Cisco Easy VPN Remote

Transcripción

1 Cisco Easy VPN Remote Descargue este capítulo Cisco Easy VPN Remote Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Cisco Easy VPN Remote Encontrar la información de la característica Contenido Prerrequisitos de Cisco Easy VPN Remote Restricciones de Cisco Easy VPN Remote Información sobre Cisco Easy VPN Remote Beneficios de la Función Cisco Easy VPN Remote Descripción General de Cisco Easy VPN Remote Modos de Funcionamiento Escenarios del modo cliente y del modo de ampliación de la red Autenticación con el telecontrol del Cisco Easy VPN Uso de las claves del preshared Uso de los Certificados digitales Uso del Xauth Activación basada en web autenticación del 802.1x Opciones de Activación del Túnel Activación automática Activación manual Activación Accionada por Tráfico Soporte de Failover sin Estado por Detección de Peer Muerto Configuración Local de la Lista del Servidor de Respaldo Autoconfiguración de la lista del servidor de backup Funciones de Cisco Easy VPN Remote Interfaz interior predeterminada Interfaces interiores múltiples Interfaces exteriores múltiples Soporte a VLAN Soporte de la subred múltiple Soporte de la Interoperabilidad NAT Soporte de la dirección local Nombre de host del par Soporte del servidor DNS del proxy Soporte del Firewall Cisco IOS Easy VPN Remote y Servidor en la Misma Interfaz Easy VPN Remote y Sitio a Sitio en la Misma Interfaz Encargados remotos de la red del Cisco Easy VPN Dead Peer Detection Periodic Message Option Balance de carga Mejoras de la Administración Soporte PFS Dial Backup Soporte de Interfaz IPSec Virtual Dual Tunnel Support Banner Mejoras de la Administración de la Configuración (Aplicación de una URL de Configuración a través de un Intercambio de Modo-Configuración) Peer Primario Reactivo Identical Addressing Support ctcp Support on Easy VPN Clients Easy VPN Server en un VPN 3000 series concentrator Configuración de peer en un telecontrol del Cisco Easy VPN usando el nombre de host Versión 3.5 interactiva de la autenticación de hardware cliente Protocolo del túnel IPsec Grupo IPSec Bloqueo del grupo Xauth

2 Tunelización dividida Propuestas IKE Nuevo IPSec SA Cómo Configurar Cisco Easy VPN Remote Tareas Remotas Configurando y asignando la configuración VNP remota sencilla Verificar la configuración del Cisco Easy VPN Configuración de Guardado de Contraseña Configurar el control manual del túnel Configurar el control del túnel automático Configurar las interfaces interiores múltiples Configurar las interfaces exteriores múltiples Configurar el soporte de la subred múltiple Configurar el soporte del servidor DNS del proxy Configurar el Respaldo de marcado Configurar el pool del servidor DHCP Reajuste de una conexión VPN Monitoreando y mantener el VPN y los eventos IKE Configurar una interfaz virtual Localización de averías del soporte dual del túnel El configurar reactiva al peer primario (de un valor por defecto) Configurar el soporte de dirección idéntico Configurar el ctcp en un cliente VPN fácil Restricción del Tráfico Cuando se Desactiva un Túnel Tareas de Easy VPN Server Configurar un servidor del Cisco IOS Easy VPN Configurar un Easy VPN Server en un Cisco PIX Firewall Tareas de la Interfaz de Red Configurar la activación basada en web Monitoreando y mantener la activación basada en web Usando el SDM como administrador de la red Troubleshooting de la Conexión VPN Localización de averías de una conexión VPN usando la característica del telecontrol del Cisco Easy VPN Localización de averías del modo de operación del cliente Localización de averías de la administración remota Localización de averías del Dead Peer Detection Ejemplos de Configuración de Cisco Easy VPN Remote Ejemplos de Configuración de Easy VPN Remote Configuración del Modo Cliente: Ejemplos Soporte de Dirección Local para Easy VPN Remote: Ejemplo: Configuración del Modo de Ampliación de Red: Ejemplos Configuración de Guardado de Contraseña: Ejemplo: PFS Support: Ejemplos Dial Backup: Ejemplos Activación Basada en Web: Ejemplo: Configuración de Easy VPN Remote con Soporte de Interfaz IPSec Virtual: Ejemplos Configuración de Túnel Doble: Ejemplo: Salida de Visualización del Túnel Dual: Ejemplos Peer Primario Reactivo: Ejemplo: Configuración del Soporte de Direccionamiento Idéntico: Ejemplo: ctcp on an Easy VPN Client (Dispositivo Remoto): Ejemplos Ejemplos de Configuración de Easy VPN Server Easy VPN Server de Cisco sin Tunelización Dividida: Ejemplo: Configuración de Easy VPN Server de Cisco con Tunelización Dividida: Ejemplo: Configuración Sencilla de un servidor VPN Cisco con Xauth: Ejemplo: Soporte de Interoperabilidad de Easy VPN Server: Ejemplo: Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica Información sobre la Función Easy VPN Remote Glosario Cisco Easy VPN Remote Primera publicación: De noviembre el 25 de 2002 Última actualización: De abril el 06 de 2011 Este documento proporciona la información sobre configurar y monitorear la característica remota del Cisco Easy VPN para crear los túneles del Red privada virtual (VPN) del IPSec entre un router soportado y un Easy VPN Server (Cisco IOS router, concentrador VPN 3000, o Cisco PIX Firewall) ese soporta esta forma de encripción de IPSec y de desciframiento. Para las ventajas de esta característica, vea las ventajas de la sección de la característica del telecontrol del Cisco Easy VPN.

3 Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea información de la característica para la sección del Easy VPN Remote. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere. Contenido Prerrequisitos de Cisco Easy VPN Remote Restricciones de Cisco Easy VPN Remote Información sobre Cisco Easy VPN Remote Cómo Configurar Cisco Easy VPN Remote Ejemplos de Configuración de Cisco Easy VPN Remote Referencias adicionales Información sobre la Función Easy VPN Remote Información sobre la Función Easy VPN Remote Glosario Prerrequisitos de Cisco Easy VPN Remote Característica del telecontrol del Cisco Easy VPN Un Cisco IOS Release 12.2(15)T del Cisco 800 Series Router, un 12.3(2)T, un 12.3(4)T, un 12.3(7)T, o un 12.3(7)XR2 corriente configurado como telecontrol del Cisco Easy VPN. Un Cisco IOS Release 12.2(15)T del Cisco 1700 Series Router, un 12.3(2)T, un 12.3(4)T, un 12.3(7)T, o un 12.3(7)XR corriente, configurado como telecontrol del Cisco Easy VPN. Un Cisco IOS Release 12.3(8)YI corriente del router de la Configuración fija de las Cisco 1800 Series. Un Cisco ubr905 o un Cisco IOS Release 12.2(15)T corriente Cisco ubr925 cable access router, configurado como telecontrol del Cisco Easy VPN. Otro router Cisco o concentrador VPN que soporta la característica del servidor del Cisco Easy VPN y que se configuran como servidor del Cisco IOS Easy VPN. Vea que requirió la sección de los servidores VPN fáciles para una lista detallada. Reactive la característica del peer primario Una configuración VNP remota sencilla existente se puede aumentar para acomodar la característica del peer primario de la reactivación usando peer el comando (y default la palabra clave) y idle-time el comando. Después del túnel entre el Easy VPN Remote y un par del nondefault está trabajando, el peer primario de la reactivación que las características toman el efecto, es decir, el Easy VPN Remote intenta periódicamente marcar la Conectividad con el peer primario. Cualquier momento el Easy VPN Remote detecta que el link está trabajando, el Easy VPN Remote derriba la conexión existente y trae para arriba el túnel con el peer primario. Restricciones de Cisco Easy VPN Remote Servidores VPN fáciles requeridos La característica remota del Cisco Easy VPN requiere que el peer de destino sea un servidor o un concentrador VPN del Cisco IOS Easy VPN que soportan la característica del servidor del Cisco Easy VPN. A la hora de la publicación, los servidores o los concentradores que soportan esta característica incluyen las Plataformas siguientes al ejecutar las versiones de software indicadas: Cisco 806, Cisco 826, Cisco 827, Cisco 828, Cisco 831, Cisco 836, y Cisco 837 Router versión del Cisco IOS Release 12.2(8)T o Posterior. No soportan a los Cisco 800 Series Router en el Cisco IOS Release 12.3(7)XR, sino que los soportan en el Cisco IOS Release 12.3(7)XR2. Cisco 870 Series Cisco IOS Release 12.3(8)YI1. Cisco 1700 Series Versión del Cisco IOS Release 12.2(8)T o Posterior. Router de la Configuración fija de las Cisco 1800 Series Cisco IOS Release 12.3(8)YI. Cisco 1812 Router Cisco IOS Release 12.3(8)YH. Cisco 2600 Series Versión del Cisco IOS Release 12.2(8)T o Posterior. Cisco 3620 Versión del Cisco IOS Release 12.2(8)T o Posterior. Cisco 3640 Versión del Cisco IOS Release 12.2(8)T o Posterior. Cisco 3660 Versión del Cisco IOS Release 12.2(8)T o Posterior. Routers Cisco VPN de la serie 7100 Versión del Cisco IOS Release 12.2(8)T o Posterior. Cisco 7200 Series Router Versión del Cisco IOS Release 12.2(8)T o Posterior. Cisco 7500 Series Router Versión del Cisco IOS Release 12.2(8)T o Posterior.

