Software Cisco IOS y NX-OS : Software Cisco IOS versión 12.3 T

Easy VPN remota de Cisco

12 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Inglés (31 Octubre 2005) | Comentarios

Contenidos

Easy VPN remota de Cisco

Contenidos

Requisitos previos para la Easy VPN remota de Cisco

Restricciones para la Easy VPN remota de Cisco

Información acerca de la Easy VPN remota de Cisco

Ventajas de la función Easy VPN remota de Cisco

Información general sobre la Easy VPN remota de Cisco

Modos de funcionamiento

Autenticación

Opciones de activación del túnel

Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos

Funciones de la Easy VPN remota de Cisco

Cómo configurar la Easy VPN remota de Cisco

Tareas remotas

Tareas del servidor Easy VPN

Tareas de la interfaz web

Resolución de problemas de la conexión VPN

Ejemplos de configuración para la Easy VPN remota de Cisco

Ejemplos de configuración de la Easy VPN remota

Ejemplos de configuración del servidor Easy VPN

Referencias adicionales

Documentos relacionados

Normas

MIB

RFC

Asistencia técnica

Referencia de comandos

clear crypto ipsec client ezvpn

crypto ipsec client ezvpn (global)

crypto ipsec client ezvpn (interfaz)

crypto ipsec client ezvpn connect

crypto ipsec client ezvpn xauth

debug crypto ipsec client ezvpn

debug ip auth-proxy ezvpn

icmp-echo

ip http ezvpn

show crypto ipsec client ezvpn

show tech-support

type echo protocol ipIcmpEcho

xauth userid mode

Apéndice A: Atributos compatibles con la configuración de modos

Glosario


Easy VPN remota de Cisco


Este documento proporciona información acerca de la configuración y supervisión de la función Easy VPN remota de Cisco para crear túneles con IPsec en la Red privada virtual (VPN) entre un router compatible y un servidor Easy VPN (un router de Cisco  IOS, un concentrador VPN 3000 o el Firewall PIX de Cisco ) compatibles con este tipo de cifrado y descifrado IPsec.

Para conocer las ventajas de esta función, consulte la sección " Beneficios de la función Easy VPN remota de Cisco".

Historial de funciones de la Easy VPN remota de Cisco

Versión
Modificación

12.2(4)YA

Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase I) en los routers  806,  826,  827 y  828 de Cisco , en los routers de la serie 1700 de Cisco ; y en los routers de Cisco  de acceso por cable  uBR905 y  uBR925.

12.2(13)T

Se integró la Easy VPN remota de Cisco en la  versión 12.2(13)T de Cisco  IOS .

12.2(8)YJ

Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase II) en los routers  806,  826,  827 y  828 de Cisco , en los routers de la serie 1700 de Cisco ; y en los routers de Cisco de acceso por cable  uBR905 y  uBR925.

12.2(15)T

Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase II) a la versión  12.2(15)T de Cisco  IOS . Se agregó la compatibilidad con los routers de Cisco series  2600,  3600 y  3700.

12.3(2)T

Se agregó la contraseña de 6 caracteres a la función de configuración del IOS.

12.3(4)T

Se agregaron las funciones Guardar contraseña y Hacer copia de respaldo de múltiples pares.

12.3(7)T

Se agregó la función de IPsec, opción de mensaje periódico para la detección de pares inactivos.

12.3(7)XR

Se introdujeron las siguientes funciones: detección de pares inactivos con migración tras error (failover) sin recuperación de información (Rastreo de objetos con Easy VPN): configuración local de la lista de servidores de respaldo y autoconfiguración de la lista de servidores de respaldo, mejoras en la administración, balance de carga, compatibilidad con VLAN, compatibilidad con múltiples subredes, activación por tráfico, confidencialidad directa perfecta (PFS) mediante "policy push", autenticación 802.1x, soporte de certificado (PKI), Easy VPN remota y Servidor en la misma interfaz, e Easy VPN remota y Sitio a Sitio en la misma interfaz.

Nota Los routers de la serie 800 de Cisco no son compatibles con la versión  12.3(7)XR de Cisco IOS
.

Nota Estas funciones sólo están disponibles en la versión  12.3(7)XR2 de Cisco.

12.3(7)XR2

Se introdujeron las funciones de la versión 12.3(7)XR de Cisco IOS en los routers de la serie  800 de Cisco.

12.3(8)YH

Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en el router 1812 de Cisco.

12.3(11)T

Excepto por las funciones respaldo de marcado y activación por tráfico, todas las funciones que se introdujeron en las versiones 12.3(7)XR y 12.3(7)XR2 de Cisco  IOS se integraron en la versión 12.3(11)T de Cisco  IOS.

12.3(14)T

Se integraron las funciones respaldo de marcado y activación por tráfico en la versión 12.3(14)T de Cisco  IOS. Además, en esta versión se introdujo la función activación basada en la Web.

12.3(8)YI

Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en los routers de configuración fija de la serie 1800 de Cisco.

12.3(8)YI1

Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en los routers de las series 850 y 870 de Cisco.

12.2(4)T

En esta versión se introdujeron las siguientes funciones:

Compatibilidad con la interfaz virtual IPsec

Carteles, actualizaciones automáticas y mejoras en los exploradores del proxy.

12.4(4)T

En esta versión se introdujeron las siguientes funciones:

Compatibilidad con el túnel doble

Mejoras en la administración de configuración (Activación de un URL de configuración mediante un intercambio de configuración de modos)

Reactivar par principal

12.2(33)SRA

Se integró la Easy VPN remota de Cisco en la versión 12.2(33)SRA de Cisco IOS.


Búsqueda de información acerca de las plataformas y las imágenes del software Cisco IOS compatibles

Utilice Cisco Feature Navigator para buscar información acerca de las plataformas y las imágenes del software Cisco IOS compatibles. Acceda al Cisco Feature Navigator en http://www.cisco.com/cisco/web/LA/support/index.html. Debe contar con una cuenta en Cisco.com. Si no tiene una cuenta o ha olvidado su nombre de usuario o contraseña, haga clic en Cancel (Cancelar) en el cuadro de diálogo y siga las instrucciones que aparecen.

Contenidos

Requisitos previos para la Easy VPN remota de Cisco

Restricciones para la Easy VPN remota de Cisco

Información acerca de la Easy VPN remota de Cisco

Cómo configurar la Easy VPN remota de Cisco

Ejemplos de configuración para la Easy VPN remota de Cisco

Referencias adicionales

Referencia de comandos

Glosario

Requisitos previos para la Easy VPN remota de Cisco

Funciones de la Easy VPN remota de Cisco

Un router de la serie 800 de Cisco que se ejecute con las versiones 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T de Cisco IOS o 12.3(7)XR2 configurada como una Easy VPN remota de Cisco.

Un router de la serie 1700 de Cisco que se ejecute con las versiones 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T de Cisco IOS o 12.3(7)XR configurada como una Easy VPN remota de Cisco.

Un router de configuración fija de la serie 1800 de Cisco que se ejecute con la versión 12.3(8)YI de Cisco  IOS.

Un router de Cisco de acceso por cable uBR905 o uBR925 que se ejecute con la versión 12.2(15)T de Cisco IOS, configurada como una Easy VPN remota de Cisco.

Otro router de Cisco o un concentrador VPN compatible con la función Servidor Easy VPN de Cisco configurada como un servidor Easy VPN de Cisco IOS. Consulte la sección "Servidores Easy VPN requeridos" para ver una lista detallada.

Función reactivar par principal

Una configuración de una Easy VPN remota existente puede mejorarse agregando la función Reactivar par principal mediante los comandos peer (y la palabra clave default) e idle-time. Después de establecer el túnel entre la Easy VPN remota y el par no predeterminado, la función Reactivar par principal comienza a funcionar, es decir, la Easy VPN remota intenta comprobar la conectividad con el par principal periódicamente. En cualquier momento que la Easy VPN remota detecte que el enlace está funcionando, la Easy VPN remota cierra la conexión existente y activa el túnel con el par principal.

Restricciones para la Easy VPN remota de Cisco

Servidores Easy VPN requeridos

La función Easy VPN remota de Cisco requiere que el par de destino sea un servidor Easy VPN de Cisco IOS o un concentrador VPN compatible con la función Servidor Easy VPN de Cisco. En el momento de la publicación, los servidores y concentradores compatibles con esta función incluían las siguientes plataformas que se ejecutan con las versiones de software indicadas:

Routers 806, 826, 827, 828, 831, 836 y  837 de Cisco: Cisco IOS versión 12.2(8)T o superior. Los routers de Cisco de la serie 800 no son compatibles con la versión 12.3(7)XR de Cisco IOS, pero sí son compatibles con la versión 12.3(7)XR2 de Cisco IOS.

Series 850 y 870 de Cisco: Cisco IOS versión 12.3(8)YI1.

Serie 1700 de Cisco: Cisco IOS versión 12.2(8)T o superior.

Un router de configuración fija de la serie 1800 de Cisco: Cisco IOS versión 12.3(8)YI.

Un router de la serie 1812 de Cisco: Cisco IOS versión 12.3(8)YH.

Serie 2600 de Cisco: Cisco IOS versión 12.2(8)T o superior.

Serie 3620 de Cisco: Cisco IOS versión 12.2(8)T o superior.

Serie 3640 de Cisco: versión 12.2(8)T de Cisco IOS o superior.

Serie 3660 de Cisco: Cisco IOS versión 12.2(8)T o superior.

Routers VPN de la serie 7100 de Cisco: Cisco IOS versión 12.2(8)T o superior.

Routers de la serie 7200 de Cisco: Cisco IOS versión 12.2(8)T o superior.

Routers de la serie 7500 de Cisco: Cisco IOS versión 12.2(8)T o superior.

PIX de la serie 500 de Cisco: Software versión 6.2 o superior.

VPN de la serie 3000 de Cisco: Software versión 3.11 o superior.

Sólo el grupo 2 de la política de ISAKMP es compatible con los servidores Easy VPN

El protocolo de Unity sólo es compatible con las políticas de asociación de seguridad en Internet y el protocolo de administración de claves (ISAKMP) que usan las negociaciones de intercambio de claves de Internet grupo 2 (1024-bit Diffie-Hellman), por lo que el servidor Easy VPN que se utiliza con la función Easy VPN remota de Cisco debe estar configurado para una política de grupo 2 de ISAKMP. No se puede configurar el servidor Easy VPN para los grupos 1 o 5 de ISAKMP cuando se utiliza junto con un cliente Easy VPN de Cisco.

Conjuntos de transformaciones compatibles

Para garantizar una conexión por túnel segura, la función Easy VPN remota de Cisco no es compatible con los conjuntos de transformaciones que brindan cifrado sin autenticación (ESP-DES y ESP-3DES) o conjuntos de transformaciones que brindan autenticación sin cifrado (ESP-NULL ESP-SHA-HMAC y ESP-NULL ESP-MD5-HMAC).


Nota El Protocolo del cliente Cisco Unity no es compatible con el Encabezamiento de autenticación (AH), pero sí con el Protocolo de carga de seguridad de encapsulación (ESP).


Respaldo de marcado para las Easy VPN remotas

Esta función no es compatible con el respaldo basado en el estado de la línea.

Compatibilidad con la interoperabilidad de la Traducción de direcciones de red

La interoperabilidad de la Traducción de direcciones de red (NAT) no es compatible en modo cliente con la tunelización dividida.

Restricciones en la interfaz virtual IPsec

Para que la función de compatibilidad con la interfaz virtual IPsec funcione, es necesario que las plantillas virtuales sean compatibles.

Si está utilizando una interfaz virtual de túnel en el dispositivo remoto Easy VPN, se recomienda que configure el servidor para una interfaz virtual de túnel.

Compatibilidad con el túnel doble

Las siguientes restricciones se aplican si utiliza túneles dobles que comparten interfaces internas y externas:

Si los túneles dobles están configurados, uno de los túneles debe contar con un túnel dividido configurado.

Sólo se puede configurar la interrupción de la Web en uno de los túneles. No se debe utilizar la interrupción de la Web para el túnel de voz.

No se puede utilizar la interrupción de la Web para teléfonos IP hasta que el proxy de autorización sepa cómo desviar el teléfono IP.

Algunas funciones, tales como Activación de un URL de configuración mediante un intercambio de configuración de modos, sólo pueden utilizarse mediante un único túnel.

Información acerca de la Easy VPN remota de Cisco

Para configurar las funciones de la Easy VPN remota de Cisco, debe comprender los siguientes conceptos:

Ventajas de la función Easy VPN remota de Cisco

Información general sobre la Easy VPN remota de Cisco

Modos de funcionamiento

Autenticación

Opciones de activación del túnel

Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos

Funciones de la Easy VPN remota de Cisco

Ventajas de la función Easy VPN remota de Cisco

Permite la configuración dinámica de la política de usuario final, que requiere menos configuración manual por parte de los usuarios finales y técnicos de campo, lo que reduce los errores y las llamadas de servicio.

Permite que el proveedor modifique las configuraciones del equipo y de la red según sea necesario, sin tener que volver a configurar el equipo del usuario final o haciéndole muy pocos cambios.

Permite la administración de la política de seguridad centralizada.

Permite la implementación a gran escala con un rápido abastecimiento del usuario.

Elimina la necesidad de que los usuarios finales compren y configuren dispositivos VPN externos.

Elimina la necesidad de que los usuarios finales instalen y configuren el software del cliente Easy VPN en sus PC.

Transfiere la creación y el mantenimiento de las conexiones VPN desde la PC al router.

Reduce problemas de interoperabilidad entre los clientes VPN con distinto software basado en las PC, las soluciones VPN basadas en hardware externo y demás aplicaciones VPN.

Configura un único túnel IPsec independientemente de la cantidad de subredes múltiples compatibles y del tamaño de la lista de los divididos.

Información general sobre la Easy VPN remota de Cisco

Los cables módem, los routers xDSL y demás accesos de banda ancha brindan conexiones de alto desempeño a Internet, pero muchas aplicaciones también requieren la seguridad de las conexiones VPN que ejercen un alto nivel de autenticación y cifran los datos entre dos puntos finales (endpoints) particulares. Sin embargo, el establecimiento de una conexión VPN entre dos routers puede ser complicada y generalmente requiere una tediosa coordinación entre los administradores de la red a fin de configurar los parámetros VPN de los dos routers.

La función Easy VPN remota de Cisco elimina gran parte de esta tediosa tarea al implementar el Protocolo del cliente Cisco Unity, que permite que muchos parámetros VPN se definan en el servidor Easy VPN de Cisco IOS. Este servidor puede ser un dispositivo VPN dedicado, tal como el concentrador VPN 3000 de Cisco o el Firewall PIX de Cisco o un router de Cisco IOS que sea compatible con el  Protocolo del cliente Cisco Unity.

Después de haber configurado el servidor Easy VPN de Cisco, se puede crear una conexión VPN con una configuración mínima sobre una Easy VPN remota, tal como un router de la serie 800 de Cisco o uno de la serie 1700. Cuando la Easy VPN remota inicia la conexión con el túnel VPN, el servidor Easy VPN de Cisco implementa las políticas de IPsec a la Easy VPN remota y crea la conexión con el túnel VPN correspondiente.

La función Easy VPN remota de Cisco brinda la administración automática de los siguientes detalles:

Negociación de los parámetros del túnel, tales como las direcciones, los algoritmos y la vida útil.

Establecimiento de los túneles de acuerdo con los parámetros configurados.

Creación automática de la Traducción de direcciones de red (NAT) o de la Traducción de direcciones de puertos (PAT) y listas de accesos asociadas según sea necesario.

Autenticación de usuarios, es decir, la comprobación de que los usuarios son quienes dicen ser mediante nombres de usuario, nombres de grupo y contraseñas.

Administración de claves de seguridad para el cifrado y el descifrado.

Autenticación, cifrado y descifrado de datos por medio del túnel.

Modos de funcionamiento

La función Easy VPN remota de Cisco es compatible con tres modos de funcionamiento: cliente, extensión de red y extensión de red plus:

Cliente: especifica la realización de NAT o PAT para que las PC y los demás hosts en el extremo remoto del túnel VPN formen una red privada que no use ninguna dirección IP en el espacio de dirección IP del servidor de destino.

Se ha implementado una mejora para que la dirección IP que se recibe vía configuración de modo sea asignada automáticamente a una interfaz de bucle de retorno disponible. Las asociaciones de seguridad IPsec (SA) para esta dirección IP se crean automáticamente mediante la Easy VPN remota. Generalmente, la dirección IP se utiliza para la resolución de problemas (mediante ping, Telnet y SSH).

Extensión de red: especifica que las PC y demás hosts en el extremo del túnel VPN del cliente deben contar con direcciones IP totalmente enrutables y accesibles para la red de destino desde la red del túnel para formar una única red lógica. No se utiliza PAT, lo que permite que las PC de los clientes y los hosts tengan acceso directo a las PC y los hosts en la red de destino.

Extensión de red plus (modo red plus): Igual al modo extensión de red con la capacidad adicional de poder solicitar una dirección IP mediante la configuración de modo y asignarla automáticamente a una interfaz de bucle de retorno disponible. Las asociaciones de seguridad IPsec (SA) para esta dirección IP se crean automáticamente mediante la Easy VPN remota. Generalmente, la dirección IP se utiliza para la resolución de problemas (mediante ping, Telnet y SSH).

Todos los modos de funcionamiento también son compatibles con la tunelización dividida, lo que permite un acceso seguro a los recursos corporativos mediante el túnel VPN, mientras que también permite el acceso a Internet mediante una conexión con un Proveedor de servicios de Internet (ISP) u otro servicio. De esta manera, se elimina la red corporativa de la ruta de acceso a la Web.

Escenarios de los modos cliente y extensión de red

La Figura 1 ilustra el modo de funcionamiento cliente. En este ejemplo, el router 831 de Cisco brinda acceso a dos PC, que tienen direcciones IP en el espacio de la red privada 10.0.0.0. Estas PC se conectan con la interfaz Ethernet mediante el router 831 de Cisco, que también cuenta con una dirección IP en el espacio de la red privada 10.0.0.0. El router 831 de Cisco realiza la traducción NAT o PAT en el túnel VPN para que las PC puedan acceder a la red de destino.

Figura 1 Conexión con la Easy VPN remota de Cisco


Nota El diagrama de la Figura 1 también podría representar una conexión de tunelización dividida, en la cual la PC del cliente puede acceder a los recursos públicos en Internet global sin incluir la red corporativa en la ruta para los recursos públicos.


La Figura 2 también ilustra el modo de funcionamiento cliente, en el cual un concentrador VPN ofrece puntos finales (endpoints) de destino a múltiples clientes con xDSL. En este ejemplo, los routers de la serie 800 de Cisco brindan acceso a múltiples clientes de pequeñas empresas, cada uno de los cuales utiliza direcciones IP en el espacio de la red privada 10.0.0.0. Los routers de la serie 800 de Cisco realizan la traducción NAT o PAT en el túnel VPN para que las PC puedan acceder a la red de destino.

Figura 2 Conexión con la Easy VPN remota de Cisco (mediante un concentrador VPN)

La Figura 3 ilustra el modo de funcionamiento extensión de red. En este ejemplo, el router 831 de Cisco y el router de la serie  1700 de Cisco actúan como dispositivos remotos Easy VPN de Cisco, que se conectan a un concentrador VPN  3000 de Cisco.

Los hosts del cliente reciben direcciones IP totalmente enrutables para la red de destino desde el túnel. Estas direcciones IP pueden encontrarse tanto en el mismo espacio de subred de la red de destino como en subredes diferentes, asumiendo que los routers de destino están configurados adecuadamente para enrutar tales direcciones IP por el túnel.

En este ejemplo, las PC y los hosts conectados a los dos routers tienen direcciones IP en el mismo espacio de la dirección de la red corporativa de destino. Las PC se conectan con la interfaz Ethernet del router 831 de Cisco, que también tiene una dirección IP en el espacio de la dirección corporativa. Este escenario brinda una extensión perfecta de la red remota.

Figura 3 Conexión de extensión de red Easy VPN de Cisco

Autenticación

La función Easy VPN remota de Cisco es compatible con un procedimiento de dos etapas para autenticar el router remoto ante el concentrador central. El primer paso es la Autenticación a nivel grupal que forma parte de la creación del canal de control. Es esta primera etapa, se pueden usar dos tipos de credenciales de autenticación: las llaves previamente compartidas o los certificados digitales. Los siguientes párrafos brindan más detalles acerca de estas opciones.

El segundo paso para la autenticación se llama Autenticación ampliada o Xauth. En este paso, el lado remoto (en este caso el router Easy VPN) envía un nombre de usuario y una contraseña al router del sitio central. Este paso es igual al procedimiento realizado cuando un usuario del cliente de software Cisco VPN en una PC ingresa su nombre de usuario y contraseña para activar su túnel VPN. Cuando se utiliza un router, la diferencia es que se autentica el router mismo ante la red, y no una PC con el software del cliente VPN de Cisco. Xauth es un paso opcional (puede desactivarse) que generalmente se encuentra activado para mejorar la seguridad. Después de que se haya realizado la autenticación Xauth exitosamente y el túnel se haya activado, todas las PC con el router remoto Easy VPN tendrán acceso al túnel.

Si Xauth está activado, es primordial decidir cómo ingresar el nombre de usuario y la contraseña. Hay dos opciones. La primera opción es almacenar el nombre de usuario y la contraseña de Xauth en el archivo de configuración del router. Esta opción se utiliza generalmente si varias PC comparten el mismo router y el objetivo es mantener el túnel VPN siempre activo (consulte la sección " Activación automática") o que el router active automáticamente el túnel cuando haya que enviar datos (consulte la sección " Activación por tráfico"). Un ejemplo de esta aplicación es una situación en una sucursal, en la cual los usuarios desean que el túnel VPN esté disponible siempre que necesiten enviar información y no desean tener que realizar ninguna acción especial para activar el túnel VPN. Si las PC de la sucursal requieren que cada usuario ingrese su ID para autenticarse de manera individual, se debe configurar el router Easy VPN en el modo Activación automática para mantener el túnel siempre activado y se debe usar el proxy de autenticación de Cisco IOS o el 802.1x para autenticar la PC individual. Dado que el túnel siempre está activo, el proxy de autenticación o el 802.1x pueden acceder a una base de datos de un usuario en un sitio central, tal como AAA/RADIUS, para autenticar las solicitudes de usuarios particulares a medida que éstas son enviadas por los usuarios de las PC. (Consulte las secciones " Documentos relacionados", "Información general sobre IPsec y VPN" para obtener referencias acerca de cómo configurar el proxy de autenticación y "autenticación 802.1x" para obtener referencias acerca de cómo configurar la autenticación 802.1x).

La segunda opción para ingresar el nombre de usuario y la contraseña de Xauth es no almacenarlos en el router. En este caso, aparecerá una página web especial ante el usuario de la PC conectada con el router que le permitirá ingresar manualmente su nombre de usuario y su contraseña (consulte la sección " Activación manual"). El router envía el nombre de usuario y la contraseña al concentrador del sitio central y si el nombre de usuario y la contraseña son correctos, el túnel se activa. La aplicación típica para este tipo de configuración es una red de teletrabajadores. El teletrabajador desea controlar cuándo el túnel está activado y cuándo debe ingresar sus credenciales de usuario personales (que pueden incluir contraseñas de uso único) para activar el túnel. También es posible que el administrador de la red desee que los túneles de los teletrabajadores estén activados únicamente cuando alguien los está utilizando para conservar los recursos en los concentradores centrales. (Consulte la sección " Activación basada en la Web" para obtener detalles acerca de esta configuración).

También se puede ingresar el nombre de usuario y la contraseña de Xauth manualmente desde la interfaz de línea de comandos (CLI) del router. No se recomienda este método en la mayoría de las situaciones debido a que el usuario debe conectarse primero con el router (y para ello necesita una ID de usuario en el router). Sin embargo, puede ser útil para los administradores de la red durante la resolución de problemas.

Uso de llaves previamente compartidas

Cuando se utilizan llaves previamente compartidas, cada par conoce la llave de otro par. Las llaves previamente compartidas se muestran en las configuraciones en ejecución para que todos puedan verlas (conocidas como formato claro). Cuando se requiere un tipo de autenticación más segura, el software de Cisco también es compatible con otro tipo de llave previamente compartida: la llave previamente compartida cifrada.

El uso de una llave previamente compartida para la autenticación le permite almacenar de manera segura contraseñas no cifradas con formato de 6 caracteres (cifrados) en NVRAM. Se puede configurar con anticipación una llave grupal previamente compartida en ambos pares de túneles VPN. La forma cifrada de la palabra clave puede verse en la configuración en ejecución, pero la palabra clave real no se ve. Para obtener más información acerca de las llaves cifradas previamente compartidas, consulte Llave cifrada previamente compartida).

Uso de certificados digitales

Los certificados digitales aseguran la compatibilidad con las firmas Rivest, Shamir y Adelman (RSA) en los dispositivos remotos de Easy VPN. Un certificado RSA, que se puede almacenar dentro o fuera del dispositivo remoto, mantiene la compatibilidad.


Nota El tiempo de espera recomendado para la Easy VPN que utiliza certificados digitales es de 40 segundos.


Para obtener más información acerca de los certificados digitales, consulte la guía de características Compatibilidad con la firma RSA de la Easy VPN remota, versión 12.3(7)T1.

Uso de Xauth

Xauth es un nivel adicional de autenticación que puede utilizarse. Xauth puede aplicarse junto con las llaves grupales previamente compartidas o los certificados digitales. Las credenciales de Xauth pueden ingresarse mediante un administrador de interfaz web, tal como el administrador de dispositivos de seguridad (SDM), o mediante la CLI. (Consulte la sección "Administradores web de la Easy VPN remota de  Cisco").

La función guardar contraseña permite que el nombre de usuario y la contraseña de Xauth se guarden en la configuración de la Easy VPN remota para que no tenga que ingresar el nombre de usuario y la contraseña manualmente. Las contraseñas de uso único (OTP) no son compatibles con la función Guardar contraseña y se deben ingresar manualmente cuando se requiere Xauth. El servidor Easy VPN debe estar configurado en "Permitir contraseñas guardadas". (Para obtener más información acerca de cómo configurar la función Guardar contraseña, consulte la sección "Opción de mensaje periódico para la detección de pares inactivos").

Xauth está controlada por el servidor Easy VPN. Cuando el servidor Easy VPN de Cisco IOS solicita la autenticación Xauth, los siguientes mensajes aparecerán en la consola del router:

EZVPN: Pending XAuth Request, Please enter the following command:
crypto ipsec client ezvpn xauth

Cuando vea este mensaje, podrá ingresar la ID de usuario, la contraseña y demás información necesaria ingresando el comando crypto ipsec client ezvpn connect y respondiendo a los mensajes que aparezcan.

El tiempo de espera recomendado para Xauth es de 50 segundos o menos.


Nota La configuración del servidor Easy VPN de Cisco IOS determina el tiempo de espera para ingresar el nombre de usuario y la contraseña. Para los servidores con el software Cisco IOS, este valor de tiempo de espera está especificado por el comando crypto isakmp xauth timeout.


Activación basada en la Web

La activación basada en la Web brinda a los teletrabajadores remotos un método fácil de autenticar el túnel VPN entre su router Easy VPN remoto y el router del sitio central. Esta función le permite a los administradores configurar sus LAN remotas para que la solicitud HTTP inicial proveniente de cualquier PC remota sea interceptada por el router remoto Easy VPN. El usuario se encontrará con una página de inicio de sesión donde deberá ingresar sus credenciales para autenticar el túnel VPN. Una vez que el túnel VPN es activado, todos los usuarios de este sitio remoto pueden acceder a la LAN corporativa sin que se les vuelva a solicitar el nombre de usuario y la contraseña. Por otro lado, el usuario puede optar por omitir el túnel VPN y conectarse únicamente a Internet, en cuyo caso no necesitará una contraseña.

Un caso típico para la activación basada en la Web es el de un teletrabajador que desempeña sus tareas desde su hogar y activa el túnel Easy VPN sólo cuando necesita conectarse a la LAN corporativa. Si el teletrabajador remoto no está presente, algún miembro del hogar (tal como el cónyuge o hijos) puede usar la opción Internet Only (Sólo Internet) para navegar por Internet sin tener que activar el túnel VPN. La Figura 4 muestra un escenario típico para la activación basada en la Web.

