Требует ли простой VPN Cisco VPN -клиент?

Туннель активируется на интересном трафике (триггер ACL)

Краткое содержание

В статье обсуждается, требует ли простой VPN клиент Cisco VPN. Он также предоставляет информацию о настройке VPN с использованием простого VPN и туннеля IPSEC. Маршрутизаторы серии Cisco 870 поддерживают создание виртуальных частных сетей (VPN) и обеспечивают высокопроизводительные подключения с Интернетом. В статье объясняются два типа поддерживаемых VPN-сайт и удаленный доступ-и фокусируются на конфигурации VPN удаленного доступа с использованием Cisco Easy VPN и туннеля IPSec. Он также разъясняет, что материал в этой главе не относится к маршрутизаторам серии Cisco 850, поскольку они не поддерживают Cisco Easy VPN.

Ключевые моменты

Маршрутизаторы серии Cisco 870 поддерживают создание виртуальных частных сетей (VPN).
Поддерживаются два типа VPN-сайт и удаленный доступ.
Удаленные Vpns используются отдаленными клиентами для входа в корпоративную сеть.
Пример конфигурации в статье иллюстрирует конфигурацию удаленного доступа VPN с использованием Cisco Easy VPN и туннеля IPSec.
Cisco Easy VPN Client Feature устраняет большую часть утомительной работы по конфигурации, внедряя протокол клиента Cisco Unity.
Легкое устройство с поддержкой сервера VPN может завершить туннели VPN, инициированные мобильными и удаленными работниками.
Функция клиента Cisco Easy VPN может быть настроена в режиме клиента или в режиме расширения сети.
После того, как сервер IPSec был настроен, можно создать соединение VPN с минимальной конфигурацией на клиенте IPSEC.
Функция клиента Cisco Easy VPN поддерживает конфигурацию только одного однорангового назначения.
Несколько задач конфигурации необходимо выполнить для настройки маршрутизатора для сценария сети.

Вопросы

Требует ли простой VPN клиент Cisco VPN?

Да, простой VPN требуется клиент Cisco VPN для реализации.

Какие типы VPN поддерживаются маршрутизаторами серии Cisco 870?

Cisco 870 серии маршрутизаторов поддерживает сайт на сайте и удаленный доступ VPNS.

Какова цель удаленного доступа VPN?

Удаленные клиенты используется удаленным доступом VPN для входа в корпоративную сеть.

Что такое функция клиента Cisco Easy VPN?

Функция клиента Cisco Easy VPN устраняет большую часть утомительной работы по конфигурации, внедряя клиент Cisco Unity Client Protocol.

В чем разница между режимом клиента и режимом расширения сети в Cisco Easy VPN?

В клиентском режиме только устройства на клиентском сайте могут получить доступ к ресурсам на центральном сайте. Режим расширения сети позволяет пользователям на центральном сайте получить доступ к сетевым ресурсам на сайте клиента.

Можно ли создавать несколько туннелей VPN с помощью функции Cisco Easy VPN Client?

Нет, функция Cisco Easy VPN Client поддерживает конфигурацию только одного однорангового назначения.

Какие задачи конфигурации необходимо выполнить для настройки маршрутизатора для сценария сети?

Задачи конфигурации включают в себя настройку политики IKE, информацию о групповой политике, конфигурацию режима на крипто -карту, включение поиска политики, настройка преобразований и протоколов IPS.

Каковы некоторые предпосылки для настройки VPN на маршрутизаторе серии Cisco 870?

Основные функции маршрутизатора, конфигурации PPPOE или PPPOA с NAT, DHCP и VLAN должны быть настроены заранее.

Что демонстрирует пример конфигурации в статье?

Пример конфигурации демонстрирует результаты задач конфигурации, упомянутые выше для сценария сети.

Поддерживает ли маршрутизатор серии Cisco 850 Cisco Easy VPN?

Нет, маршрутизаторы серии Cisco 850 не поддерживают Cisco Easy VPN.

Подробные ответы

1. Требует ли простой VPN клиент Cisco VPN?
Да, простой VPN требуется клиент Cisco VPN для реализации. Функция клиента Cisco Easy VPN устраняет большую часть утомительной работы по конфигурации, внедряя клиент Cisco Unity Client Protocol. Этот протокол позволяет большинству параметров VPN, таких как внутренние IP-адреса, внутренние маски подсети, адреса DHCP-сервера, выигрышные адреса сервера и флаги с разделением, которые должны быть определены на сервере VPN, таких как концентратор серии Cisco VPN 3000, который действует как сервер IPSEC, такой как концентратор серии Cisco VPN 3000, который действует как сервер IPS.

2. Какие типы VPN поддерживаются маршрутизаторами серии Cisco 870?
Cisco 870 серии маршрутизаторов поддерживает сайт на сайте и удаленный доступ VPNS. VPN-сайт-сайт используются для подключения филиалов к корпоративным офисам, в то время как VPN с удаленным доступом используются удаленными клиентами для входа в корпоративную сеть.

3. Какова цель удаленного доступа VPN?
VPN удаленного доступа позволяет удаленным клиентам безопасно подключаться к корпоративной сети через Интернет. Это позволяет удаленным сотрудникам или мобильным работникам получить доступ к ресурсам компании, таким как файлы, приложения и внутренние системы, как если бы они были напрямую подключены в корпоративной сети.

4. Что такое функция клиента Cisco Easy VPN?
Функция Cisco Easy VPN Client – это упрощенный способ настройки подключения VPN. Это позволяет большинство параметров VPN, таких как внутренние IP-адреса, маски подсети, адреса DHCP-сервера, выигрышные адреса сервера и флаги с разделением, которые будут определены на сервере VPN, таком как концентратор серии Cisco VPN 3000, который действует как сервер IPS. Основная функция клиента VPN реализована клиентским протоколом Cisco Unity, который устраняет большую часть утомительной работы по конфигурации.

5. В чем разница между режимом клиента и режимом расширения сети в Cisco Easy VPN?
В режиме клиента устройства на клиентском сайте могут получить доступ к ресурсам на центральном сайте, но ресурсы на клиентском сайте недоступны для центрального сайта. Режим клиента – это конфигурация по умолчанию функции Cisco Easy VPN Client. С другой стороны, режим расширения сети позволяет пользователям на центральном сайте (где находится концентратор серии VPN 3000) для доступа к сетевым ресурсам на клиентском сайте. Режим расширения сети расширяет доступность ресурсов за пределами сайта клиента.

6. Можно ли создавать несколько туннелей VPN с помощью функции Cisco Easy VPN Client?
Нет, функция Cisco Easy VPN Client поддерживает конфигурацию только одного узла назначения. Если требуется несколько туннелей VPN, ручная конфигурация параметров VPN IPSEC и трансляции сетевого адреса/перевода адресов (NAT/PAT) как на клиенте, так и на сервер необходимы.

7. Какие задачи конфигурации необходимо выполнить для настройки маршрутизатора для сценария сети?
Чтобы настроить маршрутизатор для сценария сети, необходимо выполнить следующие задачи:

Настройте политику IKE
Настройка информации групповой политики
Применить конфигурацию режима к крипто -карте
Включить поиск политики
Настройка преобразования и протоколов IPSEC
Настройте крипто -метод IPSEC и параметры
Примените крипто -карту к физическому интерфейсу
Создайте простую удаленную конфигурацию VPN

Пример, демонстрирующий результаты этих задач конфигурации, приведен в разделе «Пример конфигурации» статьи.

8. Каковы некоторые предпосылки для настройки VPN на маршрутизаторе серии Cisco 870?
Перед настройкой VPN на маршрутизаторе серии Cisco 870, основные функции маршрутизатора, такие как PPPOE или PPPOA с NAT, DHCP и VLAN, должны быть настроены. Эти конфигурации важны для создания основания сети и обеспечения подключения к Интернету и локальных сетевых сервисов.

9. Что демонстрирует пример конфигурации в статье?
Пример конфигурации, приведенный в статье, демонстрирует результаты задач конфигурации, упомянутые ранее. Он демонстрирует настройки конфигурации, необходимые для установления и обеспечения VPN удаленного доступа, используя Cisco Easy VPN и туннель IPSec. Следуя примеру, пользователи могут повторить конфигурацию на своих собственных маршрутизаторах.

10. Поддерживает ли маршрутизатор серии Cisco 850 Cisco Easy VPN?
Нет, маршрутизаторы серии Cisco 850 не поддерживают Cisco Easy VPN. Материал в статье не относится к маршрутизаторам серии Cisco 850.

Требует ли простой VPN Cisco VPN -клиент

Туннель активируется на интересном трафике (триггер ACL)

Требует ли простой VPN Cisco VPN -клиент?

Охто

Мы аррегировали подоаджолгн. SpoMOщHщ эtOй straoniцы mы smosememememopredetath, чto -aprosы otpra. То, что нужно?

Эta -steraniцa otobrana -overshy -aTeх -stuчah -obra -aTeх -stu -y -y -ogdaTomAtiчeskymi -stri -stri -rah -strhe -strhe -strhe -stri -stri -stri -stri -stri -stri -rah -rah -stristriouri Котора. Straoniцa -oprepaneTeTeTeTeTOTOTOTO -opobrasthep -apoSle -o, kak -эat. ДО СОМОМОНТА.

Иошнико -а -а -а -в -впологовый схлк -а -апросов. Esli-yspolheoute obhщiй dostup-vanterneTTHETHETHETHETHET,. Охраторс. Подеб.

Проверка, в котором я, eSli -voAchephephephephe -yvodyte -sloжne -apro Эмами, Или,.

