Программное обеспечение Cisco IOS и NX-OS : Программное обеспечение Cisco IOS версии 12.3 T

Функция Cisco Easy VPN Remote

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Английский (31 октября 2005) | Отзыв

Содержание

Функция Cisco Easy VPN Remote

Содержание

Предварительные условия для функции Cisco Easy VPN Remote

Ограничения для функции Cisco Easy VPN Remote

Информация о функции Cisco Easy VPN Remote

Преимущества функции Cisco Easy VPN Remote

Краткий обзор функции Cisco Easy VPN Remote

Режимы работы

Аутентификация

Способы активации туннелирования

Поддержка восстановления после отказа без сохранения состояния при обнаружении недоступных узлов

Функции Cisco Easy VPN Remote

Настройка функции Cisco Easy VPN Remote

Задачи удаленного администрирования

Задачи по администрированию сервера Easy VPN

Задачи по управлению веб-интерфейсом

Устранение неисправностей соединения VPN

Примеры конфигураций для Cisco Easy VPN Remote

Примеры конфигураций Easy VPN Remote

Примеры конфигураций сервера Easy VPN

Дополнительные ссылки

Дополнительная документация

Стандарты

Базы административной информации (MIB)

Документы RFC

Техническая поддержка

Справочник по командам

clear crypto ipsec client ezvpn

crypto ipsec client ezvpn (global)

crypto ipsec client ezvpn (interface)

crypto ipsec client ezvpn connect

crypto ipsec client ezvpn xauth

debug crypto ipsec client ezvpn

debug ip auth-proxy ezvpn

icmp-echo

ip http ezvpn

show crypto ipsec client ezvpn

show tech-support

type echo protocol ipIcmpEcho

xauth userid mode

Приложение A: поддерживаемые атрибуты настройки режимов

Информация о функции Easy VPN Remote

Глоссарий


Функция Cisco Easy VPN Remote


Первая публикация: 25 ноября 2002 г. 
Последнее обновление: 17 ноября 2007 г.

В данном документе представлены сведения по конфигурированию и мониторингу функции Cisco Easy VPN Remote для создания IPsec-туннелей виртуальной частной сети (VPN) между поддерживаемым маршрутизатором и сервером Easy VPN (маршрутизатор Cisco IOS, концентратор VPN 3000 или брандмауэр Cisco PIX), который поддерживает данную форму шифрования и дешифрования протокола IPsec.

Преимущества данной функции см. в разделе «Преимущества функции Cisco Easy VPN Remote».

Поиск сведений о функциональных возможностях в этом модуле

Используемая вами версия программного обеспечения Cisco IOS может поддерживать не все функции, описанные в данном модуле. Ссылки на документацию модуля с описанием конкретных функций и список версий программного обеспечения, поддерживающих все описанные функции, приведены в разделе «Информация о функциональных возможностях Easy VPN Remote».

Поиск информации о поддержке платформ и образов программного обеспечения Cisco IOS и Catalyst OS

Для поиска информации о поддержке платформ и образов программного обеспечения Cisco IOS и Catalyst OS воспользуйтесь инструментом Cisco Feature Navigator. Для доступа к инструменту Cisco Feature Navigator перейдите на страницу http://www.cisco.com/go/cfn. Учетная запись на веб-сайте cisco.com не требуется.

Содержание

Предварительные условия для функции Cisco Easy VPN Remote

Ограничения для функции Cisco Easy VPN Remote

Информация о функции Cisco Easy VPN Remote

Настройка функции Cisco Easy VPN Remote

Примеры конфигураций для Cisco Easy VPN Remote

Дополнительные ссылки

Справочник по командам

Информация о функции Easy VPN Remote

Глоссарий

Предварительные условия для функции Cisco Easy VPN Remote

Функция Cisco Easy VPN Remote

Маршрутизатор Cisco 800 Series Router с программным обеспечением Cisco IOS версии 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T или 12.3(7)XR2, настроенный как узел Cisco Easy VPN Remote.

Маршрутизатор Cisco 1700 Series Router с программным обеспечением Cisco IOS версии 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T или 12.3(7)XR, настроенный как узел Cisco Easy VPN Remote.

Маршрутизатор Cisco 1800 Series Router фиксированной конфигурации с программным обеспечением Cisco IOS версии 12.3(8)YI.

Кабельный маршрутизатор Cisco uBR905 или Cisco uBR925 Cable Access Router с программным обеспечением Cisco IOS версии 12.2(15)T, настроенный как узел Cisco Easy VPN Remote.

Дополнительный маршрутизатор Cisco или концентратор VPN, поддерживающий функцию Cisco Easy VPN Server и настроенный как сервер Cisco IOS Easy VPN. Подробный список см. в разделе «Необходимые серверы Easy VPN».

Функция повторной активации первичного узла

Существующую конфигурацию Easy VPN Remote можно расширить добавлением функции Reactivate Primary Peer (Повторная активация первичного узла) с помощью команды peer (с ключевым словом default) и команды idle-time. Функция повторной активации основного узла начинает действовать после начала работы туннеля между удаленным узлом Easy VPN и равноправным узлом, не заданным по умолчанию). Это означает, что удаленный узел Easy VPN периодически пытается проверить соединение с первичным узлом. Каждый раз, когда удаленный узел Easy VPN обнаруживает, что канал работает, имеющееся соединение разрывается, и устанавливается туннель с первичным узлом.

Ограничения для функции Cisco Easy VPN Remote

Необходимые серверы Easy VPN

Для работы функции Cisco Easy VPN Remote необходимо, чтобы удаленный узел представлял собой сервер Easy VPN с программным обеспечением Cisco IOS или концентратор VPN, поддерживающий функцию Cisco Easy VPN Server. На момент публикации данная функция поддерживается следующими серверами и концентраторами с программным обеспечением указанных версий:

Маршрутизаторы Cisco 806, Cisco 826, Cisco 827, Cisco 828, Cisco 831, Cisco 836 и Cisco 837 — Cisco IOS версии 12.2(8)T или более поздней версии. Маршрутизаторы Cisco 800 Series Router не поддерживаются программным обеспечением Cisco IOS версии 12.3(7)XR, но поддерживаются программным обеспечением Cisco IOS версии 12.3(7)XR2.

Маршрутизаторы Cisco 870 Series Router — Cisco IOS версии 12.3(8)YI1.

Маршрутизаторы Cisco 1700 Series Router — Cisco IOS версии 12.2(8)T или более поздней версии.

Маршрутизаторы Cisco 1800 Series Router фиксированной конфигурации — Cisco IOS версии 12.3(8)YI.

Маршрутизаторы Cisco 1812 — Cisco IOS версии 12.3(8)YH.

Маршрутизаторы Cisco 2600 Series Router — Cisco IOS версии 12.2(8)T или более поздней.

Маршрутизаторы Cisco 3620 — Cisco IOS версии 12.2(8)T или более поздней версии.

Маршрутизаторы Cisco 3640 — Cisco IOS версии 12.2(8)T или более поздней версии.

Маршрутизаторы Cisco 3660 — Cisco IOS версии 12.2(8)T или более поздней версии.

Маршрутизаторы Cisco 7100 Series VPN Series Router — Cisco IOS версии 12.2(8)T или более поздней версии.

Маршрутизаторы Cisco 7200 Series Router — Cisco IOS версии 12.2(8)T или более поздней версии.

Маршрутизаторы Cisco 7500 Series Router — Cisco IOS версии 12.2(8)T или более поздней версии.

Брандмауэры Cisco PIX 500 Series — версия ПО 6.2 или более поздняя.

Маршрутизаторы Cisco VPN 3000 Series — версия ПО 3.11 или более поздняя.

Серверы Easy VPN поддерживают только политику ISAKMP группы 2.

Протокол Unity Protocol поддерживает только те политики протокола ISAKMP (Internet Security Association Key Management Protocol — протокол сопоставлений безопасности и управления ключами в Интернете), в которых применяется метод согласования ключей по протоколу IKE группы 2 (1024-битовый алгоритм Диффи-Хеллмана), поэтому сервер Easy VPN, используемый с функцией Cisco Easy VPN Remote, должен быть настроен для работы с политикой ISAKMP группы 2. При использовании с клиентом Cisco Easy VPN сервер Easy VPN не может быть настроен для работы с политикой ISAKMP группы 1 или группы 5.

Поддерживаемые наборы преобразования

Для обеспечения защищенного туннельного соединения функция Cisco Easy VPN Remote не поддерживает наборы преобразования, обеспечивающие шифрование без аутентификации (ESP-DES и ESP-3DES) или аутентификацию без шифрования (ESP-NULL ESP-SHA-HMAC и ESP-NULL ESP-MD5-HMAC).


Примечание. Протокол Cisco Unity Client Protocol не поддерживает протокол аутентификации Authentication Header (AH), но протокол ESP (Encapsulation Security Protocol) поддерживается.


Резервная коммутируемая линия для удаленных узлов Easy VPN

В данной функции отсутствует поддержка резервирования на основании состоянии линии.

Поддержка взаимодействия с преобразованием сетевых адресов

Взаимодействие с протоколом NAT (Network Address Translation) в режиме клиента с раздельным туннелированием не поддерживается.

Ограничения при использовании виртуального интерфейса протокола IPsec

Для функции поддержки виртуального интерфейса протокола IPSec необходима поддержка виртуальных шаблонов.

Если на удаленном устройстве Easy VPN используется виртуальный туннельный интерфейс, рекомендуется настроить сервер для работы с виртуальным туннельным интерфейсом.

Поддержка двойного туннелирования

При использовании двойного туннелирования с общими внутренними и внешними интерфейсами применяются следующие ограничения:

При настройке двойного туннелирования для одного из туннелей на сервере необходимо настроить разделение.

Функцию Web Intercept можно настроить только для одного из туннелей. Функцию Web Intercept не рекомендуется использовать для голосового туннеля.

Функцию Web Intercept невозможно использовать для IP-телефонов до тех пор, пока прокси-сервер авторизации не получит данных для обхода IP-телефона.

Некоторые функции, например передача URL-адреса конфигурации в режиме настройки, могут использоваться только для одного туннеля.

Информация о функции Cisco Easy VPN Remote

Для настройки функции Cisco Easy VPN Remote необходимо ознакомиться со следующей информацией:

Преимущества функции Cisco Easy VPN Remote

Краткий обзор функции Cisco Easy VPN Remote

Режимы работы

Аутентификация

Способы активации туннелирования

Поддержка восстановления после отказа без сохранения состояния при обнаружении недоступных узлов

Функции Cisco Easy VPN Remote

Преимущества функции Cisco Easy VPN Remote

Позволяет динамически настраивать политику конечного пользователя, сокращая ручную настройку конечными пользователями и техническими специалистами и, как следствие, уменьшает количество ошибок и дополнительных обращений в службу поддержки.

Позволяет поставщику услуг по мере необходимости менять оборудование и конфигурации сети при минимальном изменении или сохранении прежней конфигурации оборудования конечного пользователя.

Обеспечивает централизованное управление политикой безопасности.

Допускает широкомасштабное развертывание сетей с быстрым подключением пользователей.

Устраняет необходимость приобретения и настройки конечными пользователями внешних VPN-устройств.

Позволяет конечным пользователям избежать установки и настройки программного обеспечения Easy VPN Client на ПК.

Освобождает от создания и сопровождения VPN-подключений ПК к маршрутизатору.

Сокращает число проблем взаимодействия между различным программными VPN-клиентами на базе ПК, внешними аппаратными решениями VPN и другими приложениями VPN.

Устанавливает единый IPsec-туннель независимо от числа поддерживаемых подсетей и размера списка разделения.

Краткий обзор функции Cisco Easy VPN Remote

Кабельные модемы, маршрутизаторы xDSL и другие широкополосные устройства предоставляют высокоскоростной доступ в Интернет, но многим приложениям требуются также безопасные соединения через сеть VPN с высоким уровнем контроля доступа и шифрованием данных между двумя оконечными устройствами. В то же время установка VPN-соединения между двумя маршрутизаторами может быть сложной процедурой, и обычно для настройки параметров VPN двух маршрутизаторов требуется тесное взаимодействие администраторов сетей.

Функция Cisco Easy VPN Remote в значительной степени освобождает от этой утомительной работы благодаря реализации протокола Cisco Unity Client Protocol, который позволяет задать большинство параметров сети VPN на сервере Easy VPN с программным обеспечением Cisco IOS. Таким сервером может быть выделенное устройство VPN, например концентратор Cisco VPN 3000, межсетевой экран Cisco PIX Firewall или маршрутизатор с программным обеспечением Cisco IOS, поддерживающий протокол Cisco Unity Client Protocol.

После настройки сервера Cisco Easy VPN создание VPN-соединения требует минимальной настройки удаленного узла Easy VPN, например маршрутизатора серии Cisco 800 или серии 1700. Когда удаленный узел Easy VPN инициирует туннельное VPN-соединение, сервер Cisco Easy VPN передает политики IPsec на удаленный узел Easy VPN и создает соответствующее туннельное VPN-соединение.

Функция Cisco Easy VPN Remote обеспечивает автоматическое управление следующими операциями:

Согласование параметров туннеля, например адресов, алгоритмов и времени действия.

Создание туннелей в соответствии с заданными параметрами.

Автоматическая организация преобразования NAT или PAT (Port Address Translation — преобразование адресов портов) и соответствующих списков доступа, если они необходимы.

Аутентификация пользователей, т. е. проверка подлинности пользователей с использованием для этого имен пользователей, групповых имен и паролей.

Управление ключами безопасности для шифрования и дешифрования.

Аутентификация, шифрование и дешифрование данных, передаваемых по туннелю.

Режимы работы

Функция Cisco Easy VPN Remote поддерживает три режима работы: режим клиента, режим расширения сети и режим расширения сети плюс:

Режим клиента предполагает выполнение преобразования NAT или PAT таким образом, чтобы ПК и другие сетевые узлы на удаленном конце VPN-туннеля образовывали частную сеть, в которой не использовались бы IP-адреса из пространства IP-адресов сервера назначения.

Было внедрено усовершенствование, благодаря которому IP-адрес, получаемый при настройке режима, автоматически назначается доступному интерфейсу обратной связи. Функция Easy VPN Remote автоматически создает сопоставления безопасности (Security Associations, SA) протокола IPsec для этого IP-адреса. Этот IP-адрес обычно используется для поиска и устранения неисправностей (с помощью программ ping, Telnet и Secure Shell).

Режим расширения сети предполагает назначение ПК и другим сетевым узлам на клиентской стороне туннеля полностью маршрутизируемых IP-адресов, которые доступны сети назначения по туннелированной сети так, что они образуют одну логическую сеть. Преобразование PAT не используется, что позволяет клиентским ПК и узлам получать прямой доступ к ПК и узлам сети назначения.

Режим расширения сети плюс (режим network-plus) аналогичен режиму расширения сети, однако он поддерживает дополнительную возможность запроса IP-адреса через настройку режима и автоматического назначения этого адреса доступному интерфейсу обратной связи. Функция Easy VPN Remote автоматически создает сопоставления безопасности протокола IPsec для этого IP-адреса. Этот IP-адрес обычно используется для поиска и устранения неисправностей (с помощью программ ping, Telnet и Secure Shell).

Кроме того, при необходимости все режимы работы поддерживают раздельное туннелирование, что позволяет обеспечить защищенный доступ к внутренним ресурсам компании через VPN-туннель с одновременным доступом через Интернет к узлу поставщика услуг Интернета (ISP) и другим службам, исключая таким образом корпоративную сеть из пути, используемого для доступа к веб-ресурсам.

Сценарии для режима клиента и режима расширения сети

На рис. 1 изображен режим клиента. В приведенном примере маршрутизатор Cisco 831 обеспечивает доступ к двум ПК с IP-адресами из частного адресного пространства 10.0.0.0. Эти компьютеры соединены с интерфейсом Ethernet маршрутизатора Cisco 831, которому также назначен IP-адрес из частного адресного пространства 10.0.0.0. Маршрутизатор Cisco 831 выполняет преобразование NAT или PAT по VPN-туннелю, чтобы ПК могли получить доступ к сети назначения.

Рис. 1. Соединение с использованием функции Cisco Easy VPN Remote


Примечание. Схема на рис. 1 может также использоваться для представления соединения с раздельным туннелированием, при котором клиентские ПК могут получить доступ к публичным ресурсам глобального Интернета, минуя корпоративную сеть.


На рис. 2 также схематически изображен режим клиента, в котором концентратор сети VPN предоставляет оконечные устройства назначения нескольким xDSL-клиентам. В этом примере маршрутизаторы серии Cisco 800 используются для предоставления доступа нескольким клиентам из небольшим компаний, каждый из которых использует IP-адреса из частного адресного пространства 10.0.0.0. Маршрутизаторы серии Cisco 800 выполняют преобразование NAT или PAT по VPN-туннелю, чтобы ПК могли получить доступ к сети назначения.

Рис. 2. Соединение с использованием функции Cisco Easy VPN Remote (через концентратор сети VPN)

На рис. 3 изображен режим расширения сети. В этом примере маршрутизатор Cisco 831 и маршрутизатор серии Cisco 1700 выполняют функцию удаленных устройств Cisco Easy VPN, подключенных к концентратору Cisco VPN 3000.

Сетевым узлам клиентов назначаются IP-адреса, которые полностью маршрутизируются сетью назначения по туннелю. Эти IP-адреса могут принадлежать адресному пространству подсети в сети назначения или находиться в другой подсети. При этом предполагается, что маршрутизаторы сети назначения настроены для правильной маршрутизации этих IP-адресов через туннель.

В этом примере ПК и сетевые узлы, подключенные к двум маршрутизаторам, имеют IP-адреса из адресного пространства сети назначения предприятия. Эти компьютеры соединены с интерфейсом Ethernet маршрутизатора Cisco 831, которому также назначен IP-адрес из адресного пространства предприятия. Такой сценарий позволяет постепенно расширять удаленную сеть.

Рис. 3. Соединение Cisco Easy VPN в режиме расширения сети

Аутентификация

Функция Cisco Easy VPN Remote поддерживает двухэтапный процесс аутентификации удаленного маршрутизатора на центральном концентраторе. Первый этап — это аутентификация на уровне группы, являющаяся частью процесса создания канала управления. На первом этапе могут использоваться два типа учетных данных аутентификации: общие ключи или цифровые сертификаты. В следующих параграфах приведено подробное описание этих параметров.

Второй этап называется расширенной аутентификацией (Xauth). На этом этапе удаленное устройство (в данном случае маршрутизатор Easy VPN) передает имя пользователя и пароль маршрутизатору центральной сети. Этот этап аналогичен процессу ввода имени пользователя и пароля клиентом Cisco VPN на компьютере для активации VPN-туннеля. При использовании маршрутизатора отличие заключается в том, что в сети осуществляется аутентификация самого маршрутизатора, а не компьютера с установленным программным обеспечением Cisco VPN Client. Аутентификация Xauth является необязательным этапом (ее можно отключить), но ее обычно включают для повышения безопасности. После успешного завершения аутентификации Xauth и создания туннеля все компьютеры за маршрутизатором Easy VPN Remote получают доступ к туннелю.

Если аутентификация Xauth включена, необходимо выбрать способ ввода имени пользователя и пароля. Возможны два варианта. В первом варианте имя пользователя и пароль Xauth хранятся в конфигурационном файле маршрутизатора. Этот способ обычно используется в тех случаях, когда к маршрутизатору подключены несколько компьютеров, а работоспособность VPN-туннеля необходимо поддерживать постоянно (см. раздел «Автоматическая активация»), либо в тех случаях, когда маршрутизатор автоматически устанавливает туннель при наличии данных для отправки (см. раздел «Инициированная трафиком активация»). Пример такого применения — филиал компании, в котором всем пользователям локальной сети необходимо использовать VPN-туннель при каждой отправке данных без выполнения каких-либо дополнительных действий для активации этого туннеля. Если аутентификация каждого компьютера в сети местного отделения компании осуществляется индивидуально с помощью учетной записи каждого пользователя, правильным решением будет использование режима автоматической активации маршрутизатора Easy VPN для постоянного поддержания туннеля в рабочем состоянии и использование прокси-сервера аутентификации Cisco IOS Authentication Proxy или стандарта 802.1x для аутентификации пользователей отдельных компьютеров. Поскольку туннель всегда будет в рабочем состоянии, прокси-сервер аутентификации Authentication Proxy или 802.1x будет обращаться к базе данных пользователей (например AAA или RADIUS) центральной сети, чтобы аутентифицировать запросы индивидуальных пользователей по мере их поступления. Дополнительную информацию по настройке прокси-сервера аутентификации и настройке параметров аутентификации 802.1x см. в подразделах «Общая информация по IPsec и VPN» и «Аутентификация 802.1x» раздела «Дополнительная документация».

Второй способ ввода имени пользователя и пароля для аутентификации Xauth заключается в отказе от хранения этих данных на маршрутизаторе. В таком случае пользователь компьютера, подключающегося к маршрутизатору, должен вручную ввести имя пользователя и пароль на специальной веб-странице (см. раздел «Активация вручную»). Маршрутизатор отправляет имя пользователя и пароль на концентратор центральной сети, и после проверки подлинности этих данных устанавливается туннельное соединение. Типичным примером использования такой конфигурации является сеть для работников удаленного офиса. Работнику удаленного офиса требуется самостоятельно устанавливать туннельное соединение, для чего необходимо ввести личные учетные данные (в которых могут использоваться одноразовые пароли). Кроме того, администратор сети может ограничить время работы туннелей для работников удаленного офиса только тем временем, в течение которого туннель используется. Это может быть необходимо для сбережения ресурсов центральных концентраторов. Подробное описание этой настройки см. в разделе «Веб-активация».

Имя пользователя и пароль для аутентификации Xauth также можно вводить вручную посредством использования интерфейса командной строки маршрутизатора. В большинстве случаев использовать данный метод не рекомендуется, поскольку пользователь должен сначала зарегистрироваться на маршрутизаторе (и для необходим идентификатор пользователя на маршрутизаторе). Однако этот способ может быть полезным для администраторов сетей в процессе поиска и устранения неисправностей.

Использование общих ключей

При использовании общих ключей каждый узел знает ключ другого равноправного узла. Общие ключи отображаются в действующих конфигурациях и доступны для просмотра (это называется открытым форматом). Если требуется более надежный способ аутентификации, программное обеспечение Cisco поддерживает также еще один тип общих ключей — зашифрованный общий ключ.

Использование для аутентификации зашифрованного общего ключа позволяет хранить в энергонезависимой памяти NVRAM текстовые пароли в зашифрованном формате (тип 6). На узлах, соединенных посредством VPN-туннеля, можно настроить групповой общий ключ. В текущей конфигурации ключевое слово можно увидеть в зашифрованном виде, при этом реальное ключевое слово не отображается. Дополнительную информацию о зашифрованных общих ключах см. в разделе. Зашифрованный общий ключ.

Использование цифровых сертификатов

На удаленных устройствах Easy VPN цифровые сертификаты используются для реализации технологии цифровой подписи RSA (Rivest, Shamir, Adelman). Это возможно благодаря использованию сертификата RSA, который может храниться как на удаленном устройстве, так и вне его.


Примечание. Рекомендуемое время ожидание для устройств Easy VPN, использующих цифровые сертификаты, составляет 40 секунд.


Дополнительную информацию о цифровых сертификатах см. в руководстве Поддержка цифровой подписи RSA функцией Easy VPN Remote, версия 12.3(7)T1.

Использование аутентификации Xauth

Аутентификация Xauth — это дополнительный уровень аутентификации, который можно использовать. Аутентификация Xauth применяется в случае использования групповых общих ключей или цифровых сертификатов. Учетные данные аутентификации Xauth можно вводить при помощи средств управления веб-интерфейсом, например приложения Security Device Manager (SDM), или при помощи интерфейса командной строки. См. раздел «Средства управления веб-интерфейсом Cisco Easy VPN Remote».

Функция сохранения паролей (Save Password) позволяет сохранять имя пользователя и пароль Xauth в конфигурации функции Easy VPN Remote, устраняя необходимость ввода данных вручную. Одноразовые пароли (One-Time Passwords, OTP) в функции Save Password не поддерживаются, поэтому при использовании аутентификации Xauth их необходимо вводить вручную. В конфигурацию сервера Easy VPN необходимо включить функцию сохранения паролей (параметр Allow Saved Passwords). Более подробную информацию о настройке функции Save Password см. в разделе «Периодическая отправка сообщений при обнаружении нефункционирующих узлов».

Аутентификацией Xauth управляет сервер Easy VPN. Когда сервер Easy VPN с программным обеспечением Cisco IOS запрашивает аутентификацию Xauth, на консоли маршрутизатора отображаются следующие сообщения:

EZVPN: Pending XAuth Request, Please enter the following command: 
crypto ipsec client ezvpn xauth

При отображении данного сообщения требуемое имя пользователя, пароль и другую информацию можно указать с помощью команды crypto ipsec client ezvpn connect и выполнения последующих инструкций.

Рекомендуемое время ожидания для выполнения аутентификации Xauth составляет не более 50 секунд.


Примечание. Время ожидания для ввода имени пользователя и пароля определяется параметрами конфигурации сервера Easy VPN с программным обеспечением Cisco IOS. На серверах с программным обеспечением Cisco IOS для ввода значения времени ожидания используется команда crypto isakmp xauth timeout.


Веб-активация

Веб-активация является удобным средством аутентификации данных работника удаленного офиса для создания VPN-туннеля между удаленным маршрутизатором Easy VPN пользователя и маршрутизатором центральной сети. Наличие этой функции позволяет администраторам сети настраивать удаленную локальную сеть таким образом, чтобы начальные HTTP-запросы от любых удаленных компьютеров перехватывались маршрутизатором Easy VPN. На экране пользователя в этом случае отображается страница входа в систему, на которой пользователь может ввести учетные данные для аутентификации и создания VPN-туннеля. После создания VPN-туннеля все пользователи, подключенные к данному удаленному узлу, получают доступ к локальной сети предприятия, при этом не нужно повторно вводить имя пользователя и пароль. Пользователь может также отказаться от использования VPN-туннеля и вместо этого установить подключение к Интернету. Ввод пароля в этом случае не требуется.

Типичным примером использования веб-активации является сотрудник удаленного офиса, работающий на дому, которому необходимо использовать туннель Easy VPN только для подключения к локальной сети предприятия. Если сотрудника нет дома, другие члены семьи (супруг, супруга или дети) могут подключаться к Интернету с использованием параметра Internet Only (Только Интернет) без активации VPN-туннеля. На рис. 4 показан стандартный сценарий использования веб-активации.

Рис. 4. Стандартный сценарий использования веб-активации


Примечание. После ввода учетных данных аутентификации Xauth доступ через туннель открывается для всех пользователей, подключенных к этому удаленному узлу. После создания туннеля пользователи других компьютеров, подключенных к этому удаленному узлу, не получают запрос на проведения аутентификации Xauth. Веб-активация представляет собой способ аутентификации для создания VPN-туннеля для всех удаленных компьютеров и не должна использоваться для проверки подлинности данных отдельных пользователей. Аутентификация отдельных пользователей для получения доступа к туннелю VPN осуществляется посредством функций прокси-сервера аутентификации Cisco IOS Authentication Proxy или 802.1x, которые настраиваются на удаленном маршрутизаторе Easy VPN. Дополнительную информацию по настройке прокси-сервера аутентификации и настройке параметров аутентификации 802.1x см. в подразделах «Общая информация по IPsec и VPN» и «Аутентификация 802.1x» раздела «Дополнительная документация».


Информацию по настройке веб-активации см. в разделе «Настройка веб-активации».

В следующих разделах приводятся снимки экранов, которые отображаются на дисплее сотрудника удаленного офиса в том случае, если включена функция веб-активации.

Страница портала веб-активации

Обход аутентификации VPN

Аутентификация для VPN-туннеля

Успешная аутентификация

Деактивация

Страница портала веб-активации

На рис. 5 показан пример страницы портала веб-активации. Пользователь может подключиться к локальной сети компании, выбрав параметр «Connect Now» (Подключиться), или подключиться к Интернету, выбрав параметр «Internet Only» (Только Интернет).


Примечание. Если пользователю требуется только подключиться к Интернету, ввод пароля не требуется.


Рис. 5. Страница портала

Обход аутентификации VPN

На рис. 6 приведен пример веб-активации, в котором пользователь выбрал параметр «Internet Only» (Только Интернет) для подключения к Интернету. Данный параметр наиболее удобен для использования членами семьи удаленного работника во время его отсутствия и, как следствие, невозможности выполнения аутентификации для создания VPN-туннеля для использования локальной сети компании.

Рис. 6. Обход аутентификации VPN


Примечание. В случае случайного закрытия пользователем окна веб-активации это окно можно открыть повторно посредством доступа к удаленному маршрутизатору (следует ввести команду http://routeripaddress/ezvpn/connect). После открытия окна веб-активации можно выполнить аутентификацию для создания туннеля Easy VPN.


Аутентификация для VPN-туннеля

На рис. 7 приведен пример веб-активации, в котором для подключения к локальной сети компании пользователь вводит имя пользователя и пароль. После успешного прохождения аутентификации между удаленным узлом и сетью устанавливается туннель Easy VPN. Если к удаленной сети подключены несколько ПК, то при подключении к корпоративной сети дополнительных пользователей учетные данные Xauth не запрашиваются, так как туннель уже открыт.

Рис. 7. Аутентификация для VPN-туннеля

Успешная аутентификация

На рис. 8 изображен пример успешной активации. Для деактивации VPN-туннеля необходимо нажать на кнопку «Disconnect» (Разъединить). По истечении времени сопоставления безопасности IKE (значение по умолчанию 24 часа) для создания туннеля сотруднику удаленного офиса необходимо будет повторно ввести учетные данные аутентификации Xauth.

Рис. 8. Успешная активация

Деактивация

На рис. 9 изображен пример успешной деактивации VPN-туннеля. Эта страница автоматически закрывается через 5 секунд.

Рис. 9. Успешная деактивация VPN-туннеля

Аутентификация 802.1x

Функция аутентификации 802.1x позволяет использовать функцию Easy VPN в режиме клиента совместно с аутентификацией 802.1x на маршрутизаторах с программным обеспечением Cisco IOS. Более подробную информацию об этой функции см. в пункте «Аутентификация 802.1» раздела «Дополнительные ссылки».

Способы активации туннелирования

Существует три способа активации туннелирования:

автоматическая активация;

активация вручную;

инициированная трафиком активация (не поддерживается ПО Cisco IOS версии 12.3(11)T)

Устанавливать и разрывать туннельное соединение при помощи приложения SDM.

Автоматическая активация

Туннель Cisco Easy VPN создается автоматически при соответствующей настройке функции Cisco Easy VPN Remote в интерфейсе. Если время ожидания работы туннеля истекает или в ходе создания туннеля происходит сбой, осуществляется повторное подключение. Количество попыток неограниченно.

Для включения автоматического управления туннелем на удаленном устройстве Cisco Easy VPN необходимо использовать команду crypto ipsec client ezvpn, а затем подкоманду connect auto. Однако при создании новой конфигурации функции Easy VPN Remote использовать эти две команды не нужно, потому что по умолчанию используется значение «automatic».

Для разрыва или сброса настроек туннельного соединения необходимо использовать команду clear crypto ipsec client ezvpn или приложение SDM.

Активация вручную

Программное обеспечение Cisco Easy VPN Remote поддерживает управление туннелями Cisco Easy VPN вручную. Это значит, что при необходимости в любой момент можно устанавливать и разрывать туннельное соединение.

Для включения ручного управления туннелем на удаленном устройстве Cisco Easy VPN необходимо ввести команду crypto ipsec client ezvpn, а затем — команду connect manual.

Включение ручного режима управления означает, что перед попыткой установки соединения функция Cisco Easy VPN Remote будет ожидать ввода соответствующей команды. Если время ожидания работы туннеля истекает или в ходе создания туннеля происходит сбой, для осуществления повторного подключения также необходимо будет ввести команду.

Если включен ручной режим управления, туннельное соединение будет устанавливаться только после ввода команды crypto ipsec client ezvpn connect.

