Easy VPN remota de Cisco

Transcripción

1 Easy VPN remota de Cisco Contenidos Easy VPN remota de Cisco Contenidos Requisitos previos para la Easy VPN remota de Cisco Restricciones para la Easy VPN remota de Cisco Información acerca de la Easy VPN remota de Cisco Ventajas de la función Easy VPN remota de Cisco Información general sobre la Easy VPN remota de Cisco Modos de funcionamiento Autenticación Opciones de activación del túnel Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos Funciones de la Easy VPN remota de Cisco Cómo configurar la Easy VPN remota de Cisco Tareas remotas Tareas del servidor Easy VPN Tareas de la interfaz web Resolución de problemas de la conexión VPN Ejemplos de configuración para la Easy VPN remota de Cisco Ejemplos de configuración de la Easy VPN remota Ejemplos de configuración del servidor Easy VPN Referencias adicionales Documentos relacionados Normas MIB RFC Asistencia técnica Referencia de comandos clear crypto ipsec client ezvpn crypto ipsec client ezvpn (global)

2 crypto ipsec client ezvpn (interfaz) crypto ipsec client ezvpn connect crypto ipsec client ezvpn xauth debug crypto ipsec client ezvpn debug ip auth-proxy ezvpn icmp-echo ip http ezvpn show crypto ipsec client ezvpn show tech-support type echo protocol ipicmpecho xauth userid mode Apéndice A: Atributos compatibles con la configuración de modos Glosario Easy VPN remota de Cisco Este documento proporciona información acerca de la configuración y supervisión de la función Easy VPN remota de Cisco para crear túneles con IPsec en la Red privada virtual (VPN) entre un router compatible y un servidor Easy VPN (un router de Cisco IOS, un concentrador VPN 3000 o el Firewall PIX de Cisco ) compatibles con este tipo de cifrado y descifrado IPsec. Para conocer las ventajas de esta función, consulte la sección " Beneficios de la función Easy VPN remota de Cisco". Historial de funciones de la Easy VPN remota de Cisco Versión 12.2(4)YA Modificación Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase I) en los routers 806, 826, 827 y 828 de Cisco, en los routers de la serie 1700 de Cisco ; y en los routers de Cisco de acceso por cable ubr905 y ubr (13)T Se integró la Easy VPN remota de Cisco en la versión 12.2(13)T de Cisco IOS. 12.2(8)YJ 12.2(15)T 12.3(2)T 12.3(4)T 12.3(7)T 12.3(7)XR Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase II) en los routers 806, 826, 827 y 828 de Cisco, en los routers de la serie 1700 de Cisco ; y en los routers de Cisco de acceso por cable ubr905 y ubr925. Se agregó la compatibilidad con la función Easy VPN remota de Cisco (Fase II) a la versión 12.2(15)T de Cisco IOS. Se agregó la compatibilidad con los routers de Cisco series 2600, 3600 y Se agregó la contraseña de 6 caracteres a la función de configuración del IOS. Se agregaron las funciones Guardar contraseña y Hacer copia de respaldo de múltiples pares. Se agregó la función de IPsec, opción de mensaje periódico para la detección de pares inactivos. Se introdujeron las siguientes funciones: detección de pares inactivos con migración tras error (failover) sin recuperación de información (Rastreo de objetos con Easy VPN): configuración local de la lista de servidores de respaldo y autoconfiguración de la lista de servidores de respaldo, mejoras en la administración, balance de carga, compatibilidad con VLAN, compatibilidad con múltiples subredes, activación por tráfico, confidencialidad directa perfecta (PFS) mediante "policy push", autenticación 802.1x, soporte de certificado (PKI), Easy VPN remota y Servidor en la misma interfaz, e Easy VPN remota y Sitio a Sitio en la misma interfaz. Nota Los routers de la serie 800 de Cisco no son compatibles con la versión 12.3(7)XR de Cisco IOS

3 . 12.3(7)XR2 12.3(8)YH 12.3(11)T 12.3(14)T 12.3(8)YI 12.3(8)YI1 12.2(4)T Nota Estas funciones sólo están disponibles en la versión 12.3(7)XR2 de Cisco. Se introdujeron las funciones de la versión 12.3(7)XR de Cisco IOS en los routers de la serie 800 de Cisco. Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en el router 1812 de Cisco. Excepto por las funciones respaldo de marcado y activación por tráfico, todas las funciones que se introdujeron en las versiones 12.3(7)XR y 12.3(7)XR2 de Cisco IOS se integraron en la versión 12.3(11)T de Cisco IOS. Se integraron las funciones respaldo de marcado y activación por tráfico en la versión 12.3(14)T de Cisco IOS. Además, en esta versión se introdujo la función activación basada en la Web. Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en los routers de configuración fija de la serie 1800 de Cisco. Se introdujeron las funciones respaldo de marcado, activación por tráfico y activación basada en la Web en los routers de las series 850 y 870 de Cisco. En esta versión se introdujeron las siguientes funciones: Compatibilidad con la interfaz virtual IPsec 12.4(4)T Carteles, actualizaciones automáticas y mejoras en los exploradores del proxy. En esta versión se introdujeron las siguientes funciones: Compatibilidad con el túnel doble Mejoras en la administración de configuración (Activación de un URL de configuración mediante un intercambio de configuración de modos) Reactivar par principal 12.2(33)SRA Se integró la Easy VPN remota de Cisco en la versión 12.2(33)SRA de Cisco IOS. Búsqueda de información acerca de las plataformas y las imágenes del software Cisco IOS compatibles Utilice Cisco Feature Navigator para buscar información acerca de las plataformas y las imágenes del software Cisco IOS compatibles. Acceda al Cisco Feature Navigator en Debe contar con una cuenta en Cisco.com. Si no tiene una cuenta o ha olvidado su nombre de usuario o contraseña, haga clic en Cancel (Cancelar) en el cuadro de diálogo y siga las instrucciones que aparecen. Contenidos Requisitos previos para la Easy VPN remota de Cisco Restricciones para la Easy VPN remota de Cisco Información acerca de la Easy VPN remota de Cisco Cómo configurar la Easy VPN remota de Cisco Ejemplos de configuración para la Easy VPN remota de Cisco Referencias adicionales Referencia de comandos Glosario Requisitos previos para la Easy VPN remota de Cisco Funciones de la Easy VPN remota de Cisco Un router de la serie 800 de Cisco que se ejecute con las versiones 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T de Cisco IOS o 12.3(7)XR2 configurada como una Easy VPN remota de Cisco.

