handson cisco ios vpn - academia cisco isep · handson!cisco!ios!vpn!!! academia!ciscoisep!...

Handson Cisco IOS

VPN

HandsOn Cisco IOS VPN

Academia Cisco ISEP

IPSec VPN

A utilização generalizada das VPN’s deve-‐se à necessidade de garantir segurança em comunicações tendencialmente inseguras.

O IPSec tem a responsabilidade de garantir os seguintes pontos fulcrais para atingir os objectivos propostos para as VPN’s:

• Autenticação – garantia de que os intervenientes são quem realmente dizem ser. • Integridade – (hash) garantia de que o que foi enviado não foi de qualquer forma

alterado no processo de transporte entre o emissor e o receptor. • Confidencialidade – (encriptação) garantia que de o conteúdo da mensagem não pode

ser observado por elementos externos a comunicação.

Assim como o TCP/IP é constituído por um conjunto de protocolos também o IPSec é composto por um grupo de protocolos que se encontram descritos na figura seguinte:

IPSec

IKE: Internet Key Exchange

Segurança

Encriptação Integridade Protecção

Protocolo de Negociação

AH / ESP / ESP + AH

DES3DESAES

MD5SHA-1

DH 1DH 2DH 5DH 7

Internet Key Exchange (IKE) – é responsável por negociar os diferentes parâmetros que irão ser utilizados para estabelecer a ligação entre os dois intervenientes. Caso algum dos intervenientes não concorde com os parâmetros impostos pelo outro, a ligação VPN não se realizará.

Authentication Header (AH) – fornece integridade, autenticação e não repúdio nas comunicações TCP/IP.

Encapsulation Security Paylod (ESP) – fornece confidencialidade, autenticação e integridade das comunicações TCP/IP.


Academia Cisco ISEP

O IPSec pode ser implementados de duas formas distintas:

• Modo Transporte

DATA ESP IP L2

VPN VPN

VPN

Encriptado

Encriptado

Clear Text

Clear Text

No modo de transporte a segurança apenas é aplicada à informação contida nos pacotes deixando o cabeçalho com os endereços inalterados.

• Modo Túnel

DATA IP ESP IP L2

Encriptado Clear Text

Encriptado Clear Text

VPN

No modo túnel o endereço IP interno e a informação são transformados e é colocado um novo endereço (público) que será utilizado para encaminhar a informação até ao destino, ficando para além da informação também o esquema de endereçamento interno protegido.

A autenticação nas VPN pode ser efectuada das seguintes formas:

• Acesso remoto: o Username/Password ou dados biométricos -‐ que serão autenticados num

servidor interno (RADIUS – Remote Authentication Dial In User Service) ou numa base de dados local.

o One time password – geridas automaticamente por um servidor interno e por dispositivos na posse dos utilizadores remotos que geram passwords momentâneas que apenas podem ser utilizadas uma vez.

• Site-‐to-‐Site: o Pre-‐shared Keys -‐ devem ser introduzidas em todos os dispositivos com os

quais se deseje estabelecer uma VPN.


Academia Cisco ISEP

o Certificados Digitais – são autenticados numa CA que confirma a sua validade assim como trata da emissão de novos certificados.

Remote VPN Connection

Site-to-Site VPN Connection

Username / PasswordBiometric

One Time PasswordTokens

Pre-Shared Keys Certificates

A Encriptação pode ser realizada com recurso a dois tipos de chaves de encriptação:

• Simétrica (Shared Key) – a chave que é utilizada para encriptar é a mesma que é usada para desencriptar. Logo é mais eficaz mas menos seguro.

• Assimétrica (Publica/Privada) – é usada uma chave para encriptar e outra para desencriptar. Logo é mais seguro mas menos eficaz a nível de processamento.

O que normalmente é utilizado é um conjunto das duas formas (Diffie-‐Hellman) para obter maior segurança e ao mesmo tempo obter melhore performance. Assim através de uma chave assimétrica (1024 – 15360 bit) é trocada uma chave simétrica (64-‐256 bit) que será utilizada nessa sessão.

Local A

Diffie-HellmanPrivada A

Shared-Key A

Diffie-HellmanPública A

Local B

Diffie-HellmanPrivada B

Shared-Key B

Diffie-HellmanPública B

Cada localização possui uma chave pública e uma privada que serão utilizadas para que possam trocar em segurança a chave simétrica partilhada. A chave pública é conhecida por


Academia Cisco ISEP

todos e apenas serve para encriptar informação que só poderá ser desencriptada pela chave privada.