Figura 4 Escenario típico de activación basada en la Web


Nota El ingreso de las credenciales de Xauth activa el túnel para todos los usuarios de este sitio remoto. Una vez que el túnel es activado, a ninguna de las PC de este sitio remoto se le solicita las credenciales de Xauth. La activación basada en la Web es una autenticación que activa el túnel VPN para todas las PC remotas y no puede considerarse una autenticación de usuario individual. La autenticación de usuario individual para el acceso al túnel VPN está disponible con las funciones del proxy de autenticación de Cisco IOS o el 802.1x, que pueden configurarse en el router remoto Easy VPN. (Consulte las secciones " Documentos relacionados", "Información general sobre IPsec y VPN" para obtener referencias acerca de cómo configurar el proxy de autenticación y "autenticación 802.1x" para obtener referencias acerca de cómo configurar la autenticación 802.1x).


Para configurar la activación basada en la Web, consulte la sección "Configuración de la activación basada en la Web".

Las siguientes secciones muestran las diferentes capturas de pantalla que el teletrabajador remoto ve cuando la función activación basada en la Web está activada:

Página principal de activación basada en la Web

Omisión de la autenticación de VPN

Autenticación del túnel VPN

Autenticación exitosa

Desactivación

Página principal de activación basada en la Web

La Figura 5 es un ejemplo de una página principal de activación basada en la Web. El usuario puede optar por conectarse a la LAN corporativa haciendo clic en Connect Now (Conectar ahora) o puede conectarse sólo a Internet haciendo clic en Internet Only (Sólo Internet).


Nota Si el usuario opta por conectarse sólo a Internet, no se requiere una contraseña.


Figura 5 Página principal

Omisión de la autenticación de VPN

La Figura 6 es un ejemplo de una activación basada en la Web en la cual el usuario optó por conectarse sólo a Internet haciendo clic en la opción Internet Only. Esta opción es muy útil para los miembros del hogar que necesitan navegar por Internet cuando el teletrabajador remoto no se encuentra disponible para autenticar el túnel VPN para su uso corporativo.

Figura 6 Página de omisión de la autenticación de VPN


Nota Si un usuario cierra la ventana de activación basada en la Web por error, puede volver a abrirla accediendo al router remoto (escribiendo http://routeripaddress/ezvpn/connect). Una vez que aparece la ventana de activación basada en la Web, se puede autenticar el túnel Easy VPN.


Autenticación del túnel VPN

La Figura 7 es un ejemplo de una activación basada en la Web, en la cual el usuario optó por conectarse a la LAN corporativa ingresando un nombre de usuario y una contraseña. Una vez que el usuario se autenticó con éxito, se activa el túnel Easy VPN para este sitio remoto. Si hay múltiples PC detrás de este sitio remoto, a ninguno de los demás usuarios que se conecten a la LAN corporativa se les solicitará las credenciales de Xauth ya que el túnel ya está activado.

Figura 7 Autenticación del túnel VPN

Autenticación exitosa

La Figura 8 es un ejemplo de activación exitosa. Si el usuario opta por desactivar el túnel VPN, debe hacer clic en el botón Disconnect (Desconectar). Cuando finaliza el tiempo de espera de la asociación de seguridad (SA) IKE (el valor predeterminado es de 24 horas), el teletrabajador remoto debe ingresar sus credenciales de Xauth para activar el túnel.

Figura 8 Activación exitosa

Desactivación

La Figura 9 es un ejemplo de un túnel VPN que ha sido desactivado con éxito. La página se cierra automáticamente en 5 segundos.

Figura 9 Desactivación exitosa del túnel VPN

Autenticación 802.1x

La función autenticación 802.1x le permite combinar el modo de funcionamiento cliente del Easy VPN con la autenticación 802.1x en los routers de Cisco IOS. Para obtener más información acerca de esta función, consulte "Autenticación 802.1" en la sección "Referencias adicionales".

Opciones de activación del túnel

Hay tres opciones de activación del túnel:

Activación automática

Activación manual

Activación por tráfico (no disponible en Cisco IOS versión 12.3(11)T)

Las opciones de conexión y desconexión están disponibles con el Administrador de dispositivos de seguridad (SDM).

Activación automática

El túnel Easy VPN de Cisco se conecta automáticamente cuando la función Easy VPN remota de Cisco está configurada en la interfaz. Si el túnel expira o falla, se vuelve a conectar automáticamente e intenta indefinidamente.

Para especificar el control automático del túnel en un dispositivo remoto Easy VPN de Cisco, debe configurar el comando crypto ipsec client ezvpn y luego el subcomando connect auto. No obstante, no es necesario usar estos dos comandos cuando se crea una nueva configuración de la Easy VPN remota ya que la opción predeterminada es "automática".

Para desconectar o restablecer un túnel particular, debe usar el comando clear crypto ipsec client ezvpn o puede usar el SDM.

Activación manual

El software de Easy VPN remota de Cisco implementa el control manual de los túneles de la Easy VPN de Cisco para que pueda establecer y finalizar el túnel cuando lo desee.

Para especificar el control manual del túnel en un dispositivo remoto Easy VPN de Cisco, debe ingresar el comando crypto ipsec client ezvpn y luego el comando connect manual.

La configuración manual implica que la Easy VPN remota de Cisco esperará un comando antes de intentar establecer la conexión con la Easy VPN remota de Cisco. Cuando el túnel expira o falla, las conexiones siguientes también deberán esperar el comando.

Si la configuración es manual, el túnel se conecta sólo si emite el comando crypto ipsec client ezvpn connect.

Para desconectar o restablecer un túnel particular, debe usar el comando clear crypto ipsec client ezvpn o puede usar el SDM.

Consulte la sección "Configuración del control manual del túnel" para obtener información específica acerca de cómo configurar el control manual de un túnel.

Activación por tráfico


Nota Esta función no está disponible en la versión 12.3(11)T de Cisco IOS.


Se recomienda la función activación por tráfico para las aplicaciones de la VPN basadas en transacciones. También se recomienda su utilización con la función respaldo de marcado de la Easy VPN para la configuración de respaldo de la Easy VPN para que el respaldo se active sólo cuando hay tráfico para enviar por el túnel.

Para utilizar el control del túnel mediante la Lista de control de acceso (ACL), primero debe describir el tráfico que considera "interesante". Para obtener más información acerca de las ACL, consulte el capítulo " Listas de control de acceso: información general y pautas" en la sección "Filtración de tráfico y firewalls" de la Guía de configuración de seguridad de Cisco IOS, versión 12.3. Para configurar un túnel activado por ACL, utilice el comando crypto ipsec client ezvpn con el subcomando connect acl.

Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos

Hay dos opciones disponibles para configurar la compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos:

Configuración local de la lista de servidores de respaldo

Autoconfiguración de la lista de servidores de respaldo

Configuración local de la lista de servidores de respaldo

La configuración local de la lista de servidores de respaldo permite a los usuarios ingresar múltiples instrucciones de pares. Con esta función configurada, si el cliente se está conectando a un par y la negociación falla, la Easy VPN conmuta al siguiente par. Esta migración tras error continúa con toda la lista de pares. Cuando llega al último par, la Easy VPN vuelve al primer par. Se eliminan las SA IPsec e IKE al par anterior. Múltiples instrucciones de pares funcionan tanto para las direcciones IP como para los nombres de los hosts. Configurar o desconfigurar las instrucciones de pares no afectará el orden de las instrucciones de pares.

Para utilizar esta función, utilice el subcomando peer del comando crypto ipsec client ezvpn.

Autoconfiguración de la lista de servidores de respaldo

Una Easy VPN remota basada en el software Cisco IOS puede tener hasta 10 servidores de respaldo para redundancia. La función servidor de respaldo permite al servidor Easy VPN "activar" la lista de servidores de respaldo en la Easy VPN remota.

La lista de respaldo le permite al administrador controlar los servidores de respaldo con los cuales se conectará una Easy VPN remota específica en caso de falla, retransmisiones o mensajes de detección de pares inactivos (DPD).


Nota Antes de que la función servidor de respaldo pueda utilizarse, se debe configurar la lista de servidores de respaldo en el servidor.


Cómo funciona un servidor de respaldo

Si A remota se conecta con el servidor A y la conexión falla, A remota se conecta con el servidor B. Si el servidor B tiene configurada una lista de respaldo, esa lista cancelará la lista de servidores de respaldo del servidor A. Si la conexión con el servidor B falla, la A remota continuará con los demás servidores de respaldo que hayan sido configurados.


Nota Si está en modo automático y ocurre una falla, habrá una transición automática del servidor A al B. No obstante, si está en modo manual, deberá configurar la transición manualmente. Para configurar la transición manualmente, utilice el comando crypto ipsec client ezvpn con la palabra clave connect.


No se requiere ninguna configuración nueva en la Easy VPN remota para activar esta función. Si desea ver el servidor actual, puede utilizar el comando show crypto ipsec client ezvpn. Si desea saber cuáles fueron los pares que el servidor Easy VPN activó, puede utilizar el mismo comando.

Para resolver los problemas de esta función, utilice el comando debug crypto ipsec client ezvpn. Si necesita más información para resolver problemas, utilice el comando debug crypto isakmp. El comando show crypto ipsec client ezvpn también puede utilizarse para la resolución de problemas.

Funciones de la Easy VPN remota de Cisco

La función Easy VPN remota de Cisco es una colección de funciones que mejora las capacidades de la función Easy VPN remota de Cisco introducida en Cisco IOS versión 12.2(4)YA. La función Easy VPN remota de Cisco incluye lo siguiente:

Interfaz interna predeterminada: esta función es compatible con la autoconfiguración de la interfaz interna predeterminada de la Easy VPN para los routers de la serie 800 de Cisco.

Múltiples interfaces internas: esta función permite configurar hasta ocho interfaces en la Easy VPN remota de Cisco.

Múltiples interfaces externas: esta función permite configurar hasta cuatro túneles externos para interfaces externas.

Compatibilidad con VLAN: esta función permite configurar VLAN como interfaces internas de Easy VPN válidas.

Compatibilidad con múltiples subredes: esta función permite incluir múltiples subredes de la interfaz interna de Easy VPN en el túnel Easy VPN.

Compatibilidad con la interoperabilidad NAT: esta función restablece automáticamente la configuración NAT cuando el túnel VPN con IPsec se desconecta.

Compatibilidad con dirección local: la función mejorada Easy VPN remota de Cisco es compatible con un atributo de dirección local adicional que especifica qué interfaz se utiliza para determinar la dirección IP desde la cual se origina el tráfico del túnel Easy VPN.

Nombre del par host: cuando se define un par como un nombre de host, el nombre del host se almacena y la búsqueda del sistema de nombres de dominio (DNS) se realiza en el momento de la conexión con el túnel.

Compatibilidad con servidores proxy DNS: esta función permite configurar el router en una configuración de la Easy VPN remota de Cisco para que actúe como un servidor proxy DNS para los usuarios conectados mediante LAN.

Compatibilidad con el firewall de Cisco IOS: esta función es compatible con las configuraciones de los firewall de Cisco IOS en todas las plataformas.

Easy VPN remota y Servidor en la misma interfaz: la Easy VPN remota y el servidor Easy VPN son compatibles con la misma interfaz, lo que permite establecer un túnel con otro Servidor Easy VPN y terminar el cliente del software Easy VPN en la misma interfaz simultáneamente.

Easy VPN remota y Sitio a Sitio en la misma interfaz: la Easy VPN remota y sitio a sitio (criptografía) son compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y tener otra conexión entre sedes en la misma interfaz simultáneamente.

Administradores web de la Easy VPN remota de Cisco: los usuarios pueden administrar la función Easy VPN remota de Cisco en los routers de Cisco de acceso por cable uBR905 y uBR925 mediante una interfaz web incorporada.

Opción de mensaje periódico para la detección de pares inactivos: esta función permite configurar el router para consultar la actividad de su par IKE en intervalos regulares.

Balance de carga: si un dispositivo remoto está cargado y no puede aceptar más tráfico, la VPN 3000 enviará una notificación con una dirección IP que representa el servidor IKE con el cual se debe conectar el dispositivo remoto.

Mejoras en la administración: esta función permite la administración remota de la VPN remota.

Compatibilidad con PFS: el servidor envía el atributo del modo de configuración PFS si el dispositivo remoto VPN lo requiere.

Respaldo de marcado: esta función permite configurar una conexión de túnel con respaldo de marcado en su dispositivo remoto.

Compatibilidad con la interfaz virtual: esta función permite enviar tráfico de manera selectiva a diferentes concentradores Easy VPN y a Internet (incluye una referencia a la función interfaz virtual del túnel IPsec).

Compatibilidad con el túnel doble: esta función permite configurar múltiples túneles Easy VPN que comparten interfaces internas y externas para que conecten dos pares con dos servidores VPN diferentes simultáneamente.

Cartel: el dispositivo remoto Easy VPN puede descargar un cartel activado por el servidor Easy VPN. El cartel puede utilizarse para la activación Xauth y la activación basada en la Web. El cartel aparece cuando el túnel Easy VPN está activado en la consola de la Easy VPN remota o como una página HTML en el caso de una activación basada en la Web.

Mejoras en la administración de configuración (Activación de un URL de configuración mediante un intercambio de configuración de modos): el dispositivo remoto Easy VPN puede descargar un URL activado por el servidor Easy VPN, y permitir que el dispositivo remoto Easy VPN descargue información relacionada con la configuración y la aplique a la configuración en ejecución.

Reactivar par principal: esta función permite designar un par principal. Cuando se produce una conmutación por error en el dispositivo Easy VPN del par principal a un par de respaldo y el par principal está nuevamente disponible, se interrumpe la conexión con el par de respaldo y se vuelve a establecer la conexión con el par principal.

Interfaz interna predeterminada

Easy VPN remota es compatible con la autoconfiguración de la interfaz interna predeterminada de la Easy VPN para los routers de la serie 800 de Cisco. La interfaz Ethernet 0 es la interfaz interna predeterminada.

Si desea desactivar la interfaz interna predeterminada y configurar otra interfaz interna en el router de la serie 800 de Cisco, primero debe configurar la otra interfaz interna y luego desactivar la interfaz interna predeterminada. Puede utilizar el siguiente comando para desactivar la interfaz interna predeterminada:

no crypto ipsec client ezvpn <name> inside

Si no configura la otra interfaz interna primero, antes de desactivar la interfaz interna predeterminada, recibirá un mensaje como el siguiente (vea las líneas tres y cuatro):

Router (config)# interface ethernet0
Router (config-if)# no crypto ipsec client ezvpn hw-client inside
Cannot remove the single inside interface unless
one other inside interface is configured

Múltiples interfaces internas

En la función Easy VPN remota de Cisco, la compatibilidad con la interfaz interna ha sido mejorada para que pueda funcionar con múltiples interfaces internas para todas las plataformas. Las interfaces internas pueden configurarse manualmente con los comandos y subcomandos mejorados:

interface interface-name
crypto ipsec client ezvpn name [outside | inside]

Consulte la sección "Configuración de múltiples interfaces internas" para obtener información acerca de cómo configurar más de una interfaz interna.

Las múltiples interfaces internas ofrecen las siguientes capacidades:

Los routers 800 y  1700 de Cisco son compatibles con hasta ocho interfaces internas.

Se debe configurar al menos una interfaz interna por cada interfaz externa; de lo contrario, la función Easy VPN remota de Cisco no establecerá una conexión.

Cuando se agrega una nueva interfaz interna o se elimina una interfaz interna existente, la conexión de Easy VPN remota de Cisco se restablece automáticamente (el túnel actualmente establecido). Debe volver a conectarse con un túnel configurado manualmente, y si el servidor Easy VPN de Cisco requiere una autenticación Xauth, se la solicitará al usuario nuevamente. Si ha configurado la Easy VPN remota de Cisco para que se conecte automáticamente y no se requiere Xauth, no será necesario ingresar ninguna información del usuario.

Puede ver las interfaces internas configuradas o la configuración predeterminada mediante el comando show crypto ipsec client ezvpn.

Múltiples interfaces externas

La función Easy VPN remota es compatible con un túnel Easy VPN por interfaz externa. Puede configurar hasta cuatro túneles Easy VPN por cada router de Cisco. Cada túnel Easy VPN puede contar con múltiples interfaces internas configuradas, pero no pueden superponerse con otro túnel Easy VPN a menos que el respaldo de marcado esté configurado. Para obtener más información acerca del respaldo de marcado, consulte la sección "Respaldo de marcado". Para configurar múltiples interfaces externas, utilice el comando crypto ipsec client ezvpn y la palabra clave outside.

Para desconectar o despejar un túnel en particular, el comando clear crypto ipsec client ezvpn especifica el nombre del túnel VPN con IPsec. Si no hay ningún nombre de túnel específico, se despejan todos los túneles existentes.

Consulte la sección "Configuración de múltiples interfaces externas" para obtener más información acerca de cómo configurar más de una interfaz externa.

Compatibilidad con VLAN

La compatibilidad de las VLAN con las interfaces internas, hace posible conseguir una interfaz interna de Easy VPN válida en una VLAN, lo que no era posible antes de Cisco IOS versión 12.3(7)XR. Con esta función, se pueden establecer asociaciones de seguridad (SA) en la conexión usando una dirección de subred VLAN o enmascarándose como un proxy de origen.

Para que la interfaz interna sea compatible con VLAN, debe definir cada VLAN como una interfaz interna de Easy VPN. Además, se deben establecer las SA IPsec para cada interfaz interna de la misma manera que para otras interfaces internas. Para obtener más información acerca de las interfaces internas y externas, consulte las secciones "Múltiples interfaces internas" y " Múltiples interfaces externas".

Sólo los routers de Cisco compatibles con VLAN admiten interfaces internas compatibles con VLAN.

Compatibilidad con múltiples subredes

En caso de tener múltiples subredes conectadas con una interfaz interna de Easy VPN, puede incluir, si lo desea, estas subredes al túnel Easy VPN. Primero, debe especificar las subredes que desea incluir definiéndolas en una ACL. Para configurar una ACL, consulte "Configuración de listas de control de acceso" en la sección " Referencias adicionales". Luego, debe usar el subcomando acl del comando crypto ipsec client ezvpn (global) para vincular su ACL con la configuración de la Easy VPN. La Easy VPN remota creará automáticamente las SA IPsec para cada subred definida en la ACL, así como para las subredes definidas en las interfaces internas de la Easy VPN.


Nota No se admite la compatibilidad con múltiples subredes en modo cliente.


Compatibilidad con la interoperabilidad NAT

La Easy VPN remota de Cisco es compatible con la interoperabilidad NAT. Las configuraciones de la Easy VPN remota de Cisco y NAT pueden coexistir. Cuando el túnel VPN con IPsec se desconecta, la configuración NAT funciona.

En la función Easy VPN remota de Cisco, cuando se interrumpe el túnel VPN con IPsec, el router restablece automáticamente la configuración NAT previa . Las listas de acceso definidas por el usuario no se modifican. Los usuarios pueden seguir accediendo a las áreas fuera del túnel de Internet cuando el túnel expira o se desconecta.


Nota La interoperabilidad NAT no es compatible en modo cliente con la tunelización dividida.


Compatibilidad con direcciones locales

La función mejorada Easy VPN remota de Cisco es compatible con un atributo de dirección local adicional. Este atributo especifica qué interfaz se utiliza para determinar la dirección IP desde la cual se origina el tráfico del túnel de la Easy VPN remota. Después de especificar la interfaz con el subcomando local-address, puede asignar una dirección IP estática a la interfaz manualmente o usar el comando cable-modem dhcp-proxy interface para configurar automáticamente la interfaz especificada con una dirección IP pública. Consulte la sección "Configuración de la compatibilidad con servidores proxy DNS" para obtener información acerca de la configuración.

La compatibilidad con direcciones locales está disponible para todas las plataformas, pero se aplica mejor a los routers de acceso por cable uBR905 y uBR925 de Cisco, junto con el comando cable-modem dhcp-proxy interface . Por lo general, la interfaz de bucle de retorno es la interfaz desde la cual se origina el tráfico del túnel para los routers de Cisco de acceso por cable uBR905 y uBR925.

En una red DOCSIS típica, los routers de acceso por cable uBR905 y uBR925 de Cisco están configurados con una dirección IP privada en la interfaz de cable módem. En la función inicial Easy VPN remota de Cisco, se necesitaba una dirección IP pública en la interfaz de cable módem para lograr la compatibilidad con la Easy VPN remota.

En la función Easy VPN remota de Cisco, los proveedores de cable pueden utilizar la función Cable DHCP Proxy para obtener una dirección IP pública y asignarla a la interfaz de cable módem, que es, por lo general, la interfaz de bucle de retorno.

Para obtener más información acerca del comando cable-modem dhcp-proxy interface , consulte el capítulo "Comandos para CPE de cable" en la Guía de referencia para los comandos de cable de banda ancha de Cisco.


Nota El comando cable-modem dhcp-proxy interface sólo es compatible con los routers de Cisco de acceso por cable uBR905 y uBR925.


Nombre del par host

Se puede definir a la configuración del par de la Easy VPN remota de Cisco como una dirección IP o un nombre de host. Por lo general, cuando se define un par como un nombre de host, se realiza una búsqueda en el DNS para obtener una dirección IP. En la función Easy VPN remota de Cisco, se mejora la operación del nombre del par host para que sea compatible con los cambios de entrada en el DNS. La cadena de texto del nombre del host se almacena para que la búsqueda en el DNS se realice cuando se conecta el túnel, y no cuando el par se define como un nombre de host.

Consulte la sección "Configuración y asignación de la configuración de la Easy VPN remota" para obtener información acerca de la activación de la funcionalidad del nombre del par host.

Compatibilidad con servidores proxy DNS

Cuando el túnel Easy VPN no funciona, se deben utilizar las direcciones DNS del proveedor de servicios de Internet (ISP) o de cable para resolver las solicitudes de DNS. Cuando la conexión WAN está en funcionamiento, se deben utilizar las direcciones DNS de la empresa.

Para implementar el uso de direcciones DNS del proveedor de cable cuando la conexión WAN no funciona, se puede configurar el router en una configuración de la Easy VPN remota de Cisco para que actúe como un servidor proxy DNS. El router, que actúa como un servidor proxy DNS para los usuarios conectados mediante LAN, recibe consultas DNS de usuarios locales en lugar del servidor DNS real. El servidor DHCP puede enviar la dirección LAN del router como la dirección IP del servidor DNS. Una vez que la conexión WAN funciona, el router reenvía las consultas DNS al servidor DNS real y almacena en la memoria caché los registros de las consultas DNS.

Consulte la sección " Configuración de la compatibilidad con servidores proxy DNS" para obtener información acerca de la activación de la funcionalidad del servidor proxy DNS.

Compatibilidad con el firewall de Cisco IOS

La función Easy VPN remota opera en conjunto con las configuraciones del firewall de Cisco IOS en todas las plataformas.

La Easy VPN remota y el Servidor en la misma interfaz

Esta función permite que la Easy VPN remota y el servidor Easy VPN sean compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y terminar el cliente del software Easy VPN en la misma interfaz simultáneamente. Una aplicación típica sería el caso de una Easy VPN remota que se utiliza en una ubicación geográfica remota para lograr la conexión con un servidor Easy VPN corporativo y para terminar los usuarios clientes de software local.

Para obtener más información acerca de la Easy VPN remota y el Servidor en la misma interfaz, consulte "Easy VPN remota y Servidor en la misma interfaz" en la sección "Referencias adicionales".

Easy VPN remota y Sitio a Sitio en la misma interfaz

Esta función permite que la Easy VPN remota y sitio a sitio (criptografía) sean compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y tener otra conexión entre sedes en la misma interfaz simultáneamente. Una aplicación típica sería el caso de un tercer proveedor de servicios VPN que administra un router remoto mediante un túnel sitio a sitio y la Easy VPN remota para conectar la sede remota con un servidor Easy VPN corporativo.

Para obtener más información acerca de la Easy VPN remota y Sitio a Sitio en la misma interfaz, consulte "Easy VPN remota y Sitio a Sitio en la misma interfaz" en la sección "Referencias adicionales".

Administradores web de la Easy VPN remota de Cisco

Se pueden utilizar administradores de interfaces web para administrar la función Easy VPN remota de Cisco. Uno de esos administradores de interfaces web es el SDM, que es compatible con los routers de las series 830, 1700, 2600, 3600 y 3700 de Cisco. El SDM permite conectar y desconectar el túnel y brinda una interfaz web para Xauth. Para obtener más información acerca del SDM, consulte Administrador de dispositivos de seguridad de Cisco.

Otro administrador de interfaces web es la herramienta de configuración web del router de Cisco (CRWS), que es compatible con el router 806 de Cisco. La CRWS brinda una interfaz web similar a la del SDM.

Además, el Administrador web de la Easy VPN remota de Cisco es otro administrador de interfaces web que se utiliza para administrar la función Easy VPN remota de Cisco para los routers de Cisco de acceso por cable uBR905 y uBR925. No es necesario acceder a la CLI para administrar la conexión de la Easy VPN remota de Cisco.

Los administradores de interfaces web le permiten hacer lo siguiente:

Ver el estado actual del túnel de la Easy VPN remota de Cisco.

Conectar un túnel que esté configurado para control manual.

Desconectar un túnel configurado para ser controlado manualmente o restablecer un túnel configurado para conectarse automáticamente.

Recibir mensajes que le soliciten información para Xauth, si es necesario.

Consulte la sección "Resolución de problemas de la conexión VPN" para obtener más información acerca del Administrador web de la Easy VPN remota de Cisco.

Opción de mensaje periódico para la detección de pares inactivos

La opción de mensaje periódico para la detección de pares inactivos permite configurar el router para consultar la actividad de su par IKE en intervalos regulares. El beneficio de este enfoque sobre el enfoque predeterminado (detección a pedido de pares inactivos) es la detección temprana de pares inactivos. Para obtener información acerca de la opción de mensaje periódico para la detección de pares inactivos, consulte "Detección de pares inactivos" en la sección " Referencias adicionales".

Balance de carga

Cuando el concentrador VPN 3000 de Cisco está configurado para balance de carga, la VPN 3000 aceptará una solicitud IKE entrante de la VPN remota en su dirección IP virtual. Si el dispositivo está cargado y no puede aceptar más tráfico, la VPN 3000 enviará una notificación con una dirección IP que representa el servidor IKE nuevo con el que se debe conectar el dispositivo remoto. La vieja conexión se interrumpirá y se establecerá una nueva conexión con la puerta de enlace VPN redirigida.

Para que el balance de carga tenga lugar no se requiere ninguna configuración. Si la puerta de enlace VPN está configurada para el balance de carga y notifica a la VPN remota que está realizando un balance de carga, la VPN remota tiene acceso a la función balance de carga.

Para verificar el balance de carga, utilice los comandos debug crypto isakmp, debug crypto ipsec client ezvpn y show crypto ipsec. Para la resolución de problemas durante el proceso de balance de carga, utilice el comando show crypto ipsec.

Mejoras en la administración

Las mejoras en la administración para las Easy VPN remotas permiten la administración remota de la VPN remota. La función permite que la dirección IPv4 sea activada mediante el modo configuración en la VPN remota. La dirección IPv4 se asigna a la primera interfaz de bucle de retorno disponible en la VPN remota, y los bucles de retorno ya definidos de manera estática no se anulan. Cuando está desconectado, se eliminan la dirección y la interfaz de bucle de retorno de la lista de interfaces activas.

Una vez que la VPN remota está conectada, debería poder acceder a la interfaz de bucle de retorno desde el extremo remoto del túnel. Todas las actividades de PAT se traducirán por medio de la interfaz de esta dirección IP.

Si ya hay un bucle de retorno y una dirección IP asociada con él cuyo estado es "no asignada", la interfaz es candidata para la administración de dirección del modo configuración.


Nota Después de haber asignado una dirección a una interfaz de bucle de retorno, si guarda la configuración en NVRAM y reinicia la VPN remota, la dirección de configuración queda de manera permanente en la configuración. Si ha guardado la configuración en NVRAM y ha reiniciado la VPN remota, debe ingresar al modo configuración y eliminar manualmente la dirección IP de la interfaz de bucle de retorno.


Puede utilizar el comando show ip interface con la palabra clave brief para verificar si se ha eliminado un bucle de retorno. El resultado de este comando show también muestra la interfaz.

Compatibilidad con PFS

El servidor envía el atributo del modo de configuración PFS si el dispositivo remoto VPN lo requiere. Si las siguientes conexiones del dispositivo remoto muestran que no está recibiendo PFS, ésta no será enviada en conjuntos de protocolos IPsec.


Nota El grupo PFS que será propuesto en los conjuntos de protocolos IPsec es igual al grupo usado para IKE.


Puede utilizar el comando show crypto ipsec client ezvpn para mostrar el grupo PFS y para verificar su uso.