4 Series del Cisco PIX 500 Versión del Software Release 6.2 o Posterior. Cisco VPN 3000 Series Versión del Software Release 3.11 o Posterior. Solamente group2 de la política isakmp soportado en los servidores VPN fáciles El Unity Protocol soporta solamente las directivas del protocolo internet security association key management (ISAKMP) que utilizan la negociación del Internet Key Exchange (IKE) del group2 (1024-bit Diffie Hellman), así que el Easy VPN Server que es utilizado con la característica remota del Cisco Easy VPN se debe configurar para una política isakmp del group2. El Easy VPN Server no puede ser configurado para el group1 ISAKMP o agrupar 5 al ser utilizado con un cliente del Cisco Easy VPN. Transforme los conjuntos soportados Para asegurar una conexión del túnel seguro, la característica remota del Cisco Easy VPN no soporta transforma los conjuntos que proporcionan el cifrado sin la autenticación (ESP-DES y ESP-3DES) o transforma los conjuntos que proporcionan la autenticación sin el cifrado (el ESP-SHA-HMAC y ESP-NULL ESP-MD5-HMAC ESP-NULL). Observeel protocolo cliente del Cisco Unity no soporta la autenticación del Encabezado de autenticación, pero se soporta el protocolo encapsulation security (ESP). Respaldo de marcado para los telecontroles fáciles VPN El respaldo basado en el estado de línea no se soporta en esta característica. Soporte de la Interoperabilidad de la traducción de dirección de red La Interoperabilidad del Network Address Translation (NAT) no se soporta en el modo cliente con el Túnel dividido. Multicast y Static NAT El Multicast y el NAT estático se soportan solamente para los telecontroles fáciles VPN usando las interfaces del túnel virtuales dinámicas (DVTIs). Restricciones de la Interfaz IPSec Virtual Para que la característica virtual del soporte de la interfaz del IPSec trabaje, el soporte de las plantillas virtuales es necesario. Si usted está utilizando una interfaz del túnel virtual en el dispositivo del Easy VPN Remote, se recomienda que usted configura el servidor para una interfaz del túnel virtual. Dual Tunnel Support Las restricciones siguientes se aplican si usted está utilizando los túneles duales que comparten las interfaces interiores y exteriores comunes: Si se configuran los túneles duales, uno de los túneles debe tener un túnel dividido configurado en el servidor. La interceptación de la red se puede configurar para solamente una de los túneles. La interceptación de la red no se debe utilizar para el túnel de la Voz. La interceptación de la red no se puede utilizar para los Teléfonos IP hasta que el proxy de la autorización sea enterado de cómo desviar el teléfono del IP. Algunas características, tales como avanzar una configuración URL con un intercambio de la configuración del modo, se pueden utilizar solamente a través de un solo túnel. ctcp Support on Easy VPN Clients el ctcp escucha en solamente hasta 10 puertos. Si hay otras aplicaciones registradoas para el puerto en el cual se habilita el ctcp, esas aplicaciones no trabajarán. Modo del Cliente universal usando el DHCP La característica del Easy VPN Remote no soporta el modo del Cliente universal usando el DHCP. Activación accionada tráfico local Esta característica ayuda a configurar la conexión VPN fácil con el tráfico interesante localmente generado. Condiciones previas El VPN fácil se debe configurar adentro conecta el modo ACL. La característica del tráfico local será habilitada solamente cuando por lo menos un túnel inactivo del EasyVPN está adentro conecta el modo ACL. La característica del tráfico local será inhabilitada automáticamente para las condiciones siguientes: todos los túneles fáciles VPN adentro conectan el modo ACL son activos, y cuando ninguna de la configuración de cliente VPN está adentro conectan el modo ACL. ACL conectados en cascada Los ACL conectados en cascada se utilizan para agregar las nuevas redes en la lista fácil del interés VPN. Ningunas de las entradas en el ACL deben hacer juego la red de la interfaz interior. Si ocurre una coincidencia, el VPN fácil no puede crear las reglas NAT y, por lo tanto, los paquetes no serán traducidos por el VPN fácil. Información sobre Cisco Easy VPN Remote Beneficios de la Función Cisco Easy VPN Remote Descripción General de Cisco Easy VPN Remote

5 Modos de Funcionamiento Autenticación con el telecontrol del Cisco Easy VPN Opciones de Activación del Túnel Soporte de Failover sin Estado por Detección de Peer Muerto Funciones de Cisco Easy VPN Remote Easy VPN Server en un VPN 3000 series concentrator Beneficios de la Función Cisco Easy VPN Remote Permite la configuración dinámica de la directiva del usuario final, requiriendo menos configuración manual de los usuarios finales y de los técnicos de campo, así reduciendo los errores y otras llamadas de servicio. Permite que el proveedor cambie el equipo y las configuraciones de red según las necesidades, con poco o nada de reconfiguración del equipo del usuario final. Preve la Administración centralizada de la política de seguridad. Habilita los despliegues a gran escala con el aprovisionamiento rápido del usuario. Elimina la necesidad de los usuarios finales de comprar y de configurar los dispositivos VPN externos. Elimina la necesidad de los usuarios finales de instalar y de configurar el software cliente VPN fácil en sus PC. Descarga la creación y el mantenimiento de las conexiones VPN del PC al router. Reduce los problemas de interoperabilidad entre los diversos clientes VPN PC basados del software, las soluciones de VPN basado en hardware externas, y otras aplicaciones VPN. Configura un solo túnel IPsec sin importar el número de subredes múltiples se soporten que y los tamaños de la lista del fractura-incluido. Descripción General de Cisco Easy VPN Remote El Cable módems, Routers xdsl, y otras formas de acceso por banda ancha proporcionan las conexiones de alto rendimiento a Internet, solamente muchas aplicaciones también requiere la Seguridad de las conexiones VPN que realizan un nivel elevado de autenticación y que cifran los datos entre dos puntos finales específicos. Sin embargo, el establecimiento de una conexión VPN entre dos Routers puede ser complicado y requiere típicamente la coordinación aburrida entre los administradores de la red configurar los parámetros VPN del dos Routers. La característica alejada del Cisco Easy VPN elimina mucho de este trabajo aburrido implementando el protocolo cliente del Cisco Unity, que permite que la mayoría de los parámetros VPN sean definidos en un servidor del Cisco IOS Easy VPN. Este servidor puede ser un dispositivo VPN dedicado, tal como un concentrador del Cisco VPN 3000 o un Cisco PIX Firewall o un router del Cisco IOS que soporte el protocolo cliente del Cisco Unity. Después de que se haya configurado el servidor del Cisco Easy VPN, una conexión VPN se puede crear con la configuración mínima en un Easy VPN Remote, tal como un Cisco 800 Series Router o un Cisco 1700 Series Router. Cuando el Easy VPN Remote inicia la conexión del túnel VPN, el servidor del Cisco Easy VPN avanza las directivas del IPSec al Easy VPN Remote y crea la conexión del túnel correspondiente VPN. La característica remota del Cisco Easy VPN preve la Administración automática de los detalles siguientes: Parámetros de negociación del túnel, tales como direccionamientos, algoritmos, y curso de la vida. Estableciendo los túneles según los parámetros que fueron fijados. Automáticamente creando el NAT o Port Address Translation (PAT) y Listas de acceso asociadas que son necesarios, si ninguno. Los usuarios de autenticidad, es decir, asegurándose de que los usuarios son quién los dicen están por los nombres de usuario, los nombres del grupo, y las contraseñas. Manejo de las claves de seguridad para el cifrado y el desciframiento. Autenticando, cifrando, y datos que desencriptan a través del túnel. Modos de Funcionamiento Los soportes de característica remotos del Cisco Easy VPN tres modos de operación: cliente, extensión de la red, y extensión de la red más: Cliente Especifica ese NAT o PALMADITA se haga de modo que los PC y otros hosts en el extremo remoto del túnel VPN formen una red privada que no utilice ningunos IP Addresses en el espacio de IP Address del servidor de destino. Se ha hecho una mejora para asignar la dirección IP que se recibe vía la configuración de modo automáticamente a un Loopback Interface disponible. El Easy VPN Remote crean a las asociaciones de seguridad IPSec (SA) para esta dirección IP automáticamente. La dirección IP se suele utilizar para troubleshooting (usando ping, Telnet y Secure Shell). Extensión de la red Especifica que los PC y otros hosts en el extremo del cliente del túnel VPN deben ser dados los IP Addresses que son completamente routable y accesibles al lado de la red de destino sobre la red tunelizada de modo que formen una red lógica. La PALMADITA no se utiliza, que permite que el cliente PC y los hosts tengan el acceso directo a los PC y hosts en la red de destino. Extensión de la red más (modo red-más) Idéntico al modo de ampliación de la red con la capacidad adicional de poder pedir una dirección IP vía la configuración de modo y asignarla automáticamente a un Loopback Interface disponible. El SA de IPSec para esta dirección IP es creado automáticamente por el Easy VPN Remote. La dirección IP se suele utilizar para troubleshooting (usando ping, Telnet y Secure Shell).