Local A


Shared-Key A



Shared-Key B


Desta forma as chaves públicas são trocadas entre os intervenientes que as usarão para encriptar as suas chaves partilhadas antes de as enviar sobre o meio partilhado, logo inseguro.

Local A


Shared-Key B



Shared-Key A


As chaves partilhadas serão utilizadas na sessão de VPN. Apenas podem ser desencriptadas pelas chaves privada de cada interveniente, chave essa que apenas é conhecida por ele, tornando desta forma totalmente segura a comunicação.

Algoritmos de Chaves Simétricas:

• DES (Data Encryption Standard) chave de 56 bit • 3DES (Triple Data Encrytpion Standard) aplicação de 3 chaves de 56 bit (168 bit) • AES (Advanced Encryption Standard) algoritmo mais eficiente com chaves de 128, 192

ou 256 bit

Algoritmos de Chaves Assimétricas:

• RSA (Rivest-‐Shamir-‐Adleman) algoritmo poderoso capaz de criar chaves públicas com 1024 bit ou ainda maiores.


Academia Cisco ISEP

Para garantir a Integridade dos dados temos dois algoritmos o SHA-‐1 (Secure Hash Algorithm 160 bit) e o MD5 (Message Digest Algorithm 5 – 128 bit) que têm como função garantir que a informação não foi adulterada em trânsito.

DATA

SHA-1/MD5

DATA HASH

SHA-1/MD5

DATA HASH

DATA HASH DATA HASH

Internet Key Exchange (IKE)

Depois de se falar nos diversos componentes necessário para poder estabelecer uma conexão VPN (Autenticação, Encriptação e Integridade), deve-‐se prestar especial atenção ao modo como estes parâmetros são negociados entre os intervenientes, pois é nesta fase que podem ocorrer erros e na qual o troubleshooting é mais frequente.

IKE Fase 1

Mensagem 1: Troca e negociação de políticas de segurança

O router que inicia a ligação VPN envia uma lista de políticas contendo vários grupos de possíveis alternativas. Dentro desta lista o receptor deve concordar com um conjunto para que seja possível criar a ligação.

Local A Local B

Politica 10

AES

SHA1

DH-G2

Politica 20

DES

SHA1

DH-G1

Politica 30

3DES

MD5

DH-G2

Politica 10

AES

SHA1

DH-G2

Politica 20

DES

SHA1

DH-G1

Politica 30

3DES

MD5

DH-G2

1

2

Mensagem 2: Troca de chaves Diffie Hellman

Troca de chaves públicas possibilitando uma conexão segura entre os pontos.


Academia Cisco ISEP

Mensagem 3: Verificação de identidade

Uma vez garantida a segurança pode ser trocada a identificação dos intervenientes sem o risco de esta ser capturada por terceiros.

IKE Fase 2

Nesta fase, em que já se encontra estabelecida uma ligação segura entre os elementos da ligação e estes também já se encontram autenticados resta apenas trocarem as chaves simétricas que serão utilizadas para encriptar essa sessão VPN.

Desta forma é criada uma Security Association (SA).

IKE Fase 1 ½

No processo de ligações remotas ao servidor de VPN existe uma fase intermédia que apenas ocorre quando um utilizador individual se conecta. Esta fase é composta pelas seguintes mensagens:

Extended Authentication (XAUTH) – nesta mensagens o utilizador envia os dados que lhe permitem aceder à rede privada (username/password). Estes dados podem estar armazenados localmente no router ou num servidor RADIUS.

Configuration Mode (Mode Config) – depois de autenticado o servidor entrega ao cliente um pacotes de informações que lhe permite circular no interior da rede privada (endereçamento, DNS, etc).

