Cisco Easy VPN Client para Cisco 1700 Series Routers

Transcrição

1 Cisco Easy VPN Client para Cisco 1700 Series Routers Índice Cisco Easy VPN Client para Cisco 1700 Series Routers Visão geral do recurso Restrições Documentação Relacionada Documentação da plataforma Documentação de IPsec e VPN Pré-requisitos Tarefas de configuração Configurando o pool de servidores DHCP (necessário para o modo cliente) Verificando o pool de servidores DHCP Configurando e atribuindo o perfil do Cisco Easy VPN Client Verificação da configuração do Cisco Easy VPN Configurando o VPN 3000 Series Concentrator Exemplos de configurações Cisco 1700 Router configurado como VPN Client Concentrador VPN configurado como um servidor IPsec Funcionalidade simultânea de cliente-servidor Exemplo de configuração do servidor 1 Exemplo de configuração do cliente 1 e do servidor 2 Exemplo de configuração do cliente 2 Obtendo Documentação World Wide Web CD-ROM da Documentação Solicitando Documentação Feedback da Documentação Obtendo Assistência Técnica Cisco.com Centro de Assistência Técnica Cisco Easy VPN Client para Cisco 1700 Series Routers

2 Este documento apresenta informações sobre a configuração e o monitoramento do recurso Cisco Easy VPN Client para suportar os routers Cisco 1700 Series como clientes IPSec do VPN 3000 Series Concentrator. Os tópicos a seguir são incluídos: Visão geral do recurso Restrições Documentação Relacionada Pré-requisitos Tarefas de configuração Exemplos de configurações Funcionalidade simultânea de cliente-servidor Obtendo Documentação Obtendo Assistência Técnica Visão geral do recurso Routers e outros dispositivos de banda larga fornecem conexões de alto desempenho com a Internet, mas muitos aplicativos exigem também a segurança de conexões de redes privadas virtuais (virtual private network, VPN) que executem autenticações de alto nível e que criptografem dados entre dois pontos específicos. Entretanto, o estabelecimento de uma conexão VPN entre dois routers pode ser complicado e normalmente requer uma tediosa coordenação entre os administradores de rede para a configuração dos parâmetros VPN dos dois routers. O recurso Cisco Easy VPN Client elimina grande parte desse trabalho tedioso ao implementar o protocolo Unity Client da Cisco, que permite que a maioria dos parâmetros de VPN seja definida em um VPN 3000 Series Concentrator que atua como servidor IPSec. O recurso Cisco Easy VPN Client pode ser configurado de dois modos: no modo cliente ou no modo extensão de rede. O modo cliente é a configuração padrão e permite que somente dispositivos do lado do cliente acessem recursos do site central. Os recursos do site do cliente ficam indisponíveis no site central. O modo de extensão de rede permite que os usuários do site central (onde o VPN 3000 Series Concentrator se localiza) acessem os recursos de rede do site de cliente. Depois da configuração do servidor IPSec, é possível criar uma conexão VPN com configuração mínima em um cliente IPSec, como um Cisco 1700 Series Router suportado. Quando o cliente IPSec inicia a conexão do túnel VPN, o servidor IPSec envia as políticas do IPSec para o cliente IPSec e cria a conexão de túnel VPN correspondente. Observação Observe que os Cisco 1700 Series Routers são suportados como clientes IPSec de VPN 3000 Series Concentrators. As políticas a seguir são enviadas do concentrador da VPN para o router da série Cisco Easy 1700 habilitado para cliente VPN: Endereço IP interno Endereço do servidor WINS Endereço DHCP Máscara de sub-rede interna Indicador do túnel em divisão Consulte a documentação no URL a seguir para obter instruções sobre a configuração do pool de servidores DHCP e para ver o perfil do Easy VPN Client necessário para implementar o Easy VPN. Este documento contém exemplos de configurações para o router Cisco A Figura 1 mostra o modo de extensão de rede da operação. Nesse exemplo, o Cisco 1700 Series Router e um router de acesso a