6 Observe estas funciones se soporta solamente cuando el servidor del Cisco Easy VPN y el cliente del Cisco Easy VPN tienen el mismo tipo de configuración VPN fácil. Es decir ambos deben utilizar una configuración VPN fácil de la herencia, o ambos deben utilizar una configuración DVTI. Todos los modos de operación soportan también opcionalmente el Túnel dividido, que permite el acceso seguro a los recursos corporativos a través del túnel VPN mientras que también permite el acceso a internet a través de una conexión a un Proveedor de servicios de Internet (ISP) o a otro servicio de tal modo eliminación de la red corporativa de la trayectoria para el Acceso Web. Escenarios del modo cliente y del modo de ampliación de la red El cuadro 1 ilustra el modo de operación del cliente. En este ejemplo, el Cisco 831 Router proporciona el acceso a dos PC, que tienen IP Addresses en el espacio de la red privada de Estos PC conectan con la interfaz de Ethernet en el Cisco 831 Router, que también tiene una dirección IP en el espacio de la red privada de El Cisco 831 Router realiza la traducción NAT o de la PALMADITA sobre el túnel VPN de modo que los PC puedan acceder la red de destino. Cuadro 1 conexión remota del Cisco Easy VPN Observeel diagrama en el cuadro 1 podría también representar una conexión del Túnel dividido, en la cual el cliente los PC puede acceder a los recursos públicos en los Internetes globales sin incluir la red corporativa en la trayectoria para los recursos públicos. El cuadro 2 también ilustra el modo de operación del cliente, en el cual un concentrador VPN proporciona los puntos finales de destino a los clientes múltiples xdsl. En este ejemplo, los Cisco 800 Series Router proporcionan el acceso a los clientes múltiples de la Pequeña empresa, que utiliza los IP Addresses en el espacio de la red privada de Los Cisco 800 Series Router realizan la traducción NAT o de la PALMADITA sobre el túnel VPN de modo que los PC puedan acceder la red de destino. Cuadro 2 conexión remota del Cisco Easy VPN (usando un concentrador VPN) El cuadro 3 ilustra el modo de operación de la extensión de la red. En este ejemplo, el Cisco 831 Router y el Cisco 1700 Series Router ambos actúan como dispositivos remotos del Cisco Easy VPN, conectando con el Cisco VPN 3000 un concentrador. Los hosts del cliente se dan los IP Addresses que son completamente routable al lado de la red de destino sobre el túnel. Estos IP Addresses podrían estar en el espacio de la misma subred como la red de destino o en las subredes distintas, si se asume que los routeres de destino están configurados para rutear correctamente esos IP Addresses sobre el túnel. En este ejemplo, los PC y los hosts asociados al dos Routers tienen IP Addresses que está en el mismo espacio de la dirección

7 que la red para empresas del destino. Los PC conectan con la interfaz de Ethernet del Cisco 831 Router, que también tiene una dirección IP en el espacio de la dirección de la empresa. Este escenario proporciona una extensión inconsútil de la red remota. Cuadro 3 conexión de la extensión de la red del Cisco Easy VPN Autenticación con el telecontrol del Cisco Easy VPN Los soportes de característica remotos del Cisco Easy VPN un proceso de dos etapas para autenticar el router remoto al concentrador central. El primer paso es autenticación del nivel de grupo y es parte de la creación del canal de control. En esta primera fase, dos tipos de credenciales de autenticación pueden ser utilizados: claves o Certificados digitales del preshared. Los párrafos siguientes proporcionan los detalles sobre estas opciones. El segundo paso de la autenticación se llama autenticación ampliada o Xauth. En este paso, el lado remoto (en este caso el VPN Router fácil) somete un nombre de usuario y contraseña al router del sitio central. Este paso es el mismo proceso que el que ocurra cuando un usuario del cliente de software de Cisco VPN en un PC ingresa su nombre de usuario y contraseña para activar su túnel VPN. Al usar al router, la diferencia es que están autenticando al router sí mismo a la red, no un PC con el software de VPN Client de Cisco. El Xauth es un paso opcional (puede ser inhabilitado) pero se habilita normalmente para mejorar la Seguridad. Después de que el Xauth sea acertado y sube el túnel, todos los PC detrás del router del Easy VPN Remote tienen acceso al túnel. Si se habilita el Xauth, es dominante decidir a cómo entrar el nombre de usuario y contraseña. Hay dos opciones. La primera opción es salvar el nombre de usuario y contraseña del Xauth en el archivo de configuración del router. Esta opción se utiliza típicamente si comparten al router entre varios PC y la meta es guardar el túnel VPN para arriba todo el tiempo (véase la sección activación automática ) o tener el router automáticamente traer para arriba el túnel siempre que haya datos que se enviarán (véase la sección activación accionado por tráfico ). Un ejemplo de esta aplicación es una situación de la sucursal, en la cual los usuarios en la sucursal quisieran que el túnel VPN estuviera disponible siempre que tengan datos a enviar y no quieren tener que hacer cualquier cosa especial para activar el túnel VPN. Si los PC en la sucursal se deben autenticar individualmente en base del ID de cada usuario, la configuración correcta es poner el VPN Router fácil en el modo automático de la activación para guardar el túnel encima de todo el tiempo y para utilizar el Proxy de autenticación o el 802.1x del Cisco IOS para autenticar los PC individuales. Porque el túnel está siempre para arriba, el Proxy de autenticación o el 802.1x puede acceder las bases de datos de usuarios del sitio central tales como AAA/RADIUS para autenticar las peticiones de usuario individual mientras que son sometidos por los usuarios PC. (Vea las secciones de "Documentos relacionados" "Información General sobre IPsec y VPN" para ver una referencia de configuración del Servidor Alterno de Autenticación y "Autenticación 802.1x" para ver una referencia de configuración de la autenticación 802.1x.) La segunda opción para la entrada del nombre de usuario y contraseña del Xauth no es salvarlo en el router. En lugar, usuario de la PC quién está conectado con el router se presenta con un Web page especial que permita que el usuario ingrese manualmente el nombre de usuario y contraseña (véase la sección activación manual ). El router envía el nombre de usuario y contraseña al concentrador del sitio central, y si el nombre de usuario y contraseña está correcto, el túnel sube. La aplicación típica para esta configuración es una red del teletrabajador. El teletrabajador quiere controlar cuando el túnel es ascendente y tiene que ingresar sus credenciales de usuario personales (que podrían incluir las contraseñas de USO único) para activar el túnel. También, el administrador de la red puede querer los túneles del teletrabajador para arriba solamente cuando alguien los está utilizando para conservar los recursos en los concentradores centrales. (Véase la sección activación basada en web para más información sobre esta configuración.) El nombre de usuario y contraseña del Xauth se puede también ingresar manualmente del comando line interface(cli) del router. Este método no se recomienda para la mayoría de las situaciones porque el usuario debe primero iniciar sesión al router (y necesita una identificación del usuario en el router hacer tan). Sin embargo, puede ser útil para los administradores de la red durante el troubleshooting. Uso de las claves del preshared Usando las claves del preshared, cada par es consciente de la clave del otro par. Las claves del preshared se visualizan en las configuraciones corrientes, así que pueden ser consideradas por cualquier persona (designado claramente el formato). Cuando requieren a un tipo más seguro de autenticación, el software de Cisco también apoya otro tipo de clave del preshared: la clave cifrada del preshared. Usando una clave cifrada del preshared para la autenticación permite que usted salve con seguridad las contraseñas para texto sin formato en el formato del tipo 6 (cifrado) en el NVRAM. Una clave del preshared del grupo se puede preconfigurar en ambos pares del VPN-túnel. La forma encriptada de la palabra clave se puede considerar en la configuración corriente, pero la palabra clave real no es visible. (Para más información sobre las claves cifradas del preshared, vea la clave cifrada del preshared.) Uso de los Certificados digitales