Local A

CONFIG

XAUTH

XAUTH


Academia Cisco ISEP

EXEMPLOS PRÁTICOS

SITE-‐TO-‐SITE VPN

VPN

INTERNETS0/3/0

130.15.0.25/30S0/3/0

74.23.154.14/30S0/3/1 S0/3/0

PC_AIP:192.168.1.1

NM:255.255.255.0GW:192.168.1.254

PC_BIP:10.0.1.1

NM:255.255.0.0GW:10.0.1.254

F0/0

HOME REMOTE

F0/0

PASSOS PELOS QUAIS O ROUTER PASSA ATÉ COMPLETAR UMA CONEXÃO VPN

• Recepção de tráfico interessante para efectuar a ligação VPN o É necessário configurar o tráfico que pode activar o túnel

• Fase 1 do IKE (Security Association para gestão) o Negociação através de chaves assimétricas e de uma chave simétrica para

trocar informações de gestão da VPN • Fase 2 do IKE (Security Association para transmissão de dados)

o Negociação das chaves simétricas que serão utilizadas nas transmissões de dados. Estas chaves não são tão seguras como as assimétricas, pelo que têm um tempo de vida que pode ser configurado em segundos ou em nº de bytes de informação que passam pelo túnel.

• Transmissão da informação IPSec pelo túnel o Estabelecimento do túnel e transmissão de informação, o que ocorre caso

ambas as partes concordem com os parâmetros estabelecidos • Desactivar o túnel quando se completar a transmissão

NOTA:

As chaves assimétricas apenas são utilizadas numa fase inicial para os routers acordarem numa chave simétrica (isto porque as chaves assimétricas são aproximadamente 1500 vezes mais exigentes a nível de processamentos do que as simétricas).


Academia Cisco ISEP

Configuração dos Routers

1. Configurar as políticas de ISAKMP (Internet Security Association Key Management Protocol)

2. Configurar o ipsec transform set 3. Definir o tráfego interessante 4. Configurar o crypto map 5. Atribuir o crypto map ao interface

1. Configuração das politicas ISAKMP (Fase 1 do IKE – dados de gestão)

Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# crypto isakmp policy [prioridade]

Definir a prioridade a atribuir a política. (Quanto menor o valor maior a prioridade)

Router (config-isakmp)# authentication pre-shared

Definir que a autenticação vai ser efectuada por uma chave partilhada pelos intervenientes.

Router (config-isakmp)# encryption [des|3des|aes]

Definir o algoritmo de encriptação que vai ser utilizado. No caso de escolher aes pode-‐se ainda definir o numero de bits de encriptação. [128|192|256].

Router (config-isakmp)# group [1|2|5] Definir o grupo utilizado para as chaves Diffie-‐Hellman. 1 – 768 bit 2 – 1024 bit 5 – 1536 bit

Router (config-isakmp)# hash [md5|sha] Definir o algoritmo de hash que vai ser utilizado. Router (config-isakmp)# lifetime [60|86400]

Definir o tempo que esta política de ser utilizada antes de ser renegociada. O tempo está expresso em segundos.

Router (config)# crypto isakmp key [0|6] segredo address endereço_publico_remoto no-xauth

Definir a chave partilhada utilizada na autenticação. O 0 ou 6 define se a palavra deve ou não ser encriptada. O endereço de ser o endereço público do local remoto. Por fim no-‐xauth previne confusões na autenticação em interface que possuem servidores de acesso remotos, em que os utilizadores têm que efectuar autenticação estendida. (username/password)

2. Configuração do IPSec Transform Set (Fase 2 do IKE – dados de transmissão)

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto ipsec transform-set nome_atribuido [opção de encriptação] [opção de hash]

Definição o nome que se vai atribuir a este transform-‐set. Opções de encriptação: esp-‐des esp-‐3des esp-‐aes [128|192|256] Opções de hash: esp-‐md5-‐hmac esp-‐sha-‐hmac

3. Configuração do tráfego interessante


Academia Cisco ISEP

Criar uma access-‐list que defina o tráfico que será considerado interessante para activar a VPN assim como o tráfico que vai ser encriptado e que vai ser enviado pela VPN.

Comandos Router# configure terminal Router(config)# ip access-list extended NOME_DA_LISTA Router(config)# permit ip ip_origem wild_card_origem ip_destino wild_card_destino

4. Configurar crypto map

Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# crypto map nome [numero de sequencia] ipsec-isakmp

Definir a o nome que vai ser atribuído ao crypto map. Deve-‐se ter em conta que cada interface apenas pode ter um crypto map associado, deste forma o crytpo map pode conter configurações de várias conexões VPN. O número de sequência indica qual o ordem em que vai ser colocada a conexão que estamos a criar.