Поддерживать

Настройка VPN с использованием простого VPN и туннеля IPSEC

Иерархическая навигация

Загрузки

Настройка VPN с использованием простого VPN и туннеля IPSEC

Маршрутизаторы серии Cisco 870 поддерживают создание виртуальных частных сетей (VPN).

Маршрутизаторы Cisco и другие широкополосные устройства обеспечивают высокопроизводительные подключения к Интернету, но многие приложения также требуют безопасности подключений VPN, которые выполняют высокий уровень аутентификации и которые шифруют данные между двумя конкретными конечными точками.

Поддерживаются два типа VPN-Site-To STECT и удаленный доступ. VPN-сайт-сайт используются для подключения филиалов к корпоративным офисам, например,. Удаленные Vpns используются отдаленными клиентами для входа в корпоративную сеть.

Пример в этой главе показывает конфигурацию VPN удаленного доступа, который использует Cisco Easy VPN и туннель IPSec для настройки и обеспечения соединения между удаленным клиентом и корпоративной сетью. На рисунке 6-1 показан типичный сценарий развертывания.

Примечание Материал в этой главе не относится к маршрутизаторам серии Cisco 850. Маршрутизаторы серии Cisco 850 не поддерживают Cisco Easy VPN.

Рисунок 6-1 Удаленный доступ к дистанционному доступу с использованием туннеля IPSec

Cisco Easy VPN

Функция клиента Cisco Easy VPN устраняет большую часть утомительной работы по конфигурации, внедряя клиент Cisco Unity Client Protocol. Этот протокол позволяет большинству параметров VPN, таких как внутренние IP-адреса, внутренние маски подсети, адреса DHCP-сервера, выигрышные адреса сервера и флаги с разделением, которые должны быть определены на сервере VPN, таких как концентратор серии Cisco VPN 3000, который действует как сервер IPSEC, такой как концентратор серии Cisco VPN 3000, который действует как сервер IPS.

Легкое устройство с поддержкой сервера VPN может завершить туннели VPN, инициированные мобильными и удаленными работниками, которые запускают Cisco Easy VPN Remote Software на ПК. Простые устройства с поддержкой сервера VPN позволяют удаленным маршрутизаторам действовать как простые удаленные узлы VPN.

Функция Cisco Easy VPN Client может быть настроена в одном из двух режимов – режим клиента или режим расширения сети. Режим клиента является конфигурацией по умолчанию и позволяет только устройствам на сайте клиента доступа к ресурсам на центральном сайте. Ресурсы на клиентском сайте недоступны для центрального сайта. Режим расширения сети позволяет пользователям на центральном сайте (где находится концентратор серии VPN 3000) для доступа к сетевым ресурсам на клиентском сайте.

После настройки сервера IPSEC можно создать подключение к VPN с минимальной конфигурацией на клиенте IPSEC, таком как поддерживаемый маршрутизатор доступа Cisco 870 Series. Когда клиент IPSEC инициирует подключение к туннелю VPN, сервер IPSEC выдвигает политики IPSEC для клиента IPSEC и создает соответствующее соединение туннеля VPN.

Примечание Функция клиента Cisco Easy VPN поддерживает конфигурацию только одного однорангового назначения. Если ваше приложение требует создания нескольких туннелей VPN, необходимо вручную настроить параметры IPSEC VPN и сетевого адреса перевода/перевода адреса (NAT/PAT) как на клиенте, так и на сервере.

Задачи конфигурации

Выполните следующие задачи для настройки маршрутизатора для этого сценария сети:

• Настройка политики IKE

• Настройка информации групповой политики

• Применить конфигурацию режима к крипто -карте

• Включить поиск политики

• Настроить преобразования и протоколы IPSEC

• Настройка крипто -метода IPSEC и параметры

• Примените крипто -карту к физическому интерфейсу

• Создать простую удаленную конфигурацию VPN

Пример, показывающий результаты этих задач конфигурации, представлен в разделе «Пример конфигурации».

Примечание Процедуры в этой главе предполагают, что вы уже настроили основные функции маршрутизатора, а также PPPOE или PPPOA с NAT, DCHP и VLANS. Если вы не выполнили эти задачи конфигураций, см. Главу 1 «Конфигурация базового маршрутизатора», глава 3 «Настройка PPP Over Ethernet с NAT», глава 4 «Настройка PPP через ATM с NAT» и глава 5 «Настройка локальной сети с DHCP и VLAN» в зависимости от вашего маршрутизатора ».

Примечание Примеры, показанные в этой главе, относятся только к конфигурации конечной точки на маршрутизаторе серии Cisco 870. Любое VPN -соединение требует, чтобы обе конечные точки были правильно настроены для функционирования. См. Документацию по конфигурации программного обеспечения по мере необходимости для настройки VPN для других моделей маршрутизатора.

Настройте политику IKE

Выполните эти шаги для настройки политики обмена интернет -обменом (IKE), начиная с режима глобальной конфигурации:

Команда или действие

Маршрутизатор (конфигурация)# Crypto Isakmp Policy 1

Cisco Easy VPN на программных маршрутизаторах на основе программного обеспечения Cisco IOS

Документация, установленная для этого продукта, стремится использовать язык без смещения. Для целей настоящего набора документации непреклоним, без смещения определяется как язык, который не подразумевает дискриминацию, основанную на возрасте, инвалидности, полу, расовой идентичности, этнической идентичности, сексуальной ориентации, социально-экономическом статусе и пересечении. Исключения могут присутствовать в документации из-за языка, который жестко кодируется в пользовательских интерфейсах программного обеспечения для продукта, языка, используемого на основе документации RFP, или языка, который используется упомянутым сторонним продуктом. Узнайте больше о том, как Cisco использует инклюзивный язык.

Cisco Easy VPN Обзор решения

Решение Cisco ® Easy VPN (рис. 1) предлагает гибкость, масштабируемость и простоту использования для VPN с сайтом и удаленным доступом:

• Облегчает его проще, чем когда-либо, для клиентов всех размеров развертывание VPN в местах с ограниченным техническим персоналом, таким как небольшие филиалы, телеработницы и мобильные работники

• Предлагает беспрецедентную гибкость в выборе и поддержке устройств VPN, что позволяет интегрировать маршрутизаторы Cisco, технические приборы и программные клиенты VPN

• Сокращает сложность управления крупномасштабными развертываниями VPN за счет централизации управления VPN с постоянным методом политики и ключами на всех устройствах Cisco VPN

Рисунок 1. Cisco Easy VPN Обзор решения

Заявки: развертывание малого офиса

Для мобильных работников и телекоммуникаций недостаточно иметь высокопроизводительное соединение с Интернетом. Чтобы быть по -настоящему эффективным, этим пользователям необходим полный, безопасный доступ к электронным ресурсам в Министерстве внутренних дел, что означает установление соединения VPN с высоким уровнем аутентификации и возможности шифровать данные. Решение Cisco Easy VPN позволяет удаленным работникам и телекоммуникам из небольших офисов или филиалов корпоративных филиалов для установления соединений VPN в общедоступном интернете непосредственно к их домашним офисам, создавая высокоскоростные сетевые ресурсы, которые им необходимы, чтобы выполнить свои рабочие.

Ранее предоставление безопасного доступа к удаленным работникам часто влечет за собой с помощью протокола туннелирования точечного туннеля (PPTP) для подключения к домашнему офису. Хотя этот метод позволяет пользователям прекратить безопасное соединение со своим домашним офисом, туннель PPTP не предоставляет аутентификацию пользователей, что может снизить общий порог безопасности подключения. Альтернативные методы установления безопасного соединения были ограничены, потому что они не поддерживали все платформы по всей сети.

Решение Cisco Easy VPN состоит в основном из двух рабочих компонентов: Cisco Easy VPN Remote и Cisco Easy VPN -сервер (рис. 2).

фигура 2. Cisco Easy VPN Решение

Cisco Easy Vpn Remote представляет ветвь или удаленную сторону пользователя соединения VPN. Разнообразные устройства могут участвовать в качестве простых пульт VPN, включая программные маршрутизаторы Cisco IOS ®, приборы Cisco ASA Security и ПК с помощью Cisco VPN Client Software.

Cisco Easy VPN Server – это сторона туннеля VPN. Cisco IOS-программные маршрутизаторы, коммутаторы Cisco Catalyst ® и приборы Cisco ASA безопасности могут выступать в качестве простых точек агрегации VPN для тысяч простых удаленных устройств VPN, включая устройства в филиале, телеработницах и мобильных работниках.

Cisco Easy VPN -серверы используйте централизованную политику для автоматического отправки предопределенных политик безопасности и параметров конфигурации на простые удаленные устройства VPN. Например, параметры конфигурации, такие как внутренние IP-адреса, внутренние маски подсети, адреса DHCP-сервера, выигрышные адреса сервера и флаги с разделением, могут быть направлены на удаленное устройство. Это упрощает управление, делая его идеальным для удаленных офисов с небольшим количеством ИТ-поддержки или развертывания крупномасштабного помещения для клиента (CPE), где нецелесообразно индивидуально настроить несколько удаленных устройств.

Особенности и преимущества

Решение Cisco Easy VPN предоставляет многочисленные функции и преимущества, в том числе:

• Интеграция сети: программное обеспечение Cisco IOS предоставляет расширенные решения VPN, которые работают в нескольких топологиях и вариантах использования. Ключом к этому является сетевая интеграция-способы интеграции VPN и IP-сервисов в устройство, а также по нескольким устройствам в сети.

• Легкость управления: решение Cisco Easy VPN предлагает простоту текущего управления, с такими функциями, как централизованный политический толчок и расширенная Asper Vpn -архитектура (интеграция интерфейса виртуального туннеля).

• Аутентификация: Cisco Easy VPN поддерживает двухэтапный процесс для аутентификации удаленного клиента и пользователя, используя как группу, так и xauth Authentication.