8 Los Certificados digitales preven el soporte de las firmas del Rivest, del Shamir, y del Adelman (RSA) en los dispositivos del Easy VPN Remote. El soporte se proporciona a través de un certificado RSA que pueda ser con./desc. salvado el dispositivo remoto. Observeel descanso recomendado para el VPN fácil usando los Certificados digitales es 40 segundos. Para más información sobre los Certificados digitales, vea la guía de funciones del soporte de la firma RSA. del Easy VPN Remote, la versión 12.3(7)T1. Uso del Xauth El Xauth es un nivel adicional de autenticación que puede ser utilizado. El Xauth es aplicable cuando se utilizan las claves o los Certificados digitales del preshared del grupo. Las credenciales del Xauth se pueden ingresar usando un administrador de la interfaz Web, tal como (SDM) del Administrador de dispositivos de seguridad, o usar el CLI. (Véase red remota del Cisco Easy VPN de la sección la Managers.") La característica de la contraseña de la salvaguardia permite que el nombre de usuario y contraseña del Xauth sea guardado en la configuración VNP remota sencilla para no requerirle ingresar el nombre de usuario y contraseña manualmente. Las contraseñas de USO único (OTP) no son soportadas por la característica de la contraseña de la salvaguardia y deben ser ingresadas manualmente cuando se pide el Xauth. El Easy VPN Server se debe configurar permite las contraseñas guardadas. (Para más información sobre cómo configurar la característica de la contraseña de la salvaguardia, vea mensaje periódico del Dead Peer Detection de la sección el Option.") El Xauth es controlado por el Easy VPN Server. Cuando el servidor del Cisco IOS Easy VPN pide la autenticación Xauth, los siguientes mensajes se visualizan en la consola del router: EZVPN: Pending XAuth Request, Please enter the following command: crypto ipsec client ezvpn xauth Cuando usted ve este mensaje, usted puede proporcionar la identificación del usuario necesaria, la contraseña, y la otra información ingresando crypto ipsec client ezvpn connect el comando y respondiendo a los prompts que siguen. El descanso recomendado del Xauth es 50 segundos o menos. Observeel descanso para ingresar el nombre de usuario y contraseña es determinado por la configuración del servidor del Cisco IOS Easy VPN. Para los servidores que funcionan con el Cisco IOS Software, este valor de agotamiento del tiempo es especificado por crypto isakmp xauth timeout el comando. Activación basada en web La activación basada en web proporciona un método convivial para que un teletrabajador remoto autentique el túnel VPN entre su VPN Router fácil remoto y el router del sitio central. Esta característica permite que los administradores configuren sus LAN remotos de modo que el pedido de HTTP inicial que está viniendo del telecontrol un de los PC sea interceptado por el VPN Router fácil remoto. Las páginas de registro se devuelven al usuario, por el que el usuario pueda ingresar las credenciales para autenticar el túnel VPN. Después de que suba el túnel VPN, todos los usuarios detrás de este sitio remoto pueden acceder el LAN corporativo sin reprompted para el nombre de usuario y contraseña. Alternativamente, el usuario puede elegir desviar el túnel VPN y conectar solamente con Internet, en este caso una contraseña no se requiere. Una aplicación típica para la activación basada en web es un teletrabajador casero que trae para arriba el túnel fácil VPN solamente cuando él o ella necesita conectar con el LAN corporativo. Si el teletrabajador remoto no está presente, otros miembros del hogar (tales como un cónyuge o niños) pueden utilizar la opción de Internet solamente para hojear Internet sin activar el túnel VPN. El cuadro 4 muestra un escenario típico para la activación basada en web. Cuadro 4 escenario basado en web típico de la activación La notaque ingresa las credenciales del Xauth trae para arriba el túnel para todos los usuarios que estén detrás de este sitio remoto. Después de que el túnel esté para arriba, ninguna PC adicional que están detrás del sitio remoto no consiguen indicada para las credenciales del Xauth. La activación basada en web es una autenticación para traer para arriba el

9 túnel VPN para todo el telecontrol PC y no se puede considerar autenticación de usuario individual. La autenticación de usuario individual para el acceso del túnel VPN está disponible con el Proxy de autenticación del Cisco IOS o las características del 802.1x, que se pueden configurar en el VPN Router fácil remoto. (Vea las secciones de "Documentos relacionados" "Información General sobre IPsec y VPN" para ver una referencia de configuración del Servidor Alterno de Autenticación y "Autenticación 802.1x" para ver una referencia de configuración de la autenticación 802.1x.) Para configurar la activación basada en web, vea la sección el configurar de la activación basada en web. Las secciones siguientes muestran a diversas capturas de pantalla que un teletrabajador remoto ve cuando se gira la característica basada en web de la activación: Página porta de la activación basada en web Puente de la autenticación VPN Autenticación de túnel VPN Autenticación exitosa Desactivación Página porta de la activación basada en web El cuadro 5 es un ejemplo de una página porta de la activación basada en web. El usuario puede elegir conectar con el LAN corporativo haciendo clic ahora conecta o él o ella puede elegir conectar solamente con Internet haciendo clic Internet solamente. Observesi el usuario elige conectar solamente con Internet, una contraseña no se requiere. Cuadro 5 página porta Puente de la autenticación VPN El cuadro 6 es un ejemplo de una activación basada en web en la cual el usuario eligió conectar solamente con Internet haciendo clic la opción de Internet solamente. Esta opción es la más útil para los miembros del hogar que necesitan hojear Internet mientras que el teletrabajador remoto no está disponible autenticar el túnel VPN para el uso corporativo. Cuadro 6 página de puente de la autenticación VPN

10 Observesi la ventana basada en web de la activación se cierra equivocadamente, para conectar otra vez, un usuario debe seguir este proceso de dos pasos: 1. En un navegador, teclee e intente conectar con el URL. Ingresar este URL borra el estado de puente que fue creado para su IP Address (cuando el botón del Internet solamente fue presionado). Si usted consigue un mensaje que dice que no se encuentre ninguna tal página, no importa porque el único propósito de acceder el URL está borrar el estado de puente. 2. Después de que borre el estado de puente, usted pueda hojear a cualquier sitio externo. La página de la conexión y de puente aparece otra vez. Usted puede conectar al VPN presionando el botón connect. Autenticación de túnel VPN El cuadro 7 es un ejemplo de una activación basada en web en la cual el usuario eligió conectar con el LAN corporativo ingresando un nombre de usuario y contraseña. Después de que autentiquen al usuario con éxito, el túnel fácil VPN se trae para arriba para este sitio remoto. Si hay PC múltiples detrás de este sitio remoto, no se pedirá ningunos de los usuarios adicionales que están conectando con el LAN corporativo para las credenciales del Xauth porque el túnel está ya para arriba. Cuadro 7 autenticación de túnel VPN

11 Autenticación exitosa El cuadro 8 es un ejemplo de una activación exitosa. Si el usuario elige desactivar el túnel VPN, él o ella debe hacer clic el botón disconnect. Después de los tiempos de la asociación de seguridad IKE (SA) hacia fuera (el valor predeterminado es 24 horas), el teletrabajador alejado tiene que ingresar las credenciales del Xauth para traer para arriba el túnel. Cuadro 8 activación exitosa

