Handson Cisco IOS
VPN
HandsOn Cisco IOS VPN
Academia Cisco ISEP
IPSec VPN
A utilização generalizada das VPN’s deve-‐se à necessidade de garantir segurança em comunicações tendencialmente inseguras.
O IPSec tem a responsabilidade de garantir os seguintes pontos fulcrais para atingir os objectivos propostos para as VPN’s:
• Autenticação – garantia de que os intervenientes são quem realmente dizem ser. • Integridade – (hash) garantia de que o que foi enviado não foi de qualquer forma
alterado no processo de transporte entre o emissor e o receptor. • Confidencialidade – (encriptação) garantia que de o conteúdo da mensagem não pode
ser observado por elementos externos a comunicação.
Assim como o TCP/IP é constituído por um conjunto de protocolos também o IPSec é composto por um grupo de protocolos que se encontram descritos na figura seguinte:
IPSec
IKE: Internet Key Exchange
Segurança
Encriptação Integridade Protecção
Protocolo de Negociação
AH / ESP / ESP + AH
DES3DESAES
MD5SHA-1
DH 1DH 2DH 5DH 7
Internet Key Exchange (IKE) – é responsável por negociar os diferentes parâmetros que irão ser utilizados para estabelecer a ligação entre os dois intervenientes. Caso algum dos intervenientes não concorde com os parâmetros impostos pelo outro, a ligação VPN não se realizará.
Authentication Header (AH) – fornece integridade, autenticação e não repúdio nas comunicações TCP/IP.
Encapsulation Security Paylod (ESP) – fornece confidencialidade, autenticação e integridade das comunicações TCP/IP.
HandsOn Cisco IOS VPN
Academia Cisco ISEP
O IPSec pode ser implementados de duas formas distintas:
• Modo Transporte
DATA ESP IP L2
VPN VPN
VPN
Encriptado
Encriptado
Clear Text
Clear Text
No modo de transporte a segurança apenas é aplicada à informação contida nos pacotes deixando o cabeçalho com os endereços inalterados.
• Modo Túnel
DATA IP ESP IP L2
Encriptado Clear Text
Encriptado Clear Text
VPN
No modo túnel o endereço IP interno e a informação são transformados e é colocado um novo endereço (público) que será utilizado para encaminhar a informação até ao destino, ficando para além da informação também o esquema de endereçamento interno protegido.
A autenticação nas VPN pode ser efectuada das seguintes formas:
• Acesso remoto: o Username/Password ou dados biométricos -‐ que serão autenticados num
servidor interno (RADIUS – Remote Authentication Dial In User Service) ou numa base de dados local.
o One time password – geridas automaticamente por um servidor interno e por dispositivos na posse dos utilizadores remotos que geram passwords momentâneas que apenas podem ser utilizadas uma vez.
• Site-‐to-‐Site: o Pre-‐shared Keys -‐ devem ser introduzidas em todos os dispositivos com os
quais se deseje estabelecer uma VPN.
HandsOn Cisco IOS VPN
Academia Cisco ISEP
o Certificados Digitais – são autenticados numa CA que confirma a sua validade assim como trata da emissão de novos certificados.
Remote VPN Connection
Site-to-Site VPN Connection
Username / PasswordBiometric
One Time PasswordTokens
Pre-Shared Keys Certificates
A Encriptação pode ser realizada com recurso a dois tipos de chaves de encriptação:
• Simétrica (Shared Key) – a chave que é utilizada para encriptar é a mesma que é usada para desencriptar. Logo é mais eficaz mas menos seguro.
• Assimétrica (Publica/Privada) – é usada uma chave para encriptar e outra para desencriptar. Logo é mais seguro mas menos eficaz a nível de processamento.
O que normalmente é utilizado é um conjunto das duas formas (Diffie-‐Hellman) para obter maior segurança e ao mesmo tempo obter melhore performance. Assim através de uma chave assimétrica (1024 – 15360 bit) é trocada uma chave simétrica (64-‐256 bit) que será utilizada nessa sessão.
Local A
Diffie-HellmanPrivada A
Shared-Key A
Diffie-HellmanPública A
Local B
Diffie-HellmanPrivada B
Shared-Key B
Diffie-HellmanPública B
Cada localização possui uma chave pública e uma privada que serão utilizadas para que possam trocar em segurança a chave simétrica partilhada. A chave pública é conhecida por
HandsOn Cisco IOS VPN
Academia Cisco ISEP
todos e apenas serve para encriptar informação que só poderá ser desencriptada pela chave privada.