Respaldo de marcado


Nota La función de respaldo de marcado no está disponible en la versión 12.3(11)T de Cisco IOS.


El respaldo de marcado para la Easy VPN remota permite configurar una conexión de túnel con respaldo de marcado en su dispositivo remoto. La función de respaldo se activa sólo cuando hay que enviar datos reales, eliminando la necesidad del costoso marcado manual o los enlaces ISDN que deben crearse y mantenerse incluso cuando no hay tráfico.

La Figura 10 ilustra una típica Easy VPN remota en un escenario de respaldo de marcado. En este escenario, un dispositivo remoto 1751 de Cisco está intentando conectarse con otro 1751 de Cisco (que actúa como servidor). Hay una falla en el túnel Easy VPN principal, y la conexión se vuelve a enrutar por el túnel de respaldo Easy VPN al servidor 1751 de Cisco.

Figura 10 Respaldo de marcado en un escenario de Easy VPN

Respaldo de marcado con solución de marcado a pedido

El rastreo de rutas IP estáticas permite que el software Cisco IOS identifique cuando un Protocolo punto a punto en Ethernet (PPPoE) o un túnel VPN con IPsec no funcionan e inicie una conexión de marcado a pedido (DDR) con un destino preconfigurado de cualquier puerto WAN o LAN alternativo (por ejemplo, T1, ISDN, un puerto analógico o auxiliar). Muchos eventos catastróficos pueden causar la falla (por ejemplo, fallas en el circuito de Internet o fallas en el dispositivo del par). La ruta remota sólo cuenta con una ruta estática a la red corporativa. La función rastreo de rutas IP estáticas permite rastrear un objeto (mediante una dirección IP o un nombre de host) utilizando el Protocolo de mensajes de control de Internet (ICMP), TCP, u otros protocolos, e instala o elimina la ruta estática conforme al estado del objeto rastreado. Si la función rastreo determina que la conexión a Internet se perdió, se eliminará la ruta predeterminada para la interfaz principal y se activará la ruta estática flotante para la interfaz de respaldo.

Respaldo de marcado con rastreo de objetos

Para que el rastreo de rutas IP estáticas funcione para el respaldo de marcado en un dispositivo remoto Easy VPN, debe ser configurado. La configuración del rastreo de objetos es independiente de la configuración del respaldo de marcado de la Easy VPN remota. (Para obtener más información acerca del rastreo de objetos, consulte la guía de características Rutas estáticas confiables de respaldo con rastreo de objetos).

Configuración del respaldo de marcado en la Easy VPN remota

Puede configurar el respaldo de marcado para su Easy VPN remota mediante dos opciones de la Easy VPN remota que permiten la conexión con la configuración de respaldo de la Easy VPN y una conexión con el sistema de rastreo.

Para especificar la configuración de la Easy VPN que se activará con el respaldo, utilice el subcomando backup del comando (global) crypto ipsec client ezvpn.

El dispositivo remoto Easy VPN se registra en el sistema de rastreo para recibir notificaciones sobre los cambios en el estado del objeto. Utilice el comando track para informar al proceso de rastreo que el dispositivo remoto Easy VPN está interesado en rastrear un objeto, identificado por el número de objeto. A su vez, el proceso de rastreo informa al dispositivo remoto Easy VPN cuando se modifica el estado de este objeto. Esta notificación informa al dispositivo remoto Easy VPN cuando se modifica el estado del objeto. Esta notificación hace que el dispositivo remoto Easy VPN active la conexión de respaldo cuando el estado del objeto rastreado es INACTIVO. Cuando el objeto rastreado está nuevamente ACTIVO, se interrumpe la conexión de respaldo y el dispositivo remoto Easy VPN vuelve a usar la conexión principal.


Nota Sólo se admite una configuración de respaldo por cada configuración Easy VPN principal. Cada interfaz interna debe especificar las configuraciones de la Easy VPN principales y de respaldo.


Entornos con direcciones dinámicas

Para poder implementar el respaldo de marcado en entornos con direcciones dinámicas, utilice la función "IP SLA Pre-Routed ICMP Echo Probe". (Para obtener más información acerca de esta función, consulte las release notes serie 1700 de Cisco- Cisco IOS versión 12.3(7)XR). Para utilizar la función "IP SLA Pre-Routed ICMP Echo Probe", use el comando icmp-echo con la palabra clave source-interface.

Ejemplos de respaldo de marcado

Para obtener ejemplos de configuraciones de respaldo de marcado, consulte la sección "Respaldo de marcado: ejemplos".

Compatibilidad con la interfaz virtual

La función compatibilidad con la interfaz virtual brinda una interfaz enrutable para enviar tráfico de manera selectiva a diferentes concentradores Easy VPN y a Internet.

Antes de Cisco IOS versión 12.4(2)T, en la transición del túnel activo/túnel inactivo, los atributos activados durante la configuración del modo debían ser analizados y aplicados. Cuando tales atributos hicieron que las configuraciones se aplicasen a la interfaz, la configuración existente debió ser anulada. Con la función compatibilidad con la interfaz virtual, se puede aplicar la configuración del túnel activo a interfaces separadas, facilitando la compatibilidad con funciones separadas en el momento de la activación del túnel. Se pueden separar las funciones que se aplican al tráfico que pasa por el túnel de las funciones que se aplican al tráfico que no pasa por el túnel (por ejemplo, el tráfico del túnel dividido y el tráfico que deja el dispositivo cuando el túnel no está activo). Cuando la negociación con la Easy VPN tiene éxito, el estado del protocolo de línea de la interfaz de acceso virtual cambia a activo. Cuando el túnel Easy VPN se desactiva porque la asociación de seguridad (SA) expira o se elimina, el estado del protocolo de línea de las interfaces de acceso virtual cambia a inactivo.

Las rutas actúan como selectores de tráfico en la interfaz virtual de una Easy VPN, es decir, las rutas reemplazan la lista de acceso en la criptografía. En una configuración de interfaz virtual, la Easy VPN negocia una asociación de seguridad IPsec si el servidor Easy VPN ha sido configurado con una interfaz virtual dinámica IPsec. Esta única SA se crea independientemente del modo de la Easy VPN configurada.

Después de establecer la SA, se agregan rutas que señalan a la interfaz de acceso virtual para dirigir el tráfico a la red corporativa. La Easy VPN también agrega una ruta al concentrador VPN para que los paquetes encapsulados con IPsec sean enrutados a la red corporativa. Se agrega una ruta predeterminada que señala a la interfaz de acceso virtual en el caso de un modo no dividido. Cuando el servidor Easy VPN "activa" el túnel dividido, la subred del túnel dividido se convierte en el destino al cual se agregan las rutas que señalan al acceso virtual. En cualquier caso, si el par (concentrador VPN) no está conectado directamente, la Easy VPN agrega una ruta al par.


NotaLa mayoría de los routers que funcionan con el software del cliente Easy VPN de Cisco cuentan con una ruta predeterminada configurada. La ruta predeterminada configurada debe tener un valor métrico superior a 1. El valor métrico debe ser superior a 1 porque la Easy VPN agrega una ruta predeterminada cuyo valor métrico es 1. La ruta señala a la interfaz de acceso virtual para que todo el tráfico sea dirigido a la red corporativa cuando el concentrador no "activa" el atributo de túnel dividido.


Para obtener más información acerca de la función interfaz virtual del túnel IPsec, consulte el documento Interfaz virtual del túnel IPsec (enlace URL en la sección " Documentos relacionados" de este documento [Información general sobre IPsec y VPN]).

La Tabla 1 presenta los diferentes métodos para configurar un dispositivo remoto y las configuraciones del agregador IPsec de cabecera correspondientes. Cada fila representa un modo de configurar un dispositivo remoto. La tercera columna muestra las diferentes configuraciones de cabeceras que pueden utilizarse con las interfaces IPsec. Consulte la Tabla 2 para obtener una descripción de los términos utilizados en la Tabla 1 y en la Tabla 3.

Tabla 1 Cómo interactúan distintas configuraciones de dispositivos remotos con varias cabeceras
y configuraciones 

Configuraciones de los dispositivos remotos
Cabecera IOS con criptografías
Cabecera IOS con interfaces IPsec
VPN3000/ASA

Criptografías

Compatible.

Interfaz virtual de una Easy VPN

Compatible.

Crea múltiples SA para un túnel dividido.

Debido a la ausencia de interfaz en la cabecera, las funciones de interfaz no son compatibles.

Compatible con limitada Calidad de Servicio (QoS).

Compatible.

Crea sólo una SA en túneles divididos y no divididos.

Las rutas se insertan en el servidor.

Las rutas se insertan en los dispositivos remotos para dirigir el tráfico hacia la interfaz.

Compatible.

Crea múltiples SA para un túnel dividido.

Easy VPN heredada

Crea una sola SA IPsec en la cabecera cuando una política predeterminada es implementada.

Crea múltiples SA cuando una política de túnel dividido es implementada en el dispositivo remoto.

No compatible.

No puede utilizarse con túneles divididos porque la interfaz de cabecera no es compatible con múltiples SA en una interfaz.

Compatible.

Crea múltiples SA para túneles divididos.

Interfaz virtual estática

No compatible.

Compatible.

Puede utilizarse con una interfaz estática o dinámica en la cabecera.

La compatibilidad con el router es obligatoria para alcanzar la red.

No compatible.


La Tabla 2 brinda una descripción de los términos utilizados en la Tabla 1 y en la Tabla 3.

Tabla 2 Términos utilizados en la Tabla 1 y en la Tabla 3

Términos
Descripción

ASA

Dispositivo adaptable de seguridad Cisco, un dispositivo de seguridad de administración de amenazas.

Criptografías

Utilizadas comúnmente para configurar túneles IPsec. La criptografía se adjunta a una interfaz. Para obtener más información acerca de las criptografías consulte la sección "Creación de conjuntos de criptografías" del capítulo "Configuración de seguridad para VPN con IPSec" de la Guía de configuración de seguridad de Cisco IOS. (Enlace URL en la sección "Documentos relacionados" de este documento).

Dispositivo remoto de túnel doble Easy VPN

Dos configuraciones de dispositivo remoto Easy VPN que utilizan una interfaz virtual dinámica del túnel IPsec.

Dispositivo remoto de interfaz virtual Easy VPN (interfaz virtual de la Easy VPN)

Configuración de la Easy VPN remota que configura el uso de una interfaz virtual dinámica del túnel IPsec.

Interfaz IPsec

Consiste en interfaces virtuales estáticas y dinámicas IPsec.

Interfaz virtual del túnel IPsec

Interfaz de túnel que se crea a partir de una interfaz de túnel de plantilla virtual mediante el modo IPsec. Para obtener más información acerca de las configuraciones de la interfaz virtual del túnel, consulte el documento Interfaz virtual del túnel IPsec (enlace URL en la sección " Documentos relacionados" de este documento [Información general sobre IPsec y VPN]).

Easy VPN heredada

Configuración del dispositivo remoto Easy VPN que utiliza criptografías pero no interfaces IPsec.

Interfaz virtual estática del túnel IPsec (interfaz virtual estática del túnel)

Interfaz de túnel utilizada con el modo IPsec que propone y acepta sólo un selector "ipv4 any any". Para obtener más información acerca de las configuraciones de la interfaz virtual estática del túnel, consulte el documento Interfaz virtual del túnel IPsec (enlace URL en la sección " Documentos relacionados" de este documento [Información general sobre IPsec y VPN]).

VPN 3000

Routers VPN de la serie 3000 de Cisco


Compatibilidad con el túnel doble

Ahora la Easy VPN puede configurar dos túneles Easy VPN con las mismas interfaces internas y externas. La función se llama túnel doble Easy VPN. Se pueden configurar múltiples túneles en un mismo dispositivo remoto de muchos modos, los cuales se enumeran en la Tabla 3 junto con sus consideraciones de configuración y uso. Lo que resta de esta sección se refiere sólo a uno de esos métodos de configuración de túneles dobles, mediante los túneles Easy VPN que cuentan con interfaces virtuales. Se utilizará "compatibilidad con el túnel doble" para hacer referencia a este método.

En la configuración de un túnel Easy VPN doble, cada túnel Easy VPN se configura utilizando la compatibilidad con la interfaz virtual, como se muestra en la sección "Compatibilidad con la interfaz virtual". Cada túnel Easy VPN tiene una única interfaz virtual, que se crea cuando la configuración de la Easy VPN está completa.

Los túneles dobles pueden utilizarse en dos combinaciones posibles.

Túneles Easy VPN dobles, con un túnel que usa una política de túnel no dividido y otro que usa una política de túnel dividido, que ha sido activada desde la respectiva cabecera.

Túneles Easy VPN dobles, cuyos túneles utilizan una política de túnel dividido independiente, que ha sido activada desde la respectiva cabecera.


Nota No se permite tener túneles Easy VPN dobles cuyos túneles utilicen una política de túneles no divididos simultáneamente.


El túnel Easy VPN doble utiliza inserciones de ruta para dirigir al tráfico apropiado por la interfaz virtual del túnel Easy VPN correcta. Cuando se activa el túnel Easy VPN en el dispositivo remoto, "aprende" la política de dividido o no dividido de la cabecera. El dispositivo remoto Easy VPN inserta rutas en la tabla de enrutamiento que coinciden con las redes no divididas que han sido aprendidas. Si la cabecera activa una política de túnel no dividido en el dispositivo remoto Easy VPN, éste instala una ruta predeterminada en su tabla de enrutamiento que dirige todo el tráfico fuera de la interfaz virtual de la Easy VPN que corresponde a este túnel Easy VPN. Si la cabecera activa redes de túneles divididos en el dispositivo remoto, éste instala rutas específicas hacia las redes divididas en su tabla de enrutamiento, que dirigen todo el tráfico hacia estas redes y fuera de la interfaz virtual del túnel.


Nota El túnel Easy VPN doble utiliza un enrutamiento basado en el destino para enviar tráfico a los túneles respectivos.


Se pueden aplicar funciones de salida a esta interfaz virtual. Ejemplos de tales funciones de salida son la calidad del servicio de Cisco IOS y el firewall de Cisco IOS. Estas funciones deben configurarse en la plantilla virtual que está configurada en la configuración de cliente Easy VPN.

La Tabla 3 explica cómo se debe utilizar esta función. Consulte la Tabla 2 para obtener una descripción de los términos utilizados en la Tabla 1 y en la Tabla 3.

Tabla 3 Pautas de uso del túnel doble 

Combinaciones del túnel doble
Cabeceras compatibles
Consideraciones sobre la configuración y el uso del dispositivo remoto Easy VPN y las cabeceras

Dos túneles Easy VPN heredados

IOS, ASA y VPN 3000

Dos túneles no pueden compartir la misma interfaz externa.

Dos túneles no pueden compartir la misma interfaz interna.

Los dos túneles deben usar interfaces internas y externas separadas.

El tráfico de una interfaz interna que pertenece a un túnel Easy VPN no puede derivarse a otro túnel.

Un túnel Easy VPN heredado y una criptografía

IOS, ASA y VPN 3000

La criptografía puede compartir la misma interfaz externa que la configuración de cliente Easy VPN heredada. No obstante, el comportamiento de los dos dispositivos remotos depende del modo de la Easy VPN, así como de los selectores IPsec de la criptografía y del dispositivo remoto Easy VPN. No se recomienda esta combinación.

Un túnel Easy VPN heredado y una interfaz virtual estática

IOS

Los dos túneles no pueden terminar en la misma cabecera. El túnel del dispositivo remoto con interfaz virtual estática debe terminar en una interfaz virtual estática de la cabecera del router. El túnel del dispositivo remoto Easy VPN heredado puede terminar en una interfaz virtual del túnel o en una criptografía configurada en la cabecera.

Un túnel Easy VPN heredado y una interfaz virtual Easy VPN

IOS, ASA y VPN 3000

Los dos túneles no pueden terminar en la misma cabecera.

El túnel Easy VPN heredado y la interfaz virtual de la Easy VPN pueden compartir las mismas interfaces internas y externas.

Una interfaz virtual Easy VPN sólo debe usarse con tunelización dividida.

Una Easy VPN heredada puede utilizar un túnel dividido o un túnel no dividido.

La función activación basada en la Web no puede aplicarse a ambos túneles Easy VPN.

Se prefiere la utilización de dos interfaces virtuales Easy VPN a esta combinación.

Una interfaz virtual Easy VPN y una interfaz virtual estática

IOS

Los dos túneles no pueden terminar en el mismo par. La interfaz virtual estática y la interfaz virtual Easy VPN pueden utilizar la misma interfaz externa.

La interfaz virtual Easy VPN debe utilizar una tunelización dividida.

Dos interfaces virtuales Easy VPN

IOS, ASA y VPN 3000

Los dos túneles no pueden terminar en el mismo par.

Al menos uno de los túneles debe utilizar tunelización dividida.

No se puede aplicar la activación basada en la Web a ambos túneles Easy VPN.


Cartel

El servidor Easy VPN activa un cartel en el dispositivo remoto Easy VPN. El dispositivo remoto Easy VPN puede utilizar el cartel durante la activación Xauth o basada en la Web. El dispositivo remoto Easy VPN muestra el cartel la primera vez que el túnel Easy VPN se activa.

El cartel recibe una configuración de grupo en el servidor Easy VPN.

Mejoras en la administración de configuración (Activación de un URL de configuración mediante un intercambio de configuración de modos)

Una vez que esta función ha sido configurada en el servidor mediante los comandos configuration url y configuration version (subcomandos dentro del comando crypto isakmp client configuration group), el servidor puede "activar" el URL de configuración y el número de versión de configuración en el dispositivo remoto Easy VPN. Con esta información, el dispositivo remoto Easy VPN puede descargar la información relacionada con la configuración y aplicarla a la configuración en ejecución. Para obtener más información acerca de esta función, consulte la sección "Mejoras en la administración de configuración" en el módulo de la función Servidor Easy VPN.

Reactivar par principal

La función Reactivar par principal permite definir una par principal predeterminado. El par principal predeterminado (un servidor) es uno que se considera mejor que otros pares por razones tales como bajo costo, menor distancia o mayor ancho de banda. Con esta función configurada, si la Easy VPN conmuta durante las negociaciones SA de la fase 1 del par principal al próximo par en su lista de respaldo, y si el par principal está nuevamente disponible, las conexiones con el par de respaldo se interrumpen y se vuelve a establecer la conexión con el par principal.

La detección de pares inactivos es uno de los mecanismos que actúa como disparador para la reactivación del par principal. Los temporizadores de inactividad configurados en Easy VPN constituyen otro mecanismo disparador. Cuando está configurado, el temporizador de inactividad detecta la inactividad en el túnel y lo desactiva. A continuación, se intenta establecer una conexión (que es inmediata en el caso del modo automático) con el par principal preferido antes que con el par utilizado por última vez.


Nota Sólo se puede definir un par principal.


Cómo configurar la Easy VPN remota de Cisco

Esta sección incluye las siguientes tareas requeridas y opcionales:

Tareas remotas

Configuración y asignación de la configuración de la Easy VPN remota (requerido)

Verificación de la configuración de la Easy VPN de Cisco (opcional)

Configuración de guardar contraseña (opcional)

Configuración del control manual del túnel (opcional)

Configuración del control automático del túnel (opcional)

Configuración de múltiples interfaces internas (opcional)

Configuración de múltiples interfaces externas (opcional)

Configuración de la compatibilidad con múltiples subredes (opcional)

Configuración de la compatibilidad con servidores proxy DNS (opcional)

Configuración de respaldo de marcado (opcional)

Configuración de agrupación de servidores DHCP (requerido)

Restablecimiento de la conexión VPN (opcional)

Supervisión y mantenimiento de eventos VPN e IKE (opcional)

Configuración de interfaz virtual (opcional)

Resolución de problemas de compatibilidad con el túnel doble

Configuración de Reactivar par principal (predeterminado) (opcional)

Tareas del servidor Easy VPN

Configuración del servidor Easy VPN de Cisco IOS (requerido)

Configuración de un servidor Easy VPN en un concentrador VPN de la serie 3000 (opcional)

Configuración de un servidor Easy VPN en el firewall PIX de Cisco (opcional)

Tareas de la interfaz web

Configuración de la activación basada en la Web (opcional)

Supervisión y mantenimiento de la activación basada en la Web (opcional)

Uso del SDM como administrador web (opcional)

Resolución de problemas de la conexión VPN

Resolución de problemas de una conexión VPN mediante la función Easy VPN remota de Cisco (opcional)

Resolución de problemas del modo de funcionamiento cliente (opcional)

Resolución de problemas de administración remota (opcional)

Resolución de problemas de detección de pares inactivos (opcional)

Tareas remotas

Configuración y asignación de la configuración de la Easy VPN remota

El router que actúa como una Easy VPN remota debe crear una configuración de la Easy VPN remota de Cisco y asignarla a la interfaz de salida. Para configurar y asignar la configuración remota, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn nombre

4. group nombre del grupo key clave grupal

5. peer [dirección ip | nombre del host]

6. mode {client | network-extension}

7. exit

8. interface interfaz

9. crypto ipsec client ezvpn nombre [outside]

10. exit

11. exit

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

crypto ipsec client ezvpn nombre

Ejemplo:

Router (config)# crypto ipsec client ezvpn easy client remote

Crea una configuración remota y accede al modo configuración de la Easy VPN remota de Cisco.

Paso 4 

group nombre del grupo key clave grupal

Ejemplo:

Router (config-crypto-ezvpn)# group easy-vpn-remote-groupname key easy-vpn-remote-password

Especifica los valores de grupo y llave IPsec que se deben asociar con esta configuración.

Nota El valor del argumento nombre del grupo debe coincidir con el grupo definido en el servidor Easy VPN. En los routers de Cisco IOS, utilice los comandos crypto isakmp client configuration group y crypto map dynmap isakmp authorization list.

Nota El valor del argumento clave grupal debe coincidir con la clave definida en el servidor Easy VPN. En los routers de Cisco IOS, utilice el comando crypto isakmp client configuration group.

Paso 5 

peer [dirección ip | nombre del host]

Ejemplo:

Router (config-crypto-ezvpn)# peer 192.185.0.5

Especifica la dirección IP o el nombre del host para el par de destino (por lo general, la dirección IP en la interfaz externa de la ruta de destino).

Se pueden configurar múltiples pares.

Nota Debe tener un servidor DNS configurado y disponible para usar la opción nombre del host.

Paso 6 

mode {client | network-extension}

Ejemplo:

Router (config-crypto-ezvpn)# mode client

Especifica el tipo de conexión VPN que se debe establecer.

client: especifica que el router está configurado para el modo de funcionamiento cliente de la VPN, mediante la traducción de direcciones NAT o PAT. El modo de funcionamiento cliente es el predeterminado si no se especifica el tipo de conexión VPN.

network-extension: especifica que el router se convertirá en una extensión remota de la red corporativa en el destino de la conexión VPN.

Paso 7 

exit

Ejemplo:

Router (config-crypto-ezvpn)# exit

Sale del modo configuración de la Easy VPN remota de Cisco.

Paso 8 

interface interfaz

Ejemplo:

Router (config)# interface Ethernet1

Accede al modo configuración de interfaz para la interfaz.

Esta interfaz se convertirá en la interfaz externa para la traducción NAT o PAT.

Paso 9 

crypto ipsec client ezvpn nombre [outside]

Ejemplo:

Router (config-if)# crypto ipsec client ezvpn easy_vpn_remote1 outside

Asigna la configuración de la Easy VPN remota de Cisco a la interfaz.

Esta configuración crea automáticamente los parámetros de traducción NAT o PAT necesarios e inicia la conexión VPN (si está en modo cliente).

Nota Se debe especificar la interfaz interna en las plataformas de Cisco 1700 y superiores.

Paso 10: 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración de interfaz.

Paso 11: 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración global.

Verificación de la configuración de la Easy VPN de Cisco

Para verificar que la configuración de la Easy VPN remota de Cisco haya sido configurada correctamente, que haya sido asignada a una interfaz y que se haya establecido el túnel VPN con IPsec, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. show crypto ipsec client ezvpn

2. show ip nat statistics

PASOS DETALLADOS


Paso 1 Muestra el estado actual de la conexión de la Easy VPN remota de Cisco mediante el comando show crypto ipsec client ezvpn. El siguiente es un caso de salida típica en el router de la serie  1700 de Cisco en modo cliente:

Router# show crypto ipsec client ezvpn

Tunnel name : hw1
Inside interface list: FastEthernet0/0, Serial0/0,
Outside interface: Serial1/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.0.0.5
Mask: 255.255.255.255
Default Domain: cisco.com
Tunnel name : hw2
Inside interface list: Serial0/1,
Outside interface: Serial1/1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Default Domain: cisco.com

Paso 2 Muestra la configuración NAT o PAT que se crea automáticamente para la conexión VPN mediante el comando show ip nat statistics. El campo "Asignaciones dinámicas" de esta pantalla de visualización muestra los detalles para la traducción NAT o PAT que ocurre en el túnel VPN.

Router# show ip nat statistics

Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
  cable-modem0
Inside interfaces:
  Ethernet0
Hits: 1489  Misses: 1
Expired translations: 1
Dynamic mappings:
-- Inside Source
access-list 198 pool enterprise refcount 0
 pool enterprise: netmask 255.255.255.0
        start 192.168.1.90 end 192.168.1.90
        type generic, total addresses 1, allocated 0 (0%), misses 0\

Si en este momento ve IPSEC_ACTIVE en la salida, todo funciona según lo previsto.


Configuración de guardar contraseña

Para configurar la función Guardar contraseña, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. password encryption aes

4. crypto ipsec client ezvpn nombre

5. username nombre password {0 | 6} {contraseña}

6. exit

7. show running-config

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

password encryption aes

Ejemplo:

Router (config)# password encryption aes

Activa una llave previamente compartida cifrada de 6 caracteres.

Paso 4 

crypto ipsec client ezvpn nombre

Ejemplo:

Router (config)# crypto ipsec client ezvpn ezvpn1

Crea una configuración de la Easy VPN remota de Cisco y accede al modo configuración de la Easy VPN remota de Cisco.

Paso 5 

username nombre password {0 | 6} {contraseña}

Ejemplo:

Router (config-crypto-ezvpn)# username server_1 password 0 blue

Permite guardar su contraseña Xauth localmente en su PC.

La palabra clave 0 especifica que le sigue una contraseña no cifrada.

La palabra clave 6 especifica que le sigue una contraseña cifrada.

El argumento contraseña es la contraseña de usuario no cifrada (cleartext).

Paso 6 

exit

Ejemplo:

Router (config-crypto-ezvpn)# exit

Sale del modo configuración de la Easy VPN remota de Cisco.

Paso 7 

show running-config

Ejemplo:

Router (config)# show running-config

Muestra el contenido del archivo de configuración que se está ejecutando actualmente.

Configuración del control manual del túnel

Para configurar el control manual de los túneles VPN con IPsec con el fin de poder establecer y terminar los túneles VPN con IPsec a pedido, debe seguir los siguientes pasos:


Nota CLI es una de las opciones para conectar el túnel. El método preferido es mediante la interfaz web (usando SDM).


RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn nombre

4. connect [auto | manual]

5. exit

6. exit

7. crypto ipsec client ezvpn connect nombre

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

crypto ipsec client ezvpn nombre

Ejemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Asigna una configuración de la Easy VPN remota a una interfaz y accede al modo configuración de la Easy VPN remota de Cisco.

El argumento nombre especifica el nombre de la configuración que se asignará a la interfaz.

Paso 4 

connect [auto | manual]

Ejemplo:

Router (config-crypto-ezvpn)# connect manual

Conecta el túnel VPN. Especifique manual para configurar el control manual del túnel.

Automático es la opción predeterminada; no es necesario usar la palabra clave manual si su configuración es automática.

Paso 5 

exit

Ejemplo:

Router (config-crypto-ezvpn)# exit

Sale del modo configuración de la Easy VPN remota de Cisco.

Paso 6 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración global y accede al modo EXEC privilegiado.

Paso 7 

crypto ipsec client ezvpn connect nombre

Ejemplo:

Router# crypto ipsec client ezvpn connect easy vpn remote1

Conecta una configuración de la Easy VPN remota dada.

El argumento nombre especifica el nombre del túnel VPN con IPsec.

Nota Si no se especifica el nombre del túnel, se conecta el túnel activo. Si hay más de un túnel activo, el comando falla y emite un mensaje que solicita la especificación de un nombre de túnel.

Configuración del control automático del túnel

Para configurar el control automático del túnel, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn nombre

4. connect [auto | manual]

5. exit

6. exit

7. crypto ipsec client ezvpn connect nombre

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

crypto ipsec client ezvpn nombre

Ejemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Asigna una configuración de la Easy VPN remota a una interfaz y accede al modo configuración de la Easy VPN remota de Cisco.