Для разрыва или сброса настроек туннельного соединения необходимо использовать команду clear crypto ipsec client ezvpn или приложение SDM.

Более подробную информацию по настройке ручного управления туннелем см. в разделе «Настройка ручного управления туннелем».

Инициированная трафиком активация


Примечание. Данная функция не поддерживается ПО Cisco IOS версии 12.3(11)T).


Функцию активации при наличии трафика рекомендуется использовать для задач, предполагающих кратковременное задействование сети VPN. Ее также рекомендуется использовать совместно с функцией резервирования соединений Easy VPN, чтобы в конфигурации Easy VPN резервирование осуществлялось только в том случае, когда по туннелю передается трафик.

Для управления туннелем с помощью списка управления доступом (ACL) необходимо задать параметры трафика, считающегося содержательным. Дополнительную информацию о списках управления доступом см. в главе «Списки управления доступом: краткий обзор и инструкции» раздела «Фильтрация трафика и брандмауэры» Руководства по настройке параметров безопасности программного обеспечения Cisco IOS, версия 12.3. Для настройки туннеля на основе списков управления доступом следует использовать команду crypto ipsec client ezvpn и подкоманду connect acl.

Поддержка восстановления после отказа без сохранения состояния при обнаружении недоступных узлов

Имеется два способа настройки поддержки восстановления после отказа без сохранения состояния при обнаружении недоступных узлов:

Локальная настройка списка резервных серверов

Автоматическая настройка списка резервных серверов

Локальная настройка списка резервных серверов

Локальная настройка списка резервных серверов позволяет пользователям вводить инструкции для нескольких равноправных узлов. Если эта функция настроена, в случае сбоя согласования при подключении к узлу функция Easy VPN переключается на следующий узел. Переключение осуществляется по всему списку узлов. По достижении последнего узла из списка Easy VPN снова переходит к первому узлу. Сопоставления безопасности протоколов IKE и IPsec для предыдущего узла удаляются. Инструкции для нескольких узлов могут использоваться как с IP-адресами, так и с именами сетевых узлов. Задание или отмена инструкций для узлов не приводит к изменению в порядке их выполнения.

Для применения этой функции используйте подкоманду peer команды crypto ipsec client ezvpn.

Автоматическая настройка списка резервных серверов

Функция Easy VPN Remote, использующаяся с программным обеспечением Cisco IOS, позволяет настроить для обеспечения избыточности до 10 резервных серверов. Функция Backup Server позволяет серверу Easy VPN передавать список резервных серверов в Easy VPN Remote.

Наличие списка резервных серверов дает администратору возможность управлять резервными серверами, с которыми Easy VPN Remote будет устанавливать соединение в случае сбоя соединения, повторных передач или получения сообщений по обнаружению недоступных равноправных узлов (сообщений DPD).


Примечание. Перед использованием данной функции на сервере необходимо настроить список резервных серверов.


Принцип работы функции Backup Server

Если удаленное устройство A подключается к серверу A и происходит сбой соединения, удаленное устройство A подключается к серверу B. Если на сервере B хранится настроенный список резервных серверов, он получает приоритет над списком резервных серверов, хранящимся на сервере A. Если происходит сбой соединения с сервером B, удаленное устройство A будет продолжать попытки подключения к настроенным резервным серверам.


Примечание. Если сбой происходит во время работы в автоматическом режиме, переход от сервера A к серверу B происходит автоматически. Однако при работе в ручном режиме переход осуществляется пользователем вручную. Для настройки перехода в ручном режиме используется команда crypto ipsec client ezvpn с ключевым словом connect.


Для включения этой функции создавать новую конфигурацию Easy VPN Remote не требуется. Для отображения текущего сервера можно использовать команду show crypto ipsec client ezvpn. Для отображения списка серверов, переданных сервером Easy VPN, используется эта же команда.

Для устранения неисправностей в работе данной функции используется команда debug crypto ipsec client ezvpn. Для получения дополнительной информации с целью устранения неисправностей используется команда debug crypto isakmp. Для устранения неисправностей может также использоваться команда show crypto ipsec client ezvpn.

Функции Cisco Easy VPN Remote

Cisco Easy VPN Remote — это набор функциональных возможностей, расширяющих рабочие характеристики инструментария Cisco Easy VPN Remote, впервые использованного в программном обеспечении Cisco IOS версии 12.2(4)YA. Функция Cisco Easy VPN Remote включает следующие компоненты:

Внутренний интерфейс по умолчанию — данная функция обеспечивает поддержку автоматической настройки внутреннего интерфейса Easy VPN для маршрутизаторов Cisco 800 Series Router.

Несколько внутренних интерфейсов — данная функция позволяет настроить для Cisco Easy VPN Remote до восьми внутренних интерфейсов.

Несколько внешних интерфейсов — данная функция позволяет настроить до четырех внешних туннелей для внешних интерфейсов.

Поддержка сети VLAN — данная функция позволяет настраивать сети VLAN как допустимые внутренние интерфейсы Easy VPN.

Поддержка нескольких подсетей — данная функция позволяет включать в туннель Easy VPN несколько подсетей из внутреннего интерфейса Easy VPN.

Поддержка взаимодействия с преобразованием сетевых адресов (NAT) — данная функция позволяет автоматически восстанавливать конфигурацию NAT в случае обрыва туннельного соединения IPsec VPN.

Поддержка локальных адресов — функциональные возможности Cisco Easy VPN Remote теперь включают поддержку дополнительного атрибута local-address, посредством которого можно указать интерфейс, определяющий IP-адрес источника трафика в туннеле Easy VPN.

Сетевое имя узла — если для идентификации узла используется сетевое имя, это имя сохраняется, а в момент установки туннельного соединения осуществляется поиск в системе DNS.

Поддержка прокси-сервера DNS — данная функция позволяет использовать маршрутизатор в конфигурации Cisco Easy VPN Remote в качестве прокси-сервера DNS для пользователей, подключенных к локальной сети.

Поддержка брандмауэра Cisco IOS Firewall — данная функция обеспечивает поддержку конфигураций брандмауэра Cisco IOS Firewall на всех платформах.

Поддержка Easy VPN Remote и Easy VPN Server на одном интерфейсе — функция Easy VPN Remote и Easy VPN Server поддерживаются на одном интерфейсе, что дает возможность установить туннельное соединение с другим сервером Easy VPN и одновременно завершить работу клиентского программного обеспечения Easy VPN на этом интерфейсе.

Поддержка Easy VPN Remote и соединения между узлами на одном интерфейсе — Easy VPN Remote и соединение между узлами (криптокарта) поддерживаются на одном интерфейсе, что дает возможность установить туннельное соединение с другим сервером Easy VPN и одновременно осуществлять дополнительное соединение между узлами на одном интерфейсе.

Средства управления веб-интерфейсом Cisco Easy VPN Remote — для управления функцией Cisco Easy VPN Remote на кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Router теперь можно использовать встроенный веб-интерфейс.

Параметры периодической отправки сообщений для обнаружения недоступных равноправных узлов — данная функция позволяет настроить маршрутизатор на регулярную отправку запросов о состоянии узла IKE.

Балансировка нагрузки — если удаленное устройство перегружено и не может принимать больше трафика, VPN 3000 отправляет уведомление, содержащее IP-адрес нового сервера IKE, с которым следует устанавливать соединение.

Усовершенствованное управление — данная функция позволяет управлять удаленным устройством VPN.

Поддержка атрибута PFS — в случае запроса удаленным устройством VPN атрибута режима настройки PFS этот атрибут отправляется сервером.

Резервирование соединений — данная функция позволяет настроить резервирование туннельных соединений на удаленном устройстве.

Поддержка виртуального интерфейса IPsec — данная функция позволяет выборочно отправлять трафик на различные концентраторы Easy VPN и в Интернет (включает в себя справку по функции виртуального туннельного интерфейса IPsec).

Поддержка двойного туннелирования — данная функция позволяет настроить несколько туннелей Easy VPN с общими внутренними и внешними интерфейсами для одновременного подключения двух узлов к двум разным серверам VPN.

Баннер — удаленное устройство EasyVPN может загружать баннеры с сервера Easy VPN. Этот баннер может использоваться для аутентификации Xauth и веб-активации. Баннер отображается на консоли удаленного устройства Easy VPN в том случае, если туннель Easy VPN находится в рабочем состоянии, а в случае веб-активации — в виде страницы HTML.

Усовершенствованное управление конфигурацией (передача URL-адреса конфигурации в режиме настройки) — на удаленное устройство Easy VPN можно загрузить URL-адрес, передаваемый сервером Easy VPN, посредством которого удаленное устройство Easy VPN может загружать содержимое конфигурации и применять его к текущей конфигурации.

Повторная активация основного узла — данная функция позволяет задать основной узел. Если устройство Easy VPN переходит от основного узла к резервному, а затем основной узел снова становится доступным, соединение с резервным узлом разрывается, и устанавливается соединение с основным узлом.

Поддержка идентичной адресации — данная функция позволяет совместить преобразование сетевых адресов (NAT) и Easy VPN, в результате чего удаленные устройства с перекрывающимися IP-адресами могут подключаться к серверу Easy VPN.

Внутренний интерфейс по умолчанию

Easy VPN Remote поддерживает автоматическую настройку внутреннего интерфейса Easy VPN Remote для маршрутизаторов Cisco 800 Series Router. Внутренним интерфейсом по умолчанию является интерфейс Ethernet 0.

Если необходимо отключить внутренний интерфейс по умолчанию и настроить другой внутренний интерфейс на маршрутизаторе Cisco 800 Series Router, сначала следует настроить новый интерфейс и лишь после этого отключать старый. Для отключения внутреннего интерфейса по умолчанию используется следующая команда:

no crypto ipsec client ezvpn name inside

Если перед отключением внутреннего интерфейса по умолчанию новый интерфейс не был настроен, пользователь получает следующее сообщение (см. третью и четвертую строку):

Router (config)# interface ethernet0
Router (config-if)# no crypto ipsec client ezvpn hw-client inside
Cannot remove the single inside interface unless
one other inside interface is configured

Несколько внутренних интерфейсов

В функции Cisco Easy VPN Remote расширена поддержка внутренних интерфейсов. Теперь на всех платформах поддерживаются несколько интерфейсов. Для настройки внутренних интерфейсов вручную можно использовать следующие новые команду и подкоманду:

interface interface-name
crypto ipsec client ezvpn name [outside | inside]

Информацию о настройке нескольких внутренних интерфейсов см. в разделе «Настройка нескольких внутренних интерфейсов».

Возможность настройки нескольких внутренних интерфейсов имеет следующие преимущества:

В маршрутизаторах Cisco 800 Series Router и Cisco 1700 Series Router поддерживаются до восьми внутренних интерфейсов.

Для каждого внешнего интерфейса необходимо настроить по меньшей мере один внутренний интерфейс. В противном случае функция Cisco Easy VPN Remote не сможет установить соединение.

При добавлении нового внутреннего интерфейса или удалении существующего внутреннего интерфейса происходит автоматический разрыв и повторная установка соединения Cisco Easy VPN Remote (установленного туннеля). Туннель с активацией вручную необходимо установить самостоятельно. Если при этом серверу Cisco Easy VPN требуется аутентификация Xauth, пользователь получает соответствующий запрос. Если в конфигурации Cisco Easy VPN Remote задано автоматическое соединение и аутентификация Xauth не требуется, запрос на ввод учетных данных не отображается.

Для отображения внутренних интерфейсов, настраиваемых по умолчанию, используется команда show crypto ipsec client ezvpn.

Несколько внешних интерфейсов

Функция Easy VPN Remote поддерживает один туннель Easy VPN для каждого внешнего интерфейса. Для каждого маршрутизатора Cisco можно настроить до четырех туннелей. Для каждого туннеля Easy VPN можно настроить несколько внутренних интерфейсов, при этом они не должны перекрываться с другим туннелем Easy VPN, если не настроена функция резервирования соединений. Дополнительную информацию о резервировании соединений см. в разделе «Резервирование соединений». Для настройки нескольких внешних интерфейсов используется команда crypto ipsec client ezvpn и ключевое слово outside.

Для разрыва или сброса конкретного туннельного соединения используется команда clear crypto ipsec client ezvpn, посредством которой можно задать имя туннеля IPsec VPN. Если имя туннеля не указано, осуществляется сброс всех туннельных соединений.

Дополнительную информацию по настройке нескольких внешних интерфейсов см. в разделе «Настройка нескольких внешних интерфейсов».

Поддержка атрибута VLAN

Поддержка внутренних интерфейсов в сетях VLAN обеспечивает поддержку допустимого внутреннего интерфейса Easy VPN в сетях VLAN. Это впервые стало возможным в программном обеспечении Cisco IOS версии 12.3(7)XR. Наличие данной функции обеспечивает создание сопоставлений безопасности при установке соединения с использованием адреса или маски подсети VLAN в качестве прокси-сервера источника.

Для реализации поддержки внутренних интерфейсов в сетях VLAN необходимо задать каждую сеть VLAN как внутренний интерфейс Easy VPN. Кроме того, сопоставления безопасности IPsec должны создаваться одинаковым способом для всех внутренних интерфейсов. Дополнительную информацию о внутренних и внешних интерфейсах см. в разделах «Несколько внутренних интерфейсов» и «Несколько внешних интерфейсов».

Поддержка внутренних интерфейсов в сетях VLAN реализована только на тех маршрутизаторах Cisco, которые поддерживают работу в сетях VLAN.

Поддержка нескольких подсетей

Если к внутреннему интерфейсу Easy VPN подключено несколько подсетей, эти подсети можно добавить в туннель Easy VPN. Сначала необходимо указать требуемые подсети, прописав их в списках управления доступом. Информацию по настройке списков управления доступом см. в подразделе «Списки управления доступом, настройка» раздела «Дополнительные ссылки». Затем необходимо использовать подкоманду acl команды crypto ipsec client ezvpn (global) для связи списка управления доступом с конфигурацией Easy VPN. Функция Easy VPN Remote автоматически создает сопоставления безопасности IPsec для каждой указанной в списке управления доступом подсети, а также для всех подсетей, указанных на внутреннем интерфейсе Easy VPN.


Примечание. Поддержка нескольких подсетей в режиме клиента не реализована.


Поддержка взаимодействия с преобразованием сетевых адресов (NAT)

Функция Cisco Easy VPN Remote поддерживает взаимодействие с преобразованием сетевых адресов (NAT). Можно одновременно иметь как конфигурацию NAT, так и конфигурацию Cisco Easy VPN Remote. Если туннельное соединение IPsec VPN не работает, конфигурация NAT является активной.

Функция Cisco Easy VPN Remote автоматически восстанавливает последнюю конфигурацию NAT на маршрутизаторе при обрыве туннельного соединения IPsec VPN. При этом изменения в пользовательские списки управления доступом не вносятся. У пользователей сохраняется доступ к Интернету вне туннельного соединения, если время ожидания туннельного соединения заканчивается или соединение обрывается.


Примечание. Взаимодействие с преобразованием сетевых адресов (NAT) не поддерживается в режиме клиента с раздельным туннелированием.


Поддержка локальных адресов

Функция Cisco Easy VPN Remote усовершенствована и теперь поддерживает атрибут local-address. С помощью этого атрибута можно указать интерфейс, определяющий IP-адрес источника трафика в туннеле Easy VPN Remote. После выбора интерфейса с помощью подкоманды local-address можно назначить для интерфейса статический IP-адрес или ввести команду cable-modem dhcp-proxy interface для автоматической настройки конкретного интерфейса с общим IP-адресом. Информацию по настройке см. в разделе «Поддержка настройки прокси-сервера DNS».

Поддержка локальных адресов реализована на всех платформах, однако она наиболее оптимально подходит для кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Router при использовании команды cable-modem dhcp-proxy interface. Обычно интерфейс обратной связи представляет собой интерфейс, являющийся источником трафика, передающегося через туннельное соединение кабельными маршрутизаторами Cisco uBR905 и Cisco uBR925 Cable Access Router.

В стандартной сети DOCSIS при настройке кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Router обычно используется частный IP-адрес на интерфейсе кабельного модема. Изначально при использовании функции Cisco Easy VPN Remote для поддержки удаленных устройств Easy VPN на интерфейсе кабельного модема необходимо было указывать общий IP-адрес.

С помощью Cisco Easy VPN Remote поставщики кабельных услуг могут использовать функцию Cable DHCP Proxy для получения общего IP-адреса и назначения этого адреса интерфейсу кабельного модема, который обычно является интерфейсом обратной связи.

Дополнительную информацию о команде cable-modem dhcp-proxy interface см. в главе «Команды для кабельного абонентского оборудования» Справочника по командам для широкополосного кабельного оборудования Cisco.


Примечание. Команда cable-modem dhcp-proxy interface поддерживается только кабельными маршрутизаторами доступа Cisco uBR905 и Cisco uBR925 Cable Access Router.


Сетевое имя узла

Для обозначения узла в конфигурации Cisco Easy VPN Remote может использоваться как IP-адрес, так и сетевое имя. При использовании для задания узла сетевого имени немедленно осуществляется поиск в системе имен домена (DNS) с целью получения IP-адреса. В функции Cisco Easy VPN Remote использование сетевых имен узлов было усовершенствовано для обеспечения поддержки изменения вводимой информации DNS. Текстовая строка, содержащая сетевое имя, сохраняется таким образом, что поиск в системе имен домена (DNS) осуществляется в момент установки туннельного соединения, а не при задании узла с помощью сетевого имени.

Информацию о включении функции задания сетевого имени узла см. в разделе «Создание и назначение конфигурации функции Easy VPN Remote».

Поддержка прокси-сервера DNS

Если туннель Easy VPN не работает, для разрешения запросов DNS необходимо использовать DNS-адреса поставщика услуг Интернета или кабельных услуг. Если установлено соединение WAN, следует использовать DNS-адреса предприятия.

Для использования DNS-адресов поставщика кабельных услуг при неработающем соединении WAN маршрутизатор в конфигурации Cisco Easy VPN Remote можно настроить для работы в качестве прокси-сервера DNS. Маршрутизатор, выступающий для пользователей, подключенных к локальной сети, в качестве прокси-сервера DNS, принимает от пользователей DNS-запросы от имени реального сервера DNS. Сервер DHCP затем отправляет адрес маршрутизатора в локальной сети в качестве IP-адреса сервера DNS. После установки соединения WAN маршрутизатор пересылает DNS-запросы на физический сервер DNS и получает записи журнала о DNS-запросах.

Информацию о включении функции прокси-сервера DNS см. в разделе «Поддержка настройки прокси-сервера DNS».

Поддержка брандмауэра Cisco IOS Firewall

Функция Cisco Easy VPN Remote может использоваться с конфигурациями брандмауэров Cisco IOS Firewall на всех платформах.

Поддержка Easy VPN Remote и сервера на одном интерфейсе

Данная функция обеспечивает поддержку Easy VPN remote и сервера Easy VPN на одном интерфейсе, что дает возможность установить туннельное соединение с другим сервером Easy VPN и одновременно завершить работу клиентского программного обеспечения Easy VPN на этом интерфейсе. Типичным примером использования этой функции является географически удаленный офис компании, в котором функция Easy VPN Remote используется для подключения к серверу Easy VPN компании с одновременным завершением сеанса работы локальных клиентских станций.

Дополнительную информацию о функции «Поддержка Easy VPN Remote и сервера на одном интерфейсе» см. в пункте «Поддержка Easy VPN Remote и сервера на одном интерфейсе» раздела «Дополнительные ссылки».

Поддержка Easy VPN Remote и соединения между узлами на одном интерфейсе

Данная функция обеспечивает поддержку Easy VPN Remote и соединения между узлами (криптокарта) на одном интерфейсе, что дает возможность установить туннельное соединение с другим сервером Easy VPN и одновременно осуществлять дополнительное соединение между узлами на этом же интерфейсе. Типичным примером использования этой функции является поставщик услуг VPN (третья сторона), управляющий удаленным маршрутизатором через туннельное соединение между узлами и использующий функцию Easy VPN Remote для подключения удаленного узла к серверу Easy VPN предприятия.

Дополнительную информацию о функции «Поддержка Easy VPN Remote и соединения между узлами на одном интерфейсе» см. в пункте «Поддержка Easy VPN Remote и соединения между узлами на одном интерфейсе» раздела «Дополнительные ссылки».

Средства управления веб-интерфейсом Cisco Easy VPN Remote

Для управлением функцией Cisco Easy VPN Remote могут использоваться средства управления веб-интерфейсом. Одним из таких средств является приложение SDM, поддерживаемое в маршрутизаторах Cisco 830 Series Routers, Cisco 1700 Series Routers, Cisco 2600 Series Routers, Cisco 3600 Series Routers и Cisco 3700 Series Routers. Приложение SDM позволяет устанавливать и разрывать туннельное соединение, а также обеспечивает веб-интерфейс для выполнения аутентификации Xauth. Дополнительную информацию по приложению SDM см. в разделе Cisco Security Device Manager.

Другим средством управления веб-интерфейсом является инструмент Cisco Router Web Setup (CRWS), поддерживаемый маршрутизатором Cisco 806 Router. Инструмент CRWS предоставляет веб-интерфейс, аналогичный веб-интерфейсу SDM.

Третьим средством управления веб-интерфейсом является Cisco Easy VPN Remote Web Manager, который используется для управления функцией Cisco Easy VPN Remote на кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Router. Для управления удаленным соединением Cisco Easy VPN доступ к интерфейсу командной строки не требуется.

Средства управления веб-интерфейсом позволяют выполнять следующие действия:

отображать текущее состояние туннеля Cisco Easy VPN;

устанавливать туннельное соединение, настроенное на ручное управление;

разрывать туннельное соединение, настроенное на ручное управление, или выполнять сброс туннельного соединения при выбранном параметре автоматического подключения.

При необходимости можно включить запрос учетных данных аутентификации Xauth.

Дополнительную информацию о Cisco Easy VPN Remote Web Manager см. в разделе «Устранение неисправностей соединения VPN».

Периодическая отправка сообщений при обнаружения нефункционирующих узлов

С помощью параметров периодической отправки сообщений для обнаружения недоступных равноправных узлов можно настроить маршрутизатор на регулярную отправку запросов о состоянии узла IKE. Преимущества этого способа перед способом, используемым по умолчанию (обнаружение недоступных равноправных узлов по требованию) заключается в более оперативном обнаружении недоступных узлов. Дополнительную информацию о параметрах периодической отправки сообщений для обнаружения недоступных равноправных узлов см. в пункте «Обнаружение недоступных равноправных узлов» раздела «Дополнительные ссылки».

Балансировка нагрузки

Если параметры балансировки нагрузки концентратора Cisco VPN 3000 concentrator настроены, VPN 3000 получает запрос IKE от удаленного устройства VPN на виртуальный IP-адрес. Если устройство перегружено и не может принимать больше трафика, VPN 3000 отправляет уведомление, содержащее IP-адрес нового сервера IKE, с которым удаленному устройству следует устанавливать соединение. Старое соединение будет разорвано, и будет установлено новое соединение с использованием нового адреса шлюза VPN для перенаправления трафика.

Настройка дополнительных параметров для балансировки нагрузки не требуется. Если параметры балансировки нагрузки шлюза VPN настроены и шлюз сообщает удаленному устройству VPN о выполнении балансировки, удаленное устройство VPN имеет доступ к функции балансировки нагрузки.

Чтобы убедиться в выполнении балансировки нагрузки, следует использовать команды debug crypto isakmp, debug crypto ipsec client ezvpn и show crypto ipsec. Для устранения неисправностей в процессе балансировки нагрузки следует использовать команду show crypto ipsec.

Усовершенствованное управление

Усовершенствованное управление позволяет управлять устройством VPN удаленно. Эта функция позволяет передавать адрес IPv4 на удаленное устройство VPN в режиме настройки. Адрес IPv4 назначается первому доступному интерфейсу обратной связи на удаленном устройстве VPN, при этом все статические интерфейсы обратной связи не переназначаются. При обрыве соединения адрес и интерфейс обратной связи удаляются из списка активных интерфейсов.

После установки соединения с удаленным устройством VPN доступ к интерфейсу обратной связи должен быть разрешен на конце туннеля удаленного устройства. Преобразование PAT будет выполняться через этот IP-адрес интерфейса.

Если интерфейс обратной связи существует, а IP-адрес связан с ним, но еще не назначен, этот интерфейс подходит для процесса управления адресами при настройке режимов.


Примечание. Если после назначения интерфейсу обратной связи адреса сохранить конфигурацию в энергонезависимом ОЗУ (NVRAM) и перезагрузить удаленное устройство VPN, адрес будет сохранен в конфигурации. После сохранения конфигурации в энергонезависимом ОЗУ (NVRAM) и перезагрузки удаленного устройства VPN необходимо войти в режим настройки и удалить IP-адрес из интерфейса обратной связи.


Для подтверждения удаления интерфейса обратной связи следует использовать команду show ip interface с ключевым словом brief. В выводе команды show также отображается интерфейс.

Поддержка атрибута PFS

В случае запроса удаленным устройством VPN атрибута режима настройки PFS этот атрибут отправляется сервером. Если при последующем подключении удаленного устройства отображается информация, что атрибут PFS удаленным устройством не получен, атрибут PFS не будет отправляться в наборах предложений IPsec.


Примечание. Группа атрибутов PFS, которая будет предложена в наборах предложений IPsec, будет полностью аналогична группе, используемой для IKE.


Для отображения группы атрибута PFS и подтверждения факта использования атрибута PFS следует использовать команду show crypto ipsec client ezvpn.

Резервирование соединений


Примечание. Функция резервирования соединений не поддерживается программным обеспечением Cisco IOS версии 12.3(11)T.


Функция резервирования соединений для удаленных устройств Easy VPN позволяет настроить резервное туннельное соединение на удаленном устройстве. Функция резервирования задействуется только в случае фактической отправки данных. Таким образом, это устраняет необходимость создания и поддержания дорогостоящих коммутируемых и ISDN-каналов, которые простаивают при отсутствии трафика.

На рис. 10 показан стандартный сценарий использования Easy VPN remote с функцией резервирования соединений. В этом сценарии удаленное устройство Cisco 1751 пытается установить соединение с другим устройством Cisco 1751 (выступающим в качестве сервера). В работе основного туннеля Easy VPN произошел сбой, поэтому соединение перенаправляется через резервный туннель Easy VPN на сервер Cisco 1751.

Рис. 10. Сценарий использования Easy VPN remote с функцией резервирования соединений

Резервирование соединений при помощи соединения по требованию

С помощью отслеживания статических IP-маршрутов программное обеспечение Cisco IOS способно выявлять сбои в работе протокола PPPoE или туннелей IPsec VPN и устанавливать соединение по требованию (Dial-on-Demand, DDR) с заранее заданным узлом с любого альтернативного порта WAN или LAN (например, через порт T1, ISDN, аналоговый или вспомогательный порт). Сбой в работе может быть вызван несколькими критическими событиями (например, неисправностями в каналах Интернета или в равноправном устройстве). Удаленный маршрут использует только статический маршрут к сети предприятия. Функция отслеживания статических IP-маршрутов позволяет отслеживать объекты (при помощи IP-адреса или сетевого имени) по протоколу ICMP, TCP и другим протоколам, а также добавлять или удалять статический маршрут на основе анализа состояния отслеживаемого объекта. Если функция отслеживания определяет, что соединение с Интернетом потеряно, маршрут по умолчанию для основного интерфейса удаляется и начинает использоваться плавающий статический маршрут резервного интерфейса.

Резервирование соединений с использованием функции отслеживания объектов

Для обеспечения резервирования соединений на удаленном устройстве Easy VPN необходимо настроить функцию отслеживания статических IP-маршрутов. Настройка отслеживания объектов осуществляется независимо от настройки функции резервирования соединений на удаленном устройстве Easy VPN. Дополнительную информацию об отслеживании объектов см. в руководстве по функциям и свойствам Надежное резервирование соединений по статическим маршрутам с использованием отслеживания объектов.

Настройка поддержки резервирования соединений в функции Easy VPN Remote

Функцию резервирования соединений можно настроить на удаленном устройстве Easy VPN с использованием двух параметров функции Easy VPN remote, которые позволяют установить соединение с резервной конфигурацией Easy VPN и с системой отслеживания.

Для задания конфигурации Easy VPN, которая будет использоваться при инициировании резервирования, следует использовать подкоманду backup команды crypto ipsec client ezvpn (global).

Удаленное устройство Easy VPN регистрируется в системе отслеживания для получения уведомлений об изменении состояния объекта. Для включения отслеживания объекта с удаленного устройства Easy VPN используется подкоманда track, а для идентификации объекта используется его номер. Система отслеживания, в свою очередь, передает на удаленное устройство Easy VPN сообщения об изменении состояния объекта. Эти сообщения являются уведомлениями удаленного устройства Easy VPN об изменении состояния объекта. После получения уведомления об отключении отслеживаемого объекта удаленное устройство Easy VPN устанавливает резервное соединение. После перехода отслеживаемого объекта в активное состояние резервное соединение обрывается, а удаленное устройство Easy VPN продолжает использовать основное соединение.


Примечание. Для каждой основной конфигурации Easy VPN поддерживается только одна резервная конфигурация. В каждом внутреннем интерфейсе необходимо указать основную и резервную конфигурации Easy VPN.


Среды с динамической адресацией

Для использования резервирования соединений в средах с динамической адресацией используйте функцию IP SLA Pre-Routed ICMP Echo Probe. Дополнительную информацию об этой функции см. в комментариях к выпуску Cisco 1700 Series Routers — Cisco IOS версии 12.3(7)XR. Для использования функции IP SLA Pre-Routed ICMP Echo Probe введите команду icmp-echo с ключевым словом source-interface.

Примеры резервирования соединений

Примеры конфигураций с резервированием соединений см. в разделе «Резервирование соединений, примеры».

поддержка виртуального интерфейса IPsec.

Функция поддержки виртуального интерфейса IPsec обеспечивает маршрутизируемый интерфейс, позволяющий выборочно отправлять трафик на различные концентраторы Easy VPN и в Интернет.

В версиях ПО Cisco IOS, предшествующих версии 12.4(4)T, во время изменения состояния туннеля с активного на неактивное атрибуты, передаваемые в ходе настройки режима, подвергались синтаксическому анализу, и лишь после этого применялись. После сохранения измененной конфигурации интерфейса существующая конфигурация перезаписывалась. Функция поддержки виртуального интерфейса IPsec обеспечивает использование конфигурации для активного туннеля с отдельными интерфейсами, облегчая тем самым использование отдельных функций во время работы туннеля. Функции, применяемые к трафику, проходящему через туннель, могут использоваться отдельно от функций, применяемых к трафику, который не проходит через туннель (например, трафик при раздельном туннелировании или трафик на выходе из устройства при неактивном туннеле). Если согласование Easy VPN выполнено успешно, состояние протокола линии связи интерфейса виртуального доступа изменяется на активное. Если туннельное соединение Easy VPN обрывается в результате истечения срока действия или удаления сопоставления безопасности, состояние протокола линии связи интерфейса виртуального доступа изменяется на неактивное.

Маршруты в виртуальном интерфейсе Easy VPN выполняют функцию отбора трафика, т.е. заменяют список доступа криптокарты. В конфигурации с виртуальным интерфейсом Easy VPN создает одиночное сопоставление безопасности IPsec, если в конфигурации сервера Easy VPN настроен динамический виртуальный интерфейс IPsec. Это одиночное сопоставление безопасности создается вне зависимости от режима Easy VPN, используемого в конфигурации.

После создания сопоставления безопасности маршруты, указывающие на интерфейс виртуального доступа, добавляются к трафику, направленному в локальную сеть предприятия. Easy VPN также добавляет маршрут для концентратора VPN с целью маршрутизации инкапсулированных пакетов IPsec в локальную сеть компании. В случае работы в неразделенном режиме добавляется маршрут по умолчанию, указывающий на интерфейс виртуального доступа. Если сервер Easy VPN устанавливает раздельное туннелирование, подсеть туннеля с разделением становится объектом назначения, к которому добавляются маршруты, указывающие на интерфейс виртуального доступа. Если в любом из этих двух случаев узел (концентратор VPN) устанавливает соединение не напрямую, Easy VPN добавляет к нему маршрут.