• Масштабируемость и высокая доступность: Cisco Easy VPN -серверы способны собирать тысячи удаленных устройств, обеспечивая высоко масштабируемые развертывания. В этих сценариях высокая доступность является главным соображением. Несколько механизмов встроены в решение Cisco Easy VPN, чтобы убедиться, что большое количество участков не выведено с помощью устройств или сбоев подключения.

• Снижение затрат на владение: объединение безопасности и VPN на одном устройстве, особенно обязательным маршрутизаторам, в результате первоначальной экономии затрат, а также в защите инвестиций в виде масштабируемости и модульности маршрутизаторов, когда потребности бизнеса расширяются. И с учетом только одного решения по управлению, потребности в обучении сведены к минимуму, а текущие операции упрощаются. Программные маршрутизаторы Cisco IOS обеспечивают лучшее масштабируемое решение для многопротокола, безопасность периметра, обнаружение вторжений и расширенное VPN, а также управление и управляемостью устройства в отрасли и управляемость.

В таблице 1 перечислены основные функции сетевой интеграции и преимущества решения Cisco Easy VPN.

Таблица 1. Функции и преимущества сетевой интеграции

Описание и выгода

Новая интеграция Enhanced Easy Vpn Virtual Tunnel Interface (VTI)

• Усовершенствованная Arasy VPN -архитектура оснащена новыми виртуальными интерфейсами, которые могут быть настроены непосредственно с помощью IP Security (IPSEC) без необходимости инкапсулировать IPSEC внутри протоколов, таких как общая инкапсуляция маршрутизации (GRE). Преимущества сетевой интеграции включают:

• Атрибуты для каждого пользователя, такие как качество обслуживания (QoS) -VTI, позволяет безболезненной конфигурации политик на основе пользователя; позволяет администраторам быть активными в обеспечении желаемой производительности приложения и поддержания продуктивных и мотивированных пользователей

• Функции, специфичные для туннеля, позволяет настраивать каждую ветвю VPN-туннель с собственным набором параметров, обеспечивая гибкость для настройки конфигурации и безопасности на основе конкретных потребностей сайта

Интеграция виртуального маршрута (VRF)

Интеграция VRF с VTI позволяет прекратить множество экземпляров VRF в нескольких интерфейсах, облегчая крупномасштабные поставщики услуг и предприятие многопротокол переключение меток (MPLS).

Брандмауэр на основе TCP

Пакеты IPSEC TCP могут быть туннелированы через сторонние устройства брандмауэра, что позволяет безопасному соединению, где стандартное инкапсулирование полезной нагрузки безопасности (ESP) или порта Protocol (UDP) пользователя (UDP) не принимается или разрешено.

Интеграция перевода сетевого адреса (NAT)

Интеграция NAT и разрешает известные несовместимости между IPSEC и NAT, поддерживая прозрачность NAT в соответствии с UDP -портом 500 (RFC 3947)

Клиенты Safenet привязываются к группе конфигурации клиента с использованием конкретной ассоциации интернет -безопасности и протокола управления ключами (ISAKMP) локальный адрес. Разные клиенты могут использовать одни и те же идентификации сверстников и клавиши ISAKMP, используя разные локальные адреса завершения.

Некоторые из основных возможностей простоты использования в Cisco Easy VPN включают:

• Обновления динамической политики: позволяет сетевым операторам или поставщикам услуг изменять конфигурации оборудования и сети по мере необходимости, не касаясь устройств конечных пользователей. Простые серверы VPN спустить последние политики безопасности по мере необходимости, минимизируя ручную конфигурацию и ошибки оператора, тем самым уменьшая дополнительные сервисные вызовы.

• Усовершенствованная простой архитектура VPN (Integration VTI): значительно упрощает требования к конфигурации на заголовке, а также в удаленных ветвях. IP Services можно настроить с использованием интерфейсов виртуального типа (или загруженных с аутентификации, авторизации и бухгалтерских серверов [AAA]), а во время подключения экземпляры VTI динамически клонируются из этих шаблонов. Нет необходимости вручную создавать аналогичные наборы команд конфигурации для каждого удаленного сайта. Усовершенствованный Easy VPN не поддерживает протоколы маршрутизации; Тем не менее, он хорошо работает с инъекцией обратного маршрута (RRI) для распределения информации о достижении для различных подсети.

• Аппаратный клиент VPN: позволяет маршрутизатору VPN или устройству безопасности выступать в качестве клиента VPN, обработка шифрования от имени пользователей ПК на локальной сети. Это устраняет необходимость для конечных пользователей для покупки и настройки внешних устройств VPN.

• Cisco Easy VPN и Cisco Unity ® Framework: снижает проблемы совместимости между различными клиентами программного обеспечения на основе ПК, внешними аппаратными решениями VPN и другими приложениями VPN.

Динамика (я.эн., По требованию и автоматизировано) характер Cisco Easy VPN Policy Push Featury является центральной для значительного упрощения развертывания VPN до малого офиса, телеработника и среде удаленного/филиала. В таблице 2 ниже перечислены основные функции и преимущества PLIP PUSH.

Таблица 2. Централизованный политический толчок и преимущества

Описание и выгода

Конфигурация прокси браузера

Эта функция позволяет легкому VPN -серверу автоматически нажимать прокси -сервер на удаленное устройство без ручного вмешательства. Оригинальные настройки прокси на удаленном дистанционном управлении также автоматически возвращаются при отключении.

Подключение к локальной сети может быть сохранена в непредвзятном соединении. Это позволяет местным ресурсам, таким как принтеры и серверы оставаться доступными при установке безопасного соединения.

Вход в систему баннер (для клиентов аппаратного обеспечения)

Easy VPN Server выдвигает баннер на удаленное устройство, где баннер может использоваться во время расширенной аутентификации (xauth) и веб-активации. Персонализированные сообщения могут отображаться на удаленном устройстве при первом разборе туннеля VPN.

Автоматическое обновление (для клиентов программного обеспечения)

Easy VPN -сервер может быть настроен для предоставления автоматического механизма для обновлений программного обеспечения для легких клиентов VPN.

Обновление автоматической конфигурации

Easy VPN -сервер может быть настроен для обеспечения автоматического механизма для обновлений программного обеспечения и прошивки на простом удаленном клиенте VPN. Любое изменение конфигурации может быть передано любому количеству клиентов, без необходимости их трогать.

Центральная политика стремится к интегрированному брандмауэру клиента

Эта функция позволяет Cisco IOS-программным серверам на основе программного обеспечения для настройки личных брандмауэров на клиентских машинах, что позволяет улучшить безопасность против разделенного туннеля. Серверы easyVPN могут не позволять клиентам, у которых нет последних политик конфигурации брандмауэра, присоединиться к VPN.

DHCP клиент -прокси и распределенные DNS

Easy VPN -сервер выступает в качестве клиента DHCP прокси -DHCP, получает IP -адрес с DHCP -сервера и распространяет IP -адрес клиенту. С помощью этой функции сервер VPN Cisco Easy может назначить IP -адрес клиенту с корпоративного DHCP -сервера, создавая централизованное управление распределением IP -адресов.

Разделенное туннелирование позволяет, чтобы трафик с ограниченным интернетом отправлялся непосредственно в Интернет. Без этой функции весь трафик отправляется на устройство Headend, а затем маршрутируется на ресурсы назначения (исключение корпоративной сети с пути для доступа к Интернету). Разделенное туннелирование обеспечивает более эффективное использование корпоративных ИТ-ресурсов, освобождая пропускную способность для тех, кто получает критически важные данные и приложения из отдаленных местоположений.

Поддержка Split DNS

Split-DNS позволяет простому VPN-клиенту выступать в качестве прокси-сервера DNS, направляя интернет-запросы на сервер DNS ISP и направлять корпоративные запросы DNS на корпоративные серверы DNS.

В таблице 3 перечислены основные функции аутентификации и преимущества решения Cisco Easy VPN.

Таблица 3. Функции и преимущества аутентификации

Описание и выгода

Действует как клиент RADIUS, выполняет аутентификацию пользователей через RADIUS, выполняя локальную аутентификацию и авторизацию, а также информацию о поддержке сессии бухгалтерского учета.

Поддерживает цифровые сертификаты для аутентификации конечных точек туннеля.

Улучшает схему шифрования до запугивания паролей в программном обеспечении Cisco IOS с помощью более сильного шифра.

Туннель активируется на интересном трафике (триггер ACL)

Безопасные туннели могут быть построены на основе интересного трафика, определенного в списке управления доступом (ACL). Способность контролировать на гранулярном уровне, который зашифруется трафик, снижает потенциальные отходы полосы пропускания.

Интерпт веб -сайта для Xauth

Предоставляет интерфейс HTTP для ввода учетных данных Xauth в программный аппаратный клиент Cisco IOS. Это устраняет необходимость использования CLI для входа в систему и позволяет пользователям аутентифицировать все устройство, а не просто один порт.

Предоставляет возможность обойти туннель, что позволяет незашифрованному доступу в Интернете для членов домохозяйства.

Истечение срока действия пароля с помощью AAA

Пользователи клиентов VPN могут ввести новые пароли после истечения срока действия паролей.

Масштабируемость и высокая доступность

В таблице 4 перечислены основные функции высокой доступности и масштабируемости и преимущества решения Cisco Easy VPN.

Таблица 4. Масштабируемость и высокодоступность и преимущества

Описание и выгода

Внедрение обратного маршрута (RRI)

Для VPN, требующих либо высокой доступности, либо балансировки нагрузки, RRI упрощает конструкции сети. RRI создает маршруты для каждой удаленной сети или хоста на устройстве Headend, чтобы обеспечить динамическое распространение маршрута.

