Para parceiros
O objetivo deste documento é mostrar como configurar a conectividade VPN do AnyConnect no roteador RV34x Series.
Uma conexão VPN (Virtual Private Network) permite que os usuários acessem, enviem e recebam dados de e para uma rede privada por meio de uma rede pública ou compartilhada, como a Internet, mas ainda garantindo conexões seguras a uma infraestrutura de rede subjacente para proteger a rede privada e seus recursos.
Um cliente VPN é um software instalado e executado em um computador que deseja se conectar à rede remota. Esse software cliente deve ser configurado com a mesma configuração do servidor VPN, como o endereço IP e as informações de autenticação. Essas informações de autenticação incluem o nome de usuário e a chave pré-compartilhada que serão usados para criptografar os dados. Dependendo da localização física das redes a serem conectadas, um cliente VPN também pode ser um dispositivo de hardware. Isso geralmente acontece se a conexão VPN for usada para conectar duas redes que estão em locais separados.
O Cisco AnyConnect Secure Mobility Client é um aplicativo de software para conexão a uma VPN que funciona em vários sistemas operacionais e configurações de hardware. Esse aplicativo de software permite que recursos remotos de outra rede se tornem acessíveis como se o usuário estivesse diretamente conectado à sua rede, mas de forma segura. O Cisco AnyConnect Secure Mobility Client oferece uma nova maneira inovadora de proteger os usuários móveis em plataformas baseadas em computador ou smartphone, fornecendo uma experiência mais perfeita e sempre protegida para os usuários finais e aplicação abrangente de políticas para o administrador de TI.
No roteador RV34x, iniciando com a versão de firmware 1.0.3.15 e avançando, o licenciamento do AnyConnect não é necessário. Haverá uma taxa somente para as licenças do cliente.
Para obter informações adicionais sobre o licenciamento do AnyConnect nos roteadores da série RV340, consulte o artigo sobre: Licenciamento do AnyConnect para os RV340 Series Routers.
Etapa 1. Acesse o utilitário baseado na Web do roteador e escolha VPN > SSL VPN.
Etapa 2. Clique no botão de opção On para habilitar o Cisco SSL VPN Server.
Configurações obrigatórias do gateway
As seguintes configurações são obrigatórias:
Etapa 3. Escolha a interface do gateway na lista suspensa. Esta será a porta que será usada para passar o tráfego através dos túneis VPN SSL. As opções são:
Note: Neste exemplo, a WAN1 é escolhida.
Etapa 4. Insira o número da porta usada para o gateway de VPN SSL no campo Porta de Gateway que varia de 1 a 65535.
Note: Neste exemplo, 8443 é usado como o número da porta.
Etapa 5. Escolha o Arquivo de certificado na lista suspensa. Este certificado autentica os usuários que tentam acessar o recurso de rede através dos túneis VPN SSL. A lista suspensa contém um certificado padrão e os certificados importados.
Note: Neste exemplo, Default é escolhido.
Etapa 6. Insira o endereço IP do pool de endereços do cliente no campo Client Address Pool. Esse pool será o intervalo de endereços IP que serão alocados para clientes VPN remotos.
Note: Certifique-se de que o intervalo de endereços IP não se sobreponha a nenhum dos endereços IP na rede local.
Note: Neste exemplo, 192.168.0.0 é usado.
Passo 7. Escolha a máscara de rede do cliente na lista suspensa.
Note: Neste exemplo, 255.255.255.128 é escolhido.
Etapa 8. Digite o nome de domínio do cliente no campo Domínio do cliente. Esse será o nome de domínio que deve ser enviado para clientes VPN SSL.
Note: Neste exemplo, WideDomain.com é usado como o nome de domínio do cliente.
Etapa 9. Insira o texto que apareceria como banner de login no campo Banner de login. Este será o banner que será exibido toda vez que um cliente fizer login.
Note: Neste exemplo, Bem-vindo ao Widedomain! é usado como o banner de login.
Configurações opcionais do gateway
As seguintes configurações são opcionais:
Etapa 1. Insira um valor em segundos para o intervalo de tempo limite de ociosidade de 60 a 86.400. Esta será a duração em que a sessão VPN SSL poderá permanecer ociosa.
Note: Neste exemplo, 3000 é usado.
Etapa 2. Insira um valor em segundos no campo Limite de tempo da sessão. Esse é o tempo que leva para a sessão do Transmission Control Protocol (TCP) ou User Datagram Protocol (UDP) expirar após o tempo ocioso especificado. O intervalo é de 60 a 1209600.
Note: Neste exemplo, 60 é usado.
Etapa 3. Insira um valor em segundos no campo ClientDPD Timeout que varia de 0 a 3600. Esse valor especifica o envio periódico de mensagens HELLO/ACK para verificar o status do túnel VPN.
Note: Esse recurso deve ser ativado em ambas as extremidades do túnel VPN.
Note: Neste exemplo, 350 é usado.