Примечание.На большинстве маршрутизаторов с функцией Cisco Easy VPN Client настроен маршрут по умолчанию. Настраиваемый по умолчанию маршрут должен иметь значение метрики больше 1. Значение метрики должно быть больше 1, потому что Easy VPN добавляет маршрут по умолчанию со значением метрики, равным 1. Маршрут указывает на интерфейс виртуального доступа, поэтому в том случае, если концентратор не передает атрибут раздельного туннелирования, весь трафик направляется в локальную сеть компании.


Дополнительную информацию о функции виртуального туннельного интерфейса IPsec см. в документе Виртуальный туннельный интерфейс IPSec (URL-адрес см. в разделе «Дополнительная документация» данного документа [Общие сведения по IPsec и VPN]).

В таблице 1 приведены различные способы настройки удаленного устройства и соответствующие конфигурации головного агрегатора IPsec. В каждой строке представлен способ настройки удаленного устройства. В третьем столбце представлены различные конфигурации головного узла, которые могут использоваться с интерфейсами IPsec. В таблице 2 приведено описание терминов, используемых в таблице 1 и таблице 3.

Таблица 1. Способы взаимодействия различных конфигураций удаленного устройства с головными узлами
и их конфигурациями

Конфигурации удаленного устройства
Головной узел IOS — с использованием криптокарт
Головной узел IOS — с использованием интерфейсов IPsec
VPN3000/ASA

Криптокарты

Поддерживается.

Виртуальный интерфейс Easy VPN

Поддерживается.

Создает несколько сопоставлений безопасности для раздельного туннелирования.

Поскольку на головном узле интерфейс отсутствует, функции интерфейса не поддерживаются.

Параметры QoS поддерживаются ограниченно.

Поддерживается.

Создает одиночное сопоставление безопасности в туннелях с разделением и без.

Внесение маршрута осуществляется на сервере.

Маршруты вносятся на удаленные устройства для направления трафика на интерфейс.

Поддерживается.

Создает несколько сопоставлений безопасности для раздельного туннелирования.

Easy VPN устаревших версий

Создает одиночное сопоставление безопасности IPsec на головном узле при передаче политики по умолчанию.

Создает несколько сопоставлений безопасности при передаче на удаленное устройство политики раздельного туннелирования.

Не поддерживается.

Не может использоваться при раздельном туннелировании, потому что головной узел не поддерживает несколько сопоставлений безопасности на одном интерфейсе.

Поддерживается.

Создает несколько сопоставлений безопасности для раздельного туннелирования.

Статический виртуальный интерфейс

Не поддерживается.

Поддерживается.

Может использоваться со статическим или динамическим интерфейсом на головном узле.

Для доступа к сети необходима поддержка маршрутизации.

Не поддерживается.


В таблице 2 приведено описание терминов, используемых в таблице 1 и таблице 3.

Таблица 2. Термины, использующиеся в таблице 1 и таблице 3

Термины
Описание

ASA

Устройство адаптивной безопасности Cisco Adaptive Security Appliance для управления угрозами.

Криптокарты

Используются для настройки туннелей IPsec. Криптокарта назначается для интерфейса. Дополнительную информацию о криптокартах см. в разделе «Создание наборов криптокарт» главы «Настройка параметров безопасности VPN и IPSec» руководства по настройке параметров безопасности Cisco IOS. URL-адрес см. в разделе «Дополнительная документация» данного документа.

Удаленное устройство Easy VPN с двойным туннелированием

Две конфигурации удаленного устройства Easy VPN, в которых используется динамический виртуальный туннельный интерфейс IPsec.

Удаленное устройство Easy VPN с виртуальным интерфейсом (виртуальный интерфейс Easy VPN)

Конфигурация удаленного устройства Easy VPN, в которой используется динамический виртуальный туннельный интерфейс IPsec.

Интерфейс IPsec

Состоит из статического и динамического виртуальных интерфейсов IPsec.

Виртуальный туннельный интерфейс IPsec

Туннельный интерфейс, создаваемый из туннельного интерфейса виртуального шаблона в режиме с IPsec. Дополнительную информацию о конфигурациях виртуальных туннельных интерфейсов см. в документе Виртуальный туннельный интерфейс IPsec (URL-адрес см. в разделе «Дополнительная документация» данного документа [Общие сведения по IPsec и VPN]).

Easy VPN устаревших версий

Конфигурация удаленного устройства Easy VPN, в которой используются криптокарты, но не используются интерфейсы IPsec.

Статический виртуальный туннельный интерфейс IPsec (статический виртуальный туннельный интерфейс)

Туннельный интерфейс, используемый в режиме с IPsec, предлагающий и принимающий только селектор «ipv4 any any». Дополнительную информацию о конфигурациях статических виртуальных туннельных интерфейсов см. в документе Виртуальный туннельный интерфейс IPsec (URL-адрес см. в разделе «Дополнительная документация» данного документа [Общие сведения по IPsec и VPN]).

VPN 3000

Маршрутизаторы Cisco VPN 3000 Series Routers.


Поддержка двойного туннелирования

Easy VPN теперь поддерживает функцию настройки двух туннелей Easy VPN, имеющих одинаковые внутренние и внешние интерфейсы. Эта функция называется двойным туннелированием Easy VPN. Существует несколько способов настройки нескольких туннелей на одном удаленном устройстве. Описание этих способов, соответствующие конфигурации и советы по использованию приведены в таблице 3. Дальнейшее обсуждение, приведенное в этом разделе, затрагивает один из методов настройки двойных туннелей Easy VPN с виртуальными интерфейсами. Этот метод называется поддержкой двойного туннелирования.

В ходе установки двойного туннелирования Easy VPN каждый туннель Easy VPN настраивается с использованием поддержки виртуального интерфейса IPsec, см. соответствующее описание в разделе «Поддержка виртуального интерфейса IPsec». Каждый туннель Easy VPN имеет собственный уникальный виртуальный интерфейс, создаваемый при завершении конфигурации Easy VPN.

Существует два возможных сочетания, в которых может использоваться двойное туннелирование.

Двойное туннелирование, при котором в одном из туннелей Easy VPN используется политика неразделенного туннеля, а в другом — политика разделенного туннеля, передающаяся от соответствующего головного узла.

Двойное туннелирование, при котором в обоих туннелях Easy VPN используется независимая политика разделенного туннеля, передающаяся от соответствующего головного узла.


Примечание. Двойное туннелирование, при котором в обоих туннелях Easy VPN используется политика неразделенного туннеля, запрещено.


При двойном туннелировании Easy VPN используется внесение маршрута для направления нужного трафика через соответствующий виртуальный туннельный интерфейс Easy VPN. После установки туннеля Easy VPN на удаленном устройстве он получает данные политики разделенного или неразделенного туннеля от головного узла. Удаленное устройство Easy VPN вносит в собственную таблицу маршрутизации маршруты, соответствующие неразделенным сетям, о которых получена информация. Если головной узел передает на удаленное устройство Easy VPN политику неразделенного туннеля, удаленное устройство Easy VPN вносит в таблицу маршрутизации маршрут по умолчанию, который перенаправляет весь трафик из виртуального интерфейса Easy VPN, соответствующего данному туннелю Easy VPN. Если головной узел передает на удаленное устройство информацию о сетях с разделенным туннелем, удаленное устройство вносит в собственную таблицу маршрутизации заданные маршруты к разделенным сетям, перенаправляя на них трафик из виртуального туннельного интерфейса.


Примечание. При двойном туннелировании Easy VPN используется маршрутизация на основе пункта назначения для отправки трафика в соответствующие туннели.


К данному виртуальному интерфейсу могут применяться функции для обработки выходного трафика. В качестве примеров этих функций можно назвать Cisco IOS Quality of Service и Cisco IOS Firewall. Эти функции необходимо настраивать в виртуальном шаблоне, настраиваемом в конфигурации Easy VPN client.

В таблице 3 приведено описание методов использования этой функции. В таблице 2 приведено описание терминов, используемых в таблице 1 и таблице 3.

Таблица 3. Инструкции по использованию двойного туннелирования

Сочетания конфигураций при двойном туннелировании
Головные узлы поддерживаются
Конфигурация удаленного устройства Easy VPN и головного узла и советы по использованию

Два туннеля Easy VPN устаревших версий

IOS, ASA и VPN 3000

Два туннеля не могут использовать общий внешний интерфейс.

Два туннеля не могут использовать общий внутренний интерфейс.

Два туннеля должны использовать отдельные внутренние и внешние интерфейсы.

Трафик из внутреннего интерфейса, принадлежащего одному из туннелей Easy VPN, не может передаваться в другой туннель.

Один туннель Easy VPN устаревших версий и одна криптокарта

IOS, ASA и VPN 3000

Криптокарта может использовать тот же внешний интерфейс, который используется в конфигурации Easy VPN client устаревших версий. Однако поведение двух удаленных устройств зависит от режима Easy VPN, а также от селекторов IPsec криптокарты и удаленного устройства Easy VPN. Использовать такое сочетание не рекомендуется.

Один туннель Easy VPN устаревших версий и один статический виртуальный интерфейс

IOS

Оба туннеля не могут завершаться на одном головном узле. Туннель удаленного устройства со статическим виртуальным интерфейсом должен завершаться на статическом виртуальном интерфейсе маршрутизатора головного узла. Туннель удаленного устройства Easy VPN устаревших версий может завершаться на виртуальном туннельном интерфейсе или криптокарте, настроенной на головном узле.

Один туннель Easy VPN устаревших версий и один виртуальный интерфейс Easy VPN

IOS, ASA и VPN 3000

Оба туннеля не могут завершаться на одном головном узле.

Туннель Easy VPN устаревших версий и виртуальный интерфейс Easy VPN могут иметь общий внутренний и внешний интерфейсы.

Виртуальный интерфейс Easy VPN должен использоваться только при раздельном туннелировании.

Easy VPN устаревших версий может использовать как разделенный, так и неразделенный туннель.

Функция веб-активации не может использоваться на обоих туннелях Easy VPN.

Вместо этого сочетания предпочтительно использовать два виртуальных интерфейса Easy VPN.

Один виртуальный интерфейс Easy VPN и один статический виртуальный интерфейс

IOS

Оба туннеля не могут завершаться на одном узле. Статический виртуальный интерфейс и виртуальный интерфейс Easy VPN могут использовать один внешний интерфейс.

На виртуальном интерфейсе Easy VPN должно использоваться раздельное туннелирование.

Два виртуальных интерфейса Easy VPN

IOS, ASA и VPN 3000

Оба туннеля не могут завершаться на одном узле.

Хотя бы в одном из туннелей должно использоваться раздельное туннелирование.

Функция веб-активации не может использоваться на обоих туннелях Easy VPN.


Баннер

Сервер Easy VPN передает баннер на удаленное устройство Easy VPN. Удаленное устройство Easy VPN может использовать этот баннер для аутентификации Xauth и веб-активации. Удаленное устройство Easy VPN отображает баннер при первой установке туннельного соединения Easy VPN.

На сервере Easy VPN баннер настраивается при настройке групп.

усовершенствованное управление конфигурацией (передача URL-адреса конфигурации в режиме настройки);

После настройки этой функции на сервере при помощи команд configuration url и configuration version (подкоманды команды crypto isakmp client configuration group) сервер может передавать URL-адрес конфигурации и номер версии конфигурации на удаленное устройство Easy VPN. Удаленное устройство Easy VPN использует эту информацию для загрузки содержимого конфигурации и добавления его в текущую конфигурацию. Дополнительную информацию об этой функции см. в разделе «Усовершенствованное управление конфигурацией» модуля функций Easy VPN Server.

Повторная активация основного узла

Функция повторной активации основного узла позволяет задать основной узел по умолчанию. Основной узел по умолчанию (сервер) выбирается из группы узлов по таким критериям как более низкая стоимость, более близкое расположение или более широкая полоса пропускания. Если после настройки данной функции в результате сбоя в ходе фазы 1 согласования сопоставления безопасности Easy VPN переходит от основного узла к следующему узлу в списке резервных серверов, а затем снова становится доступным основной узел, соединение с резервным узлом разрывается и устанавливается соединение с основным узлом.

Обнаружение недоступных равноправных узлов является одним из механизмов, обеспечивающих срабатывание функции повторной активации основного узла. Другим механизмом являются таймеры простоя Easy VPN. После настройки таймера он обнаруживает отсутствие активности в туннеле и разрывает соединение. Последующее соединение (осуществляющееся немедленно в автоматическом режиме) осуществляется с предпочтительным основным узлом, а не с последним использованным.


Примечание. Можно указать только один основной узел.


поддержка идентичной адресации.

Функция поддержки идентичной адресации поддерживает локальные сети с идентичной адресацией на удаленных устройствах Easy VPN. Теперь можно получать доступ к сетевым ресурсам, таким как принтеры и веб-серверы на стороне локальной сети удаленных устройств EasyVPN, имеющим перекрывающуюся адресацию с другими удаленными устройствами Easy VPN. Для этого в функции Easy VPN Remote реализована поддержка NAT.

Для поддержки функции поддержки идентичной адресации вносить изменения в конфигурацию сервера Easy VPN не требуется.

Функция поддержки идентичной адресации работает только в режиме расширения сети (network-extension и network-plus).

Перед использованием функции поддержки идентичной адресации необходимо настроить виртуальные туннельные интерфейсы на удаленном устройстве Easy VPN.

На рис. 11 приведен пример настройки функции поддержки идентичной адресации.

Рис. 11. Поддержка идентичной адресации

Для настройки функции поддержки идентичной адресации следует использовать следующую команду и расширенные подкоманды:

crypto ipsec client ezvpn <name>

Расширенные подкоманды

nat acl {acl-name | acl-number} — включает раздельное туннелирование для трафика, указанного в имени или в номере списка управления доступом.

Аргумент acl-name указывает собой имя списка управления доступом (ACL).

Аргумент acl-number представляет собой номер списка управления доступом.

nat allow — позволяет использовать NAT совместно с Cisco Easy VPN.

Пошаговые инструкции по настройке функции поддержки идентичной адресации см. в разделе «Настройка поддержки идентичной адресации».

Настройка функции Cisco Easy VPN Remote

Данный раздел включает в себя следующие обязательные и дополнительные задачи.

Задачи удаленного администрирования

Настройка и назначение конфигурации Easy VPN Remote (обязательно)

Проверка конфигурации Cisco Easy VPN (необязательно)

Настройка функции сохранения паролей (необязательно)

Настройка ручного управления туннелем (необязательно)

Настройка автоматического управления туннелем (необязательно)

Настройка нескольких внутренних интерфейсов (необязательно)

Настройка нескольких внешних интерфейсов (необязательно)

Настройка поддержки нескольких подсетей (необязательно)

Настройка поддержки прокси-сервера DNS (необязательно)

Настройка резервирования соединений (необязательно)

Настройка пула DHCP-сервера (обязательно)

Сброс соединения VPN (необязательно)

Мониторинг и поддержка событий VPN и IKE (необязательно)

Настройка виртуального интерфейса (необязательно)

Устранение неисправностей в работе функции поддержки двойного туннелирования

Настройка функции повторной активации основного узла (по умолчанию) (необязательно)

Настройка поддержки идентичной адресации (необязательно)

Задачи по администрированию сервера Easy VPN

Настройка сервера Easy VPN с программным обеспечением Cisco IOS (обязательно)

Настройка сервера Easy VPN на концентраторе VPN 3000 Series Concentrator (необязательно)

Настройка сервера Easy VPN на брандмауэре Cisco PIX Firewall (необязательно)

Задачи по управлению веб-интерфейсом

Настройка веб-активации (необязательно)

Мониторинг и поддержка веб-активации (необязательно)

Использование приложения SDM в качестве средства управления веб-интерфейсом (необязательно)

Устранение неисправностей соединения VPN

Устранение неисправностей соединения VPN при помощи функции Cisco Easy VPN Remote (необязательно)

Устранение неисправностей в режиме работы клиента (необязательно)

Устранение неисправностей в удаленном управлении (необязательно)

Устранение неисправностей функции обнаружения недоступных равноправных узлов (необязательно)

Задачи удаленного администрирования

Настройка и назначение конфигурации Easy VPN Remote

На маршрутизаторе, выступающем в качестве устройства Easy VPN, необходимо создать конфигурацию Cisco Easy VPN Remote и назначить ее выходному интерфейсу. Для создания и назначения конфигурации выполните следующие действия:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. group group-name key group-key

5. peer [ip-address | hostname]

6. mode {client | network-extension}

7. exit

8. interface interface

9. crypto ipsec client ezvpn name [outside]

10. exit

11. exit

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn easy client remote

Создание удаленной конфигурации и вход в режим настройки Cisco Easy VPN Remote.

Шаг 4 

group group-name key group-key

Пример.

Router (config-crypto-ezvpn)# group easy-vpn-remote-groupname key easy-vpn-remote-password

Указывает значения группы IPSec и ключа IPSec, которые будут связаны с созданной конфигурацией.

Примечание. Значение аргумента group-name должно соответствовать группе, заданной на сервере Easy VPN. На маршрутизаторах с программным обеспечением Cisco IOS следует использовать команды crypto isakmp client configuration group и crypto map dynmap isakmp authorization list.

Примечание. Значение аргумента group-key должно соответствовать ключу, заданному на сервере Easy VPN. На маршрутизаторах с программным обеспечением Cisco IOS следует использовать команду crypto isakmp client configuration group.

Шаг 5 

peer [ip-address | hostname]

Пример.

Router (config-crypto-ezvpn)# peer 192.185.0.5

Указывает IP-адрес или сетевое имя узла назначения (обычно IP-адрес на внешнем интерфейсе маршрута назначения).

Можно настроить несколько узлов.

Примечание. Необходимо иметь настроенный и доступный DNS-сервер для использования параметра hostname.

Шаг 6 

mode {client | network-extension}

Пример.

Router (config-crypto-ezvpn)# mode client

Указывает тип соединения VPN, которое необходимо установить.

client — Указывает, что маршрутизатор настроен в качестве VPN-клиента с использованием преобразования адресов NAT или PAT. Если тип соединения VPN не указан, по умолчанию используется режим клиента.

network-extension — Указывает, что маршрутизатор будет выполнять роль удаленного расширителя сети предприятия, используя соединение VPN.

Шаг 7 

exit

Пример.

Router (config-crypto-ezvpn)# exit

Выход из режима настройки Cisco Easy VPN Remote.

Шаг 8 

interface interface

Пример.

Router (config)# interface Ethernet1

Вход в режим настройки интерфейса (для выбранного интерфейса).

Этот интерфейс является внешним интерфейсом для преобразования адресов NAT или PAT.

Шаг 9 

crypto ipsec client ezvpn name [outside]

Пример.

Router (config-if)# crypto ipsec client ezvpn easy_vpn_remote1 outside

Назначает конфигурацию Cisco Easy VPN Remote интерфейсу.

Эта конфигурация автоматически создает необходимые параметры преобразования адресов NAT или PAT и инициирует VPN-соединение (при работе в режиме клиента).

Примечание. Внутренний интерфейс необходимо указывать на платформах Cisco 1700 и выше.

Шаг 10 

exit

Пример.

Router (config-if)# exit

Выход из режима настройки интерфейса.

Шаг 11 

exit

Пример.

Router (config)# exit

Выход из режима глобальной конфигурации.

Проверка настройки Cisco Easy VPN

Для проверки того, что конфигурация Cisco Easy VPN Remote правильно настроена и назначена интерфейсу, а также создан туннель IPSec VPN, необходимо выполнить следующие действия:

СВОДКА ШАГОВ

1. show crypto ipsec client ezvpn

2. show ip nat statistics

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ


Шаг 1. Используйте команду show crypto ipsec client ezvpn для отображения текущего состояния соединения Cisco Easy VPN Remote. После ввода команды на маршрутизаторах Cisco 1700 Series Router, работающих в режиме клиента, обычно отображаются следующие данные:

Router# show crypto ipsec client ezvpn 

Tunnel name : hw1 
Inside interface list: FastEthernet0/0, Serial0/0, 
Outside interface: Serial1/0 
Current State: IPSEC_ACTIVE 
Last Event: SOCKET_UP 
Address: 10.0.0.5 
Mask: 255.255.255.255 
Default Domain: cisco.com
Tunnel name : hw2 
Inside interface list: Serial0/1, 
Outside interface: Serial1/1 
Current State: IPSEC_ACTIVE 
Last Event: SOCKET_UP 
Default Domain: cisco.com

Шаг 2. Используйте команду show ip nat statistics для отображения конфигурации NAT или PAT, которая автоматически создана для соединения VPN. Подробные сведения о преобразовании NAT или PAT, выполняющемся в туннеле VPN, отображаются в поле Dynamic mappings.

Router# show ip nat statistics 

Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
  cable-modem0
Inside interfaces:
  Ethernet0
Hits: 1489  Misses: 1
Expired translations: 1
Dynamic mappings:
-- Inside Source
access-list 198 pool enterprise refcount 0
 pool enterprise: netmask 255.255.255.0
        start 192.168.1.90 end 192.168.1.90
        type generic, total addresses 1, allocated 0 (0%), misses 0\

Если после ввода команды в поле отображается сообщение IPSEC_ACTIVE, система работает нормально.


Настройка функции сохранения паролей

Для настройки функции сохранения паролей необходимо выполнить следующие действия:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. password encryption aes

4. crypto ipsec client ezvpn name

5. username name password {0 | 6} {password}

6. exit

7. show running-config

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

password encryption aes

Пример.

Router (config)# password encryption aes

Включение использования зашифрованного общего ключа типа 6.

Шаг 4 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn ezvpn1

Создание конфигурации Cisco Easy VPN Remote и вход в режим настройки Cisco Easy VPN Remote.

Шаг 5 

username name password {0 | 6} {password}

Пример.

Router (config-crypto-ezvpn)# username server_1 password 0 blue

Сохранение пароля для аутентификации Xauth на локальном компьютере.

Для указания на последующий ввод незашифрованного пароля используется ключевое слово 0.

Для указания на последующий ввод зашифрованного пароля используется ключевое слово 6.

Аргумент password обозначает незашифрованный (текстовый) пароль.

Шаг 6 

exit

Пример.

Router (config-crypto-ezvpn)# exit

Выход из режима настройки Cisco Easy VPN Remote.

Шаг 7 

show running-config

Пример.

Router (config)# show running-config

Отображение файла текущей конфигурации.

Настройка ручного управления туннелем

Для настройки ручного управления туннелями IPsec VPN и создания и завершения туннельных соединений IPsec VPN при необходимости нужно выполнить следующие действия:


Примечание. Одним из способов установки соединения является интерфейс командной строки. Рекомендуется использовать веб-интерфейс (при помощи приложения SDM).


СВОДКА ШАГОВ

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. connect [auto | manual]

5. exit

6. exit

7. crypto ipsec client ezvpn connect name

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Назначение конфигурации Cisco Easy VPN Remote интерфейсу и вход в режим настройки Cisco Easy VPN Remote.

Аргумент name указывает имя конфигурации, назначаемой интерфейсу.

Шаг 4 

connect [ auto | manual]

Пример.

Router (config-crypto-ezvpn)# connect manual

Установка туннельного соединения VPN. Для включения ручного управления туннелем используйте ключевое слово manual.

По умолчанию устанавливается автоматический режим. Если требуется оставить автоматический режим управления, использовать ключевое слово manual не нужно.

Шаг 5 

exit

Пример.

Router (config-crypto-ezvpn)# exit

Выход из режима настройки Cisco Easy VPN Remote.

Шаг 6 

exit

Пример.

Router (config)# exit

Выход из режима глобальной конфигурации и вход в привилегированный режим EXEC.

Шаг 7 

crypto ipsec client ezvpn connect name

Пример.

Router# crypto ipsec client ezvpn connect easy vpn remote1

Установка соединения с выбранной конфигурацией Cisco Easy VPN Remote.

Имя туннеля IPsec VPN задается посредством аргумента name.

Примечание. Если имя туннеля не задано, будет установлено активное туннельное соединение. Если настроено несколько активных туннелей, отобразится сообщение об ошибке и запрос на указание имени туннеля.

Настройка автоматического управления туннелем

Для настройки автоматического управления туннелем необходимо выполнить следующие действия:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. connect [auto | manual]

5. exit

6. exit

7. crypto ipsec client ezvpn connect name

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Назначение конфигурации Cisco Easy VPN Remote интерфейсу и вход в режим настройки Cisco Easy VPN Remote.

Введите имя конфигурации, назначаемой интерфейсу.

Шаг 4 

connect [auto | manual]

Пример.

Router (config-crypto-ezvpn)# connect auto

Установка туннельного соединения VPN.

Для включения автоматического управления туннелем используйте подкоманду auto. По умолчанию используется автоматический режим. Если в конфигурации требуется использовать автоматический режим, использовать эту подкоманду не нужно.

Шаг 5 

exit

Пример.

Router (config-crypto-ezvpn)# exit

Выход из режима настройки Cisco Easy VPN Remote.

Шаг 6 

exit

Пример.

Router (config)# exit

Выход из режима глобальной конфигурации и вход в привилегированный режим EXEC.

Шаг 7 

crypto ipsec client ezvpn connect name

Пример.

Router# crypto ipsec client ezvpn connect easy vpn remote1

Установка соединения с выбранной конфигурацией Cisco Easy VPN Remote.

Имя туннеля IPsec VPN задается посредством аргумента name.

Примечание. Если имя туннеля не задано, будет установлено активное туннельное соединение. Если настроено несколько активных туннелей, отобразится сообщение об ошибке и запрос на указание имени туннеля.

Настройка нескольких внутренних интерфейсов

На всех платформах можно настроить до трех внутренних интерфейсов. Каждый интерфейс необходимо настраивать вручную посредством следующей процедуры:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. interface interface-name

4. exit

5. crypto ipsec client ezvpn name [outside | inside]

6. interface interface-name

7. exit

8. crypto ipsec client ezvpn name [outside | inside]

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

interface interface-name

Пример.

Router (config)# interface Ethernet0

Выбор интерфейса для настройки посредством указания имени интерфейса и вход в режим настройки интерфейса.

Шаг 4 

exit

Пример.

Router (config-if)# exit

Выход из режима настройки интерфейса.

Шаг 5 

crypto ipsec client ezvpn name [outside | inside]

Пример.

Router (config)# crypto ipsec client ezvpn easy vpn remote 1 inside

Указывает имя конфигурации Cisco Easy VPN Remote, которая назначается первому внутреннему интерфейсу.

Аргумент inside необходимо задать для каждого внутреннего интерфейса.

Шаг 6 

interface interface-name

Пример.

Router (config)# interface Ethernet1

Выбор следующего интерфейса для настройки посредством указания имени интерфейса и вход в режим настройки интерфейса.

Шаг 7 

exit

Пример.

Router (config-if)# exit

Выход из режима настройки интерфейса.

Шаг 8 

crypto ipsec client ezvpn name [outside | inside]

Пример.

Router (config)# crypto ipsec client ezvpn easy vpn remote2 inside

Указывает имя конфигурации Cisco Easy VPN Remote, которая назначается следующему внутреннему интерфейсу.

Аргумент inside необходимо задать для каждого внутреннего интерфейса.

При необходимости выполните шаги 3 и 4 для настройки дополнительного туннеля.

Настройка нескольких внешних интерфейсов

Можно настроить несколько туннелей для внешних интерфейсов, создав туннель для каждого внешнего интерфейса. Можно задать до четырех туннелей, используя для каждого из внешних интерфейсов следующую процедуру:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. interface interface-name

4. exit

5. crypto ipsec client ezvpn name [outside | inside]

6. interface interface-name

7. exit

8. crypto ipsec client ezvpn name [outside | inside]

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

interface interface-name

Пример.

Router (config)# interface Ethernet0

Выбор первого интерфейса для настройки посредством указания имени интерфейса и вход в режим настройки интерфейса.

Шаг 4 

exit

Пример.

Router (config-if)# exit

Выход из режима настройки интерфейса.

Шаг 5 

crypto ipsec client ezvpn name [outside | inside]

Пример.

Router (config)# crypto ipsec client ezvpn easy vpn remote1 outside

Указывает имя конфигурации Cisco Easy VPN Remote, которая назначается первому внешнему интерфейсу.

Аргумент outside (необязательный) можно задать для каждого внешнего интерфейса. Если для интерфейса не заданы аргументы outside и inside, по умолчанию используется значение outside.

Шаг 6 

interface interface-name

Пример.

Router (config)# interface Ethernet1

Выбор следующего внешнего интерфейса для настройки посредством указания имени интерфейса.

Шаг 7 

exit

Пример.

Router (config-if)# exit

Выход из режима настройки интерфейса.

Шаг 8 

crypto ipsec client ezvpn name [outside | inside]

Пример.

Router (config)# crypto ipsec client ezvpn easy vpn remote2 outside

Указывает имя конфигурации Cisco Easy VPN Remote, которая назначается следующему внешнему интерфейсу.

Аргумент outside (необязательный) можно задать для каждого внешнего интерфейса. Если для интерфейса не заданы аргументы outside и inside, по умолчанию используется значение outside.

При необходимости выполните шаги 3 и 4 для настройки дополнительного туннеля.

Настройка поддержки нескольких подсетей

При настройке поддержки нескольких подсетей необходимо сначала настроить список управления доступом для задания защищенных сетей. Каждая исходная подсеть или пара масок указывают на то, что весь трафик, отправляемый из этой сети на любой узел назначения, защищен посредством IPsec. Информацию по настройке списков управления доступом см. в пункте «Списки управления доступом, настройка» раздела «Дополнительные ссылки».

После задания подсетей необходимо настроить профиль crypto IPsec client EZVPN для использования списков управления доступом.


Примечание. Поддержка нескольких подсетей в режиме клиента не реализована.


СВОДКА ШАГОВ

1. enable

2. configure terminal

3. interface interface-name

4. exit

5. crypto ipsec client ezvpn name

6. acl {acl-name | acl-number}

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

interface interface-name

Пример.

Router (config)# interface Ethernet1

Выбор интерфейса для настройки посредством указания имени интерфейса и вход в режим настройки интерфейса.

Шаг 4 

exit

Пример.

Router (config-if)# exit

Выход из режима настройки интерфейса.

Шаг 5 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn ez1

Создание конфигурации Cisco Easy VPN Remote и вход в режим настройки crypto Easy VPN.

Шаг 6 

acl {acl-name | acl-number}

Пример.

Router (config-crypto-ezvpn)# acl acl-list1

Задание нескольких подсетей в туннеле VPN.

Настройка поддержки прокси-сервера DNS

Для использования DNS-адресов поставщика услуг Интернета при неактивном соединении WAN маршрутизатор в конфигурации Cisco Easy VPN Remote может быть настроен в качестве прокси-сервера DNS. Для включения функции прокси-сервера DNS посредством команды ip dns server необходимо выполнить следующие действия:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. ip dns server

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

ip dns server

Пример.

Router (config)# ip dns server

Включение функции использования маршрутизатора в качестве DNS-сервера.

Примечание. Возможность использования данной функции зависит от программного обеспечения IOS.

Дальнейшие действия

После настройки маршрутизатора необходимо настроить сервер Easy VPN с программным обеспечением Cisco IOS следующим образом:

После ввода команды crypto isakmp client configuration group настройте подкоманду dns, как показано в следующем примере:

dns A.B.C.D A1.B1.C1.D1

Эти адреса DNS-сервера должны передаваться от сервера на Cisco Easy VPN Remote, а затем динамически добавляться или удаляться из текущей конфигурации маршрутизатора.

Информацию по общим функциям DNS-сервера в программном обеспечении Cisco IOS см. в разделах Настройка DNS и Настройка DNS на маршрутизаторах Cisco.

Настройка резервирования соединений


Примечание. Функция резервирования соединений не поддерживается программным обеспечением Cisco IOS версии 12.3(11)T.


Для настройки резервирования соединений необходимо выполнить следующие действия:

СВОДКА ШАГОВ

1. Создайте резервную конфигурацию Easy VPN.

2. Добавьте данные подкоманды резервирования к основной конфигурации.