Local A
Diffie-HellmanPrivada A
Shared-Key A
Diffie-HellmanPública B
Diffie-HellmanPrivada B
Shared-Key B
Diffie-HellmanPública A
Desta forma as chaves públicas são trocadas entre os intervenientes que as usarão para encriptar as suas chaves partilhadas antes de as enviar sobre o meio partilhado, logo inseguro.
Local A
Diffie-HellmanPrivada A
Shared-Key B
Diffie-HellmanPública B
Diffie-HellmanPrivada B
Shared-Key A
Diffie-HellmanPública A
As chaves partilhadas serão utilizadas na sessão de VPN. Apenas podem ser desencriptadas pelas chaves privada de cada interveniente, chave essa que apenas é conhecida por ele, tornando desta forma totalmente segura a comunicação.
Algoritmos de Chaves Simétricas:
• DES (Data Encryption Standard) chave de 56 bit • 3DES (Triple Data Encrytpion Standard) aplicação de 3 chaves de 56 bit (168 bit) • AES (Advanced Encryption Standard) algoritmo mais eficiente com chaves de 128, 192
ou 256 bit
Algoritmos de Chaves Assimétricas:
• RSA (Rivest-‐Shamir-‐Adleman) algoritmo poderoso capaz de criar chaves públicas com 1024 bit ou ainda maiores.
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Para garantir a Integridade dos dados temos dois algoritmos o SHA-‐1 (Secure Hash Algorithm 160 bit) e o MD5 (Message Digest Algorithm 5 – 128 bit) que têm como função garantir que a informação não foi adulterada em trânsito.
DATA
SHA-1/MD5
DATA HASH
SHA-1/MD5
DATA HASH
DATA HASH DATA HASH
Internet Key Exchange (IKE)
Depois de se falar nos diversos componentes necessário para poder estabelecer uma conexão VPN (Autenticação, Encriptação e Integridade), deve-‐se prestar especial atenção ao modo como estes parâmetros são negociados entre os intervenientes, pois é nesta fase que podem ocorrer erros e na qual o troubleshooting é mais frequente.
IKE Fase 1
Mensagem 1: Troca e negociação de políticas de segurança
O router que inicia a ligação VPN envia uma lista de políticas contendo vários grupos de possíveis alternativas. Dentro desta lista o receptor deve concordar com um conjunto para que seja possível criar a ligação.
Local A Local B
Politica 10
AES
SHA1
DH-G2
Politica 20
DES
SHA1
DH-G1
Politica 30
3DES
MD5
DH-G2
Politica 10
AES
SHA1
DH-G2
Politica 20
DES
SHA1
DH-G1
Politica 30
3DES
MD5
DH-G2
1
2
Mensagem 2: Troca de chaves Diffie Hellman
Troca de chaves públicas possibilitando uma conexão segura entre os pontos.
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Mensagem 3: Verificação de identidade
Uma vez garantida a segurança pode ser trocada a identificação dos intervenientes sem o risco de esta ser capturada por terceiros.
IKE Fase 2
Nesta fase, em que já se encontra estabelecida uma ligação segura entre os elementos da ligação e estes também já se encontram autenticados resta apenas trocarem as chaves simétricas que serão utilizadas para encriptar essa sessão VPN.
Desta forma é criada uma Security Association (SA).
IKE Fase 1 ½
No processo de ligações remotas ao servidor de VPN existe uma fase intermédia que apenas ocorre quando um utilizador individual se conecta. Esta fase é composta pelas seguintes mensagens:
Extended Authentication (XAUTH) – nesta mensagens o utilizador envia os dados que lhe permitem aceder à rede privada (username/password). Estes dados podem estar armazenados localmente no router ou num servidor RADIUS.
Configuration Mode (Mode Config) – depois de autenticado o servidor entrega ao cliente um pacotes de informações que lhe permite circular no interior da rede privada (endereçamento, DNS, etc).