Especifique el nombre de la configuración que se asignará a la interfaz.

Paso 4 

connect [auto | manual ]

Ejemplo:

Router (config-crypto-ezvpn)# connect auto

Conecta el túnel VPN.

Especifique auto para configurar el control automático del túnel. Automático es la opción predeterminada; no es necesario usar este subcomando si su configuración es automática.

Paso 5 

exit

Ejemplo:

Router (config-crypto-ezvpn)# exit

Sale del modo configuración de la Easy VPN remota de Cisco.

Paso 6 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración global y accede al modo EXEC privilegiado.

Paso 7 

crypto ipsec client ezvpn connect nombre

Ejemplo:

Router# crypto ipsec client ezvpn connect easy vpn remote1

Conecta una configuración de la Easy VPN remota dada.

El argumento nombre especifica el nombre del túnel VPN con IPsec.

Nota Si no se especifica el nombre del túnel, se conecta el túnel activo. Si hay más de un túnel activo, el comando falla y emite un mensaje que solicita la especificación de un nombre de túnel.

Configuración de múltiples interfaces internas

Puede configurar hasta tres interfaces internas para todas las plataformas. Debe configurar manualmente cada interfaz interna mediante el siguiente procedimiento:

RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. interface nombre de interfaz

4. exit

5. crypto ipsec client ezvpn nombre [outside | inside]

6. interface nombre de interfaz

7. exit

8. crypto ipsec client ezvpn nombre [outside | inside]

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

interface nombre de interfaz

Ejemplo:

Router (config)# interface Ethernet0

Selecciona la interfaz que desea configurar especificando el nombre de la interfaz y accede al modo configuración de interfaz.

Paso 4 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración de interfaz.

Paso 5 

crypto ipsec client ezvpn nombre [outside | inside]

Ejemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote 1 inside

Especifica el nombre de la configuración de la Easy VPN remota de Cisco que se asignará a la primera interfaz interna.

Debe especificar inside para cada interfaz interna.

Paso 6 

interface nombre de interfaz

Ejemplo:

Router (config)# interface Ethernet1

Selecciona la siguiente interfaz que desea configurar especificando el nombre de la siguiente interfaz y accede al modo configuración de interfaz.

Paso 7 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración de interfaz.

Paso 8 

crypto ipsec client ezvpn nombre [outside | inside]

Ejemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote2 inside

Especifica el nombre de la configuración de la Easy VPN remota de Cisco que se asignará a la siguiente interfaz interna.

Debe especificar inside para cada interfaz interna.

Repita los Pasos 3 y 4 para configurar un túnel adicional, si lo desea.

Configuración de múltiples interfaces externas

Puede configurar múltiples túneles para interfaces externas, configurando un túnel por cada interfaz externa. Puede configurar hasta cuatro túneles mediante el siguiente procedimiento para cada interfaz externa:

RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. interface nombre de interfaz

4. exit

5. crypto ipsec client ezvpn nombre [outside | inside]

6. interface nombre de interfaz

7. exit

8. crypto ipsec client ezvpn nombre [outside | inside]

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

interface nombre de interfaz

Ejemplo:

Router (config)# interface Ethernet0

Selecciona la primera interfaz externa que desea configurar especificando el nombre de la interfaz y accede al modo configuración de interfaz.

Paso 4 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración de interfaz.

Paso 5 

crypto ipsec client ezvpn nombre [outside | inside]

Ejemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote1 outside

Especifica el nombre de la configuración de la Easy VPN remota de Cisco que se asignará a la primera interfaz externa.

Especifique outside (opcional) para cada interfaz externa. Si no se especifica ni outside ni inside para la interfaz, la opción predeterminada es outside.

Paso 6 

interface nombre de interfaz

Ejemplo:

Router (config)# interface Ethernet1

Selecciona la siguiente interfaz externa que desea configurar especificando el nombre de la siguiente interfaz.

Paso 7 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración de interfaz.

Paso 8 

crypto ipsec client ezvpn nombre [outside | inside]

Ejemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote2 outside

Especifica el nombre de la configuración de la Easy VPN remota de Cisco que se asignará a la siguiente interfaz externa.

Especifique outside (opcional) para cada interfaz externa. Si no se especifica ni outside ni inside para la interfaz, la opción predeterminada es outside.

Repita los Pasos 3 y 4 para configurar túneles adicionales, si lo desea.

Configuración de la compatibilidad con múltiples subredes

Cuando se configura la compatibilidad con múltiples subredes, primero debe configurar una lista de acceso para definir las subredes reales que deben ser protegidas. Cada subred de origen o par máscara indica que todo el tráfico que se origina desde esta red a cualquier destino está protegido por IPsec. Para obtener más información acerca de la configuración de ACL, consulte "Configuración de listas de control de acceso" en la sección "Referencias adicionales".

Después de haber definido las subredes, debe configurar el perfil crypto IPsec client EZVPN para utilizar las ACL.


Nota No se admiten múltiples subredes en modo cliente.


RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. interface nombre de interfaz

4. exit

5. crypto ipsec client ezvpn nombre

6. acl {nombre de acl | número de acl}

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

interface nombre de interfaz

Ejemplo:

Router (config)# interface Ethernet1

Selecciona la interfaz que desea configurar especificando el nombre de la interfaz y accede al modo configuración de interfaz.

Paso 4 

exit

Ejemplo:

Router (config-if)# exit

Sale del modo configuración de interfaz.

Paso 5 

crypto ipsec client ezvpn nombre

Ejemplo:

Router (config)# crypto ipsec client ezvpn ez1

Crea una configuración de la Easy VPN remota de Cisco y accede al modo configuración criptográfica de la Easy VPN.

Paso 6 

acl {nombre de acl | número de acl}

Ejemplo:

Router (config-crypto-ezvpn)# acl acl-list1

Especifica múltiples subredes en un túnel VPN.

Configuración de la compatibilidad con servidores proxy DNS

Para implementar el uso de direcciones DNS del ISP cuando la conexión WAN no funciona, se puede configurar el router en una configuración Easy VPN remota de Cisco para que actúe como un servidor proxy DNS. Para activar la funcionalidad del servidor proxy DNS con el comando ip dns server, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. ip dns server

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

ip dns server

Ejemplo:

Router (config)# ip dns server

Permite que el router actúe como servidor proxy DNS.

Nota Esta definición es específica de IOS.

Siguiente paso

Después de configurar el router, debe configurar el servidor Easy VPN de Cisco IOS de la siguiente manera:

Bajo el comando crypto isakmp client configuration group, configure el subcomando dns como en el siguiente ejemplo:

dns A.B.C.D A1.B1.C1.D1

Estas direcciones de servidores DNS deberían activarse desde el servidor a la Easy VPN remota de Cisco y agregarse o eliminarse dinámicamente de la configuración en ejecución del router.

Para obtener más información acerca de la funcionalidad general del servidor DNS en las aplicaciones del software Cisco IOS, consulte Configuración del DNS y Configuración del DNS en los routers de Cisco.

Configuración de respaldo de marcado


Nota La función de respaldo de marcado no está disponible en la versión 12.3(11)T de Cisco IOS.


Para configurar el respaldo de marcado, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. Crea la configuración de respaldo de Easy VPN.

2. Agrega los detalles del subcomando de respaldo a la configuración principal.

3. Aplica la configuración de respaldo de Easy VPN a la interfaz externa de respaldo de marcado.

4. Aplica el perfil de Easy VPN a las interfaces internas.

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

Crea la configuración de respaldo de marcado de Easy VPN.


Para obtener más detalles acerca de la configuración de respaldo, consulte la sección "Respaldo de marcado".

Paso 2 

Agrega los detalles del subcomando de respaldo a la configuración principal.

Utilice el subcomando backup y la palabra clave track del comando crypto ipsec client ezvpn.

Paso 3 

Aplica la configuración de respaldo de Easy VPN a la interfaz externa de respaldo de marcado (por ejemplo, serial, asincrónica o marcador).

Para obtener detalles acerca de la aplicación de la configuración de respaldo a la interfaz externa de respaldo de marcado, consulte la sección "Configuración de múltiples interfaces externas".

Paso 4 

Aplica el perfil Easy VPN a las interfaces internas (puede haber más de uno).

Para obtener detalles acerca de la aplicación del perfil Easy VPN a las interfaces internas, consulte la sección "Configuración de múltiples interfaces internas ".

Configuración de agrupación de servidores DHCP

Para configurar la agrupación de servidores con Protocolo de configuración de host dinámico (DHCP), consulte el capítulo " Configuración de DHCP" en la Guía de configuración IP de Cisco IOS, versión 12.3.

Restablecimiento de la conexión VPN

Para restablecer la conexión VPN, debe seguir los siguientes pasos: Los comandos clear se pueden configurar en cualquier orden o independientemente uno de otro.

RESUMEN DE LOS PASOS

1. enable

2. clear crypto ipsec client ezvpn

3. clear crypto sa

4. clear crypto isakmp

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

clear crypto ipsec client ezvpn

Ejemplo:

Router# clear crypto ipsec client ezvpn

Restablece la máquina de estado remoto Easy VPN de Cisco y desactiva la conexión de la Easy VPN remota en todas las interfaces o en una interfaz dada (túnel).

Paso 3 

clear crypto sa

Ejemplo:

Router# clear crypto sa

Elimina las asociaciones de seguridad IPsec.

Paso 4 

clear crypto isakmp

Ejemplo:

Router# clear crypto isakmp

Borra las conexiones IKE activas.

Supervisión y mantenimiento de eventos VPN e IKE

Para supervisar y mantener los eventos VPN e IKE, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. enable

2. debug crypto ipsec client ezvpn

3. debug crypto ipsec

4. debug crypto isakmp

RESUMEN DE LOS PASOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

debug crypto ipsec client ezvpn

Ejemplo:

Router# debug crypto ipsec client ezvpn

Muestra información sobre la configuración y la implementación de la función Easy VPN remota de Cisco.

Paso 3 

debug crypto ipsec

Ejemplo:

Router# debug crypto ipsec

Muestra eventos IPsec.

Paso 4 

debug crypto isakmp

Ejemplo:

Router# debug crypto isakmp

Muestra mensajes sobre eventos IKE.

Configuración de interfaz virtual

Para configurar una interfaz virtual, debe seguir los siguientes pasos:


Nota Antes de configurar la interfaz virtual, asegúrese de que el perfil Easy VPN no esté aplicado a cualquier interfaz externa. Elimine el perfil Easy VPN de la interfaz externa y luego configure la interfaz virtual.


RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. interface virtual-template número type tipo de plantilla virtual

4. tunnel mode ipsec ipv4

5. exit

6. crypto ipsec client ezvpn nombre

7. virtual-interface [número de plantilla virtual]

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

interface virtual-template número type tipo de plantilla virtual

Ejemplo:

Router (config)# interface virtual-template1 type tunnel

(Opcional) Crea una plantilla virtual del túnel tipo y accede al modo configuración de interfaz.

Los Pasos 3, 4 y 5 son opcionales, pero si uno se configura los demás también deben configurarse.

Paso 4 

tunnel mode ipsec ipv4

Ejemplo:

Router (if-config)# tunnel mode ipsec ipv4

(Opcional) Configura el túnel que realiza la IP Tunnelingsec.

Paso 5 

exit

Ejemplo:

Router (config-if)# exit

(Opcional) Sale del modo configuración de interfaz (túnel virtual).

Paso 6 

crypto ipsec client ezvpn nombre

Ejemplo:

Router (config)# crypto ipsec client ezvpn EasyVPN1

Crea una configuración de la Easy VPN remota de Cisco y accede al modo configuración de la Easy VPN remota de Cisco.

Paso 7 

virtual-interface [número de plantilla virtual]

Ejemplo:

Router (config-crypto-ezvpn)# virtual-interface 3

Ordena a la Easy VPN remota la creación de una interfaz virtual que se utilizará como una interfaz externa. Si se especifica el número de la plantilla virtual, la interfaz de acceso virtual se deriva de la interfaz virtual que se especificó. Si no se especifica el número de la plantilla virtual, se crea una interfaz de acceso virtual genérica.

Resolución de problemas de compatibilidad con el túnel doble

Los siguientes comandos debug y show pueden utilizarse para resolver problemas de la configuración del túnel doble.

RESUMEN DE LOS PASOS

1. enable

2. debug crypto ipsec client ezvpn

3. debug ip policy

4. show crypto ipsec client ezvpn

5. show ip interface

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

debug crypto ipsec client ezvpn

Ejemplo:

Router# debug crypto ipsec client ezvpn

Muestra información acerca de las conexiones de la Easy VPN remota de Cisco.

Paso 3 

debug ip policy

Ejemplo:

Router# debug ip policy

Muestra la política IP sobre la actividad de enrutamiento de paquetes.

Paso 4 

show crypto ipsec client ezvpn

Ejemplo:

Router# show crypto ipsec client ezvpn

Muestra la configuración de la Easy VPN remota de Cisco.

Paso 5 

show ip interface

Ejemplo:

Router# show ip interface

Muestra el estado de uso de las interfaces configuradas para IP.

Configuración de Reactivar par principal (predeterminado)

Para configurar un par principal predeterminado, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn nombre

4. peer {dirección ip | nombre del host} [default]

5. idle-time tiempo de inactividad

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

crypto ipsec client ezvpn nombre

Ejemplo:

Router (config)# crypto ipsec client ezvpn ez1

Crea una configuración de la Easy VPN remota de Cisco y accede al modo configuración criptográfica de la Easy VPN.

Paso 4 

peer {dirección ip | nombre del host} [default]

Ejemplo:

Router (config-crypto-ezvpn)# peer 10.2.2.2 default

Establece la dirección IP del par o el nombre del host para la conexión VPN.

Sólo se puede especificar un nombre de host cuando el router cuenta con un servidor DNS disponible para la resolución de un nombre de host.

Se puede utilizar el subcomando peer múltiples veces. No obstante, sólo puede existir un par principal o predeterminado por vez (por ejemplo, 10.2.2.2 predeterminado).

La palabra clave default define al par como par principal.

Paso 5 

idle-time tiempo de inactividad

Ejemplo:

Router (config-crypto-ezvpn)# idle-time 60

(Opcional) Tiempo de inactividad en segundos posterior a la desconexión del túnel Easy VPN.

Tiempo de inactividad= 60 hasta 86400 segundos.

Nota Si el tiempo de inactividad está configurado, el túnel para el servidor principal no se desconecta.

Tareas del servidor Easy VPN

Configuración del servidor Easy VPN de Cisco IOS

Para obtener más información acerca del servidor Easy VPN, consulte el siguiente documento:

Servidor Easy VPN

Configuración de un servidor Easy VPN en un concentrador VPN de la serie 3000

Esta sección describe las pautas requeridas para configurar el concentrador VPN de la serie 3000 de Cisco para su uso con la función Easy VPN remota de Cisco. Como regla general, puede utilizar la configuración predeterminada excepto por las direcciones IP, las direcciones de servidores, las configuraciones de enrutamiento y los siguientes parámetros y opciones:

Configuración de par en una Easy VPN remota de Cisco con nombre de host

Autenticación del cliente de hardware interactivo versión 3.5

Protocolo de túnel IPsec

Grupo IPSec

Cerrojo de grupo

Xauth

Tunelización dividida

Propuestas IKE

Nueva SA IPsec


Nota Debe utilizar un software de concentrador VPN de la serie 3000 de Cisco versión 3.11 o superior para Soportar los clientes de software y dispositivos remotos Easy VPN de Cisco.


Configuración de par en una Easy VPN remota de Cisco con nombre de host

Después de haber configurado el servidor Easy VPN de Cisco en el concentrador VPN 3000 para usar el nombre del host como identidad, debe configurar al par en la Easy VPN remota de Cisco mediante el nombre del host. Puede configurar DNS en el cliente para resolver el nombre del par host o configurar el nombre del par host localmente en el cliente, mediante el comando ip host . Por ejemplo, puede configurar el nombre del par host localmente en una Easy VPN remota de la siguiente manera:

ip host crypto-gw.cisco.com 10.0.0.1

O puede configurar la Easy VPN remota para usar el nombre del host con el comando peer y el argumento nombre del host de la siguiente manera:

peer crypto-gw.cisco.com.

Autenticación del cliente de hardware interactivo versión 3.5

La función Easy VPN remota de Cisco no es compatible con la función autenticación del cliente de hardware interactivo versión 3.5. Se debe desactivar esta función. Puede desactivar la función en el concentrador VPN de la serie 3000 haciendo clic en la ficha HW Client en la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico).

Protocolo de túnel IPsec

El Protocolo de túnel IPsec activa el protocolo de túnel IPsec para que esté disponible para los usuarios. El Protocolo de túnel IPsec se puede configurar en el concentrador VPN de la serie 3000 de Cisco haciendo clic en la ficha General en la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico).

Grupo IPSec

El grupo IPsec configura el concentrador VPN de la serie 3000 de Cisco con un nombre de grupo y una contraseña que coinciden con los valores configurados para la Easy VPN remota de Cisco en el router. Estos valores se configuran en el router mediante los subcomandos y argumentos group nombre del grupo key clave grupal . Los valores se configuran en el concentrador VPN de la serie 3000 de Cisco mediante la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Groups (Grupos).

Cerrojo de grupo

Si está definiendo múltiples usuarios en múltiples grupos en el concentrador VPN de la serie 3000, debe seleccionar la casilla Group Lock (Cerrojo de grupo) en la ficha IPsec para evitar que los usuarios de un grupo se registren con los parámetros de otro grupo. Por ejemplo, si ha configurado a un grupo con acceso de tunelización dividida y a otro grupo con acceso sin tunelización dividida, la selección de la casilla Group Lock evita que los usuarios del segundo grupo puedan acceder a las funciones de tunelización dividida. La casilla de verificación Group Lock aparece en la ficha IPsec en la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico) y en la ficha IPsec en las pantallas Configuration (Configuración)| User Management (Administración de usuarios)| Groups (Grupos)| Add/Modify (Agregar/Modificar) .

Xauth

Para usar Xauth, establezca el parámetro Authentication en None. La casilla de verificación Group Lock aparece en la ficha IPsec en la pantalla Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico) y en la ficha IPsec en las pantallas Configuration (Configuración)| User Management (Administración de usuarios)| Groups (Grupos)| Add/Modify (Agregar/Modificar) .

Tunelización dividida

Las pantallas Configuration (Configuración)| User Management (Administración de usuarios)| Base Group (Grupo básico), Mode Configuration Parameters Tab (Ficha de parámetros de configuración de modo) incluyen una opción Split Tunnel (Túnel dividido) con una casilla de verificación que dice "Allow the networks in the list to bypass the tunnel" (Permitir a las redes de las listas omitir el túnel).

Propuestas IKE

El concentrador VPN de la serie 3000 de Cisco está preconfigurado con una propuesta IKE predeterminada, CiscoVPNClient-3DES-MD5, que puede utilizarse con los dispositivos remotos Easy VPN de Cisco. La propuesta IKE es compatible con llaves previamente compartidas con Xauth que utilizan el algoritmo MD5/HMAC-128 y Diffie-Hellman Grupo 2.

Esta propuesta IKE está activa en forma predeterminada, pero debería verificar si aún es una propuesta activa mediante la pantalla Configuration (Configuración)| System (Sistema)| Tunneling Protocols (Protocolos de tunelización)| IPsec | IKE Proposals (Propuestas IKE).

Además, como parte de la configuración del concentrador VPN de la serie 3000 de Cisco (para la imagen de la Easy VPN remota de Cisco), no es necesario que cree una nueva SA IPsec. Utilice el IKE predeterminado y la vida útil de la Easy VPN remota configurada en el concentrador VPN de la serie 3000 de Cisco.


Nota También puede utilizar las propuestas IKE predeterminadas IKE-DES-MD5 e IKE-3DES-MD5, pero no activan la compatibilidad con Xauth en forma predeterminada.


Nueva SA IPsec

Puede crear una nueva SA IPsec. Los clientes Easy VPN de Cisco utilizan una SA con los siguientes parámetros:

Algoritmo de autenticación= ESP/MD5/HMAC-128

Algoritmo de cifrado= DES-56 o 3DES-168 (recomendado)

Modo encapsulación= túnel

Propuesta IKE= CiscoVPNClient-3DES-MD5 (preferido)

El concentrador VPN de la serie 3000 de Cisco está preconfigurado con varias asociaciones de seguridad (SA) predeterminadas, pero no cumplen con los requisitos de la propuesta IKE. Para utilizar una propuesta IKE del CiscoVPNClient-3DES-MD5, copie el ESP/IKE-3DES-MD5 SA y modifíquelo para usar el CiscoVPNClient-3DES-MD5 como su propuesta IKE. Una propuesta IKE se configura en el concentrador VPN de la serie 3000 mediante la pantalla Configuration (Configuración)| Policy Management (Administración de políticas)| Traffic Management (Administración de tráfico)| Security Associations (Asociaciones de seguridad).

Configuración de un servidor Easy VPN en el firewall PIX de Cisco

Para obtener más información acerca de la configuración de un servidor Easy VPN en el firewall PIX de Cisco, consulte el siguiente documento:

Servidor Easy VPN

Tareas de la interfaz web

Configuración de la activación basada en la Web

Para configurar una LAN de manera que las solicitudes HTTP provenientes de cualquier PC en la LAN privada sean interceptadas y para brindar a los usuarios corporativos acceso a las páginas web corporativas, debe seguir los siguientes pasos:

RESUMEN DE LOS PASOS

1. enable

2. configure terminal

3. crypto ipsec client ezvpn nombre

4. xauth userid mode {http-intercept | interactive | local}

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

configure terminal

Ejemplo:

Router# configure terminal

Accede al modo de configuración global.

Paso 3 

crypto ipsec client ezvpn nombre

Ejemplo:

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Asigna una configuración de la Easy VPN remota a una interfaz y accede al modo configuración de la Easy VPN remota de Cisco.

El argumento nombre especifica el nombre de la configuración que se asignará a la interfaz.

Paso 4 

xauth userid mode {http-intercept | interactive | local}

Ejemplo:

Router (config-crypto-ezvpn)# xauth userid mode http-intercept

Especifica la manera en que el dispositivo VPN administra las solicitudes Xauth o los mensajes del servidor.

Supervisión y mantenimiento de la activación basada en la Web

Para supervisar y mantener la activación basada en la Web, debe seguir los siguientes pasos: (Se pueden utilizar los comandos debug y show independientemente o se pueden configurar todos).

RESUMEN DE LOS PASOS

1. enable

2. debug crypto ipsec client ezvpn

3. debug ip auth-proxy ezvpn

4. show crypto ipsec client ezvpn

5. show ip auth-proxy config

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Ejemplo:

Router> enable

Activa el modo EXEC privilegiado.

Introduzca la contraseña si se solicita.

Paso 2 

debug crypto ipsec client ezvpn

Ejemplo:

Router# debug crypto ipsec client ezvpn

Muestra información acerca de la conexión Easy VPN de Cisco.

Paso 3 

debug ip auth-proxy ezvpn

Ejemplo:

Router# debug ip auth-proxy ezvpn

Muestra información relacionada con el comportamiento de autenticación del proxy para la activación basada en la Web.

Paso 4 

show crypto ipsec client ezvpn

Ejemplo:

Router# show crypto ipsec client ezvpn

Muestra que el nombre de usuario y la contraseña utilizadas para las credenciales de usuarios durante las negociaciones Xauth se obtendrán interceptando las conexiones HTTP del usuario.

Paso 5 

show ip auth-proxy config

Ejemplo:

Router# show ip auth-proxy config

Muestra la regla auth-proxy que ha sido creada y aplicada por Easy VPN.

Ejemplos

Resultado de depuración

El siguiente es un ejemplo de resultado de depuración debug en una situación típica en la cual el usuario ha abierto un explorador y se ha conectado con el sitio web corporativo:

Router# debug ip auth-proxy ezvpn

Dec 10 12:41:13.335: AUTH-PROXY: New request received by EzVPN WebIntercept
! The following line shows the ip address of the user.
from 10.4.205.205
Dec 10 12:41:13.335: AUTH-PROXY:GET request received
Dec 10 12:41:13.335: AUTH-PROXY:Normal auth scheme in operation
Dec 10 12:41:13.335: AUTH-PROXY:Ezvpn is NOT active. Sending connect-bypass page to user

En este punto, el usuario opta por "conectarse" en su explorador:

Dec 10 12:42:43.427: AUTH-PROXY: New request received by EzVPN WebIntercept
from 10.4.205.205
Dec 10 12:42:43.427: AUTH-PROXY:POST request received
Dec 10 12:42:43.639: AUTH-PROXY:Found attribute <connect> in form
Dec 10 12:42:43.639: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:43.639: EZVPN(tunnel22): Communication from Interceptor
  application.
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:43.639:         connect: Connect Now
Dec 10 12:42:43.639: EZVPN(tunnel22): Received CONNECT from 10.4.205.205!
Dec 10 12:42:43.643: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
Dec 10 12:42:43.643: EZVPN(tunnel22): Event: CONNECT
Dec 10 12:42:43.643: EZVPN(tunnel22): ezvpn_connect_request

Easy VPN se contacta con el servidor:

Dec 10 12:42:43.643: EZVPN(tunnel22): Found valid peer 192.168.0.1
Dec 10 12:42:43.643: EZVPN(tunnel22): Added PSK for address 192.168.0.1

Dec 10 12:42:43.643: EZVPN(tunnel22): New State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Event: IKE_PFS
Dec 10 12:42:44.815: EZVPN(tunnel22): No state change
Dec 10 12:42:44.819: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.819: EZVPN(tunnel22): Event: CONN_UP
Dec 10 12:42:44.819: EZVPN(tunnel22): ezvpn_conn_up B8E86EC7 E88A8A18 D0D51422
  8AFF32B7

El servidor solicita información Xauth:

Dec 10 12:42:44.823: EZVPN(tunnel22): No state change
Dec 10 12:42:44.827: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.831: EZVPN(tunnel22): Event: XAUTH_REQUEST
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_xauth_request
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_parse_xauth_msg
Dec 10 12:42:44.831: EZVPN: Attributes sent in xauth request message:
Dec 10 12:42:44.831:         XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:44.831:         XAUTH_USER_NAME_V2(tunnel22):
Dec 10 12:42:44.831:         XAUTH_USER_PASSWORD_V2(tunnel22):
Dec 10 12:42:44.831:         XAUTH_MESSAGE_V2(tunnel22) <Enter Username and
Password.>
Dec 10 12:42:44.831: EZVPN(tunnel22): Requesting following info for xauth
Dec 10 12:42:44.831:         username:(Null)
Dec 10 12:42:44.835:         password:(Null)
Dec 10 12:42:44.835:         message:Enter Username and Password.
Dec 10 12:42:44.835: EZVPN(tunnel22): New State: XAUTH_REQ

Se muestran los mensajes con el nombre de usuario y la contraseña en el explorador del usuario:

Dec 10 12:42:44.835: AUTH-PROXY: Response to POST  is CONTINUE
Dec 10 12:42:44.839: AUTH-PROXY: Displayed POST response successfully
Dec 10 12:42:44.843: AUTH-PROXY:Served POST response to the user

Cuando el usuario ingresa su nombre de usuario y contraseña, se envía al servidor lo siguiente:

Dec 10 12:42:55.343: AUTH-PROXY: New request received by EzVPN WebIntercept
  from 10.4.205.205
Dec 10 12:42:55.347: AUTH-PROXY:POST request received
Dec 10 12:42:55.559: AUTH-PROXY:No of POST parameters is 3
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <username> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <password> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <ok> in form
Dec 10 12:42:55.563: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:55.563: EZVPN(tunnel22): Communication from Interceptor application.
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:55.563:         username:http
Dec 10 12:42:55.563:         password:<omitted>
Dec 10 12:42:55.563:         ok:Continue
Dec 10 12:42:55.563: EZVPN(tunnel22): Received usename|password from 10.4.205.205!
Dec 10 12:42:55.567: EZVPN(tunnel22): Current State: XAUTH_PROMPT
Dec 10 12:42:55.567: EZVPN(tunnel22): Event: XAUTH_REQ_INFO_READY
Dec 10 12:42:55.567: EZVPN(tunnel22): ezvpn_xauth_reply
Dec 10 12:42:55.567:         XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:55.567:         XAUTH_USER_NAME_V2(tunnel22): http
Dec 10 12:42:55.567:         XAUTH_USER_PASSWORD_V2(tunnel22): <omitted>
Dec 10 12:42:55.567: EZVPN(tunnel22): New State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Current State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Event: XAUTH_STATUS
Dec 10 12:42:55.891: EZVPN(tunnel22): xauth status received: Success

Después de usar el túnel, el usuario opta por "desconectarse":

Dec 10 12:48:17.267: EZVPN(tunnel22): Received authentic disconnect credential
Dec 10 12:48:17.275: EZVPN(): Received an HTTP request: disconnect
Dec 10 12:48:17.275: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client)  User=
  Group=tunnel22  Client_public_addr=192.168.0.13  Server_public_addr=192.168.0.1
  Assigned_client_addr=10.3.4.5

Mostrar resultado antes de que el usuario se conecte al túnel

El siguiente resultado de los dos comandos show (show crypto ipsec client ezvpn y show ip auth-proxy config) muestra lo que puede ver antes de que un usuario se conecte con el túnel VPN:

Router# show crypto ipsec client ezvpn tunnel22

Tunnel name : tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: CONNECT_REQUIRED
Last Event: RESET
Save Password: Disallowed
! Note the next line.
        XAuth credentials: HTTP intercepted
        HTTP return code : 200
        IP addr being prompted: 0.0.0.0
Current EzVPN Peer: 192.168.0.1

Router# show ip auth-proxy config

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled

Authentication Proxy Rule Configuration
! Note that the next line is the Easy VPN-defined internal rule.
    Auth-proxy name ezvpn401***
      Applied on Ethernet0
      http list not specified inactivity-timer 60 minutes

Mostrar resultado después de que el usuario se conecte al túnel

El siguiente resultado de los dos comandos show (show crypto ipsec client evpn y show ip auth-proxy config) muestra lo que puede ver después de que el usuario se haya conectado al túnel:

Router# show crypto ipsec client ezvpn tunnel22

Tunnel name : tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.3.4.5
Mask: 255.255.255.255
Save Password: Disallowed
        XAuth credentials: HTTP intercepted
        HTTP return code : 200
        IP addr being prompted: 192.168.0.0
Current EzVPN Peer: 192.168.0.1

Router# show ip auth-proxy config

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled

Auth-proxy name ezvpnWeb*** (EzVPN-defined internal rule)
http list not specified inactivity-timer 60 minutes

Uso del SDM como administrador web

Para obtener información acerca del administrador web SDM, consulte el siguiente documento:

Administrador de dispositivos de seguridad de Cisco

Resolución de problemas de la conexión VPN

Resolución de problemas de una conexión VPN mediante la función Easy VPN remota de Cisco

Para resolver problemas en una conexión VPN creada mediante la función Easy VPN remota de Cisco, utilice las siguientes técnicas sugeridas.