3. Примените резервную конфигурацию Easy VPN к внешнему интерфейсу резервирования соединений.

4. Примените профиль Easy VPN к внутренним интерфейсам.

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

Создайте резервную конфигурацию Easy VPN.


Подробную информацию о конфигурациях с резервированием соединений см. в разделе «Резервирование соединений».

Шаг 2 

Добавьте данные подкоманды резервирования к основной конфигурации.

Используйте подкоманду backup и ключевое слово track команды crypto ipsec client ezvpn.

Шаг 3 

Примените резервную конфигурацию Easy VPN к внешнему интерфейсу резервирования соединений (например, к последовательному, асинхронному или интерфейсу номеронабирателя).

Подробную информацию о применении резервной конфигурации к внешнему интерфейсу резервирования соединений см. в разделе «Настройка нескольких внешних интерфейсов».

Шаг 4 

Примените профиль Easy VPN к внутренним интерфейсам (этих интерфейсов может быть несколько).

Подробную информацию о применении профиля Easy VPN к внутренним интерфейсам см. в разделе «Настройка нескольких внутренних интерфейсов».

Настройка пула DHCP-сервера

Информацию о настройке пула DHCP-сервера см. в главе «Настройка DHCP» руководства по настрой ке Cisco IOS IP версии 12.3.

Сброс соединения VPN

Для сброса соединения VPN необходимо выполнить следующие действия: Команды сброса clear можно настраивать независимо друг от друга в любом порядке.

СВОДКА ШАГОВ

1. enable

2. clear crypto ipsec client ezvpn

3. clear crypto sa

4. clear crypto isakmp

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

clear crypto ipsec client ezvpn

Пример.

Router# clear crypto ipsec client ezvpn

Сброс удаленного устройства Cisco Easy VPN и сброс соединения Cisco Easy VPN Remote на всех интерфейсах или на заданном интерфейсе (туннельном).

Шаг 3 

clear crypto sa

Пример.

Router# clear crypto sa

Удаление сопоставлений безопасности протокола IPsec.

Шаг 4 

clear crypto isakmp

Пример.

Router# clear crypto isakmp

Сброс активных соединений протокола IKE.

Мониторинг и поддержка событий VPN и IKE

Для обеспечения мониторинга и поддержки событий VPN и IKE необходимо выполнить следующие действия:

СВОДКА ШАГОВ

1. enable

2. debug crypto ipsec client ezvpn

3. debug crypto ipsec

4. debug crypto isakmp

СВОДКА ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

debug crypto ipsec client ezvpn

Пример.

Router# debug crypto ipsec client ezvpn

Отображение информации о конфигурации и применении функции Cisco Easy VPN Remote.

Шаг 3 

debug crypto ipsec

Пример.

Router# debug crypto ipsec

Отображение событий IPsec.

Шаг 4 

debug crypto isakmp

Пример.

Router# debug crypto isakmp

Отображение сообщений о событиях IKE.

Настройка виртуального интерфейса

Для настройки виртуального интерфейса необходимо выполнить следующие действия:


Примечание. Перед настройкой виртуального интерфейса убедитесь, что ни к одному из внешних интерфейсов не применен профиль Easy VPN. Удалите профиль Easy VPN из внешнего интерфейса, а затем настройте виртуальный интерфейс.


СВОДКА ШАГОВ

1. enable

2. configure terminal

3. interface virtual-template number type type-of-virtual-template

4. tunnel mode ipsec ipv4

5. exit

6. crypto ipsec client ezvpn name

7. virtual-interface [virtual-template-number]

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

interface virtual-template number type type-of-virtual-template

Пример.

Router (config)# interface virtual-template1 type tunnel

(Необязательно) Создание виртуального шаблона типа туннеля и вход в режим настройки интерфейса.

Шаги 3, 4 и 5 являются дополнительными, но при выполнении одного из них необходимо выполнять их все.

Шаг 4 

tunnel mode ipsec ipv4

Пример.

Router (if-config)# tunnel mode ipsec ipv4

(Необязательно) Настройка туннеля, в котором осуществляется туннелирование IPsec.

Шаг 5 

exit

Пример.

Router (if-config)# exit

(Необязательно) Выход из режима настройки виртуального туннельного интерфейса.

Шаг 6 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn EasyVPN1

Создание конфигурации Cisco Easy VPN Remote и вход в режим настройки Cisco Easy VPN Remote.

Шаг 7 

virtual-interface [virtual-template-number]

Пример.

Router (config-crypto-ezvpn)# virtual-interface 3

Отправка удаленному устройству Easy VPN инструкций на создание виртуального интерфейса, который будет использоваться в качестве внешнего. Если был указан номер виртуального шаблона, интерфейс виртуального доступа определяется заданным виртуальным интерфейсом. Если номер виртуального шаблона не задан, создается общий интерфейс виртуального доступа.

Устранение неисправностей в работе функции поддержки двойного туннелирования

Для устранения неисправностей в конфигурации с двойным туннелированием могут использоваться описанные ниже команды debug и show.

СВОДКА ШАГОВ

1. enable

2. debug crypto ipsec client ezvpn

3. debug ip policy

4. show crypto ipsec client ezvpn

5. show ip interface

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

debug crypto ipsec client ezvpn

Пример.

Router# debug crypto ipsec client ezvpn

Отображение информации о соединениях Cisco Easy VPN Remote.

Шаг 3 

debug ip policy

Пример.

Router# debug ip policy

Отображение операций по маршрутизации пакетов посредством IP-политики.

Шаг 4 

show crypto ipsec client ezvpn

Пример.

Router# show crypto ipsec client ezvpn

Отображение конфигурации Cisco Easy VPN Remote.

Шаг 5 

show ip interface

Пример.

Router# show ip interface

Отображение состояния использования интерфейсов, настроенных для IP.

Настройка функции повторной активации основного узла (по умолчанию)

Для настройки основного узла по умолчанию необходимо выполнить следующие действия:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. peer {ip address | hostname} [default]

5. idle-time idle-time

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn ez1

Создание конфигурации Cisco Easy VPN Remote и вход в режим настройки crypto Easy VPN.

Шаг 4 

peer {ip address | hostname} [default]

Пример.

Router (config-crypto-ezvpn)# peer 10.2.2.2 default

Задание IP-адреса или сетевого имени узла для соединения VPN.

Сетевое имя можно указать только в том случае, если у маршрутизатора имеется DNS-сервер для разрешения сетевого имени.

Подкоманду peer можно вводить несколько раз. Однако одновременно может существовать только одно введенное значение команды для узла по умолчанию (например, 10.2.2.2 default).

Для указания на основной узел используется ключевое слово default.

Шаг 5 

idle-time idle-time

Пример.

Router (config-crypto-ezvpn)# idle-time 60

(Необязательно) Время простоя в секундах, по истечении которого туннель Easy VPN отключается.

Значение времени простоя (Idle time) может составлять от 60 до 86 400 секунд.

Примечание. Если время простоя задано, туннель для основного сервера не отключается.

Настройка поддержки идентичной адресации

Настройка поддержки идентичной адресации включает в себя следующие задачи:

задание удаленного устройства Easy VPN в режиме расширения сети (network-extension) и включение функции nat allow;

назначение конфигурации Cisco Easy VPN Remote внешнему интерфейсу;

создание интерфейса обратной связи и назначение конфигурации Cisco Easy VPN Remote внутреннему интерфейсу интерфейса обратной связи;

настройка статического преобразования NAT для каждого сетевого узла, доступ к которому необходимо обеспечить из сети на стороне сервера Easy VPN или с других клиентских узлов;

настройка NAT или PAT с динамической перегрузкой посредством списков управления доступом для всего проходящего через VPN трафика. Трафик NAT или PAT направляется на IP-адрес внутреннего интерфейса Easy VPN.

Кроме того, для раздельного туннелирования необходимо использовать команду nat acl с целью включения раздельного туннелирования для трафика, указанного посредством аргументов acl-name или acl-number. Использоваться будет список управления доступом, используемый для адресации NAT или PAT в предыдущем пункте.

Для настройки поддержки идентичной адресации необходимо выполнить следующие действия.

Предварительные условия

Перед настройкой функции поддержки идентичной адресации необходимо настроить удаленное устройство Easy VPN в режиме расширения сети.

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. mode network-extension

5. nat allow

6. exit

7. interface interface

8. crypto ipsec client ezvpn name outside

9. exit

10. interface interface

11. ip address ip mask

12. crypto ipsec client ezvpn name inside

13. exit

14. ip nat inside source static local-ip global-ip

15. ip nat inside source list {acl-name | acl-number} interface interface overload

16. crypto ipsec client ezvpn name

17. nat acl {acl-name | acl-number}

18. exit

19. exit

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn easyclient

Создание удаленной конфигурации и вход в режим настройки Cisco Easy VPN Remote.

Шаг 4 

mode network-extension

Пример.

Router (config-crypto-ezvpn)# mode network-extension

Настройка клиента Easy VPN в режиме расширения сети.

Шаг 5 

nat allow

Пример.

Router (config-crypto-ezvpn)# nat allow

Включение интеграции NAT в Easy VPN и включение функции идентичной адресации.

Шаг 6 

exit

Пример.

Router (config-crypto-ezvpn)# exit

Выход из режима настройки Cisco Easy VPN Remote.

Шаг 7 

interface interface

Пример.

Router (config)# interface Ethernet1

Вход в режим настройки интерфейса (для выбранного интерфейса).

Этот интерфейс является внешним интерфейсом для преобразования адресов NAT или PAT.

Шаг 8 

crypto ipsec client ezvpn name outside

Пример.

Router (config-if)# crypto ipsec client ezvpn easyclient outside

Назначение конфигурации Cisco Easy VPN Remote внешнему интерфейсу.

Эта конфигурация автоматически создает необходимые параметры преобразования адресов NAT или PAT и инициирует VPN-соединение (при работе в режиме клиента).

Шаг 9 

exit

Пример.

Router (config-if)# exit

Выход из режима настройки интерфейса.

Шаг 10 

interface interface

Пример.

Router (config)# interface Loopback0

Вход в режим настройки интерфейса (для интерфейса обратной связи).

Этот интерфейс является внутренним интерфейсом для преобразования адресов NAT или PAT.

Шаг 11 

ip address ip mask

Пример.

Router (config-if)# ip address 10.1.1.1 255.255.255.252

Назначение IP-адреса и маски интерфейсу обратной связи.

Шаг 12 

crypto ipsec client ezvpn name inside

Пример.

Router (config-if)# crypto ipsec client ezvpn easyclient inside

Назначение конфигурации Cisco Easy VPN Remote внутреннему интерфейсу.

Шаг 13 

exit

Пример.

Router (config-if)# exit

Выход из режима настройки интерфейса.

Шаг 14 

ip nat inside source static local-ip global-ip

Пример.

Router (config)# ip nat inside source static 10.10.10.10 5.5.5.5

Настройка статического преобразования NAT для каждого сетевого узла, доступ к которому необходимо обеспечить из сети на стороне сервера Easy VPN или с других клиентских узлов.

Шаг 15 

ip nat inside source list
{acl-name | acl-number} interface interface overload

Пример.

Router (config)# ip nat inside source list 100 interface Loopback0 overload

Настройка NAT или PAT с динамической перегрузкой посредством списков управления доступом для всего проходящего через VPN трафика. Трафик NAT или PAT направляется на IP-адрес внутреннего интерфейса Easy VPN.

Имя списка управления доступом задается посредством аргумента acl-name.

Номер списка управления доступом задается посредством аргумента acl-number.

Шаг 16 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn easyclient

Вход в режим настройки Cisco Easy VPN Remote (дополнительная операция, используется для раздельного туннелирования).

Шаг 17 

nat acl {acl-name | acl-number}

Пример.

Router (config-crypto-ezvpn)# nat acl 100

Включение раздельного туннелирования для трафика, указанного посредством аргументов acl-name или acl-number (дополнительная операция, используется для раздельного туннелирования). Использоваться будет список управления доступом, используемый для адресации NAT или PAT в шаге 15.

Имя списка управления доступом задается посредством аргумента acl-name.

Номер списка управления доступом задается посредством аргумента acl-number.

Шаг 18 

exit

Пример.

Router (config-crypto-ezvpn)# exit

Выход из режима настройки Cisco Easy VPN Remote.

Шаг 19 

exit

Пример.

Router (config)# exit

Выход из режима глобальной конфигурации.

Задачи по администрированию сервера Easy VPN

Настройка сервера Easy VPN с программным обеспечением Cisco IOS

Информацию по настройке сервера Easy VPN см. в документе

Сервер Easy VPN

Настройка сервера Easy VPN на концентраторе VPN 3000 Series Concentrator

В этом разделе приведены инструкции по настройке концентратора Cisco VPN 3000 Series Concentrator для использования совместно с функцией Cisco Easy VPN Remote. Как правило, допускается использование конфигурации по умолчанию за исключением IP-адресов, адресов серверов, конфигураций маршрутизации и следующих параметров:

Настройка узла в Cisco Easy VPN Remote с использованием сетевого имени

Интерактивная аутентификация аппаратной части клиентского оборудования, версия 3.5 (Interactive Hardware Client Authentication Version 3.5)

Протокол туннелирования IPsec (IPsec Tunnel Protocol)

Группа IPsec (IPsec Group)

Блокировка группы (Group Lock)

Аутентификация Xauth

Раздельное туннелирование (Split Tunneling)

Предложения протокола IKE (IKE Proposals)

Новое сопоставление безопасности IPsec (New IPsec SA)


Примечание. Для поддержки клиентов и удаленных устройств Cisco Easy VPN необходимо использовать программное обеспечение для концентраторов Cisco VPN 3000 Series Concentrator версияа 3.11 или более позднего.


Настройка узла в Cisco Easy VPN Remote с использованием сетевого имени

После настройки использования сетевого имени в качестве средства проверки подлинности для сервера Cisco Easy VPN на концентраторе VPN 3000 concentrator необходимо настроить использование сетевого имени для узла в Cisco Easy VPN Remote. Для разрешения сетевого имени узла можно настроить DNS на клиентском оборудовании или настроить сетевое имя узла на клиенте вручную с помощью команды ip host. Пример настройки сетевого имени узла на удаленном устройстве Easy VPN.

ip host crypto-gw.cisco.com 10.0.0.1

Можно также настроить использование имени узла для удаленного устройства Easy VPN посредством команды peer и аргумента hostname следующим образом:

peer crypto-gw.cisco.com.

Интерактивная аутентификация аппаратной части клиентского оборудования, версия 3.5 (Interactive Hardware Client Authentication Version 3.5)

Функция Cisco Easy VPN Remote не поддерживает функцию Interactive Hardware Client Authentication Version 3.5. Эту функцию необходимо отключить. Для отключения этой функции на концентраторе VPN 3000 Series Concentrator выберите вкладку HW Client (Клиент HW) на экране «Configuration | User Management | Base Group» (Конфигурация | Управление пользователями | Основная группа).

Протокол туннелирования IPsec (IPsec Tunnel Protocol)

Параметр «IPsec Tunnel Protocol» (Протокол туннелирования IPsec) используется для включения доступа пользователей к протоколу туннелирования IPsec. Для настройки функции «IPsec Tunnel Protocol» (Протокол туннелирования IPsec) на концентраторах Cisco VPN 3000 Series Concentrator выберите вкладку «General» (Общие) на экране «Configuration | User Management | Base Group» (Конфигурация | Управление пользователями | Основная группа).

Группа IPsec (IPsec Group)

Параметр «IPsec Group» (Группа IPsec) позволяет задать в настройках концентратора Cisco VPN 3000 Series Concentrator имя группы и пароль, совпадающие с указанными в конфигурации Cisco Easy VPN Remote маршрутизатора. Для настройки этих значений на маршрутизаторе используются подкоманда и атрибуты group group-name key group-key. На концентраторе серии Cisco VPN 3000 они задаются на экране Configuration | User Management | Groups (Конфигурация | Управление пользователями | Группы).

Блокировка группы (Group Lock)

При разрешении доступа к концентратору VPN 3000 Series concentrator нескольким пользователям, принадлежащим к нескольким группам, на вкладке IPsec необходимо установить флажок в поле «Group Lock» (Блокировка группы). Это требуется для предотвращения входа в систему пользователей из одной группы с использованием параметров другой группы. Если, например, для одной группы настроен доступ с раздельным туннелированием, а для другой группы — доступ без раздельного туннелирования, после установки флажка в поле «Group Lock» (Блокировка группы) пользователи из второй группы не будут иметь доступа к функциям раздельного туннелирования. Флажок Group Lock находится на вкладке IPsec на экране Configuration | User Management | Base Group (Конфигурация | Управление пользователями | Основная группа) и на вкладке IPsec на экранах Configuration | User Management | Groups | Add/Modify (Конфигурация | Управление пользователями | Группы | Добавить/Изменить).

Аутентификация Xauth

Для использования аутентификации Xauth установите для параметра «Authentication» (Аутентификация) значение «None» (Нет). Параметр Authentication находится на вкладке IPsec на экране Configuration | User Management | Base Group и на вкладке IPsec на экранах Configuration | User Management | Groups | Add/Modify.

Раздельное туннелирование (Split Tunneling)

На вкладке «Mode Configuration Parameters» (Параметры конфигурации режима) экрана «Configuration | User Management | Base Group» (Конфигурация | Управление пользователями | Основная группа) имеется параметр «Split Tunnel» (Разделенный туннель) с флажком «Allow the networks in the list to bypass the tunnel» (Разрешить сетям из списка обходить туннель).

Предложения протокола IKE (IKE Proposals)

На концентраторе Cisco VPN 3000 Series concentrator настроено предложения протокола IKE по умолчанию — CiscoVPNClient-3DES-MD5, который можно использовать с удаленными устройствами Cisco Easy VPN. Это предложение протокола IKE поддерживает общие ключи с аутентификацией Xauth с использованием алгоритма MD5/HMAC-128 и алгоритма Диффи-Хельмана группы 2.

Это предложение протокола IKE включен по умолчанию, однако в этом необходимо убедиться на экране «Configuration | System | Tunneling Protocols | IPsec | IKE Proposals» (Конфигурация | Система | Протоколы туннелирования | IPsec | Предложения IKE).

Кроме того, в ходе настройки концентратора Cisco VPN 3000 Series concentrator для образа Cisco Easy VPN Remote создавать новое сопоставление безопасности IPsec не требуется. Следует использовать предложение IKE и срок действия Easy VPN remote, настроенные на концентраторе Cisco VPN 3000 Series concentrator по умолчанию.


Примечание Можно также использовать предложения IKE по умолчанию IKE-DES-MD5 и IKE-3DES-MD5, однако они не поддерживают аутентификацию Xauth по умолчанию.


Новое сопоставление безопасности IPsec (New IPsec SA)

Можно создать новое сопоставление безопасности IPsec. На клиентах Cisco Easy VPN используется сопоставление безопасности со следующими параметрами:

Алгоритм аутентификации — ESP/MD5/HMAC-128

Алгоритм шифрования — DES-56 или 3DES-168 (рекомендуется)

Режим инкапсуляции — туннельный

Предложение IKE — CiscoVPNClient-3DES-MD5 (предпочтительный)

На концентраторе Cisco VPN 3000 series concentrator предварительно настроены различные стандартные сопоставления безопасности (SA), однако они не соответствуют требованиям предложения IKE. Для использования предложения IKE CiscoVPNClient-3DES-MD5 необходимо скопировать и изменить сопоставление безопасности ESP/IKE-3DES-MD5, чтобы использовать CiscoVPNClient-3DES-MD5 в качестве предложения IKE. Для настройки предложения IKE в концентраторах VPN 3000 Series concentrator используется экран «sConfiguration | Policy Management | Traffic Management | Security Association» (Конфигурация | Управление политикой | Управление трафиком | Сопоставления безопасности).

Настройка сервера Easy VPN на брандмауэре Cisco PIX Firewall

Информацию по настройке сервера Easy VPN на брандмауэре Cisco PIX Firewal см. в документе

Сервер Easy VPN

Задачи по управлению веб-интерфейсом

Настройка веб-активации

Для настройки локальной сети таким образом, чтобы все HTTP-запросы, поступающие с компьютеров в частной сети, перехватывались для предоставления пользователям компании доступа к веб-странице компании, необходимо выполнить следующие действия:

СВОДКА ШАГОВ

1. enable

2. configure terminal

3. crypto ipsec client ezvpn name

4. xauth userid mode {http-intercept | interactive | local}

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

configure terminal

Пример.

Router# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3 

crypto ipsec client ezvpn name

Пример.

Router (config)# crypto ipsec client ezvpn easy vpn remote1

Назначение конфигурации Cisco Easy VPN Remote интерфейсу и вход в режим настройки Cisco Easy VPN Remote.

Аргумент name указывает имя конфигурации, назначаемой интерфейсу.

Шаг 4 

xauth userid mode {http-intercept | interactive | local}

Пример.

Router (config-crypto-ezvpn)# xauth userid mode http-intercept

Указывает способ обработки устройством VPN запросов на авторизацию Xauth или запросов с сервера.

Мониторинг и поддержка веб-активации

Для обеспечения мониторинга и поддержки веб-активации необходимо выполнить следующие действия: (Команды debug и show могут использоваться независимо друг от друга. Кроме того, их можно настроить.)

СВОДКА ШАГОВ

1. enable

2. debug crypto ipsec client ezvpn

3. debug ip auth-proxy ezvpn

4. show crypto ipsec client ezvpn

5. show ip auth-proxy config

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Команда
Назначение

Шаг 1 

enable

Пример.

Router> enable

Включение привилегированного режима EXEC.

В случае запроса введите пароль.

Шаг 2 

debug crypto ipsec client ezvpn

Пример.

Router# debug crypto ipsec client ezvpn

Отображение информации о соединении Cisco Easy VPN.

Шаг 3 

debug ip auth-proxy ezvpn

Пример.

Router# debug ip auth-proxy ezvpn

Отображение информации, относящейся к действиям аутентификации прокси-сервера для веб-активации.

Шаг 4 

show crypto ipsec client ezvpn

Пример.

Router# show crypto ipsec client ezvpn

Отображение информации о том, что имя пользователя и пароль, используемые в качестве учетных данных аутентификации Xauth, будут получены посредством перехвата HTTP-соединений пользователя.

Шаг 5 

show ip auth-proxy config

Пример.

Router# show ip auth-proxy config

Отображение правила прокси-сервера аутентификации, которое было создано и применено соединением Easy VPN.

Примеры

Отладочные выходные данные

Ниже приводятся стандартные выходные данные команды debug для тех случаев, когда пользователь открывает веб-браузер и подключается к веб-сайту компании.

Router# debug ip auth-proxy ezvpn

Dec 10 12:41:13.335: AUTH-PROXY: New request received by EzVPN WebIntercept
! The following line shows the ip address of the user.
from 10.4.205.205
Dec 10 12:41:13.335: AUTH-PROXY:GET request received 
Dec 10 12:41:13.335: AUTH-PROXY:Normal auth scheme in operation
Dec 10 12:41:13.335: AUTH-PROXY:Ezvpn is NOT active. Sending connect-bypass page to user

В этом случае пользователь выбирает параметр «Connect» (Установить соединение) веб-браузера.

Dec 10 12:42:43.427: AUTH-PROXY: New request received by EzVPN WebIntercept
from 10.4.205.205
Dec 10 12:42:43.427: AUTH-PROXY:POST request received
Dec 10 12:42:43.639: AUTH-PROXY:Found attribute <connect> in form
Dec 10 12:42:43.639: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:43.639: EZVPN(tunnel22): Communication from Interceptor 
  application.
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:43.639:         connect: Connect Now
Dec 10 12:42:43.639: EZVPN(tunnel22): Received CONNECT from 10.4.205.205!
Dec 10 12:42:43.643: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
Dec 10 12:42:43.643: EZVPN(tunnel22): Event: CONNECT
Dec 10 12:42:43.643: EZVPN(tunnel22): ezvpn_connect_request

Соединение Easy VPN отправляет запрос на сервер.

Dec 10 12:42:43.643: EZVPN(tunnel22): Found valid peer 192.168.0.1
Dec 10 12:42:43.643: EZVPN(tunnel22): Added PSK for address 192.168.0.1

Dec 10 12:42:43.643: EZVPN(tunnel22): New State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Event: IKE_PFS
Dec 10 12:42:44.815: EZVPN(tunnel22): No state change
Dec 10 12:42:44.819: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.819: EZVPN(tunnel22): Event: CONN_UP
Dec 10 12:42:44.819: EZVPN(tunnel22): ezvpn_conn_up B8E86EC7 E88A8A18 D0D51422 
  8AFF32B7

Сервер запрашивает учетные данные аутентификации Xauth.

Dec 10 12:42:44.823: EZVPN(tunnel22): No state change
Dec 10 12:42:44.827: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.831: EZVPN(tunnel22): Event: XAUTH_REQUEST
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_xauth_request
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_parse_xauth_msg
Dec 10 12:42:44.831: EZVPN: Attributes sent in xauth request message:
Dec 10 12:42:44.831:         XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:44.831:         XAUTH_USER_NAME_V2(tunnel22):
Dec 10 12:42:44.831:         XAUTH_USER_PASSWORD_V2(tunnel22):
Dec 10 12:42:44.831:         XAUTH_MESSAGE_V2(tunnel22) <Enter Username and 
Password.>
Dec 10 12:42:44.831: EZVPN(tunnel22): Requesting following info for xauth
Dec 10 12:42:44.831:         username:(Null)
Dec 10 12:42:44.835:         password:(Null)
Dec 10 12:42:44.835:         message:Enter Username and Password.
Dec 10 12:42:44.835: EZVPN(tunnel22): New State: XAUTH_REQ

В веб-браузере пользователя отображается запрос на ввод имени пользователя и пароля.

Dec 10 12:42:44.835: AUTH-PROXY: Response to POST  is CONTINUE
Dec 10 12:42:44.839: AUTH-PROXY: Displayed POST response successfully
Dec 10 12:42:44.843: AUTH-PROXY:Served POST response to the user

После ввода пользователем имени и пароля на сервер отправляются следующие данные.

Dec 10 12:42:55.343: AUTH-PROXY: New request received by EzVPN WebIntercept 
  from 10.4.205.205
Dec 10 12:42:55.347: AUTH-PROXY:POST request received
Dec 10 12:42:55.559: AUTH-PROXY:No of POST parameters is 3
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <username> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <password> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <ok> in form
Dec 10 12:42:55.563: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:55.563: EZVPN(tunnel22): Communication from Interceptor application. 
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:55.563:         username:http
Dec 10 12:42:55.563:         password:<omitted>
Dec 10 12:42:55.563:         ok:Continue
Dec 10 12:42:55.563: EZVPN(tunnel22): Received usename|password from 10.4.205.205!
Dec 10 12:42:55.567: EZVPN(tunnel22): Current State: XAUTH_PROMPT
Dec 10 12:42:55.567: EZVPN(tunnel22): Event: XAUTH_REQ_INFO_READY
Dec 10 12:42:55.567: EZVPN(tunnel22): ezvpn_xauth_reply
Dec 10 12:42:55.567:         XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:55.567:         XAUTH_USER_NAME_V2(tunnel22): http
Dec 10 12:42:55.567:         XAUTH_USER_PASSWORD_V2(tunnel22): <omitted>
Dec 10 12:42:55.567: EZVPN(tunnel22): New State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Current State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Event: XAUTH_STATUS
Dec 10 12:42:55.891: EZVPN(tunnel22): xauth status received: Success

После использования туннеля пользователь выбирает параметр «Disconnect» (Разъединить).

Dec 10 12:48:17.267: EZVPN(tunnel22): Received authentic disconnect credential
Dec 10 12:48:17.275: EZVPN(): Received an HTTP request: disconnect
Dec 10 12:48:17.275: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client)  User= 
  Group=tunnel22  Client_public_addr=192.168.0.13  Server_public_addr=192.168.0.1 
  Assigned_client_addr=10.3.4.5

Отображение выходных данных перед подключением пользователя к туннелю

Перед подключением к туннелю VPN пользователь может видеть следующие выходные данные команд show (show crypto ipsec client ezvpn и show ip auth-proxy config).

Router# show crypto ipsec client ezvpn tunnel22

Tunnel name : tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: CONNECT_REQUIRED
Last Event: RESET
Save Password: Disallowed
! Note the next line.
        XAuth credentials: HTTP intercepted 
        HTTP return code : 200
        IP addr being prompted: 0.0.0.0
Current EzVPN Peer: 192.168.0.1

Router# show ip auth-proxy config

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled

Authentication Proxy Rule Configuration
! Note that the next line is the Easy VPN-defined internal rule.
    Auth-proxy name ezvpn401***
      Applied on Ethernet0 
      http list not specified inactivity-timer 60 minutes

Отображение выходных данных после подключения пользователя к туннелю

После подключения к туннелю VPN пользователь может видеть следующие выходные данные команд show (show crypto ipsec client ezvpn и show ip auth-proxy config).

Router# show crypto ipsec client ezvpn tunnel22

Tunnel name : tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.3.4.5
Mask: 255.255.255.255
Save Password: Disallowed
        XAuth credentials: HTTP intercepted
        HTTP return code : 200
        IP addr being prompted: 192.168.0.0
Current EzVPN Peer: 192.168.0.1

Router# show ip auth-proxy config

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled

Auth-proxy name ezvpnWeb*** (EzVPN-defined internal rule)
http list not specified inactivity-timer 60 minutes

Использование приложения SDM в качестве средства управления веб-интерфейсом

Информацию по приложению SDM см. в документе

Cisco Security Device Manager

Устранение неисправностей соединения VPN

Устранение неисправностей соединения VPN при помощи функции Cisco Easy VPN Remote

Для устранения неисправностей соединения VPN, созданного при помощи функции Cisco Easy VPN Remote, следует выполнить описанные ниже действия.

Необходимо помнить, что при внесении любых изменений в конфигурацию Cisco Easy VPN Remote, изменении IP-адресов используемых интерфейсов, например добавление или удаление внутреннего интерфейса, осуществляется сброс соединения Cisco Easy VPN Remote.

Для включения отладки Cisco Easy VPN Remote используйте команду debug crypto ipsec client ezvpn.

Для включения отладки событий IKE используйте команду debug crypto ipsec и debug crypto isakmp.

Для отображения активных соединений IPsec VPN используйте команду show crypto engine connections active.

Для сброса соединения VPN используйте команду clear crypto ipsec client ezvpn. После включения отладки рекомендуется использовать команды clear crypto sa и clear crypto isakmp.

Устранение неисправностей в режиме работы клиента

Для устранения неисправностей в конфигурации Easy VPN Remote в режиме клиента используйте следующую информацию.

В режиме клиента функция Cisco Easy VPN Remote автоматически настраивает преобразование сетевых адресов NAT или PAT и списки управления доступом, которые необходимы для создания VPN-туннеля. Эти конфигурации создаются автоматически при инициировании соединения IPsec VPN. После обрыва туннельного соединения конфигурации NAT или PAT и конфигурации списков управления доступом автоматически удаляются.

Создание конфигурации NAT или PAT основано на следующих предположениях.

Ко всем внутренним интерфейсам, включая внутренние интерфейсы по умолчанию, применяется команда ip nat inside. Интерфейсом по умолчанию является Ethernet 0 (для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router, Cisco 828 Router, Cisco 831 Router, Cisco 836 Router и Cisco 837 Router).

К интерфейсу, настраиваемому с конфигурацией Cisco Easy VPN Remote, применяется команда ip nat outside. На маршрутизаторах Cisco 800 Series Routers и Cisco 1700 Series Routers внешний интерфейс настраивается с конфигурацией Cisco Easy VPN Remote. На маршрутизаторах Cisco 1700 Series Routers, Cisco 2600 Series Routers, Cisco 3600 Series Routers и Cisco 3700 Series Routers можно настроить несколько внешних интерфейсов.


Совет. Настройки NAT или PAT и списков управления доступом, создаваемые Cisco Easy VPN Remote, не записываются в файлы ни исходной, ни текущей конфигурации. Однако для отображения этих конфигураций можно использовать команды show ip nat statistics и show access-list.


