UTC Tue Jun 28 2005
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname GEN
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa group server radius usrgrppki
 server 10.76.248.201 auth-port 1645 acct-port 1646
!
aaa authentication login xauth group usrgrppki
aaa authentication login usrgrp group usrgrppki
aaa authorization network usrgrp group usrgrppki 
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
ip address-pool local
!
!
crypto pki trustpoint ca-server
 enrollment url http://10.7.7.2:80
 revocation-check none
 rsakeypair rsa-pair
 ! Specify the field within the certificate that will be used as a username to do a 
per-user AAA lookup into the RADIUS database. In this example, the contents of the 
 commonname will be used to do a AAA lookup. In the absence of this statement, by default 
 the contents of the "unstructured name" field in the certificate is used for AAA lookup.
 authorization username subjectname commonname
!
!
crypto pki certificate map CERT-MAP 1
 subject-name co yourname
 name co yourname
!
crypto pki certificate chain ca-server
 certificate 02
  308201EE 30820157 A0030201 02020102 300D0609 2A864886 F70D0101 04050030 
  14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 36323832 
  30303731 345A170D 30363036 32383230 30373134 5A301531 13301106 092A8648 
  86F70D01 09021604 47454E2E 30819F30 0D06092A 864886F7 0D010101 05000381 
  8D003081 89028181 00ABF8F0 FDFFDF8D F22098D6 A48EE0C3 F505DD96 C0022EA4 
  EAB95EE8 1F97F450 990BB0E6 F2B7151F C5C79391 93822FE4 DEE5B00C A03412BB 
  9B715AAD D6C31F93 D8802658 AF9A8866 63811942 913D0C02 C3E328CC 1C046E94 
  F73B7C1A 4497F86E 74A627BC B809A3ED 293C15F2 8DCFA217 5160F9A4 09D52044 
  350F85AF 08B357F5 D7020301 0001A34F 304D300B 0603551D 0F040403 0205A030 
  1F060355 1D230418 30168014 F9BC4498 3DA4D51D 451EFEFD 5B1F5F73 8D7B1C9B 
  301D0603 551D0E04 1604146B F6B2DFD1 1FE237FF 23294129 E55D9C48 CCB04630 
  0D06092A 864886F7 0D010104 05000381 81004AFF 2BE300C1 15D0B191 C20D06E0 
  260305A6 9DF610BB 24211516 5AE73B62 78E01FE4 0785776D 3ADFA3E2 CE064432 
  1C93E82D 93B5F2AB 9661EDD3 499C49A8 F87CA553 9132F239 1D50187D 21CC3148 
  681F5043 2F2685BC F544F4FF 8DF535CB E55B5F36 31FFF025 8969D9F8 418C8AB7 
  C569B022 46C3C63A 22DD6516 C503D6C8 3D81
  quit
 certificate ca 01
  30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 36323832 
  30303535 375A170D 30383036 32373230 30353537 5A301431 12301006 03550403 
  13096361 2D736572 76657230 819F300D 06092A86 4886F70D 01010105 0003818D 
  00308189 02818100 BA1A4413 96339C6B D36BD720 D25C9A44 E0627A29 97E06F2A 
  69B268ED 08C7144E 7058948D BEA512D4 40588B87 322C5D79 689427CA 5C54B3BA 
  82FAEC53 F6AC0B5C 615D032C 910CA203 AC6AB681 290D9EED D31EB185 8D98E1E7 
  FF73613C 32290FD6 A0CBDC40 6E4D6B39 DE1D86BA DE77A55E F15299FF 97D7C185 
  919F81C1 30027E0F 02030100 01A36330 61300F06 03551D13 0101FF04 05300301 
  01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 168014F9 
  BC44983D A4D51D45 1EFEFD5B 1F5F738D 7B1C9B30 1D060355 1D0E0416 0414F9BC 
  44983DA4 D51D451E FEFD5B1F 5F738D7B 1C9B300D 06092A86 4886F70D 01010405 
  00038181 003EF397 F4D98BDE A4322FAF 4737800F 1671F77E BD6C45AE FB91B28C 
  F04C98F0 135A40C6 635FDC29 63C73373 5D5BBC9A F1BBD235 F66CE1AD 6B4BFC7A 
  AB18C8CC 1AB93AF3 7AC67436 930E9C81 F43F7570 A8FE09AE 3DEA01D1 DA6BD0CB 
  83F9A77F 1DFAFE5E 2F1F206B F1FDD8BE 6BB57A3C 8D03115D B1F64A3F 7A7557C1 
  09B0A34A DB
  quit
!
!
crypto isakmp policy 10
 group 2
crypto isakmp keepalive 10
crypto isakmp profile ISA-PROF
   match certificate CERT-MAP
   isakmp authorization list usrgrp
   client pki authorization list usrgrp
   client configuration address respond
   client configuration group pkiuser
   virtual-template 2
!
!
crypto ipsec transform-set trans2 esp-3des esp-sha-hmac 
!
crypto ipsec profile IPSEC_PROF
 set transform-set trans2 
!
crypto ipsec profile ISC_IPSEC_PROFILE_1
 set transform-set trans2 
!         
!
crypto call admission limit ike sa 40
!
!
interface Loopback0
 ip address 10.3.0.1 255.255.255.255
 no ip route-cache cef
 no ip route-cache
!
interface Loopback1
 ip address 10.76.0.1 255.255.255.255
 no ip route-cache cef
 no ip route-cache
!
interface Ethernet3/0
 ip address 10.76.248.209 255.255.255.255
 no ip route-cache cef
 no ip route-cache
 duplex half
!
!
interface Ethernet3/2
 ip address 10.2.0.1 255.255.255.0
 no ip route-cache cef
 no ip route-cache
 duplex half
!
!
interface Serial4/0
 no ip address
 no ip route-cache cef
 no ip route-cache
 shutdown
 serial restart-delay 0
!
interface Serial4/1
 no ip address
 no ip route-cache cef
 no ip route-cache
 shutdown
 serial restart-delay 0
!
interface Serial4/2
 no ip address
 no ip route-cache cef
 no ip route-cache
 shutdown
 serial restart-delay 0
!         
interface Serial4/3
 no ip address
 no ip route-cache cef
 no ip route-cache
 shutdown
 serial restart-delay 0
!
interface FastEthernet5/0
 ip address 10.9.4.77 255.255.255.255
 no ip route-cache cef
 no ip route-cache
 duplex half
!
interface FastEthernet6/0
 ip address 10.7.7.1 255.255.255.0
 no ip route-cache cef
 no ip route-cache
 duplex full
!
interface Virtual-Template1 
 no ip address
!
interface Virtual-Template2 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet3/2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROF
!
router eigrp 20
 network 172.16.0.0
 auto-summary
!
ip local pool ourpool 10.6.6.6
ip default-gateway 10.9.4.1
ip classless
ip route 10.1.0.1 255.255.255.255 10.0.0.2
ip route 10.2.3.0 255.255.0.0 10.2.4.4
ip route 10.9.1.0 255.255.0.0 10.4.0.1
ip route 10.76.0.0 255.255.0.0 10.76.248.129
ip route 10.11.1.1 255.255.255.0 10.7.7.2
!
no ip http server
no ip http secure-server
!
!
logging alarm informational
arp 10.9.4.1 0011.bcb4.d40a ARPA
!
!
radius-server host 10.76.248.201 auth-port 1645 acct-port 1646 key cisco
!
control-plane
!
!
gatekeeper
 shutdown
!
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
!         
!
end