Tenga en cuenta que las modificaciones en la configuración de una Easy VPN remota activa o las modificaciones de las direcciones IP en las interfaces involucradas, tales como el agregado o la eliminación de una interfaz interna, hacen que la conexión Easy VPN remota de Cisco se reinicie.

Active la función de depuración de la Easy VPN remota de Cisco mediante el comando debug crypto ipsec client ezvpn.

Active la depuración de los eventos IKE mediante los comandos debug crypto ipsec y debug crypto isakmp.

Muestre las conexiones VPN con IPsec activas mediante el comando show crypto engine connections active .

Para restablecer la conexión VPN, utilice el comando clear crypto ipsec client ezvpn. Si la depuración está activada, puede preferir usar los comandos clear crypto sa y clear crypto isakmp.

Resolución de problemas del modo de funcionamiento cliente

La siguiente información puede ser usada para resolver problemas en la configuración de la Easy VPN remota para el modo de funcionamiento cliente.

En modo cliente, la función Easy VPN remota de Cisco configura automáticamente la traducción NAT o PAT y las listas de acceso necesarias para implementar el túnel VPN. Estas configuraciones se crean automáticamente cuando se inicia la conexión VPN con IPsec. Cuando el túnel se desactiva, las configuraciones de NAT o PAT y la lista de acceso se borran automáticamente.

La configuración de NAT o PAT se crea con las siguientes suposiciones:

El comando ip nat inside se aplica a todas las interfaces internas, incluidas las interfaces internas predeterminadas. La interfaz interna predeterminada es la interfaz Ethernet 0 (para los routers 806, 826, 827, 828, 831, 836 y 837 de Cisco).

El comando ip nat outside se aplica a la interfaz configurada con la configuración de la Easy VPN remota de Cisco. En los routers de las series 800 y 1700 de Cisco, la interfaz externa está configurada con la configuración de la Easy VPN remota de Cisco. En los routers de las series 1700, 2600, 3600 y 3700 de Cisco, se pueden configurar múltiples interfaces externas.


Recomendación Las configuraciones de NAT o PAT y la lista de acceso que la función Easy VPN remota de Cisco crea no están escritas ni en la configuración de inicio ni en los archivos de configuración en ejecución. No obstante, estas configuraciones pueden verse utilizando los comandos show ip nat statistics y show access-list.


Resolución de problemas de administración remota

Para resolver los problemas de administración remota de la VPN remota, utilice el comando show ip interface. Mediante la palabra clave brief, puede verificar si el bucle de retorno ha sido eliminado y si la interfaz se muestra correctamente.

Ejemplos

El siguiente es un ejemplo típico del resultado del comando show ip interface.

Router# show ip interface brief

Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0                  unassigned      YES NVRAM  administratively down down
Ethernet1                  10.0.0.11       YES NVRAM  up                    up
Loopback0                  192.168.6.1     YES manual up                    up
Loopback1                  10.12.12.12     YES NVRAM  up                    up

Router# show ip interface brief

Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0                  unassigned      YES NVRAM  administratively down down

Ethernet1                  10.0.0.11       YES NVRAM  up                    up

Loopback1                  10.12.12.12     YES NVRAM  up                    up

Resolución de problemas de detección de pares inactivos

Para resolver los problemas de detección de pares inactivos, utilice el comando show crypto ipsec client ezvpn.

Ejemplos

El siguiente resultado típico muestra el servidor actual y los pares que han sido activados mediante el servidor Easy VPN:

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 4
Tunnel name : ez1
Inside interface list: Loopback1,
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: CONNECT
Address: 192.168.6.5
Mask: 255.255.255.255
DNS Primary: 10.2.2.2
DNS Secondary: 10.2.2.3
NBMS/WINS Primary: 10.6.6.6
Default Domain: cisco.com
Save Password: Allowed
Current EzVPN Peer:10.0.0.110
Backup Gateways
 (0): green.cisco.com
 (1): blue

Ejemplos de configuración para la Easy VPN remota de Cisco

Esta sección brinda los siguientes ejemplos de configuración.

Ejemplos de configuración de la Easy VPN remota

Ejemplos de configuración del modo cliente

Ejemplo de compatibilidad con direcciones locales para la Easy VPN remota

Ejemplos de configuración del modo extensión de red

Ejemplo de configuración de guardar contraseña

Ejemplos de compatibilidad con PFS

Ejemplos de respaldo de marcado

Ejemplo de activación basada en la Web

Ejemplos de configuración de la Easy VPN remota con compatibilidad de interfaz virtual

Ejemplo de configuración de túnel doble

Ejemplos de resultado del comando show en el túnel doble

Ejemplo de reactivar par principal

Ejemplos de configuración del servidor Easy VPN

Ejemplo del servidor Easy VPN de Cisco sin tunelización dividida

Ejemplo de configuración del servidor Easy VPN de Cisco con tunelización dividida

Ejemplo de configuración del servidor Easy VPN de Cisco con Xauth

Ejemplo de compatibilidad con la interoperabilidad del servidor Easy VPN

Ejemplos de configuración de la Easy VPN remota

Ejemplos de configuración del modo cliente

Los ejemplos en esta sección muestran configuraciones para la función Easy VPN remota de Cisco en modo cliente. También se muestran las configuraciones del servidor Easy VPN de Cisco IOS correspondientes a estas configuraciones de clientes.

Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 831)

Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 837)

Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 1700)

Para obtener más ejemplos sobre la configuración del modo cliente, consulte VPN con IPSec (en las secciones "Documentos técnicos" y "Documentos de configuración IPsec de Cisco IOS") y Soluciones Easy VPN de Cisco.


Nota Por lo general, los usuarios configuran los routers de la serie 800 de Cisco con la interfaz web SDM o CRWS y no mediante los comandos CLI. No obstante, las configuraciones que aquí se muestran para los routers de la serie 800 de Cisco muestran configuraciones típicas que pueden usarse si desea una configuración manual.


Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 831)

En el siguiente ejemplo, el router 831 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo cliente. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco:

Agrupación de servidores DHCP: el comando ip dhcp pool crea una agrupación de direcciones IP que se asignarán a las PC conectadas con la interfaz Ethernet 0 del router. La agrupación asigna direcciones en el espacio de direcciones privadas clase C (192.168.100.0) y configura cada PC para que su ruta predeterminada sea 192.168.100.1, que es la dirección IP asignada a la interfaz Ethernet del router. El período de validez del DHCP es de un día.

Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn easy vpn remote (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote". Esta configuración especifica el nombre del grupo "easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password", y establece el destino del par en la dirección IP 192.185.0.5 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo predeterminado cliente.


Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.


El segundo comando crypto ipsec client ezvpn easy vpn remote (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz Ethernet 1, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN.

! Cisco Router Web Setup Template
!
no service pad
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname 806Router
!
!
ip subnet-zero
ip domain-lookup
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.255
   default-router 10.10.10.1
   lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
 peer 192.168.0.5
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode client
!
!
interface Ethernet0
 ip address 10.10.10.1 255.255.255.255
 no cdp enable
 hold-queue 32 in
!
interface Ethernet1
 ip address dhcp
 no cdp enable
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip http server
!
!
ip route 10.0.0.0 10.0.0.0 Ethernet1
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local

Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 837)

En el siguiente ejemplo, el router 837 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo de funcionamiento cliente. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco:

Configuración del PPPoE: la interfaz ATM 0 posee una configuración compatible con las conexiones PPPoE por medio de la interfaz virtual de marcado 1. Dado que las interfaces utilizan el PPPoE, no se necesita una agrupación de direcciones IP con DHCP para proporcionar direcciones IP a las PC conectadas.

Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote". Esta configuración especifica el nombre del grupo "easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password", y establece el destino del par en la dirección IP 10.0.0.5 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo predeterminado cliente.


Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.


El segundo comando crypto ipsec client ezvpn (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz de marcado 1, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN.

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c827
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
 ip mtu adjust
!!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode client
 peer 10.0.0.5
!!
!
interface Ethernet0
 ip address 10.0.0.117 255.0.0.0
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 1/40
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address 10.0.0.3 255.0.0.0
 ip mtu 1492
 encapsulation ppp
 dialer pool 1
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
ip http server
ip pim bidir-enable
!
line con 0
 stopbits 1
line vty 0 4
 login
!
scheduler max-task-time 5000
end

Ejemplo: Cliente Easy VPN de Cisco en modo cliente (Cisco 1700)

En el siguiente ejemplo, el router 1753 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo de funcionamiento cliente. Este ejemplo muestra una configuración en ejecución de un  1753 de Cisco con dos interfaces internas y una externa en un túnel. El subcomando connect auto establece manualmente el túnel VPN con IPsec.

Router# show running-config

Building configuration...
Current configuration : 881 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname mma-1753
!
!
memory-size iomem 15
ip subnet-zero
!!
!
ip ssh time-out 120
ip ssh authentication-retries 3
! !
!
crypto ipsec client ezvpn easy_vpn_remote
connect auto
group ezvpn key ezvpn
mode client
peer 10.6.6.1
! !
!
interface FastEthernet0/0
ip address 10.4.4.2 255.255.255.0
speed auto
crypto ipsec client ezvpn easy_vpn_remote inside
!
interface Serial0/0
ip address 10.6.6.2 255.255.255.0
no fair-queue
crypto ipsec client ezvpn easy_vpn_remote
!
interface Serial1/0
ip address 10.5.5.2 255.255.255.0
clock rate 4000000
crypto ipsec client ezvpn easy_vpn_remote inside
!
ip classless
no ip http server
ip pim bidir-enable
! !
!
line con 0
line aux 0
line vty 0 4
login
!
end

El siguiente ejemplo muestra una configuración en ejecución de un router 1760 de Cisco con dos túneles activos conectados automáticamente, easy vpn remote1 e easy vpn remote2. El túnel easy vpn remote1 cuenta con dos interfaces internas y una interfaz externa configuradas. El túnel easy vpn remote2 cuenta con una interfaz interna y una interfaz externa configuradas. El ejemplo también muestra el resultado del comando show crypto ipsect client ezvpn que enumera los nombres del túnel y las interfaces internas y externas.

Router# show running-config

Building configuration...
Current configuration : 1246 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1760
!
aaa new-model
!
!
aaa session-id common
!
ip subnet-zero
!!
!
crypto ipsec client ezvpn easy_vpn_remote2
connect auto
group ez key ez
mode network-extension
peer 10.7.7.1
crypto ipsec client ezvpn easy_vpn_remote1
connect auto
group ezvpn key ezvpn
mode client
peer 10.6.6.1
! !
!
interface FastEthernet0/0
ip address 10.5.5.2 255.255.255.0
speed auto
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1 inside
!
interface Serial0/0
ip address 10.4.4.2 255.255.255.0
no ip route-cache
no ip mroute-cache
no fair-queue
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1 inside
!
interface Serial0/1
ip address 10.3.3.2 255.255.255.0
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote2 inside
!
interface Serial1/0
ip address 10.6.6.2 255.255.255.0
clockrate 4000000
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote1
!
interface Serial1/1
ip address 10.7.7.2 255.255.255.0
no keepalive
no cdp enable
crypto ipsec client ezvpn easy_vpn_remote2
!
ip classless
no ip http server
ip pim bidir-enable
!
!
radius-server retransmit 3
radius-server authorization permit missing Service-Type
!
line con 0
line aux 0
line vty 0 4
!
no scheduler allocate
end


Router# show crypto ipsec client ezvpn

Tunnel name : easy_vpn_remote1
Inside interface list: FastEthernet0/0, Serial0/0,
Outside interface: Serial1/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.0.0.5
Mask: 255.255.255.255
Default Domain: cisco.com
Tunnel name : easy_vpn_remote2
Inside interface list: Serial0/1,
Outside interface: Serial1/1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Default Domain: cisco.com

Ejemplo de compatibilidad con direcciones locales para la Easy VPN remota

El siguiente ejemplo muestra cómo se utiliza el comando local-address para especificar la interfaz bucle de retorno 0 para determinar el origen del tráfico del túnel:

Router# configure terminal
Router(config)# crypto ipsec client ezvpn telecommuter-client
Router(config-crypto-ezvpn)# local-address loopback0

Ejemplos de configuración del modo extensión de red

En esta sección, los siguientes ejemplos demuestran cómo configurar la función Easy VPN remota de Cisco en el modo de funcionamiento extensión de red. También se muestran las configuraciones del servidor Easy VPN de Cisco IOS correspondientes a estas configuraciones de clientes.

Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 831)

Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 837)

Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 1700)

Para obtener más ejemplos sobre la configuración del modo extensión de red, consulte VPN con IPSec (en las secciones "Documentos técnicos" y "Documentos de configuración IPsec de Cisco IOS") y Soluciones Easy VPN de Cisco.

Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 831)

En el siguiente ejemplo, el router 831 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco:

Se le asigna una dirección en el espacio de dirección de red del servidor Easy VPN de Cisco IOS a la interfaz Ethernet 0. El comando ip route dirige todo el tráfico para este espacio de red desde la interfaz Ethernet 1 hasta el servidor de destino.

Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote". Esta configuración especifica el nombre del grupo "easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password", y establece el destino del par en la dirección IP 192.185.0.5 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo extensión de red.


Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.


El segundo comando crypto ipsec client ezvpn (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz Ethernet 1, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN.

! Cisco Router Web Setup Template
!
no service pad
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
!
ip subnet-zero
ip domain-lookup
!
!
ip dhcp excluded-address 172.31.1.1
!
ip dhcp pool localpool
   import all
   network 172.31.1.0 255.255.255.255
   default-router 172.31.1.1
   lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
 peer 192.168.0.5
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension
!
!
interface Ethernet0
 ip address 172.31.1.1 255.255.255.255
 no cdp enable
 hold-queue 32 in
!
interface Ethernet1
 ip address dhcp
 no cdp enable
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 172.31.0.0 255.255.255.255 Ethernet1
ip http server
!
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local

Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 837)

En el siguiente ejemplo, el router 837 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo cliente. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco:

Configuración del PPPoE: la interfaz ATM 0 posee una configuración compatible con las conexiones PPPoE por medio de la interfaz virtual de marcado 1. Dado que las interfaces utilizan el PPPoE, no se necesita una agrupación de direcciones IP con DHCP para proporcionar direcciones IP a las PC conectadas.

Se le asigna una dirección en el espacio de dirección de red del servidor Easy VPN de Cisco IOS a la interfaz Ethernet 0. El comando ip route dirige todo el tráfico para este espacio de red desde la interfaz de marcado 1 hasta el servidor de destino.

Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote". Esta configuración especifica el nombre del grupo "easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password", y establece el destino del par en la dirección IP 10.0.0.5 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La
configuración de la Easy VPN remota de Cisco está configurada para el modo predeterminado extensión de red.


Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.


El segundo comando crypto ipsec client ezvpn (modo configuración de interfaz) asigna la
configuración de la Easy VPN remota de Cisco a la interfaz de marcado 1, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN.

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c827
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
 ip mtu adjust
!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension
 peer 10.0.0.5
!
!
interface Ethernet0
 ip address 172.16.0.30 255.255.255.192
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 1/40
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address 10.0.0.3 255.0.0.0
 ip mtu 1492
 encapsulation ppp
 dialer pool 1
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 172.16.0.0 255.255.255.128 Dialer1
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
ip http server
ip pim bidir-enable
!
line con 0
 stopbits 1
line vty 0 4
 login
!
scheduler max-task-time 5000

Ejemplo: Cliente Easy VPN de Cisco en modo extensión de red (Cisco 1700)

En el siguiente ejemplo, el router 1700 de Cisco está configurado como una Easy VPN remota mediante la función Easy VPN remota de Cisco en modo de funcionamiento extensión de red. Este ejemplo muestra los siguientes componentes de la configuración de la Easy VPN remota de Cisco:

Configuración de la Easy VPN remota de Cisco: el primer comando crypto ipsec client ezvpn (modo configuración global) crea una configuración de la Easy VPN remota de Cisco llamada "easy vpn remote." Esta configuración especifica el nombre del grupo "easy vpn remote-groupname" y el valor de la llave compartida "easy vpn remote-password," y establece el destino del par en la dirección IP 10.0.0.2 (que es la dirección asignada a la interfaz conectada a Internet en el router del par de destino). La configuración de la Easy VPN remota de Cisco está configurada para el modo extensión de red .


Nota Si el DNS también está configurado en el router, la opción peer también es compatible con un nombre de host en vez de una dirección IP.


El segundo comando crypto ipsec client ezvpn easy vpn remote (modo configuración de interfaz) asigna la configuración de la Easy VPN remota de Cisco a la interfaz Ethernet 0, para que todo el tráfico que esa interfaz recibe y transmite sea enviado por el túnel VPN.

!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1710
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
!
ip dhcp excluded-address 10.0.0.10
!
ip dhcp pool localpool
   import all
   network 10.70.0.0 255.255.255.248
   default-router 10.70.0.10
   lease 1 0 0
!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension
 peer 10.0.0.2
!
!
interface Ethernet0
 ip address 10.50.0.10 255.0.0.0
 half-duplex
 crypto ipsec client ezvpn easy_vpn_remote
!
interface FastEthernet0
 ip address 10.10.0.10 255.0.0.0
 speed auto
!
ip classless
ip route 10.20.0.0 255.0.0.0 Ethernet0
ip route 10.20.0.0 255.0.0.0 Ethernet0
no ip http server
ip pim bidir-enable
!!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login

Ejemplo de configuración de guardar contraseña

El siguiente ejemplo de resultado show running-config muestra que la función Guardar contraseña ha sido configurada (tenga en cuenta el comando password encryption aes y las palabras clave username en el resultado):

Router# show running-config

133.CABLEMODEM.CISCO: Oct 28 18:42:07.115: %SYS-5-CONFIG_I: Configured from console by
consolen
Building configuration...
Current configuration : 1269 bytes
!
! Last configuration change at 14:42:07 UTC Tue Oct 28 2003
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
clock timezone UTC -4
no aaa new-model
ip subnet-zero
no IP Routing
!
!
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
password encryption aes
!
!
no crypto isakmp enable
!
!
crypto ipsec client ezvpn remote_vpn_client
 connect auto
 mode client
 username greentree password  6 ARiFgh`SOJfMHLK[MHMQJZagR\M
!
!
interface Ethernet0
 ip address 10.3.66.4 255.255.255.0
 no ip route-cache
 bridge-group 59

Ejemplos de compatibilidad con PFS

El siguiente resultado del comando show crypto ipsec client ezvpn muestra el nombre del grupo ("2") y qué PFS está siendo utilizado:

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 4

Tunnel name : ez1
Inside interface list: Loopback1,
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.6.6
Mask: 255.255.255.255
Using PFS Group: 2
Save Password: Allowed
Current EzVPN Peer:10.0.0.110

Tenga en cuenta que en un servidor Easy VPN de Cisco IOS, PFS debe estar incluida en las propuestas IPsec agregándola a la criptografía, como en el siguiente ejemplo:

crypto dynamic-map mode 1
 set security-association lifetime seconds 180
 set transform-set client
 set pfs group2
 set isakmp-profile fred
 reverse-route

Ejemplos de respaldo de marcado

Direccionamiento IP estático

El siguiente ejemplo muestra que se ha configurado el direccionamiento IP estático en el router 1711 de Cisco:

Router# show running-config

Building configuration...

Current configuration : 3427 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph4_R5
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip cef
ip ids po max-events 100
ip dhcp-client default-router distance 1
no ftp-server write-enable
!
!
track 123 rtr 3 reachability
!
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec client ezvpn backup_profile_vpn3k
 connect auto
 group hw_client_groupname key password123
 mode client
 peer 10.0.0.5
 username rchu password  password123
crypto ipsec client ezvpn hw_client_vpn3k
 connect auto
 group hw_client_groupname key password123
 backup backup_profile_vpn3k track 123
 mode client
 peer 10.0.0.5
 username rchu password password123
!
!
interface Loopback0
 ip address 10.40.40.50 255.255.255.255
!
interface Loopback1
 ip address 10.40.40.51 255.255.255.255
!
interface Loopback2
 no ip address
!
interface FastEthernet0
 description Primary Link to 10.0.0.2
 ip address 10.0.0.10 255.255.255.0
 duplex auto
 speed auto
 no cdp enable
 crypto ipsec client ezvpn hw_client_vpn3k
!
interface FastEthernet1
 no ip address
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 no ip address
 no cdp enable
!
interface FastEthernet3
 no ip address
 no cdp enable
!
interface FastEthernet4
 no ip address
 no cdp enable
!
interface Vlan1
 ip address 10.0.0.1 255.255.255.0
 crypto ipsec client ezvpn backup_profile_vpn3k inside
 crypto ipsec client ezvpn hw_client_vpn3k inside
!
interface Async1
 description Backup Link
 no ip address
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 dialer in-band
 dialer pool-member 1
 dialer-group 1
 async default routing
 async mode dedicated
!
interface Dialer1
 ip address 10.30.0.1 255.255.255.0
 encapsulation ppp
 no ip route-cache cef
 dialer pool 1
 dialer idle-timeout 60
 dialer string 102
 dialer hold-queue 100
 dialer-group 1
 crypto ipsec client ezvpn backup_profile_vpn3k
!
ip local policy route-map policy_for_rtr
ip classless

ip route 0.0.0.0 0.0.0.0 faste0 track 123


ip route 0.0.0.0 0.0.0.0 Dialer1 240
no ip http server
no ip http secure-server
!
!
ip access-list extended dummy1
 permit ip host 10.0.0.2 host 10.3.0.1
ip access-list extended important_traffic
 permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.10.2 echo
dialer-list 1 protocol ip permit
no cdp run
!
route-map policy_for_rtr permit 10
 match ip address 112
 set interface Null0
 set ip next-hop 10.0.10.2
!
!
control-plane
!
rtr 2
 type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 2 life forever start-time now
rtr 3
 type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 3 life forever start-time now
!
line con 0
 exec-timeout 0 0
line 1
 modem InOut
 modem autoconfigure discovery
 transport input all
 autoselect ppp
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 password lab
!

DHCP configurado en la interfaz principal y PPP asincrónico como respaldo

El siguiente ejemplo muestra la manera en que un router 1711 de Cisco ha sido configurado para que DHCP esté configurado en la interfaz principal y el PPP en modo asincrónico esté configurado como respaldo:

Router# show running-config

Building configuration...

Current configuration : 3427 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph4_R5
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip cef
ip ids po max-events 100
ip dhcp-client default-router distance 1
no ftp-server write-enable
!
!
track 123 rtr 3 reachability
!
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec client ezvpn backup_profile_vpn3k
 connect auto
 group hw_client_groupname key password123
 mode client
 peer 10.0.0.5
 username rchu password  password123
crypto ipsec client ezvpn hw_client_vpn3k
 connect auto
 group hw_client_groupname key password123
 backup backup_profile_vpn3k track 123
 mode client
 peer 10.0.0.5
 username rchu password  password123
!
!
interface Loopback0
 ip address 10.40.40.50 255.255.255.255
!
interface Loopback1
 ip address 10.40.40.51 255.255.255.255
!
interface Loopback2
 no ip address
!
interface FastEthernet0
 description Primary Link to 10.0.0.2
 ip dhcp client route track 123
 ip address dhcp
 duplex auto
 speed auto
 no cdp enable
 crypto ipsec client ezvpn hw_client_vpn3k
!
interface FastEthernet1
 no ip address
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 no ip address
 no cdp enable
!
interface FastEthernet3
 no ip address
 no cdp enable
!
interface FastEthernet4
 no ip address
 no cdp enable
!
interface Vlan1
 ip address 10.0.0.1 255.255.255.0
 crypto ipsec client ezvpn backup_profile_vpn3k inside
 crypto ipsec client ezvpn hw_client_vpn3k inside
!
interface Async1
 description Backup Link
 no ip address
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 dialer in-band
 dialer pool-member 1
 dialer-group 1
 async default routing
 async mode dedicated
!
interface Dialer1
 ip address 10.0.0.3 255.255.255.0
 encapsulation ppp
 no ip route-cache cef
 dialer pool 1
 dialer idle-timeout 60
 dialer string 102
 dialer hold-queue 100
 dialer-group 1
 crypto ipsec client ezvpn backup_profile_vpn3k
!
ip local policy route-map policy_for_rtr
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1 240
no ip http server
no ip http secure-server
!
!
ip access-list extended dummy1
 permit ip host 10.10.0.2 host 10.0.0.1
ip access-list extended important_traffic
 permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.0.2 echo
dialer-list 1 protocol ip permit
no cdp run
!
route-map policy_for_rtr permit 10
 match ip address 112
 set interface Null0
 set ip next-hop 10.0.0.2
!
!
control-plane
!
rtr 2
 type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 2 life forever start-time now
rtr 3
 type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 3 life forever start-time now
!
line con 0
 exec-timeout 0 0
line 1
 modem InOut
 modem autoconfigure discovery
 transport input all
 autoselect ppp
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 password lab
!

Ejemplo de activación basada en la Web

El siguiente ejemplo muestra que las conexiones HTTP del usuario se interceptarán y que el usuario puede realizar una activación basada en la Web (192.0.0.13 es el dispositivo del cliente VPN y 192.0.0.1 es el dispositivo del servidor):

crypto ipsec client ezvpn tunnel22
  connect manual
  group tunnel22 key 22tunnel
  mode client
  peer 192.168.0.1
  xauth userid mode http-intercept
!
!
interface Ethernet0
  ip address 10.4.23.15 255.0.0.0
  crypto ipsec client ezvpn tunnel22 inside!
interface Ethernet1
  ip address 192.168.0.13 255.255.255.128
  duplex auto
  crypto ipsec client ezvpn tunnel22
!

Ejemplos de configuración de la Easy VPN remota con compatibilidad de interfaz virtual

Los siguientes ejemplos indican que se ha configurado la compatibilidad con la interfaz virtual IPsec en los dispositivos remotos Easy VPN.

Interfaz virtual IPsec: acceso virtual genérico

El siguiente ejemplo muestra un dispositivo remoto Easy VPN, compatible con la interfaz virtual, que usa una interfaz IPsec de acceso virtual genérico.