Router (config-crypto-map)# set peer enderço_remote

Definir o ponto remoto de ligação da VPN.

Router (config-crypto-map)# match address acl-tráfico_interessante

Definir a access-‐list que define o tráfego interessante para a ligação VPN.

Router (config-crypto-map)# set transform-set nome_transform_set

Definir o nome do transform-‐set que vai ficar agregado a esta ligação VPN no crypto-‐map

5. Atribuir o crypto map com um interface

Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# interface interface Entrar no modo de configuração do interface de saída. Router (config-if)# crypto map nome

Relacionar o crypto map definido anteriormente com o interface.

NOTAS:

-‐ Caso o interface esteja a sofrer algum processo de NAT (Network Address Translation) é necessário retirar o tráfego VPN desse processo pois caso contrário o tráfego é traduzido antes de ser considerado interessante para ser encaminhado pela VPN.

-‐ Comandos para troubleshooting de VPN’s: • show crypto isakmp sa • show crypto ipsec sa


Academia Cisco ISEP

EXEMPLOS PRÁTICOS

IPSEC GRE TUNNEL

IPSEC GRE TUNNEL

INTERNETS0/3/0

130.15.0.25/30S0/3/0

74.23.154.14/30S0/3/1 S0/3/0

PC_AIP:192.168.1.1

NM:255.255.255.0GW:192.168.1.254

PC_BIP:10.0.1.1

NM:255.255.0.0GW:10.0.1.254

F0/0

HOME REMOTE

F0/0

TUNNELINTERFACE172.20.0.1

TUNNELINTERFACE172.20.0.2

Os túneis Generic Routing Encapsulation (GRE) criam uma ligação directa não segura entre dois pontos permitindo que todo o tráfego possa circular, o que não acontece nos túneis IPSec em que por exemplo multicast e updates de routing não passam.

Contudo os túneis GRE não são seguros. Desta forma é necessário conjugar estas duas tecnologias para criar verdadeiras VPN em que se pode transmitir todo o tráfego de uma forma segura.

Configuração de VPN IPSec GRE

1. Configurar GRE 2. Introduzir o interface Tunnel nos updates de routing. 3. Configurar IPSec

1. Configurar GRE

Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# interface tunnel [0-2147483647]

Criar um novo interface Tunnel e entrar no modo de configuração de interface

Router (config-if)# ip address endereço_ip mascara_rede

Definir o endereço IP para o interface túnel.

Router (config-if)# tunnel source interface

Definir qual o interface real que vai ser a origem do túnel.

Router (config-if)# tunnel destinacion endereço

Definir o endereço do destino do túnel.

Router (config-if)# tunnel mode gre ip Definir o tipo de túnel a criar.


Academia Cisco ISEP

Router (config-if)# tunnel path-mtu-discovery

Permite configurar automaticamente o mtu da ligação

2. Introduzir o interface Tunnel nos updates de routing.

Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router (config)# router eigrp 1 Entrar no modo de configuração de routing eigrp Router (config-router)# network endereço_rede_int_tunel wildcard

Introduzir o endereço do rede do endereço do interface Tunnel criado e a respectiva wildcard.

3. Configurar IPSec

A configuração do IPSec é semelhante à do exemplo anterior com excepção do ponto 3 e do ponto 5.

No ponto 3 a access-‐list criada deve permitir todo o tráfego GRE entre os dois endereços públicos.

No ponto 5 a atribuição do crypto map deve ser efectuada ao interface túnel.


Academia Cisco ISEP

EASY VPN SERVER

EASY VPN SERVER

FILE SERVER

EASY VPN REMOTE

VPN

INTRANET

Windows Server 2003AD

RADIUS AUTH

VPN

PASSOS NECESSÁRIOS PARA O ESTABELECIMENTOS DE UMA CONEXÃO EASY VPN

1. Easy VPN Remote inicia a conexão 2. Easy VPN Server escolhe uma das politicas oferecidas pelo cliente e forma SA (IKE Fase 1) 3. Easy VPN Server requesita a X-‐Auth 4. Easy VPN Server envia a MODE CONFIGURATION ao cliente (IKE Fase 1.5) 5. Easy VPN Server aplica Reverse Route Injection (RRI) (Opcional) 6. Easy VPN Server estabelece a SA IPSec (IKE Fase 2)

1. Easy VPN Remote inicia a conexão

Como foi descrito anteriormente neste documentos, quem inicia a conexão é que é responsável por enviar a lista de politicas que com os conjuntos de dados de Encriptação, Hash e Grupo Diffie-‐Hellman. Esta lista de políticas já se encontra definida por defeito nos clientes Cisco VPN Client, e desta forma não necessitam de qualquer configuração.