Обнаружение мертвых сверстников (DPD) и Keepalives

DPD идеально подходит для средств, в которой клиенты хотят переключения переключения между концентраторами в разных подсетях. Маршрутизатор запрашивает, что его eke -сверстники через регулярные промежутки.

Протокол горячего резервного маршрутизатора (HSRP)

HSRP обеспечивает высокую доступность сети путем маршрутизации IP -трафика от хостов в сети Ethernet, не полагаясь на доступность любого отдельного маршрутизатора. При использовании вместе RRI и HSRP предоставляют более надежную конструкцию сети для VPN и уменьшают сложность настройки дистанционных коллег.

IPSec Stateful Offoplover

Стоимость отказа от состояния позволяет маршрутизатору продолжать обрабатывать и пересылать пакеты IPSec после запланированного или незапланированного отключения.

Недопустимый индекс индекса параметра безопасности (SPI)

Получение неверного сообщения SPI автоматически запускает приемник, чтобы инициировать новый обмен ключами. Для аналогов IKE, которые не поддерживают Keepalives или DPD, неверное восстановление SPI помогает восстанавливать сверстников после аварийного переключения.

Многочисленные резервные сверстники

Эта функция позволяет локально поддержать несколько конфигураций со стороны одноранговых сверстников на маршрутизаторе.

Первичная реактивация сверстников

Если первичное соединение туннеля VPN будет проиграно, простой клиент VPN продолжит переоценить соединение с первичным однорангом после неудачи. После того, как основной сверстник станет доступным, соединение восстанавливается, и подключение к резервной копии упало.

Отдаленные двойные туннели

Эта функция позволяет настроить несколько простых туннелей VPN, которые общие внутри и внешние интерфейсы для подключения двух одноранговых серверов к двум различным серверам VPN одновременно.

Ipsec Single Association

Эта функция устанавливает один туннель IPSec, независимо от количества поддерживаемых нескольких подсет. Использование ресурсов на маршрутизаторах VPN уменьшается, повышая их способность масштабировать.

Сервер нагрузка балансировки

Программное обеспечение Cisco iOS выбирает сервер на основе настроенного алгоритма балансировки загрузки. Если один из серверов не удается, все входящие запросы динамически перенаправляются на остальные серверы.

Снижение общей стоимости владения

Решение Cisco Easy VPN помогает предприятиям снизить общую стоимость владения несколькими способами:

• Снижение капитальных затрат: интегрированное программное решение Cisco IOS снижает первоначальные затраты на закупки по сравнению с развертыванием отдельных приборов. Клиентское программное обеспечение VPN включено в решение, обеспечивая поддержку пользователям с удаленным доступом, не требуя дополнительных лицензий на функции.

• Сокращенные затраты на обучение: Cisco Easy VPN -функции могут быть настроены со стандартным CLI Cisco IOS, что позволяет сетевым операторам настраивать и устранить решение легко и интуитивно не устранять решение без обширного обучения; Нет необходимости изучать новое оборудование и программное обеспечение.

• Снижение эксплуатационных расходов: крупные развертывания получают выгоду от централизованных возможностей Policy Push, которые минимизируют вмешательство человека во время постоянных изменений в удаленном аппаратном и программном обеспечении. Для небольших развертываний Cisco Easy VPN можно настроить с помощью приложения управления устройством, маршрутизатора Cisco и диспетчера устройств безопасности (SDM). Легкие в использовании мастер Cisco SDM позволяют конфигурации маршрутизации, QoS, VPN и функций безопасности (E.г., Cisco TAC, одобренные политиками брандмауэра по умолчанию), а также мониторинг журналов брандмауэра в реальном времени.

• Более низкие затраты на поддержку и техническое обслуживание: одно интегрированное устройство означает единый договор поддержки, что еще больше снижает текущие затраты, связанные с несколькими устройствами. Кроме того, управление одним поставщиком намного проще, чем управление несколькими отношениями.

В таблице 5 перечислено количество туннелей Cisco Easy VPN, поддерживаемых на основе платформы Cisco.

Таблица 5. Количество туннелей, поддерживаемых на платформу

Максимальное количество простых туннелей VPN

Cisco 800 серии Integrated Services Routers

Cisco 1800 (All 18xx, кроме 1841)

Cisco 1841 Интегрированные маршрутизаторы служб с расширенным модулем интеграции 1 (AIM-VPN/SSL-1)

Cisco 1941 Интегрированные маршрутизаторы служб с бортовым крипто-модулем

Cisco 2800 серии Integrated Services Routers с AIM-VPN/SSL-2

Интегрированные маршрутизаторы серии Cisco 2900 с встроенными криптографиями

Cisco 3825 Интегрированные маршрутизаторы служб с AIM-SSL-3

Cisco 3925 Integrated Service Routers с SPE-100

Cisco 3845 Интегрированные маршрутизаторы служб с AIM-SSL-3

Cisco 3945 Integrated Services Routers с SPE-150

Маршрутизатор серии Cisco ASR 1000

Маршрутизаторы серии Cisco 7200 с модулем ускорения VPN 2+ (VAM2+)

Cisco 7201/7301 маршрутизаторы с VAM2+

Маршрутизаторы Cisco 7200VXR с адаптером VPN Services (VSA)

Маршрутизаторы серии Cisco 7600 с общим портом IPSEC VPN (SPA)

Cisco Catalyst 6500 Series Series с IPSEC VPN SPA или VSPA

В таблице 6 перечислены системные требования к программному обеспечению Cisco Easy VPN на маршрутизаторах и коммутаторах Cisco, использующих программное обеспечение Cisco IOS.

Таблица 6. Системные Требования

Руководство пользователя для Cisco Security Manager 4.22

Книга содержимого

Основы использования менеджера безопасности

Начало работы с менеджером безопасности
Подготовка устройств для управления
Управление инвентаризацией устройства
Управление мероприятиями
Управление политикой
Управление объектами политики
Управление FlexConfigs
Управление развертыванием
Устранение неполадок в устройстве и развертывании
Управление сервером Security Manager
Настройка административных настроек Security Manager

Введение в услуги брандмауэра
Управление политикой брандмауэра с учетом личности
Управление политикой брандмауэра TrustSec
Управление правилами брандмауэра ААА
Управление правилами доступа брандмауэра
Управление правилами проверки брандмауэра
Управление правилами веб -фильтра брандмауэра
Управление правилами фильтра брандмауэра ботнета
Работа с Scansafe Web Security
Управление правилами брандмауэра на основе зоны
Управление зонами дорожного движения
Управление правилами трансапариентного брандмауэра
Настройка перевода сетевого адреса

Управление VPN-сайтом на сайте: основы
Настройка политик IKE и IPSEC
GRE и DM VPNS
Легкий VPN
Групповые зашифрованные транспортные (get) vpns
Управление удаленным доступом VPN: основы
Управление удаленным доступом VPN на ASA и PIX 7.0+ устройства
Управление политиками динамического доступа для удаленного доступа VPN (ASA 8.0+ устройства)
Управление удаленным доступом VPN на iOS и PIX 6.3 устройства
Настройка объектов политики для удаленного доступа VPN
Используя представление карты

Начало работы с конфигурацией IPS
Управление интерфейсом устройства IPS
Настройка виртуальных датчиков
Определение подписей IPS
Настройка правил действия событий
Управление обнаружением аномалий IPS
Настройка глобальной корреляции
Настройка контроллера ответа атаки для блокировки и ограничения скорости
Управление датчиками IPS
Настройка маршрутизаторов IOS IPS

Управление устройствами брандмауэра
Настройка мостичных политик на устройствах брандмауэра
Настройка политик администрирования устройств на устройствах брандмауэра
Настройка настроек доступа к устройствам на устройствах брандмауэра
Настройка аварийного переключения
Настройка имя хоста, ресурсы, учетные записи пользователей и SLAS
Настройка настроек доступа к серверу на устройствах брандмауэра
Настройка настройки доступа к серверу FXOS на устройствах серии Firepower 2100
Настройка политик журнала на устройствах брандмауэра
Настройка многоадресных политик на устройствах брандмауэра
Настройка политик маршрутизации на устройствах брандмауэра
Настройка политик безопасности на устройствах брандмауэра
Настройка правил политики обслуживания на устройствах брандмауэра
Настройка контекстов безопасности на устройствах брандмауэра
Пользовательские настройки

Управление маршрутизаторами
Настройка интерфейсов маршрутизатора
Администрирование устройства маршрутизатора
Настройка политики идентификации
Настройка политик ведения журнала
Настройка качества обслуживания
Настройка политик маршрутизации
Управление коммутаторами Cisco Catalyst и маршрутизаторами серии Cisco 7600

Просмотр событий
Управление отчетами
Мониторинг здоровья и производительности
Использование внешнего мониторинга, устранения неполадок и диагностических инструментов

Используя диспетчер Image

Найдите матчи в этой книге

Войдите в систему, чтобы сохранить контент

Доступные языки

Скачать параметры

Заголовок книги

Руководство пользователя для Cisco Security Manager 4.22

Легкий VPN

PDF – полная книга (44.67 МБ) PDF – эта глава (1.06 МБ) Просмотр с Adobe Reader на различных устройствах

Полученные результаты

Обновлено: 10 ноября 2020 г

Глава: Легкий VPN

Глава содержимого

Легкий VPN

Понимание простого VPN

Легкий VPN с резервной копией диска
Легкий VPN с высокой доступностью
Легкий VPN с динамическими виртуальными туннельными интерфейсами
Легкие режимы конфигурации VPN
Easy VPN и IKE расширенная аутентификация (Xauth)
Обзор настройки простого VPN
Важные заметки о простой конфигурации VPN

Настройка объектов политики учетных данных

Настройка динамического VTI для простого VPN

Легкий VPN

Easy VPN-это топология VPN Hub и Spoke, которая может использоваться с различными маршрутизаторами, PIX и ASA-устройствами. Политики определяются в основном на концентраторе и подталкивают на удаленные списки устройства VPN, гарантируя, что клиенты имеют актуальную политику, прежде чем установить безопасное соединение.