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
no ip dhcp use vrf connected
!
!
crypto ipsec client ezvpn ez
 connect manual
 group easy key cisco
 mode client
 peer 10.3.0.2
 virtual-interface
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 10.1.0.2 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez inside
!
interface Ethernet1/0
 ip address 10.2.0.1 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
no ip http server
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

Interfaz virtual IPsec: acceso virtual que se obtiene de una plantilla virtual

El siguiente ejemplo muestra un dispositivo remoto Easy VPN, compatible con la interfaz virtual, que usa una interfaz IPsec de acceso virtual que se obtiene de una plantilla virtual.

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
no ip dhcp use vrf connected
!
!
crypto ipsec client ezvpn ez
 connect manual
 group easy key cisco
 mode client
 peer 10.3.0.2
 virtual-interface 1
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 10.1.0.2 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez inside
!
interface Ethernet1/0
 ip address 10.2.0.1 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez
!
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
no ip http server
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

Cuando el túnel no está activado

El resultado de una configuración de interfaz virtual en un perfil de Easy VPN es la creación de una interfaz de acceso virtual. Esta interfaz brinda encapsulación IPsec. El siguiente resultado muestra la configuración de una interfaz de acceso virtual cuando la Easy VPN no está activada.

Router# show running-config interface virtual-access 2

Building configuration...

Current configuration : 99 bytes
!
interface Virtual-Access2
 no ip address
 tunnel source Ethernet1/0
 tunnel mode ipsec ipv4
end

La configuración de una interfaz virtual crea una interfaz de acceso virtual. Esta interfaz de acceso virtual se crea automáticamente fuera del perfil de la Easy VPN. Las rutas que se agregan con posterioridad, cuando los túneles Easy VPN se activan señalan esta interfaz virtual para enviar paquetes a la red corporativa. Si crypto ipsec client ezvpn name outside (comando crypto ipsec client ezvpn name y palabra clave outside) se aplica en una interfaz real, esa interfaz se usa como un punto final (endpoint) IKE (IPsec), (es decir, los paquetes IKE e IPsec utilizan la dirección de la interfaz como dirección de origen).

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5

Tunnel name : ez
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.3.0.2

Dado que una interfaz virtual, o en realidad cualquier interfaz, es enrutable, las rutas actúan como selectores de tráfico. Cuando el túnel Easy VPN no funciona, no hay ninguna ruta que señale la interfaz virtual, como se observa en el siguiente ejemplo:

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.0.2 to network 0.0.0.0

     10.0.0.0/24 is subnetted, 2 subnets
C       10.2.0.0 is directly connected, Ethernet1/0
C       10.1.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [2/0] via 10.2.0.2

Cuando el túnel está activado

En el caso de los modos cliente o red plus, Easy VPN crea una interfaz de bucle de retorno y asigna la dirección que se activa en el modo configuración. Para asignar la dirección del bucle de retorno a la interfaz, utilice el comando ip unnumbered (ip unnumbered loopback). En el caso del modo extensión de red, el acceso virtual se configurará como ip unnumbered ethernet0 (la interfaz conectada).

Router# show running-config interface virtual-access 2

Building configuration...

Current configuration : 138 bytes
!
interface Virtual-Access2
 ip unnumbered Loopback0
 tunnel source Ethernet1/0
 tunnel destination 10.3.0.2
 tunnel mode ipsec ipv4
end

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5

Tunnel name : ez
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.5.0.2
Mask: 255.255.255.255
DNS Primary: 10.6.0.2
NBMS/WINS Primary: 10.7.0.1
Default Domain: cisco.com
Using PFS Group: 2
Save Password: Disallowed
Split Tunnel List: 1
       Address    : 10.4.0.0
       Mask       : 255.255.255.0
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0
Current EzVPN Peer: 10.3.0.2

Cuando los túneles se activan, la Easy VPN agrega una ruta predeterminada que señala la interfaz de acceso virtual o agrega rutas para todos los atributos divididos de las subredes que señalan la interfaz de acceso virtual. La Easy VPN también agrega una ruta al par (concentrador o de destino) si el par no se encuentra directamente conectado al dispositivo Easy VPN.


Los siguientes ejemplos de resultados del comando show ip route corresponden a situaciones en una interfaz virtual IPsec en las cuales un servidor envía un atributo de túnel dividido y otras en las que no lo hace.

El servidor ha enviado el atributo de túnel dividido

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.0.2 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C       10.2.0.0/24 is directly connected, Ethernet1/0
S       10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0  <<< Route to
 peer (EzVPN server)
C       10.1.0.0/24 is directly connected, Ethernet0/0
C       10.5.0.2/32 is directly connected, Loopback0
S       10.4.0.0/24 [1/0] via 0.0.0.0, Virtual-Access2  <<< Split
tunnel attr sent by the server
S*   10.0.0.0/0 [2/0] via 10.2.0.2

El servidor no ha enviado el atributo de túnel dividido

Se deben observar todas las redes en el atributo dividido, como en el siguiente ejemplo:

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C       10.2.0.0/24 is directly connected, Ethernet1/0
! The following line is the route to the peer (the Easy VPN server).
S       10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0
C       10.1.0.0/24 is directly connected, Ethernet0/0
C       10.5.0.3/32 is directly connected, Loopback0
! The following line is the default route.
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access2

Ejemplo de configuración de túnel doble

El siguiente es un ejemplo de una configuración de túnel doble típica:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password lab
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
!
!
username lab password 0 lab
!
!
crypto ipsec client ezvpn ezvpn1
 connect manual
 group easy key cisco
 mode network-extension
 peer 10.75.1.2
 virtual-interface 1
 xauth userid mode interactive
crypto ipsec client ezvpn ezvpn2
 connect manual
 group easy key cisco
 mode network-extension
 peer 10.75.2.2
 virtual-interface 1
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.255
 no keepalive
 crypto ipsec client ezvpn ezvpn1 inside
 crypto ipsec client ezvpn ezvpn2 inside
!
interface Ethernet0/1
 no ip address
 shutdown
!
interface Ethernet0/2
 no ip address
 shutdown
!
interface Ethernet0/3
 no ip address
 shutdown
!
interface Ethernet1/0
 ip address 10.76.1.2 255.255.255.0
 no keepalive
 crypto ipsec client ezvpn ezvpn1
 crypto ipsec client ezvpn ezvpn2
!
interface Serial2/0
 ip address 10.76.2.2 255.255.255.0
 no keepalive
 serial restart-delay 0
!
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
!
ip classless
ip route 10.0.0.0 10.0.0.0 10.76.1.1 2
no ip http server
no ip http secure-server
!
!
no cdp run
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login local
!
end

Ejemplos de resultado del comando show en el túnel doble

Los siguientes ejemplos del comando show muestran información acerca de tres de las fases de activación de un túnel doble:

Primero, se activa el túnel Easy VPN

Segundo, se inicia el túnel Easy VPN

Se activan ambos túneles Easy VPN

Antes de que se activen los túneles EzVPN

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

La puerta de enlace de último recurso es 10.76.1.1 a la red 0.0.0.0.

10.0.0.0/24 is subnetted, 2 subnets
C       10.76.2.0 is directly connected, Serial2/0
C       10.76.1.0 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [2/0] via 10.76.1.1

Nota El valor métrico de la ruta predeterminada debe ser superior a 1 para que la ruta predeterminada que la Easy VPN agrega luego tenga prioridad y el tráfico vaya por la interfaz de acceso virtual de la Easy VPN.


El túnel Easy VPN "ezvpn2" está activo

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

La puerta de enlace de último recurso es 0.0.0.0 a la red 0.0.0.0.

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
! The next line is the Easy VPN route.
S       10.75.2.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route.
S*   0.0.0.0/0 [1/0] via 0.0.0.0, Virtual-Access3

Como se observa más arriba, hay una ruta predeterminada y se agrega una ruta al par.

Se activa Easy VPN "ezvpn2" y se inicia Easy VPN "ezvpn1"

Router# crypto ipsec client ezvpn connect ezvpn1

Router# show crypto ipsec cli ent ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: READY
Last Event: CONNECT
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

La puerta de enlace de último recurso es 10.0.0.0 a la red 10.0.0.0.

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
S       10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router.
S       10.75.1.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3

La ruta a 10.75.1.2 se agrega antes de que el túnel Easy VPN "ezvpn1" se haya activado. Esta ruta está destinada a alcanzar el par Easy VPN "ezvpn1" 10.75.1.2.

Se activan ambos túneles

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Split Tunnel List: 1
       Address    : 192.168.3.0
       Mask       : 255.255.255.255
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

La puerta de enlace de último recurso es 10.0.0.0 a la red 10.0.0.0.

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
! The next line is the Easy VPN router (ezvpn2).
S       10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router (ezvpn1).
S       10.75.1.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route (ezvpn1).
S    192.168.3.0/24 [1/0] via 0.0.0.0, Virtual-Access2
! The next line is the Easy VPN (ezvpn2).
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3

Se agrega la ruta al túnel dividido "192.168.3.0/24" que señala a Virtual-Access2 para el túnel Easy VPN "ezvpn"", como se observa más arriba en el resultado de show.

Ejemplo de reactivar par principal

El siguiente resultado de show ilustra la activación de la función par principal predeterminado. El par principal predeterminado es 10.3.3.2.

Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 6

Tunnel name : ezc
Inside interface list: Loopback0
Outside interface: Ethernet0/0
Current State: IPSEC_ACTIVE
Primary EzVPN Peer: 10.3.3.2, Last Tried: Dec 30 07:21:23.071
Last Event: CONN_UP
Address: 10.7.7.1
Mask: 255.255.255.255
DNS Primary: 10.1.1.1
NBMS/WINS Primary: 10.5.254.22
Save Password: Disallowed
Current EzVPN Peer: 10.4.4.2

23:52:44: %CRYPTO-6-EZVPN_CONNECTION_UP(Primary peer):
        User: lab, Group: hw-client-g
        Client_public_addr=10.4.22.103, Server_public_addr=10.4.23.112
        Assigned_client_addr=10.7.7.1

Ejemplos de configuración del servidor Easy VPN

Esta sección describe configuraciones del servidor Easy VPN de Cisco que son compatibles con las configuraciones de la Easy VPN remota de Cisco, descritas en secciones previas. Para obtener información más detallada acerca de la configuración de dichos servidores, consulte Servidor Easy VPN para Cisco IOS versión 12.3(7)T, disponible en Cisco.com.

Ejemplo del servidor Easy VPN de Cisco sin tunelización dividida

Ejemplo de configuración del servidor Easy VPN de Cisco con tunelización dividida

Ejemplo de configuración del servidor Easy VPN de Cisco con Xauth

Ejemplo de compatibilidad con la interoperabilidad del servidor Easy VPN

Ejemplo del servidor Easy VPN de Cisco sin tunelización dividida

El siguiente ejemplo muestra el servidor Easy VPN de Cisco que es el router del par de destino para las configuraciones en modo extensión de red de la Easy VPN remota de Cisco, antes descritos en esta sección. Además de los otros comandos de configuración IPsec, el comando crypto isakmp client configuration group define los atributos para el grupo VPN asignado al router remoto Easy VPN. Esto incluye, el valor de la clave coincidente (contraseña easy vpn remote) y los parámetros de enrutamiento adecuados, tales como el servidor DNS, para las Easy VPN remotas.

Para que sea compatible con el modo de funcionamiento extensión de red, el comando ip route ordena que los paquetes entrantes a la red 172.168.0.0 sean dirigidos desde la interfaz de cable módem hasta la Easy VPN remota de Cisco. Se pueden necesitar otros comandos ip route, según la topología de la red.


Nota Este ejemplo muestra un router de Cisco de acceso por cable uBR925, aunque por lo general, la Easy VPN remota de destino es un router, como el concentrador VPN 3000 de Cisco o un router Cisco IOS, que es compatible con la función Servidor Easy VPN.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.128
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
! Add the appropriate ip route commands for network-extension mode
ip route 172.16.1.0 255.255.255.248 cable-modem0
no ip http server
no ip http cable-monitor
!
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000

Ejemplo de configuración del servidor Easy VPN de Cisco con tunelización dividida

El siguiente ejemplo muestra un servidor Easy VPN de Cisco configurado para una tunelización dividida con una Easy VPN remota de Cisco. Este ejemplo es igual al de "Ejemplo de servidor Easy VPN de Cisco sin tunelización dividida" excepto por la lista de acceso 150, que se asigna como parte del comando crypto isakmp client configuration group. Esta lista de acceso permite que la Easy VPN remota de Cisco pueda utilizar el servidor para acceder a una subred adicional que no forma parte del túnel VPN sin comprometer la seguridad de la conexión IPsec.

Para que sea compatible con el modo de extensión de red, el comando ip route ordena que los paquetes entrantes a la red 172.168.0.0 sean dirigidos desde la interfaz de cable módem hasta la Easy VPN remota de Cisco. Se pueden necesitar otros comandos ip route, según la topología de la red.


Nota Este ejemplo muestra un router de Cisco de acceso por cable uBR925, aunque por lo general, la Easy VPN remota de destino es un router, como el concentrador VPN 3000 de Cisco o un router Cisco IOS, que es compatible con la función Servidor Easy VPN.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
 acl 150
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.255
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
! Add the appropriate ip route commands for network-extension mode
ip route 172.16.1.0 255.255.255.255 cable-modem0
no ip http server
no ip http cable-monitor
!
access-list 150 permit ip 172.16.0.128 10.0.0.127 any
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
end

Ejemplo de configuración del servidor Easy VPN de Cisco con Xauth

El siguiente ejemplo muestra un servidor Easy VPN de Cisco configurado para ser compatible con Xauth con la función Easy VPN remota de Cisco. Este ejemplo es igual al de "Ejemplo de configuración de servidor Easy VPN de Cisco con tunelización dividida" excepto por los siguientes comandos que activan y configuran Xauth:

aaa authentication login userlist local: especifica la base de datos de nombre de usuario local para la autenticación en el inicio de sesión. También puede especificar el uso de servidores RADIUS utilizando primero el comando aaa authentication login userlist group radius y luego, especificando los servidores RADIUS mediante el comando aaa group server radius.

crypto isakmp xauth timeout: especifica el tiempo, en segundos, que el usuario tiene para ingresar el nombre de usuario y la contraseña adecuados para autenticar la sesión.

crypto map dynmap client authentication list userlist: crea una criptografía llamada "dynmap" que activa Xauth.

username cisco password 7 cisco: crea una entrada en la base de datos de nombre de usuario local para un usuario con el nombre de usuario "cisco" y una contraseña cifrada "cisco". Este comando debe repetirse para cada usuario que accede al servidor.

Los siguientes comandos, que también se encuentran en las configuraciones sin Xauth, también se requieren para el uso de Xauth:

aaa authorization network easy vpn remote-groupname local: requiere autorización para todas las solicitudes de servicios relacionados con redes para los usuarios en el grupo llamado "easy vpn remote-groupname" mediante el uso de la base de datos de nombre de usuario local.

aaa new-model: especifica que el router debe usar los nuevos comandos de autenticación AAA.

aaa session-id common: especifica que se debe usar una ID de sesión única y común para las sesiones AAA.

crypto map dynmap 1 ipsec-isakmp dynamic dynmap: especifica que se debe usar IKE para establecer las SA IPsec, utilizando la criptografía llamada "dynmap" como plantilla de política.

crypto map dynmap client configuration address respond: activa la negociación IKE aceptando las solicitudes de pares solicitantes.

crypto map dynmap isakmp authorization list easy vpn remote-groupname: configura la criptografía llamada "dynmap" para utilizar el "secreto compartido" IKE con el nombre de grupo "easy vpn remote-groupname".


Recomendación Esta configuración muestra el servidor configurado para la tunelización dividida, pero Xauth también puede utilizarse con las configuraciones de túnel no dividido.



Nota Este ejemplo muestra un router de Cisco de acceso por cable uBR925, aunque por lo general, el servidor Easy VPN de destino es un router, como el concentrador VPN 3000 de Cisco o un router Cisco IOS, que es compatible con la función Servidor Easy VPN.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authentication login userlist local
aaa authorization network easy vpn remote-groupname local
aaa session-id common
!
username cisco password 7 cisco
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
 acl 150
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.128
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127
ip classless
ip route 172.16.1.0 255.255.255.248 cable-modem0
no ip http server
no ip http cable-monitor
!
access-list 150 permit ip 172.16.0.128 0.0.0.127 any
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
end

Ejemplo de compatibilidad con la interoperabilidad del servidor Easy VPN

Para obtener información acerca de esta función, consulte "Información general sobre IPsec y VPN" en la sección "Referencias adicionales" (Administración de acceso a VPN remota).

Referencias adicionales

Las siguientes secciones brindan referencias relacionadas con la Easy VPN remota de Cisco.

Documentos relacionados

Tema relacionado
Título del documento

Documentación sobre plataformas específicas

Routers de la serie 800 de Cisco

Routers de la serie 800 de Cisco

Guía de instalación del hardware del router 806 de Cisco y SOHO 71

Guía de configuración del software Cisco 806

Guía de configuración del software de los routers de las series 826, 827, 828, 831, 836 y 837 de Cisco y 76, 77, 78, 91, 96 y 97 de SOHO

Guía de instalación del hardware del router 826 de Cisco

Guía de instalación del hardware del router 827 de Cisco y SOHO 77

Guía de instalación del hardware del router 827 de Cisco

Guía de instalación del hardware del router 828 de Cisco y SOHO 78

Router de banda ancha ADSL Cisco 837

Routers de acceso por cable Cisco uBR905 y Cisco uBR925

Guía de instalación del hardware del router de acceso por cable Cisco uBR925

Guía de instalación del hardware Cisco uBR905

Guía de configuración del software de los routers de acceso por cable Cisco uBR905/uBR925

Tarjeta de inicio rápido para instalación de suscriptor de router de acceso por cable Cisco uBR905

Tarjeta de inicio rápido para instalación de suscriptor de router de acceso por cable Cisco uBR925

Guía para el usuario de inicio rápido para el router de acceso por cable Cisco uBR925

Routers de la serie 1700 de Cisco

Guía de configuración del software del router de la serie 1700 Cisco

Guía de instalación del hardware del router de seguridad 1710 de Cisco

Guía de configuración del software del router de seguridad 1710 de Cisco

Router de acceso de seguridad 1711de Cisco

Guía de instalación del hardware del router de la serie 1720 de Cisco

Guía de instalación del hardware del router de acceso 1721 de Cisco

Guía de instalación del hardware del router de la serie 1750 de Cisco

Guía de instalación del hardware del router 1751 de Cisco

Guía de configuración del software del router 1751 de Cisco

Guía de instalación del hardware del router de acceso modular 1760 de Cisco

También consulte las release notes Cisco IOS para Cisco IOS
versión 12.2(4)YA:

SOHO 70 y Cisco 800: release notes para la
versión 12.2(4)YA

release notes para los routers de acceso por cable Cisco uBR905 y Cisco uBR925 para Cisco IOS versión 12.2 YA

Serie 1700 de Cisco: release notes para la versión 12.2(4)YA

Routers de las series 2600, 3600 y 3700 de Cisco

Plataformas multiservicio de la serie 2600 de Cisco

Guía de instalación del hardware del router de la serie 2600 de Cisco

Plataformas multiservicio de la serie 3600 de Cisco

Guía de instalación de hardware de la serie 3600 de Cisco

Routers de acceso multiservicio de la serie 3700 de Cisco

Guía de instalación del hardware del router de la serie 3700 de Cisco

Información sobre cumplimiento de normativas y seguridad para routers de las series 2600, 3600 y 3700 de Cisco en Cisco.com

Configuración de listas de control de acceso

Capítulo " Listas de control de acceso: información general y pautas" de la sección "Filtración de tráfico y firewalls" de la Guía de configuración de seguridad de Cisco IOS,versión 12.4

Documentación sobre IPsec y VPN

Función Servidor Easy VPN, que brinda compatibilidad con el cliente de Cisco Unity para la función Easy VPN remota de Cisco

Servidor Easy VPN

Información general sobre IPsec y VPN

Implementación IPsec: brinda información general sobre el cifrado IPsec y conceptos clave, junto con ejemplos de configuración. También ofrece un enlace a muchos otros documentos sobre temas relacionados.

Compatibilidad con autoridad certificadora para información general sobre IPsec: describe el concepto de certificado digital y cómo se utiliza para autenticar a los usuarios IPsec.

Capítulo "Configuración de proxy de autenticación" de la Guía de configuración de seguridad de Cisco IOS, versión 12.4

Una introducción al cifrado de la seguridad IP (IPSec): brinda una descripción paso a paso sobre cómo configurar el cifrado IPsec.

Configuración del cliente VPN de Cisco y del servidor Easy VPN con Xauth: describe cómo configurar una solución Easy VPN de host a router basada en el cliente VPN de Cisco y en el servidor de acceso remoto Cisco IOS.

Administración de acceso a VPN remota: describe cómo configurar el firewall PIX de Cisco como un servidor Easy VPN y cómo configurar los clientes de software de Easy VPN remota.

Configuración de los parámetros VPN: brinda información acerca de cómo configurar un firewall PIX para que funcione como un cliente VPN seguro de Cisco.

" Creación de conjuntos de criptografías": brinda información sobre la configuración de criptografías.

Interfaz virtual del túnel IPsec: brinda información sobre interfaces virtuales del túnel IPsec.

Secciones de recomendaciones técnicas de IP en Cisco.com.

Función llave cifrada previamente compartida

Guía de características de la llave cifrada previamente compartida, versión 12.3(2)T

Certificados digitales (compatibilidad con la firma RSA)

Guía de características de compatibilidad con la firma RSA de la Easy VPN remota , versión 12.3(7)T1

Detección de pares inactivos

Guía de características de la función de IPsec, opción de mensaje periódico para la detección de pares inactivos, versión 12.3(7)T

Rastreo de objetos

Guía de características de rutas estáticas confiables de respaldo con rastreo de objetos, versión 12.3(8)T

Configuración del DNS

Configuración del DNS y Configuración del DNS en los routers de Cisco

Configuración del DHCP

" Configuración del DHCP" en la Guía de configuración IP de Cisco IOS, versión 12.3

Autenticación 802.1x

Easy VPN remota de Cisco IOS con autenticación 802.1x (documento oficial)

Control de acceso VPN con autenticación local 802.1X

Información detallada adicional sobre configuración (disponible en Cisco.com)

Soluciones Easy VPN de Cisco: brinda documentos oficiales y ejemplos para configurar la Easy VPN de Cisco IOS en modo extensión de red.

Guía de configuración de seguridad de Cisco IOS, Cisco IOS
versión 12.4: brinda información general sobre las funciones de seguridad de Cisco IOS.

Referencia de comandos de seguridad de Cisco IOS, Cisco IOS
versión 12.4: brinda una referencia para cada uno de los comandos de Cisco IOS utilizados para configurar el cifrado IPsec y funciones de seguridad relacionadas.

Lista de comandos principales de Cisco IOS, versión 12.4: enumera los comandos de Cisco IOS utilizados para configurar todas las funciones de seguridad de la versión 12.4.

IPSec/SSL VPN: brinda información general sobre IPsec y SSL VPN.

Nota A medida que se agregan nuevas plataformas y funciones, hay documentación sobre IPsec disponible en Cisco.com. Cisco Press también publica varios libros sobre IPsec: visite http://www.ciscopress.com para obtener más información sobre los libros de Cisco Press.


Normas

Normas
Título

Esta función no es compatible con normas nuevas o modificadas.


MIB

MIB
Enlace MIB

CISCO-IPSEC-FLOW-MONITOR-MIB: contiene atributos que describen VPN basadas en IPsec (Grupo de trabajo en ingeniería de Internet (IETF), anteproyecto del grupo de trabajo sobre IPSec).

CISCO-IPSEC-MIB: describe la implementación de atributos específicos de Cisco para los routers de Cisco que implementan VPN con IPsec.

CISCO-IPSEC-POLICY-MAP-MIB: amplía la CISCO-IPSEC-FLOW-MONITOR-MIB para asignar estructuras creadas dinámicamente a políticas, transformaciones, criptografías y demás estructuras que las crearon o las usan.

Para localizar y descargar MIB para plataformas específicas, versiones de Cisco IOS y conjuntos de funciones utilice el localizador de MIB de Cisco que se encuentra en el siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Esta función no es compatible con RFC nuevas o modificadas.


Asistencia técnica

Descripción
Enlace

El Sitio web de Soporte técnico de Cisco contiene miles de páginas de búsqueda de información técnica, incluidos enlaces a productos, tecnologías, soluciones, recomendaciones técnicas y herramientas. Los usuarios registrados en Cisco.com pueden iniciar sesión desde esta página para acceder a más información.

http://www.cisco.com/cisco/web/LA/support/index.html


Referencia de comandos

Esta sección documenta sólo los siguientes comandos nuevos y modificados:

Comandos nuevos

clear crypto ipsec client ezvpn

crypto ipsec client ezvpn (global)

crypto ipsec client ezvpn (interfaz)

crypto ipsec client ezvpn connect

crypto ipsec client ezvpn xauth

debug crypto ipsec client ezvpn

debug ip auth-proxy ezvpn

icmp-echo

ip http ezvpn

show crypto ipsec client ezvpn

type echo protocol ipIcmpEcho

Comandos modificados

show tech-support

clear crypto ipsec client ezvpn

Para restablecer la máquina de estado remoto Easy VPN de Cisco y desactivar la conexión de la Easy VPN remota en todas las interfaces o en una interfaz dada (túnel), utilice el comando clear crypto ipsec client ezvpn en el modo EXEC privilegiado. Si se especifica el nombre del túnel, sólo se despeja el túnel especificado.

clear crypto ipsec client ezvpn [nombre]

Descripción de la sintaxis

nombre

(Opcional) Identifica al túnel de la red privada virtual (VPN) con IPSec que se desconectará o despejará con un único nombre arbitrario. Si no se especifica ningún nombre, se despejan o desconectan todos los túneles existentes.


Valores predeterminados

Si no se especifica ningún nombre de túnel, se despejan en la máquina todos los túneles activos.

Modos del comando

EXEC privilegiado

Historial del comando

Versión
Modificación

12.2(4)YA

Se agregó este comando para los routers 806, 826, 827 y  828 de Cisco, para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y  uBR925.

12.2(13)T

Este comando se integró en Cisco IOS versión 12.2(13)T.

12.2(8)YJ

Este comando se mejoró para especificar cuándo se debe despejar o desconectar un túnel VPN con IPSec para los routers 806, 826,  827 y 828 de Cisco, para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y  uBR925.

12.2(15)T

Este comando se integró en Cisco IOS versión 12.2(15)T.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

El comando clear crypto ipsec client ezvpn restablece la máquina de estado remoto Easy VPN de Cisco y desactiva la conexión actual de la Easy VPN remota de Cisco y la vuelve a activar en la interfaz. Si especifica un nombre de túnel, sólo se despeja ese túnel. Si no se especifica ningún nombre de túnel, se despejan en la máquina todos los túneles activos.

Si la conexión de la Easy VPN remota de Cisco para una interfaz particular se encuentra configurada para conectarse automáticamente, este comando también inicia una nueva conexión en la Easy VPN remota de Cisco.

Ejemplos

El siguiente ejemplo muestra cómo se restablece la máquina de estado remoto de Easy VPN de Cisco:

Router# clear crypto ipsec client ezvpn

Comandos relacionados

Comando
Descripción

crypto ipsec client ezvpn (global)

Crea una configuración de la Easy VPN remota de Cisco.

crypto ipsec client ezvpn (interfaz)

Asigna una configuración de la Easy VPN remota de Cisco a una interfaz.


crypto ipsec client ezvpn (global)

Para crear una configuración de la Easy VPN remota de Cisco y acceder al modo de configuración de la Easy VPN remota de Cisco, utilice el comando crypto ipsec client ezvpn en modo configuración global. Para eliminar la configuración de la Easy VPN remota, utilice la forma de este comando con no.

crypto ipsec client ezvpn nombre

no crypto ipsec client ezvpn nombre


Nota Un comando independiente crypto ipsec client ezvpn en modo configuración de interfaz asigna una configuración a la  Easy VPN remota de Cisco a la interfaz.


Descripción de la sintaxis

nombre

Identifica a la configuración de la Easy VPN remota de Cisco con un único nombre arbitrario.


Valores predeterminados

La forma predeterminada de las configuraciones de la Easy VPN remota de Cisco creadas recientemente es el modo cliente.

Modos del comando

Configuración global

Historial del comando

Versión
Modificación

12.2(4)YA

Se agregó este comando para los routers 806, 826, 827 y  828 de Cisco; para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y  uBR925.