4 Un router de la serie 1700 de Cisco que se ejecute con las versiones 12.2(15)T, 12.3(2)T, 12.3(4)T, 12.3(7)T de Cisco IOS o 12.3(7)XR configurada como una Easy VPN remota de Cisco. Un router de configuración fija de la serie 1800 de Cisco que se ejecute con la versión 12.3(8)YI de Cisco IOS. Un router de Cisco de acceso por cable ubr905 o ubr925 que se ejecute con la versión 12.2(15)T de Cisco IOS, configurada como una Easy VPN remota de Cisco. Otro router de Cisco o un concentrador VPN compatible con la función Servidor Easy VPN de Cisco configurada como un servidor Easy VPN de Cisco IOS. Consulte la sección "Servidores Easy VPN requeridos" para ver una lista detallada. Función reactivar par principal Una configuración de una Easy VPN remota existente puede mejorarse agregando la función Reactivar par principal mediante los comandos peer (y la palabra clave default) e idle-time. Después de establecer el túnel entre la Easy VPN remota y el par no predeterminado, la función Reactivar par principal comienza a funcionar, es decir, la Easy VPN remota intenta comprobar la conectividad con el par principal periódicamente. En cualquier momento que la Easy VPN remota detecte que el enlace está funcionando, la Easy VPN remota cierra la conexión existente y activa el túnel con el par principal. Restricciones para la Easy VPN remota de Cisco Servidores Easy VPN requeridos La función Easy VPN remota de Cisco requiere que el par de destino sea un servidor Easy VPN de Cisco IOS o un concentrador VPN compatible con la función Servidor Easy VPN de Cisco. En el momento de la publicación, los servidores y concentradores compatibles con esta función incluían las siguientes plataformas que se ejecutan con las versiones de software indicadas: Routers 806, 826, 827, 828, 831, 836 y 837 de Cisco: Cisco IOS versión 12.2(8)T o superior. Los routers de Cisco de la serie 800 no son compatibles con la versión 12.3(7)XR de Cisco IOS, pero sí son compatibles con la versión 12.3(7)XR2 de Cisco IOS. Series 850 y 870 de Cisco: Cisco IOS versión 12.3(8)YI1. Serie 1700 de Cisco: Cisco IOS versión 12.2(8)T o superior. Un router de configuración fija de la serie 1800 de Cisco: Cisco IOS versión 12.3(8)YI. Un router de la serie 1812 de Cisco: Cisco IOS versión 12.3(8)YH. Serie 2600 de Cisco: Cisco IOS versión 12.2(8)T o superior. Serie 3620 de Cisco: Cisco IOS versión 12.2(8)T o superior. Serie 3640 de Cisco: versión 12.2(8)T de Cisco IOS o superior. Serie 3660 de Cisco: Cisco IOS versión 12.2(8)T o superior. Routers VPN de la serie 7100 de Cisco: Cisco IOS versión 12.2(8)T o superior. Routers de la serie 7200 de Cisco: Cisco IOS versión 12.2(8)T o superior. Routers de la serie 7500 de Cisco: Cisco IOS versión 12.2(8)T o superior. PIX de la serie 500 de Cisco: Software versión 6.2 o superior. VPN de la serie 3000 de Cisco: Software versión 3.11 o superior. Sólo el grupo 2 de la política de ISAKMP es compatible con los servidores Easy VPN El protocolo de Unity sólo es compatible con las políticas de asociación de seguridad en Internet y el protocolo de administración de claves (ISAKMP) que usan las negociaciones de intercambio de claves de Internet grupo 2 (1024-bit Diffie-Hellman), por lo que el servidor Easy VPN que se utiliza con la función Easy VPN remota de Cisco debe estar configurado para una política de grupo 2 de ISAKMP. No se puede configurar el servidor Easy VPN para los grupos 1 o 5 de ISAKMP cuando se utiliza junto con un cliente Easy VPN de Cisco. Conjuntos de transformaciones compatibles Para garantizar una conexión por túnel segura, la función Easy VPN remota de Cisco no es compatible con los conjuntos de transformaciones que brindan cifrado sin autenticación (ESP-DES y ESP-3DES) o conjuntos de transformaciones que brindan autenticación sin cifrado (ESP-NULL ESP-SHA-HMAC y ESP-NULL ESP-MD5-HMAC).

5 Nota El Protocolo del cliente Cisco Unity no es compatible con el Encabezamiento de autenticación (AH), pero sí con el Protocolo de carga de seguridad de encapsulación (ESP). Respaldo de marcado para las Easy VPN remotas Esta función no es compatible con el respaldo basado en el estado de la línea. Compatibilidad con la interoperabilidad de la Traducción de direcciones de red La interoperabilidad de la Traducción de direcciones de red (NAT) no es compatible en modo cliente con la tunelización dividida. Restricciones en la interfaz virtual IPsec Para que la función de compatibilidad con la interfaz virtual IPsec funcione, es necesario que las plantillas virtuales sean compatibles. Si está utilizando una interfaz virtual de túnel en el dispositivo remoto Easy VPN, se recomienda que configure el servidor para una interfaz virtual de túnel. Compatibilidad con el túnel doble Las siguientes restricciones se aplican si utiliza túneles dobles que comparten interfaces internas y externas: Si los túneles dobles están configurados, uno de los túneles debe contar con un túnel dividido configurado. Sólo se puede configurar la interrupción de la Web en uno de los túneles. No se debe utilizar la interrupción de la Web para el túnel de voz. No se puede utilizar la interrupción de la Web para teléfonos IP hasta que el proxy de autorización sepa cómo desviar el teléfono IP. Algunas funciones, tales como Activación de un URL de configuración mediante un intercambio de configuración de modos, sólo pueden utilizarse mediante un único túnel. Información acerca de la Easy VPN remota de Cisco Para configurar las funciones de la Easy VPN remota de Cisco, debe comprender los siguientes conceptos: Ventajas de la función Easy VPN remota de Cisco Información general sobre la Easy VPN remota de Cisco Modos de funcionamiento Autenticación Opciones de activación del túnel Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos Funciones de la Easy VPN remota de Cisco Ventajas de la función Easy VPN remota de Cisco Permite la configuración dinámica de la política de usuario final, que requiere menos configuración manual por parte de los usuarios finales y técnicos de campo, lo que reduce los errores y las llamadas de servicio. Permite que el proveedor modifique las configuraciones del equipo y de la red según sea necesario, sin tener que volver a configurar el equipo del usuario final o haciéndole muy pocos cambios. Permite la administración de la política de seguridad centralizada. Permite la implementación a gran escala con un rápido abastecimiento del usuario.