Эта глава содержит следующие темы:

Понимание простого VPN

Easy VPN упрощает развертывание VPN для удаленных офисов. С помощью простого VPN политики безопасности, определенные на головном конце, подталкиваются на удаленные устройства VPN, гарантируя, что клиенты имеют актуальную политику, прежде чем установить безопасное соединение.

Security Manager поддерживает конфигурацию простых политик VPN на топологиях VPN-концентрации и спиц. В такой конфигурации большинство параметров VPN определяются на простом VPN -сервере, который действует как устройство концентратора. Политики IPSEC в центре управляемых на сервере направляются на простые клиентские устройства VPN, минимизируя конфигурацию удаленных (спиц) устройств.

Easy VPN -сервер может быть маршрутизатором Cisco iOS, брандмауэром PIX или устройством серии ASA 5500. Легкий клиент VPN поддерживается на брандмауэрах Pix 501, 506, 506E, работающий с PIX 6.3, маршрутизаторы серии Cisco 800-3900 и устройства ASA 5505, управляющие программным обеспечением ASA.2 или позже.

Начиная с версии 4.17, Cisco Security Manager предоставляет легкую поддержку VPN с BVI. Как правило, easy VPN определяет самые высокие и самые низкие интерфейсы уровня безопасности во время стартапа ASA. В качестве внешнего интерфейса, на котором VPN-клиент инициирует туннель, используется самым низким уровнем безопасности, а интерфейс VPN используется в качестве внутреннего защищенного интерфейса.

На платформе ASA5506 конфигурация по умолчанию включает в себя BVI с наибольшим интерфейсом уровня безопасности 100 с уровнем безопасности его членов -интерфейсов, также установленной на уровне 100, а также внешний интерфейс с уровнем безопасности 0 (ноль). Клиент VPN отклоняет два или более интерфейсов с одинаковым самым высоким уровнем безопасности. Easy VPN определяет, что существует более двух интерфейсов с таким же самым высоким уровнем безопасности, и, следовательно, клиент VPN не включен.

Чтобы преодолеть эту проблему, VPNClient Secure Interface CLI был введен для всех устройств ASA 5506, 5508 и 5512 [x/h/w] от ASA 9.9 (2). Таким образом, для поддержки CLI в Cisco Security Manager, начиная с версии 4.17, новый компонент “VPN Клиентский интерфейс” введен в топологию Hub & Spoke Topology (Easy VPN).

Примечание

Некоторые политики, используемые в простых топологиях VPN, аналогичны тем, которые используются в удаленном доступе VPN. В удаленном доступе VPNS настраивается политики между серверами и мобильными удаленными ПК с помощью клиентского программного обеспечения VPN, тогда как в простых топологиях VPN на сайте клиенты являются аппаратными устройствами.

Этот раздел содержит следующие темы:

Легкий VPN с резервной копией диска
Легкий VPN с высокой доступностью
Легкий VPN с динамическими виртуальными туннельными интерфейсами
Легкие режимы конфигурации VPN
Easy VPN и IKE расширенная аутентификация (Xauth)
Обзор настройки простого VPN
Важные заметки о простой конфигурации VPN

Легкий VPN с резервной копией диска

Dial Backup для Easy VPN позволяет настроить подключение к резервному копированию туннеля на вашем удаленном клиентском устройстве. Функция резервного копирования активируется только тогда, когда реальный трафик готов к отправке, устраняя необходимость в дорогостоящем обретке или ссылках ISDN, которые должны быть созданы и поддерживаются, даже если нет трафика.

Примечание

Easy VPN Dial Backup может быть настроена только на удаленных клиентов, которые являются маршрутизаторами, работающими с iOS версии 12.3 (14) т или позже.

В простой конфигурации VPN, когда удаленное устройство пытается подключиться к серверу, а отслеживаемый IP больше не доступен, первичное соединение снято, и новое соединение устанавливается над легким туннелем VPN с сервером. Если первичный концентратор не может быть достигнут, первичная конфигурация переключается на аварийный концентратор с той же основной конфигурацией, а не на конфигурацию резервного копирования.

Поддерживается только одна конфигурация резервного копирования для каждой первичной конфигурации VPN. Каждый внутренний интерфейс должен указать первичную и резервную конфигурацию VPN. Отслеживание статического маршрута IP должно быть настроено для резервного копирования Dial для работы на простом удаленном устройстве VPN. Конфигурация отслеживания объекта не зависит от простой конфигурации резервного копирования удаленного набора VPN. Детали отслеживания объектов указаны в списке’S Edit Endpoints Диалоговое окно.

Для получения дополнительной информации о резервном копировании Dial см. Настройка резервного копирования Dial.

Легкий VPN с высокой доступностью

Вы можете настроить высокую доступность (HA) на устройствах в простой топологии VPN. Высокая доступность обеспечивает автоматическое резервное копирование устройства при настройке на маршрутизаторах Cisco IOS или устройствах Catalyst 6500/7600, которые запускают IP -LANS. Вы можете создать группу HA, состоящую из двух или более концентраточных устройств в вашем простой VPN, которые используют протокол горячей резервной маршрутизации (HSRP) для обеспечения прозрачного автоматического отказа от устройства. Для получения дополнительной информации см. Настройка высокой доступности в топологии VPN.

Легкий VPN с динамическими виртуальными туннельными интерфейсами

Функция интерфейса виртуального туннеля IPSEC (VTI) упрощает конфигурацию туннелей GRE, которые необходимо защитить IPSec для каналов удаленного доступа. VTI – это интерфейс, который поддерживает туннелирование IPSec и позволяет применять интерфейсные команды непосредственно к туннелям IPSec. Конфигурация интерфейса виртуального туннеля уменьшает накладные расходы, поскольку она не требует статического отображения сеансов IPSec с конкретным физическим интерфейсом, где применяется крипто -карта.

IPSec VTI поддерживают как одноадресную, так и многоадресную зашифрованное трафик на любом физическом интерфейсе, например, в случае нескольких путей. Трафик зашифруется или расшифровывается при пересылке с или в туннельный интерфейс и управляется таблицей маршрутизации IP. Динамическая или статическая маршрутизация IP может использоваться для маршрутизации трафика на виртуальный интерфейс. Использование IP -маршрутизации для пересылки трафика в интерфейс туннеля упрощает конфигурацию IPSec VPN по сравнению с более сложным процессом использования списков управления доступом (ACL) с крипто -картой. Динамическая функция VTIS, как и любой другой реальный интерфейс, чтобы вы могли применять качество обслуживания (QoS), брандмауэр и другие службы безопасности, как только туннель активен.

Динамическая VTIS Используйте виртуальную инфраструктуру шаблона для динамического экземпляра и управления интерфейсами IPSec. В простой топологии VPN Security Manager неявно создает интерфейс виртуального шаблона для устройства. Если устройство является концентратором, пользователь должен предоставить IP -адрес в концентраторе, который будет использоваться в качестве интерфейса виртуального шаблона – это может быть подсеть (пул адресов) или существующий цикл или физический интерфейс. На списке интерфейс виртуального шаблона создается без IP -адреса.

В Security Manager вы настраиваете динамический VTI на простой странице предложения VPN IPSEC. См. Настройка динамического VTI для простого VPN.

Примечания

Динамический VTI можно настроить только в топологии VPN с концентратором и спиком на маршрутизаторах, работающих на iOS версии 12.4 (2) T и позже, кроме 7600 устройств. Он не поддерживается на брандмауэрах Pix, устройствах ASA или выключателях серии Catalyst 6000.
Не все концентраторы/спицы требуют динамической конфигурации VTI во время обнаружения или предоставления. Вы можете расширить существующую простую топологию VPN (включая маршрутизаторы, не поддерживающие DVTI), чтобы добавить маршрутизаторы, которые поддерживают DVTI.
Динамический VTI поддерживается только на серверах, только клиенты (если сервер не поддерживает DVTI), или как клиенты, так и серверы.
Вы не можете настроить высокую доступность на концентраторах/серверах, которые были настроены с DVTI.
Вы также можете настроить динамический VTI в удаленном доступе VPNS. Для получения дополнительной информации см. Настройка динамического VTI/VRF Allive IPSec в удаленном доступе VPN (устройства iOS).

Легкие режимы конфигурации VPN

Easy VPN может быть настроен в трех режимах – клиенте, расширение сети и расширение сети плюс.

Режим клиента – конфигурация по умолчанию, которая позволяет устройствам на сайте клиента получать доступ к ресурсам на центральном сайте, но предотвращает доступ к центральному сайту для ресурсов на клиентском сайте. В клиентском режиме один IP -адрес выдвигается на удаленный клиент с сервера при установке соединения VPN. Этот адрес, как правило, является маршрутизируемым адресом в пространстве частного адреса сети клиентов. Весь трафик, проходящий через легкий туннель VPN, подвергается переводу адреса порта (PAT) на этот единственный нажатый IP -адрес.
Режим расширения сети – позволяет пользователям на центральном сайте получить доступ к сетевым ресурсам на клиентском сайте и позволяет клиентским ПК и хостам прямой доступ к ПК и хостам на центральном сайте. Режим расширения сети указывает, что хосты на конце клиента туннеля VPN должны быть предоставлены IP -адреса, которые полностью направлены и достижимы в сети назначения. Устройства на обоих концах подключения будут сформировать одну логическую сеть. Пэт не используется, поэтому хосты в конце клиента имеют прямой доступ к хостам в сети назначения. Другими словами, простой VPN -сервер (концентратор) дает маршрутируемые адреса легкому клиенту VPN (Spoke), в то время как вся серия позади клиента не будет подвергаться PAT.
Режим расширения сети плюс – улучшение режима расширения сети, которое можно настроить только на маршрутизаторах iOS. Он позволяет автоматически назначать IP -адрес, полученный через конфигурацию режима. Этот IP -адрес можно использовать для подключения к вашему маршрутизатору для удаленного управления и устранения неполадок (Ping, Telnet и Secure Shell). Если вы выберете эту опцию, некоторые Clienx`ts не являются маршрутизаторами iOS, эти клиенты настроены в режиме расширения сети.