12.2(13)T

Este comando se integró en Cisco IOS versión 12.2(13)T.

12.2(8)YJ

Este comando se mejoró para permitirle establecer y terminar manualmente el túnel VPN con IPsec a pedido para los routers 806, 826, 827 y  828 de Cisco, para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y uBR925.

12.2(15)T

Este comando se integró en Cisco IOS versión 12.2(15)T.

12.3(4)T

Se agregó el subcomando username y se modificó el subcomando peer para que el comando pueda utilizarse múltiples veces.

12.3(7)XR

Se agregaron los subcomandos acl y backup.

12.2(18)SXD

Este comando se integró en Cisco IOS versión 12.2(18)SXD.

12.3(11)T

Se integró el subcomando acl en Cisco IOS versión12.3(11)T. No obstante, no se integró el subcomando backup en Cisco IOS 12.3(11)T.

12.2(4)T

Se agregó el subcomando virtual-interface.

12.4(4)T

Se agregó la palabra clave default al subcomando peer , y se agregó el subcomando idle-time.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

El comando crypto ipsec client ezvpn crea una configuración de la Easy VPN remota de Cisco y luego accede al modo configuración de la Easy VPN remota de Cisco, momento a partir del cual puede acceder a los siguientes subcomandos:

acl {nombre de acl | número de acl}: especifica múltiples subredes en un túnel de red privada virtual (VPN). Se pueden configurar hasta 50 subredes.

El argumento nombre de acl es el nombre de la lista de control de acceso (ACL).

El argumento número de acl es el número de la ACL.

backup {nombre de configuración ezvpn} track {número de objeto rastreado}: especifica la configuración de Easy VPN que se activará con el respaldo.

backup {nombre de configuración ezvpn}: especifica la configuración de Easy VPN que se activará con el respaldo.

track {número de objeto rastreado}: especifica el enlace al sistema de rastreo para que la máquina de estado Easy VPN pueda recibir la notificación para activar el respaldo.

connect [auto | manual | acl]: se utiliza para establecer y terminar manualmente un túnel de red privada virtual con seguridad IP (IPsec) a pedido.

La opción auto es la configuración predeterminada, dado que fue la primera funcionalidad de la Easy VPN remota de Cisco. El túnel VPN con IPsec se conecta automáticamente cuando la función Easy VPN remota de Cisco está configurada en la interfaz.

La opción manual especifica la configuración manual para ordenar a la Easy VPN remota de Cisco que espere un comando o una llamada de la interfaz de programación de aplicaciones (API) antes de intentar establecer la conexión de la Easy VPN remota de Cisco. Cuando el túnel expira o falla, las siguientes conexiones deben esperar una llamada de API o que el comando se restablezca en manual.

La opción acl especifica la configuración activada por la ACL, que se utiliza para las aplicaciones basadas en transacciones y para el respaldo de marcado. Mediante esta opción, puede definir el tráfico "interesante" que hace que el túnel se establezca.

default: configura el siguiente comando con sus valores predeterminados.

exit: sale del modo configuración de la Easy VPN de Cisco y vuelve al modo configuración global.

group nombre del grupo key clave grupal: especifica el nombre del grupo y el valor de la clave para la conexión VPN.

idle-time: (opcional) tiempo de inactividad posterior a la desconexión del túnel Easy VPN.

local-address nombre de interfaz: informa a la Easy VPN remota de Cisco qué interfaz se utiliza para determinar la dirección IP pública, que le da origen al túnel. Esto se aplica sólo a los routers de Cisco de acceso por cable  uBR905 y uBR925.

El valor del argumento nombre de interfaz especifica la interfaz desde la cual se origina el tráfico del túnel.

Después de especificar la dirección local utilizada para originar el tráfico del túnel, se puede obtener la dirección IP de dos maneras:

Se puede utilizar el subcomando local-address con el comando cable-modem dhcp-proxy {interface loopback número} para obtener una dirección IP pública y asignarla automáticamente a la interfaz de bucle de retorno.

Se puede asignar la dirección IP a la interfaz de bucle de retorno manualmente.

mode {client | network-extension | network extension plus}: especifica el modo de funcionamiento VPN del router:

El modo client (predeterminado) configura automáticamente el router para el modo de funcionamiento cliente de la Easy VPN de Cisco, que utiliza la traducción de direcciones de red (NAT) o la traducción de direcciones de puertos (PAT). Cuando se asigna la configuración de la Easy VPN remota de Cisco a una interfaz, el router crea automáticamente la NAT o PAT y la configuración de la listas de acceso necesarias para la conexión VPN.

La opción network-extension especifica que el router se debe convertir en una extensión remota de la red corporativa en el otro extremo de la conexión VPN. Por lo general, a las PC conectadas al router se les asigna una dirección IP en el espacio de la dirección de la red corporativa.

El modo network extension plus es igual al modo extensión de red con la capacidad adicional de poder solicitar una dirección IP mediante la configuración de modo y asignarla automáticamente a una interfaz de bucle de retorno disponible Las asociaciones de seguridad IPsec (SA) para esta dirección IP se crean automáticamente mediante la Easy VPN remota. Generalmente, la dirección IP se utiliza para la resolución de problemas (mediante ping, Telnet y SSH).

no: elimina el comando o restablece los valores predeterminados.

peer {dirección ip | nombre del host} [default]: configura la dirección IP del par o el nombre del host para la conexión VPN. Sólo se puede especificar un nombre de host cuando el router cuenta con un servidor DNS (sistema de nombres de dominio) disponible para la resolución de un nombre de host.

Se puede utilizar el subcomando peer múltiples veces.

La palabra clave default define al par dado como par principal. Cuando las negociaciones SA de la fase 1 fallan y la Easy VPN migra tras un error del par principal al siguiente par en la lista de respaldo, y luego el par principal vuelve a estar disponible, la conexión actual se interrumpe y se vuelve a establecer la conexión con el par principal.

username nombre password {0 | 6} {contraseña}: permite guardar su contraseña de autenticación ampliada (Xauth) localmente en su PC. En las siguientes autenticaciones, puede activar la casilla de verificación guardar contraseña en el cliente de software o agregar el nombre de usuario y la contraseña al perfil del cliente de hardware de Cisco IOS. La configuración se mantiene hasta que el atributo guardar contraseña se elimina del perfil grupal del servidor.

0 especifica que le sigue una contraseña no cifrada.

6 especifica que le sigue una contraseña cifrada.

contraseña especifica la contraseña de usuario no cifrada (cleartext).

La opción guardar contraseña es útil sólo si la contraseña del usuario es estática, es decir, si no es una contraseña de uso único (OTP), tal como una contraseña generada por un token.

virtual-interface [número de plantilla virtual]: especifica una interfaz virtual para un dispositivo remoto Easy VPN. Si se especifica un número de plantilla virtual, la interfaz virtual deriva de la plantilla virtual configurada. Si no se especifica un número de plantilla virtual, se crea una interfaz de acceso virtual genérico del túnel tipo. Si la creación es exitosa, la Easy VPN convierte a la interfaz de acceso virtual en su interfaz externa (es decir, la criptografía y la NAT se aplican a la interfaz de acceso virtual). Si la creación fracasa, la Easy VPN imprime un mensaje de error y permanece en estado inactivo "IDLE".

Después de configurar la Easy VPN remota de Cisco, utilice el comando exit para salir del modo configuración de la Easy VPN remota de Cisco y volver al modo configuración global.


Nota No se puede utilizar el comando no crypto ipsec client ezvpn para eliminar una configuración de la Easy VPN remota de Cisco asignada a una interfaz. Primero debe eliminar esa configuración de la Easy VPN remota de Cisco de la interfaz antes de eliminar la configuración.


Ejemplos

El siguiente ejemplo muestra cómo se crea una configuración de la Easy VPN remota de Cisco llamada "telecommuter-client" en un router de Cisco de acceso por cable uBR905 o uBR925 y se asigna a una interfaz de cable 0:

Router# configure terminal
Router(config)# crypto ipsec client ezvpn telecommuter-client
Router(config-crypto-ezvpn)# group telecommute-group key secret-telecommute-key
Router(config-crypto-ezvpn)# peer telecommuter-server
Router(config-crypto-ezvpn)# mode client
Router(config-crypto-ezvpn)# exit
Router(config)# interface c0
Router(config-if)# crypto ezvpn telecommuter-client
Router(config-if)# exit

Nota especificar la opción mode client, como se observa más arriba, es opcional dado que esta es una configuración predeterminada para estas opciones.


El siguiente ejemplo muestra cómo se quita de la interfaz la configuración de la Easy VPN remota de Cisco llamada "telecommuter-client" y cómo se elimina posteriormente:

Router# configure terminal
Router(config)# interface e1
Router(config-if)# no crypto ipsec client ezvpn telecommuter-client
Router(config-if)# exit
Router(config)# no crypto ipsec client ezvpn telecommuter-client

El siguiente ejemplo muestra la configuración de una interfaz virtual IPsec configurada para el dispositivo remoto Easy VPN:

crypto ipsec client ezvpn EasyVPN1
 virtual-interface 3

Comandos relacionados

Comando
Descripción

crypto ipsec client ezvpn (interfaz)

Asigna una configuración de la Easy VPN remota de Cisco a una interfaz.


crypto ipsec client ezvpn (interfaz)

Para asignar una configuración de la Easy VPN remota de Cisco a una interfaz, especifique si la interfaz es externa o interna y configure múltiples interfaces externas e internas; utilice el comando crypto ipsec client ezvpn en modo configuración de interfaz. Para eliminar la configuración de la Easy VPN remota de Cisco de la interfaz, utilice la forma de este comando con no.

crypto ipsec client ezvpn nombre [outside | inside]

no crypto ipsec client ezvpn nombre [outside | inside]


Nota Hay un comando independiente crypto ipsec client ezvpn en modo de configuración global que crea una configuración de la Easy VPN remota de Cisco.


Descripción de la sintaxis

nombre

Especifica la configuración de la Easy VPN remota de Cisco que se asignará a la interfaz.

externa

(Opcional) especifica la interfaz externa del router del cliente de seguridad IP (IPSec). Puede agregar hasta cuatro túneles externos para todas las plataformas, un túnel por cada interfaz externa.

interna

(Opcional) especifica la interfaz interna del router del cliente IPSec. El Cisco de la serie 1700 no tiene una interfaz interna predeterminada y cualquier interfaz interna debe ser configurada. Los routers de la serie 800 y los routers de acceso por cable uBR905 y uBR925 de Cisco tienen interfaces internas predeterminadas. No obstante, puede configurar cualquier interfaz interna. Puede agregar hasta tres interfaces internas para todas las plataformas.


Valores predeterminados

La interfaz interna predeterminada es la interfaz Ethernet en los routers de la serie 800 de Cisco y los routers de acceso por cable uBR905 y uBR925 de Cisco.

Modos del comando

Configuración de la interfaz

Historial del comando

Versión
Modificación

12.2(4)YA

Se agregó este comando para los routers 806, 826, 827 y  828 de Cisco; para los routers de la serie  1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y  uBR925.

12.2(13)T

Este comando se integró en Cisco IOS versión 12.2(13)T.

12.2(8)YJ

Este comando se mejoró para permitir configurar múltiples interfaces externas e internas para los routers 806, 826,  827 y  828 de Cisco; para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable  uBR905 y  uBR925.

12.2(15)T

Este comando se integró en Cisco IOS versión 12.2(15)T.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

El comando crypto ipsec client ezvpn asigna una configuración de la Easy VPN remota de Cisco a una interfaz, permitiendo la creación de una conexión de red privada virtual (VPN) por esa interfaz hasta el par VPN especificado. Si la configuración de la Easy VPN remota de Cisco está configurada para el modo de funcionamiento cliente, este también configura automáticamente al router para la traducción de direcciones de red (NAT) o la traducción de direcciones de puertos (PAT) y para una lista de acceso asociado.

En Cisco IOS versión 12.2(8)YJ, el comando crypto ipsec client ezvpn se mejoró para permitir la configuración de múltiples interfaces externas e internas. Para configurar múltiples interfaces externas e internas, debe utilizar el comando interface nombre de interfaz para definir primero el tipo de interfaz en el router del cliente IPSec.

En modo cliente para el Cliente Easy VPN de Cisco, se utiliza una sola conexión de asociación de seguridad (SA) para cifrar y descifrar el tráfico proveniente de todas las interfaces internas. En modo extensión de red, se establece una conexión de asociación de seguridad para cada interfaz interna.

Cuando se agrega una nueva interfaz interna o se elimina una existente, todas las conexiones SA se eliminan y se inician nuevas.

Mediante el comando crypto ipsec client ezvpn name inside podrá ver la información de la configuración para la interfaz interna predeterminada. Todas las interfaces internas, ya sea que pertenezcan a un túnel o no, están enumeradas en el modo configuración de interfaz como interfaces internas, junto con el nombre del túnel.

Las siguientes restricciones para Cisco IOS versión 12.2(4)YA se aplican al comando crypto ipsec client ezvpn:

Debido a que la función de Easy VPN remota de Cisco es compatible con un sólo túnel, el comando crypto ipsec client ezvpn sólo se puede asignar a una interfaz. Si intenta asignarlo a más de una interfaz, aparecerá un mensaje de error. Debe utilizar la forma de este comando con no para eliminar la configuración de la primera interfaz antes de asignarla a una segunda interfaz.

El comando crypto ipsec client ezvpn debe asignarse a la interfaz externa de la traducción NAT o PAT. Este comando no puede utilizarse en la interfaz interna NAT o PAT. En algunas plataformas, las interfaces internas y externas son fijas.

Por ejemplo, en los routers de Cisco de acceso por cable uBR905 y uBR925, la interfaz externa es siempre la interfaz de cable. En los routers de la serie 1700 de Cisco, la interfaz FastEthernet es la opción predeterminada para interfaz interna, así que si intenta utilizar el comando crypto ipsec client ezvpn en la interfaz FastEthernet aparece un mensaje de error.


Nota Primero, debe utilizar la versión de configuración global del comando crypto ipsec client ezvpn para crear una configuración de la Easy VPN remota de Cisco antes de asignarla a una interfaz.


Ejemplos

El siguiente ejemplo muestra cómo se asigna una configuración de la Easy VPN remota de Cisco llamada "telecommuter-client" a una interfaz de cable en un router de Cisco de acceso por cable uBR905/uBR925:

Router# configure terminal
Router(config)# interface c0
Router(config-if)# crypto ipsec client ezvpn telecommuter-client
Router(config-if)# exit

El siguiente ejemplo muestra primero un intento de eliminar la configuración de la Easy VPN remota de Cisco llamada "telecommuter-client," pero la configuración no se puede eliminar porque aún está asignada a una interfaz. Luego, la configuración se quita de la interfaz y se elimina.

Router# configure terminal
Router(config)# no crypto ipsec client ezvpn telecommuter-client
Error: crypto map in use by interface; cannot delete
Router(config)# interface e1
Router(config-if)# no crypto ipsec client ezvpn telecommuter-client
Router(config-if)# exit
Router(config)# no crypto ipsec client ezvpn telecommuter-client

Comandos relacionados

Comando
Descripción

crypto ipsec client ezvpn (global)

Crea y modifica una configuración de la Easy VPN remota de Cisco.

interface

Configura un tipo de interfaz.


crypto ipsec client ezvpn connect

Para conectarse con un túnel de la red privada virtual (VPN) con IPSec en una configuración manual, utilice el comando crypto ipsec client ezvpn connect en modo EXEC privilegiado. Para desactivar la conexión, utilice la forma de este comando con no.

crypto ipsec client ezvpn connect nombre

no crypto ipsec client ezvpn connect nombre

Descripción de la sintaxis

nombre

Identifica el túnel VPN con IPsec con un único nombre arbitrario.


Modos del comando

EXEC privilegiado

Historial del comando

Versión
Modificación

12.2(8)YJ

Se agregó este comando para los routers 806, 826, 827 y  828 de Cisco; para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y  uBR925.

12.2(15)T

Este comando se integró en Cisco IOS versión 12.2(15)T.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

Este comando se utiliza con el subcomando connect [auto | manual | acl]. Después de haber designado la configuración manual, la Easy VPN remota de Cisco espera un comando o una llamada de la interfaz de programación de aplicaciones (API) antes de intentar establecer la conexión de la Easy VPN remota de Cisco.

Si la configuración es manual, el túnel se conecta sólo después de que se ingresa el comando crypto ipsec client ezvpn connect nombre en el modo EXEC privilegiado, y después de que se ingresa el subcomando connect [auto] | manual.

Ejemplos

El siguiente ejemplo muestra cómo conectar un túnel VPN con IPSec llamado ISP-tunnel en un router de Cisco de acceso por cable uBR905/uBR925:

Router# crypto ipsec client ezvpn connect ISP-tunnel

Comandos relacionados

Comando
Descripción

connect

Establece y termina manualmente el túnel VPN con IPsec a pedido.

crypto ipsec client ezvpn (global)

Crea y modifica una configuración de la Easy VPN remota de Cisco.


crypto ipsec client ezvpn xauth

Para responder a una solicitud de autorización de red privada virtual (VPN) pendiente, utilice el comando crypto ipsec client ezvpn xauth en modo EXEC privilegiado.

crypto ipsec client ezvpn xauth nombre

Descripción de la sintaxis

nombre

Identifica el túnel VPN con seguridad IP (IPsec) con un único nombre arbitrario. Se requiere este nombre.


Modos del comando

EXEC privilegiado

Historial del comando

Versión
Modificación

12.2(4)YA

Se agregó este comando para los routers 806, 826, 827 y  828 de Cisco; para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y  uBR925.

12.2(8)YJ

Este comando se mejoró para especificar un túnel VPN con IPSec para los routers 806, 826, 827 y 828 de Cisco, para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y uBR925.

12.2(8)YJ

Este comando se mejoró para especificar un túnel VPN con IPSec para los routers 806, 826, 827 y  828 de Cisco, para los routers de la serie 1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y uBR925.

12.2(15)T

Este comando se integró en Cisco IOS versión 12.2(15)T.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

Si no se especifica el nombre del túnel, la solicitud de autorización se realiza en el túnel activo. Si hay más de un túnel activo, el comando falla y emite un mensaje que solicita la especificación de un nombre de túnel.

Cuando se realiza una conexión VPN, es posible que se le pida a los usuarios individuales información de autorización, como el nombre de usuario o la contraseña. Cuando el extremo remoto requiere esta información, el router muestra un mensaje en la consola del router que ordena al usuario ingresar el comando crypto ipsec client ezvpn xauth . El usuario utiliza la interfaz de línea de comandos (CLI) para ingresar este comando y brindar la información solicitada por los mensajes que aparecen después de haber ingresado el comando.


Nota Si el usuario no responde a la notificación de autenticación, el mensaje se repite cada 10 segundos.


Ejemplos

El siguiente ejemplo muestra un caso en el cual el usuario recibe mensajes para ingresar el comando crypto ipsec client ezvpn xauth. Luego, el usuario ingresa la información solicitada y continúa.

Router#
20:27:39: EZVPN: Pending XAuth Request, Please enter the following command:
20:27:39: EZVPN: crypto ipsec client ezvpn xauth

Router> crypto ipsec client ezvpn xauth
Enter Username and Password: userid
Password: ************

Comandos relacionados

Comando
Descripción

crypto ipsec client ezvpn (interfaz)

Asigna una configuración de la Easy VPN remota de Cisco a una interfaz.


debug crypto ipsec client ezvpn

Para mostrar información acerca de los mensajes de control de voz que han sido capturados por el registrador de mensajes de control DSP de voz y acerca de las conexiones de la Easy VPN remota de Cisco, utilice el comando debug crypto ipsec client ezvpn en modo EXEC privilegiado. Para desactivar el resultado de la depuración, utilice la forma de este comando con no.

debug crypto ipsec client ezvpn

no debug crypto ipsec client ezvpn

Descripción de la sintaxis

Este comando no tiene argumentos o palabras clave.

Valores predeterminados

Sin valores ni conducta predeterminados.

Modos del comando

EXEC privilegiado

Historial del comando

Versión
Modificación

12.2(4)YA

Se agregó este comando para los routers 806, 826, 827 y  828 de Cisco; para los routers de la serie  1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y  uBR925.

12.2(13)T

Este comando se integró en Cisco IOS versión 12.2(13)T.

12.3(4)T

Este comando se amplió para ser compatible con la función Easy VPN remota.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

Para obligar a la Easy VPN remota de Cisco a restablecer las conexiones con la red privada virtual (VPN), utilice los comandos clear crypto sa and clear crypto isakmp para eliminar las asociaciones de seguridad IPSec y las conexiones de intercambio de claves de Internet (IKE), respectivamente.

Ejemplos

El siguiente ejemplo muestra los mensajes de depuración cuando se activa la Easy VPN remota de Cisco y mensajes de depuración típicos que aparecen cuando se crea el túnel VPN:

Router# debug crypto ipsec client ezvpn

EzVPN debugging is on
router#
00:02:28: EZVPN(hw1): Current State: IPSEC_ACTIVE
00:02:28: EZVPN(hw1): Event: RESET
00:02:28: EZVPN(hw1): ezvpn_close
00:02:28: EZVPN(hw1): New State: CONNECT_REQUIRED
00:02:28: EZVPN(hw1): Current State: CONNECT_REQUIRED
00:02:28: EZVPN(hw1): Event: CONNECT
00:02:28: EZVPN(hw1): ezvpn_connect_request
00:02:28: EZVPN(hw1): New State: READY
00:02:29: EZVPN(hw1): Current State: READY
00:02:29: EZVPN(hw1): Event: MODE_CONFIG_REPLY
00:02:29: EZVPN(hw1): ezvpn_mode_config
00:02:29: EZVPN(hw1): ezvpn_parse_mode_config_msg
00:02:29: EZVPN: Attributes sent in message:
00:02:29: Address: 10.0.0.5
00:02:29: Default Domain: cisco.com
00:02:29: EZVPN(hw1): ezvpn_nat_config
00:02:29: EZVPN(hw1): New State: SS_OPEN
00:02:29: EZVPN(hw1): Current State: SS_OPEN
00:02:29: EZVPN(hw1): Event: SOCKET_READY
00:02:29: EZVPN(hw1): No state change
00:02:30: EZVPN(hw1): Current State: SS_OPEN
00:02:30: EZVPN(hw1): Event: MTU_CHANGED
00:02:30: EZVPN(hw1): No state change
00:02:30: EZVPN(hw1): Current State: SS_OPEN
00:02:30: EZVPN(hw1): Event: SOCKET_UP
00:02:30: ezvpn_socket_up
00:02:30: EZVPN(hw1): New State: IPSEC_ACTIVE

El siguiente ejemplo muestra la pantalla de visualización típica de un túnel VPN que se restablece con el comando clear crypto ipsec client ezvpn:

3d17h: EZVPN: Current State: READY
3d17h: EZVPN: Event: RESET
3d17h: ezvpn_reconnect_request
3d17h: ezvpn_close
3d17h: ezvpn_connect_request
3d17h: EZVPN: New State: READY
3d17h: EZVPN: Current State: READY
3d17h: EZVPN: Event: MODE_CONFIG_REPLY
3d17h: ezvpn_mode_config
3d17h: ezvpn_parse_mode_config_msg
3d17h: EZVPN: Attributes sent in message:
3d17h:         DNS Primary: 172.16.0.250
3d17h:         DNS Secondary: 172.16.0.251
3d17h:         NBMS/WINS Primary: 172.16.0.252
3d17h:         NBMS/WINS Secondary: 172.16.0.253
3d17h:         Split Tunnel List: 1
3d17h:               Address    : 172.16.0.128
3d17h:               Mask       : 255.255.255.128
3d17h:               Protocol   : 0x0
3d17h:               Source Port: 0
3d17h:               Dest Port  : 0
3d17h:         Split Tunnel List: 2
3d17h:               Address    : 172.16.1.128
3d17h:               Mask       : 255.255.255.128
3d17h:               Protocol   : 0x0
3d17h:               Source Port: 0
3d17h:               Dest Port  : 0
3d17h:         Default Domain: cisco.com
3d17h: ezvpn_nat_config
3d17h: EZVPN: New State: SS_OPEN
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_READY
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_READY
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: MTU_CHANGED
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_UP
3d17h: EZVPN: New State: IPSEC_ACTIVE
3d17h: EZVPN: Current State: IPSEC_ACTIVE
3d17h: EZVPN: Event: MTU_CHANGED
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: IPSEC_ACTIVE
3d17h: EZVPN: Event: SOCKET_UP

El siguiente ejemplo muestra la pantalla de visualización típica de un túnel VPN que se elimina de la interfaz con el comando no crypto ipsec client ezvpn:

4d16h: EZVPN: Current State: IPSEC ACTIVE
4d16h: EZVPN: Event: REMOVE INTERFACE CFG
4d16h: ezvpn_close_and_remove
4d16h: ezvpn_close
4d16h: ezvpn_remove
4d16h: EZVPN: New State: IDLE

Comandos relacionados

Comando
Descripción

debug crypto ipsec

Muestra mensajes de depuración para eventos IPSec genéricos.

debug crypto isakmp

Muestra mensajes de depuración para eventos IKE.


debug ip auth-proxy ezvpn

Para mostrar información relacionada con el comportamiento de la autenticación del proxy para la activación basada en la Web, utilice el comando debug ip auth-proxy ezvpn en modo EXEC privilegiado. Para desactivar la depuración, utilice la forma de este comando con no.

debug ip auth-proxy ezvpn

no debug ip auth-proxy ezvpn

Descripción de la sintaxis

Este comando no tiene argumentos o palabras clave.

Valores predeterminados

La depuración no está activada.

Modos del comando

EXEC privilegiado

Historial del comando

Versión
Modificación

12.3(14)T

Se introdujo este comando.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso


Precaución El uso de este comando puede producir resultados considerables si se realizan autenticaciones simultáneas.

Ejemplos

El siguiente es el resultado del uso del comando debug ip auth-proxy ezvpn. El resultado muestra el comportamiento de la autenticación del proxy en una activación basada en la Web.

Router# debug ip auth-proxy ezvpn

*Dec 20 20:25:11.006: AUTH-PROXY: New request received by EzVPN WebIntercept from
  10.4.205.205
*Dec 20 20:25:17.150: AUTH-PROXY:GET request received
*Dec 20 20:25:17.150: AUTH-PROXY:Authentication scheme is 401
*Dec 20 20:25:17.362: AUTH-PROXY:Authorization information not present in GET request
*Dec 20 20:25:17.362: AUTH-PROXY: Allocated on credinfo for connect at 0x81EF1A84
*Dec 20 20:25:17.362: AUTH-PROXY: Posting CONNECT request to EzVPN
*Dec 20 20:25:17.362: EZVPN(tunnel22): Received CONNECT from 10.4.205.205!
*Dec 20 20:25:17.366: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
*Dec 20 20:25:17.366: EZVPN(tunnel22): Event: CONNECT

El resultado en la pantalla de visualización se explica por sí mismo.

Comandos relacionados

Comando
Descripción

xauth userid mode

Especifica la manera en que el Cliente Easy VPN de Cisco administra las solicitudes Xauth o los mensajes del servidor.


icmp-echo

Para configurar una operación de eco con un protocolo de mensajes de control de Internet (ICMP) de acuerdos de nivel de servicio IP (SLA), utilice el comando icmp-echo en modo configuración de SLA IP.

icmp-echo {dirección IP de destino | nombre del host de destino} [source-ip {dirección IP | nombre del host} | source-interfacenombre de interfaz]

Descripción de la sintaxis

dirección IP de destino | nombre del host de destino

Dirección IP de destino o nombre del host.

source-ip {dirección IP | nombre del host}

(Opcional) especifica la dirección IP o el nombre del host de origen. Cuando no se especifica una dirección IP o un nombre de host de origen, el SLA IP opta por la dirección IP más cercana al destino.

source-interfacenombre de interfaz

(Opcional) Especifica la interfaz de origen para la operación.


Valores predeterminados

No hay ningún tipo de operación de SLA IP configurado para la operación que se está configurando.

Modos del comando

Configuración de SLA IP (config-ip-sla)

Historial del comando

Versión
Modificación

12.4(4)T

Se introdujo este comando. Este comando reemplaza el comando type echo protocol ipIcmpEcho .


Pautas de uso

El tamaño predeterminado de la información de los paquetes de solicitudes para una operación de eco ICMP es de 28 bytes. Utilice el comando request-data-size para modificar este valor. Este tamaño de datos es la porción de carga útil del paquete ICMP, que compone un paquete IP de 64 bytes.