Устранение неисправностей в удаленном управлении

Для устранения неисправностей в удаленном управлении VPN Remote используйте команду show ip interface. Для подтверждения удаления интерфейса обратной связи и правильного отображения интерфейса используйте ключевое слово brief.

Примеры

Ниже представлены типичные выходные данные для команды show ip interface.

Router# show ip interface brief

Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0                  unassigned      YES NVRAM  administratively down down
Ethernet1                  10.0.0.11       YES NVRAM  up                    up
Loopback0                  192.168.6.1     YES manual up                    up
Loopback1                  10.12.12.12     YES NVRAM  up                    up

Router# show ip interface brief

Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0                  unassigned      YES NVRAM  administratively down down

Ethernet1                  10.0.0.11       YES NVRAM  up                    up

Loopback1                  10.12.12.12     YES NVRAM  up                    up

Устранение неисправностей функции обнаружения недоступных равноправных узлов

Для устранения неисправностей функции обнаружения равноправных недоступных узлов используйте команду show crypto ipsec client ezvpn.

Примеры

В приведенных ниже выходных данных представлены текущий сервер и узлы, информация о которых передается сервером Easy VPN.

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 4
Tunnel name : ez1
Inside interface list: Loopback1,
Outside interface: Ethernet1 
Current State: IPSEC_ACTIVE
Last Event: CONNECT
Address: 192.168.6.5
Mask: 255.255.255.255
DNS Primary: 10.2.2.2
DNS Secondary: 10.2.2.3
NBMS/WINS Primary: 10.6.6.6
Default Domain: cisco.com
Save Password: Allowed
Current EzVPN Peer:10.0.0.110
Backup Gateways
 (0): green.cisco.com 
 (1): blue

Примеры конфигураций для Cisco Easy VPN Remote

В этом разделе приведены следующие примеры конфигурации.

Примеры конфигураций Easy VPN Remote

Конфигурация режима клиента: примеры

Поддержка локальных адресов для Easy VPN Remote: пример

Конфигурация режима расширения сети: примеры

Настройка функции сохранения паролей: пример

Поддержка атрибута PFS: примеры

Резервирование соединений: примеры

Веб-активация: примеры

Конфигурация Easy VPN Remote с поддержкой виртуального интерфейса IPsec: примеры

Конфигурация при двойном туннелировании: пример

Выходные данные при двойном туннелировании: примеры

Повторная активация основного узла: пример

Конфигурация с поддержкой идентичной адресации: пример

Примеры конфигураций сервера Easy VPN

Сервер Cisco Easy VPN без раздельного туннелирования: пример

Конфигурация сервера Cisco Easy VPN с раздельным туннелированием: пример

Конфигурация сервера Cisco Easy VPN с аутентификацией Xauth: пример

Поддержка взаимодействия с сервером Easy VPN: пример

Примеры конфигураций Easy VPN Remote

Конфигурация режима клиента: примеры

В данном разделе приведены примеры конфигураций функции Cisco Easy VPN Remote в режиме клиента. Здесь также показаны конфигурации сервера Easy VPN с программным обеспечением Cisco IOS, соответствующие конфигурациям клиента.

Cisco Easy VPN Client в режиме клиента (Cisco 831): пример

Cisco Easy VPN Client в режиме клиента (Cisco 837): пример

Cisco Easy VPN Client в режиме клиента (Cisco 1700 Series): пример

Дополнительные примеры конфигураций в режиме клиента см. в разделе IPSec VPN (подраздел «Техническая документация» и «Документация по настройке Cisco IOS IPSec»), а также раздел Решения Cisco Easy VPN.


Примечание. Обычно пользователи настраивают маршрутизаторы Cisco 800 Series Router с помощью веб-интерфейса CRWS или SDM, а не с помощью команд интерфейса командной строки. Однако приведенные здесь конфигурации для маршрутизаторов Cisco 800 Series Router могут использоваться и для тех случаев, когда требуется настройка вручную.


Cisco Easy VPN Client в режиме клиента (Cisco 831): пример

В следующем примере показана настройка маршрутизатора Cisco 831 Router в качестве удаленного устройства Easy VPN с использованием функции Cisco Easy VPN Remote в режиме клиента. В этом примере показаны следующие компоненты настройки функции Cisco Easy VPN Remote:

Пул DHCP-сервера — команда ip dhcp pool создает пул IP-адресов, назначаемых компьютерам, подключенным к интерфейсу Ethernet 0 маршрутизатора. Из этого пула назначаются адреса из частного адресного пространства класса C (192.168.100.0). Для каждого компьютера настраивается маршрут по умолчанию 192.168.100.1, т.е. IP-адрес Ethernet-интерфейса маршрутизатора. Срок аренды DHCP составляет один день.

Конфигурация Cisco Easy VPN Remote — первая команда crypto ipsec client ezvpn easy vpn remote (в режиме глобальной конфигурации) создает конфигурацию Cisco Easy VPN с именем «easy vpn remote». В этой конфигурации задается имя группы «easy vpn remote-groupname» и значение общего ключа «easy vpn remote-password», а также узел назначения с IP-адресом 192.185.0.5 (это адрес, назначенный интерфейсу, соединенному через Интернет с маршрутизатором узла назначения). По умолчанию в конфигурации Cisco Easy VPN Remote используется режим клиента client.


Примечание Если на маршрутизаторе также настраивается DNS, параметр peer также поддерживает использование сетевого имени вместо IP-адреса.


Вторая команда crypto ipsec client ezvpn easy vpn remote (режим настройки интерфейса) назначает конфигурацию Cisco Easy VPN Remote интерфейсу Ethernet 1, и, таким образом, весь трафик, принимаемый и передаваемый через этот интерфейс, проходит через VPN-туннель.

! Cisco Router Web Setup Template
!
no service pad
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname 806Router 
!
!
ip subnet-zero
ip domain-lookup
ip dhcp excluded-address 10.10.10.1 
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.255
   default-router 10.10.10.1 
   lease 1 0 0 
!
!
crypto ipsec client ezvpn easy_vpn_remote
 peer 192.168.0.5 
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode client
!
!
interface Ethernet0
 ip address 10.10.10.1 255.255.255.255
 no cdp enable
 hold-queue 32 in
!
interface Ethernet1
 ip address dhcp
 no cdp enable
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip http server
!
!
ip route 10.0.0.0 10.0.0.0 Ethernet1
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local

Cisco Easy VPN Client в режиме клиента (Cisco 837): пример

В следующем примере показана настройка маршрутизатора Cisco 837 Router в качестве удаленного устройства Easy VPN с использованием функции Cisco Easy VPN Remote в режиме клиента. В этом примере показаны следующие компоненты настройки функции Cisco Easy VPN Remote.

Настройка PPPoE — интерфейс ATM 0 настроен для поддержки соединений PPPoE через виртуальный интерфейс Dialer 1. Поскольку в интерфейсах используется PPPoE, для передачи IP-адресов подключенным компьютерам не требуется пул IP-адресов DHCP.

Конфигурация Cisco Easy VPN Remote — первая команда crypto ipsec client ezvpn (в режиме глобальной конфигурации) создает конфигурацию Cisco Easy VPN с именем «easy vpn remote». В этой конфигурации задается имя группы «easy vpn remote-groupname» и значение общего ключа «easy vpn remote-password», а также узел назначения с IP-адресом 10.0.0.5 (это адрес, назначенный интерфейсу, подключенному к Интернету на маршрутизаторе узла назначения). По умолчанию в конфигурации Cisco Easy VPN Remote используется режим клиента client.


Примечание Если на маршрутизаторе также настраивается DNS, параметр peer также поддерживает использование сетевого имени вместо IP-адреса.


Вторая команда crypto ipsec client ezvpn (режим настройки интерфейса) назначает конфигурацию Cisco Easy VPN Remote интерфейсу Dialer 1, и, таким образом, весь трафик, принимаемый и передаваемый через этот интерфейс, проходит через VPN-туннель.

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c827
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
 ip mtu adjust
!!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode client
 peer 10.0.0.5
!!
!
interface Ethernet0
 ip address 10.0.0.117 255.0.0.0
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 1/40
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address 10.0.0.3 255.0.0.0
 ip mtu 1492
 encapsulation ppp
 dialer pool 1
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
ip http server
ip pim bidir-enable
!
line con 0
 stopbits 1
line vty 0 4
 login
!
scheduler max-task-time 5000
end

Cisco Easy VPN Client в режиме клиента (Cisco 1700 Series): пример

В следующем примере показана настройка маршрутизатора Cisco 1753 Router в качестве удаленного устройства Easy VPN с использованием функции Cisco Easy VPN Remote в режиме клиента. В данном примере показана текущая конфигурация Cisco 1753 с двумя внутренними интерфейсами и одним внешним интерфейсом на одном туннеле. Для установки туннеля IPsec VPN вручную используйте команду connect auto.

Router# show running-config

Building configuration...
Current configuration : 881 bytes 
! 
version 12.2 
service timestamps debug uptime 
service timestamps log uptime 
no service password-encryption 
! 
hostname mma-1753 
! 
! 
memory-size iomem 15 
ip subnet-zero 
!! 
! 
ip ssh time-out 120 
ip ssh authentication-retries 3 
! ! 
! 
crypto ipsec client ezvpn easy_vpn_remote 
connect auto 
group ezvpn key ezvpn 
mode client 
peer 10.6.6.1 
! ! 
! 
interface FastEthernet0/0 
ip address 10.4.4.2 255.255.255.0 
speed auto 
crypto ipsec client ezvpn easy_vpn_remote inside 
! 
interface Serial0/0 
ip address 10.6.6.2 255.255.255.0 
no fair-queue 
crypto ipsec client ezvpn easy_vpn_remote
! 
interface Serial1/0 
ip address 10.5.5.2 255.255.255.0 
clock rate 4000000 
crypto ipsec client ezvpn easy_vpn_remote inside 
! 
ip classless 
no ip http server 
ip pim bidir-enable 
! ! 
! 
line con 0 
line aux 0 
line vty 0 4 
login 
! 
end

В следующем примере показана текущая конфигурация маршрутизатора Cisco 1760 Router с двумя активными автоматически устанавливаемыми туннелями: easy vpn remote1 и easy vpn remote2. У туннеля easy vpn remote1 имеется два настроенных внутренних интерфейса и один настроенный внешний интерфейс. У туннеля easy vpn remote2 имеется один настроенный внутренний интерфейс и один настроенный внешний интерфейс. В примере также показаны выходные данные для команды show crypto ipsect client ezvpn, используемой для отображения списка имен туннелей, внешних и внутренних интерфейсов.

Router# show running-config

Building configuration...
Current configuration : 1246 bytes 
! 
version 12.2 
service timestamps debug uptime 
service timestamps log uptime 
no service password-encryption 
! 
hostname 1760 
! 
aaa new-model 
! 
! 
aaa session-id common 
! 
ip subnet-zero 
!! 
! 
crypto ipsec client ezvpn easy_vpn_remote2 
connect auto 
group ez key ez 
mode network-extension 
peer 10.7.7.1 
crypto ipsec client ezvpn easy_vpn_remote1 
connect auto 
group ezvpn key ezvpn 
mode client 
peer 10.6.6.1 
! ! 
! 
interface FastEthernet0/0 
ip address 10.5.5.2 255.255.255.0 
speed auto 
no cdp enable 
crypto ipsec client ezvpn easy_vpn_remote1 inside 
! 
interface Serial0/0 
ip address 10.4.4.2 255.255.255.0 
no ip route-cache 
no ip mroute-cache 
no fair-queue 
no cdp enable 
crypto ipsec client ezvpn easy_vpn_remote1 inside 
! 
interface Serial0/1 
ip address 10.3.3.2 255.255.255.0 
no cdp enable 
crypto ipsec client ezvpn easy_vpn_remote2 inside 
! 
interface Serial1/0 
ip address 10.6.6.2 255.255.255.0 
clockrate 4000000 
no cdp enable 
crypto ipsec client ezvpn easy_vpn_remote1 
! 
interface Serial1/1 
ip address 10.7.7.2 255.255.255.0 
no keepalive 
no cdp enable 
crypto ipsec client ezvpn easy_vpn_remote2 
! 
ip classless 
no ip http server 
ip pim bidir-enable 
! 
! 
radius-server retransmit 3 
radius-server authorization permit missing Service-Type 
! 
line con 0 
line aux 0 
line vty 0 4 
! 
no scheduler allocate 
end


Router# show crypto ipsec client ezvpn

Tunnel name : easy_vpn_remote1 
Inside interface list: FastEthernet0/0, Serial0/0, 
Outside interface: Serial1/0 
Current State: IPSEC_ACTIVE 
Last Event: SOCKET_UP 
Address: 10.0.0.5 
Mask: 255.255.255.255 
Default Domain: cisco.com
Tunnel name : easy_vpn_remote2 
Inside interface list: Serial0/1, 
Outside interface: Serial1/1 
Current State: IPSEC_ACTIVE 
Last Event: SOCKET_UP 
Default Domain: cisco.com

Поддержка локальных адресов для Easy VPN Remote: пример

В приведенном ниже примере команда local-address используется для задания интерфейса обратной связи loopback 0, являющегося источником трафика в туннеле.

Router# configure terminal 
Router(config)# crypto ipsec client ezvpn telecommuter-client 
Router(config-crypto-ezvpn)# local-address loopback0 

Конфигурация режима расширения сети: примеры

В данном разделе приведены примеры конфигураций функции Cisco Easy VPN Remote в режиме расширения сети. Здесь также показаны конфигурации сервера Easy VPN с программным обеспечением Cisco IOS, соответствующие конфигурациям клиента.

Cisco Easy VPN Client в режиме расширения сети (Cisco 831): пример

Cisco Easy VPN Client в режиме расширения сети (Cisco 837): пример

Cisco Easy VPN Client в режиме расширения сети (Cisco 1700 Series): пример

Дополнительные примеры конфигураций в режиме расширения сети см. в разделе IPSec VPN (подраздел «Техническая документация» и «Документация по настройке Cisco IOS IPSec»), а также раздел Решения Cisco Easy VPN.

Cisco Easy VPN Client в режиме расширения сети (Cisco 831): пример

В следующем примере показана настройка маршрутизатора Cisco 831 Router в качестве удаленного устройства Easy VPN с использованием функции Cisco Easy VPN Remote. В этом примере показаны следующие компоненты настройки функции Cisco Easy VPN Remote.

Интерфейсу Ethernet 0 назначается адрес в сетевом адресном пространстве сервера Easy VPN с программным обеспечением Cisco IOS. Для перенаправления всего трафика для этого адресного пространства от интерфейса Ethernet 1 к серверу назначения используется команда ip route.

Конфигурация Cisco Easy VPN Remote — первая команда crypto ipsec client ezvpn (в режиме глобальной конфигурации) создает конфигурацию Cisco Easy VPN с именем «easy vpn remote». В этой конфигурации задается имя группы «easy vpn remote-groupname» и значение общего ключа «easy vpn remote-password», а также узел назначения с IP-адресом 192.185.0.5 (это адрес, назначенный интерфейсу, подключенному к Интернету на маршрутизаторе узла назначения). В конфигурации Cisco Easy VPN Remote используется режим расширения сети.


Примечание Если на маршрутизаторе также настраивается DNS, параметр peer также поддерживает использование сетевого имени вместо IP-адреса.


Вторая команда crypto ipsec client ezvpn (режим настройки интерфейса) назначает конфигурацию Cisco Easy VPN Remote интерфейсу Ethernet 1, и, таким образом, весь трафик, принимаемый и передаваемый через этот интерфейс, проходит через VPN-туннель.

! Cisco Router Web Setup Template
!
no service pad
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
!
ip subnet-zero
ip domain-lookup
!
!
ip dhcp excluded-address 172.31.1.1  
!
ip dhcp pool localpool
   import all
   network 172.31.1.0 255.255.255.255
   default-router 172.31.1.1 
   lease 1 0 0 
!
!
crypto ipsec client ezvpn easy_vpn_remote
 peer 192.168.0.5 
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension 
!
!
interface Ethernet0
 ip address 172.31.1.1 255.255.255.255
 no cdp enable
 hold-queue 32 in
!
interface Ethernet1
 ip address dhcp
 no cdp enable
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 172.31.0.0 255.255.255.255 Ethernet1
ip http server
!
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local

Cisco Easy VPN Client в режиме расширения сети (Cisco 837): пример

В следующем примере показана настройка маршрутизатора Cisco 837 Router в качестве удаленного устройства Easy VPN с использованием функции Cisco Easy VPN Remote в режиме клиента. В этом примере показаны следующие компоненты настройки функции Cisco Easy VPN Remote.

Настройка PPPoE — интерфейс ATM 0 настроен для поддержки соединений PPPoE через виртуальный интерфейс Dialer 1. Поскольку в интерфейсах используется PPPoE, для передачи IP-адресов подключенным компьютерам не требуется пул IP-адресов DHCP.

Интерфейсу Ethernet 0 назначается адрес в сетевом адресном пространстве сервера Easy VPN с программным обеспечением Cisco IOS. Для перенаправления всего трафика для этого адресного пространства от интерфейса Dialer 1 к серверу назначения используется команда ip route.

Конфигурация Cisco Easy VPN Remote — первая команда crypto ipsec client ezvpn (в режиме глобальной конфигурации) создает конфигурацию Cisco Easy VPN с именем «easy vpn remote». В этой конфигурации задается имя группы «easy vpn remote-groupname» и значение общего ключа «easy vpn remote-password», а также узел назначения с IP-адресом 10.0.0.5 (это адрес, назначенный интерфейсу, подключенному к Интернету на маршрутизаторе узла назначения).
По умолчанию в конфигурации Cisco Easy VPN Remote используется режим расширения сети.


Примечание Если на маршрутизаторе также настраивается DNS, параметр peer также поддерживает использование сетевого имени вместо IP-адреса.


Вторая команда crypto ipsec client ezvpn (режим настройки интерфейса) назначает конфигурацию
Cisco Easy VPN Remote интерфейсу Dialer1, и, таким образом, весь трафик, принимаемый и передаваемый через этот интерфейс, проходит через VPN-туннель.

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c827
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
 ip mtu adjust
!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension 
 peer 10.0.0.5
!
!
interface Ethernet0
 ip address 172.16.0.30 255.255.255.192
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 1/40
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address 10.0.0.3 255.0.0.0
 ip mtu 1492
 encapsulation ppp
 dialer pool 1
 crypto ipsec client ezvpn easy_vpn_remote
!
ip classless
ip route 172.16.0.0 255.255.255.128 Dialer1
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
ip http server
ip pim bidir-enable
!
line con 0
 stopbits 1
line vty 0 4
 login
!
scheduler max-task-time 5000

Cisco Easy VPN Client в режиме расширения сети (Cisco 1700 Series): пример

В следующем примере показана настройка маршрутизатора Cisco 1700 Series Router в качестве удаленного устройства Easy VPN с использованием функции Cisco Easy VPN Remote в режиме расширения сети. В этом примере показаны следующие компоненты настройки функции Cisco Easy VPN Remote.

Конфигурация Cisco Easy VPN Remote — первая команда crypto ipsec client ezvpn (в режиме глобальной конфигурации) создает конфигурацию Cisco Easy VPN под именем «easy vpn remote». Конфигурация задает имя группы «easy vpn remote-groupname» и значение общего ключа «easy vpn remote-password», а также узел назначения с IP-адресом 10.0.0.2 ( адрес, назначенный интерфейсу подключения к Интернету на маршрутизаторе конечного узла). В конфигурации Cisco Easy VPN Remote используется режим расширения сети.


Примечание Если на маршрутизаторе также настраивается DNS, параметр peer также поддерживает использование сетевого имени вместо IP-адреса.


Вторая команда crypto ipsec client ezvpn easy vpn remote (режим настройки интерфейса) назначает конфигурацию Cisco Easy VPN Remote интерфейсу Ethernet 0, и, таким образом, весь трафик, принимаемый и передаваемый через этот интерфейс, проходит через VPN-туннель.

!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1710
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
!
ip dhcp excluded-address 10.0.0.10  
!
ip dhcp pool localpool
   import all
   network 10.70.0.0 255.255.255.248
   default-router 10.70.0.10 
   lease 1 0 0 
!
!
crypto ipsec client ezvpn easy_vpn_remote
 group easy_vpn_remote_groupname key easy_vpn_remote_password
 mode network-extension
 peer 10.0.0.2
!
!
interface Ethernet0
 ip address 10.50.0.10 255.0.0.0
 half-duplex
 crypto ipsec client ezvpn easy_vpn_remote
!
interface FastEthernet0
 ip address 10.10.0.10 255.0.0.0
 speed auto
!
ip classless
ip route 10.20.0.0 255.0.0.0 Ethernet0
ip route 10.20.0.0 255.0.0.0 Ethernet0
no ip http server
ip pim bidir-enable
!!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login

Настройка функции сохранения паролей: пример

В следующем примере выходных данных команды show running-config показаны настройки функции сохранения паролей (в выходных данных обратите внимание на команду password encryption aes и ключевое слово username.

Router# show running-config

133.CABLEMODEM.CISCO: Oct 28 18:42:07.115: %SYS-5-CONFIG_I: Configured from console by 
consolen
Building configuration...
Current configuration : 1269 bytes
!
! Last configuration change at 14:42:07 UTC Tue Oct 28 2003
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
clock timezone UTC -4
no aaa new-model
ip subnet-zero
no ip routing
!
!
ip audit notify log
ip audit po max-events 100
ip ssh break-string 
no ftp-server write-enable
password encryption aes
!
! 
no crypto isakmp enable
!
!
crypto ipsec client ezvpn remote_vpn_client
 connect auto
 mode client
 username greentree password  6 ARiFgh`SOJfMHLK[MHMQJZagR\M
!
!
interface Ethernet0
 ip address 10.3.66.4 255.255.255.0
 no ip route-cache
 bridge-group 59

Поддержка атрибута PFS: примеры

В приведенных ниже выходных данных команды show crypto ipsec client ezvpn показано имя группы («2») и используемый атрибут PFS.

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 4

Tunnel name : ez1
Inside interface list: Loopback1,
Outside interface: Ethernet1 
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.6.6
Mask: 255.255.255.255
Using PFS Group: 2
Save Password: Allowed
Current EzVPN Peer:10.0.0.110

Обратите внимание, что на сервере Easy VPN с программным обеспечением Cisco IOS атрибут PFS должен быть включен в предложения IPsec посредством добавления в криптокарту (см. следующий пример).

crypto dynamic-map mode 1
 set security-association lifetime seconds 180
 set transform-set client 
 set pfs group2
 set isakmp-profile fred
 reverse-route

Резервирование соединений: примеры

Статическая IP-адресация

В следующем примере показана настройка статической IP-адресации для маршрутизатора Cisco 1711.

Router# show running-config

Building configuration...

Current configuration : 3427 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph4_R5
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!         
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip cef
ip ids po max-events 100
ip dhcp-client default-router distance 1
no ftp-server write-enable
!
!
track 123 rtr 3 reachability
! 
crypto isakmp keepalive 10 periodic
! 
!
crypto ipsec client ezvpn backup_profile_vpn3k
 connect auto
 group hw_client_groupname key password123
 mode client
 peer 10.0.0.5
 username rchu password  password123
crypto ipsec client ezvpn hw_client_vpn3k
 connect auto
 group hw_client_groupname key password123
 backup backup_profile_vpn3k track 123
 mode client
 peer 10.0.0.5
 username rchu password password123
!
!
interface Loopback0
 ip address 10.40.40.50 255.255.255.255
!
interface Loopback1
 ip address 10.40.40.51 255.255.255.255
!
interface Loopback2
 no ip address
!
interface FastEthernet0
 description Primary Link to 10.0.0.2
 ip address 10.0.0.10 255.255.255.0
 duplex auto
 speed auto
 no cdp enable
 crypto ipsec client ezvpn hw_client_vpn3k
!
interface FastEthernet1
 no ip address
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 no ip address
 no cdp enable
!         
interface FastEthernet3
 no ip address
 no cdp enable
!
interface FastEthernet4
 no ip address
 no cdp enable
!
interface Vlan1
 ip address 10.0.0.1 255.255.255.0
 crypto ipsec client ezvpn backup_profile_vpn3k inside
 crypto ipsec client ezvpn hw_client_vpn3k inside
!
interface Async1
 description Backup Link 
 no ip address
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 dialer in-band
 dialer pool-member 1
 dialer-group 1
 async default routing
 async mode dedicated
!
interface Dialer1
 ip address 10.30.0.1 255.255.255.0
 encapsulation ppp
 no ip route-cache cef
 dialer pool 1
 dialer idle-timeout 60
 dialer string 102
 dialer hold-queue 100
 dialer-group 1
 crypto ipsec client ezvpn backup_profile_vpn3k
!
ip local policy route-map policy_for_rtr
ip classless

ip route 0.0.0.0 0.0.0.0 faste0 track 123


ip route 0.0.0.0 0.0.0.0 Dialer1 240
no ip http server
no ip http secure-server
!
!
ip access-list extended dummy1
 permit ip host 10.0.0.2 host 10.3.0.1
ip access-list extended important_traffic
 permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.10.2 echo
dialer-list 1 protocol ip permit
no cdp run
!
route-map policy_for_rtr permit 10
 match ip address 112
 set interface Null0
 set ip next-hop 10.0.10.2
!
!
control-plane
!
rtr 2
 type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 2 life forever start-time now
rtr 3
 type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 3 life forever start-time now
!
line con 0
 exec-timeout 0 0
line 1
 modem InOut
 modem autoconfigure discovery
 transport input all
 autoselect ppp
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 password lab
!

Настройка DHCP на основном интерфейсе и PPP в асинхронном режиме на резервном интерфейсе

В следующем примере показана конфигурация маршрутизатора Cisco 1711 Router, в которой DHCP настраивается на основном интерфейсе, а PPP в асинхронном режиме — на резервном интерфейсе.

Router# show running-config

Building configuration...

Current configuration : 3427 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph4_R5
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip cef
ip ids po max-events 100
ip dhcp-client default-router distance 1
no ftp-server write-enable
!
!
track 123 rtr 3 reachability
! 
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec client ezvpn backup_profile_vpn3k
 connect auto
 group hw_client_groupname key password123
 mode client
 peer 10.0.0.5
 username rchu password  password123
crypto ipsec client ezvpn hw_client_vpn3k
 connect auto
 group hw_client_groupname key password123
 backup backup_profile_vpn3k track 123
 mode client
 peer 10.0.0.5
 username rchu password  password123
!
!
interface Loopback0
 ip address 10.40.40.50 255.255.255.255
!
interface Loopback1
 ip address 10.40.40.51 255.255.255.255
!
interface Loopback2
 no ip address
!
interface FastEthernet0
 description Primary Link to 10.0.0.2
 ip dhcp client route track 123
 ip address dhcp
 duplex auto
 speed auto
 no cdp enable
 crypto ipsec client ezvpn hw_client_vpn3k
!
interface FastEthernet1
 no ip address
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 no ip address
 no cdp enable
!         
interface FastEthernet3
 no ip address
 no cdp enable
!
interface FastEthernet4
 no ip address
 no cdp enable
!
interface Vlan1
 ip address 10.0.0.1 255.255.255.0
 crypto ipsec client ezvpn backup_profile_vpn3k inside
 crypto ipsec client ezvpn hw_client_vpn3k inside
!
interface Async1
 description Backup Link 
 no ip address
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 dialer in-band
 dialer pool-member 1
 dialer-group 1
 async default routing
 async mode dedicated
!
interface Dialer1
 ip address 10.0.0.3 255.255.255.0
 encapsulation ppp
 no ip route-cache cef
 dialer pool 1
 dialer idle-timeout 60
 dialer string 102
 dialer hold-queue 100
 dialer-group 1
 crypto ipsec client ezvpn backup_profile_vpn3k
!
ip local policy route-map policy_for_rtr
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1 240
no ip http server
no ip http secure-server
!
!
ip access-list extended dummy1
 permit ip host 10.10.0.2 host 10.0.0.1
ip access-list extended important_traffic
 permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
 permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.0.2 echo
dialer-list 1 protocol ip permit
no cdp run
!
route-map policy_for_rtr permit 10
 match ip address 112
 set interface Null0
 set ip next-hop 10.0.0.2
!
!
control-plane
!
rtr 2
 type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 2 life forever start-time now
rtr 3
 type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
 timeout 10000
 threshold 1000
 frequency 11
rtr schedule 3 life forever start-time now
!
line con 0
 exec-timeout 0 0
line 1
 modem InOut
 modem autoconfigure discovery
 transport input all
 autoselect ppp
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 password lab
!

Веб-активация: примеры

В следующем примере показан перехват HTTP-соединений, устанавливаемых пользователем, при котором осуществляется процедура веб-аутентификации (192.0.0.13 — клиентское устройство VPN, 192.0.0.1 — сервер).

crypto ipsec client ezvpn tunnel22
  connect manual
  group tunnel22 key 22tunnel
  mode client
  peer 192.168.0.1
  xauth userid mode http-intercept
!
!
interface Ethernet0
  ip address 10.4.23.15 255.0.0.0
  crypto ipsec client ezvpn tunnel22 inside!
interface Ethernet1
  ip address 192.168.0.13 255.255.255.128
  duplex auto
  crypto ipsec client ezvpn tunnel22
!

Конфигурация Easy VPN Remote с поддержкой виртуального интерфейса IPsec: примеры

В следующих примерах показана настройка функции поддержки виртуального интерфейса IPsec на удаленных устройствах Easy VPN.

Виртуальный интерфейс IPsec: общий виртуальный доступ

В следующем примере показано удаленное устройство Easy VPN с поддержкой виртуального интерфейса при использовании общего интерфейса виртуального доступа IPsec.

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
no ip dhcp use vrf connected
!
!
crypto ipsec client ezvpn ez
 connect manual
 group easy key cisco
 mode client
 peer 10.3.0.2
 virtual-interface
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 10.1.0.2 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez inside
!
interface Ethernet1/0
 ip address 10.2.0.1 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
no ip http server
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

Виртуальный интерфейс: виртуальный доступ с применением виртуального шаблона

В следующем примере показано удаленное устройство Easy VPN с поддержкой виртуального интерфейса при использовании общего интерфейса виртуального доступа IPsec с виртуальным шаблоном.

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
no ip dhcp use vrf connected
!
!
crypto ipsec client ezvpn ez
 connect manual
 group easy key cisco
 mode client
 peer 10.3.0.2
 virtual-interface 1
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 10.1.0.2 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez inside
!
interface Ethernet1/0
 ip address 10.2.0.1 255.255.255.0
 no keepalive
 no cdp enable
 crypto ipsec client ezvpn ez
!
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
no ip http server
no ip http secure-server
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end

Туннельное соединение не работает

В результате настройки виртуального интерфейса в профиле Easy VPN создается интерфейс виртуального доступа. Этот интерфейс обеспечивает инкапсуляцию IPsec. В приведенных ниже выходных данных показана настройка интерфейса виртуального доступа при обрыве туннельного соединения Easy VPN.

Router# show running-config interface virtual-access 2

Building configuration...

Current configuration : 99 bytes
!
interface Virtual-Access2
 no ip address
 tunnel source Ethernet1/0
 tunnel mode ipsec ipv4
end

В результате настройки виртуального интерфейса создается интерфейс виртуального доступа. Интерфейс виртуального доступа создается автоматически за пределами профиля Easy VPN. Маршруты, добавляемые после установки туннелей Easy VPN, указывают на данный виртуальный интерфейс для отправки пакетов в локальную сеть предприятия. В случае применения команд crypto ipsec client ezvpn name outside (crypto ipsec client ezvpn name и ключевого слова outside) к физическому интерфейсу этот интерфейс используется в качестве конечной точки IKE (IPsec). Это значит, что пакеты IKE и IPsec используют адрес интерфейса в качестве адреса источника).

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5

Tunnel name : ez
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.3.0.2

Поскольку виртуальный интерфейс (а также любой другой интерфейс, используемый для этой цели) является маршрутизируемым, маршруты используются в качестве селекторов трафика. Если туннельное соединение Easy VPN разорвано, маршруты, указывающие на виртуальный интерфейс, отсутствуют (см. следующий пример).

