Cisco ios easy vpn server
3 recomendaciones4,899 vistas
Este documento describe cómo configurar un servidor Cisco Easy VPN para proporcionar acceso VPN remoto a clientes. Se crea un pool de direcciones IP, se configuran las políticas IKE e IPSec, y se asocia un crypto map a una interfaz para permitir que los clientes se autentiquen y accedan a recursos de red de forma segura a través de una conexión VPN basada en IPSec.
![III. Configurar las políticas IKE
Paso Comando Objetivo
6 r1(config)# crypto isakmp policy 10 Crear una nueva política IKE. Cada
política se identifica por su número
de prioridad (de 1 a 10.000; 1 la más
prioridad más alta)
7 r1(config-isakmp)# encryption aes 192 Especificar el algoritmo de cifrado a
utilizar
8 r1(config-isakmp)# hash sha Elegir el algoritmo de hash a usar:
Message Digest 5 (MD5 [md5] ) o
Secure Hash Algorithm (SHA [sha]).
9 r1(config-isakmp)# authentication Determinar el método de
pre-share autenticación: pre-shared keys
(pre-share), RSA1 encrypted nonces
(rsa-encr), o RSA signatures (rsa-slg).](https://image.slidesharecdn.com/ciscoioseasyvpnserver-100423150444-phpapp01/85/Cisco-ios-easy-vpn-server-6-320.jpg)
Cisco ios easy vpn server
- 1. CISCO IOS Easy VPN Server Jesús Moreno León Alberto Molina Coballes Redes de Área Local Junio 2009
- 2. Escenario OFICINA CENTRAL INTERNET CLIENTE REMOTO ● Se quiere implementar una VPN de acceso remoto basada en IPSec ● Se usará un router (IOS 12.4 o posterior) como servidor Easy VPN ● Los clientes necesitan instalar CISCO Easy VPN Client
- 3. Tareas a realizar I. Crear un pool de direcciones que usarán los clientes que se conecten por VPN II. Configurar la autenticación III.Configurar la política IKE IV.Configurar la política IPSec
- 4. I. Crear un pool de direcciones Paso Comando Objetivo 1 r1(config)# ip local pool VPNPOOL Se crea un pool de direcciones que 192.168.1.10 192.168.1.19 permite 10 conexiones concurrentes
- 5. II. Configurar la autenticación Paso Comando Objetivo 2 r1(config)# aaa new-model Activa la funcionalidad aaa (Authentication, Authorization y Accounting) 3 r1(config)# aaa authentication login Defina la lista de métodos de VPN-USERS local autenticación cuando un usuario hace login (local, RADIUS...) 4 r1(config)# aaa authorization network Establece los parámetros que VPN-GROUP local restringen el acceso de los usarios a la red 5 r1(config)# username vpnuser Se crea una cuenta de usuario que password micontraseña usarán los clientes VPN para autenticarse contra el servidor
- 6. III. Configurar las políticas IKE Paso Comando Objetivo 6 r1(config)# crypto isakmp policy 10 Crear una nueva política IKE. Cada política se identifica por su número de prioridad (de 1 a 10.000; 1 la más prioridad más alta) 7 r1(config-isakmp)# encryption aes 192 Especificar el algoritmo de cifrado a utilizar 8 r1(config-isakmp)# hash sha Elegir el algoritmo de hash a usar: Message Digest 5 (MD5 [md5] ) o Secure Hash Algorithm (SHA [sha]). 9 r1(config-isakmp)# authentication Determinar el método de pre-share autenticación: pre-shared keys (pre-share), RSA1 encrypted nonces (rsa-encr), o RSA signatures (rsa-slg).
- 7. III. Configurar las políticas IKE Paso Comando Objetivo 10 r1(config-isakmp)# group 5 Especificar el identificador de grupo Diffie-Hellman 11 r1(config)# crypto isakmp client Crea un grupo IKE para los clientes configuration group VPN VPN-GROUP 12 r1(config-isakmp-group)# key Establece el secreto compartido SECRETOCOMPATIDO para el grupo VPN-GROUP 13 r1(config-isakmp-group)# pool Se selecciona el pool de direcciones VPNPOOL para los clientes
- 8. IV. Configurar la política IPSec Paso Comando Objetivo 14 r1(config)# crypto ipsec transform-set Establece las políticas de seguridad VPNSET esp-aes esp-sha-hmac IPSEC que se usarán en las comunicaciones 15 r1(config)# crypto dynamic-map Crea un crypto map dinámico que se VPN-DYNAMIC 10 usa cuando la IP del host remoto no se conoce, como es el caso en las VPN de acceso remoto 16 r1(config-crypto-map)# set transform- Asocia el transform set VPNSET al set VPNSET crypto map dinámico 17 r1(config-crypto-map)# reverse-route Activa Reverse Route Injection (RRI)
- 9. IV. Configurar la política IPSec Paso Comando Objetivo 18 r1(config)# crypto map VPN-STATIC Configura un crypto map estático client configuration address respond que puede ser asociado a una interfaz 19 r1(config)# crypto map VPN-STATIC Define el conjunto de usuarios con client authentication list VPN-USERS permisos de autenticación 20 r1(config)# crypto map VPN-STATIC Establece el grupo de usuarios y los isakmp authorization list VPN-GROUP parámetros de acceso a la red 21 r1(config)# crypto map VPN-STATIC 20 Asocia el crypto map dinámico ipsec-isakmp dynamic VPN-DYNAMIC creado para los clientes de acceso remoto
- 10. IV. Configurar la política IPSec Paso Comando Objetivo 22 r1(config)# interface serial 1/0 Accedemos a la configuración de la interfaz por la que se conectarán los clientes VPN 23 r1(config-if)# crypto map VPN-STATIC Asociamos el crypto map a la interfaz 24 r1# write Guardamos todos los cambios
- 11. Conexión desde el cliente PACKET TRACERT CISCO VPN CLIENT