Debe configurar el tipo de operación de SLA IP (tal como la fluctuación del protocolo de datagrama del usuario [UDP] o el eco del protocolo de mensajes de control de Internet [ICMP]) antes de configurar cualquier otro parámetro de la operación. Para modificar el tipo de operación de una operación de SLA IP existente, debe eliminar primero la operación de SLA IP, (mediante el comando de configuración global no ip sla ) y después, volver a configurar la operación con el nuevo tipo de operación.

Ejemplos

En el siguiente ejemplo, se crea y configura la operación de SLA IP 10 como una operación de eco mediante el protocolo ICMP y la dirección IP de destino 172.16.1.175:

ip sla 10
 icmp-echo 172.16.1.175
!
ip sla schedule 10 start-time now

Comandos relacionados

Comando
Descripción

ip sla monitor

Comienza la configuración para una operación de SLA IP y accede al modo configuración de supervisión de SLA IP.

rtr

Comienza la configuración para una operación de SLA IP y accede al modo configuración de RTR.


ip http ezvpn

Para activar la interfaz de servidor web de la Easy VPN remota de Cisco, utilice el comando ip http ezvpn en modo configuración global. Para desactivar la interfaz de servidor web de la Easy VPN remota de Cisco, utilice la forma de este comando con no.

Routers de Cisco de acceso por cable uBR905 y BR925

ip http ezvpn

no ip http ezvpn

Descripción de la sintaxis

Este comando no tiene argumentos o palabras clave.

Valores predeterminados

La interfaz de servidor web de la Easy VPN remota de Cisco está desactivada en forma predeterminada.

Modos del comando

Configuración global

Historial del comando

Versión
Modificación

12.2(8)YJ

Este comando se introdujo para los routers de Cisco de acceso por cable uBR905 y uBR925.

12.2(15)T

Este comando se integró en Cisco IOS versión 12.2(15)T.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

Este comando activa el servidor web de la Easy VPN remota de Cisco, un servidor web integrado que permite a los usuarios conectar un túnel Easy VPN con IPsec y brindar la información de autenticación requerida. El servidor web de la Easy VPN remota de Cisco permite a los usuarios realizar estas funciones sin tener que usar la interfaz de línea de comandos (CLI) de Cisco.

Antes de usar este comando, primero debe activar el servidor  web de Cisco, que está incorporado al router de acceso por cable, mediante el comando ip http server. Luego, utilice el comando ip http ezvpn para activar el servidor web de la Easy VPN remota de Cisco. Después, puede acceder al servidor web ingresando la dirección IP para la interfaz Ethernet del router en su explorador web.


Nota La interfaz web de la Easy VPN remota de Cisco no es compatible con la interfaz web de monitor por cable en Cisco IOS versión 12.2(8)YJ. Para acceder a la interfaz web de monitor por cable, primero desactive la interfaz web de la Easy VPN remota de Cisco con el comando no ip http ezvpn, y luego active el monitor por cable con el comando ip http cable-monitor.


Ejemplos

El siguiente ejemplo muestra cómo activar la interfaz de servidor web de la Easy VPN remota de Cisco:

Router# configure terminal
Router(config)# ip http server
Router(config)# ip http ezvpn
Router(config)# exit
Router# copy running-config startup-config

Comandos relacionados

Comando
Descripción

ip http cable-monitor

Activa y desactiva la función servidor web de monitor por cable.

ip http port

Configura el número de puerto TCP para el servidor web HTTP del router.

ip http server

Activa y desactiva el servidor web HTTP del router.


show crypto ipsec client ezvpn

Para mostrar la configuración de la Easy VPN remota de Cisco, utilice el comando show crypto ipsec client ezvpn en modo EXEC privilegiado.

show crypto ipsec client ezvpn

Descripción de la sintaxis

Este comando no tiene argumentos o palabras clave.

Modos del comando

EXEC privilegiado

Historial del comando

Versión
Modificación

12.2(4)YA

Se agregó este comando para los routers 806, 826, 827 y  828 de Cisco; para los routers de la serie  1700 de Cisco; y para los routers de Cisco de acceso por cable uBR905 y  uBR925.

12.2(13)T

Este comando se integró en Cisco IOS versión 12.2(13)T.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Ejemplos

El siguiente ejemplo muestra una pantalla de visualización típica del comando show crypto ipsec client ezvpn para una conexión de la red privada virtual (VPN) cuando el router está en modo cliente. Las últimas dos líneas indican que un URL de configuración y un número de versión de configuración han sido activados por el servidor mediante un intercambio de configuración de modos en el dispositivo remoto Easy VPN.

Router# show crypto ipsec client ezvpn

Tunnel name: hw1
Inside interface list: FastEthernet0/0, Serial1/0,
Outside interface: Serial0/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.201.0
Mask: 255.255.255.224
DNS Primary: 192.168.201.1
DNS Secondary: 192.168.201.2
NBMS/WINS Primary: 192.168.201.3
NBMS/WINS Secondary: 192.168.201.4
Default Domain: cisco.com
Configuration URL: http://10.8.8.88/easy.cfg
Configuration Version: 10

El siguiente ejemplo muestra una pantalla de visualización típica del comando show crypto ipsec client ezvpn para una conexión VPN activa cuando el router está en modo extensión de red.

Router# show crypto ipsec client ezvpn

Tunnel name: hw1
Inside interface list: FastEthernet0/0, Serial1/0,
Outside interface: Serial0/0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.202.128
Mask: 255.255.255.224
Default Domain: cisco.com

Split Tunnel List: 1
       Address    : 192.168.200.225
       Mask       : 255.255.255.224
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0

El siguiente ejemplo muestra una pantalla de visualización típica del comando show crypto ipsec client ezvpn para una conexión VPN inactiva:

Router# show crypto ipsec client ezvpn

Current State: IDLE
Last Event: REMOVE INTERFACE CFG
Router#

El siguiente ejemplo muestra información acerca de la interfaz externa "Virtual-Access1", que está conectada a la interfaz real (Ethernet0/0) sobre la cual el usuario ha configurado la Easy VPN como una interfaz externa:

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5
Tunnel name : ez
Inside interface list: Ethernet1/0,
Outside interface: Virtual-Access1 (bound to Ethernet0/0)
Easy VPN connect ACL checking active
Connect : ACL based with access-list 101
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.0.0.2

La Tabla 4 describe campos importantes que el comando show crypto ipsec client ezvpn muestra:

Tabla 4 Descripciones de campo del comando show crypto ipsec client ezvpn

Campo
Descripción

Estado actual

Muestra si la conexión del túnel VPN está activa o inactiva. Por lo general, cuando el túnel está activo, el estado actual es IPSEC ACTIVE.

Último evento

Muestra el último evento realizado en el túnel VPN. Por lo general, el último evento anterior a la creación de un túnel es SOCKET UP.

Dirección

Muestra la dirección IP utilizada en la interfaz externa.

Máscara

Muestra la máscara de subred utilizada para la interfaz externa.

DNS Principal

Muestra el servidor de sistema de nombres de dominio (DNS) principal provisto por el servidor de protocolo de configuración de host dinámico (DHCP).

DNS Secundario

Muestra el servidor DNS secundario provisto por el servidor DHCP.

Nombre de dominio

Muestra el nombre de dominio provisto por el servidor DHCP.

NBMS/WINS principal

Muestra el servidor de nombres NetBIOS Microsoft Windows principal provisto por el servidor DHCP.

NBMS/WINS secundario

Muestra el servidor de nombres NetBIOS Microsoft Windows secundario provisto por el servidor DHCP.


Comandos relacionados

Comando
Descripción

show crypto ipsec transform

Muestra la configuración específica para uno o todos los conjuntos de transformaciones.


show tech-support

Para mostrar información general acerca del router cuando éste notifica un problema, utilice el comando show tech-support en el modo EXEC privilegiado.

show tech-support [page] [password] [cef | ipc | ipmulticast | isis | mpls | ospf [ID del proceso | detail] | rsvp]

Descripción de la sintaxis

página

(Opcional) hace que el resultado muestre una página de información por vez. Utilice la tecla de retroceso para mostrar la siguiente línea del resultado o la barra espaciadora para mostrar la siguiente página de información. Si no las utiliza, el resultado se desplaza (es decir, no se detiene en los cortes de página).

contraseña

(Opcional) deja contraseñas y demás información de seguridad en el resultado. Si no se utiliza, las contraseñas y demás información de seguridad en el resultado son reemplazadas por la etiqueta "<removed>" (esta es la opción predeterminada).

cef

(Opcional) muestra el resultado del comando show propio de Cisco Express Forwarding (CEF).

ipc

(Opcional) muestra el resultado del comando show propio de las comunicaciones entre procesos (IPC).

ipmulticast

(Opcional) muestra el resultado del comando show relacionado con la configuración de la multidifusión IP, incluida la información sobre la multidifusión independiente con protocolo (PIM), la información sobre el protocolo de administración de grupos de Internet (IGMP) y la información sobre el protocolo de enrutamiento de multidifusión por vector de distancia (DVMRP).

isis

(Opcional) muestra el resultado del comando show propio del servicio de red no orientado a la conexión (CLNS) y el protocolo de sistema intermedio a sistema intermedio (ISIS).

mpls

(Opcional) muestra el resultado del comando show propio de los reenvíos y aplicaciones del protocolo de conmutación de capas múltiples (MPLS)

ospf [ ID del proceso | detail]

(Opcional) muestra el resultado del comando show propio de la conexión de red con protocolo de apertura de ruta más corta (OSOF).

rsvp

(Opcional) muestra el resultado del comando show propio de la conexión de red con protocolo de reserva de recursos (RSVP).


Valores predeterminados

El resultado se desplaza sin cortes de página.
Las contraseñas y demás información de seguridad se quitan del resultado.

Modos del comando

EXEC privilegiado

Historial del comando

Versión
Modificación

11.2

Se introdujo este comando.

11.3(7), 11.2(16)

Se amplió el resultado de este comando para mostrar información adicional para boot, bootflash, context y traffic para todos los protocolos activados.CSCdj06229

12.0

Se amplió el resultado de este comando para mostrar información adicional para boot, bootflash, context y traffic para todos los protocolos activados. Se agregaron las palabras clave cef, ipmulticast, isis, mlps y ospf a este comando.

12.2(13)T

Se quitó la compatibilidad con AppleTalk EIGRP, Apollo Domain, Banyan VINES, Novell Link-State Protocol y XNS del software Cisco IOS.

12.3(4)T

Se amplió el resultado de este comando para incluir el resultado del comando show inventory.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

El comando show tech-support sirve para recopilar una gran cantidad de información acerca de su dispositivo de enrutamiento con el fin de resolver problemas. Se puede ofrecer el resultado de este comando a los representantes de soporte técnico cuando se notifica un problema.


Nota Este comando puede generar un resultado importante. Es posible que desee redirigir el resultado a un archivo mediante la extensión de la sintaxis del comando show inventory | redirect url. El redireccionamiento del resultado a un archivo también facilita el envío de este resultado a su representante de soporte técnico. Consulte la documentación del comando show <command> | redirect para obtener más información sobre esta opción.


El comando show tech-support muestra el resultado de una cantidad de comandos show a la vez. El resultado de este comando variará según su plataforma y configuración. Por ejemplo, los servidores de acceso mostrarán el resultado de show relacionado con la voz. Además, los comandos show protocol traffic se mostrarán sólo para los protocolos activados en su dispositivo. El resultado del comando show tech-support puede incluir el resultado de los siguientes comandos:

show apollo traffic

show appletalk traffic

show bootflash

show bootvar

show buffers

show cdp neighbors

show cef

show clns traffic

show context

show controllers

show decnet traffic

show interfaces

show ip cef

show ip interface

show ip traffic

show isis

show mpls

show novell traffic

show processes cpu

show processes memory

show running-config

show stacks

show version

show vines traffic

show xns traffic

show file systems

dir nvram:

show disk0: all

show process cpu

show pci controller

El uso de las palabras clave opcionales cef, ipmulticast, ipc, isis, mpls , ospf, o rsvp brinda una manera de mostrar una cantidad de comandos show propios de un protocolo o proceso particular, además de los comandos show antes mencionados.

Por ejemplo, si su representante de soporte del TAC sospecha que puede haber un problema en la configuración de su Cisco Express Forwarding (CEF), es posible que se le solicite el resultado del comando show tech-support cef . El comando show tech-support [page] [password] cef mostrará el resultado de los siguientes comandos, además del resultado del comando estándar show tech-support:

show ip cef summary

show adjacency summary

show ip cef events summary

show ip cef inconsistency records detail

show cef interface

show cef events

show cef timers

show interfaces stats

show cef drop

show cef not-cef-switched

Ejemplos

Para consultar la pantalla de visualización de ejemplo del resultado del comando show tech-support, remítase a la documentación sobre el comando show enumerada en la sección "Pautas de uso".

Comandos relacionados

Comando
Descripción

show bootflash

Muestra el contenido de la memoria de inicialización Flash.

show bootvar

Muestra el contenido de la variable de entorno BOOT, el nombre del archivo de configuración señalado por la variable de entorno CONFIG_FILE, el contenido de la variable de entorno BOOTLDR y los parámetros de registro de configuración.

show buffers

Muestra estadísticas para las agrupaciones de memoria intermedia en el servidor de la red.

show clns traffic

Muestra una lista de los paquetes del CLNS que este router ha visto.

show <command> | redirect

Redirige el resultado de cualquier comando show a un archivo.

show context

Muestra datos del contexto.

show controllers

Muestra información propia del hardware.

show controllers tech-support

Muestra información general acerca de una tarjeta VIP para la notificación de problemas.

show decnet traffic

Muestra las estadísticas del tráfico DECnet (incluidos los datagramas enviados, recibidos y reenviados).

show interfaces

Muestra la información de ALC.

show inventory

Muestra una lista de inventario de productos y UDI de todos los productos de Cisco instalados en el dispositivo de conexión de red.

show ip traffic

Muestra estadísticas acerca del tráfico IP.

show processes cpu

Muestra información acerca de los procesos activos.

show processes memory

Muestra la cantidad de memoria utilizada.

show region

Muestra información del estado del administrador de región.

show running-config

Muestra la configuración actual de su dispositivo de enrutamiento.

show stacks

Muestra el uso de pila de procesos y rutinas de interrupción.

show version

Muestra la configuración de hardware del sistema, la versión de software, los nombres y los orígenes de los archivos de configuración y las imágenes de inicio.


type echo protocol ipIcmpEcho


Nota El eficaz comando con Cisco IOS versión 12.4(4)T type echo protocol ipIcmpEcho es reemplazado por el comando icmp-echo. Consulte el comando icmp-echo para obtener más información.


Para configurar una operación de eco con un protocolo de mensajes de control de Internet (ICMP) de acuerdos de nivel de servicio IP (SLA), utilice el comando type echo protocol ipIcmpEcho en el modo configuración de supervisión de SLA IP o configuración de RTR.

type echo protocol ipIcmpEcho {dirección IP de destino | nombre del host de destino} [source-ipaddr {dirección IP | nombre del host} | source-interfacenombre de interfaz]

Descripción de la sintaxis

dirección IP de destino | nombre del host de destino

Dirección IP de destino o nombre del host para la operación.

source-ipaddr {dirección IP | nombre del host}

(Opcional) especifica la dirección IP o el nombre del host de origen. Cuando no se especifica una dirección IP o un nombre de host de origen, el SLA IP opta por la dirección IP más cercana al destino.

source-interfacenombre de interfaz

(Opcional) Especifica la interfaz de origen para la operación.


Valores predeterminados

No hay ningún tipo de operación de SLA IP configurado para la operación que se está configurando.

Modos del comando

Configuración de supervisión de SLA IP (config-sla-monitor)
configuración de RTR (config-rtr)

Historial del comando

Versión
Modificación

11.2

Se introdujo este comando.

12.0(5)T

Se agregaron las siguientes palabras clave y argumentos:

source-ipaddr {dirección IP | nombre del host}

12.3(7)XR

Se agregaron la palabra clave source-interface y el argumento nombre de interfaz.

12.3(11)T

Se agregaron la palabra clave source-interface y el argumento nombre de interfaz.

12.4(4)T

Se reemplazó este comando por el comando icmp-echo.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

El tamaño predeterminado de la información de los paquetes de solicitudes para una operación de eco ICMP es de 28 bytes. Utilice el comando request-data-size para modificar este valor. Este tamaño de datos es la porción de carga útil del paquete ICMP, que compone un paquete IP de 64 bytes.

Configuración de la operación de SLA IP según la versión de Cisco IOS

El comando de Cisco IOS utilizado para comenzar a configurar la operación de SLA IP varía según la versión de Cisco IOS que esté ejecutando (consulte la Tabla 5). Debe configurar el tipo de operación de SLA IP (tal como la fluctuación del protocolo de datagrama del usuario [UDP] o el eco del protocolo de mensajes de control de Internet [ICMP]) antes de configurar cualquier otro parámetro de la operación.

Para modificar el tipo de operación de una operación de SLA IP existente, debe eliminar primero la operación de SLA IP, (mediante el comando de configuración global no ip sla monitor o no rtr) y después, volver a configurar la operación con el nuevo tipo de operación.

Tabla 5 Comando utilizado para comenzar a configurar la operación de SLA IP según la versión de Cisco IOS 

Versión de Cisco IOS
Comando de configuración global
Modo del comando ingresado

12.3(14)T, 12.4 y 12.4(2)T

ip sla monitor

configuración de supervisión de SLA IP

12.4(4)T o versiones superiores

El comando eficaz con Cisco IOS versión 12.4(4)T ip sla monitor es reemplazado por el comando ip sla . Consulte el comando ip sla para obtener más información.

Configuración de SLA IP

El resto de las versiones de Cisco IOS

rtr

Configuración de RTR


Ejemplos

En los siguientes ejemplos, se crea y configura la operación de SLA IP 10 como una operación de eco mediante el protocolo IP/ICMP y la dirección IP de destino 172.16.1.175. Tenga en cuenta que el comando de Cisco IOS utilizado para comenzar a configurar la operación de SLA IP varía según la versión de Cisco IOS que esté ejecutando (consulte la Tabla 5).

Configuración de supervisión de SLA IP

ip sla monitor 10
 type echo protocol ipIcmpEcho 172.16.1.175
!
ip sla monitor schedule 10 start-time now

Configuración de RTR

rtr 10
 type echo protocol ipIcmpEcho 172.16.1.175
!
rtr schedule 10 start-time now

Comandos relacionados

Comando
Descripción

ip sla monitor

Comienza la configuración para una operación de SLA IP y accede al modo configuración de supervisión de SLA IP.

rtr

Comienza la configuración para una operación de SLA IP y accede al modo configuración de RTR.


xauth userid mode

Para especificar la manera en que el Cliente Easy VPN de Cisco administra las solicitudes de autenticación ampliada (Xauth), utilice el comando xauth userid mode en el modo configuración de la Easy VPN remota de Cisco IOS. Para eliminar los parámetros, utilice la forma de este comando con no.

xauth userid mode {http-intercept | interactive | local}

no xauth userid mode {http-intercept | interactive | local}

Descripción de la sintaxis

http-intercept

Se interceptan las conexiones HTTP del usuario mediante la interfaz interna y el indicador.

interactivo

Para autenticarse, el usuario debe utilizar los indicadores de la interfaz de la línea de comandos (CLI) en la consola. El comportamiento predeterminado es interactivo.

local

Se utiliza el nombre de usuario y la contraseña en la configuración.


Valores predeterminados

Si el comando no está configurado, el comportamiento predeterminado es interactivo.

Modos del comando

Configuración de la Easy VPN remota de Cisco IOS

Historial del comando

Versión
Modificación

12.3(14)T

Se introdujo este comando.

12.2(33)SRA

Este comando se integró en Cisco IOS versión 12.2(33)SRA.


Pautas de uso

Si desea ser guiado por la consola, utilice la palabra clave interactive.

Si desea utilizar un nombre de usuario y una contraseña guardados, utilice la palabra clave local . Si se define un nombre de usuario o una contraseña, el modo cambia a ese nombre de usuario o contraseña.

Ejemplos

El siguiente ejemplo muestra cómo se interceptarán las conexiones HTTP del usuario y cómo el usuario puede autenticarse mediante la activación basada en la Web:

crypto ipsec client ezvpn tunnel22
  connect manual
  group tunnel22 key 22tunnel
  mode client
  peer 192.168.0.1
  xauth userid mode http-intercept
!
!
interface Ethernet0
  ip address 10.4.23.15 255.0.0.0
  crypto ipsec client ezvpn tunnel22 inside !
interface Ethernet1
  ip address 192.168.0.13 255.255.255.128
  duplex auto
  crypto ipsec client ezvpn catch22
!

Comandos relacionados

Comando
Descripción

crypto ipsec client ezvpn

Crea una configuración de Easy VPN remota de Cisco.

debug crypto ipsec client ezvpn

Muestra información acerca de los mensajes de control de voz que han sido capturados por el registrador de mensajes de control DSP de voz.

debug ip auth-proxy ezvpn

Muestra información relacionada con el comportamiento de autenticación del proxy para la activación basada en la Web.

show crypto ipsec client ezvpn

Muestra la configuración de la Easy VPN remota de Cisco.

show ip auth-proxy

Muestra las entradas del proxy de autenticación o la configuración del proxy de autenticación en ejecución.


Apéndice A: Atributos compatibles con la configuración de modos

Los siguientes son atributos de la configuración de modos compatibles con la función Easy VPN remota:

INTERNAL_IPV4_ADDRESS

INTERNAL_IPV4_NETMASK

INTERNAL_IPV4_DNS

INTERNAL_IPV4_WINS

MODECFG_BACKUPSERVER

MODECFG_DEFDOMAIN

MODECFG_PFS

MODECFG_SPLIT_INCLUDE

Glosario

AAA: autenticación, autorización y contabilidad. Marco de servicios de seguridad que ofrece un método para la identificación de usuarios (autenticación); el control de acceso remoto (autorización); y la recopilación o el envío de información de servidores de seguridad utilizada para la facturación, la auditoría y los informes (contabilidad).

modo agresivo: modo que elimina varios pasos durante la negociación de autenticación de intercambio de clave de Internet (IKE) entre dos o más pares con IPsec. El modo agresivo es más rápido que el modo principal pero no tan seguro.

autorización: método para el control de acceso remoto, incluida la autorización por única vez o la autorización por cada servicio; el perfil y la lista contable por usuario; la compatibilidad con grupos de usuarios y la compatibilidad con IP, IPX, ARA y Telnet. La autorización AAA recopila un conjunto de atributos que describen lo que el usuario está autorizado a hacer. Estos atributos se comparan con la información presente en una base de datos para un usuario particular y el resultado se envía a AAA para determinar las capacidades y restricciones reales del usuario. Se puede localizar la base de datos localmente en el servidor de acceso o en el router, o se puede alojar remotamente en un servidor de seguridad RADIUS o TACACS+. Los servidores de seguridad remotos, tales como RADIUS y TACACS+, autorizan a los usuarios para determinados derechos asociando pares de atributo-valor, que definen esos derechos con el usuario adecuado. Todos los métodos de autorización deben definirse mediante la AAA.

CA: autoridad certificadora. Una entidad en la red que emite y administra las credenciales de seguridad y las claves públicas (en la forma de certificados X509v3) para el cifrado de mensajes. Como parte de una infraestructura de clave pública (PKI), una CA verifica con una autoridad de registro (RA) para comprobar la información provista por el solicitante de un certificado digital. Si la RA verifica la información del solicitante, la CA puede, entonces, emitir en certificado. Por lo general, los certificados incluyen la clave pública del propietario, la fecha de vencimiento del certificado, el nombre del propietario y demás información relacionada con la clave pública del propietario.

CRWS: herramienta de configuración web del router de Cisco. Herramienta que ofrece capacidades de interfaz web.

DPD: detección de pares inactivos. Consulta la actividad del par de intercambio de claves de Internet (IKE) de un router en intervalos regulares.

DSLAM: multiplexor de acceso a línea digital de abonado. Un dispositivo que conecta muchas líneas digitales de abonados con una red mediante la distribución de tráfico DSL en una o más líneas troncales de la red.

IKE: intercambio de claves de Internet. Norma de protocolo de administración de claves que se utiliza en conjunto con la norma de seguridad IP (IPsec). IPsec es una función de seguridad IP que ofrece una autenticación y cifrado de paquetes IP robusta. Se puede configurar IPsec sin IKE, pero IKE mejora IPsec añadiéndole funciones adicionales, flexibilidad y facilidad de configuración para la norma IPsec. IKE es un protocolo híbrido que implementa el intercambio de claves Oakley y Skeme dentro del marco Asociación de seguridad en Internet y administración de claves (ISAKMP). ISAKMP, Oakley y Skeme son protocolos de seguridad implementados por IKE.

IPsec: protocolo de seguridad IP. Marco de normas abiertas que brindan la confidencialidad, la integridad y la autenticación de los datos entre pares participantes. IPsec ofrece estos servicios de seguridad en la capa IP. IPsec utiliza el IKE para administrar la negociación de protocolos y algoritmos basados en políticas locales y para generar las claves cifradas y de autenticación que utilizará IPsec. IPsec puede utilizarse para proteger uno o más flujos de datos entre pares de hosts, entre pares de puertas de enlace de seguridad o entre una puerta de enlace de seguridad y un host.

modo principal: modo que garantiza el máximo nivel de seguridad cuando dos o más pares IPsec negocian la autenticación IKE. Requiere más tiempo de procesamiento que el modo agresivo.

MIB: base de información para administración. Base de datos de información para administración de redes que un protocolo de administración de redes utiliza y mantiene, tal como el protocolo de administración simple de red (SNMP) o el protocolo de información para administración común (CMIP). El valor de un objeto MIB se puede modificar o recuperar usando los comandos SNMP o CMIP, usualmente mediante una interfaz de usuario gráfica (GUI) del sistema de administración de red (NMS). Los objetos MIB están organizados en una estructura de árbol que incluye ramas públicas (normas) y privadas (propietario).
par: router o dispositivo que participa como punto final (endpoint) en IPsec e IKE.

llave previamente compartida: clave secreta y compartida que utiliza el IKE para la autenticación.

QoS: calidad del servicio. Capacidad de una red de brindar un mejor servicio al tráfico de una red específica mediante varias tecnologías, tales como la retransmisión por frame (frame relay); el modo de transferencia asincrónica (ATM); Ethernet; redes 802.1, SONET y redes de enrutamiento IP que pueden usar cualquiera o todas estas tecnologías subyacentes.

RADIUS: servicio de usuario de acceso telefónico de autenticación remota. Sistema de clientes o servidores distribuidos que asegura las redes contra el acceso no autorizado. Los clientes RADIUS se ejecutan en los routers de Cisco y envían solicitudes de autenticación a un servidor RADIUS central que contiene toda la información sobre la autenticación de usuarios y el acceso al servicio de la red.

SA: asociación de seguridad. Instancia en la política de seguridad y material de claves aplicados a un flujo de datos. Tanto IKE como IPsec utilizan las SA, aunque éstas son independientes las unas de las otras. Las SA IPsec son unidireccionales y únicas en cada protocolo de seguridad. Una SA IKE sólo es utilizada por IKE, y a diferencia de la SA IPsec, es bidireccional. IKE negocia y establece las SA en nombre de IPsec. Un usuario también puede establecer las SA IPsec manualmente.

Se necesita un conjunto de SA para un conducto de datos protegidos, uno por dirección por protocolo. Por ejemplo, si tiene un conducto compatible con la carga útil de seguridad encapsulada (ESP) entre pares, se requiere una SA ESP para cada dirección. Las SA están definidas únicamente por la dirección de destino (punto final IPsec), el protocolo de seguridad (AH o ESP) y el índice de parámetros de seguridad (SPI).

SDM: administrador de dispositivos de seguridad. Administrador de interfaz web que permite conectar o desconectar un túnel VPN y que ofrece una interfaz web para la autenticación ampliada (Xauth).

SNMP: protocolo de administración simple de red. Protocolo de la capa de aplicación que ofrece un formato de mensaje para la comunicación entre los administradores SNMP y agentes.

desvío: mensaje enviado por un agente SNMP a un sistema de administración de red, consola o terminal que indica la ocurrencia de un evento importante, como una condición específicamente definida o el alcance de un umbral.

VPN: red privada virtual. Permite que el tráfico IP circule de manera segura por una red pública TCP/IP mediante el cifrado de todo el tráfico de una red a otra. Una VPN utiliza túneles para cifrar toda la información a nivel IP.

Nota Consulte Términos y acrónimos sobre la conexión entre redes para los términos no incluidos en este glosario.