2. Easy VPN Server escolhe uma das politicas oferecidas pelo cliente e forma SA (IKE Fase 1)

Assim que recebe as políticas o servidor VPN vai escolher o conjunto preferido e estabelecer a SA para a fase de gestão da conexão VPN.

3. Easy VPN Server requisita a X-‐Auth (IKE Fase 1 ½)


Academia Cisco ISEP

Uma vez terminada a Fase 1 do processo IKE o servidor vai requisitar ao cliente que este se autentique com um grupo e um utilizador.

4. Easy VPN Server envia a MODE CONFIGURATION ao cliente (IKE Fase 1 ½)

Assim que a autenticação é efectuada com sucesso o servidor utiliza o grupo fornecido pelo utilizador para reconhecer um grupo de configurações que deve “empurrar” para o cliente para que este se possa conectar a rede privada. (Endereço IP, Máscara de Rede, DNS, etc…)

5. Easy VPN Server aplica Reverse Route Injection (RRI) (Opcional)

O servidor VPN pode, caso seja configurado para isso adicionar à sua tabela de routing rotas para o host ou rede EASY VPN REMOTE, para que seja possível que todos os dispositivos locais consigam conectar com os dispositivos remotos.

6. Easy VPN Server estabelece a SA IPSec (IKE Fase 2)

São negociadas as chaves simétricas e é constituída a SA IPsec para transmissão de dados de forma segura.

Esquema para configuração EASYVPN SERVER

INTERNETS0/3/0

130.15.0.25/30S0/3/0

74.23.154.14/30S0/3/1 S0/3/0F0/0

HOME REMOTE

F0/0

VPN

VPN CLIENT

IP ADDRESSDHCP

FILE SERVER

IP ADDRESS192.168.1.1/24

Configurações iniciais do esquema:


Academia Cisco ISEP

Configuração do Router Home:

1. Activar políticas de AAA (Authorization, Authentication and Accounting) 2. Definir políticas ISAKMP aceites pelo servidor (IKE Fase 1) 3. Definir políticas IPSec aceites pelo servidor (IKE Fase 2) 4. Definir políticas de grupo impostas pelo servidor 5. Definir pool de endereços 6. Aplicar Mode Configuration e XAUTH (IKE Fase 1.5) 7. Activar o RRI (Reverse Route Injection) 8. Configurar o suporte para RADIUS 9. Atribuir definições ao interface 10. Definir a ACL para estabelecer qual o tráfego que deve ou não passar pela VPN

1. Activar políticas de AAA (Authorization, Authentication and Accounting)

Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# aaa new-model Activa AAA Router (config)# aaa authentication login nomelist [locais_autenticação]

Definir onde estão guardados os dados de XAUTH dos utilizadores. Os locais podem ser:

• local • group radius

Router (config)# aaa authorization network nomelist [locais_autenticação]

Definir onde estão guardados as políticas de grupo Os locais podem ser:

• local • group radius

Router (config)# username nome password chave

Definir um utilizador para ser possível conectar a vpn.

2. Definir políticas ISAKMP aceites pelo servidor (IKE Fase 1)

Comandos Descrição Router# configure terminal Entrar no modo de configuração global Router(config)# crypto isakmp policy [prioridade]

Definir a prioridade a atribuir a política. (Quanto menor o valor maior a prioridade)

Router (config-isakmp)# authentication pre-shared

Definir que a autenticação vai ser efectuada por uma chave partilhada pelos intervenientes.

Router (config-isakmp)# encryption [des|3des|aes]

Definir o algoritmo de encriptação que vai ser utilizado. No caso de escolher aes pode-‐se ainda definir o número de bits de encriptação. [128|192|256].

Router (config-isakmp)# group [1|2|5] Definir o grupo utilizado para as chaves Diffie-‐Hellman. 1 – 768 bit 2 – 1024 bit 5 – 1536 bit

Router (config-isakmp)# hash [md5|sha] Definir o algoritmo de hash que vai ser utilizado.