3 cabo Cisco ubr905 atuam como clientes do Easy VPN, conectando-se a um VPN 3000 Series Concentrator. PCs e hosts conectados aos dois routers têm endereços IP com o mesmo intervalo de endereço daqueles da rede na empresa de destino. Isso resulta em uma extensão perfeita da rede remota. Figura 1: Modo de extensão de rede Restrições O recurso Cisco Easy VPN Client suporta configuração de apenas um par de destino. Se seu aplicativo exige a criação de vários túneis VPN, você deve proceder à configuração manualmente dos parâmetros VPN e Network Address Translation/Peer Address Translation (NAT/PAT) do IPSec no cliente e no servidor. Documentação Relacionada Esta seção lista outras documentações relacionadas à configuração e à manutenção dos routers suportados e do recurso Cisco Easy VPN Client. Documentação da plataforma Os documentos a seguir apresentam informações para routers Cisco específicos: Guia de Configuração do Software do Cisco 1700 Series Router Guia de Instalação de Hardware do Cisco 1710 Security Router Guia de Configuração do Software Cisco 1710 Security Router Guia de Instalação de Hardware do Cisco 1720 Series Router Guia de Instalação de Hardware do Cisco 1750 Series Router Guia de Instalação de Hardware do Cisco 1751 Router Guia de Configuração do Software Cisco 1751 Router Documentação de IPsec e VPN Para Informação Geral sobre IPsec e VPNs, consulte as informações a seguir na literatura sobre o produto e as seções com dicas técnicas sobre IP em Cisco.com: Implantando IPsec Fornece uma visão geral da criptografia IPsec e seus conceitos fundamentais, juntamente com configurações de exemplo. Também fornece uma ligação para outros documentos e tópicos relacionados. Visão geral do suporte da autoridade de certificação para IPsec Descreve o conceito de certificados digitais e informa como eles são usados para autenticar usuários IPsec. Uma introdução à criptografia do IP Security (IPsec) Apresenta instruções etapa-a-etapa para a configuração da criptografia do IPsec. Os documentos técnicos a seguir, disponíveis no endereço Cisco.com e no CD-ROM de documentação, também fornecem informações mais aprofundadas sobre a configuração: Guia de Configuração de Segurança do Cisco IOS, Cisco IOS versão 12.2 Apresenta uma visão geral dos

4 recursos de segurança do Cisco IOS. Referências a Comandos de segurança do Cisco IOS, Cisco IOS versão 12,2 Apresenta uma referência para cada comando do Cisco IOS usado para configuração da criptografia do IPsec e recursos de segurança relacionados. Sumário de Comandos do Cisco IOS Software, Cisco IOS versão 12.2 Resume os comandos do Cisco IOS usados para configuração de todos os recursos de segurança da versão Pré-requisitos Para usar o recurso Cisco Easy VPN Client nos Cisco 1700 Series Routers, as seguintes condições devem existir: O Cisco 1700 Series Router deve executar o Cisco IOS versão 12.2(4)XM ou mais recente configurado como um cliente Easy VPN IPSec. É necessário configurar como um servidor IPSec outro router Cisco ou concentrador VPN que aceite o recurso de suporte ao servidor VPN de acesso remoto ou ao protocolo Unity Client. Tarefas de configuração As seções a seguir descrevem as tarefas de configuração do recurso Cisco Easy VPN Client: Configurando o pool de servidores DHCP (necessário para o modo cliente) Verificando o pool de servidores DHCP Configurando e atribuindo o perfil do Cisco Easy VPN Client Verificação da configuração do Cisco Easy VPN Configurando o VPN 3000 Series Concentrator Configurando o pool de servidores DHCP (necessário para o modo cliente) O router local usa o protocolo DHCP para atribuir endereços IP aos PCs ou outros hosts conectados à interface LAN do router. Esse procedimento requer a criação de um pool de endereços IP para o servidor DHCP integrado do router. Nesse momento, o servidor DHCP atribui um endereço IP desse pool a cada PC ou outro host ao se conectar ao router. Em uma conexão VPN típica, é atribuído um endereço IP em um espaço de endereços privado aos PCs ou outros hosts conectados à interface LAN do router. O router então usa o NAT/PAT para transformar os endereços IP em um único endereço IP que é transmitido pela conexão do túnel VPN. Para configuração de um pool de servidores DHCP, siga estas etapas: Etapa 1 Etapa 2 Etapa 3 Comando Router(config)# ip dhcp pool pool-name Router(dhcp-config)# network ip-address [ mask /prefix-length] Router(dhcp-config)# default-router address [ address2... address8] Propósito Cria um pool de endereços de servidores DHCP chamado pool-name e entra no modo de configuração do pool DHCP. Especifica o número da rede IP e a máscara de sub-rede do pool de endereços DHCP a ser usado para os PCs conectados à interface Ethernet local do router. Esse número de rede e essa máscara de sub-rede devem especificar a mesma subrede como endereço IP atribuído à interface Ethernet. A máscara de sub-rede também pode ser especificada como um comprimento de prefixo que especifique o número de bits na parte do endereço dentro do endereço de sub-rede. Esse comprimento de prefixo deve ser precedido de uma barra (/). Especifica o endereço IP do router padrão para um cliente DHCP. Especifique pelo menos um endereço. Opcionalmente, você pode especificar endereços adicionais, totalizando até oito endereços por comando. Etapa 4 Etapa 5 Router(dhcp-config)# domain-name domínio Router(dhcp-config)# import all Dica O primeiro endereço IP da opção default-router deve ser o endereço IP atribuído ao endereço Ethernet do router. (Opcional) Especifica o nome do domínio para o cliente. (Opcional) Importa os parâmetros opcionais de DHCP disponíveis de um servidor DHCP central para o banco de dados do DHCP local do router. Observação Essa opção exige que o servidor DHCP central seja configurado