6 Elimina la necesidad de que los usuarios finales compren y configuren dispositivos VPN externos. Elimina la necesidad de que los usuarios finales instalen y configuren el software del cliente Easy VPN en sus PC. Transfiere la creación y el mantenimiento de las conexiones VPN desde la PC al router. Reduce problemas de interoperabilidad entre los clientes VPN con distinto software basado en las PC, las soluciones VPN basadas en hardware externo y demás aplicaciones VPN. Configura un único túnel IPsec independientemente de la cantidad de subredes múltiples compatibles y del tamaño de la lista de los divididos. Información general sobre la Easy VPN remota de Cisco Los cables módem, los routers xdsl y demás accesos de banda ancha brindan conexiones de alto desempeño a Internet, pero muchas aplicaciones también requieren la seguridad de las conexiones VPN que ejercen un alto nivel de autenticación y cifran los datos entre dos puntos finales (endpoints) particulares. Sin embargo, el establecimiento de una conexión VPN entre dos routers puede ser complicada y generalmente requiere una tediosa coordinación entre los administradores de la red a fin de configurar los parámetros VPN de los dos routers. La función Easy VPN remota de Cisco elimina gran parte de esta tediosa tarea al implementar el Protocolo del cliente Cisco Unity, que permite que muchos parámetros VPN se definan en el servidor Easy VPN de Cisco IOS. Este servidor puede ser un dispositivo VPN dedicado, tal como el concentrador VPN 3000 de Cisco o el Firewall PIX de Cisco o un router de Cisco IOS que sea compatible con el Protocolo del cliente Cisco Unity. Después de haber configurado el servidor Easy VPN de Cisco, se puede crear una conexión VPN con una configuración mínima sobre una Easy VPN remota, tal como un router de la serie 800 de Cisco o uno de la serie Cuando la Easy VPN remota inicia la conexión con el túnel VPN, el servidor Easy VPN de Cisco implementa las políticas de IPsec a la Easy VPN remota y crea la conexión con el túnel VPN correspondiente. La función Easy VPN remota de Cisco brinda la administración automática de los siguientes detalles: Negociación de los parámetros del túnel, tales como las direcciones, los algoritmos y la vida útil. Establecimiento de los túneles de acuerdo con los parámetros configurados. Creación automática de la Traducción de direcciones de red (NAT) o de la Traducción de direcciones de puertos (PAT) y listas de accesos asociadas según sea necesario. Autenticación de usuarios, es decir, la comprobación de que los usuarios son quienes dicen ser mediante nombres de usuario, nombres de grupo y contraseñas. Administración de claves de seguridad para el cifrado y el descifrado. Autenticación, cifrado y descifrado de datos por medio del túnel. Modos de funcionamiento La función Easy VPN remota de Cisco es compatible con tres modos de funcionamiento: cliente, extensión de red y extensión de red plus: Cliente: especifica la realización de NAT o PAT para que las PC y los demás hosts en el extremo remoto del túnel VPN formen una red privada que no use ninguna dirección IP en el espacio de dirección IP del servidor de destino. Se ha implementado una mejora para que la dirección IP que se recibe vía configuración de modo sea asignada automáticamente a una interfaz de bucle de retorno disponible. Las asociaciones de seguridad IPsec (SA) para esta dirección IP se crean automáticamente mediante la Easy VPN remota. Generalmente, la dirección IP se utiliza para la resolución de problemas (mediante ping, Telnet y SSH). Extensión de red: especifica que las PC y demás hosts en el extremo del túnel VPN del cliente deben contar con direcciones IP totalmente enrutables y accesibles para la red de destino desde la red del túnel para formar una única red lógica. No se utiliza PAT, lo que permite que las PC de los clientes y los hosts tengan acceso directo a las PC y los hosts en la red de destino. Extensión de red plus (modo red plus): Igual al modo extensión de red con la capacidad adicional de poder solicitar una dirección IP mediante la configuración de modo y asignarla automáticamente a una interfaz de bucle de retorno disponible. Las asociaciones de seguridad IPsec (SA) para esta dirección IP se crean automáticamente mediante la Easy VPN remota. Generalmente, la dirección IP se utiliza para la resolución de problemas (mediante ping, Telnet y SSH). Todos los modos de funcionamiento también son compatibles con la tunelización dividida, lo que permite un acceso seguro a los recursos corporativos mediante el túnel VPN, mientras que también permite el acceso a Internet mediante una conexión con un

7 Proveedor de servicios de Internet (ISP) u otro servicio. De esta manera, se elimina la red corporativa de la ruta de acceso a la Web. Escenarios de los modos cliente y extensión de red La Figura 1 ilustra el modo de funcionamiento cliente. En este ejemplo, el router 831 de Cisco brinda acceso a dos PC, que tienen direcciones IP en el espacio de la red privada Estas PC se conectan con la interfaz Ethernet mediante el router 831 de Cisco, que también cuenta con una dirección IP en el espacio de la red privada El router 831 de Cisco realiza la traducción NAT o PAT en el túnel VPN para que las PC puedan acceder a la red de destino. Figura 1 Conexión con la Easy VPN remota de Cisco Nota El diagrama de la Figura 1 también podría representar una conexión de tunelización dividida, en la cual la PC del cliente puede acceder a los recursos públicos en Internet global sin incluir la red corporativa en la ruta para los recursos públicos. La Figura 2 también ilustra el modo de funcionamiento cliente, en el cual un concentrador VPN ofrece puntos finales (endpoints) de destino a múltiples clientes con xdsl. En este ejemplo, los routers de la serie 800 de Cisco brindan acceso a múltiples clientes de pequeñas empresas, cada uno de los cuales utiliza direcciones IP en el espacio de la red privada Los routers de la serie 800 de Cisco realizan la traducción NAT o PAT en el túnel VPN para que las PC puedan acceder a la red de destino. Figura 2 Conexión con la Easy VPN remota de Cisco (mediante un concentrador VPN) La Figura 3 ilustra el modo de funcionamiento extensión de red. En este ejemplo, el router 831 de Cisco y el router de la serie 1700 de Cisco actúan como dispositivos remotos Easy VPN de Cisco, que se conectan a un concentrador VPN 3000 de Cisco. Los hosts del cliente reciben direcciones IP totalmente enrutables para la red de destino desde el túnel. Estas direcciones IP pueden encontrarse tanto en el mismo espacio de subred de la red de destino como en subredes diferentes, asumiendo que los routers de destino están configurados adecuadamente para enrutar tales direcciones IP por el túnel. En este ejemplo, las PC y los hosts conectados a los dos routers tienen direcciones IP en el mismo espacio de la dirección de la red corporativa de destino. Las PC se conectan con la interfaz Ethernet del router 831 de Cisco, que también tiene una dirección IP en el