Local A
CONFIG
XAUTH
XAUTH
HandsOn Cisco IOS VPN
Academia Cisco ISEP
EXEMPLOS PRÁTICOS
SITE-‐TO-‐SITE VPN
VPN
INTERNETS0/3/0
130.15.0.25/30S0/3/0
74.23.154.14/30S0/3/1 S0/3/0
PC_AIP:192.168.1.1
NM:255.255.255.0GW:192.168.1.254
PC_BIP:10.0.1.1
NM:255.255.0.0GW:10.0.1.254
F0/0
HOME REMOTE
F0/0
PASSOS PELOS QUAIS O ROUTER PASSA ATÉ COMPLETAR UMA CONEXÃO VPN
• Recepção de tráfico interessante para efectuar a ligação VPN o É necessário configurar o tráfico que pode activar o túnel
• Fase 1 do IKE (Security Association para gestão) o Negociação através de chaves assimétricas e de uma chave simétrica para
trocar informações de gestão da VPN • Fase 2 do IKE (Security Association para transmissão de dados)
o Negociação das chaves simétricas que serão utilizadas nas transmissões de dados. Estas chaves não são tão seguras como as assimétricas, pelo que têm um tempo de vida que pode ser configurado em segundos ou em nº de bytes de informação que passam pelo túnel.
• Transmissão da informação IPSec pelo túnel o Estabelecimento do túnel e transmissão de informação, o que ocorre caso
ambas as partes concordem com os parâmetros estabelecidos • Desactivar o túnel quando se completar a transmissão
NOTA:
As chaves assimétricas apenas são utilizadas numa fase inicial para os routers acordarem numa chave simétrica (isto porque as chaves assimétricas são aproximadamente 1500 vezes mais exigentes a nível de processamentos do que as simétricas).
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Configuração dos Routers
1. Configurar as políticas de ISAKMP (Internet Security Association Key Management Protocol)
2. Configurar o ipsec transform set 3. Definir o tráfego interessante 4. Configurar o crypto map 5. Atribuir o crypto map ao interface
1. Configuração das politicas ISAKMP (Fase 1 do IKE – dados de gestão)
Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# crypto isakmp policy [prioridade]
Definir a prioridade a atribuir a política. (Quanto menor o valor maior a prioridade)
Router (config-isakmp)# authentication pre-shared
Definir que a autenticação vai ser efectuada por uma chave partilhada pelos intervenientes.
Router (config-isakmp)# encryption [des|3des|aes]
Definir o algoritmo de encriptação que vai ser utilizado. No caso de escolher aes pode-‐se ainda definir o numero de bits de encriptação. [128|192|256].
Router (config-isakmp)# group [1|2|5] Definir o grupo utilizado para as chaves Diffie-‐Hellman. 1 – 768 bit 2 – 1024 bit 5 – 1536 bit
Router (config-isakmp)# hash [md5|sha] Definir o algoritmo de hash que vai ser utilizado. Router (config-isakmp)# lifetime [60|86400]
Definir o tempo que esta política de ser utilizada antes de ser renegociada. O tempo está expresso em segundos.
Router (config)# crypto isakmp key [0|6] segredo address endereço_publico_remoto no-xauth
Definir a chave partilhada utilizada na autenticação. O 0 ou 6 define se a palavra deve ou não ser encriptada. O endereço de ser o endereço público do local remoto. Por fim no-‐xauth previne confusões na autenticação em interface que possuem servidores de acesso remotos, em que os utilizadores têm que efectuar autenticação estendida. (username/password)
2. Configuração do IPSec Transform Set (Fase 2 do IKE – dados de transmissão)
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto ipsec transform-set nome_atribuido [opção de encriptação] [opção de hash]
Definição o nome que se vai atribuir a este transform-‐set. Opções de encriptação: esp-‐des esp-‐3des esp-‐aes [128|192|256] Opções de hash: esp-‐md5-‐hmac esp-‐sha-‐hmac
3. Configuração do tráfego interessante
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Criar uma access-‐list que defina o tráfico que será considerado interessante para activar a VPN assim como o tráfico que vai ser encriptado e que vai ser enviado pela VPN.
Comandos Router# configure terminal Router(config)# ip access-list extended NOME_DA_LISTA Router(config)# permit ip ip_origem wild_card_origem ip_destino wild_card_destino
4. Configurar crypto map
Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# crypto map nome [numero de sequencia] ipsec-isakmp
Definir a o nome que vai ser atribuído ao crypto map. Deve-‐se ter em conta que cada interface apenas pode ter um crypto map associado, deste forma o crytpo map pode conter configurações de várias conexões VPN. O número de sequência indica qual o ordem em que vai ser colocada a conexão que estamos a criar.