12 Desactivación El cuadro 9 es un ejemplo de un túnel VPN que se ha desactivado con éxito. La página se cierra automáticamente en 5 segundos. Cuadro 9 túnel VPN desactivado con éxito

13 autenticación del 802.1x La característica de autenticación del 802.1x permite que usted combine la operación fácil del modo del cliente VPN con la autenticación del 802.1x en el Routers del Cisco IOS. Para más información sobre esta característica, vea la autenticación "802.1 en la sección referencias adicionales. Opciones de Activación del Túnel Hay tres opciones de la activación del túnel: Activación automática Activación manual activación Tráfico-accionada (no disponible en el Cisco IOS Release 12.3(11)T) El túnel conecta y las opciones de la desconexión están disponibles con el SDM. Activación automática El túnel del Cisco Easy VPN está conectado automáticamente cuando la característica remota del Cisco Easy VPN se configura en una interfaz. Si los tiempos del túnel hacia fuera o fallan, el túnel vuelve a conectar y revisa automáticamente indefinidamente. Para especificar el túnel automático controle en un dispositivo remoto del Cisco Easy VPN, usted necesita configurar crypto ipsec client ezvpn el comando y entonces connect auto el comando. Sin embargo, usted no necesita utilizar estos dos comandos cuando usted está creando una nueva configuración VNP remota sencilla porque el valor por defecto es automático. Para desconectar o reajustar un túnel particular, usted debe utilizar clear crypto ipsec client ezvpn el comando, o usted puede utilizar el SDM. Activación manual

14 El software alejado del Cisco Easy VPN implementa el control manual de los túneles del Cisco Easy VPN de modo que usted pueda establecer y terminar el túnel a pedido. Para especificar el túnel manual controle en un dispositivo remoto del Cisco Easy VPN, usted necesita entrar crypto ipsec client ezvpn el comando y entonces connect manual el comando. La configuración manual significa que el telecontrol del Cisco Easy VPN esperará un comando antes de intentar establecer la conexión remota del Cisco Easy VPN. Cuando los tiempos del túnel hacia fuera o fallan, las conexiones subsiguientes también tendrán que esperar el comando. Si la configuración es manual, el túnel está conectado solamente después que usted publica el comando crypto ipsec client ezvpn connect. Para desconectar o reajustar un túnel particular, usted debe utilizar clear crypto ipsec client ezvpn el comando, o usted puede utilizar el SDM. Vea configurando la sección del control manual del túnel para información específica sobre cómo configurar el control manual de un túnel. Activación Accionada por Tráfico Observeesta característica no está disponible en el Cisco IOS Release 12.3(11)T. La característica accionado por tráfico de la activación se recomienda para las aplicaciones VPN basadas en la transacción. También se recomienda para el uso con la característica fácil del Respaldo de marcado VPN para la configuración VPN fácil de reserva para activar el respaldo solamente cuando hay tráfico a enviar a través del túnel. Para utilizar el control del túnel de la lista de control de acceso (ACL), usted debe primero describir el tráfico que se considera interesante. Para más información sobre los ACL, refiera al capítulo de la descripción de la lista de IP Access de la guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos. Para configurar realmente un túnel accionado por ACL, utilice crypto ipsec client ezvpn el comando con connect acl el comando. Soporte de Failover sin Estado por Detección de Peer Muerto Dos opciones están disponibles para configurar el soporte apátrida de la Conmutación por falla del Dead Peer Detection: Configuración Local de la Lista del Servidor de Respaldo Configuración Automática de la Lista de Servidores de Respaldo Configuración Local de la Lista del Servidor de Respaldo La configuración local de la lista del servidor de backup permite que los usuarios ingresen las declaraciones del peer múltiple. Con esta característica configurada, si el cliente está conectando con un par y la negociación falla, el VPN fácil falla encima al par siguiente. Esta Conmutación por falla continúa a través de la lista de pares. Cuando alcanzan al par más reciente, el VPN fácil rueda encima al primer par. El IKE y el SA de IPSec al par anterior se borran. Las declaraciones del peer múltiple trabajan para los IP Addresses así como para los nombres de host. La determinación o unsetting de las sentencias de peer no afectará a la orden de las sentencias de peer. Para utilizar esta característica, utilice peer el comando después crypto ipsec client ezvpn del comando. Autoconfiguración de la lista del servidor de backup El Easy VPN Remote que se basa en el Cisco IOS Software puede tener hasta 10 servidores de backup configurados para la Redundancia. La característica del servidor de backup permite que el Easy VPN Server avance la lista del servidor de backup al Easy VPN Remote. La lista de reserva permite que el administrador controle los servidores de backup con los cuales un Easy VPN Remote específico conectará en caso del error, de las retransmisiones, o de los mensajes del Dead Peer Detection (DPD). Observeantes de que la característica del servidor de backup puede trabajar, la lista del servidor de backup tiene que ser configurada en el servidor. Cómo un servidor de backup funciona Si el telecontrol A va al servidor A y la conexión falla, el telecontrol A va al servidor B. Si el servidor B tiene una lista de reserva configurada, esa lista reemplazará la lista del servidor de backup del servidor A. Si la conexión al servidor B falla, el telecontrol A continuará a través de los servidores de backup se han configurado que. Observesi usted están en el modo automático y usted tiene un error, usted transición automáticamente del servidor A al servidor B. Sin embargo, si usted está en el modo manual, usted tiene que configurar la transición manualmente. Para configurar la transición manualmente, utilice crypto ipsec client ezvpn el comando con connect la palabra clave. No se requiere ninguna nueva configuración en el Easy VPN Remote para habilitar esta característica. Si usted quiere visualizar el servidor actual, usted puede utilizar show crypto ipsec client ezvpn el comando. Si usted quiere descubrir que el Easy VPN Server avanzaron los pares, usted puede utilizar el mismo comando.

15 Para resolver problemas esta característica, utilice debug crypto ipsec client ezvpn el comando. Si más información es necesaria para los propósitos de Troubleshooting, utilice debug crypto isakmp el comando. show crypto ipsec client ezvpn El comando se puede también utilizar para localizar averías. Funciones de Cisco Easy VPN Remote La característica remota del Cisco Easy VPN es una colección de características que mejora las capacidades de la característica remota del Cisco Easy VPN introducida en el Cisco IOS Release 12.2(4)YA. La característica remota del Cisco Easy VPN incluye el siguiente: Interfaz interior predeterminada Este soportes de característica la autoconfiguración de la interfaz interior fácil predeterminada VPN para los Cisco 800 Series Router. Interfaces interiores múltiples Esta característica permite que usted configure hasta ocho interfaces interiores en el telecontrol del Cisco Easy VPN. Interfaces exteriores múltiples Esta característica permite que usted configure hasta cuatro túneles exteriores para las interfaces exteriores. Soporte a VLAN Esta característica permite que los VLA N sean configurados como interfaces interiores fáciles válidas VPN. Soporte de la subred múltiple Esta característica permite que las subredes múltiples de la interfaz interior fácil VPN sean incluidas en el túnel fácil VPN. Soporte de la Interoperabilidad NAT Esta característica restablece automáticamente la configuración del NAT cuando el túnel del IPSec VPN es disconnected. Soporte de la dirección local La característica alejada del Cisco Easy VPN se aumenta para soportar un atributo adicional de la dirección local que especifique qué interfaz se utiliza para determinar el IP Address usado a la fuente el tráfico de túnel fácil VPN. Nombre de host del par Cuando definen a un par como nombre de host, se salva el nombre de host y la búsqueda del Sistema de nombres de dominio (DNS) se hace a la hora de la conexión del túnel. Soporte del servidor DNS del proxy Esta característica permite que usted configure al router en una configuración remota del Cisco Easy VPN para actuar como servidor DNS del proxy para los usuarios conectado por LAN. Soporte del Firewall Cisco IOS Configuraciones de este Firewall Cisco IOS de los soportes de característica en todas las Plataformas. El Easy VPN Remote y el servidor en lo mismo interconectan el Easy VPN Remote y el Easy VPN Server se soportan en la misma interfaz, que permite establecer un túnel a otro Easy VPN Server y terminar al cliente fácil del software VPN en la misma interfaz simultáneamente. El Easy VPN Remote y el sitio a localizar en lo mismo interconectan el Easy VPN Remote y el sitio a localizar (correspondencia de criptografía) se soportan en la misma interfaz, que permite establecer un túnel a otro Easy VPN Server y tener otro sitio a localizar en lo mismo para interconectar simultáneamente. Encargados remotos de la red del Cisco Easy VPN Los usuarios pueden manejar la característica remota del Cisco Easy VPN en los routeres de acceso del cable del Cisco ubr905 y del Cisco ubr925 usando una interfaz Web incorporada. Opción del mensaje periódico del Dead Peer Detection Esta característica permite que usted configure a su router para preguntar la vivacidad de su par IKE a intervalos regulares. Equilibrio de carga Si un dispositivo remoto no puede cargado y validar más tráfico, el VPN 3000 enviará un mensaje de la notificación que contenga una dirección IP que represente el nuevo servidor IKE con el cual el telecontrol debe conectar. Mejoras de administración Esta característica permite la administración remota del telecontrol VPN. Soporte PFS El atributo del modo de la configuración PFS es enviado por el servidor si es pedido por el dispositivo remoto VPN. Respaldo de marcado Esta característica permite que usted configure una conexión del túnel del Respaldo de marcado en su dispositivo remoto. Soporte virtual de la interfaz del IPSec Esta característica permite que usted envíe selectivamente el tráfico a diversos concentradores VPN fáciles así como a Internet (incluye una referencia a la característica virtual de la interfaz del túnel del IPSec.) Soporte dual del túnel Esta característica permite que usted configure los túneles fáciles múltiples VPN que comparten las interfaces interiores y exteriores comunes para conectar a dos pares con dos diversos servidores VPN simultáneamente. Banner El dispositivo remoto del EasyVPN puede descargar un banner que ha sido avanzado por el Easy VPN Server. El banner se puede utilizar para el Xauth y la activación basada en web. Se visualiza el banner cuando el túnel fácil VPN está encima de en la consola del Easy VPN Remote o como páginas HTML en el caso de activación basada en web. Las mejoras de la administración de la configuración (que avanzan una configuración URL con un intercambio de la configuración del modo) el dispositivo del Easy VPN Remote pueden descargar un URL que sea avanzado por el Easy VPN Server, permitiendo que el dispositivo del Easy VPN Remote descargue el contenido de la configuración y lo aplique a la configuración corriente. Reactive al peer primario Esta característica permite que usted señale a un peer primario. Cuando un dispositivo VPN fácil falla encima del peer primario a un backup peer y el peer primario está otra vez disponible, las conexiones con el backup peer se derriban y una conexión se hace con el peer primario. Soporte de dirección idéntico Esta característica integra el Network Address Translation (NAT) con el VPN fácil para