8 espacio de la dirección corporativa. Este escenario brinda una extensión perfecta de la red remota. Figura 3 Conexión de extensión de red Easy VPN de Cisco Autenticación La función Easy VPN remota de Cisco es compatible con un procedimiento de dos etapas para autenticar el router remoto ante el concentrador central. El primer paso es la Autenticación a nivel grupal que forma parte de la creación del canal de control. Es esta primera etapa, se pueden usar dos tipos de credenciales de autenticación: las llaves previamente compartidas o los certificados digitales. Los siguientes párrafos brindan más detalles acerca de estas opciones. El segundo paso para la autenticación se llama Autenticación ampliada o Xauth. En este paso, el lado remoto (en este caso el router Easy VPN) envía un nombre de usuario y una contraseña al router del sitio central. Este paso es igual al procedimiento realizado cuando un usuario del cliente de software Cisco VPN en una PC ingresa su nombre de usuario y contraseña para activar su túnel VPN. Cuando se utiliza un router, la diferencia es que se autentica el router mismo ante la red, y no una PC con el software del cliente VPN de Cisco. Xauth es un paso opcional (puede desactivarse) que generalmente se encuentra activado para mejorar la seguridad. Después de que se haya realizado la autenticación Xauth exitosamente y el túnel se haya activado, todas las PC con el router remoto Easy VPN tendrán acceso al túnel. Si Xauth está activado, es primordial decidir cómo ingresar el nombre de usuario y la contraseña. Hay dos opciones. La primera opción es almacenar el nombre de usuario y la contraseña de Xauth en el archivo de configuración del router. Esta opción se utiliza generalmente si varias PC comparten el mismo router y el objetivo es mantener el túnel VPN siempre activo (consulte la sección " Activación automática") o que el router active automáticamente el túnel cuando haya que enviar datos (consulte la sección " Activación por tráfico"). Un ejemplo de esta aplicación es una situación en una sucursal, en la cual los usuarios desean que el túnel VPN esté disponible siempre que necesiten enviar información y no desean tener que realizar ninguna acción especial para activar el túnel VPN. Si las PC de la sucursal requieren que cada usuario ingrese su ID para autenticarse de manera individual, se debe configurar el router Easy VPN en el modo Activación automática para mantener el túnel siempre activado y se debe usar el proxy de autenticación de Cisco IOS o el 802.1x para autenticar la PC individual. Dado que el túnel siempre está activo, el proxy de autenticación o el 802.1x pueden acceder a una base de datos de un usuario en un sitio central, tal como AAA/RADIUS, para autenticar las solicitudes de usuarios particulares a medida que éstas son enviadas por los usuarios de las PC. (Consulte las secciones " Documentos relacionados", "Información general sobre IPsec y VPN" para obtener referencias acerca de cómo configurar el proxy de autenticación y "autenticación 802.1x" para obtener referencias acerca de cómo configurar la autenticación 802.1x). La segunda opción para ingresar el nombre de usuario y la contraseña de Xauth es no almacenarlos en el router. En este caso, aparecerá una página web especial ante el usuario de la PC conectada con el router que le permitirá ingresar manualmente su nombre de usuario y su contraseña (consulte la sección " Activación manual"). El router envía el nombre de usuario y la contraseña al concentrador del sitio central y si el nombre de usuario y la contraseña son correctos, el túnel se activa. La aplicación típica para este tipo de configuración es una red de teletrabajadores. El teletrabajador desea controlar cuándo el túnel está activado y cuándo debe ingresar sus credenciales de usuario personales (que pueden incluir contraseñas de uso único) para activar el túnel. También es posible que el administrador de la red desee que los túneles de los teletrabajadores estén activados únicamente cuando alguien los está utilizando para conservar los recursos en los concentradores centrales. (Consulte la sección " Activación basada en la Web" para obtener detalles acerca de esta configuración). También se puede ingresar el nombre de usuario y la contraseña de Xauth manualmente desde la interfaz de línea de comandos (CLI) del router. No se recomienda este método en la mayoría de las situaciones debido a que el usuario debe conectarse primero con el router (y para ello necesita una ID de usuario en el router). Sin embargo, puede ser útil para los administradores de la red durante la resolución de problemas. Uso de llaves previamente compartidas Cuando se utilizan llaves previamente compartidas, cada par conoce la llave de otro par. Las llaves previamente compartidas se muestran en las configuraciones en ejecución para que todos puedan verlas (conocidas como formato claro). Cuando se requiere un tipo de autenticación más segura, el software de Cisco también es compatible con otro tipo de llave previamente compartida: la llave previamente compartida cifrada.

9 El uso de una llave previamente compartida para la autenticación le permite almacenar de manera segura contraseñas no cifradas con formato de 6 caracteres (cifrados) en NVRAM. Se puede configurar con anticipación una llave grupal previamente compartida en ambos pares de túneles VPN. La forma cifrada de la palabra clave puede verse en la configuración en ejecución, pero la palabra clave real no se ve. Para obtener más información acerca de las llaves cifradas previamente compartidas, consulte Llave cifrada previamente compartida). Uso de certificados digitales Los certificados digitales aseguran la compatibilidad con las firmas Rivest, Shamir y Adelman (RSA) en los dispositivos remotos de Easy VPN. Un certificado RSA, que se puede almacenar dentro o fuera del dispositivo remoto, mantiene la compatibilidad. Nota El tiempo de espera recomendado para la Easy VPN que utiliza certificados digitales es de 40 segundos. Para obtener más información acerca de los certificados digitales, consulte la guía de características Compatibilidad con la firma RSA de la Easy VPN remota, versión 12.3(7)T1. Uso de Xauth Xauth es un nivel adicional de autenticación que puede utilizarse. Xauth puede aplicarse junto con las llaves grupales previamente compartidas o los certificados digitales. Las credenciales de Xauth pueden ingresarse mediante un administrador de interfaz web, tal como el administrador de dispositivos de seguridad (SDM), o mediante la CLI. (Consulte la sección "Administradores web de la Easy VPN remota de Cisco"). La función guardar contraseña permite que el nombre de usuario y la contraseña de Xauth se guarden en la configuración de la Easy VPN remota para que no tenga que ingresar el nombre de usuario y la contraseña manualmente. Las contraseñas de uso único (OTP) no son compatibles con la función Guardar contraseña y se deben ingresar manualmente cuando se requiere Xauth. El servidor Easy VPN debe estar configurado en "Permitir contraseñas guardadas". (Para obtener más información acerca de cómo configurar la función Guardar contraseña, consulte la sección "Opción de mensaje periódico para la detección de pares inactivos"). Xauth está controlada por el servidor Easy VPN. Cuando el servidor Easy VPN de Cisco IOS solicita la autenticación Xauth, los siguientes mensajes aparecerán en la consola del router: EZVPN: Pending XAuth Request, Please enter the following command: crypto ipsec client ezvpn xauth Cuando vea este mensaje, podrá ingresar la ID de usuario, la contraseña y demás información necesaria ingresando el comando crypto ipsec client ezvpn connect y respondiendo a los mensajes que aparezcan. El tiempo de espera recomendado para Xauth es de 50 segundos o menos. Nota La configuración del servidor Easy VPN de Cisco IOS determina el tiempo de espera para ingresar el nombre de usuario y la contraseña. Para los servidores con el software Cisco IOS, este valor de tiempo de espera está especificado por el comando crypto isakmp xauth timeout. Activación basada en la Web La activación basada en la Web brinda a los teletrabajadores remotos un método fácil de autenticar el túnel VPN entre su router Easy VPN remoto y el router del sitio central. Esta función le permite a los administradores configurar sus LAN remotas para que la solicitud HTTP inicial proveniente de cualquier PC remota sea interceptada por el router remoto Easy VPN. El usuario se encontrará con una página de inicio de sesión donde deberá ingresar sus credenciales para autenticar el túnel VPN. Una vez que el túnel VPN es activado, todos los usuarios de este sitio remoto pueden acceder a la LAN corporativa sin que se les vuelva a solicitar el nombre de usuario y la contraseña. Por otro lado, el usuario puede optar por omitir el túnel VPN y conectarse únicamente a Internet, en cuyo caso no necesitará una contraseña. Un caso típico para la activación basada en la Web es el de un teletrabajador que desempeña sus tareas desde su hogar y activa el