Router (config-crypto-map)# set peer enderço_remote
Definir o ponto remoto de ligação da VPN.
Router (config-crypto-map)# match address acl-tráfico_interessante
Definir a access-‐list que define o tráfego interessante para a ligação VPN.
Router (config-crypto-map)# set transform-set nome_transform_set
Definir o nome do transform-‐set que vai ficar agregado a esta ligação VPN no crypto-‐map
5. Atribuir o crypto map com um interface
Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# interface interface Entrar no modo de configuração do interface de saída. Router (config-if)# crypto map nome
Relacionar o crypto map definido anteriormente com o interface.
NOTAS:
-‐ Caso o interface esteja a sofrer algum processo de NAT (Network Address Translation) é necessário retirar o tráfego VPN desse processo pois caso contrário o tráfego é traduzido antes de ser considerado interessante para ser encaminhado pela VPN.
-‐ Comandos para troubleshooting de VPN’s: • show crypto isakmp sa • show crypto ipsec sa
HandsOn Cisco IOS VPN
Academia Cisco ISEP
EXEMPLOS PRÁTICOS
IPSEC GRE TUNNEL
IPSEC GRE TUNNEL
INTERNETS0/3/0
130.15.0.25/30S0/3/0
74.23.154.14/30S0/3/1 S0/3/0
PC_AIP:192.168.1.1
NM:255.255.255.0GW:192.168.1.254
PC_BIP:10.0.1.1
NM:255.255.0.0GW:10.0.1.254
F0/0
HOME REMOTE
F0/0
TUNNELINTERFACE172.20.0.1
TUNNELINTERFACE172.20.0.2
Os túneis Generic Routing Encapsulation (GRE) criam uma ligação directa não segura entre dois pontos permitindo que todo o tráfego possa circular, o que não acontece nos túneis IPSec em que por exemplo multicast e updates de routing não passam.
Contudo os túneis GRE não são seguros. Desta forma é necessário conjugar estas duas tecnologias para criar verdadeiras VPN em que se pode transmitir todo o tráfego de uma forma segura.
Configuração de VPN IPSec GRE
1. Configurar GRE 2. Introduzir o interface Tunnel nos updates de routing. 3. Configurar IPSec
1. Configurar GRE
Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# interface tunnel [0-2147483647]
Criar um novo interface Tunnel e entrar no modo de configuração de interface
Router (config-if)# ip address endereço_ip mascara_rede
Definir o endereço IP para o interface túnel.
Router (config-if)# tunnel source interface
Definir qual o interface real que vai ser a origem do túnel.
Router (config-if)# tunnel destinacion endereço
Definir o endereço do destino do túnel.
Router (config-if)# tunnel mode gre ip Definir o tipo de túnel a criar.
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Router (config-if)# tunnel path-mtu-discovery
Permite configurar automaticamente o mtu da ligação
2. Introduzir o interface Tunnel nos updates de routing.
Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router (config)# router eigrp 1 Entrar no modo de configuração de routing eigrp Router (config-router)# network endereço_rede_int_tunel wildcard
Introduzir o endereço do rede do endereço do interface Tunnel criado e a respectiva wildcard.
3. Configurar IPSec
A configuração do IPSec é semelhante à do exemplo anterior com excepção do ponto 3 e do ponto 5.
No ponto 3 a access-‐list criada deve permitir todo o tráfego GRE entre os dois endereços públicos.
No ponto 5 a atribuição do crypto map deve ser efectuada ao interface túnel.
HandsOn Cisco IOS VPN
Academia Cisco ISEP
EASY VPN SERVER
EASY VPN SERVER
FILE SERVER
EASY VPN REMOTE
VPN
INTRANET
Windows Server 2003AD
RADIUS AUTH
VPN
PASSOS NECESSÁRIOS PARA O ESTABELECIMENTOS DE UMA CONEXÃO EASY VPN
1. Easy VPN Remote inicia a conexão 2. Easy VPN Server escolhe uma das politicas oferecidas pelo cliente e forma SA (IKE Fase 1) 3. Easy VPN Server requesita a X-‐Auth 4. Easy VPN Server envia a MODE CONFIGURATION ao cliente (IKE Fase 1.5) 5. Easy VPN Server aplica Reverse Route Injection (RRI) (Opcional) 6. Easy VPN Server estabelece a SA IPSec (IKE Fase 2)
1. Easy VPN Remote inicia a conexão
Como foi descrito anteriormente neste documentos, quem inicia a conexão é que é responsável por enviar a lista de politicas que com os conjuntos de dados de Encriptação, Hash e Grupo Diffie-‐Hellman. Esta lista de políticas já se encontra definida por defeito nos clientes Cisco VPN Client, e desta forma não necessitam de qualquer configuração.