5 Etapa 6 Etapa 7 Etapa 8 Router(dhcp-config)# dns-server address [ address2... address8] Router(dhcp-config)# netbios-name-server address [address2... address8] Router (dhcp-config)# netbios-node-type type para fornecer as opções do DHCP. O servidor DHCP central deve estar na mesma sub-rede em que foi configurado com a opção network. (Nos routers Cisco IOS, isso é feito com o comando ip dhcp database.) Se você estiver usando o protocolo PPP/IPCP na interface WAN ou se o cliente da interface WAN suportar o recurso Easy IP, o servidor DHCP central poderá estar em uma sub-rede ou em uma rede diferente. (Opcional, se você não usar a opção import all) Especifica o endereço IP de um servidor DNS disponível para um cliente DHCP. Especifique pelo menos um endereço. Opcionalmente você pode especificar endereços adicionais, totalizando até oito endereços por comando. (Opcional, se você não usar a opção import all) Especifica o servidor NetBIOS WINS disponível para um cliente DHCP da Microsoft. Especifique pelo menos um endereço. Opcionalmente você pode especificar endereços adicionais, totalizando até oito endereços por comando. (Opcional, se você não usar a opção import all) Especifica o tipo de nó NetBIOS para um cliente DHCP da Microsoft: 0 to FF Especifica o número hexadecimal puro para o tipo do nó. b-node Especifica um nó de transmissão. h-node Especifica um nó híbrido (recomendável). m-node Especifica um nó misto. Etapa 9 p-node Especifica um nó ponto-a-ponto. Observação Não especifique as opções dns-server, netbios-name-server e netbios-node-type se você usar a opção import all, pois elas substituiriam os valores importados. Router(dhcp-config)# lease {days (Opcional) Especifica a duração da concessão de DHCP. O padrão é uma concessão de um dia. [hours][minutes] infinite} Etapa 10 Router(dhcp-config)# exit Verificando o pool de servidores DHCP Deixa o modo de configuração do pool DHCP. Para verificar se o pool de servidores DHCP foi configurado corretamente, use um destes procedimentos. Etapa 1 Use o comando show ip dhcp pool no modo privilegiado EXEC para exibir os pools de servidores que foram criados: Router# show ip dhcp pool Pool localpool : Current index : Address range : Router# Etapa 2 Se você tiver usado a opção import all quando criou o pool de servidores DHCP, use o comando show ip dhcp import para exibir as opções importadas do servidor DHCP central: Router# show ip dhcp import Address Pool Name: localpool Domain Name Server(s): NetBIOS Name Server(s): Router#