10 túnel Easy VPN sólo cuando necesita conectarse a la LAN corporativa. Si el teletrabajador remoto no está presente, algún miembro del hogar (tal como el cónyuge o hijos) puede usar la opción Internet Only (Sólo Internet) para navegar por Internet sin tener que activar el túnel VPN. La Figura 4 muestra un escenario típico para la activación basada en la Web. Figura 4 Escenario típico de activación basada en la Web Nota El ingreso de las credenciales de Xauth activa el túnel para todos los usuarios de este sitio remoto. Una vez que el túnel es activado, a ninguna de las PC de este sitio remoto se le solicita las credenciales de Xauth. La activación basada en la Web es una autenticación que activa el túnel VPN para todas las PC remotas y no puede considerarse una autenticación de usuario individual. La autenticación de usuario individual para el acceso al túnel VPN está disponible con las funciones del proxy de autenticación de Cisco IOS o el 802.1x, que pueden configurarse en el router remoto Easy VPN. (Consulte las secciones " Documentos relacionados", "Información general sobre IPsec y VPN" para obtener referencias acerca de cómo configurar el proxy de autenticación y "autenticación 802.1x" para obtener referencias acerca de cómo configurar la autenticación 802.1x). Para configurar la activación basada en la Web, consulte la sección "Configuración de la activación basada en la Web". Las siguientes secciones muestran las diferentes capturas de pantalla que el teletrabajador remoto ve cuando la función activación basada en la Web está activada: Página principal de activación basada en la Web Omisión de la autenticación de VPN Autenticación del túnel VPN Autenticación exitosa Desactivación Página principal de activación basada en la Web La Figura 5 es un ejemplo de una página principal de activación basada en la Web. El usuario puede optar por conectarse a la LAN corporativa haciendo clic en Connect Now (Conectar ahora) o puede conectarse sólo a Internet haciendo clic en Internet Only (Sólo Internet). Nota Si el usuario opta por conectarse sólo a Internet, no se requiere una contraseña. Figura 5 Página principal

11 Omisión de la autenticación de VPN La Figura 6 es un ejemplo de una activación basada en la Web en la cual el usuario optó por conectarse sólo a Internet haciendo clic en la opción Internet Only. Esta opción es muy útil para los miembros del hogar que necesitan navegar por Internet cuando el teletrabajador remoto no se encuentra disponible para autenticar el túnel VPN para su uso corporativo. Figura 6 Página de omisión de la autenticación de VPN

12 Nota Si un usuario cierra la ventana de activación basada en la Web por error, puede volver a abrirla accediendo al router remoto (escribiendo Una vez que aparece la ventana de activación basada en la Web, se puede autenticar el túnel Easy VPN. Autenticación del túnel VPN La Figura 7 es un ejemplo de una activación basada en la Web, en la cual el usuario optó por conectarse a la LAN corporativa ingresando un nombre de usuario y una contraseña. Una vez que el usuario se autenticó con éxito, se activa el túnel Easy VPN para este sitio remoto. Si hay múltiples PC detrás de este sitio remoto, a ninguno de los demás usuarios que se conecten a la LAN corporativa se les solicitará las credenciales de Xauth ya que el túnel ya está activado. Figura 7 Autenticación del túnel VPN Autenticación exitosa La Figura 8 es un ejemplo de activación exitosa. Si el usuario opta por desactivar el túnel VPN, debe hacer clic en el botón Disconnect (Desconectar). Cuando finaliza el tiempo de espera de la asociación de seguridad (SA) IKE (el valor predeterminado es de 24 horas), el teletrabajador remoto debe ingresar sus credenciales de Xauth para activar el túnel. Figura 8 Activación exitosa

13 Desactivación La Figura 9 es un ejemplo de un túnel VPN que ha sido desactivado con éxito. La página se cierra automáticamente en 5 segundos. Figura 9 Desactivación exitosa del túnel VPN

14 Autenticación 802.1x La función autenticación 802.1x le permite combinar el modo de funcionamiento cliente del Easy VPN con la autenticación 802.1x en los routers de Cisco IOS. Para obtener más información acerca de esta función, consulte "Autenticación 802.1" en la sección "Referencias adicionales". Opciones de activación del túnel Hay tres opciones de activación del túnel: Activación automática Activación manual Activación por tráfico (no disponible en Cisco IOS versión 12.3(11)T) Las opciones de conexión y desconexión están disponibles con el Administrador de dispositivos de seguridad (SDM). Activación automática El túnel Easy VPN de Cisco se conecta automáticamente cuando la función Easy VPN remota de Cisco está configurada en la interfaz. Si el túnel expira o falla, se vuelve a conectar automáticamente e intenta indefinidamente. Para especificar el control automático del túnel en un dispositivo remoto Easy VPN de Cisco, debe configurar el comando crypto ipsec client ezvpn y luego el subcomando connect auto. No obstante, no es necesario usar estos dos comandos cuando se crea una nueva configuración de la Easy VPN remota ya que la opción predeterminada es "automática". Para desconectar o restablecer un túnel particular, debe usar el comando clear crypto ipsec client ezvpn o puede usar el SDM. Activación manual El software de Easy VPN remota de Cisco implementa el control manual de los túneles de la Easy VPN de Cisco para que pueda establecer y finalizar el túnel cuando lo desee. Para especificar el control manual del túnel en un dispositivo remoto Easy VPN de Cisco, debe ingresar el comando crypto ipsec client ezvpn y luego el comando connect manual. La configuración manual implica que la Easy VPN remota de Cisco esperará un comando antes de intentar establecer la conexión con la Easy VPN remota de Cisco. Cuando el túnel expira o falla, las conexiones siguientes también deberán esperar el comando. Si la configuración es manual, el túnel se conecta sólo si emite el comando crypto ipsec client ezvpn connect. Para desconectar o restablecer un túnel particular, debe usar el comando clear crypto ipsec client ezvpn o puede usar el SDM. Consulte la sección "Configuración del control manual del túnel" para obtener información específica acerca de cómo configurar el