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.0.2 to network 0.0.0.0

     10.0.0.0/24 is subnetted, 2 subnets
C       10.2.0.0 is directly connected, Ethernet1/0
C       10.1.0.0 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [2/0] via 10.2.0.2

Туннельное соединение установлено

В режиме клиента или в режиме расширения сети плюс Easy VPN создает интерфейс обратной связи и назначает ему адрес, передаваемый через настройку режима. Для назначения интерфейсу адреса интерфейса обратной связи используется команда ip unnumbered (ip unnumbered loopback). В режиме расширения сети интерфейс виртуального доступа будет настроен как ip unnumbered ethernet0 (связанный интерфейс).

Router# show running-config interface virtual-access 2

Building configuration...

Current configuration : 138 bytes
!
interface Virtual-Access2
 ip unnumbered Loopback0
 tunnel source Ethernet1/0
 tunnel destination 10.3.0.2
 tunnel mode ipsec ipv4
end

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5

Tunnel name : ez
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 10.5.0.2
Mask: 255.255.255.255
DNS Primary: 10.6.0.2
NBMS/WINS Primary: 10.7.0.1
Default Domain: cisco.com
Using PFS Group: 2
Save Password: Disallowed
Split Tunnel List: 1
       Address    : 10.4.0.0
       Mask       : 255.255.255.0
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0
Current EzVPN Peer: 10.3.0.2

После установки туннельного соединения Easy VPN добавляет маршрут по умолчанию, который указывает на интерфейс виртуального доступа по умолчанию, или добавляет маршруты для всех атрибутов разделения подсетей, указывающих на интерфейс виртуального доступа. Easy VPN также добавляет маршрут к узлу (к узлу назначения или к концентратору), если узел подключен к устройству Easy VPN не напрямую.


В следующих примерах выходных данных команды show ip route показаны случаи использования виртуального интерфейса IPsec, в одном из которых сервер отправил атрибут раздельного туннелирования, а в другом, соответственно, не отправил.

Атрибут раздельного туннелирования был отправлен сервером

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.2.0.2 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C       10.2.0.0/24 is directly connected, Ethernet1/0
S       10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0  <<< Route to
 peer (EzVPN server)
C       10.1.0.0/24 is directly connected, Ethernet0/0
C       10.5.0.2/32 is directly connected, Loopback0
S       10.4.0.0/24 [1/0] via 0.0.0.0, Virtual-Access2  <<< Split
tunnel attr sent by the server
S*   10.0.0.0/0 [2/0] via 10.2.0.2

Атрибут раздельного туннелирования не был отправлен сервером

Необходимо отобразить все сети в атрибуте раздельного туннелирования, как показано в следующем примере.

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C       10.2.0.0/24 is directly connected, Ethernet1/0
! The following line is the route to the peer (the Easy VPN server).
S       10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0
C       10.1.0.0/24 is directly connected, Ethernet0/0
C       10.5.0.3/32 is directly connected, Loopback0
! The following line is the default route.
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access2

Конфигурация при двойном туннелировании: пример

Ниже приведен пример стандартной конфигурации при двойном туннелировании.

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password lab
!
no aaa new-model
!
resource policy
!
clock timezone IST 0
ip subnet-zero
!
!
username lab password 0 lab
!
!
crypto ipsec client ezvpn ezvpn1
 connect manual
 group easy key cisco
 mode network-extension
 peer 10.75.1.2
 virtual-interface 1
 xauth userid mode interactive
crypto ipsec client ezvpn ezvpn2
 connect manual
 group easy key cisco
 mode network-extension
 peer 10.75.2.2
 virtual-interface 1
 xauth userid mode interactive
!
!
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.255
 no keepalive
 crypto ipsec client ezvpn ezvpn1 inside
 crypto ipsec client ezvpn ezvpn2 inside
!
interface Ethernet0/1
 no ip address
 shutdown
!
interface Ethernet0/2
 no ip address
 shutdown
!
interface Ethernet0/3
 no ip address
 shutdown
!
interface Ethernet1/0
 ip address 10.76.1.2 255.255.255.0
 no keepalive
 crypto ipsec client ezvpn ezvpn1
 crypto ipsec client ezvpn ezvpn2
!
interface Serial2/0
 ip address 10.76.2.2 255.255.255.0
 no keepalive
 serial restart-delay 0
!
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
!
ip classless
ip route 10.0.0.0 10.0.0.0 10.76.1.1 2
no ip http server
no ip http secure-server
!
!
no cdp run
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login local
!
end

Выходные данные при двойном туннелировании: примеры

В приведенных ниже выходных данных команды show отображается информация о трех фазах установки двойного туннелирования.

Первое туннельное соединение Easy VPN установлено

Второе туннельное соединение Easy VPN инициировано

Установлены оба туннельных соединения Easy VPN

Перед установкой туннельных соединений EzVPN

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Шлюз последней очереди 10.76.1.1 к сети 0.0.0.0.

10.0.0.0/24 is subnetted, 2 subnets
C       10.76.2.0 is directly connected, Serial2/0
C       10.76.1.0 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
S*   0.0.0.0/0 [2/0] via 10.76.1.1

Примечание. Значение метрики маршрута по умолчанию должно быть больше 1, чтобы маршрут по умолчанию, впоследствии добавляемый Easy VPN, имел приоритет, а трафик проходил через интерфейс виртуального доступа Easy VPN.


Туннельное соединение Easy VPN «ezvpn2» установлено

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Шлюз последней очереди 0.0.0.0 к сети 0.0.0.0.

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
! The next line is the Easy VPN route.
S       10.75.2.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route.
S*   0.0.0.0/0 [1/0] via 0.0.0.0, Virtual-Access3

Добавляется один маршрут по умолчанию и один маршрут к узлу, как показано выше.

Туннельное соединение Easy VPN «ezvpn2» установлено, туннельное соединение Easy VPN «ezvpn1» инициировано

Router# crypto ipsec client ezvpn connect ezvpn1

Router# show crypto ipsec cli ent ezvpn

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: READY
Last Event: CONNECT
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Шлюз последней очереди 10.0.0.0 к сети 10.0.0.0.

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
S       10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router.
S       10.75.1.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3

Перед установкой туннельного соединения Easy VPN «ezvpn1» добавляется маршрут к адресу 10.75.1.2. Этот маршрут необходим для доступа к узлу 10.75.1.2 соединения Easy VPN «ezvpn1».

Установлены оба туннельных соединения

Router# show crypto ipsec client ezvpn 

Easy VPN Remote Phase: 6

Tunnel name : ezvpn1
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Split Tunnel List: 1
       Address    : 192.168.3.0
       Mask       : 255.255.255.255
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0
Current EzVPN Peer: 10.75.1.2


Tunnel name : ezvpn2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
DNS Ezvpn1: 10.6.0.2
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2

Router# show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Шлюз последней очереди 10.0.0.0 к сети 10.0.0.0.

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
! The next line is the Easy VPN router (ezvpn2).
S       10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router (ezvpn1).
S       10.75.1.2/32 [1/0] via 10.76.1.1
C       10.76.2.0/24 is directly connected, Serial2/0
C       10.76.1.0/24 is directly connected, Ethernet1/0
C    192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route (ezvpn1).
S    192.168.3.0/24 [1/0] via 0.0.0.0, Virtual-Access2
! The next line is the Easy VPN (ezvpn2).
S*   10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3

Для туннеля Easy VPN «ezvpn» добавляется маршрут к разделенному туннелю «192.168.3.0/24», указывающий на интерфейс Virtual-Access2, как показано в приведенных выше выходных данных команды show.

Повторная активация основного узла: пример

В приведенных ниже выходных данных показано, что активирована функция основного узла по умолчанию. Основной узел по умолчанию — 10.3.3.2.

Router# show crypto ipsec client ezvpn
Easy VPN Remote Phase: 6

Tunnel name : ezc
Inside interface list: Loopback0
Outside interface: Ethernet0/0 
Current State: IPSEC_ACTIVE
Primary EzVPN Peer: 10.3.3.2, Last Tried: Dec 30 07:21:23.071
Last Event: CONN_UP
Address: 10.7.7.1
Mask: 255.255.255.255
DNS Primary: 10.1.1.1
NBMS/WINS Primary: 10.5.254.22
Save Password: Disallowed
Current EzVPN Peer: 10.4.4.2

23:52:44: %CRYPTO-6-EZVPN_CONNECTION_UP(Primary peer):
        User: lab, Group: hw-client-g
        Client_public_addr=10.4.22.103, Server_public_addr=10.4.23.112
        Assigned_client_addr=10.7.7.1

Конфигурация с поддержкой идентичной адресации: пример

В следующем примере маршрутизатор Cisco настроен с использованием функции идентичной адресации.


interface Virtual-Template1 type tunnel
	 no ip address
	 ip nat outside
!
crypto ipsec client ezvpn easy
 connect manual
 group easy key work4cisco 
 mode network-extension
 peer 10.2.2.2
 virtual-interface 1
 nat allow
 nat acl 100
!
interface Ethernet1
 ip address 10.0.0.1 255.255.255.0 
 ip nat outside 
 crypto ipsec client ezvpn easy 
!
interface Ethernet0
 ip address 10.0.0.2 255.255.255.0 
 ip nat inside 
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.252 
 ip nat enable
crypto ipsec client ezvpn easy inside
!
ip access-list 100 permit ip 10.0.0.0 0.0.0.255 any
!
ip nat inside source list 100 interface Loopback0 overload 
!
ip nat inside source static 10.5.5.5 1.1.1.101

Примеры конфигураций сервера Easy VPN

В данном разделе приведено описание основных конфигураций сервера Cisco Easy VPN, поддерживающих конфигурации Cisco Easy VPN Remote, описанные в предыдущих разделах. Подробную информацию по настройке этих серверов см. в разделе Сервер Easy VPN для программного обеспечения Cisco IOS версии 12.3(7)T на веб-сайте cisco.com.

Сервер Cisco Easy VPN без раздельного туннелирования: пример

Конфигурация сервера Cisco Easy VPN с раздельным туннелированием: пример

Конфигурация сервера Cisco Easy VPN с аутентификацией Xauth: пример

Поддержка взаимодействия с сервером Easy VPN: пример

Сервер Cisco Easy VPN без раздельного туннелирования: пример

В следующих примерах показан сервер Cisco Easy VPN, являющийся маршрутизатором узла назначения в конфигурациях Cisco Easy VPN remote, использующихся в режиме расширения сети (см. выше в данном разделе). Помимо других команд настройки IPsec, команда crypto isakmp client configuration group используется для задания атрибутов группы VPN, назначенной удаленному маршрутизатору Easy VPN. Она включает в себя соответствующее значение общего ключа (easy vpn remote password), а также требуемые параметры маршрутизации для удаленных устройств Easy VPN, например DNS-сервера.

Для поддержки режима расширения сети используется команда ip route, которая перенаправляет входящие пакеты для сети 172.168.0.0 с интерфейса кабельного модема на удаленное устройство Cisco Easy VPN. Необходимость использования других команд ip route определяется топологией сети.


Примечание. В данном примере показан кабельный маршрутизатор Cisco uBR925 Cable Access Router, однако обычно в качестве удаленного устройства Easy VPN выступает маршрутизатор, например концентратор Cisco VPN 3000 Concentrator или маршрутизатор с программным обеспечением Cisco IOS, поддерживающий функцию Easy VPN Server.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authorization network easy vpn remote-groupname local 
aaa session-id common
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac 
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap 
!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.128
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127 
ip classless
! Add the appropriate ip route commands for network-extension mode 
ip route 172.16.1.0 255.255.255.248 cable-modem0 
no ip http server
no ip http cable-monitor
!
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000

Конфигурация сервера Cisco Easy VPN с раздельным туннелированием: пример

В следующем примере показана настройка сервера Cisco Easy VPN на раздельное туннелирование с удаленным устройством Cisco Easy VPN. Этот пример аналогичен примеру, приведенному в разделе «Сервер Cisco Easy VPN без раздельного туннелирования: пример» за исключением списка управления доступом 150, который назначается как часть команды crypto isakmp client configuration group. Этот список управления доступом позволяет удаленному устройству Cisco Easy VPN использовать сервер для доступа к одной дополнительной подсети, которая не является частью VPN-туннеля, не создавая угрозы безопасности соединения IPsec.

Для поддержки режима расширения сети используется команда ip route, которая перенаправляет входящие пакеты для сети 172.168.0.0 с интерфейса кабельного модема на удаленное устройство Cisco Easy VPN. Необходимость использования других команд ip route определяется топологией сети.


Примечание. В данном примере показан кабельный маршрутизатор Cisco uBR925 Cable Access Router, однако обычно в качестве удаленного устройства Easy VPN выступает маршрутизатор, например концентратор VPN 3000 Concentrator или маршрутизатор с программным обеспечением Cisco IOS, поддерживающий функцию Easy VPN Server.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model
!
!
aaa authorization network easy vpn remote-groupname local 
aaa session-id common
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
 acl 150 
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac 
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap 
!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.255
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127 
ip classless
! Add the appropriate ip route commands for network-extension mode 
ip route 172.16.1.0 255.255.255.255 cable-modem0 
no ip http server
no ip http cable-monitor
!
access-list 150 permit ip 172.16.0.128 10.0.0.127 any 
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
end

Конфигурация сервера Cisco Easy VPN с аутентификацией Xauth: пример

В следующем примере показана настройка сервера Cisco Easy VPN на поддержку аутентификации Xauth с функцией Cisco Easy VPN Remote. Этот пример аналогичен примеру, приведенному в разделе «Конфигурация сервера Cisco Easy VPN с раздельным туннелированием: пример» за исключением следующих команд включения и настройки параметров аутентификации Xauth:

aaa authentication login userlist local — задает локальную базу имен пользователей для аутентификации в момент входа в систему. Можно также задать использование серверов RADIUS посредством ввода команды aaa authentication login userlist group radius с последующим указанием серверов RADIUS с помощью команды aaa group server radius.

crypto isakmp xauth timeout — указывает время в секундах, отводимое пользователю для ввода правильного имени пользователя и пароля для аутентификации.

crypto map dynmap client authentication list userlist — создает криптокарту с именем «dynmap», которая включает аутентификацию Xauth.

username cisco password 7 cisco — создает запись в локальной базе данных имен пользователей для пользователя с именем «cisco» и зашифрованный пароль «cisco». Требуется повторный ввод этой команды для каждого отдельного пользователя, запрашивающего доступ к серверу.

Для выполнения аутентификации Xauth необходимо также использовать следующие команды, которые также применяются в конфигурациях, где выполнение этой аутентификации не требуется:

aaa authorization network easy vpn remote-groupname local — требует авторизации для всех запросов, связанных с использованием сетевых служб и поступающих от пользователей группы «easy vpn remote-groupname», использующих локальную базу данных имен пользователей.

aaa new-model — указывает, что маршрутизатор должен использовать новые команды аутентификации AAA.

aaa session-id common — указывает, что для сеансов AAA должны использоваться уникальный и общий идентификаторы.

crypto map dynmap 1 ipsec-isakmp dynamic dynmap — указывает, что для создания сопоставлений безопасности IPsec необходимо использовать IKE вместе с криптокартой с именем «dynmap» в качестве шаблона политики.

crypto map dynmap client configuration address respond — включает согласование IKE и прием запросов от всех узлов.

crypto map dynmap isakmp authorization list easy vpn remote-groupname — настраивает криптокарты с именем «dynmap» для использования общего секретного ключа IKE с группой «easy vpn remote-groupname».


Совет. В данной конфигурации показана настройка сервера для раздельного туннелирования, однако аутентификация Xauth может также использоваться в конфигурациях с нераздельным туннелированием.



Примечание. В данном примере показан кабельный маршрутизатор Cisco uBR925 Cable Access Router, однако обычно в качестве сервера назначения Easy VPN выступает маршрутизатор, например концентратор VPN 3000 Concentrator или маршрутизатор с программным обеспечением Cisco IOS, поддерживающий функцию Easy VPN Server.


version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service internal
!
hostname uBR925Server
!
aaa new-model 
!
!
aaa authentication login userlist local 
aaa authorization network easy vpn remote-groupname local 
aaa session-id common
!
username cisco password 7 cisco 
!
!
clock timezone - 0 6
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60 
!
crypto isakmp client configuration group easy vpn remote-groupname
 key easy vpn remote-password
 dns 172.16.0.250 172.16.0.251
 wins 172.16.0.252 172.16.0.253
 domain cisco.com
 pool dynpool
 acl 150 
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac 
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap client authentication list userlist 
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap 
!!
!
interface Ethernet0
 ip address 172.16.0.129 255.255.255.128
!
interface cable-modem0
 no cable-modem compliant bridge
 crypto map dynmap
!
interface usb0
 no ip address
 arp timeout 0
!
ip local pool dynpool 172.16.0.65 172.16.0.127 
ip classless
ip route 172.16.1.0 255.255.255.248 cable-modem0 
no ip http server
no ip http cable-monitor
!
access-list 150 permit ip 172.16.0.128 0.0.0.127 any 
snmp-server manager
!
line con 0
 exec-timeout 0 0
line vty 0 4
!
scheduler max-task-time 5000
end

Поддержка взаимодействия с сервером Easy VPN: пример

Более подробную информацию об этой функции см. в подразделе «Общие сведения по IPsec и VPN» раздела «Дополнительные ссылки» (Управление удаленным доступом VPN).

Дополнительные ссылки

В следующих разделах приведены дополнительные ссылки, относящиеся к функции Cisco Easy VPN Remote.

Дополнительная документация

Связанная тема
Заголовок документа

Документация по платформе

Маршрутизаторы Cisco 800 Series Routers

Маршрутизаторы Cisco 800 Series Routers

Руководство по установке маршрутизатора Cisco 806 Router и маршрутизатора SOHO 71 Router

Руководство по настройке программного обеспечения Cisco 806

Руководство по настройке программного обеспечения для маршрутизаторов Cisco 826, 827, 828, 831, 836, 837 и SOHO 76, 77, 78, 91, 96 и 97

Руководство по установке маршрутизатора Cisco 826 Router

Руководство по установке маршрутизатора Cisco 827 Router и маршрутизатора SOHO 77 Router

Руководство по установке маршрутизатора Cisco 827 Router

Руководство по установке маршрутизатора Cisco 828 Router и маршрутизатора SOHO 78 Router

Широкополосный маршрутизатор Cisco 837 ADSL Broadband Router

Кабельные маршрутизаторы Cisco uBR905 и Cisco uBR925 Cable Access Router

Руководство по установке кабельного маршрутизатора Cisco uBR925 Cable Access Router

Руководство по установке Cisco uBR905

Руководство по настройке программного обеспечения кабельных маршрутизаторов Cisco uBR905/uBR925 Cable Access Router

Карточка абонента по быстрому старту установки кабельного маршрутизатора Cisco uBR905 Cable Access Router

Карточка абонента по быстрому старту установки кабельного маршрутизатора Cisco uBR925 Cable Access Router

Краткое руководство пользователя по началу работы с кабельным маршрутизатором Cisco uBR925 Cable Access Router

Маршрутизаторы Cisco 1700 Series Routers

Руководство по настройке программного обеспечения маршрутизатора Cisco 1700 Series Router

Руководство по установке маршрутизатора безопасного доступа Cisco 1710 Security Router

Руководство по настройке программного обеспечения маршрутизатора безопасного доступа Cisco 1710 Security Router

Маршрутизатор безопасного доступа Cisco 1711 Security Access Router

Руководство по установке маршрутизатора Cisco 1720 Series Router

Руководство по установке маршрутизатора Cisco 1721 Access Router

Руководство по установке маршрутизатора Cisco 1750 Series Router

Руководство по установке маршрутизатора Cisco 1751 Router

Руководство по настройке программного обеспечения маршрутизатора Cisco 1751 Router

Руководство по установке маршрутизатора Cisco 1760 Modular Access Router

См. также комментарии к
выпуску 12.2(4)YA ПО Cisco IOS:

SOHO 70 Series и Cisco 800 Series — комментарии к
выпуску 12.2(4)YA

Комментарии к выпуску для кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers с программным обеспечением Cisco IOS версии 12.2 YA

Cisco 1700 Series — комментарии к выпуску 12.2(4)YA

Маршрутизаторы Cisco 2600 Series Routers, Cisco 3600 Series Routers и Cisco 3700 Series Routers

Cisco 2600 Series Multiservice Platforms

Руководство по установке маршрутизаторов Cisco 2600 Series Routers

Cisco 3600 Series Multiservice Platforms

Руководство по установке оборудования Cisco 3600 Series

Cisco 3700 Series Multiservice Access Routers

Руководство по установке маршрутизаторов Cisco 3700 Series Routers

Документ «Сведения о соответствии нормативным документам и правила техники безопасности для Cisco 2600 Series, 3600 Series и 3700 Series» на веб-сайте cisco.com

Списки управления доступом, настройка

Глава «Списки управления доступом: краткий обзор и инструкции» раздела «Фильтрация трафика и брандмауэры» руководства по настройке параметров безопасности программного обеспечения Cisco IOS версии 12.4

Документация по IPsec и VPN

Функция Easy VPN Server, обеспечивающая поддержку клиента Cisco Unity для функции Cisco Easy VPN Remote

Сервер Easy VPN

Cisco Easy VPN

Настройка NAC с динамическим виртуальным туннельным интерфейсом IPsec

Общие сведения по IPsec и VPN

Использование IPsec — содержит обзор IPsec-шифрования и его ключевых особенностей, а так же примеры настроек. Также содержит ссылки на большое количество документов по близкой тематике.

Общие сведения о поддержке центров сертификации для IPsec — описывает основные принципы работы с цифровыми сертификатами и объясняет, как их использовать для идентификации пользователей IPsec.

Глава «Настройка прокси-сервера аутентификации» руководство по настройке параметров безопасности программного обеспечения Cisco IOS версии 12.4

Введение в шифрование IP Security (IPsec) — содержит пошаговые инструкции по настройке IPsec-шифрования.

Настройка клиента Cisco VPN Client и сервера Easy VPN с применением аутентификации Xauth — включает описание настройки соединения сетевого узла с маршрутизатором Easy VPN с использованием клиента Cisco VPN client и сервера удаленного доступа с программным обеспечением Cisco IOS.

Управление удаленным доступом VPN — включает описание настройки брандмауэра Cisco PIX firewall в качестве сервера Easy VPN и клиентского программного обеспечения Easy VPN remote.

Настройка параметров VPN — включает информацию о настройке брандмауэра PIX для использования в качестве клиента Cisco Secure VPN client.

«Создание наборов криптокарт» — включает информацию о настройке криптокарт.

Виртуальный туннельный интерфейс IPsec — включает информацию о виртуальных туннельных интерфейсах IPsec.

Разделы технических советов по IP-адресации на веб-сайте cisco.com.

Функция «Зашифрованный общий ключ»

Руководство по использованию функции Зашифрованный общий ключ, версия 12.3(2)T

Цифровые сертификаты (поддержка подписи RSA)

Руководство по использованию функции Поддержка цифровой подписи RSA функцией Easy VPN Remote, версия 12.3(7)T1

Обнаружение недоступных равноправных узлов

Руководство по использованию функции Параметры периодической отправки сообщений IPSec при обнаружении недоступных равноправных узлов, версия 12.3(7)T

Отслеживание объектов

Руководство по использованию функции Надежное резервирование соединений по статическим маршрутам с использованием отслеживания объектов, версия 12.3(8)T

DNS, настройка

Настройка DNS и Настройка DNS на маршрутизаторах Cisco

DHCP, настройка

«Настройка DHCP» в руководстве по настройке IP-адресации для программного обеспечения Cisco IOS версии 12.3

Аутентификация 802.1x

Функция Cisco IOS Easy VPN Remote с аутентификацией 802.1x (техническое описание)

Управление доступом в VPN посредством локальной аутентификации 802.1X

Дополнительная подробная информация по настройке (на веб-сайте cisco.com)

Решения Cisco Easy VPN — содержит технические описания и примеры настройки Cisco IOS Easy VPN в режиме расширения сети.

Руководство по конфигурации параметров безопасности ПО Cisco IOS (ПО Cisco IOS
версии 12.4) — включает краткий обзор функций безопасности для ПО Cisco IOS.

Справочник по командам системы безопасности ПО Cisco IOS (Cisco IOS
версии 12.4) — содержит описание всех команд ПО Cisco IOS, используемых для настройки IPsec-шифрования и других функций, связанных с безопасностью.

Основной список команд ПО Cisco IOS версии 12.4 — содержит перечень команд ПО Cisco IOS, используемых для настройки всех функций безопасности версии 12.4.

IPSec/SSL VPNсодержит общие сведения по IPsec и SSL VPN.

Примечание. По мере разработки новых функций и платформ на веб-сайте cisco.com размещается дополнительная документация по IPsec. Издательство Cisco Press также выпускает книги по IPsec. Для получения дополнительной информации о книгах, выпущенных издательством Cisco Press, посетите сайт http://www.ciscopress.com.


Стандарты

Стандарты
Название

Данная функция не поддерживает новых или измененных стандартов.


Базы административной информации (MIB)

Базы административной информации (MIB)
Ссылка на базы административной информации (MIB)

CISCO-IPSEC-FLOW-MONITOR-MIB — содержит атрибуты, использующиеся для описания сетей VPN, основанных на IPsec (проект IPSec инженерной группы по развитию Интернета (IETF)).

CISCO-IPSEC-MIB — содержит описание специальных атрибутов, используемых компанией Cisco в маршрутизаторах для сетей VPN, основанных на IPsec.

CISCO-IPSEC-POLICY-MAP-MIB — дополнение к CISCO-IPSEC-FLOW-MONITOR-MIB, описывающее связь динамически создаваемых структур с политиками, преобразованиями, криптокартами и другими элементами, их использующими.

Для определения и загрузки MIB для выбранных платформ, версий ПО Cisco IOS и наборов характеристик воспользуйтесь определителем баз административной информации Cisco (Cisco MIB Locator) по следующему адресу:

http://tools.cisco.com/ITDIT/MIBS/servlet/index


Документы RFC

Документы RFC
Название

Данная функция не поддерживает новые или измененные документы RFC.


Техническая поддержка

Описание
Ссылка

Веб-сайт технической поддержки и документации компании Cisco содержит тысячи страниц технической информации с возможностью поиска, включая ссылки на продукты, технологии, решения, технические советы, инструменты и техническую документацию. Зарегистрированные пользователи веб-сайта cisco.com могут войти в систему со следующей страницы и получить еще более обширную информацию:

http://www.cisco.com/cisco/web/RU/support/index.html


Справочник по командам

В этом разделе приведены следующие новые и измененные команды.

clear crypto ipsec client ezvpn

crypto ipsec client ezvpn (global)

crypto ipsec client ezvpn (interface)

crypto ipsec client ezvpn connect

crypto ipsec client ezvpn xauth

debug crypto ipsec client ezvpn

debug ip auth-proxy ezvpn

icmp-echo

ip http ezvpn

show crypto ipsec client ezvpn

show tech-support

type echo protocol ipIcmpEcho

xauth userid mode

clear crypto ipsec client ezvpn

Для сброса конечного автомата Cisco Easy VPN Remote и сброса соединения Cisco Easy VPN Remote на всех интерфейсах или на заданном интерфейсе (туннельном) используйте команду clear crypto ipsec client ezvpn в привилегированном режиме EXEC. Если указано имя туннеля, осуществляется сброс только для этого туннеля.

clear crypto ipsec client ezvpn [name]

Описание синтаксиса

name

(Необязательно) Используется для указания туннельного соединения виртуальной частной сети, основанной на IPSec, которое необходимо разорвать или сбросить, с помощью уникального произвольного имени. Если имя не задано, выполняется обрыв или сброс всех существующих туннельных соединений.


Значение по умолчанию

Если имя туннеля не задано, выполняется обрыв или сброс всех активных туннельных соединений в устройстве.

Командные режимы

Привилегированный EXEC

История команды

Версия
Изменение

12.2(4)YA

Команда введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(13)T

Команда включена в ПО Cisco IOS версии 12.2(13)T.

12.2(8)YJ

Команда расширена для предоставления возможности указать туннельное соединение IPSec VPN, которое необходимо разорвать или сбросить на маршрутизаторах Cisco 806 Router, Cisco 826 Router, Cisco 827 Router, Cisco 828 Router и Cisco 1700 Series Routers и кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(15)T

Команда включена в ПО Cisco IOS версии 12.2(15)T.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию

Команда clear crypto ipsec client ezvpn используется для сброса удаленного устройства Cisco Easy VPN, завершения текущего соединения Cisco Easy VPN Remote и повторной установки соединения на интерфейсе. Если указано имя туннеля, осуществляется сброс только для этого туннеля. Если имя туннеля не задано, выполняется обрыв или сброс всех активных туннельных соединений в устройстве.

Если для соединения Cisco Easy VPN Remote на определенном интерфейсе настроена функция автоматического подключения, эта команда также используется для установки нового соединения Cisco Easy VPN Remote.

Примеры

В следующих примерах показан сброс удаленного устройства Cisco Easy VPN.

Router# clear crypto ipsec client ezvpn

Связанные команды

Команда
Описание

crypto ipsec client ezvpn (global)

Создание конфигурации Cisco Easy VPN Remote.

crypto ipsec client ezvpn (interface)

Назначение конфигурации Cisco Easy VPN Remote интерфейсу.


crypto ipsec client ezvpn (global)

Для создания конфигурации Cisco Easy VPN Remote и входа в режим настройки Cisco Easy VPN Remote воспользуйтесь командой crypto ipsec client ezvpn в режиме глобальной конфигурации. Для удаления конфигурации Cisco Easy VPN remote используйте эту команду с ключом no.

crypto ipsec client ezvpn name

no crypto ipsec client ezvpn name


Примечание. Отдельная команда crypto ipsec client ezvpn в режиме настройки интерфейса назначает конфигурацию Cisco Easy VPN интерфейсу.


Описание синтаксиса

name

Используется для указания конфигурации Cisco Easy VPN Remote посредством уникального произвольного имени.


Значение по умолчанию

В заново создаваемых конфигурациях Cisco Easy VPN Remote по умолчанию устанавливается режим клиента.

Командные режимы

Глобальная конфигурация

История команды

Версия
Изменение

12.2(4)YA

Команда введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(13)T

Команда включена в ПО Cisco IOS версии 12.2(13)T.

12.2(8)YJ

Команда расширена для предоставления возможности вручную устанавливать и завершать туннельное соединение IPSec VPN по запросу на маршрутизаторах Cisco 806 Router, Cisco 826 Router, Cisco 827 Router, Cisco 828 Router, Cisco 1700 Series Routers и кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(15)T

Команда включена в ПО Cisco IOS версии 12.2(15)T.

12.3(4)T

Добавлена подкоманда username, подкоманда peer изменена для обеспечения возможности многократного ввода команды.

12.3(7)XR

Добавлены подкоманды acl и backup.

12.2(18)SXD

Команда включена в ПО Cisco IOS версии 12.2(18)SXD.

12.3(11)T

Подкоманда acl включена в ПО Cisco IOS версии 12.3(11)T. Однако подкоманда backup не включена в
ПО Cisco IOS версии 12.3(11)T.

12.2(4)T

Добавлена подкоманда virtual-interface.

12.4(4)T

Добавлены ключевое слово default в подкоманду peer и подкоманда idle-time.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.

12.4(11)T

Добавлены подкоманды nat acl и nat allow.


Инструкции по использованию

Команда crypto ipsec client ezvpn используется для создания конфигурации Cisco Easy VPN Remote и входа в режим настройки Cisco Easy VPN Remote, после чего вводятся следующие подкоманды:

acl {acl-name | acl-number} — указывает несколько подсетей в туннеле VPN. Можно настроить до 50 подсетей.

Аргумент acl-name указывает имя списка управления доступом (ACL).