Atributos por Usuario en un Easy VPN Server: Ejemplo:

El siguiente ejemplo muestra que los atributos de usuario se han configurado en un Easy VPN Server.

!

aaa new-model
!
!
aaa authentication login default local
aaa authentication login noAAA none
aaa authorization network default local 
!
aaa attribute list per-group
 attribute type inacl "per-group-acl" service ike protocol ip mandatory
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
username example password 0 example
!
!
crypto isakmp policy 3
 authentication pre-share
 group 2
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group PerUserAAA
 key cisco
 pool dpool
 crypto aaa attribute list per-group
!
crypto isakmp profile vi
 match identity group PerUserAAA
 isakmp authorization list default
 client configuration address respond
 client configuration group PerUserAAA
 virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac 
!
crypto ipsec profile vi
 set transform-set set 
 set isakmp-profile vi
!
!
interface GigabitEthernet0/0
 description 'EzVPN Peer'
 ip address 192.168.1.1 255.255.255.128
 duplex full
 speed 100
 media-type rj45
 no negotiation auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
ip classless
!
no ip http server
no ip http secure-server
!
!
ip access-list extended per-group-acl
 permit tcp any any
 deny   icmp any any
logging alarm informational
logging trap debugging
!
control-plane
!
gatekeeper
 shutdown
!
line con 0
line aux 0
 stopbits 1
line vty 0 4
!
!
end

Control de Admisión de Red: Ejemplo:

Lo que sigue se hace salir para un Easy VPN Server que se ha habilitado con el control de admisión de red.