Вы настраиваете режим в политике характеристик подключения клиента, как описано при настройке характеристик подключения клиента для простого VPN.

Easy VPN и IKE расширенная аутентификация (Xauth)

При переговоре параметры туннеля для создания туннелей IPSec в простой конфигурации VPN, расширенная аутентификация IKE (XAuth) добавляет еще один уровень аутентификации, который идентифицирует пользователя, который запрашивает соединение IPSec. Если VPN -сервер настроен для Xauth, клиент ожидает задачи имени пользователя/пароля после создания Ассоциации безопасности IKE (SA). Когда конечный пользователь отвечает на задачу, ответ направляется на коллеги IPSEC для дополнительного уровня аутентификации.

Введенная информация проверяется против объектов аутентификации с использованием протоколов аутентификации, авторизации и бухгалтерского учета (AAA), таких как Radius и Tacacs+. Токеновые карты также могут использоваться через прокси AAA. Во время Xauth атрибут для конкретного пользователя может быть извлечен, если учетные данные этого пользователя подтверждены через Radius.

Примечание

VPN -серверы, настроенные для обработки удаленных клиентов, всегда должны быть настроены для обеспечения аутентификации пользователей.

Security Manager позволяет вам сохранить имя пользователя и пароль Xauth на самом устройстве, чтобы вам не нужно было вводить эти учетные данные вручную каждый раз, когда устанавливается легкий VPN -туннель. Информация сохраняется в устройстве’S файл конфигурации и используется каждый раз, когда установлен туннель. Сохранение учетных данных в устройстве’s Файл конфигурации обычно используется, если устройство совместно используется между несколькими ПК, и вы хотите постоянно поддерживать туннель VPN, или если вы хотите, чтобы устройство автоматически выводило туннель при отправке трафика.

Сохранение учетных данных в устройстве’Однако файл конфигурации S может создать риск безопасности, потому что любой, кто имеет доступ к конфигурации устройства, может получить эту информацию. Альтернативный метод для аутентификации Xauth – вручную вводить имя пользователя и пароль каждый раз, когда запрашивается Xauth. Вы можете выбрать, использовать ли окно веб -браузера или консоли маршрутизатора для ввода учетных данных. Используя веб-взаимодействие, возвращается страница входа в систему, в которой вы можете ввести учетные данные для аутентификации туннеля VPN. После того, как туннель VPN появится, все пользователи этого удаленного сайта могут получить доступ к корпоративной локальной сети, не будучи снова запрашиваемыми для имени пользователя и пароля. В качестве альтернативы, вы можете обойти туннель VPN и подключиться только к Интернету, и в этом случае пароль не требуется.

Легкая активация туннеля VPN

Если учетные данные устройства (xauth username и пароль) хранятся на самом устройстве, вы должны выбрать метод активации туннеля для клиентов маршрутизатора iOS. Доступны два варианта:

Auto – легкий VPN -туннель устанавливается автоматически, когда в файл конфигурации устройства доставляется легкая конфигурация VPN. Если туннель выходит или терпит неудачу, туннель автоматически воссоединяется и повторно дает неопределенность. Это опция по умолчанию.
Активация запуска трафика – легкий VPN -туннель устанавливается всякий раз, когда обнаруживается исходящий локальный (сторона локальной сети). Активация запуска трафика рекомендуется для использования с простой конфигурацией резервного копирования VPN, чтобы резервное копирование активировалось только тогда, когда есть трафик для отправки через туннель. При использовании этой опции необходимо указать список управления доступом (ACL), который определяет “интересный” трафик.

Вы настраиваете режим активации Xauth и Tunnel в политике характеристик клиентского соединения, как описано при настройке характеристик подключения клиента для простого VPN.

Обзор настройки простого VPN

Когда удаленный клиент инициирует подключение к VPN -серверу, аутентификация устройства между одноранговыми коллегами происходит с использованием IKE, а затем аутентификация пользователей с использованием расширенной аутентификации IK.

Ниже приведено обзор этого процесса:

Клиент инициирует фазу 1 IKE через агрессивный режим, если предварительно предварительно используется ключ для аутентификации или основной режим, если используются цифровые сертификаты. Если клиент идентифицирует себя с предварительным ключом, сопровождающее имя группы пользователей (определено во время конфигурации) используется для идентификации профиля группы, связанного с этим клиентом. Если используются цифровые сертификаты, поля организационной единицы (OU) выдающегося имени (DN) используется для идентификации имени группы пользователей. См. Диалоговое окно регистрации PKI – вкладка «Имя субъекта».

Клиент пытается установить SA между его общедоступным IP -адресом и общедоступным IP -адресом VPN -сервера. Чтобы уменьшить объем ручной конфигурации на клиенте, предложена каждая комбинация шифрования и алгоритмов хэш, в дополнение к методам аутентификации и размерам группы D-H.
В зависимости от его конфигурации политики IKE, VPN -сервер определяет, какое предложение является приемлемым для продолжения ведения переговоров. Фаза 1.

После успешного установки AKE SA, и если VPN -сервер настроен для Xauth, клиент ждет “имя пользователя Пароль” вызов, а затем реагирует на вызов сверстника. Введенная информация проверяется против объектов аутентификации с использованием протоколов аутентификации, авторизации и бухгалтерского учета (AAA), таких как Radius и Tacacs+. Токеновые карты также могут использоваться через прокси AAA. Во время Xauth атрибут для конкретного пользователя может быть извлечен, если учетные данные этого пользователя подтверждены через Radius.

Если сервер указывает, что аутентификация была успешной, клиент запрашивает дальнейшие параметры конфигурации у однорангового языка. Оставшиеся параметры системы (например, IP -адрес, DNS и атрибуты с разделенным туннелем) доставляются клиенту, используя конфигурацию режима расширения клиента или сети.

После того, как каждому клиенту назначается внутренний IP -адрес с помощью конфигурации режима режима, инъекция обратного маршрута (RRI), если он настроен, гарантирует, что на устройстве создается статический маршрут для каждого клиента внутреннего IP -адреса.
IKE Quick Mode инициируется для переговоров и создания IPSEC SAS.

Соединение завершено.

Важные заметки о простой конфигурации VPN

Прежде чем настроить простую политику VPN в своей топологии, вы должны знать следующее:

В простой конфигурации топологии VPN развертывание сбои сбоя, если маршрутизатор серии 72xx используется в качестве удаленного клиентского устройства. Легкий клиент VPN поддерживается на брандмауэрах Pix 501, 506, 506E, работающий с PIX 6.3, маршрутизаторы серии Cisco 800-3900 и устройства ASA 5505, управляющие программным обеспечением ASA.2 или позже.
Если вы попытаетесь настроить политику инфраструктуры открытого ключа (PKI) на PIX 6.3 удаленного клиента в простой конфигурации топологии VPN, развертывание не удалось. Для успешного развертывания на этом устройстве, вы должны сначала выпустить сертификат PKI на сервере CA, а затем попытаться развернуть устройство. Для получения дополнительной информации о политике PKI см. Понимание политики инфраструктуры открытого ключа.
В некоторых случаях развертывание не сбои на устройстве, которое служит легким клиентом VPN, если крипто -карта настроена на внутреннем интерфейсе NAT (или PAT) вместо внешнего интерфейса. На некоторых платформах внутренние и внешние интерфейсы зафиксированы. Например, на маршрутизаторе серии Cisco 1700 интерфейс VPN должен быть устройством’S -FastEthernet0 интерфейс. На маршрутизаторе серии Cisco 800 Интерфейс VPN может быть либо устройством’Интерфейс STHERNET0 или Dialer1, в зависимости от конфигурации. На маршрутизаторе Cisco UBR905/UBR925 доступа к кабелю интерфейс VPN должен быть интерфейс Ethernet0.

Настройка характеристик подключения клиента для простого VPN

Используйте страницу характеристик подключения клиента, чтобы указать, как будет направлен трафик в простой топологии VPN и как будет установлен туннель VPN. Характеристики, определенные в этой политике, настроены на удаленных клиентов. Перед настройкой этой политики прочитайте следующие темы:

Легкие режимы конфигурации VPN
Easy VPN и IKE расширенная аутентификация (Xauth)

Навигационный путь

(Окно VPN Manager Site-Site) Выберите простую топологию VPN в селекторе VPNS, затем выберите характеристики подключения клиента в селекторе политик.
(Просмотр политики) Выберите VPN-сайт-сайт-сайт> Характеристики подключения клиента и создайте новую политику или отредактируйте существующую политику.

Полевой ссылка

Режим конфигурации для удаленных устройств:

Клиент – определяет этот трафик от удаленного клиента’S Внутренняя сеть будет проходить перевод адреса порта (PAT) на один IP -адрес, который был назначен для устройства сервером Head End во время подключения.
Расширение сети – указывает на то, что ПК и другие хосты на конце клиента туннеля VPN должны быть предоставлены IP -адреса, которые полностью маркируются и достижимы в сети назначения. PAT не используется, позволяя клиентским ПК и хостам иметь прямой доступ к ПК и хостам в сети назначения.
Сеть расширение плюс – улучшение режима расширения сети, которое позволяет автоматически назначать IP -адрес, полученный через конфигурацию режима. IPSec SAS для этого IP -адреса автоматически создается с помощью простого клиента VPN. IP -адрес обычно используется для устранения неполадок (с помощью Ping, Telnet и Secure Shell).