16 permitir los telecontroles con solapar el IP Addressing interno para conectar con el Easy VPN Server. encapsular el soporte del ctcp en el tráfico fácil VPN Cliente-cuando el ctcp se habilita en un dispositivo remoto (cliente) y el dispositivo de cabecera, IKE y ESP (protocolo 50) en el encabezado TCP para los Firewall entre el cliente y el permiso del dispositivo de cabecera este tráfico (que lo considera lo mismo que tráfico TCP). Interfaz interior predeterminada El Easy VPN Remote soporta la autoconfiguración de la interfaz interior fácil predeterminada VPN para los Cisco 800 Series Router. El interface ethernet 0 es la interfaz interior predeterminada. Si usted quiere inhabilitar la interfaz interior predeterminada y configurar otra interfaz interior en el Cisco 800 Series Router, usted debe configurar la otra interfaz interior primero y en seguida inhabilitar la interfaz interior predeterminada. Usted puede utilizar el siguiente comando de inhabilitar la interfaz interior predeterminada: no crypto ipsec client ezvpn name inside Si usted no configuró la otra interfaz interior primero antes de inhabilitar la interfaz interior predeterminada, usted recibirá un mensaje tal como el siguiente (véase las líneas tres y cuatro): Router(config)# interface ethernet0 Router(config-if)# no crypto ipsec client ezvpn hw-client inside Cannot remove the single inside interface unless one other inside interface is configured Interfaces interiores múltiples El soporte de la interfaz interior se aumenta en la característica remota del Cisco Easy VPN para soportar las interfaces interiores múltiples para todas las Plataformas. Las interfaces interiores se pueden configurar manualmente con el comando mejorado.: interface interface-name crypto ipsec client ezvpn name [outside inside] Se soportanlas interfaces interiores múltiples de la nota solamente cuando el servidor del Cisco Easy VPN y el cliente del Cisco Easy VPN tienen el mismo tipo de configuración VPN fácil. Es decir ambos deben utilizar una configuración VPN fácil de la herencia, o ambos deben utilizar una configuración DVTI. Vea configurando la sección de las interfaces interiores múltiples para la información sobre cómo configurar más de una interfaz interior. Las interfaces interiores múltiples ofrecen las capacidades siguientes: Hasta ocho interfaces interiores se soportan en el Routers de las Cisco 800 y Cisco 1700 Series. Por lo menos una interfaz interior se debe configurar para cada interfaz exterior; si no, la característica remota del Cisco Easy VPN no establece una conexión. Agregar una nueva interfaz interior o la eliminación de una interfaz interior existente reajusta automáticamente la conexión remota del Cisco Easy VPN (actualmente el túnel establecido). Usted debe volver a conectar manualmente un Túnel configurado, y si el Xauth es requerido por el servidor del Cisco Easy VPN, al usuario reprompted. Si usted ha fijado la configuración remota del Cisco Easy VPN para conectar automáticamente y no se requiere ningún Xauth, no se requiere ninguna entrada de usuario. Las interfaces interiores se configuran que o la configuración predeterminada se pueden mostrar usando show crypto ipsec client ezvpn el comando. Interfaces exteriores múltiples Los soportes de característica del Easy VPN Remote un túnel fácil VPN por la interfaz exterior. Usted puede configurar hasta cuatro túneles fáciles VPN por el router Cisco. Cada túnel fácil VPN puede tener interfaces interiores múltiples configuradas, pero no pueden solapar con otro túnel fácil VPN a menos que se configure el Respaldo de marcado. Para más información sobre el Respaldo de marcado, vea la sección Respaldo de marcado. Para configurar las interfaces exteriores múltiples, utilice crypto ipsec client ezvpn el comando y outside la palabra clave. Para desconectar o borrar un túnel específico, clear crypto ipsec client ezvpn el comando especifica el nombre de túnel del IPSec VPN. Si no hay nombre de túnel especificado, se borran todos los túneles existentes. Vea configurando la sección de las interfaces exteriores múltiples para más información sobre configurar más de una interfaz exterior.