15 control manual de un túnel. Activación por tráfico Nota Esta función no está disponible en la versión 12.3(11)T de Cisco IOS. Se recomienda la función activación por tráfico para las aplicaciones de la VPN basadas en transacciones. También se recomienda su utilización con la función respaldo de marcado de la Easy VPN para la configuración de respaldo de la Easy VPN para que el respaldo se active sólo cuando hay tráfico para enviar por el túnel. Para utilizar el control del túnel mediante la Lista de control de acceso (ACL), primero debe describir el tráfico que considera "interesante". Para obtener más información acerca de las ACL, consulte el capítulo " Listas de control de acceso: información general y pautas" en la sección "Filtración de tráfico y firewalls" de la Guía de configuración de seguridad de Cisco IOS, versión Para configurar un túnel activado por ACL, utilice el comando crypto ipsec client ezvpn con el subcomando connect acl. Compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos Hay dos opciones disponibles para configurar la compatibilidad con la función migración tras error (failover) sin recuperación de información tras detección de pares inactivos: Configuración local de la lista de servidores de respaldo Autoconfiguración de la lista de servidores de respaldo Configuración local de la lista de servidores de respaldo La configuración local de la lista de servidores de respaldo permite a los usuarios ingresar múltiples instrucciones de pares. Con esta función configurada, si el cliente se está conectando a un par y la negociación falla, la Easy VPN conmuta al siguiente par. Esta migración tras error continúa con toda la lista de pares. Cuando llega al último par, la Easy VPN vuelve al primer par. Se eliminan las SA IPsec e IKE al par anterior. Múltiples instrucciones de pares funcionan tanto para las direcciones IP como para los nombres de los hosts. Configurar o desconfigurar las instrucciones de pares no afectará el orden de las instrucciones de pares. Para utilizar esta función, utilice el subcomando peer del comando crypto ipsec client ezvpn. Autoconfiguración de la lista de servidores de respaldo Una Easy VPN remota basada en el software Cisco IOS puede tener hasta 10 servidores de respaldo para redundancia. La función servidor de respaldo permite al servidor Easy VPN "activar" la lista de servidores de respaldo en la Easy VPN remota. La lista de respaldo le permite al administrador controlar los servidores de respaldo con los cuales se conectará una Easy VPN remota específica en caso de falla, retransmisiones o mensajes de detección de pares inactivos (DPD). Nota Antes de que la función servidor de respaldo pueda utilizarse, se debe configurar la lista de servidores de respaldo en el servidor. Cómo funciona un servidor de respaldo Si A remota se conecta con el servidor A y la conexión falla, A remota se conecta con el servidor B. Si el servidor B tiene configurada una lista de respaldo, esa lista cancelará la lista de servidores de respaldo del servidor A. Si la conexión con el servidor B falla, la A remota continuará con los demás servidores de respaldo que hayan sido configurados. Nota Si está en modo automático y ocurre una falla, habrá una transición automática del servidor A al B. No obstante, si está en modo manual, deberá configurar la transición manualmente. Para configurar la transición manualmente, utilice el comando crypto ipsec client ezvpn con la palabra clave connect.

16 No se requiere ninguna configuración nueva en la Easy VPN remota para activar esta función. Si desea ver el servidor actual, puede utilizar el comando show crypto ipsec client ezvpn. Si desea saber cuáles fueron los pares que el servidor Easy VPN activó, puede utilizar el mismo comando. Para resolver los problemas de esta función, utilice el comando debug crypto ipsec client ezvpn. Si necesita más información para resolver problemas, utilice el comando debug crypto isakmp. El comando show crypto ipsec client ezvpn también puede utilizarse para la resolución de problemas. Funciones de la Easy VPN remota de Cisco La función Easy VPN remota de Cisco es una colección de funciones que mejora las capacidades de la función Easy VPN remota de Cisco introducida en Cisco IOS versión 12.2(4)YA. La función Easy VPN remota de Cisco incluye lo siguiente: Interfaz interna predeterminada: esta función es compatible con la autoconfiguración de la interfaz interna predeterminada de la Easy VPN para los routers de la serie 800 de Cisco. Múltiples interfaces internas: esta función permite configurar hasta ocho interfaces en la Easy VPN remota de Cisco. Múltiples interfaces externas: esta función permite configurar hasta cuatro túneles externos para interfaces externas. Compatibilidad con VLAN: esta función permite configurar VLAN como interfaces internas de Easy VPN válidas. Compatibilidad con múltiples subredes: esta función permite incluir múltiples subredes de la interfaz interna de Easy VPN en el túnel Easy VPN. Compatibilidad con la interoperabilidad NAT: esta función restablece automáticamente la configuración NAT cuando el túnel VPN con IPsec se desconecta. Compatibilidad con dirección local: la función mejorada Easy VPN remota de Cisco es compatible con un atributo de dirección local adicional que especifica qué interfaz se utiliza para determinar la dirección IP desde la cual se origina el tráfico del túnel Easy VPN. Nombre del par host: cuando se define un par como un nombre de host, el nombre del host se almacena y la búsqueda del sistema de nombres de dominio (DNS) se realiza en el momento de la conexión con el túnel. Compatibilidad con servidores proxy DNS: esta función permite configurar el router en una configuración de la Easy VPN remota de Cisco para que actúe como un servidor proxy DNS para los usuarios conectados mediante LAN. Compatibilidad con el firewall de Cisco IOS: esta función es compatible con las configuraciones de los firewall de Cisco IOS en todas las plataformas. Easy VPN remota y Servidor en la misma interfaz: la Easy VPN remota y el servidor Easy VPN son compatibles con la misma interfaz, lo que permite establecer un túnel con otro Servidor Easy VPN y terminar el cliente del software Easy VPN en la misma interfaz simultáneamente. Easy VPN remota y Sitio a Sitio en la misma interfaz: la Easy VPN remota y sitio a sitio (criptografía) son compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y tener otra conexión entre sedes en la misma interfaz simultáneamente. Administradores web de la Easy VPN remota de Cisco: los usuarios pueden administrar la función Easy VPN remota de Cisco en los routers de Cisco de acceso por cable ubr905 y ubr925 mediante una interfaz web incorporada. Opción de mensaje periódico para la detección de pares inactivos: esta función permite configurar el router para consultar la actividad de su par IKE en intervalos regulares. Balance de carga: si un dispositivo remoto está cargado y no puede aceptar más tráfico, la VPN 3000 enviará una notificación con una dirección IP que representa el servidor IKE con el cual se debe conectar el dispositivo remoto. Mejoras en la administración: esta función permite la administración remota de la VPN remota. Compatibilidad con PFS: el servidor envía el atributo del modo de configuración PFS si el dispositivo remoto VPN lo requiere. Respaldo de marcado: esta función permite configurar una conexión de túnel con respaldo de marcado en su dispositivo remoto. Compatibilidad con la interfaz virtual: esta función permite enviar tráfico de manera selectiva a diferentes concentradores Easy VPN y a Internet (incluye una referencia a la función interfaz virtual del túnel IPsec).