El control de admisiónde red de la nota se soporta en un Easy VPN Server solamente cuando el servidor utiliza las interfaces virtuales del IPSec. El control de admisión de red se habilita en la interfaz de plantilla virtual y se aplica a todos los clientes PC que utilicen esta interfaz de plantilla virtual.


Router# show running-config

Building configuration...

Current configuration : 5091 bytes
!
version 12.4
!
hostname Router
!

aaa new-model
!
!
aaa authentication login userlist local
!
aaa authentication eou default group radius
aaa authorization network hw-client-groupname local
aaa accounting update newinfo
aaa accounting network acclist start-stop broadcast group radius
aaa session-id common
!
!
! Note 1: EAPoUDP packets will use the IP address of the loopback interface when sending 
the EAPoUDP hello to the Easy VPN client. Using the IP address ensures that the returning 
EAPoUDP packets come back encrypted and are associated with the correct virtual access 
interface. The ip admission (ip admission source-interface Loopback10) command is 
optional. Instead of using this command, you can specify the IP address of the virtual 
template to be an address in the inside network space as shown in the configuration of the 
virtual template below in Note 2.
ip admission source-interface Loopback10
ip admission name test eapoudp inactivity-time 60
!
!
eou clientless username cisco
eou clientless password cisco
eou allow ip-station-id
eou logging
!
username lab password 0 lab
username lab@easy password 0 lab
!
!
crypto isakmp policy 3
  encr 3des
  authentication pre-share
  group 2
!
!
crypto isakmp key 0 cisco address 10.53.0.1
crypto isakmp client configuration group easy
  key cisco
  domain cisco.com
  pool dynpool
  acl split-acl
  group-lock
  configuration url tftp://10.13.0.9/Config-URL_TFTP.cfg
  configuration version 111
!
crypto isakmp profile vi
    match identity group easy
    client authentication list userlist
    isakmp authorization list hw-client-groupname
    client configuration address respond
    client configuration group easy
    accounting acclist
    virtual-template 2
!
crypto ipsec security-association lifetime seconds 120
crypto ipsec transform-set set esp-3des esp-sha-hmac
crypto ipsec transform-set aes-trans esp-aes esp-sha-hmac
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
crypto ipsec profile vi
  set security-association lifetime seconds 3600
  set transform-set set aes-trans transform-1
  set isakmp-profile vi
!
!
crypto dynamic-map dynmap 1
  set transform-set aes-trans transform-1
  reverse-route
!

interface Loopback10
  ip address 10.61.0.1 255.255.255.255
!
interface FastEthernet0/0
  ip address 10.13.11.173 255.255.255.255
  duplex auto
  speed auto
!
interface FastEthernet0/1
  ip address 10.55.0.1 255.255.255.255
  duplex auto
  speed auto
!
!
interface Virtual-Template2 type tunnel
! Note2: Use the IP address of the loopback10. This ensures that the EAPoUDP packets that 
are attached to virtual-access interfaces that are cloned from this virtual template carry 
the source address of the loopback address and that response packets from the VPN client 
come back encrypted.
!
  ip unnumbered Loopback10
! Enable Network Admission Control for remote VPN clients.
  ip admission test
  tunnel mode ipsec ipv4
  tunnel protection ipsec profile vi
!
!
ip local pool dynpool 172.16.2.65 172.16.2.70
ip classless
ip access-list extended ClientException
  permit ip any host 10.61.0.1
ip access-list extended split-acl
  permit ip host 10.13.11.185 any
  permit ip 10.61.0.0 255.255.255.255 any
  permit ip 10.71.0.0 255.255.255.255 any
  permit ip 10.71.0.0 255.255.255.255 10.52.0.0 0.255.255.255
  permit ip 10.55.0.0 255.255.255.255 any
!
ip radius source-interface FastEthernet0/0
access-list 102 permit esp any any
access-list 102 permit ahp any any
access-list 102 permit udp any any eq 21862
access-list 102 permit ospf any any
access-list 102 deny ip any any
access-list 195 deny ospf any any
access-list 195 permit ip 10.61.0.0 255.255.255.255 10.51.0.0 255.255.255.255
!
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server host 10.13.11.185 auth-port 1645 acct-port 1646 key cisco
radius-server vsa send accounting
radius-server vsa send authentication
!
end

Configuración de la Desactualización de Contraseña: Ejemplo:

El siguiente ejemplo muestra que se ha configurado la desactualización de contraseña para si expira la contraseña, notificar el cliente VPN fácil.