17 Soporte a VLAN El soporte de la interfaz interior en los VLA N le deja tener soporte fácil válido de la interfaz interior VPN en un VLA N, que no era posible antes del Cisco IOS Release 12.3(7)XR. Con esta característica, los SA se pueden establecer en la conexión usando la dirección de subred del VLA N o la máscara como proxy de la fuente. Para el soporte de la interfaz interior en los VLA N a trabajar, usted debe definir cada VLA N como interfaz interior fácil VPN. Además, el SA de IPSec se debe establecer para cada interfaz interior de la misma manera que para otras interfaces interiores. Para más información sobre las interfaces interiores y exteriores, vea las secciones interfaces interiores múltiples y interfaces exteriores múltiples. El soporte de la interfaz interior en los VLA N se soporta solamente en los routeres Cisco que soportan los VLA N. Soporte de la subred múltiple Para las situaciones en las cuales usted tiene las subredes múltiples conectaron con una interfaz interior fácil VPN, usted pueden incluir opcionalmente estas subredes en el túnel fácil VPN. Primero, usted debe especificar las subredes que deben ser incluidas definiéndolas en un ACL. Para configurar un ACL, vea las listas de control de acceso, configurando en la sección de las referencias adicionales. Después, usted tiene que utilizar acl el comando después crypto ipsec client ezvpn del comando (global) de conectar su ACL a la configuración VPN fácil. El Easy VPN Remote creará automáticamente el SA de IPSec para cada subred que se defina en el ACL así como para las subredes que se definen en la interfaz interior fácil VPN. Las subredes múltiplesde la nota no se soportan en el modo cliente. Observeestas funciones se soporta solamente cuando el servidor del Cisco Easy VPN y el cliente del Cisco Easy VPN tienen el mismo tipo de configuración VPN fácil. Es decir ambos deben utilizar una configuración VPN fácil de la herencia, o ambos deben utilizar una configuración DVTI. Soporte de la Interoperabilidad NAT El telecontrol del Cisco Easy VPN soporta la Interoperabilidad con el NAT. Usted puede tener una configuración del NAT y una configuración remota del Cisco Easy VPN que coexistan. Cuando un túnel del IPSec VPN está abajo, la configuración del NAT trabaja. En la característica remota del Cisco Easy VPN, el router restablece automáticamente la configuración del NAT anterior cuando se derriba el túnel del IPSec VPN. Las Listas de acceso definidas por el usario no se perturban. Los usuarios pueden continuar accediendo las áreas del nontunnel de Internet cuando el túnel mide el tiempo hacia fuera o las desconexiones. La Interoperabilidadde la nota NAT no se soporta en el modo cliente con el Túnel dividido. Soporte de la dirección local La característica remota del Cisco Easy VPN se aumenta para soportar un atributo adicional de la dirección local. Este atributo especifica qué interfaz se utiliza para determinar el IP Address que se utiliza a la fuente el tráfico de túnel del Easy VPN Remote. Después de especificar la interfaz con local-address el comando, usted puede asignar manualmente un IP Address estático a la interfaz o utilizar cable-modem dhcp-proxy interface el comando de configurar automáticamente la interfaz especificada con un IP Address público. Vea configurando la sección del soporte del servidor DNS del proxy para la información de la configuración. El soporte de la dirección local está disponible para todas las Plataformas, pero es más aplicable a los routeres de acceso del cable del Cisco ubr905 y del Cisco ubr925 conjuntamente con cable-modem dhcp-proxy interface el comando. Típicamente, el Loopback Interface es la interfaz usada al tráfico de túnel de la fuente para los routeres de acceso del cable del Cisco ubr905 y del Cisco ubr925. En una red DOCSIS típica, los routeres de acceso del cable del Cisco ubr905 y del Cisco ubr925 se configuran normalmente con un IP Address privado en la interfaz del módem de cable. En la característica remota del Cisco Easy VPN inicial, requirieron a un IP Address público en la interfaz del módem de cable soportar el Easy VPN Remote. En la característica remota del Cisco Easy VPN, los proveedores de cable pueden utilizar la característica del proxy del DHCP del cable para obtener a un IP Address público y para asignarlo a la interfaz del módem de cable, que es generalmente el Loopback Interface. Para más información sobre cable-modem dhcp-proxy interfaceel comando, vea los comandos list principales en Observe cable-modem dhcp-proxy interface el comando se soporta solamente para los routeres de acceso del cable del Cisco ubr905 y del Cisco ubr925. Nombre de host del par

18 El par en una configuración remota del Cisco Easy VPN puede ser definido como una dirección IP o nombre de host. Típicamente, cuando definen a un par como nombre de host, una búsqueda de DNS se hace inmediatamente para conseguir una dirección IP. En la característica remota del Cisco Easy VPN, la operación del nombre de host del par se aumenta para soportar los cambios de la entrada DNS. La cadena de texto del nombre de host se salva para hacer la búsqueda de DNS a la hora de la conexión del túnel, no cuando definen al par como nombre de host. Vea configurando y asignando la sección de la configuración VNP remota sencilla para la información sobre habilitar las funciones del nombre de host del par. Soporte del servidor DNS del proxy Cuando el túnel fácil VPN está abajo, las direcciones de DNS del ISP o el proveedor de cable deben ser utilizados para resolver las peticiones DNS. Cuando la conexión WAN está para arriba, las direcciones de DNS de la empresa deben ser utilizadas. Como manera de implementar el uso de las direcciones de DNS del proveedor de cable cuando la conexión WAN está abajo, el router en una configuración remota del Cisco Easy VPN puede ser configurado para actuar como servidor DNS del proxy. El router, actuando como servidor DNS del proxy para los usuarios conectado por LAN, recibe las interrogaciones DNS de los usuarios locales en nombre del servidor DNS real. El servidor DHCP entonces puede enviar el direccionamiento LAN del router como la dirección IP del servidor DNS. Después de que suba la conexión WAN, el router adelante las interrogaciones DNS al servidor DNS real y oculta los expedientes de la interrogación DNS. Vea configurando la sección del soporte del servidor DNS del proxy para la información sobre habilitar las funciones del servidor DNS del proxy. Soporte del Firewall Cisco IOS La característica remota del Cisco Easy VPN trabaja conjuntamente con las configuraciones del Firewall Cisco IOS en todas las Plataformas. Easy VPN Remote y Servidor en la Misma Interfaz Esta característica permite el Easy VPN Remote y el Easy VPN Server que se soportará en lo mismo interconecta, haciéndolo posible a establezca un túnel a otro Easy VPN Server y termine al cliente fácil del software VPN en la misma interfaz simultáneamente. Una aplicación típica sería geográficamente un lugar remoto para el cual el Easy VPN Remote se está utilizando para conectar con un Easy VPN Server corporativo y también para terminar a los usuarios de cliente del software local. Para más información sobre el Easy VPN Remote y el servidor en lo mismo interconecte la característica, vea el Easy VPN Remote y el servidor en lo mismo interconectar en la sección referencias adicionales. Easy VPN Remote y Sitio a Sitio en la Misma Interfaz Esta característica permite que el Easy VPN Remote y el sitio localicen (correspondencia de criptografía) para ser soportados en lo mismo interfaz, haciéndola posible a ambos establezca un túnel a otro Easy VPN Server y tenga otro sitio a localizar en la misma interfaz simultáneamente. Una aplicación típica sería un proveedor de servicio de tercera persona VPN que está manejando un router remoto vía el túnel del sitio a localizar y está utilizando el Easy VPN Remote para conectar el sitio remoto con un Easy VPN Server corporativo. Para más información sobre el Easy VPN Remote y el sitio a localizar en lo mismo interconecte la característica, vea el Easy VPN Remote y el sitio para localizar en lo mismo la interfaz en la sección referencias adicionales. Encargados remotos de la red del Cisco Easy VPN Los encargados de la interfaz Web pueden ser utilizados para manejar la característica del telecontrol del Cisco Easy VPN. Un tal administrador de la interfaz Web es SDM, que se soporta en las Cisco 830 Series, las Cisco 1700 Series, las Cisco 2600 Series, las Cisco 3600 Series, y los Cisco 3700 Series Router. El SDM le permite para conectar o para desconectar el túnel y proporciona una interfaz Web para el Xauth. Para más información sobre el SDM, vea al administrador de dispositivo Security de Cisco. Un segundo administrador de la interfaz Web es la herramienta de la configuración de la red del router Cisco (CRWS), que se soporta en el Cisco 806 Router. El CRWS proporciona una interfaz Web similar como SDM. Utilizan a un tercer administrador de la interfaz Web, administrador remoto de la red del Cisco Easy VPN, para manejar la característica remota del Cisco Easy VPN para los routeres de acceso del cable del Cisco ubr905 y del Cisco ubr925. Usted no necesita el acceso al CLI manejar la conexión remota del Cisco Easy VPN. Los encargados de la interfaz Web permiten que usted haga el siguiente: Vea el estado actual del túnel del telecontrol del Cisco Easy VPN. Conecte un túnel que se configure para el control manual. Desconecte un túnel que se configure para el control manual o reajuste un túnel configurado para la conexión automática. Indiquese para la información del Xauth, si es necesario. Vea sección troubleshooting de la conexión VPN para más información sobre el administrador remoto de la red del Cisco Easy VPN. Dead Peer Detection Periodic Message Option La opción del mensaje periódico del Dead Peer Detection permite que usted configure a su router para preguntar la vivacidad de su par IKE a intervalos regulares. La ventaja de este enfoque sobre el enfoque predeterminado (detección de peer muerto bajo demanda) es una detección más temprana de peers muertos. Para más información sobre la opción del mensaje periódico del