3. Definir políticas IPSec aceites pelo servidor (IKE Fase 2)


Academia Cisco ISEP

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto ipsec transform-set nome_atribuido [opção de encriptação] [opção de hash]

Definição o nome que se vai atribuir a este transform-‐set. Opções de encriptação: esp-‐des esp-‐3des esp-‐aes [128|192|256] Opções de hash: esp-‐md5-‐hmac esp-‐sha-‐hmac

4. Definir políticas de grupo impostas pelo servidor

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto isakmp client configuration group nomegrupo

Definir uma politica agregado ao nome do grupo.

Router (config-isakmp-group)# key chave

Definir a palavra-‐chave para o grupo

Router (config-isakmp-group)# dns endereçoipdns

Definir o endereço do servidor dns para os clientes vpn.

Router (config-isakmp-group)# wins endereçoipwins

Definir o endereço do servidor wins para os clientes vpn.

Router (config-isakmp-group)# domain nomedominio

Definir o nome de domínio para os clientes vpn

Router (config-isakmp-group)# pool nomepoolendereços

Definir o nome da pool de endereços que vão ser atribuídos aos clientes vpn

Router (config-isakmp-group)# acl numeroacl

Definir a acl que identifica o tráfego que deve ser encriptado pelo cliente (SPLIT TUNNEL)

Router (config-isakmp-group)# netmask mascararede

Definir a máscara de rede utilizada pelos clientes vpn.

5. Definir pool de endereços

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# ip local pool nomepool endereçoinicio endereçofim

Definir a pool de endereços.

6. Aplicar Mode Configuration e XAUTH (IKE Fase 1 ½)

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto map nomemap client configuration address [responde |initiate]

Definir o modo de configuração para o clientes vpn. O cliente vpn da cisco necessita do modo responde.

Router (config)# crypto map nomemap isakmp authorization list nomelistagrupos

Activa o pedido aos clientes para identificarem o grupo a que pertencem

Router (config)# crypto map nomemap client authentication list nomedalistautilizadores

Activa os pedidos aos clientes da sua identificação pessoal.


Academia Cisco ISEP

7. Activar o RRI (Reverse Route Injection) a. Ligação EasyVPN a Clientes Remotos

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto dynamic-map nomemap numerosequência

Definir o crypto map dinâmico para ligações de clientes remotos.

Router (config-crypto-map)# set transforma-set meutransformset

Relacionar um transform-‐set com o crypto –map

Router (config-crypto-map)# reverse-route

Activar o RRI

Router (config-crypto-map)# exit Sair do módulo de configuração do crypto-‐map Router (config)# crypto map nomemeucryptomap numerosequência ipsec-isakmp dynamic nomecrytomapdinamico

Adicionar ao crypto map dinâmico ao ao crypto map configurado anteriorments

b. Ligação EasyVPN a Locais Remotos

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# crypto map nomevpncryptomap numerosequência ipsec-isakmp

Definir os parâmetros do crypto map da VPN

Router (config-crypto-map)# set transforma-set meutransformset


Router (config-crypto-map)# reverse-route

Activar o RRI

Router (config-crypto-map)# set peer endereçoremoto

Definir o endereço da extremidade remota da vpn

Router (config-crypto-map)# match address acl

Definir a acl que estabelece qual o tráfego que deve ser encriptado pela VPN

8. Configurar o suporte para RADIUS

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# radius-server host endereçoservidorRADIUS auth-port portoautenticação acct-port portoaccounting key chaveacesso

Definir os parâmetros do servidor RADIUS

9. Atribuir definições ao interface

Comandos Descrição Router # configure terminal Entrar no modo de configuração global Router (config)# interface interfaceexterna

Definir os parâmetros do crypto map da VPN

Router (config-if)# crypto map nomecryptomapvpn


10. Definir a ACL para estabelecer qual o tráfego que deve ou não passar pela VPN


Academia Cisco ISEP

Configuração do Cisco ClientVPN:

1. Clicar em NEW

2. Introduzir os valores respeitantes a configuração do grupo efectuada no router HOME e gravar a ligação


Academia Cisco ISEP

3. Introduzir os valores respeitantes ao username e password

handson cisco ios vpn - academia cisco isep · handson!cisco!ios!vpn!!! academia!ciscoisep!...

Documents