Current configuration : 4455 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xinl-gateway
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-7.9.T
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login USERAUTH passwd-expiry group radius aaa authorization network 
branch local !
aaa session-id common
!

ip cef


username cisco privilege 15 secret 5 $1$A3HU$bCWjlkrEztDJx6JJzSnMV1 !
!
crypto isakmp policy 1
  encr 3des
  authentication pre-share
  group 2
crypto isakmp client configuration address-pool local dynpool !
crypto isakmp client configuration group branch
  key cisco
  domain cisco.com
  pool dynpool
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac !
crypto isakmp profile profile2
   client authentication list USERAUTH
   match identity group branch
   isakmp authorization list branch
   client configuration address respond
   virtual-template 1

crypto ipsec profile vi
  set transform-set transform-1


interface GigabitEthernet0/0
  description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
  ip address 192.168.1.100 255.255.255.0
  duplex auto
  speed auto
  crypto map dynmap
!
interface GigabitEthernet0/1
  description $ES_LAN$
  ip address 172.19.217.96 255.255.255.0
  duplex auto
  speed auto

!
!interface Virtual-Template1 type tunnel
  ip unnumbered Ethernet0/0
  no clns route-cache
  tunnel mode ipsec ipv4
  tunnel protection ipsec profile vi
!
ip local pool dpool 10.0.0.1 10.0.0.3

!
radius-server host 172.19.220.149 auth-port 1645 acct-port 1646 key cisco radius-server 
vsa send authentication !
control-plane
!
!
end

DNS Dividido: Ejemplos

En el siguiente ejemplo, la lista del túnel dividido nombrada el "101" contiene la red 10.168.0.0/16. Es necesario incluir esta información de red para cifrar las peticiones DNS al servidor DNS interno de 10.168.1.1.

crypto isakmp client configuration group home
  key abcd
  acl 101
  dns 10.168.1.1. 10.168.1.2

show Output

El ejemplo de resultado show del siguiente comando muestra que www.ciscoexample1.com y www.ciscoexample2.com se han agregado al grupo de políticas:

Router# show running-config | security group

 crypto isakmp client configuration group 831server
 key abcd
 dns 10.104.128.248
 split-dns www.ciscoexample1.com
 split-dns www.ciscoexample2.com
 group home2 key abcd

Las visualizaciones show DNS actualmente configurado del ejemplo de resultado del siguiente comando ven:

Router# show ip dns view

DNS View default parameters:
Logging is off
DNS Resolver settings:
  Domain lookup is enabled
  Default domain name: cisco.com
  Domain search list:
  Lookup timeout: 3 seconds
  Lookup retries: 2
  Domain name-servers:
    172.16.168.183
DNS Server settings:
  Forwarding of queries is enabled
  Forwarder addresses:

DNS View ezvpn-internal-view parameters:
Logging is off
DNS Resolver settings:
  Domain lookup is enabled
  Default domain name: 
  Domain search list:
  Lookup timeout: 3 seconds
  Lookup retries: 2
  Domain name-servers:
    10.104.128.248
DNS Server settings:
  Forwarding of queries is enabled
  Forwarder addresses:

La opinión show actualmente configurada de las visualizaciones DNS del ejemplo de resultado del siguiente comando enumera.

Router# show ip dns view-list

View-list ezvpn-internal-viewlist:
  View ezvpn-internal-view:
    Evaluation order: 10
    Restrict to ip dns name-list: 1
  View default:
    Evaluation order: 20

La salida show del siguiente comando visualiza las listas de nombre DNS.

Router# show ip dns name-list

ip dns name-list 1
    permit www.ciscoexample1.com
    permit www.ciscoexample2.com

Proxy de DHCP Client: Ejemplos

El usar y comandos de la información de la salida del proxy del Cliente de DHCP show de la visualización debug de los siguientes ejemplos.

show Output


Observepara utilizar show ip dhcp el comando, el servidor DHCP debe ser un Cisco IOS Server.