Аргумент acl-number указывает номер ACL.

backup {ezvpn-config-name} track {tracked-object-number} — указывает конфигурацию Easy VPN, которая будет активироваться при включении резервного канала.

backup {ezvpn-config-name} — указывает конфигурацию Easy VPN, которая будет активирована при включении резервного канала.

track {tracked-object-number} — определяет ссылку на систему слежения, чтобы конечный автомат функции Easy VPN мог получить уведомление на запуск резервного канала.

connect [auto | manual | acl] — установка и завершение туннельного соединения IPsec вручную по требованию.

Параметр auto используется по умолчанию, поскольку изначально Cisco Easy VPN Remote работала в этом режиме. Туннель Cisco Easy VPN создается автоматически при настройке функции Cisco Easy VPN Remote на интерфейсе.

Параметр manual включает ручной режим. Это означает, что перед попыткой установки соединения функция Cisco Easy VPN Remote будет ожидать ввода соответствующей команды или вызова с интерфейса прикладного программирования. Если время ожидания работы туннеля истекает или в ходе создания туннеля происходит сбой, для осуществления повторного подключения также необходимо будет ввести команду или дождаться вызова с интерфейса прикладного программирования.

Параметр acl позволяет настроить конфигурацию туннеля на основе списка управления доступом, которая используется для задач, предполагающих кратковременное задействование сети, и для резервирования соединений. С помощью этого параметра можно задать содержательный трафик, при обнаружении которого устанавливается туннельное соединение.

default — задает последующей команде значение по умолчанию.

exit — выход из режима настройки Cisco Easy VPN и возврат в режим глобальной конфигурации.

group group-name key group-key — указывает имя группы и значение ключа для соединения VPN.

idle-time — (необязательно) время простоя, по истечении которого туннель Easy VPN отключается.

local-address interface-name — сообщение Cisco Easy VPN remote об интерфейсе, определяющем открытый IP-адрес источника трафика в туннеле. Данная подкоманда применяется только на кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers.

Значение аргумента interface-name позволяет задать интерфейс, используемый в качестве источника трафика в туннеле.

После указания локального адреса источника трафика в туннеле IP-адрес можно получить двумя способами:

Для получения общего IP-адреса и автоматического назначения его интерфейсу обратной связи может использоваться подкоманда local-address вместе с командой cable-modem dhcp-proxy {interface loopback number}.

IP-адрес можно назначить для интерфейса обратной связи вручную.

mode {client | network-extension | network extension plus} — указывает режим работы маршрутизатора в сети VPN:

Режим client (используемый по умолчанию) автоматически настраивает маршрутизатор для работы в режиме клиента Cisco Easy VPN, в котором осуществляется преобразование сетевых адресов (NAT) или преобразование адресов портов (PAT). После назначения интерфейсу конфигурации Cisco Easy VPN Remote маршрутизатор автоматически создает конфигурацию NAT или PAT и конфигурацию списка управления доступом, необходимую для соединения VPN.

Параметр network-extension указывает, что маршрутизатор будет выполнять роль удаленного расширителя сети предприятия на другом конце VPN-соединения. Компьютерам, подключенным к маршрутизатору, обычно назначается IP-адрес из адресного пространства сети предприятия.

Режим network extension plus аналогичен режиму расширения сети, однако он также поддерживает дополнительную возможность запроса IP-адреса посредством настройки режима и автоматического назначения этого адреса доступному интерфейсу обратной связи. Функция Easy VPN Remote автоматически создает сопоставление безопасности IPsec для этого IP-адреса. Этот IP-адрес обычно используется для поиска и устранения неисправностей (с помощью программ ping, Telnet и Secure Shell).

nat acl {acl-name | acl-number} — включает раздельное туннелирование для трафика, указанного в имени или в номере списка управления доступом.

Аргумент acl-name указывает собой имя списка управления доступом (ACL).

Аргумент acl-number указывает номер ACL.

nat allow — позволяет использовать NAT совместно с Cisco Easy VPN.

no — удаляет команду или устанавливает для нее значение по умолчанию.

peer {ipaddress | hostname} [default] — задание IP-адреса или сетевого имени узла для соединения VPN. Сетевое имя можно указать только в том случае, если у маршрутизатора имеется DNS-сервер для разрешения сетевых имен.

Подкоманду peer можно вводить несколько раз.

Ключевое слово default определяет данный узел как первичный узел. Если в результате сбоя в ходе фазы 1 согласования сопоставления безопасности Easy VPN переходит от основного узла к следующему узлу в списке резервных серверов, а затем снова становится доступным основной узел, соединение с резервным узлом разрывается и устанавливается соединение с основным узлом.

username name password {0 | 6} {password} — позволяет сохранять пароль для аутентификации Xauth на локальном компьютере. При последующих операциях аутентификации можно активировать флажок сохранения пароля в программном клиенте или добавить имя пользователя и пароль в профиль аппаратного клиента Cisco IOS. Эта установка сохраняется до тех пор, пока атрибут сохранения пароля не будет удален из группового профиля сервера.

0 указывает на последующий ввод незашифрованного пароля.

6 указывает на последующий ввод зашифрованного пароля.

password обозначает незашифрованный (текстовый) пароль.

Использовать параметр «Сохранить пароль» (save-password) полезно только в том случае, если пользователь использует постоянный пароль (т.е. не одноразовый пароль, создаваемый, например, с помощью маркера).

virtual-interface [virtual-template-number] — указывает виртуальный интерфейс для удаленного устройства Easy VPN. Если указан номер виртуального шаблона, интерфейс виртуального доступа определяется настроенным виртуальным шаблоном. Если номер виртуального шаблона не задан, создается общий интерфейс виртуального доступа для туннеля данного типа. Если создание было завершено успешно, Easy VPN использует интерфейс виртуального доступа в качестве внешнего интерфейса (это значит, что к интерфейсу виртуального доступа применяются криптокарта и NAT). Если во время создания происходит сбой, Easy VPN отображает сообщение об ошибке и остается в состоянии простоя.

После создания конфигурации Cisco Easy VPN Remote для выхода из режима настройки Cisco Easy VPN и возврата в режим глобальной конфигурации используйте команду exit.


Примечание. Использовать команду no crypto ipsec client ezvpn для удаления конфигурации Cisco Easy VPN Remote, назначенной интерфейсу, невозможно. Перед удалением конфигурации Cisco Easy VPN Remote ее сначала необходимо удалить из интерфейса.


Примеры

В следующем примере показана конфигурация Cisco Easy VPN Remote с именем «telecommuter-client», которая создается на кабельном маршрутизаторе Cisco uBR905 или Cisco uBR925 Cable Access Router и присваивается кабельному интерфейсу 0:

Router# configure terminal 
Router(config)# crypto ipsec client ezvpn telecommuter-client 
Router(config-crypto-ezvpn)# group telecommute-group key secret-telecommute-key 
Router(config-crypto-ezvpn)# peer telecommuter-server 
Router(config-crypto-ezvpn)# mode client 
Router(config-crypto-ezvpn)# exit 
Router(config)# interface c0 
Router(config-if)# crypto ezvpn telecommuter-client 
Router(config-if)# exit 

Примечание. Указывать параметр mode client, как показано выше, необязательно, так как это настройка по умолчанию для этих параметров.


В следующем примере показана конфигурация Cisco Easy VPN Remote с именем «telecommuter-client», которая удаляется из интерфейса, а потом удаляется полностью:

Router# configure terminal 
Router(config)# interface e1 
Router(config-if)# no crypto ipsec client ezvpn telecommuter-client 
Router(config-if)# exit 
Router(config)# no crypto ipsec client ezvpn telecommuter-client

В следующем примере показана настройка виртуального интерфейса IPsec для удаленного устройства Easy VPN:

crypto ipsec client ezvpn EasyVPN1
 virtual-interface 3

Связанные команды

Команда
Описание

crypto ipsec client ezvpn (interface)

Назначение конфигурации Cisco Easy VPN Remote интерфейсу.


crypto ipsec client ezvpn (interface)

Для назначения конфигурации Cisco Easy VPN Remote интерфейсу необходимо указать тип интерфейса (внутренний или внешний), а затем настроить несколько внешних и внутренних интерфейсов с помощью команды crypto ipsec client ezvpn в режиме настройки интерфейса. Для удаления конфигурации Cisco Easy VPN Remote из интерфейса используйте эту команду с ключом no.

crypto ipsec client ezvpn name [outside | inside]

no crypto ipsec client ezvpn name [outside | inside]


Примечание. В режиме глобальной конфигурации для создания конфигурации Cisco Easy VPN Remote предусмотрена отдельная команда crypto ipsec client ezvpn.


Описание синтаксиса

name

Указывает имя конфигурации Cisco Easy VPN Remote, которая назначается интерфейсу.

outside

(Необязательно) Указывает внешний интерфейс маршрутизатора клиента IPSec. На всех платформах можно добавлять до четырех внешних туннелей (по одному туннелю для каждого внешнего интерфейса).

inside

(Необязательно) Указывает внутренний интерфейс маршрутизатора клиента IPSec. В маршрутизаторах Cisco 1700 Series Routers внутренний интерфейс по умолчанию отсутствует, поэтому все внутренние интерфейсы необходимо настраивать. В маршрутизаторах Cisco 800 Series Routers и кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers имеются внутренние интерфейсы по умолчанию. Однако в конфигурацию любого внутреннего интерфейса можно внести изменения. На всех платформах можно добавить до трех внутренних интерфейсов.


Значение по умолчанию

Внутренним интерфейсом по умолчанию на маршрутизаторах Cisco 800 Series Router и кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers является интерфейс Ethernet.

Командные режимы

Настройка интерфейса

История команды

Версия
Изменение

12.2(4)YA

Команда введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(13)T

Команда включена в ПО Cisco IOS версии 12.2(13)T.

12.2(8)YJ

Команда расширена для обеспечения возможности настройки нескольких внутренних и внешних интерфейсов на маршрутизаторах Cisco 806 Router, Cisco 826 Router, Cisco 827 Router, Cisco 828 Router, Cisco 1700 Series Routers и кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(15)T

Команда включена в ПО Cisco IOS версии 12.2(15)T.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию

Команда crypto ipsec client ezvpn назначает интерфейсу конфигурацию Cisco Easy VPN Remote, позволяя установить через этот интерфейс соединение виртуальной частной сети (VPN) с заданным VPN-узлом. Если конфигурация Cisco Easy VPN Remote настроена для работы в режиме клиента, маршрутизатор автоматически настраивается на преобразование сетевых адресов (NAT) или адресов портов (PAT) и использование соответствующего списка доступа.

В ПО Cisco IOS версии 12.2(8)YJ команда crypto ipsec client ezvpn усовершенствована для обеспечения возможности настройки нескольких внутренних и внешних интерфейсов. Для настройки нескольких внутренних и внешних интерфейсов необходимо использовать команду interface interface-name, чтобы сначала указать тип интерфейса на маршрутизаторе клиента IPSec.

В режиме клиента для Cisco Easy VPN Client с целью шифрования и дешифрования трафика, поступающего из всех внутренних интерфейсов, используется одиночное сопоставление безопасности. В режиме расширения сети создается одно сопоставление безопасности для каждого внутреннего интерфейса.

При добавлении нового внутреннего интерфейса или удалении существующего внутреннего интерфейса соединения с использованием существующих сопоставлений безопасности удаляются и инициируются новые.

Для отображения информации о настройке внутреннего интерфейса по умолчанию используется команда crypto ipsec client ezvpn name inside. Все внутренние интерфейсы, принадлежащие туннелю, в режиме настройки интерфейса перечисляются как внутренние вместе с именем туннеля.

К команде crypto ipsec client ezvpn применяются следующие ограничения ПО Cisco IOS версии 12.2(4)YA:

Функция Cisco Easy VPN Remote поддерживает только один туннель, поэтому команда crypto ipsec client ezvpn может быть назначена только одному интерфейсу. При попытке назначить ее нескольким интерфейсам отображается сообщение об ошибке. Перед назначением конфигурации второму интерфейсу ее необходимо удалить из первого интерфейса с помощью формы no этой команды.

Команду crypto ipsec client ezvpn необходимо назначить внешнему интерфейсу преобразования адресов NAT или PAT. Эту команду нельзя использовать на внутреннем интерфейсе преобразования адресов NAT или PAT. На некоторых платформах внутренний и внешний интерфейсы являются фиксированными.

Например на кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers внешним интерфейсом всегда является кабельный интерфейс. На маршрутизаторах Cisco 1700 Series Routers интерфейс FastEthernet по умолчанию является внутренним, поэтому при попытке использования команды crypto ipsec client ezvpn на интерфейсе FastEthernet отображается сообщение об ошибке.


Примечание. Перед назначением конфигурации Cisco Easy VPN Remote интерфейсу ее необходимо создать при помощи версии команды crypto ipsec client ezvpn для режима глобальной конфигурации.


Примеры

В следующем примере показана конфигурация Cisco Easy VPN Remote с именем «telecommuter-client», которая назначается кабельному интерфейсу кабельного маршрутизатора Cisco uBR905/uBR925 Cable Access Router:

Router# configure terminal
Router(config)# interface c0 
Router(config-if)# crypto ipsec client ezvpn telecommuter-client 
Router(config-if)# exit 

В следующем примере сначала показана попытка удаления конфигурации Cisco Easy VPN Remote с именем «telecommuter-client». Однако удаление невозможно, потому что конфигурация все еще назначена интерфейсу. После этого конфигурация удаляется из интерфейса, затем удаляется полностью.

Router# configure terminal 
Router(config)# no crypto ipsec client ezvpn telecommuter-client 
Error: crypto map in use by interface; cannot delete
Router(config)# interface e1 
Router(config-if)# no crypto ipsec client ezvpn telecommuter-client 
Router(config-if)# exit 
Router(config)# no crypto ipsec client ezvpn telecommuter-client 

Связанные команды

Команда
Описание

crypto ipsec client ezvpn (global)

Создание и изменение конфигурации Cisco Easy VPN Remote.

interface

Настройка типа интерфейса.


crypto ipsec client ezvpn connect

Для подключения к указанному туннелю IPSec VPN в ручном режиме используйте команду crypto ipsec client ezvpn connect в привилегированном режиме EXEC. Для отключения соединения используйте эту команду с ключом no.

crypto ipsec client ezvpn connect name

no crypto ipsec client ezvpn connect name

Описание синтаксиса

name

Используется для указания туннеля IPSec VPN посредством уникального произвольного имени.


Командные режимы

Привилегированный EXEC

История команды

Версия
Изменение

12.2(8)YJ

Команда введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(15)T

Команда включена в ПО Cisco IOS версии 12.2(15)T.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию

Эта команда используется вместе с подкомандой connect [auto | manual | acl]. После установки ручного режима функция Cisco Easy VPN Remote ожидает команды или вызова интерфейса прикладного программирования перед установкой соединения Cisco Easy VPN Remote.

Если настроен ручной режим, туннельное соединение будет установлено только после ввода команды crypto ipsec client ezvpn connect name в привилегированном режиме EXEC и последующего ввода подкоманды connect [auto] | manual.

Примеры

Следующий пример показывает, как подключить VPN-туннель IPSec с именем ISP-tunnel на маршрутизаторе кабельного доступа Cisco uBR905/uBR925:

Router# crypto ipsec client ezvpn connect ISP-tunnel

Связанные команды

Команда
Описание

connect

Установка и завершение туннельного соединения IPSec VPN вручную.

crypto ipsec client ezvpn (global)

Создание и изменение конфигурации Cisco Easy VPN Remote.


crypto ipsec client ezvpn xauth

Для ответа на ожидающий запрос авторизации VPN используйте команду crypto ipsec client ezvpn xauth в привилегированном режиме EXEC.

crypto ipsec client ezvpn xauth name

Описание синтаксиса

name

Используется для указания туннеля IPSec VPN с помощью уникального произвольного имени. Имя вводить обязательно.


Командные режимы

Привилегированный EXEC

История команды

Версия
Изменение

12.2(4)YA

Команда введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(8)YJ

Команда расширена для указания туннельного соединения IPSec VPN на маршрутизаторах Cisco 806 Router, Cisco 826 Router, Cisco 827 Router, Cisco 828 Router, Cisco 1700 Series Routers и кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(8)YJ

Команда расширена для указания туннельного соединения IPSec VPN на маршрутизаторах Cisco 806 Router, Cisco 826 Router, Cisco 827 Router, Cisco 828 Router, Cisco 1700 Series Routers и кабельных маршрутизаторах Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(15)T

Команда включена в ПО Cisco IOS версии 12.2(15)T.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию

Если имя туннеля не задано, запрос авторизации будет осуществлен на активном туннеле. Если настроено несколько активных туннелей, отобразится сообщение об ошибке и запрос на указание имени туннеля.

При установке соединения VPN от отдельных пользователей может потребоваться ввести данные авторизации, например имя пользователя или пароль. Когда эта информация будет получена на удаленном конце соединения, на консоли маршрутизатора отобразится сообщение с инструкцией для пользователя ввести команду crypto ipsec client ezvpn xauth. Затем пользователь использует интерфейс командной строки для ввода этой команды и другой информации, запросы на ввод которой будут отображаться после ввода команды.


Примечание. Если пользователь не реагирует на уведомление о необходимости аутентификации, сообщение будет повторно отображаться каждые 10 секунд.


Примеры

В следующем примере проиллюстрирована ситуация, в которой пользователь получает запрос на ввод команды crypto ipsec client ezvpn xauth. Затем пользователь вводит запрашиваемые сведения и продолжает работу.

Router# 
20:27:39: EZVPN: Pending XAuth Request, Please enter the following command:
20:27:39: EZVPN: crypto ipsec client ezvpn xauth

Router> crypto ipsec client ezvpn xauth 
Enter Username and Password: userid 
Password: ************

Связанные команды

Команда
Описание

crypto ipsec client ezvpn (interface)

Назначение конфигурации Cisco Easy VPN Remote интерфейсу.


debug crypto ipsec client ezvpn

Для отображения информации о сообщениях голосового управления, записанных регистратором голосовых управляющих сообщений DSP (Voice DSP Control Message Logger) и касающихся подключений Cisco Easy VPN Remote, используйте команду debug crypto ipsec client ezvpn в привилегированном режиме EXEC. Для отключения отображения выходных данных используйте эту команду с ключом no.

debug crypto ipsec client ezvpn

no debug crypto ipsec client ezvpn

Описание синтаксиса

В этой команде отсутствуют аргументы и ключевые слова.

Значение по умолчанию

Нет поведения или значений по умолчанию.

Командные режимы

Привилегированный EXEC

История команды

Версия
Изменение

12.2(4)YA

Команда введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(13)T

Эта команда включена в ПО Cisco IOS версии 12.2(13)T.

12.3(4)T

Эта команда расширена для поддержки функции Easy VPN Remote.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию

Для принудительной повторной установки функцией Cisco Easy VPN Remote соединений VPN используйте команды clear crypto sa и clear crypto isakmp для удаления сопоставлений безопасности IPSec и соединений IKE, соответственно.

Примеры

В следующем примере показаны сообщения отладки, отображающиеся при включении функции Cisco Easy VPN Remote, и стандартные сообщения отладки, отображающиеся при создании VPN-туннеля:

Router# debug crypto ipsec client ezvpn 

EzVPN debugging is on
router# 
00:02:28: EZVPN(hw1): Current State: IPSEC_ACTIVE 
00:02:28: EZVPN(hw1): Event: RESET 
00:02:28: EZVPN(hw1): ezvpn_close 
00:02:28: EZVPN(hw1): New State: CONNECT_REQUIRED 
00:02:28: EZVPN(hw1): Current State: CONNECT_REQUIRED 
00:02:28: EZVPN(hw1): Event: CONNECT 
00:02:28: EZVPN(hw1): ezvpn_connect_request 
00:02:28: EZVPN(hw1): New State: READY 
00:02:29: EZVPN(hw1): Current State: READY 
00:02:29: EZVPN(hw1): Event: MODE_CONFIG_REPLY 
00:02:29: EZVPN(hw1): ezvpn_mode_config 
00:02:29: EZVPN(hw1): ezvpn_parse_mode_config_msg 
00:02:29: EZVPN: Attributes sent in message: 
00:02:29: Address: 10.0.0.5 
00:02:29: Default Domain: cisco.com 
00:02:29: EZVPN(hw1): ezvpn_nat_config 
00:02:29: EZVPN(hw1): New State: SS_OPEN 
00:02:29: EZVPN(hw1): Current State: SS_OPEN 
00:02:29: EZVPN(hw1): Event: SOCKET_READY 
00:02:29: EZVPN(hw1): No state change 
00:02:30: EZVPN(hw1): Current State: SS_OPEN 
00:02:30: EZVPN(hw1): Event: MTU_CHANGED 
00:02:30: EZVPN(hw1): No state change 
00:02:30: EZVPN(hw1): Current State: SS_OPEN 
00:02:30: EZVPN(hw1): Event: SOCKET_UP 
00:02:30: ezvpn_socket_up 
00:02:30: EZVPN(hw1): New State: IPSEC_ACTIVE

В следующем примере показан стандартный экран, отображающийся при сбросе VPN-туннеля с помощью команды clear crypto ipsec client ezvpn:

3d17h: EZVPN: Current State: READY
3d17h: EZVPN: Event: RESET
3d17h: ezvpn_reconnect_request
3d17h: ezvpn_close
3d17h: ezvpn_connect_request
3d17h: EZVPN: New State: READY
3d17h: EZVPN: Current State: READY
3d17h: EZVPN: Event: MODE_CONFIG_REPLY
3d17h: ezvpn_mode_config
3d17h: ezvpn_parse_mode_config_msg
3d17h: EZVPN: Attributes sent in message:
3d17h:         DNS Primary: 172.16.0.250
3d17h:         DNS Secondary: 172.16.0.251
3d17h:         NBMS/WINS Primary: 172.16.0.252
3d17h:         NBMS/WINS Secondary: 172.16.0.253
3d17h:         Split Tunnel List: 1
3d17h:               Address    : 172.16.0.128
3d17h:               Mask       : 255.255.255.128
3d17h:               Protocol   : 0x0
3d17h:               Source Port: 0
3d17h:               Dest Port  : 0
3d17h:         Split Tunnel List: 2
3d17h:               Address    : 172.16.1.128
3d17h:               Mask       : 255.255.255.128
3d17h:               Protocol   : 0x0
3d17h:               Source Port: 0
3d17h:               Dest Port  : 0
3d17h:         Default Domain: cisco.com
3d17h: ezvpn_nat_config
3d17h: EZVPN: New State: SS_OPEN
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_READY
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_READY
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: MTU_CHANGED
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: SS_OPEN
3d17h: EZVPN: Event: SOCKET_UP
3d17h: EZVPN: New State: IPSEC_ACTIVE
3d17h: EZVPN: Current State: IPSEC_ACTIVE
3d17h: EZVPN: Event: MTU_CHANGED
3d17h: EZVPN: No state change
3d17h: EZVPN: Current State: IPSEC_ACTIVE
3d17h: EZVPN: Event: SOCKET_UP

В следующем примере показан стандартный экран, отображающийся при удалении VPN-туннеля из интерфейса с помощью команды no crypto ipsec client ezvpn:

4d16h: EZVPN: Current State: IPSEC ACTIVE
4d16h: EZVPN: Event: REMOVE INTERFACE CFG
4d16h: ezvpn_close_and_remove
4d16h: ezvpn_close
4d16h: ezvpn_remove
4d16h: EZVPN: New State: IDLE

Связанные команды

Команда
Описание

debug crypto ipsec

Отображение сообщений отладки для общих событий IPSec.

debug crypto isakmp

Отображение сообщений отладки для событий IKE.


debug ip auth-proxy ezvpn

Для отображения информации, относящейся к действиям аутентификации прокси-сервера для веб-активации, используйте команду debug ip auth-proxy ezvpn в привилегированном режиме EXEC. Для отключения отладки используйте эту команду с ключом no.

debug ip auth-proxy ezvpn

no debug ip auth-proxy ezvpn

Описание синтаксиса

В этой команде отсутствуют аргументы и ключевые слова.

Значение по умолчанию

Отладка выключена.

Командные режимы

Привилегированный EXEC

История команды

Версия
Изменение

12.3(14)T

Команда включена впервые.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию


Внимание! При использовании этой команды во время выполнения аутентификации несколькими пользователями может отображаться большой объем выходных данных.

Примеры

Ниже показаны выходные данные для команды debug ip auth-proxy ezvpn. В выходных данных показаны действия аутентификации прокси-сервера для веб-активации.

Router# debug ip auth-proxy ezvpn

*Dec 20 20:25:11.006: AUTH-PROXY: New request received by EzVPN WebIntercept from 
  10.4.205.205
*Dec 20 20:25:17.150: AUTH-PROXY:GET request received
*Dec 20 20:25:17.150: AUTH-PROXY:Authentication scheme is 401
*Dec 20 20:25:17.362: AUTH-PROXY:Authorization information not present in GET request
*Dec 20 20:25:17.362: AUTH-PROXY: Allocated on credinfo for connect at 0x81EF1A84
*Dec 20 20:25:17.362: AUTH-PROXY: Posting CONNECT request to EzVPN
*Dec 20 20:25:17.362: EZVPN(tunnel22): Received CONNECT from 10.4.205.205!
*Dec 20 20:25:17.366: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
*Dec 20 20:25:17.366: EZVPN(tunnel22): Event: CONNECT

Приведенные выходные данные не нуждаются в комментариях.

Связанные команды

Команда
Описание

xauth userid mode

Указывает способ обработки клиентом Cisco Easy VPN Client запросов на авторизацию Xauth или запросов с сервера.


icmp-echo

Для настройки функции эха SLA протокола ICMP используйте команду icmp-echo в режиме настройки IP SLA.

icmp-echo {destination-ip-address | destination-hostname} [source-ip {ip-address | hostname} | source-interface interface-name]

Описание синтаксиса

destination-ip-address | destination-hostname

IP-адрес или сетевое имя узла назначения.

source-ip {ip-address | hostname}

(Необязательно) Указывает IP-адрес или сетевое имя узла источника. Если IP-адрес или сетевое имя не указаны, IP SLA выбирает IP-адрес узла, ближайшего к узлу назначения.

source-interface interface-name

(Необязательно) Указывает интерфейс источника для работы.


Значение по умолчанию

Для работы настраивается режим без использования IP SLA.

Командные режимы

Настройка IP SLA (config-ip-sla)

История команды

Версия
Изменение

12.4(4)T

Команда включена впервые. Заменяет команду type echo protocol ipIcmpEcho.


Инструкции по использованию

Размер пакета данных по умолчанию для работы функции эха протокола ICMP составляет 28 байт. Для изменения этого значения используйте команду request-data-size. Это полезная нагрузка пакета ICMP, а в результате IP-пакет имеет размер 64 байта.

Перед настройкой других параметров функции необходимо настроить тип IP SLA (например, дрожание протокола UDP или эхо протокола ICMP). Для изменения типа IP SLA необходимо сначала удалить функцию IP SLA (с помощью команды no ip sla в режиме глобальной конфигурации), а затем задать новый тип функции.

Примеры

В следующем примере создается функция IP SLA 10 и настраивается как эхо с использованием протокола ICMP и IP-адресом узла назначения 172.16.1.175:

ip sla 10
 icmp-echo 172.16.1.175
!
ip sla schedule 10 start-time now

Связанные команды

Команда
Описание

ip sla monitor

Начало настройки функции IP SLA и вход в режим настройки мониторинга IP SLA.

rtr

Начало настройки функции IP SLA и вход в режим настройки RTR.


ip http ezvpn

Для включения интерфейса веб-сервера Cisco Easy VPN Remote используйте команду ip http ezvpn в режиме глобальной конфигурации. Для выключения интерфейса веб-сервера Cisco Easy VPN Remote используйте эту команду с ключом no.

Кабельные маршрутизаторы Cisco uBR905 и Cisco BR925 Cable Access Routers

ip http ezvpn

no ip http ezvpn

Описание синтаксиса

В этой команде отсутствуют аргументы и ключевые слова.

Значение по умолчанию

По умолчанию интерфейс веб-сервера Cisco Easy VPN Remote выключен.

Командные режимы

Глобальная конфигурация

История команды

Версия
Изменение

12.2(8)YJ

Данная команда введена для кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(15)T

Команда включена в ПО Cisco IOS версии 12.2(15)T.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию

Данная команда включает веб-сервер Cisco Easy VPN Remote, который является встроенным веб-сервером, позволяющим пользователям подключаться к туннелю IPSec Easy VPN для ввода требуемых данных аутентификации. Веб-сервер Cisco Easy VPN Remote позволяет пользователю выполнять эти действия без необходимости использования интерфейса командной строки.

Перед использованием этой команды необходимо включить веб-сервер, встроенный в кабельные маршрутизаторы, с помощью команды ip http server. Затем введите команду ip http ezvpn, чтобы включить веб-сервер Cisco Easy VPN remote. После этого можно получить доступ к веб-серверу посредством ввода в строке веб-браузера IP-адреса интерфейса Ethernet маршрутизатора.


Примечание. Веб-интерфейс Cisco Easy VPN Remote не работает с веб-интерфейсом Cable Monitor в ПО Cisco IOS версии 12.2(8)YJ. Для доступа к веб-интерфейсу Cable Monitor сначала необходимо отключить веб-интерфейс Cisco Easy VPN Remote с помощью команды no ip http ezvpn, затем включить Cable Monitor с помощью команды ip http cable-monitor.


Примеры

В следующем примере показан способ включения интерфейса веб-сервера Cisco Easy VPN remote:

Router# configure terminal 
Router(config)# ip http server 
Router(config)# ip http ezvpn 
Router(config)# exit 
Router# copy running-config startup-config 

Связанные команды

Команда
Описание

ip http cable-monitor

Включение и выключение функции веб-сервера Cable Monitor Web Server.

ip http port

Настройка номера порта TCP для веб-сервера HTTP маршрутизатора.

ip http server

Включение и выключение веб-сервера HTTP маршрутизатора.


show crypto ipsec client ezvpn

Для отображения конфигурации Cisco Easy VPN Remote используйте команду show crypto ipsec client ezvpn в привилегированном режиме EXEC.

show crypto ipsec client ezvpn

Описание синтаксиса

В этой команде отсутствуют аргументы и ключевые слова.

Командные режимы

Привилегированный EXEC

История команды

Версия
Изменение

12.2(4)YA

Команда введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(13)T

Команда включена в ПО Cisco IOS версии 12.2(13)T.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Примеры

В следующем примере показан стандартный экран для команды show crypto ipsec client ezvpn при активном соединении VPN и маршрутизаторе в режиме клиента: Последние две строки указывают на то, что URL-адрес и версия конфигурации переданы сервером в режиме настройки удаленному устройству Easy VPN.

Router# show crypto ipsec client ezvpn 

Tunnel name: hw1 
Inside interface list: FastEthernet0/0, Serial1/0, 
Outside interface: Serial0/0 
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.201.0
Mask: 255.255.255.224
DNS Primary: 192.168.201.1
DNS Secondary: 192.168.201.2
NBMS/WINS Primary: 192.168.201.3
NBMS/WINS Secondary: 192.168.201.4
Default Domain: cisco.com 
Configuration URL: http://10.8.8.88/easy.cfg
Configuration Version: 10

В следующем примере показан стандартный экран для команды show crypto ipsec client ezvpn при активном соединении VPN и маршрутизаторе в режиме расширения сети:

Router# show crypto ipsec client ezvpn 

Tunnel name: hw1 
Inside interface list: FastEthernet0/0, Serial1/0, 
Outside interface: Serial0/0 
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 192.168.202.128
Mask: 255.255.255.224
Default Domain: cisco.com

Split Tunnel List: 1
       Address    : 192.168.200.225
       Mask       : 255.255.255.224
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0

В следующем примере показан стандартный экран для команды show crypto ipsec client ezvpn при неактивном соединении VPN:

Router# show crypto ipsec client ezvpn 

Current State: IDLE
Last Event: REMOVE INTERFACE CFG
Router#

В следующем примере приведена информация о внешнем интерфейсе «Virtual-Access1», связанном с физическим интерфейсом (Ethernet0/0), на котором пользователь настроил Easy VPN в качестве внешнего интерфейса:

Router# show crypto ipsec client ezvpn

Easy VPN Remote Phase: 5
Tunnel name : ez
Inside interface list: Ethernet1/0,
Outside interface: Virtual-Access1 (bound to Ethernet0/0)
Easy VPN connect ACL checking active
Connect : ACL based with access-list 101
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.0.0.2

В таблице 4 приведено описание значимых полей, содержимое которых отображается после ввода команды show crypto ipsec client ezvpn:

В таблице 4 приведено описание полей для выходных данных команды crypto ipsec client ezvpn.