17 Compatibilidad con el túnel doble: esta función permite configurar múltiples túneles Easy VPN que comparten interfaces internas y externas para que conecten dos pares con dos servidores VPN diferentes simultáneamente. Cartel: el dispositivo remoto Easy VPN puede descargar un cartel activado por el servidor Easy VPN. El cartel puede utilizarse para la activación Xauth y la activación basada en la Web. El cartel aparece cuando el túnel Easy VPN está activado en la consola de la Easy VPN remota o como una página HTML en el caso de una activación basada en la Web. Mejoras en la administración de configuración (Activación de un URL de configuración mediante un intercambio de configuración de modos): el dispositivo remoto Easy VPN puede descargar un URL activado por el servidor Easy VPN, y permitir que el dispositivo remoto Easy VPN descargue información relacionada con la configuración y la aplique a la configuración en ejecución. Reactivar par principal: esta función permite designar un par principal. Cuando se produce una conmutación por error en el dispositivo Easy VPN del par principal a un par de respaldo y el par principal está nuevamente disponible, se interrumpe la conexión con el par de respaldo y se vuelve a establecer la conexión con el par principal. Interfaz interna predeterminada Easy VPN remota es compatible con la autoconfiguración de la interfaz interna predeterminada de la Easy VPN para los routers de la serie 800 de Cisco. La interfaz Ethernet 0 es la interfaz interna predeterminada. Si desea desactivar la interfaz interna predeterminada y configurar otra interfaz interna en el router de la serie 800 de Cisco, primero debe configurar la otra interfaz interna y luego desactivar la interfaz interna predeterminada. Puede utilizar el siguiente comando para desactivar la interfaz interna predeterminada: no crypto ipsec client ezvpn <name> inside Si no configura la otra interfaz interna primero, antes de desactivar la interfaz interna predeterminada, recibirá un mensaje como el siguiente (vea las líneas tres y cuatro): Router (config)# interface ethernet0 Router (config-if)# no crypto ipsec client ezvpn hw-client inside Cannot remove the single inside interface unless one other inside interface is configured Múltiples interfaces internas En la función Easy VPN remota de Cisco, la compatibilidad con la interfaz interna ha sido mejorada para que pueda funcionar con múltiples interfaces internas para todas las plataformas. Las interfaces internas pueden configurarse manualmente con los comandos y subcomandos mejorados: interface interface-name crypto ipsec client ezvpn name [outside inside] Consulte la sección "Configuración de múltiples interfaces internas" para obtener información acerca de cómo configurar más de una interfaz interna. Las múltiples interfaces internas ofrecen las siguientes capacidades: Los routers 800 y 1700 de Cisco son compatibles con hasta ocho interfaces internas. Se debe configurar al menos una interfaz interna por cada interfaz externa; de lo contrario, la función Easy VPN remota de Cisco no establecerá una conexión. Cuando se agrega una nueva interfaz interna o se elimina una interfaz interna existente, la conexión de Easy VPN remota de Cisco se restablece automáticamente (el túnel actualmente establecido). Debe volver a conectarse con un túnel configurado manualmente, y si el servidor Easy VPN de Cisco requiere una autenticación Xauth, se la solicitará al usuario nuevamente. Si ha configurado la Easy VPN remota de Cisco para que se conecte automáticamente y no se requiere Xauth, no será necesario ingresar

18 ninguna información del usuario. Puede ver las interfaces internas configuradas o la configuración predeterminada mediante el comando show crypto ipsec client ezvpn. Múltiples interfaces externas La función Easy VPN remota es compatible con un túnel Easy VPN por interfaz externa. Puede configurar hasta cuatro túneles Easy VPN por cada router de Cisco. Cada túnel Easy VPN puede contar con múltiples interfaces internas configuradas, pero no pueden superponerse con otro túnel Easy VPN a menos que el respaldo de marcado esté configurado. Para obtener más información acerca del respaldo de marcado, consulte la sección "Respaldo de marcado". Para configurar múltiples interfaces externas, utilice el comando crypto ipsec client ezvpn y la palabra clave outside. Para desconectar o despejar un túnel en particular, el comando clear crypto ipsec client ezvpn especifica el nombre del túnel VPN con IPsec. Si no hay ningún nombre de túnel específico, se despejan todos los túneles existentes. Consulte la sección "Configuración de múltiples interfaces externas" para obtener más información acerca de cómo configurar más de una interfaz externa. Compatibilidad con VLAN La compatibilidad de las VLAN con las interfaces internas, hace posible conseguir una interfaz interna de Easy VPN válida en una VLAN, lo que no era posible antes de Cisco IOS versión 12.3(7)XR. Con esta función, se pueden establecer asociaciones de seguridad (SA) en la conexión usando una dirección de subred VLAN o enmascarándose como un proxy de origen. Para que la interfaz interna sea compatible con VLAN, debe definir cada VLAN como una interfaz interna de Easy VPN. Además, se deben establecer las SA IPsec para cada interfaz interna de la misma manera que para otras interfaces internas. Para obtener más información acerca de las interfaces internas y externas, consulte las secciones "Múltiples interfaces internas" y " Múltiples interfaces externas". Sólo los routers de Cisco compatibles con VLAN admiten interfaces internas compatibles con VLAN. Compatibilidad con múltiples subredes En caso de tener múltiples subredes conectadas con una interfaz interna de Easy VPN, puede incluir, si lo desea, estas subredes al túnel Easy VPN. Primero, debe especificar las subredes que desea incluir definiéndolas en una ACL. Para configurar una ACL, consulte "Configuración de listas de control de acceso" en la sección " Referencias adicionales". Luego, debe usar el subcomando acl del comando crypto ipsec client ezvpn (global) para vincular su ACL con la configuración de la Easy VPN. La Easy VPN remota creará automáticamente las SA IPsec para cada subred definida en la ACL, así como para las subredes definidas en las interfaces internas de la Easy VPN. Nota No se admite la compatibilidad con múltiples subredes en modo cliente. Compatibilidad con la interoperabilidad NAT La Easy VPN remota de Cisco es compatible con la interoperabilidad NAT. Las configuraciones de la Easy VPN remota de Cisco y NAT pueden coexistir. Cuando el túnel VPN con IPsec se desconecta, la configuración NAT funciona. En la función Easy VPN remota de Cisco, cuando se interrumpe el túnel VPN con IPsec, el router restablece automáticamente la configuración NAT previa. Las listas de acceso definidas por el usuario no se modifican. Los usuarios pueden seguir accediendo a las áreas fuera del túnel de Internet cuando el túnel expira o se desconecta. Nota La interoperabilidad NAT no es compatible en modo cliente con la tunelización dividida. Compatibilidad con direcciones locales La función mejorada Easy VPN remota de Cisco es compatible con un atributo de dirección local adicional. Este atributo especifica qué interfaz se utiliza para determinar la dirección IP desde la cual se origina el tráfico del túnel de la Easy VPN remota. Después de