La salida show ip dhcp pool del siguiente comando proporciona la información sobre los parámetros del DHCP:

Router# show ip dhcp pool

Pool dynpool :
 Utilization mark (high/low)    : 100 / 0
 Subnet size (first/next)       : 0 / 0
 Total addresses                : 254
 Leased addresses               : 1
 Pending event                  : none
 1 subnet is currently in the pool:
 Current index    IP address range          Leased addresses
                  10.3.3.1 - 10.3.3.254     1
 No relay targets associated with class aclass

La salida show ip dhcp del siguiente comando proporciona la información sobre los atascamientos del DHCP:

Router# show ip dhcp binding

Bindings from all pools not associated with VRF:
IP address          Client-ID/                       Lease expiration      Type
                    Hardware address/User name
                    10.3.3.5  0065.7a76.706e.2d63.   Apr 04 2006 06:01 AM  Automatic 
                    6c69.656e.74

salida de los debugs

Las demostraciones del siguiente ejemplo cómo debug crypto isakmp y debug ip dhcp server events los comandos se pueden utilizar para resolver problemas su configuración del Soporte de proxy del Cliente de DHCP:

*Apr  3 06:01:32.047: ISAKMP: Config payload REQUEST *Apr  3 06:01:32.047: 
ISAKMP:(1002):checking request:
*Apr  3 06:01:32.047: ISAKMP:    IP4_ADDRESS
*Apr  3 06:01:32.047: ISAKMP:    IP4_NETMASK
*Apr  3 06:01:32.047: ISAKMP:    MODECFG_CONFIG_URL
*Apr  3 06:01:32.047: ISAKMP:    MODECFG_CONFIG_VERSION
*Apr  3 06:01:32.047: ISAKMP:    IP4_DNS
*Apr  3 06:01:32.047: ISAKMP:    IP4_DNS
*Apr  3 06:01:32.047: ISAKMP:    IP4_NBNS
*Apr  3 06:01:32.047: ISAKMP:    IP4_NBNS
*Apr  3 06:01:32.047: ISAKMP:    SPLIT_INCLUDE
*Apr  3 06:01:32.047: ISAKMP:    SPLIT_DNS
*Apr  3 06:01:32.047: ISAKMP:    DEFAULT_DOMAIN
*Apr  3 06:01:32.047: ISAKMP:    MODECFG_SAVEPWD
*Apr  3 06:01:32.047: ISAKMP:    INCLUDE_LOCAL_LAN
*Apr  3 06:01:32.047: ISAKMP:    PFS
*Apr  3 06:01:32.047: ISAKMP:    BACKUP_SERVER
*Apr  3 06:01:32.047: ISAKMP:    APPLICATION_VERSION
*Apr  3 06:01:32.047: ISAKMP:    MODECFG_BANNER
*Apr  3 06:01:32.047: ISAKMP:    MODECFG_IPSEC_INT_CONF
*Apr  3 06:01:32.047: ISAKMP:    MODECFG_HOSTNAME
*Apr  3 06:01:32.047: ISAKMP/author: Author request for group homesuccessfully sent to AAA 
*Apr  3 06:01:32.047: ISAKMP:(1002):Input = IKE_MESG_FROM_PEER, IKE_CFG_REQUEST


*Apr  3 06:01:32.047: ISAKMP:(1002):Old State = IKE_P1_COMPLETE  New State = 
IKE_CONFIG_AUTHOR_AAA_AWAIT

*Apr  3 06:01:32.047: ISAKMP:(1002):attributes sent in message:
*Apr  3 06:01:32.047:         Address: 10.2.0.0
*Apr  3 06:01:32.047: Requesting DHCP Server0 address 10.3.3.3 *Apr  3 06:01:32.047: 
DHCPD: Sending notification of DISCOVER:
*Apr  3 06:01:32.047:   DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr  3 06:01:32.047:   DHCPD: circuit id 00000000
*Apr  3 06:01:32.047: DHCPD: Seeing if there is an internally specified pool class:
*Apr  3 06:01:32.047:   DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr  3 06:01:32.047:   DHCPD: circuit id 00000000