Если вы выберете сетевой расширение плюс, этот режим настроен только на маршрутизаторах iOS. Клиенты, которые являются устройствами PIX или ASA, настроены в режиме расширения сети.

XAUTH DELERENTIONS Источник

Выберите, как вы хотите ввести учетные данные Xauth для аутентификации пользователей, когда вы устанавливаете соединение VPN с сервером:

Устройство, хранящиеся в устройстве (по умолчанию) – имя пользователя и пароль сохраняются на самом устройстве на устройстве’S -файл конфигурации, который будет использоваться каждый раз, когда установлен туннель.
Интерактивные введенные учетные данные – вы можете вручную вводить имя пользователя и пароль каждый раз, когда запрашивается Xauth, в окне веб -браузера или из консоли маршрутизатора.

Доступно только в том случае, если вы выбрали устройства, хранящиеся учетные данные в качестве источника учетных данных Xauth.

Объект политики учетных данных, который определяет учетные данные Xauth по умолчанию. Введите имя объекта или нажмите «Выберите», чтобы выбрать его из списка или создать новый объект. Для получения дополнительной информации см. Настройку объектов политики учетных данных.

Активация туннеля (iOS)

Доступно только в том случае, если вы выбрали опцию «Хранитое устройство» для источника пароля Xauth.

Для клиентов маршрутизатора iOS выберите метод активации туннеля:

AUTO (по умолчанию) – легкий туннель VPN создается автоматически, когда в файл конфигурации устройства будет установлена простая конфигурация VPN. Если туннель выходит или терпит неудачу, туннель автоматически воссоединяется и повторно дает неопределенность.
Активация запуска трафика – легкий туннель VPN устанавливается всякий раз, когда обнаруживается исходящий местный (сторона локальной сети). Если вы выберете активацию, запускаемую трафик, также введите имя объекта политики списка доступа (ACL), который определяет трафик, который должен активировать туннель. Нажмите выберите, чтобы выбрать объект или создать новый объект.

Активация запуска трафика рекомендуется для использования, когда настраивается простое резервное копирование VPN, так что резервное копирование активируется только тогда, когда есть трафик для отправки через туннель.

Метод аутентификации пользователя (iOS)

Доступно только в том случае, если вы выбрали опцию интерактивного введенного учетных данных для источника учетных данных Xauth. Опция применяется только к удаленным маршрутизаторам iOS.

Выберите один из этих способов ввода имени пользователя и пароля в интерактивном порядке каждый раз, когда запрашивается аутентификация Xauth:

Веб -браузер (по умолчанию) – руководство в окне веб -браузера.
Консоль маршрутизатора – управляемое с маршрутизатора’S Командная строка.

Настройка объектов политики учетных данных

Используйте диалоговое окно учетных данных для создания, копирования и редактирования объектов учетных данных.

Объекты учетных данных используются в легкой конфигурации VPN во время расширенной аутентификации IKE (xauth) при аутентификации доступа пользователей к сетевым и сетевым сервисам. При переговоре параметров туннеля для создания туннелей IPSec в простой конфигурации VPN Xauth идентифицирует пользователя, который запрашивает соединение IPSec. Если сервер VPN настроен для Xauth, клиент ждет “имя пользователя Пароль” Задача после того, как Ake SA был создан. Когда конечный пользователь отвечает на задачу, ответ направляется на коллеги IPSEC для дополнительного уровня аутентификации. Вы можете сохранить учетные данные Xauth (имя пользователя и пароль) на самом устройстве, чтобы вам не нужно вводить их вручную каждый раз, когда устанавливается простой туннель VPN.

Навигационный путь

Выберите «Управление»> «Объекты политики», затем выберите учетные данные из сектора типа объекта. Щелкните правой кнопкой мыши внутри рабочей области и выберите «Новый объект» или щелкните правой кнопкой мыши строку и выберите «Редактировать объект .

Полевой ссылка

Имя объекта, которое может составлять до 128 символов. Имена объектов не чувствительны к случаям. Для получения дополнительной информации см. Создание объектов политики.

Необязательное описание объекта (до 1024 символов).

Имя, которое будет использоваться для идентификации пользователя во время аутентификации Xauth.

Пароль для пользователя, введенный в обеих полях. Пароль должен быть буквенно -цифровым и максимум 128 символов. Пространства не допускаются.

Категория, назначенная объекту. Категории помогают вам организовать и определять правила и объекты. См. Использование объектов категории.

Разрешить переопределение значений на устройство

Разрешить ли изменение определения объекта на уровне устройства. Для получения дополнительной информации см. Разрешение объекта политики быть переопределенным и пониманием переопределения объектов политики для отдельных устройств.

Если вы разрешите переопределить устройство, вы можете нажать кнопку «Редактировать», чтобы создать, редактировать и просмотреть переопределения. Поле переопределения указывает количество устройств, которые имеют переопределение для этого объекта.

Настройка предложения iPsec для простого VPN

Используйте легкую страницу предложения VPN IPSEC для настройки предложения IPSEC, используемого во время переговоров IKE Phase 2 для простых топологий VPN. Предложение IPSEC настроено на вкладке предложения IPSEC; Варианты описаны ниже.

В простых топологиях VPN вы также можете настроить динамический виртуальный интерфейс на вкладке Dynamic VTI. Для объяснения конфигурации DVTI динамический VTI Seeconfigulaing для простого VPN .

Примечание

Эта тема описывает страницу предложения IPSEC, когда технология VPN-сайта на сайте прост VPN. Описание страницы предложения IPSEC, когда технология VPN-сайта на сайте является чем-то другим, см. Настройку предложений IPSEC в VPN-сайтах на сайте .

Навигационный путь

(Окно VPN Manager Site-Site) Выберите простую топологию VPN в селекторе VPNS, затем выберите Easy VPN IPSec предложение в селекторе политик. Щелкните вкладку IPSEC Prefosal.
(Просмотр политики) Выберите VPN-сайт-сайт> Легкое предложение VPN IPSec из селектора типов политики. Выберите существующую общую политику или создайте новую. Щелкните вкладку IPSEC Prefosal.

Полевой ссылка

Наборы преобразования IKEV1

Наборы преобразований, которые будут использоваться для вашей политики туннеля. Наборы преобразования указывают, какие алгоритмы аутентификации и шифрования будут использоваться для обеспечения трафика в туннеле. Вы можете выбрать до 11 наборов преобразований. Для получения дополнительной информации см. Наборы «Понимание преобразования».

Наборы преобразования могут использовать только туннельный режим IPSec.

Если обоих коллег поддерживается более чем один из выбранных вами наборов преобразований, набор преобразования, обеспечивающий высочайшую безопасность, будет использоваться.

Нажмите выберите, чтобы выбрать IPSEC Transform Set объекты политики для использования в топологии. Если требуемый объект еще не определен, вы можете нажать кнопку «Создать» (+) под списком доступных объектов в диалоговом окне «Выбор», чтобы создать новую. Для получения дополнительной информации см. Настройка IPSEC IKEV1 или IKEV2 преобразования.

Поддерживается на устройствах серии ASA 5500, PIX 7.0+ устройства и маршрутизаторы Cisco IOS, кроме 7600 устройств.

Внедрение обратного маршрута (RRI) позволяет автоматически вставить статические маршруты в процесс маршрутизации для тех сетей и хостов, защищенных удаленным туннельным конечным. Для получения дополнительной информации см. Понимание инъекции обратного маршрута.

Выберите один из следующих параметров для настройки RRI на крипто -карте:

Нет – DisIsable Конфигурация RRI на крипто -карте.
Стандарт – (ASA, PIX 7.0+, устройства iOS) создает маршруты на основе информации о назначении, определенной в списке контроля доступа Crypto Map (ACL). Это опция по умолчанию.
Удаленный однозначный – (только устройства iOS) создает два маршрута: один для удаленной конечной точки и один для рекурсии маршрута в удаленную конечную точку через интерфейс, к которому применяется крипто -карта.
Удаленный IP -адрес улова – (только устройства iOS) указывает адрес как явный следующий прыжок на удаленное устройство VPN. Введите IP -адрес или объект сети/хоста, который указывает адрес или нажмите «Выберите», чтобы выбрать объект сети/хоста из списка или для создания нового объекта.

Включить перевод сетевого адреса

Поддерживается на PIX 7.Устройства серии 0+ и ASA 5500.

Разрешать ли трансляция перевода сетевого адреса (NAT).

Используйте NAT Traversal, когда есть устройство между концентратором, подключенным к VPN и Spote, и которое выполняет трансляцию сетевого адреса (NAT) на трафике IPSec. Для получения информации о Traversal, см. Понимание NAT в VPNS.

Метод авторизации групповой политики/AAA

Поддерживается только на маршрутизаторах Cisco iOS.

Список методов авторизации AAA, который будет использоваться для определения порядка, в котором поиск групповых политик. Групповые политики могут быть настроены как на локальном сервере, так и на внешнем сервере AAA. Удаленные пользователи сгруппированы, так что, когда удаленный клиент устанавливает успешное соединение с VPN -сервером, политики группы для этой конкретной группы пользователей направляются ко всем клиентам, принадлежащим к группе пользователей.