Поле
Описание

«Current State» (Текущее состояние)

Отображение текущего состояния VPN-туннеля (активное/неактивное). При установленном туннельном соединении отображается значение «IPSEC ACTIVE» (АКТИВНОЕ СОЕДИНЕНИЕ IPSEC).

Last Event (Последнее событие)

Отображение последнего события в туннеле VPN. Последним событием обычно является «SOCKET UP» (СОКЕТ АКТИВЕН).

Address (Адрес)

Отображение IP-адреса, используемого на внешнем интерфейсе.

Mask (Маска)

Отображение маски подсети, используемой для внешнего интерфейса.

DNS Primary (Основной DNS-сервер)

Основной DNS-сервер, назначаемый DHCP-сервером.

DNS Secondary (Дополнительный DNS-сервер)

Дополнительный DNS-сервер, назначаемый DHCP-сервером.

Domain Name (Имя домена)

Имя домена, предоставляемое DHCP-сервером.

NBMS/WINS Primary (Основной сервер NBMS/WINS)

Основной сервер NBMS/WINS, назначаемый DHCP-сервером.

NBMS/WINS Secondary (Дополнительный сервер NBMS/WINS)

Дополнительный сервер NBMS/WINS, назначаемый DHCP-сервером.


Связанные команды

Команда
Описание

show crypto ipsec transform

Отображение конкретной настройки для одного или всех наборов преобразования.


show tech-support

Для отображения общих сведений о маршрутизаторе после получения сообщения об ошибке используйте команду show tech-support в привилегированном режиме EXEC.

show tech-support [page] [password] [cef | ipc | ipmulticast [vrf vrf-name] | isis | mpls | ospf [process-id | detail] | rsvp]

Cisco 7600 Series

show tech-support [cef | ipmulticast [vrf vrf-name] | isis | password [page] | platform | page | rsvp]

Описание синтаксиса

page

(Необязательно) Отображение выходных данных постранично.

password

(Необязательно) Сохранение в выходных данных паролей и другой информации, относящейся к безопасности.

cef

(Необязательно) Отображение выходных данных команды show для функции Cisco Express Forwarding.

ipc

(Необязательно) Отображение выходных данных команды show для межпроцессного взаимодействия (Inter-Process Communication, IPC).

ipmulticast

(Необязательно) Отображение выходных данных команды show, относящихся к настройке мультиадресной IP-рассылки, включая информацию интерфейса PIM, протоколов IGMP и DVMRP.

vrf vrf-name

(Необязательно) Указывает маршрутизацию VPN для мультиадресной рассылки и экземпляр маршрутизации VRF.

isis

(Необязательно) Отображение выходных данных команды show для службы CLNS и протокола IS-IS.

mpls

(Необязательно) Отображение выходных данных команды show для переадресации и приложений MPLS.

ospf [process-id | detail]

(Необязательно) Отображение выходных данных команды show для создания сети OSPF.

rsvp]

(Необязательно) Отображение выходных данных команды show для создания сети RSVP.

platform

(Необязательно) Отображение выходных данных команды show для конкретной платформы.


Значение по умолчанию

Прокрутка выходных данных без разрывов страниц.
Пароли и другая информация, относящаяся к безопасности, удаляется из выходных данных.

Командные режимы

Привилегированный EXEC

История команды

Версия
Изменение

11.2

Команда включена впервые.

11.3(7), 11.2(16)

Выходные данные расширены и теперь включают в себя атрибуты boot, bootflash, context и traffic для всех поддерживаемых протоколов.

12.0

Выходные данные расширены и теперь включают в себя атрибуты boot, bootflash, context и traffic для всех поддерживаемых протоколов. В команду добавлены ключевые слова cef, ipmulticast, isis, mlps и ospf.

12.2(13)T

Из ПО Cisco IOS удалена поддержка протоколов AppleTalk EIGRP, Apollo Domain, Banyan VINES, Novell Link-State Protocol и XNS.

12.2(14)SX

Поддержка этой команды добавлена для модуля Supervisor Engine 720.

12.3(4)T

В выходные данные этой команды включены выходные данные команды show inventory.

12.2(17d)SXB

Поддержка этой команды в модуле Supervisor Engine 2 расширена для версии 12.2(17d)SXB.

12.2(30)S

Команда show tech-support ipmulticast изменена следующим образом:

Добавлена поддержка двунаправленного интерфейса PIM и MVPN (Multicast VPN).

Добавлен параметр vrf vrf-name.

В выходные данные команды show tech-support ipmulticast (без ключевого слова vrf и аргумента vrf-name) добавлены выходные данные следующих команд:

show ip pim int df

show ip pim mdt

show ip pim mdt bgp

show ip pim rp metric

12.3(16)

Эта команда включена в ПО Cisco IOS версии 12.3(16).

12.2(18)SXF

Команда show tech-support ipmulticast изменена следующим образом:

Добавлена поддержка двунаправленного интерфейса PIM и MVPN.

Добавлен параметр vrf vrf-name.

В выходные данные команды show tech-support ipmulticast vrf добавлены выходные данные следующих команд:

show mls ip multicast rp-mapping gm-cache

show mmls gc process

show mmls msc rpdf-cache

В выходные данные команды show tech-support ipmulticast (без ключевого слова vrf и аргумента vrf-name) добавлены выходные данные следующих команд:

show ip pim int df

show ip pim mdt

show ip pim mdt bgp

show ip pim rp metric

Добавлена поддержка прерывания и завершения отображения выходных данных команды show tech-support.

12.4(4)T

Эта команда включена в ПО Cisco IOS версии 12.4(4)T.

12.4(7)

Эта команда включена в ПО Cisco IOS версии 12.4(7).

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.

12.4(9)T

В выходные данные этой команды частично включены выходные данные команды show dmvpn details.


Инструкции по использованию

Для прерывания и завершения отображения выходных данных команды show tech-support одновременно нажмите и отпустите клавиши CTRL, ALT и 6.

Для просмотра следующей строки данных вывода нажмите клавишу Return, а для просмотра следующей страницы нажмите клавишу Spacebar (Пробел). Если ключевое слово page не вводится, осуществляется прокрутка данных вывода (это значит, что на разрывах страниц прокрутка не останавливается).

Если ключевое слово password не вводится, пароли и другая секретная информация заменяется меткой «removed» (удалено).

Команда show tech-support удобна для получения большого количества информации об устройстве маршрутизации с целью устранения неисправностей. Выходные данные этой команды предоставляются сотрудникам службы технической поддержки при обращении к ним для устранения неисправностей.


Примечание. Выходные данные этой команды имеют очень большой объем. Выходные данные команды можно сохранить в файл при помощи синтаксической фразы show inventory | redirect url. После сохранения выходных данных команды в файл их удобнее отправлять сотрудникам службы технической поддержки. Дополнительную информацию по данному параметру см. в документации по командам show <command> | redirect.


После ввода команды show tech-support одновременно отображаются выходные данные для нескольких команд show. Выходные данные этой команды могут различаться в зависимости от используемой платформы и настроек. Например, на серверах доступа отображаются выходные данные команды show для голосового управления. Кроме того, в выходных данных команд show protocol traffic отображается информация только для протоколов, поддерживаемых устройством. Пример выходных данных команды show tech-support см. в разделах, посвященных отдельным командам show.

При вводе команды show tech-support без аргументов отображаются выходные данные следующих команд show (список может быть неполным):

show appletalk traffic

show bootflash

show bootvar

show buffers

show cdp neighbors

show cef

show clns traffic

show context

show controllers

show decnet traffic

show disk0: all

show dmvpn details

show environment

show fabric channel-counters

show file systems

show interfaces

show interfaces switchport

show interfaces trunk

show ip interface

show ip traffic

show logging

show mac-address-table

show module

show power

show processes cpu

show processes memory

show running-config

show spanning-tree

show stacks

show version

show vlan


Примечание. Зашифрованная информация не дублируется в выходных данных команды show dmvpn details.


Посредством использования дополнительных ключевых слов cef, ipc, ipmulticast, isis, mpls, ospf и rsvp можно отобразить выходные данные нескольких команд show, относящихся к определенному протоколу или процессу, вместе с выходными данными команд show, перечисленных выше.

Если, например, сотрудник центра технической поддержки предполагает, что причина неисправности заключается в настройках Cisco Express Forwarding (CEF), он может попросить предоставить выходные данные команды show tech-support cef. После ввода команды show tech-support [page] [password] cef по умолчанию отображаются выходные данные команды show tech-support и выходные данные следующих команд:

show adjacency summary

show cef drop

show cef events

show cef interface

show cef not-cef-switched

show cef timers

show interfaces stats

show ip cef events summary

show ip cef inconsistency records detail

show ip cef summary

Если вводится ключевое слово ipmulticast, отображаются выходные данные для следующих команд show (список может быть неполным):

show ip dvmrp route

show ip igmp groups

show ip igmp interface

show ip mcache

show ip mroute

show ip mroute count

show ip pim interface

show ip pim interface count

show ip pim interface df

show ip pim mdt

show ip pim mdt bgp

show ip pim neighbor

show ip pim rp

show ip pim rp metric

show mls ip multicast rp-mapping gm-cache

show mmls gc process

show mmls msc rpdf-cache

Примеры

Примеры выходных данных команды show tech-support см. в документации по командам show, перечисленным в разделе «Инструкции по использованию».

Связанные команды

Команда
Описание

dir

Отображение списка файлов в файловой системе.

show appletalk traffic

Отображение статистики по трафику протокола AppleTalk, включая трафик протокола MAC IP.

show bootflash

Отображение содержимого флэш-памяти загрузки.

show bootvar

Отображение значения переменной BOOT, имени файла конфигурации, на который указывает переменная CONFIG_FILE, значения переменной BOOTLDR и настройки реестра конфигурации.

show buffers

Отображение статистики для буферных пулов сетевого сервера.

show cdp neighbors

Отображение подробной информации о соседних устройствах, обнаруженных с помощью протокола Cisco Discovery Protocol.

show cef

Отображение информации о пакетах, переадресованных посредством функции Cisco Express Forwarding.

show clns traffic

Отображение списка пакетов CLNS, прошедших через маршрутизатор.

show <command> | redirect

Сохранение выходных данных команды show в файл.

show context

Отображение контекстных данных.

show controllers

Отображение данных об оборудовании.

show controllers tech-support

Отображение общих сведений о плате VIP для сообщения об ошибках.

show decnet traffic

Отображение статистики по трафику DECnet (включая отправленные, полученные и переадресованные датаграммы).

show disk:0

Отображение информации о флэш-памяти или о файловой системе диска, расположенного в слоте 0:

show dmvpn details

Отображение подробной информации сети DMVPN для каждого сеанса, включая сервер следующего узла (Next Hop Server, NHS), состояние сервера NHS, информацию о шифровании данных сеанса и сведения о сокетах.

show environment

Отображение информации о температуре, напряжении и частоте вращения вентиляторов на маршрутизаторах Cisco 7000 Series Routers, Cisco 7200 Series Routers, Cisco 7500 Series Routers, Cisco 7600 Series Routers, серверах доступа Cisco AS5300 Series access servers и маршрутизаторе Gigabit Switch Router.

show fabric channel counters

Отображение счетчиков каналов коммутационной матрицы для модуля.

show file system

Отображение доступных файловых систем в виде списка.

show interfaces

Отображение статистики для всех интерфейсов, настроенных на маршрутизаторе или на сервере доступа.

show interfaces switchport

Отображение административного/рабочего состояния коммутируемого порта.

show interfaces trunk

Отображение информации интерфейса магистрали.

show inventory

Отображение списка инвентаризации продуктов и информации UDI для всех продуктов Cisco, установленных на сетевом устройстве.

show ip interface

Отображение состояния использования интерфейсов, на которых настроена IP-адресация.

show ip traffic

Отображение статистики по IP-трафику.

show logging

Отображение состояния системного журнала и содержимого стандартного буфера системного журнала.

show mac-address table

Отображение таблицы MAC-адресов.

show module

Отображение информации о состоянии модуля.

show power

Отображение состояния электропитания компонентов системы.

show processes cpu

Отображение информации об активных процессах.

show processes memory

Отображение используемого объема памяти.

show running-config

Отображение текущей конфигурации устройства маршрутизации.

show spanning-tree

Отображение информации о состоянии связующего дерева.

show stacks

Отображение информации об использовании стеков процессами и о выполнении прерываний.

show version

Отображение конфигурации системного аппаратного обеспечения, версии ПО, имен и источников файлов конфигурации, а также загрузочных образов.

show vlan

Отображение информации о сети VLAN.


type echo protocol ipIcmpEcho


Примечание. Начиная с версии 12.4(4)T ПО Cisco IOS команда type echo protocol ipIcmpEcho заменена командой icmp-echo. Дополнительную информацию см. в описании команды icmp-echo.


Для настройки функции эха SLA ICMP используйте команду type echo protocol ipIcmpEcho в режиме мониторинга IP SLA или в режиме настройки RTR.

type echo protocol ipIcmpEcho {destination-ip-address | destination-hostname} [source-ipaddr {ip-address | hostname} | source-interface interface-name]

Описание синтаксиса

destination-ip-address | destination-hostname

IP-адрес или сетевое имя узла назначения.

source-ipaddr {ip-address | hostname}

(Необязательно) Указывает IP-адрес или сетевое имя узла источника. Если IP-адрес или сетевое имя не указаны, IP SLA выбирает IP-адрес узла, ближайшего к узлу назначения.

source-interface interface-name

(Необязательно) Указывает интерфейс источника для работы.


Значение по умолчанию

Для работы настраивается режим без использования IP SLA.

Командные режимы

Настройка мониторинга IP SLA (config-sla-monitor)
Настройка RTR (config-rtr)

История команды

Версия
Изменение

11.2

Команда включена впервые.

12.0(5)T

Добавлены следующие ключевые слова и аргументы.

source-ipaddr {ip-address | hostname}

12.3(7)XR

Добавлено ключевое слово source-interface и аргумент interface-name.

12.3(11)T

Добавлено ключевое слово source-interface и аргумент interface-name.

12.4(4)T

Команда заменена командой icmp-echo.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию

Размер пакета данных по умолчанию для работы функции эха протокола ICMP составляет 28 байт. Для изменения этого значения используйте команду request-data-size. Это полезная нагрузка пакета ICMP, а в результате IP-пакет имеет размер 64 байта.

Ограничения функциональности работы IP SLA в версиях ПО Cisco IOS

Используемая в Cisco IOS команда для начала настройки функции IP SLA зависит от используемой версии Cisco IOS (см. таблице 5). Перед настройкой других параметров функции необходимо настроить тип IP SLA (например, дрожание протокола UDP или эхо протокола ICMP).

Для изменения типа IP SLA необходимо сначала удалить функцию IP SLA (с помощью команды no ip sla monitor или no rtr в режиме глобальной конфигурации), а затем задать новый тип функции.

Таблица 5. Исходная команда для начала настройки функции IP SLA в версии ПО Cisco IOS

Версия ПО Cisco IOS
Команда глобальной конфигурации
Указанный режим команды

12.3(14)T, 12.4 и 12.4(2)T

ip sla monitor

Настройка мониторинга IP SLA

12.4(4)T или более поздняя

Начиная с версии 12.4(4)T Cisco IOS команда ip sla monitor заменена командой ip sla. Дополнительную информацию см. в описании команды ip sla.

Настройка IP SLA

Все другие версии ПО Cisco IOS

rtr

Настройка RTR


Примеры

В следующих примерах создается функция IP SLA 10 и настраивается как эхо с использованием протокола ICMP и IP-адреса узла назначения 172.16.1.175. Обратите внимание, что используемая в ПО Cisco IOS команда для начала настройки IP SLA зависит от текущей версии Cisco IOS (см. таблицу 5).

Настройка мониторинга IP SLA

ip sla monitor 10
 type echo protocol ipIcmpEcho 172.16.1.175
!
ip sla monitor schedule 10 start-time now

Настройка RTR

rtr 10
 type echo protocol ipIcmpEcho 172.16.1.175
!
rtr schedule 10 start-time now

Связанные команды

Команда
Описание

ip sla monitor

Начало настройки функции IP SLA и вход в режим настройки мониторинга IP SLA.

rtr

Начало настройки функции IP SLA и вход в режим настройки RTR.


xauth userid mode

Для указания способа обработки клиентом Cisco Easy VPN Client запросов на аутентификацию Xauth используйте команду xauth userid mode в режиме настройки Cisco IOS Easy VPN remote. Для удаления этой настройки используйте эту команду с ключом «no».

xauth userid mode {http-intercept | interactive | local}

no xauth userid mode {http-intercept | interactive | local}

Описание синтаксиса

http-intercept

Перехват HTTP-соединений пользователя через внутренний интерфейс и посредством отправки запроса.

interactive

Для выполнения аутентификации пользователь должен использовать запросы интерфейса командной строки на консоли. По умолчанию используется интерактивный режим.

local

В конфигурации используется сохраненное имя пользователя или пароль.


Значение по умолчанию

Если команда не настроена, по умолчанию используется интерактивный режим.

Командные режимы

Настройка Cisco IOS Easy VPN remote

История команды

Версия
Изменение

12.3(14)T

Команда включена впервые.

12.2(33)SRA

Команда включена в ПО Cisco IOS версии 12.2(33)SRA.


Инструкции по использованию

Если необходимо включить отображение запросов на консоли, используйте ключевое слово interactive.

Если необходимо использовать сохраненное имя пользователя или пароль, используйте ключевое слово local. Если локально сохраненное имя пользователя или пароль задан, режим аутентификации изменяется соответствующим образом.

Примеры

В следующем примере показан перехват HTTP-соединений от пользователя с последующей аутентификацией пользователя с использованием веб-активации:

crypto ipsec client ezvpn tunnel22
  connect manual
  group tunnel22 key 22tunnel
  mode client
  peer 192.168.0.1
  xauth userid mode http-intercept
!
!
interface Ethernet0
  ip address 10.4.23.15 255.0.0.0
  crypto ipsec client ezvpn tunnel22 inside !
interface Ethernet1
  ip address 192.168.0.13 255.255.255.128
  duplex auto
  crypto ipsec client ezvpn catch22
!

Связанные команды

Команда
Описание

crypto ipsec client ezvpn

Создание конфигурации  Easy VPN remote.

debug crypto ipsec client ezvpn

Отображение информации о сообщениях голосового управления, записанных Voice DSP Control Message Logger.

debug ip auth-proxy ezvpn

Отображение информации, относящейся к действиям аутентификации прокси-сервера для веб-активации.

show crypto ipsec client ezvpn

Отображение конфигурации Cisco Easy VPN Remote.

show ip auth-proxy

Отображение записей прокси-сервера аутентификации или действующей конфигурации прокси-сервера аутентификации.


Приложение A: поддерживаемые атрибуты настройки режимов

Функцией Easy VPN Remote поддерживаются следующие атрибуты настройки режимов.

INTERNAL_IPV4_ADDRESS

INTERNAL_IPV4_NETMASK

INTERNAL_IPV4_DNS

INTERNAL_IPV4_WINS

MODECFG_BACKUPSERVER

MODECFG_DEFDOMAIN

MODECFG_PFS

MODECFG_SPLIT_INCLUDE

Информация о функции Easy VPN Remote

В таблице 6 приведена история использования этой функции в различных версиях.

Ваша версия ПО Cisco IOS может поддерживать не все команды. Сведения о поддержке определенной команды в версии см. в справочнике по командам.

Образы программного обеспечения Cisco IOS зависят от версии Cisco IOS, набора функций и используемой платформы. Информацию о поддержке платформ и образах программного обеспечения Cisco IOS см. в навигаторе функций Cisco. Для доступа к навигатору функций Cisco перейдите по ссылке http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Для входа необходима учетная запись на веб-сайте cisco.com. Если у вас нет учетной записи, вы забыли имя пользователя или пароль, то в диалоговом окне входа в систему нажмите кнопку Cancel (Отмена) и следуйте дальнейшим указаниям.


Примечание. В таблице 6 перечислены только версии ПО Cisco IOS, в которых включена поддержка определенной функции для конкретной серии ПО Cisco IOS. В последующих версиях ПО Cisco IOS данной серии эта функция также поддерживается, если не указано иное.


Таблица 6. Информация о функции Easy VPN Remote

Название функции
Версии
Информация о функции

Easy VPN Remote

12.2(4)YA

Поддержка этой функции в Cisco Easy VPN Remote (фаза I) введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(13)T

Cisco Easy VPN Remote включена в ПО Cisco IOS версии 12.2(13)T.

12.2(8)YJ

Поддержка этой функции в Cisco Easy VPN Remote (фаза II) введена для маршрутизаторов Cisco 806 Router, Cisco 826 Router, Cisco 827 Router и Cisco 828 Router, Cisco 1700 Series Routers, кабельных маршрутизаторов Cisco uBR905 и Cisco uBR925 Cable Access Routers.

12.2(15)T

Функция Cisco Easy VPN Remote (фаза II) включена в Cisco IOS версии 12.2(15)T. Добавлена поддержка для маршрутизаторов Cisco  2600 Series Routers, Cisco 3600 Series Routers и Cisco 3700 Series Routers.

12.3(2)T

В функцию настройки IOS добавлена поддержка пароля 6 типа (Type 6 Password).

12.3(4)T

Добавлены функции сохранения паролей и поддержки нескольких резервных узлов.

12.3(7)T

Добавлена функция «Параметры периодической отправки сообщений IPsec при обнаружении недоступных равноправных узлов».

12.3(7)XR

Добавлены следующие функции: «Поддержка восстановления после отказа без сохранения состояния при обнаружении недоступных узлов (отслеживание объектов с Easy VPN) — «Локальная настройка списка резервных серверов» и «Автоматическая настройка списка резервных серверов», «Усовершенствованное управление», «Балансировка нагрузки», «Поддержка сети VLAN», «Поддержка нескольких подсетей», «Инициированная трафиком активация», «Безопасная пересылка (PFS) посредством отправки политики», «Аутентификация 802.1x», «Поддержка сертификатов (PKI)», «Поддержка Easy VPN Remote и сервера на одном интерфейсе» и «Поддержка Easy VPN Remote и соединения между узлами на одном интерфейсе».

Примечание. Маршрутизаторы Cisco 800 Series Router не поддерживаются ПО Cisco IOS
версии 12.3(7)XR.

Примечание. Эти функции доступны только в версии 12.3(7)XR2.

12.3(7)XR2

Функции ПО Cisco IOS версии 12.3(7)XR впервые использовались на маршрутизаторах Cisco 800 Series Router.

12.3(8)YH

Функции резервирования соединений, активации при наличии трафика и веб-активации впервые использованы на маршрутизаторе Cisco 1812 Router.

12.3(11)T

За исключением функций резервирования соединений и активации при наличии трафика, все функции, впервые включенные в версии 12.3(7)XR и 12.3(7)XR2 Cisco IOS, впоследствии использованы в ПО Cisco IOS версии 12.3(11)T.

12.3(14)T

Функции резервирования соединений и активации при наличии трафика включены в ПО Cisco IOS версии 12.3(14)T. Кроме того, в этой версии впервые использована функция веб-активации.

12.3(8)YI

Функции резервирования соединений, активации при наличии трафика и веб-активации впервые использованы на маршрутизаторах Cisco 1800 Series с фиксированной конфигурацией.

12.3(8)YI1

Функции резервирования соединений, активации при наличии трафика и веб-активации впервые использованы на маршрутизаторах Cisco 870 Series Routers.

12.2(4)T

В данную версию добавлены следующие функции:

баннер, автоматическое обновление и усовершенствование взаимодействия веб-браузера и прокси-сервера.

12.4(4)T

В данную версию добавлены следующие функции:

Поддержка двойного туннелирования

усовершенствованное управление конфигурацией (передача URL-адреса конфигурации в режиме настройки);

Повторная активация основного узла

поддержка виртуального интерфейса IPsec.

12.2(33)SRA

Cisco Easy VPN Remote включена в ПО Cisco IOS версии
12.2(33)SRA.

12.4(11)T

В данную версию добавлены следующие функции:

поддержка идентичной адресации.


Глоссарий

AAA (authentication, authorization, and accounting) — аутентификация, авторизация и учет. Система служб обеспечения безопасности, дающая возможность проверки подлинности учетных данных пользователей (аутентификация), управления удаленным доступом (авторизация) и сбора и отправки информации с сервера безопасности, используемой для биллинга, проверок и составления отчетов (учет).

агрессивный режим — режим, использование которого позволяет исключить несколько шагов в ходе согласования параметров аутентификации IKE между двумя или более узлами IPsec. Агрессивный режим обеспечивает более высокую скорость работы, чем основной режим, но более низкий уровень безопасности.

авторизация — способ управления удаленным доступом, включая одноразовую авторизацию или авторизацию для каждой службы; создание списка учетных записей и профиля для каждого пользователя; поддержка группы пользователей; поддержка протоколов IP, IPX, ARA и Telnet. Авторизация AAA реализована посредством совместного использования набора атрибутов, описывающих действия, для выполнения которых у пользователя имеются соответствующие полномочия. Эти атрибуты сравниваются с информацией пользователя, содержащейся в базе данных, после чего результат возвращается в систему AAA для определения возможностей и ограничений, применяемых к пользователю. База данных может храниться локально на сервере доступа или маршрутизаторе либо удаленно на сервере безопасности RADIUS или TACACS+. Удаленные серверы безопасности, такие как RADIUS и TACACS+, выдают пользователям определенные полномочия посредством сопоставления пар «атрибут-значение», определяющих эти полномочия, с соответствующим пользователем. Все способы авторизации должны задаваться посредством AAA.

CA (certificate authority) — центр сертификации. Объект в сети, который выдает и управляет учетными данными и общими ключами (в форме сертификатов X509v3) для шифрования сообщений. Центр сертификации (CA), который является частью инфраструктуры открытых ключей, отправляет запрос в центр регистрации (RA) для проверки информации, предоставленной держателем цифрового сертификата. Если в центре регистрации (RA) информация держателя подтверждается, центр сертификации CA выдает сертификат. Сертификат обычно содержит открытый ключ владельца, дату истечения срока действия сертификата, фамилию владельца и другую информацию о владельце открытого ключа.

CRWS — инструмент Cisco Router Web Setup Tool. Инструмент, дающий возможность управлять веб-интерфейсом.

DPD (dead peer detection) — обнаружение недоступных равноправных узлов. Отправляет запросы для подтверждения активного состояния узла IKE маршрутизатора через регулярные промежутки времени.

DSLAM (digital subscriber line access multiplexer) — мультиплексор доступа по цифровой абонентской линии. Устройство, соединяющее несколько цифровых абонентских линий в сеть посредством мультиплексирования DSL-трафика по одной или нескольким магистральным линиям.

IKE (Internet Key Exchange) — обмен ключами в Интернете. Стандартный протокол управления ключами, использующийся вместе со стандартом IPsec. IPsec — это протокол безопасности, который обеспечивает надежную аутентификацию и шифрование IP-пакетов. IPsec может быть настроен без использования IKE, однако IKE используется для обеспечения дополнительной функциональности, универсальности и простоты настройки протокола IPsec. IKE — это гибридный протокол, реализующий обмен ключами Oakley и обмен ключами Skeme в рамках протокола управления ключами сопоставления безопасности в Интернете (ISAKMP). ISAKMP, Oakley и Skeme — это протоколы безопасности, используемые IKE.

IPsec — протокол IPsec. Система открытых стандартов, обеспечивающая конфиденциальность, целостность и аутентификацию данных, передающихся от одного узла к другому. Протокол IPsec обеспечивает реализацию этих функций безопасности на уровне IP-адресов. Протокол IPsec использует протокол IKE для согласования протоколов и алгоритмов, основанных на локальной политике, а также для создания ключей шифрования и аутентификации. Протокол IPsec может использоваться для защиты одного или нескольких потоков данных между двумя сетевыми узлами, между двумя безопасными шлюзами или между безопасным шлюзом и сетевым узлом.

основной режим — режим, обеспечивающий максимальный уровень безопасности в ходе согласования параметров аутентификации IKE между двумя узлами IPsec. Обработка данных в этом режиме занимает больше времени, чем в агрессивном режиме.

MIB (Management Information Base) — база административной информации. База данных по управлению сетью, для использования и обслуживания которой применяется протокол управления сетью, например SNMP или CMIP. Посредством команд протоколов SNMP и CMIP можно отображать и изменять значения объектов MIB. Обычно для этого используется система управления сетью с графическим пользовательским интерфейсом. Объекты MIB организованы в виде древовидной структуры, имеющей открытые (стандартные) и закрытые (частные) ветви.

узел — маршрутизатор или другое устройство, являющееся конечной точкой соединения по протоколу IPsec и IKE.

общий ключ — общий секретный ключ, используемый для аутентификации IKE.

QoS (quality of service) — качество обслуживания. Способность сети предоставлять высокое качество и класс услуг для передачи некоторых видов трафика посредством использования различных технологий, таких как Frame Relay, Asynchronous Transfer Mode (ATM), Ethernet, сети 802.1, SONET и сети с IP-маршрутизацией, в которых могут использоваться одна или все описанные технологии.

RADIUS (Remote Authentication Dial-In User Service) — служба дистанционной аутентификации пользователей по коммутируемым линиям, протокол RADIUS. Распределенная система клиент-сервер, используемая для защиты сетей от неавторизованного доступа. На маршрутизаторах Cisco устанавливается клиентское программное обеспечение RADIUS, которое отправляет запросы на аутентификацию на центральный сервер RADIUS, на котором хранятся все учетные данные аутентификации пользователей и информация о доступе к сетевым службам.

SA (security association) — сопоставление безопасности. Экземпляр применения политики безопасности и ключей шифрования к потоку данных. Сопоставления безопасности применяются в протоколах IKE и IPsec. Эти протоколы используют разные сопоставления безопасности. Сопоставления безопасности IPsec являются однонаправленными, при этом они уникальны в каждом протоколе безопасности. Сопоставления безопасности IKE используются только протоколом IKE, и, в отличие от сопоставлений безопасности IPsec, они являются двунаправленными. IKE согласовывает и создает SA от имени IPsec. Пользователь имеет возможность создавать сопоставления безопасности IPsec вручную.

Для обеспечения безопасности магистрали требуется набор сопоставления безопасности. Каждое направление и протокол должны иметь собственное сопоставление безопасности. Если, например, в распоряжении пользователя имеется магистраль, поддерживающая между узлами протокол ESP, для каждого направления передачи данных требуется сопоставление безопасности ESP. Уникальная идентификация сопоставления безопасности реализуется посредством адреса узла назначения (конечная точка соединения по протоколу IPsec), протокола безопасности (AH или ESP) и индекса параметра безопасности (SPI).

SDM — веб-приложение Security Device Manager. Средство управления веб-интерфейсом позволяет устанавливать и завершать туннельное соединение VPN и предоставляет веб-интерфейс для аутентификации Xauth.

SNMP (Simple Network Management Protocol) — протокол SNMP (простой протокол управления сетью). Протокол уровня приложения, обеспечивающий формат сообщений для обмена данными между диспетчерами и агентами SNMP.

trap (сообщение асинхронного прерывания)— сообщение, отправляемое агентом SNMP в систему управления сетью, на консоль или терминал для указания на важное событие, например на обнаружение заданного состояния или достижения определенного предельного значения.

VPN (virtual private network) — виртуальная частная сеть. Обеспечивает безопасную передачу IP-трафика через общую сеть TCP/IP посредством шифрования данных между сетями. Для шифрования данных на уровне IP-адреса в сети VPN используются туннельные соединения.


Примечание. Определение терминов, отсутствующих в глоссарии, см. в материалах Термины и сокращения сетевых технологий.