*Apr  3 06:01:34.063: DHCPD: Adding binding to radix tree (10.3.3.5) *Apr  3 06:01:34.063: 
DHCPD: Adding binding to hash tree *Apr  3 06:01:34.063: DHCPD: assigned IP address 
10.3.3.5 to client 0065.7a76.706e.2d63.6c69.656e.74.
*Apr  3 06:01:34.071: DHCPD: Sending notification of ASSIGNMENT:
*Apr  3 06:01:34.071:  DHCPD: address 10.3.3.5 mask 255.255.255.0
*Apr  3 06:01:34.071:   DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr  3 06:01:34.071:   DHCPD: lease time remaining (secs) = 86400
*Apr  3 06:01:34.183: Obtained DHCP address 10.3.3.5 *Apr  3 06:01:34.183: 
ISAKMP:(1002):allocating address 10.3.3.5 *Apr  3 06:01:34.183: ISAKMP: Sending private 
address: 10.3.3.5 *Apr  3 06:01:34.183: ISAKMP: Sending subnet mask: 255.255.255.0

Sesión cTCP: Ejemplo:

La salida debug crypto ctcp del siguiente comando visualiza la información sobre una sesión del cTCP, e incluye los comentarios sobre la salida:

Router# debug crypto ctcp

! In the following two lines, a cTCP SYN packet is received from the client, and the cTCP 
connection is created.
*Sep 26 11:14:37.135: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: 
created
*Sep 26 11:14:37.135: cTCP: SYN from 10.76.235.21:3519
! In the following line, the SYN acknowledgement is sent to the client.
*Sep 26 11:14:37.135: cTCP: Sending SYN(680723B2)ACK(100C637) to 10.76.235.21:3519
! In the following two lines, an acknowledgement is received, and connection setup is 
complete. IKE packets should now be received on this newly created cTCP session.
*Sep 26 11:14:37.135: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000:  
found
*Sep 26 11:14:37.135: cTCP: ACK from 10.76.235.21:3519
*Sep 26 11:14:37.727: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000:  
found
*Sep 26 11:14:37.731: cTCP: updating PEER Seq number to 16828803l
*Sep 26 11:14:37.731: cTCP: Pak with contiguous buffer
*Sep 26 11:14:37.731: cTCP: mangling IKE packet from peer: 10.76.235.21:500->3519 
  10.76.248.239:500->500
*Sep 26 11:14:37.731: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000:  
found
*Sep 26 11:14:37.799: cTCP: demangling outbound IKE packet: 10.76.248.239:500->500 
  10.76.235.21:3519->500
*Sep 26 11:14:37.799: cTCP: encapsulating IKE packet
*Sep 26 11:14:37.799: cTCP: updating LOCAL Seq number to 1745298727l
! The above lines show that after the required number of IKE packets are exchanged, IKE 
and IPsec SAs are created.
*Sep 26 11:14:40.335: cTCP: updating PEER Seq number to 16830431l
*Sep 26 11:14:40.335: cTCP: Pak with particles
*Sep 26 11:14:40.335: cTCP: encapsulating pak
*Sep 26 11:14:40.339: cTCP: datagramstart 0xF2036D8, network_start 0xF2036D8, size 112
*Sep 26 11:14:40.339: cTCP: Pak with contiguous buffer
*Sep 26 11:14:40.339:  cTCP: allocated new buffer
*Sep 26 11:14:40.339: cTCP: updating LOCAL Seq number to 1745299535l
*Sep 26 11:14:40.339: IP: s=10.76.248.239 (local), d=10.76.235.21 (FastEthernet1/1), len 
148, cTCP
! The above lines show that Encapsulating Security Payload (ESP) packets are now being 
sent and received.

Asignación de VRF por un Servidor AAA: Ejemplo:

El ejemplo del producto siguiente muestra que ni se ha definido un VRF ni una dirección IP:

aaa new-model
aaa authentication login VPN group radius
aaa authorization network VPN group radius 
!
ip vrf example1
 rd 1:1
!
crypto isakmp profile example1
 match identity group example1group
 client authentication list VPN
 isakmp authorization list VPN
 client configuration address respond
 virtual-template 10
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac 
!
crypto ipsec profile example1
 set transform-set TS 
 set isakmp-profile example1
!
interface Virtual-Template10 type tunnel
! The next line shows that neither VRF nor an IP address has been defined.
 no ip address
tunnel mode ipsec ipv4
tunnel protection ipsec profile example1

Referencias adicionales

Las secciones siguientes proporcionan las referencias relacionadas con la característica del servidor del EasyVPN.