19 Dead Peer Detection, vea el Dead Peer Detection en la sección referencias adicionales. Balance de carga Cuando el concentrador del Cisco VPN 3000 se configura para el Equilibrio de carga, el VPN 3000 validará una petición entrante IKE del telecontrol VPN en su dirección IP virtual. Si el dispositivo no puede cargado y validar más tráfico, el VPN 3000 enviará un mensaje de la notificación que contenga una dirección IP que represente el nuevo servidor IKE con el cual el telecontrol debe conectar. La vieja conexión será derribada y una nueva conexión será establecida al gateway de VPN reorientado. No hay configuración requerida para que el Equilibrio de carga ocurra. Si el gateway de VPN se configura para el Equilibrio de carga, y notifica el telecontrol VPN que está realizando el Equilibrio de carga, el telecontrol VPN tiene acceso a la característica del Equilibrio de carga. Para verificar si esté ocurriendo el Equilibrio de carga, utilice debug crypto isakmp debug crypto ipsec client ezvpn, y show crypto ipsec los comandos. Para resolver problemas el proceso del Equilibrio de carga, utilice show crypto ipsec el comando. Mejoras de la Administración Las mejoras de administración para los telecontroles fáciles VPN permiten la administración remota del telecontrol VPN. La característica preve el direccionamiento del IPv4 que se avanzará por el modo de configuración al telecontrol VPN. El direccionamiento del IPv4 se asigna al primer Loopback Interface disponible en el telecontrol VPN, y ninguna existencia los loopback estáticamente definidos no se reemplaza. En la desconexión, el direccionamiento y el Loopback Interface se quitan de la lista de interfaces activas. Después de que el telecontrol VPN esté conectado, el Loopback Interface debe ser accesible del extremo remoto del túnel. Todas las actividades de la PALMADITA serán traducidas a través de esta dirección IP de la interfaz. Si existe un loopback, y una dirección IP se asocia a ella y su estado es no asignado, la interfaz es un buen candidato a la administración de direcciones de la configuración de modo. Observedespués de que usted asigne un direccionamiento al Loopback Interface, si usted salva la configuración al NVRAM y reinicia el telecontrol VPN, la dirección de configuración se contenga permanentemente en la configuración. Si usted guardó la configuración al NVRAM y reinició el telecontrol VPN, usted debe ingresar al modo de configuración y quitar el IP Address del Loopback Interface manualmente. Usted puede utilizar show ip interface el comando con brief la palabra clave de verificar que se ha quitado un loopback. La salida de este show comando también visualiza la interfaz. Soporte PFS El atributo del modo de la configuración PFS es enviado por el servidor si es pedido por el dispositivo remoto VPN. Si cualquier conexión subsiguiente por el dispositivo remoto muestra que el PFS no es recibido por el telecontrol, el PFS no será enviado en las habitaciones de la oferta del IPSec. Observeal grupo PFS que será propuesto en las habitaciones de la oferta del IPSec es lo mismo que el grupo usado para el IKE. Usted puede utilizar show crypto ipsec client ezvpn el comando de visualizar al grupo PFS y de verificarlo que usted está utilizando el PFS. Dial Backup Observela característica del Respaldo de marcado no está disponible en el Cisco IOS Release 12.3(11)T. El Respaldo de marcado para los telecontroles fáciles VPN permite que usted configure una conexión del túnel del Respaldo de marcado en su dispositivo remoto. Se saca a colación la función de backup solamente cuando los datos reales tienen que ser enviados, eliminando la necesidad de la terminal de marcado manual o de los links ISDN costosos que deben ser establecidos y ser mantenidos incluso cuando no hay tráfico. El cuadro 10 ilustra un escenario fácil típico del telecontrol-con-dial-respaldo VPN. En este escenario, el dispositivo remoto del Cisco 1751 está intentando conectar con otro Cisco 1751 (que actúa como servidor). Hay un error en el túnel fácil primario VPN, y la conexión se rerrutea a través del túnel de reserva fácil VPN al servidor del Cisco Cuadro 10 Respaldo de marcado para el escenario de VPN fácil

20 Respaldo de marcado usando una solución del Marcado a pedido Static ruta IP que sigue el Cisco IOS Software del permiso para identificar cuando un túnel del Point-to-Point Protocol over Ethernet (PPPoE) o del IPSec VPN va abajo de e inicia una conexión del Marcado a pedido (DDR) a un destino preconfigurado de cualquier WAN o puerto LAN alternativo (por ejemplo, un T1, un ISDN, un análogo, o un puerto auxiliar). El error puede ser causado por varios eventos catastróficos (por ejemplo, por las fallas del circuito de Internet o el error del dispositivo de peer). La ruta remota tiene solamente una Static ruta a la red corporativa. La característica de estático-rutaseguimiento IP permite que un objeto sea seguido (usando una dirección IP o un nombre de host) usando el Internet Control Message Protocol (ICMP), el TCP, u otros protocolos, y instala o quita la Static ruta en base del estado del objeto seguido. Si la característica de seguimiento determina que la conectividad a Internet está perdida, la ruta predeterminado para la interfaz primaria se quita, y las Rutas estáticas flotantes para la Interfaz de respaldo se habilitan. Respaldo de marcado usando el Rastreo de objetos El seguimiento de la Static ruta IP se debe configurar para el Respaldo de marcado en un dispositivo del Easy VPN Remote para trabajar. La configuración del Rastreo de objetos es independiente de la configuración del Respaldo de marcado del Easy VPN Remote. (Para más información sobre el Rastreo de objetos, vea el respaldo guidereliable del Static Routing de la característica usando el Rastreo de objetos.) Configuración del soporte de Respaldo de marcado del Easy VPN Remote Usted puede configurar el Respaldo de marcado para su Easy VPN Remote usando dos opciones del Easy VPN Remote que permitan una conexión a la configuración VPN fácil de reserva y una conexión al Sistema de seguimiento. Para especificar la configuración VPN fácil que será activada cuando se acciona el respaldo, utilice backup el comando después crypto ipsec client ezvpn del comando (global). El dispositivo del Easy VPN Remote se registra al Sistema de seguimiento para conseguir las notificaciones para el cambio en el estado del objeto. Utilice track el comando de informar al proceso de seguimiento que el dispositivo del Easy VPN Remote está interesado en el seguimiento de un objeto, que es identificado por el número del objeto. El proceso de seguimiento, a su vez, informa al dispositivo del Easy VPN Remote cuando el estado de este objeto cambia. Esta notificación indica el dispositivo del Easy VPN Remote cuando el estado de este objeto cambia. Esta notificación indica al dispositivo del Easy VPN Remote que saque a colación la conexión de respaldo cuando el estado de objeto seguido está ABAJO. Cuando el objeto seguido está PARA ARRIBA otra vez, se derriba la conexión de respaldo y el dispositivo del Easy VPN Remote volverá a usar la conexión primaria. La notasolamente una configuración de respaldo se soporta para cada configuración VPN fácil primaria. Cada interfaz interior debe especificar la configuración VPN fácil primaria y de reserva. Entornos dinámicamente dirigidos Para permitir que el Respaldo de marcado sea desplegado en los entornos dinámicamente dirigidos, utilice la característica ruteado previamente de la sonda del eco ICMP IP SLA. (Para más información sobre esta característica, vea los Release Note para los Cisco 1700 Series Router para el Cisco IOS Release 12.3(7)XR. Para utilizar la característica ruteado previamente de la sonda del eco ICMP IP SLA, utilice icmp-echo el comando con source-interface la palabra clave. Ejemplos del Respaldo de marcado Por ejemplos de las configuraciones del Respaldo de marcado, vea Respaldo de marcado de la sección : Ejemplos. Soporte de Interfaz IPSec Virtual La característica virtual del soporte de la interfaz del IPSec proporciona una interfaz enrutable para enviar selectivamente el tráfico a diversos concentradores VPN fáciles así como a Internet. Antes de Cisco IOS Release 12.4(4)T, en transición de túnel ascendente/túnel descendente, los atributos avanzados durante la configuración de modo tenían que analizarse y aplicarse. Cuando dichos atributos tenían como resultado configuraciones que se estaban aplicando en la interfaz, la configuración existente tenía que reemplazarse. Con la característica virtual del soporte de la interfaz del IPSec, la configuración del túnel-para arriba se puede aplicar a las interfaces diferentes, haciéndola más fácil soportar las características diferentes en el tiempo del túnel-para arriba. Las funciones que se aplican al tráfico que entra en el túnel pueden ser independientes de las funciones que se aplican al tráfico que no pasa a través del túnel (por ejemplo, el tráfico de tunelización dividida y tráfico que sale del dispositivo cuando el túnel no está activo). Cuando la negociación Easy VPN es exitosa, el estado de Line Protocol de la interfaz de acceso virtual cambia a activo. Cuando va el túnel fácil VPN abajo porque la asociación de seguridad (SA) expira o se borra, el estado del Line Protocol de las interfaces de acceso virtual cambia a abajo. Las rutas actúan como selectores del tráfico en una interfaz virtual fácil VPN, es decir, las rutas substituyen la lista de acceso en