6 Etapa 3 Para exibir endereços IP atribuídos pelo servidor DHCP, use o comando show ip dhcp binding: Router# show ip dhcp binding IP address Hardware address Lease expiration Type c0.abcd.32de Nov :00 AM Automatic c0.abcd.331a Nov :00 AM Automatic Router# Configurando e atribuindo o perfil do Cisco Easy VPN Client O router que atua como cliente IPSec deve criar um perfil do Easy VPN e atribuí-lo à interface de saída. Para configuração e atribuir o perfil, use o seguinte procedimento: Etapa 1 Etapa 2 Etapa 3 Etapa 4 Comando router(config)# crypto ipsec client easy VPN profile-name router(config-crypto-easy VPN)# group group-name key keyvalue router(config-crypto-easy VPN)# peer [ip-address hostname] router(config-crypto-easy VPN)# mode {client networkextension} Propósito Cria um perfil do Easy VPN nomeado profile-name e insere o modo de configuração do Easy VPN. Especifica o grupo do IPSec e o valor da chave IPSec a serem associados a este perfil. Observação O group-name deve corresponder ao grupo definido no servidor IPSec com os comandos crypto isakmp client configuration group e crypto map dynmap isakmp authorization list. Observação O key-value deve corresponder à chave definida no servidor IPSec com o comando crypto isakmp client configuration group. Especifica o endereço IP ou o nome do host para o par de destino. Normalmente é o endereço IP da interface WAN do router de destino. Observação É necessário possuir um servidor DNS configurado e disponível para utilizar a opção hostname. Especifica o tipo de conexão VPN que deve ser feita: client Especifica que o router está configurado para a operação do cliente VPN, usando a tradução de endereço NAT/PAT. Etapa 5 Etapa 6 Etapa 7 router(config-crypto-easy VPN)# exit router(config)# interface interface router(config-if)# crypto ipsec client easy VPN profile-name < outside> network-extension Especifica que o router está prestes a se tornar uma extensão remota da rede da empresa no destino da conexão VPN. Deixa o modo de configuração do Easy VPN. Entra no modo de configuração da interface desejada. Atribui o perfil do Easy VPN à interface. A palavra-chave <outside> é opcional. Etapa 8 router(config-if)# exit Sai do modo de configuração da interface. Etapa 9 router(config)# interface interface Etapa 10 router(config)# exit Etapa 11 router(config)# crypto ipsec client ezvpn profile-name <inside> Etapa 12 router(config)# crypto ipsec client ezvpn connect <ezvpnname> <cr>} Verificação da configuração do Cisco Easy VPN Entra no modo de configuração da interface desejada. Sai do modo de configuração global. Configura a interface interna. Esse procedimento cria automaticamente os parâmetros de tradução NAT/PAT necessários e inicia a conexão VPN. Inicia a conexão VPN na interface. Esse comando só é necessário se a configuração do Easy VPN for configurada para conexão manual. Siga estas etapas para verificar se o perfil do Easy VPN foi configurado corretamente, se o perfil foi atribuído a uma interface e se o túnel VPN IPSec foi estabelecido:

7 Etapa 1 Para exibir o estado atual da conexão Cisco Easy VPN, use o comando show crypto ipsec client Easy VPN: R2#sh cry ip cl ez Tunnel name :prof2 Inside interface list:fastethernet0/0,serial0/1 Outside interface:serial0/0 Current State:IPSEC_ACTIVE Last Event:SOCKET_UP Address: Mask: R2# Etapa 2 Para exibir a configuração de NAT/PAT criada automaticamente para a conexão VPN, use o comando show ip nat statistics. A seção "Mapeamentos dinâmicos" nesta tela fornece os detalhes sobre a tradução NAT/PAT que está ocorrendo no túnel VPN. Router# show ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) Outside interfaces: cable-modem0 Inside interfaces: Ethernet0 Hits: 1489 Misses: 1 Expired translations: 1 Dynamic mappings: -- Inside Source access-list 198 pool enterprise refcount 0 pool enterprise: netmask Router# start end type generic, total addresses 1, allocated 0 (0%), misses 0\ Etapa 3 A tradução NAT/PAT usa uma lista de acesso que também é configurada dinamicamente no momento em que o túnel VPN é iniciado. Para exibir a lista de acesso, use o comando show access-list: Router# show access-list Extended IP access list 198 permit ip any Router# Observação Neste exemplo, a configuração do Easy VPN cria uma lista de acesso 198 para a tradução NAT/PAT do túnel VPN. A numeração exata da lista de acesso pode variar, dependendo das outras listas de acesso que foram configuradas no router. Não presuma que o túnel VPN usará a mesma lista de acesso sempre que a conexão for iniciada. Etapa 4 Para exibir o par IPSec de destino e o valor da chave utilizada, use o comando show crypto isakmp key:

8 Router# show crypto isakmp key Hostname/Address Preshared Key hw-client-password Router# Configurando o VPN 3000 Series Concentrator Use as diretrizes a seguir para configuração do Cisco VPN 3000 Series Concentrator para uso com os clientes Cisco Easy VPN. Observação É necessário usar a versão 3.5 ou mais recente do software para que o Cisco VPN 3000 Series Concentrator suporte os clientes Cisco Easy VPN. Protocolo do túnel IPSec Habilite o protocolo do túnel IPSec para que ele fique disponível aos usuários. Isso pode ser configurado no VPN 3000 Concentrator se você clicar na guia General (Geral) da tela Configuration User Management Base Group (Configuração Gerenciamento de usuários Grupo básico). Grupo IPSec Configuração do VPN 3000 Series Concentrator com um nome de grupo e uma senha que correspondam aos valores da configuração no perfil do Cisco Easy VPN Client no router. Esses valores são configurados no router com o comando group group-name key key-value e são configurados no VPN 3000 Series Concentrator pela tela Configuration User Management Groups (Configuração Gerenciamento de usuários Grupos). Propostas de IKE A versão 3.5 do Cisco VPN 3000 Series Concentrator é pré-configurada com uma proposta de Intercâmbio de chaves da Internet (Internet Key Exchange, IKE) padrão, a CiscoVPNClient-3DES-MD5, que pode ser usada com os clientes Cisco Easy VPN. Essa proposta de IKE suporta as chaves pré-compartilhadas com autenticação estendida (XAUTH) por meio do algoritmo MD5/HMAC-128 e do Diffie-Hellman Group 2. Essa proposta fica ativa por padrão, mas verifique se ainda está ativa por meio da tela Configuration System Tunneling Protocols IPSec IKE Proposals (Configuração Sistema Protocolos de túnel IPSec Propostas IKE). Observação Você também pode usar as propostas IKE padrão IKE-DES-MD5 e IKE-3DES-MD5, mas elas não incluem suporte a XAUTH e não são recomendadas. Uma nova associação de segurança IPSec Os clientes Cisco Easy VPN usam uma associação de segurança com os seguintes parâmetros: Algoritmo de autenticação: ESP/MD5/HMAC-128 Algoritmo de criptografia: DES-56 ou 3DES-168 (recomendado) Modo de encapsulamento: túnel Certificado digital: Nenhum (use chaves pré-compartilhadas) Proposta IKE: CiscoVPNClient-3DES-MD5 (preferida) A versão 3.5 do concentrador Cisco VPN 3000 series é pré-configurada com várias associações de segurança padrão, mas elas não atendem aos requisitos da proposta IKE. Para usar uma proposta IKE CiscoVPNClient-3DES-MD5, copie a associação de segurança ESP/IKE-3DES-MD5. Em seguida, modifique-a para usar CiscoVPNClient-3DES-MD5 como sua proposta IKE. Ela será configurada no VPN 3000 Series Concentrator, pela tela Configuration Policy Management Traffic Management Security Associations (Configuração Gerenciamento de política Gerenciamento de tráfego Associações de segurança). Exemplos de configurações Esta seção inclui os seguintes exemplos de configurações:

9 Cisco 1700 Router configurado como VPN Client Concentrador VPN configurado como um servidor IPsec Cisco 1700 Router configurado como VPN Client Os exemplos a seguir configuram um Cisco 1700 Series Router como um cliente IPSec usando o recurso Cisco Easy VPN no modo cliente de operação. Este exemplo mostra os seguintes componentes da configuração do Cisco Easy VPN Client: Pool de servidores DHCP O comando ip dhcp pool cria um pool de endereços IP a serem atribuídos aos PCs conectados à interface Ethernet1 do router. O pool atribui endereços no espaço de endereços privado classe C ( ) e configura cada PC para que suas rotas padrão sejam , que é o endereço IP atribuído à interface Ethernet do router. Configuração do Easy VPN Client O comando crypto ipsec client Easy VPN hw-client (modo de configuração global) cria uma configuração do Easy VPN client denominada hw-client. Essa configuração especifica um nome de grupo hw-clientgroupname e um valor de chave compartilhada hw-client-password e define o destino de par do endereço IP , que é o endereço atribuído para a interface conectada à Internet no router do par de destino. A configuração do Easy VPN é definida para o modo de operação padrão, que é o modo cliente. Observação Se o DNS for configurado no router, a opção peer também suportará um nome de host, em vez de um endereço IP. O segundo comando crypto ipsec client Easy VPN hw-client (modo de configuração de interface) atribui a configuração do Easy VPN Client à interface ATM 0, de forma que todo o tráfego recebido e transmitido naquela interface seja feito pelo túnel VPN. Current configuration :1308 bytes version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname 1760 aaa new-model aaa session-id common ip subnet-zero ip audit notify log ip audit po max-events 100 crypto ipsec client ezvpn hw3 connect auto group ez key ez mode client peer crypto ipsec client ezvpn hw1