Documentos Relacionados

Tema relacionado
Título del documento

Configurando y asignando la configuración VNP remota sencilla

Módulo remoto delCisco Easy VPN” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Información general en el IPSec y el VPN

Referencia de Comandos de Seguridad de Cisco IOS

“Módulo de las mejoras de gran disponibilidad del IPSec VPN” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Configurar el NAC con el White Paper virtual dinámico de la interfaz del túnel del IPSec

Opciones y atributos del Protocolo IPSec

Configurando el intercambio de claves de Internet para módulo del IPSec VPN” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Túneles virtuales del IPSec

“Módulo de la interfaz del túnel virtual del IPSec” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura

Control de admisión de red

“Módulo del control de admisión de red” en la guía de configuración de la Seguridad de Cisco IOS: Sujeción de los servicios de usuario

RRI

“Módulo de las mejoras de gran disponibilidad del IPSec VPN” en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura


Estándares

Estándar
Título

Ninguno

-


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título
   

Asistencia Técnica

Descripción
Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información sobre la Función Easy VPN Server

El cuadro 3 enumera el historial de la versión para esta característica.

Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para la información de versión sobre un comando específico, vea la documentación de referencia de comandos.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator le permite determinar qué imágenes de Cisco IOS y Catalyst OS Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 3 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Información de la característica del cuadro 3 para el Easy VPN Server 

Nombre de la función
Versiones
Información sobre la Función

Easy VPN Server 

12.2(8)T

La función Easy VPN Server inserta soporte de servidor para Cisco VPN Client Release 3.x y clientes de software de versiones posteriores así como para clientes de hardware de Cisco VPN (como los dispositivos Cisco 800, Cisco 900, Cisco 1700, VPN 3002 y PIX 501). Esta función permite a un usuario final remoto comunicarse mediante IP Security (IPSec) con cualquier gateway de red privada virtual (VPN) de Cisco IOS. Las políticas IPSec administradas de manera centralizada se envían al dispositivo cliente mediante el servidor, lo que minimiza la configuración que debe realizar el usuario final.

12,3(2)T

Se han insertado o modificado los siguientes comandos: Soporte a RADIUS para los perfiles del usuario, el control de políticas basado en el usuario, la supervisión de la sesión para el acceso del grupo VPN, la lista del gateway de backup, y el PFS.

12.3(7)T

netmask El comando era integrado para el uso en el Easy VPN Server.

Para la información sobre configurar este comando, vea la sección siguiente:

Definición de la Información de Política de Grupo para el Envío de la Configuración de Modo

12.4(2)T
12.2(33)SXH

La función siguiente se añadió en esta versión:

Banner, automóvil Update Button, y mejoras del proxy del navegador

12.4(6)T

La característica central del empuje de las políticas del firewall del empuje de la directiva fue agregada.

12.2(33)SRA

Esta función se integró en Cisco IOS
Versión 12.2(33)SRA.

 

12.4(9)T

En esta versión se añadieron las siguientes funciones:

Cliente Proxy de DHCP

La sección siguiente proporciona la información sobre esta característica:

Proxy del Cliente de DHCP

Soporte virtual del atributo de usuario de la interfaz del túnel para los servidores VPN fáciles.

Soporte virtual del atributo de usuario de la interfaz del túnel

DNS dividido

La sección siguiente proporciona la información sobre esta característica:

DNS dividido

cTCP

Las secciones siguientes proporcionan información acerca de esta función:

cTCP

Configurar el cTCP

sesión del cTCP: Ejemplo:

Soporte del Atributo por Usuario para Easy VPN Server

Las secciones siguientes proporcionan información acerca de esta función:

Soporte del atributo de usuario para los servidores VPN fáciles

Configurar los atributos de usuario en un servidor de AAA fácil local VPN

Atributos de usuario en un Easy VPN Server: Ejemplo:

Asignación de VRF por un Servidor AAA

Las secciones siguientes proporcionan información acerca de esta función:

Asignación VRF por un servidor de AAA

Asignación VRF por un servidor de AAA: Ejemplo:

Se han incluido los siguientes comandos nuevos: lista de atribución crypto aaa, IP dns del debug, DHCP-servidor (isakmp), DHCP-descanso, nombre-lista dns del IP de la demostración, opinión dns del IP de la demostración, y vista-lista dns del IP de la demostración

Se han modificado los siguientes comandos: crypto isakmp client configuration group

 

12.4(11)T

La característica del proxy del Cliente de DHCP fue puesta al día para incluir las mejoras de la manejabilidad para los VPN de accesos remotos.