2. Easy VPN Server escolhe uma das politicas oferecidas pelo cliente e forma SA (IKE Fase 1)
Assim que recebe as políticas o servidor VPN vai escolher o conjunto preferido e estabelecer a SA para a fase de gestão da conexão VPN.
3. Easy VPN Server requisita a X-‐Auth (IKE Fase 1 ½)
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Uma vez terminada a Fase 1 do processo IKE o servidor vai requisitar ao cliente que este se autentique com um grupo e um utilizador.
4. Easy VPN Server envia a MODE CONFIGURATION ao cliente (IKE Fase 1 ½)
Assim que a autenticação é efectuada com sucesso o servidor utiliza o grupo fornecido pelo utilizador para reconhecer um grupo de configurações que deve “empurrar” para o cliente para que este se possa conectar a rede privada. (Endereço IP, Máscara de Rede, DNS, etc…)
5. Easy VPN Server aplica Reverse Route Injection (RRI) (Opcional)
O servidor VPN pode, caso seja configurado para isso adicionar à sua tabela de routing rotas para o host ou rede EASY VPN REMOTE, para que seja possível que todos os dispositivos locais consigam conectar com os dispositivos remotos.
6. Easy VPN Server estabelece a SA IPSec (IKE Fase 2)
São negociadas as chaves simétricas e é constituída a SA IPsec para transmissão de dados de forma segura.
Esquema para configuração EASYVPN SERVER
INTERNETS0/3/0
130.15.0.25/30S0/3/0
74.23.154.14/30S0/3/1 S0/3/0F0/0
HOME REMOTE
F0/0
VPN
VPN CLIENT
IP ADDRESSDHCP
FILE SERVER
IP ADDRESS192.168.1.1/24
Configurações iniciais do esquema:
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Configuração do Router Home:
1. Activar políticas de AAA (Authorization, Authentication and Accounting) 2. Definir políticas ISAKMP aceites pelo servidor (IKE Fase 1) 3. Definir políticas IPSec aceites pelo servidor (IKE Fase 2) 4. Definir políticas de grupo impostas pelo servidor 5. Definir pool de endereços 6. Aplicar Mode Configuration e XAUTH (IKE Fase 1.5) 7. Activar o RRI (Reverse Route Injection) 8. Configurar o suporte para RADIUS 9. Atribuir definições ao interface 10. Definir a ACL para estabelecer qual o tráfego que deve ou não passar pela VPN
1. Activar políticas de AAA (Authorization, Authentication and Accounting)
Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# aaa new-model Activa AAA Router (config)# aaa authentication login nomelist [locais_autenticação]
Definir onde estão guardados os dados de XAUTH dos utilizadores. Os locais podem ser:
• local • group radius
Router (config)# aaa authorization network nomelist [locais_autenticação]
Definir onde estão guardados as políticas de grupo Os locais podem ser:
• local • group radius
Router (config)# username nome password chave
Definir um utilizador para ser possível conectar a vpn.
2. Definir políticas ISAKMP aceites pelo servidor (IKE Fase 1)
Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# crypto isakmp policy [prioridade]
Definir a prioridade a atribuir a política. (Quanto menor o valor maior a prioridade)
Router (config-isakmp)# authentication pre-shared
Definir que a autenticação vai ser efectuada por uma chave partilhada pelos intervenientes.
Router (config-isakmp)# encryption [des|3des|aes]
Definir o algoritmo de encriptação que vai ser utilizado. No caso de escolher aes pode-‐se ainda definir o número de bits de encriptação. [128|192|256].
Router (config-isakmp)# group [1|2|5] Definir o grupo utilizado para as chaves Diffie-‐Hellman. 1 – 768 bit 2 – 1024 bit 5 – 1536 bit
Router (config-isakmp)# hash [md5|sha] Definir o algoritmo de hash que vai ser utilizado.