10 connect manual group ezvpn key ezvpn mode client peer interface FastEthernet0/0 ip address speed auto crypto ipsec client ezvpn hw3 inside interface Serial0/0 ip address no ip route-cache no ip mroute-cache no fair-queue crypto ipsec client ezvpn hw1 inside interface Serial0/1 ip address crypto ipsec client ezvpn hw1 inside interface Serial1/0 ip address clockrate crypto ipsec client ezvpn hw1 interface Serial1/1 ip address no keepalive crypto ipsec client ezvpn hw3 ip classless no ip http server ip pim bidir-enable radius-server retransmit 3 radius-server authorization permit missing Service-Type line con 0 line aux 0 line vty 0 4 no scheduler allocate

11 end 1760#sh crypto ipsec client ezvpn Tunnel name :hw1 Inside interface list:serial0/0, Serial0/1, Outside interface:serial1/0 Current State:IPSEC_ACTIVE Last Event:SOCKET_UP Address: Mask: Default Domain:cisco.com Tunnel name :hw3 Inside interface list:fastethernet0/0, Outside interface:serial1/1 Current State:IPSEC_ACTIVE Last Event:SOCKET_UP Address: Mask: Default Domain:cisco.com Concentrador VPN configurado como um servidor IPsec O exemplo a seguir mostra uma configuração do concentrador VPN para um concentrador VPN Cisco concentrator#sh running-config Building configuration... Current configuration :1131 bytes version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname 7100-concentrator aaa new-model aaa authentication login xauth local aaa session-id common memory-size iomem 15 mmi polling-interval 60 no mmi auto-configure

12 no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip ssh time-out 120 ip ssh authentication-retries 3 crypto isakmp policy 1 authentication pre-share group 2 crypto isakmp client configuration group ezvpn key ezvpn domain cisco.com pool dynpool acl 101 crypto ipsec transform-set proposal1 esp-des esp-sha-hmac crypto dynamic-map foo 10 set transform-set proposal1 crypto map foo isakmp authorization list ezvpn crypto map foo client configuration address respond crypto map foo 10 ipsec-isakmp dynamic foo interface FastEthernet0/0 no ip address shutdown speed auto interface Serial0/0 ip address no ip route-cache no ip mroute-cache crypto map foo ip local pool dynpool ip classless no ip http server ip pim bidir-enable line con 0

13 line aux 0 line vty 0 4 end 7100-concentrator# Funcionalidade simultânea de cliente-servidor Um Cisco 1700 Series Router pode atuar simultaneamente como cliente e servidor Easy VPN. A Figura a seguir mostra um cenário típico, em que um escritório de uma filial local fornece um túnel VPN seguro a telecomutadores ao mesmo tempo em que ele fornece outro túnel seguro para a sede da empresa. Figura 2: Cenário da funcionalidade simultânea de cliente-servidor Exemplo de configuração do servidor 1 O exemplo a seguir mostra uma configuração para o servidor 1, representada na Figura pelo router 8. R8#sh running-config Building configuration... Current configuration :1283 bytes version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname R8 aaa new-model aaa authorization network hw-client-group local aaa session-id common memory-size iomem 5 ip subnet-zero

14 no ip domain-lookup ip ssh time-out 120 ip ssh authentication-retries 3 crypto isakmp policy 1 authentication pre-share group 2 crypto isakmp client configuration address-pool local dynpool crypto isakmp client configuration group hw-client-group key password dns wins domain cisco.com pool dynpool crypto ipsec transform-set transform-1 esp-3des esp-md5-hmac crypto dynamic-map dynmap 1 set transform-set transform-1 crypto map dynmap isakmp authorization list hw-client-group crypto map dynmap client configuration address respond crypto map dynmap 1 ipsec-isakmp dynamic dynmap interface Ethernet0 ip address half-duplex interface FastEthernet0 ip address speed auto crypto map dynmap ip local pool dynpool ip classless ip route no ip http server ip pim bidir-enable line con 0 line aux 0