Se han modificado los siguientes comandos: clear crypto session, crypto isakmp client configuration group, debug crypto condition, show crypto debug-condition, show crypto isakmp peers, show crypto isakmp profile, show crypto isakmp sa, show crypto session

Mejoras del servidor del EasyVPN

Cisco IOS XE Release 2.1

Esta función se introdujo en Cisco ASR 1000 Series Routers.


Glosario

AAA: autenticación, autorización y contabilización. Marco de los Servicios de seguridad que proporciona el método para identificar a los usuarios (autenticación), para el control de acceso remoto (autorización), y para recoger y enviar la información del servidor de seguridad usada para cargar en cuenta, auditoría, y señalando (estadísticas).

modo agresivo () — Modo durante la negociación del intercambio de claves de Internet. Comparado al modo principal (MM), la elimina varios pasos, que la hace más rápida pero los asegura menos que el MM. El Cisco IOS Software responderá en el modo agresivo a un par del Internet Key Exchange (IKE) que inicie al modo agresivo.

Pares AV — pares de valor de atributo. Información de autenticación y autorización adicional en el formato siguiente: Cisco: Protocolo de AVPair= ": attribute=value”.

IKE — Intercambio de claves de Internet. Protocolo híbrido que implementa el intercambio de claves del Oakley y el intercambio de claves de Skeme dentro del marco ISAKMP. Aunque el IKE se pueda utilizar con otros protocolos, su instrumentación inicial está con el IPSec. El IKE proporciona la autenticación de los peeres IPSecs, negocia las claves del IPSec, y negocia a las asociaciones de seguridad IPSec.

IPSec — IP Security Protocol. Estructura basada en estándares abiertos que brinda confidencialidad, integridad y autenticación de datos entre los peers participantes. El IPSec proporciona estos Servicios de seguridad en la capa IP. IPSec utiliza IKE para gestionar la negociación de protocolos y algoritmos basada en la política local y para generar las llaves de encripción y de autenticación que utilizará IPSec. IPsec puede emplearse para proteger uno o varios flujos de datos entre un par de hosts, entre un par de gateways de seguridad, o entre un gateway de seguridad y un host.

ISAKMP — Protocolo internet security association key management. Estructura del protocolo que define los formatos de carga, los mecánicos de implementar un Key Exchange Protocol, y la negociación de una asociación de seguridad.

MM — modo principal. Modo que es más lento que el modo agresivo pero más seguro y flexible que éste, porque puede ofrecer a un peer IKE más ofertas de seguridad. La acción predeterminada para la autenticación IKE (la firma del Rivest, del Shamir, y del Adelman (RSA-SIG), la encripción RSA (RSA-encr), o preshared) es iniciar al modo principal.

empuje de la directiva — Permite que los administradores avancen las directivas que aplican la Seguridad al cliente del Cisco Easy VPN (software) y al software de escudo de protección relacionado.

Reverse Route Injection (RRI) — Diseño de red simplificada para los VPN en los cuales hay un requisito para la Redundancia o el Equilibrio de carga. RRI trabaja con crypto maps estáticos y dinámicos.

En el caso dinámico, como peeres remotos establezca a las asociaciones de seguridad IPSec con un router habilitado RRI, una Static ruta se crea para cada subred o host protegido por ese peer remoto. Para las correspondencias de criptografía estática, una Static ruta se crea para cada destino de una regla de la lista de acceso ampliada.

SA: Asociación de seguridad. Descripción de cómo dos o más entidades utilizarán los Servicios de seguridad para comunicar con seguridad. Por ejemplo, un SA IPSec define el algoritmo de encripción (si se utiliza), el algoritmo de autenticación y la llave de sesión compartida que se utilizarán durante la conexión IPSec.

IPSec e IKE requieren y utilizan SAs para identificar los parámetros de sus conexiones. IKE puede negociar y establecer su propia SA. El SA de IPSec se establece por el IKE o por la configuración de usuario manual.

VPN — Red privada virtual. Marco que consiste en los peeres múltiples que transmiten los datos privados con seguridad a uno otro sobre una infraestructura de otra manera pública. En este marco, el tráfico de red entrante y saliente se protege mediante protocolos que tunelizan y encriptan todos los datos. Este marco permite que las redes se extiendan más allá de su topología local, mientras ofrecen a los usuarios remotos el aspecto y la funcionalidad de una conexión de red directa.