3. Definir políticas IPSec aceites pelo servidor (IKE Fase 2)
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto ipsec transform-set nome_atribuido [opção de encriptação] [opção de hash]
Definição o nome que se vai atribuir a este transform-‐set. Opções de encriptação: esp-‐des esp-‐3des esp-‐aes [128|192|256] Opções de hash: esp-‐md5-‐hmac esp-‐sha-‐hmac
4. Definir políticas de grupo impostas pelo servidor
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto isakmp client configuration group nomegrupo
Definir uma politica agregado ao nome do grupo.
Router (config-isakmp-group)# key chave
Definir a palavra-‐chave para o grupo
Router (config-isakmp-group)# dns endereçoipdns
Definir o endereço do servidor dns para os clientes vpn.
Router (config-isakmp-group)# wins endereçoipwins
Definir o endereço do servidor wins para os clientes vpn.
Router (config-isakmp-group)# domain nomedominio
Definir o nome de domínio para os clientes vpn
Router (config-isakmp-group)# pool nomepoolendereços
Definir o nome da pool de endereços que vão ser atribuídos aos clientes vpn
Router (config-isakmp-group)# acl numeroacl
Definir a acl que identifica o tráfego que deve ser encriptado pelo cliente (SPLIT TUNNEL)
Router (config-isakmp-group)# netmask mascararede
Definir a máscara de rede utilizada pelos clientes vpn.
5. Definir pool de endereços
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# ip local pool nomepool endereçoinicio endereçofim
Definir a pool de endereços.
6. Aplicar Mode Configuration e XAUTH (IKE Fase 1 ½)
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto map nomemap client configuration address [responde |initiate]
Definir o modo de configuração para o clientes vpn. O cliente vpn da cisco necessita do modo responde.
Router (config)# crypto map nomemap isakmp authorization list nomelistagrupos
Activa o pedido aos clientes para identificarem o grupo a que pertencem
Router (config)# crypto map nomemap client authentication list nomedalistautilizadores
Activa os pedidos aos clientes da sua identificação pessoal.
HandsOn Cisco IOS VPN
Academia Cisco ISEP
7. Activar o RRI (Reverse Route Injection) a. Ligação EasyVPN a Clientes Remotos
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto dynamic-map nomemap numerosequência
Definir o crypto map dinâmico para ligações de clientes remotos.
Router (config-crypto-map)# set transforma-set meutransformset
Relacionar um transform-‐set com o crypto –map
Router (config-crypto-map)# reverse-route
Activar o RRI
Router (config-crypto-map)# exit Sair do módulo de configuração do crypto-‐map Router (config)# crypto map nomemeucryptomap numerosequência ipsec-isakmp dynamic nomecrytomapdinamico
Adicionar ao crypto map dinâmico ao ao crypto map configurado anteriorments
b. Ligação EasyVPN a Locais Remotos
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto map nomevpncryptomap numerosequência ipsec-isakmp
Definir os parâmetros do crypto map da VPN
Router (config-crypto-map)# set transforma-set meutransformset
Relacionar um transform-‐set com o crypto –map
Router (config-crypto-map)# reverse-route
Activar o RRI
Router (config-crypto-map)# set peer endereçoremoto
Definir o endereço da extremidade remota da vpn
Router (config-crypto-map)# match address acl
Definir a acl que estabelece qual o tráfego que deve ser encriptado pela VPN
8. Configurar o suporte para RADIUS
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# radius-server host endereçoservidorRADIUS auth-port portoautenticação acct-port portoaccounting key chaveacesso
Definir os parâmetros do servidor RADIUS
9. Atribuir definições ao interface
Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# interface interfaceexterna
Definir os parâmetros do crypto map da VPN
Router (config-if)# crypto map nomecryptomapvpn
Relacionar um transform-‐set com o crypto –map
10. Definir a ACL para estabelecer qual o tráfego que deve ou não passar pela VPN
HandsOn Cisco IOS VPN
Academia Cisco ISEP
Configuração do Cisco ClientVPN:
1. Clicar em NEW
2. Introduzir os valores respeitantes a configuração do grupo efectuada no router HOME e gravar a ligação
HandsOn Cisco IOS VPN
Academia Cisco ISEP
3. Introduzir os valores respeitantes ao username e password