Etapa 4. Insira um valor em segundos no campo GatewayDPD Timeout que varia de 0 a 3600. Esse valor especifica o envio periódico de mensagens HELLO/ACK para verificar o status do túnel VPN.
Note: Esse recurso deve ser ativado em ambas as extremidades do túnel VPN.
Note: Neste exemplo, 360 é usado.
Etapa 5. Insira um valor em segundos no campo Keep Alive que varia de 0 a 600. Esse recurso garante que o roteador esteja sempre conectado à Internet. Tentará restabelecer a conexão VPN se for interrompida.
Note: Neste exemplo, 40 é usado.
Etapa 6. Insira um valor em segundos para a duração do túnel a ser conectado no campo Duração da concessão. O intervalo é de 600 a 1209600.
Note: Neste exemplo, 43500 é usado.
Passo 7. Insira o tamanho do pacote em bytes que pode ser enviado pela rede. O intervalo é de 576 a 1406.
Note: Neste exemplo, 1406 é usado.
Etapa 8. Insira o tempo do intervalo de retransmissão no campo Intervalo de rechave. O recurso Rekey permite que as chaves SSL renegociem após a sessão ter sido estabelecida. O intervalo é de 0 a 43200.
Note: Neste exemplo, 3600 é usado.
Etapa 9. Clique em Apply.
Etapa 1. Clique na guia Group Policies.
Etapa 2. Clique no botão Adicionar na Tabela de grupos de VPN SSL para adicionar uma política de grupo.
Note: A tabela Grupo de VPN SSL exibirá a lista de políticas de grupo no dispositivo. Você também pode editar a primeira política de grupo na lista, que é chamada SSLVPNDefaultPolicy. Essa é a política padrão fornecida pelo dispositivo.
Etapa 3. Digite o nome da política preferida no campo Nome da política.
Note: Neste exemplo, a Política de Grupo 1 é usada.
Etapa 4. Insira o endereço IP do DNS primário no campo fornecido. Por padrão, esse endereço IP já é fornecido.
Note: Neste exemplo, 192.168.1.1 é usado.
Etapa 5. (Opcional) Insira o endereço IP do DNS secundário no campo fornecido. Isso servirá como backup caso o DNS primário falhe.
Note: Neste exemplo, 192.168.1.2 é usado.
Etapa 6. (Opcional) Insira o endereço IP do WINS principal no campo fornecido.
Note: Neste exemplo, 192.168.1.1 é usado.
Passo 7. (Opcional) Insira o endereço IP do WINS secundário no campo fornecido.
Note: Neste exemplo, 192.168.1.2 é usado.
Etapa 8. (Opcional) Insira uma descrição da política no campo Descrição.
Note: Neste exemplo, a Política de Grupo com túnel dividido é usada.
Etapa 9. (Opcional) Clique em um botão de opção para escolher a Política de Proxy do IE para habilitar as configurações de proxy do Microsoft Internet Explorer (MSIE) para estabelecer um túnel VPN. As opções são:
Note: Neste exemplo, Desabilitado é escolhido. Essa é a configuração padrão.
Etapa 10. (Opcional) Na área Configurações de tunelamento dividido, marque a caixa de seleção Habilitar tunelamento dividido para permitir que o tráfego destinado à Internet seja enviado sem criptografia diretamente para a Internet. O tunelamento completo envia todo o tráfego para o dispositivo final, onde é roteado para os recursos de destino, eliminando a rede corporativa do caminho para acesso à Web.
Etapa 11. (Opcional) Clique em um botão de opção para escolher incluir ou excluir o tráfego ao aplicar o tunelamento dividido.
Note: Neste exemplo, Incluir tráfego é escolhido.
Etapa 12. Na Tabela de divisão de rede, clique no botão Adicionar para adicionar a exceção de divisão de rede.
Etapa 13. Insira o endereço IP da rede no campo fornecido.
Note: Neste exemplo, 192.168.1.0 é usado.
Etapa 14. Na Tabela de divisão de DNS, clique no botão Adicionar para adicionar a exceção de DNS dividido.
Etapa 15. Insira o nome do domínio no campo fornecido e clique em Apply.
Etapa 1. Clique no ícone AnyConnect Secure Mobility Client.
Etapa 2. Na janela AnyConnect Secure Mobility Client, insira o endereço IP do gateway e o número da porta do gateway separados por dois-pontos (:) e clique em Connect.
Note: Neste exemplo, 10.10.10.1:8443 é usado. O software agora mostrará que está entrando em contato com a rede remota.
Etapa 3. Digite o nome de usuário e a senha do servidor nos respectivos campos e clique em OK.
Note: Neste exemplo, o usuário Group1 é usado como o nome de usuário.
Etapa 4. Assim que a conexão for estabelecida, o banner de login será exibido. Clique em Aceitar.
A janela do AnyConnect agora deve indicar a conexão VPN bem-sucedida com a rede.
Etapa 5. (Opcional) Para desconectar-se da rede, clique em Desconectar.
Agora, você deve ter configurado com êxito a conectividade do AnyConnect VPN usando um RV34x Series Router.