15 line vty 0 4 no scheduler allocate end R8# Exemplo de configuração do cliente 1 e do servidor 2 O exemplo a seguir mostra a configuração do cliente 1 e do servidor 2, representados na Figura pelo router 2. R2#sh run R2#sh running-config Building configuration... Current configuration :2040 bytes version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname R2 aaa new-model aaa authorization network hw-client-group local aaa session-id common memory-size iomem 5 ip subnet-zero no ip domain-lookup ip ssh time-out 120 ip ssh authentication-retries 3 crypto isakmp policy 1 authentication pre-share group 2 crypto isakmp client configuration address-pool local dynpool crypto isakmp client configuration group hw-server-group key password

16 dns wins domain cisco.com pool dynpool crypto ipsec transform-set transform-1 esp-3des esp-md5-hmac crypto ipsec client ezvpn prof3 connect auto group hw-client-group key password mode client peer crypto dynamic-map dynmap 1 set transform-set transform-1 crypto map dynmap isakmp authorization list hw-server-group crypto map dynmap client configuration address respond crypto map dynmap 1 ipsec-isakmp dynamic dynmap interface FastEthernet0/0 ip address speed auto crypto ipsec client ezvpn prof3 inside interface Serial0/0 ip address no fair-queue crypto ipsec client ezvpn prof3 interface Serial0/1 ip address crypto map dynmap <--- to provide server functionality crypto ipsec client ezvpn prof3 inside <-- to provide client functionality Note that the address range is in the same subnet as that of Serial 0/1 This is required if the users attached to client2 need to access corporate network behind server1 If the 2 tunnels need to be isolated then ip address pool has to be different from the subnet on the inside interface serial0/1 ip local pool dynpool ip classless line con 0

17 line aux 0 line vty 0 4 no scheduler allocate end R2# Exemplo de configuração do cliente 2 O exemplo a seguir mostra uma configuração para o cliente 2, representada na Figura pelo router 5. R5#sh running-config Building configuration... Current configuration :861 bytes version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname R5 ip subnet-zero no ip domain-lookup ip ssh time-out 120 ip ssh authentication-retries 3 crypto ipsec client ezvpn prof3 connect auto group hw-server-group key password mode client peer interface Loopback1 ip address interface FastEthernet0/0 no ip address shutdown speed auto

18 interface Serial0/0 ip address no fair-queue crypto ipsec client ezvpn prof3 inside interface Serial0/1 ip address clock rate crypto ipsec client ezvpn prof3 ip default-gateway ip classless ip route no ip http server ip pim bidir-enable line con 0 line aux 0 line vty 0 4 no scheduler allocate end R5# Obtendo Documentação As seções a seguir explicam como obter a documentação da Cisco Systems. World Wide Web É possível acessar a documentação mais atualizada da Cisco na World Wide Web, no seguinte URL: A documentação traduzida está disponível no seguinte URL: CD-ROM da Documentação A documentação e literatura adicional da Cisco estão disponíveis em um pacote de CD-ROM de Documentação da Cisco, enviado com o produto. O CD-ROM da Documentação é atualizado mensalmente e pode estar mais em dia do que a documentação impressa. O pacote do CD-ROM está disponível como unidade única ou por uma assinatura anual. Solicitando Documentação A documentação da Cisco pode ser obtida como descrito a seguir: Os clientes diretos registrados da Cisco podem solicitar documentação de produtos Cisco em Networking Products MarketPlace:

19 Os usuários registrados da Cisco.com podem solicitar o CD-ROM da documentação através da Loja de Assinaturas on-line: Os usuários não registrados da Cisco.com podem solicitar documentação através de um representante de contas local, ligando para os escritórios centrais da Cisco Systems Corporate (Califórnia, EUA), através do número ou, caso esteja em algum outro local na América do Norte, ligando para NETS (6387). Feedback da Documentação Ao ler uma documentação de produto Cisco em Cisco.com, você pode enviar comentários técnicos eletronicamente. Clique em Leave Feedback (Fornecer Feedback) no final da home page Cisco Documentation. Quando terminar de preencher o formulário, imprima-o e o envie por fax para a Cisco no número Envie seus comentários para bug-doc@cisco.com. Envie os comentários por , usando a ficha de resposta localizada na parte posterior da capa frontal de seu documento ou escrevendo para o seguinte endereço: Cisco Systems Attn: Document Resource Connection 170 West Tasman Drive San Jose, CA Agradecemos seus comentários. Obtendo Assistência Técnica A Cisco disponibiliza a Cisco.com como um ponto de partida para toda assistência técnica. Clientes e parceiros podem obter a documentação, dicas para análise de falhas e exemplos de configurações através de ferramentas on-line, usando o site Cisco Technical Assistance Center (TAC, Centro de Assistência Técnica da Cisco). Os usuários registrados da Cisco.com têm acesso total aos recursos do suporte técnico no site Cisco TAC na Web. Cisco.com Cisco.com é a base de um conjunto de serviços interativos em rede que fornecem acesso aberto e imediato a informações, soluções de rede, programas e recursos da Cisco a qualquer momento, de qualquer local do mundo. A Cisco.com é um aplicativo de Internet altamente integrado e uma poderosa ferramenta fácil de usar, que oferece uma grande variedade de recursos e serviços para ajudá-lo a Dinamizar os processos comerciais e aumentar a produtividade Solucionar Análise de falhas técnicas com suporte on-line Fazer download e testar pacotes de software Solicitar materiais de publicidade e de aprendizagem da Cisco Registrar-se para programas de avaliação de aptidões, treinamento e certificação on-line Você pode se registrar na Cisco.com para obter informações e serviços personalizados. Para acessar a Cisco.com, use o seguinte URL: Centro de Assistência Técnica O Cisco TAC está disponível para todos os clientes que necessitam de assistência técnica para um produto, tecnologia ou solução Cisco. Há dois tipos de suporte disponíveis pelo Cisco TAC: o site do Cisco TAC e o Cisco TAC Escalation Center. As consultas ao Cisco TAC são classificadas de acordo com a urgência do problema: Nível de Prioridade 4 (P4) Você precisa de informações ou assistência relacionadas a recursos, instalação ou configuração básica de produtos Cisco. Nível de Prioridade 3 (P3) O desempenho de sua rede está prejudicado. O funcionamento da rede está visivelmente prejudicado, mas a maioria das operações de negócios está funcionando.

20 Nível de Prioridade 2 (P2) Sua rede de produção está bastante reduzida, afetando aspectos importantes das operações de negócios. Não há soluções disponíveis. Nível de Prioridade 1 (P1) Sua rede de produção está parada e ocorrerá um impacto crítico sobre as operações de negócios se o serviço não for restaurado rapidamente. Não há soluções disponíveis. O recurso do Cisco TAC escolhido depende da prioridade do problema e das condições dos contratos de serviço, se aplicável. Site do Cisco TAC na Web O site Cisco TAC permite que você resolva problemas P3 e P4 por conta própria, poupando tempo e dinheiro. O site fornece acesso ininterrupto a ferramentas on-line, bases de conhecimento e software. Para acessar o site do Cisco TAC na Web, use o seguinte URL: Todos os clientes, parceiros e revendedores que possuem um contrato de serviços válido com a Cisco têm acesso total aos recursos do suporte técnico no site do Cisco TAC na Web. O site Cisco TAC exige ID e senha de login do Cisco.com. Se você tiver um contrato de serviços válido mas não tiver uma ID ou senha de login, poderá registrar-se no seguinte URL: Se não for possível solucionar seus problemas técnicos no site do Cisco TAC na Web, e você for um usuário registrado da Cisco.com, poderá abrir um caso on-line por meio da ferramenta TAC Case Open, no seguinte URL: Se você tiver acesso à Internet, é recomendável abrir casos P3 e P4 no site do Cisco TAC na Web. Cisco TAC Escalation Center O Cisco TAC Escalation Center soluciona os problemas classificados com o nível de prioridade 1 ou 2; essas classificações são atribuídas quando um prejuízo drástico na rede afeta de modo significativo as atividades comerciais. Quando você entra em contato com o TAC Escalation Center com um problema P1 ou P2, um engenheiro do Cisco TAC abre automaticamente um caso. Para obter um catálogo de números de telefones grátis do Cisco TAC em seu país, use a seguinte URL: Antes de ligar, verifique com seu centro de operações de rede o nível de suporte aos serviços da Cisco a que sua empresa tem direito. Por exemplo, contas SMARTnet, SMARTnet Onsite ou Network Supported Accounts (NSA, contas com suporte de rede). Além disso, tenha em mãos o número de seu contrato de serviços e o número de série do produto Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 1 Abril