19 especificar la interfaz con el subcomando local-address, puede asignar una dirección IP estática a la interfaz manualmente o usar el comando cable-modem dhcp-proxy interface para configurar automáticamente la interfaz especificada con una dirección IP pública. Consulte la sección "Configuración de la compatibilidad con servidores proxy DNS" para obtener información acerca de la configuración. La compatibilidad con direcciones locales está disponible para todas las plataformas, pero se aplica mejor a los routers de acceso por cable ubr905 y ubr925 de Cisco, junto con el comando cable-modem dhcp-proxy interface. Por lo general, la interfaz de bucle de retorno es la interfaz desde la cual se origina el tráfico del túnel para los routers de Cisco de acceso por cable ubr905 y ubr925. En una red DOCSIS típica, los routers de acceso por cable ubr905 y ubr925 de Cisco están configurados con una dirección IP privada en la interfaz de cable módem. En la función inicial Easy VPN remota de Cisco, se necesitaba una dirección IP pública en la interfaz de cable módem para lograr la compatibilidad con la Easy VPN remota. En la función Easy VPN remota de Cisco, los proveedores de cable pueden utilizar la función Cable DHCP Proxy para obtener una dirección IP pública y asignarla a la interfaz de cable módem, que es, por lo general, la interfaz de bucle de retorno. Para obtener más información acerca del comando cable-modem dhcp-proxy interface, consulte el capítulo "Comandos para CPE de cable" en la Guía de referencia para los comandos de cable de banda ancha de Cisco. Nota El comando cable-modem dhcp-proxy interface sólo es compatible con los routers de Cisco de acceso por cable ubr905 y ubr925. Nombre del par host Se puede definir a la configuración del par de la Easy VPN remota de Cisco como una dirección IP o un nombre de host. Por lo general, cuando se define un par como un nombre de host, se realiza una búsqueda en el DNS para obtener una dirección IP. En la función Easy VPN remota de Cisco, se mejora la operación del nombre del par host para que sea compatible con los cambios de entrada en el DNS. La cadena de texto del nombre del host se almacena para que la búsqueda en el DNS se realice cuando se conecta el túnel, y no cuando el par se define como un nombre de host. Consulte la sección "Configuración y asignación de la configuración de la Easy VPN remota" para obtener información acerca de la activación de la funcionalidad del nombre del par host. Compatibilidad con servidores proxy DNS Cuando el túnel Easy VPN no funciona, se deben utilizar las direcciones DNS del proveedor de servicios de Internet (ISP) o de cable para resolver las solicitudes de DNS. Cuando la conexión WAN está en funcionamiento, se deben utilizar las direcciones DNS de la empresa. Para implementar el uso de direcciones DNS del proveedor de cable cuando la conexión WAN no funciona, se puede configurar el router en una configuración de la Easy VPN remota de Cisco para que actúe como un servidor proxy DNS. El router, que actúa como un servidor proxy DNS para los usuarios conectados mediante LAN, recibe consultas DNS de usuarios locales en lugar del servidor DNS real. El servidor DHCP puede enviar la dirección LAN del router como la dirección IP del servidor DNS. Una vez que la conexión WAN funciona, el router reenvía las consultas DNS al servidor DNS real y almacena en la memoria caché los registros de las consultas DNS. Consulte la sección " Configuración de la compatibilidad con servidores proxy DNS" para obtener información acerca de la activación de la funcionalidad del servidor proxy DNS. Compatibilidad con el firewall de Cisco IOS La función Easy VPN remota opera en conjunto con las configuraciones del firewall de Cisco IOS en todas las plataformas. La Easy VPN remota y el Servidor en la misma interfaz Esta función permite que la Easy VPN remota y el servidor Easy VPN sean compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y terminar el cliente del software Easy VPN en la misma interfaz simultáneamente. Una aplicación típica sería el caso de una Easy VPN remota que se utiliza en una ubicación geográfica remota para lograr la conexión con un servidor Easy VPN corporativo y para terminar los usuarios clientes de software local. Para obtener más información acerca de la Easy VPN remota y el Servidor en la misma interfaz, consulte "Easy VPN remota y Servidor en la misma interfaz" en la sección "Referencias adicionales". Easy VPN remota y Sitio a Sitio en la misma interfaz

20 Esta función permite que la Easy VPN remota y sitio a sitio (criptografía) sean compatibles con la misma interfaz, lo que permite establecer un túnel con otro servidor Easy VPN y tener otra conexión entre sedes en la misma interfaz simultáneamente. Una aplicación típica sería el caso de un tercer proveedor de servicios VPN que administra un router remoto mediante un túnel sitio a sitio y la Easy VPN remota para conectar la sede remota con un servidor Easy VPN corporativo. Para obtener más información acerca de la Easy VPN remota y Sitio a Sitio en la misma interfaz, consulte "Easy VPN remota y Sitio a Sitio en la misma interfaz" en la sección "Referencias adicionales". Administradores web de la Easy VPN remota de Cisco Se pueden utilizar administradores de interfaces web para administrar la función Easy VPN remota de Cisco. Uno de esos administradores de interfaces web es el SDM, que es compatible con los routers de las series 830, 1700, 2600, 3600 y 3700 de Cisco. El SDM permite conectar y desconectar el túnel y brinda una interfaz web para Xauth. Para obtener más información acerca del SDM, consulte Administrador de dispositivos de seguridad de Cisco. Otro administrador de interfaces web es la herramienta de configuración web del router de Cisco (CRWS), que es compatible con el router 806 de Cisco. La CRWS brinda una interfaz web similar a la del SDM. Además, el Administrador web de la Easy VPN remota de Cisco es otro administrador de interfaces web que se utiliza para administrar la función Easy VPN remota de Cisco para los routers de Cisco de acceso por cable ubr905 y ubr925. No es necesario acceder a la CLI para administrar la conexión de la Easy VPN remota de Cisco. Los administradores de interfaces web le permiten hacer lo siguiente: Ver el estado actual del túnel de la Easy VPN remota de Cisco. Conectar un túnel que esté configurado para control manual. Desconectar un túnel configurado para ser controlado manualmente o restablecer un túnel configurado para conectarse automáticamente. Recibir mensajes que le soliciten información para Xauth, si es necesario. Consulte la sección "Resolución de problemas de la conexión VPN" para obtener más información acerca del Administrador web de la Easy VPN remota de Cisco. Opción de mensaje periódico para la detección de pares inactivos La opción de mensaje periódico para la detección de pares inactivos permite configurar el router para consultar la actividad de su par IKE en intervalos regulares. El beneficio de este enfoque sobre el enfoque predeterminado (detección a pedido de pares inactivos) es la detección temprana de pares inactivos. Para obtener información acerca de la opción de mensaje periódico para la detección de pares inactivos, consulte "Detección de pares inactivos" en la sección " Referencias adicionales". Balance de carga Cuando el concentrador VPN 3000 de Cisco está configurado para balance de carga, la VPN 3000 aceptará una solicitud IKE entrante de la VPN remota en su dirección IP virtual. Si el dispositivo está cargado y no puede aceptar más tráfico, la VPN 3000 enviará una notificación con una dirección IP que representa el servidor IKE nuevo con el que se debe conectar el dispositivo remoto. La vieja conexión se interrumpirá y se establecerá una nueva conexión con la puerta de enlace VPN redirigida. Para que el balance de carga tenga lugar no se requiere ninguna configuración. Si la puerta de enlace VPN está configurada para el balance de carga y notifica a la VPN remota que está realizando un balance de carga, la VPN remota tiene acceso a la función balance de carga. Para verificar el balance de carga, utilice los comandos debug crypto isakmp, debug crypto ipsec client ezvpn y show crypto ipsec. Para la resolución de problemas durante el proceso de balance de carga, utilice el comando show crypto ipsec. Mejoras en la administración Las mejoras en la administración para las Easy VPN remotas permiten la administración remota de la VPN remota. La función permite que la dirección IPv4 sea activada mediante el modo configuración en la VPN remota. La dirección IPv4 se asigna a la primera interfaz de bucle de retorno disponible en la VPN remota, y los bucles de retorno ya definidos de manera estática no se anulan. Cuando está desconectado, se eliminan la dirección y la interfaz de bucle de retorno de la lista de interfaces activas. Una vez que la VPN remota está conectada, debería poder acceder a la interfaz de bucle de retorno desde el extremo remoto del túnel. Todas las actividades de PAT se traducirán por medio de la interfaz de esta dirección IP. Si ya hay un bucle de retorno y una dirección IP asociada con él cuyo estado es "no asignada", la interfaz es candidata para la administración de dirección del modo configuración.