Нажмите SELECT, чтобы открыть диалоговое окно, в котором перечислены все доступные серверы группы AAA, в котором вы можете создать объекты сервера группы AAA. Выберите все, что применимо и используйте кнопки стрелки вверх и вниз, чтобы поместить их в приоритетный заказ.

Аутентификация пользователя (xauth)/AAA метод аутентификации

Поддерживается на маршрутизаторах Cisco iOS и Pix 6.3 брандмауэра.

Метод аутентификации пользователя AAA или Xauth, используемый для определения порядка, в котором поиск учетных записей пользователей.

Xauth позволяет всем методам аутентификации AAA выполнять аутентификацию пользователя на отдельном этапе после обмена фазой аутентификации IKE. Название списка конфигурации AAA должно соответствовать имени списка конфигурации Xauth для аутентификации пользователя.

После того, как IKE SA успешно установлен, и если устройство настроено для Xauth, клиент ожидает задачи имени пользователя/пароля, а затем отвечает на вызов сверстника. Введенная информация проверяется против объектов аутентификации с использованием протоколов аутентификации, авторизации и бухгалтерского учета (AAA), таких как Radius и Tacacs+.

Настройка динамического VTI для простого VPN

Используйте динамическую вкладку VTI из простых политики предложения VPN IPSEC для настройки динамического интерфейса виртуального туннеля на устройстве в топологии с концентратором и списком простой VPN Topology. Для получения дополнительной информации см. Easy VPN с динамическими виртуальными интерфейсами туннеля.

Примечание

Динамический VTI можно настроить только на маршрутизаторах iOS, работающих на iOS версии 12.4 (2) T и позже, кроме 7600 устройств.

Навигационный путь

(Окно VPN Manager Site-Site) Выберите простую топологию VPN в селекторе VPNS, затем выберите Easy VPN IPSec предложение в селекторе политик. Нажмите на вкладку Dynamic VTI.
(Просмотр политики) Выберите VPN-сайт-сайт> Легкое предложение VPN IPSec из селектора типов политики. Выберите существующую общую политику или создайте новую. Нажмите на вкладку Dynamic VTI.

Полевой ссылка

Включить динамический VTI

При выборе позволяйте Security Manager косвенно создавать динамический интерфейс виртуального шаблона на устройстве.

Если устройство представляет собой концентраторный сервер, который не поддерживает динамический VTI, отображается предупреждающее сообщение, а крипто -карта развертывается без динамического VTI. В случае клиентского устройства отображается сообщение об ошибке.

Виртуальный шаблон IP

Если вы настраиваете динамический VTI на концентраторе в топологии, укажите либо адрес подсети, либо роль интерфейса:

Подсеть – для использования IP -адреса, взятого из пула адресов. Введите частный IP -адрес, включая маску подсети, например, 10.1.1.0/24.
Роль интерфейса – использовать физический или петлевой интерфейс на устройстве. При необходимости нажмите «Выберите», чтобы открыть селектор интерфейса, где вы можете выбрать объект роли интерфейса, который идентифицирует желаемый интерфейс. Если подходящего объекта еще не существует, вы можете создать его в диалоговом окне «Выбор».

Если вы настраиваете динамический VTI на выступлении в топологии, выберите Нет .

Настройка политики профиля подключения для простого VPN

Профиль подключения состоит из набора записей, которые содержат политики подключения к туннелю IPSec. Профили соединений, или группы туннелей, определите групповую политику для конкретного соединения и включают ориентированные на пользователя атрибуты. Если вы не назначаете определенную групповую политику пользователю, применяется групповая политика по умолчанию для подключения. Для успешного соединения, имя пользователя удаленного клиента должно существовать в базе данных, в противном случае подключение отрицается.

В Site-To Site VPNS вы настраиваете политики профиля подключения на простом VPN-сервере, который может быть версией Fix Firewall Version 7.0+ или устройство серии ASA 5500. Политика профиля профиля подключения простого VPN аналогична той, которая используется для удаленного доступа VPNS.Вы можете отсоединить политику профиля подключения, если ни один из простых серверов VPN не является ASA или PIX 7.0+ устройства.

Создание политики профиля подключения включает в себя указание:

Групповая политика-коллекция ориентированных на пользователя атрибутов, хранящихся либо внутри, на устройстве или снаружи на сервере RADIUS/LDAP.
Глобальные настройки AAA – автотензирование, авторизация и бухгалтерские серверы.
Серверы DHCP, которые будут использоваться для назначения адресов клиента, и пулы адресов, из которых будут назначены IP -адреса.
Настройки для обмена интернет -клавишами (IKE) и IPSEC (например, Key Preshared Key).

На Pix7.0+/Страница профилей подключений ASA, вы можете подключить профили на своем простых VPN -сервере.

Похожие темы

Создание или редактирование топологий VPN
Понимание технологий и политики IPSec
Понимание простого VPN

Процедура

Выполните одно из следующих действий:

(Окно VPN Manager сайта на сайте) Выберите простую топологию VPN в селекторе VPNS, затем выберите профили подключения (PIX 7.0/asa) в селекторе политик.
(Просмотр политики) Выберите VPN-сайт-сайт> Профили соединений (PIX 7.0/asa) от селектора типов политики. Выберите существующую общую политику или создайте новую.

Для получения информации о политике см. Страницу профилей соединений.

На вкладке «Общие» укажите имя профиля подключения и политики группы и выберите, какой метод (или методы) назначения адреса использовать. Описание доступных свойств см. Вкладку «Общие» (профили соединений).

Нажмите на вкладку AAA и укажите параметры аутентификации AAA для профиля подключения. Описание элементов на вкладке см. Вкладку AAA (профили соединений).

Нажмите на вкладку IPSEC и укажите параметры IPSEC и IKE для профиля соединения. Описание элементов на вкладке см. Вкладку IPSec (профили соединений).

Настройка политики группы пользователей для простого VPN

Используйте страницу политики группы пользователей, чтобы создать или редактировать групповую политику пользователей на вашем простом VPN -сервере. Когда вы настраиваете простой VPN -сервер, вы создаете группу пользователей, к которой принадлежат удаленные клиенты. Простая группа пользователей VPN может быть настроена на маршрутизаторе Cisco IOS Security, PIX 6.3 брандмауэр, или катализатор 6500 /7600. Вы можете отсоединить политику группы пользователей, если ни один из простых серверов VPN не является маршрутизатором iOS, катализатором 6500/7600 или Pix 6.3 брандмауэра.

Удаленные клиенты должны иметь то же имя группы, что и группа пользователей, настроенная на сервере для подключения к устройству, в противном случае подключение не установлено. Когда удаленный клиент устанавливает успешное подключение к VPN -серверу, групповые политики для этой конкретной группы пользователей направляются ко всем клиентам, принадлежащим к группе пользователей.

Выберите объект политики группы пользователей, который вы хотите использовать в политике из списка доступных групп пользователей. Вы можете создать новый объект группы пользователей, нажав кнопку «Создать» (+) или отредактировать существующую группу, выбрав его и нажав кнопку «Редактировать значок» (значок карандаша). Для получения информации о настройке объекта группы пользователей см. Диалоговое окно «Добавить или редактировать группу пользователей».

Навигационный путь

(Окно VPN Manager Site-Site) Выберите простую топологию VPN в селекторе VPNS, затем выберите Политику группы пользователей в селекторе политик.
(Просмотр политики) Выберите VPN-сайт-сайт> Групповая политика пользователей из селектора типов политики. Выберите существующую общую политику или создайте новую.

Простые требования к серверу VPN

Для реализации простых удаленных возможностей VPN необходимо выполнить ряд обязательных руководств. Удаленная функция Cisco Easy VPN требует, чтобы концентратор назначения был Cisco Easy VPN -сервером или концентратором VPN, который поддерживает функцию Cisco Easy VPN Server. По сути, наборы аппаратных и программных функций должны быть теми, кто способен выполнять роли и функции решения простого VPN. Для этого требуется минимальная версия Cisco IOS следующим образом:

■ Cisco 831, 836, 837, 851, 857, 871, 876, 877 и 878 маршрутизаторы серии – Cisco IOS -выпуск программного обеспечения 12.2 (8) т или позже (обратите внимание, что маршрутизаторы серии 800 не поддерживаются в Cisco IOS 12.3 (7) xr, но поддерживается в 12.3 (7) xr2

■ маршрутизаторы серии Cisco 1700 – выпуск программного обеспечения Cisco IOS 12.2 (8) т или позже

■ Маршрутизаторы серии Cisco 2600 – Cisco IOS Software Release 12.2 (8) т или позже

■ Маршрутизаторы серии Cisco 3600 – Cisco IOS Shiply Release 12.2 (8) т или позже

■ Cisco 7100 серии VPN Routers – Cisco IOS Software Release 12.2 (8) т или позже

■ Маршрутизаторы серии Cisco 7200 – Cisco IOS Software Release 12.2 (8) т или позже

■ маршрутизаторы серии Cisco 7500 – Cisco iOS Software Release 12.2 (8) т или позже

■ Серия Cisco Pix 500 – Pix OS Release 6.2 или позже

■ Серия Cisco VPN 3000 – Software Release 3.11 или позже

Кроме того, требования к простым серверам VPN включают необходимость в политике Ассоциации интернет-безопасности и политике протокола управления ключами (ISAKMP) с использованием переговоров IKE Diffie-Hellman Group 2 (1024-битная). Это необходимо, потому что протокол Unity Cisco поддерживает только политики ISAKMP с использованием группы 2 IKE. Протокол Unity Cisco относится к методологии, которую клиенты VPN используют для определения порядка событий при попытке подключения к VPN -серверу. А

Протокол Cisco Unity работает на основе понятия клиентской группы. Клиент Unity должен сначала идентифицировать себя и аутентифицировать себя группой и, если Xauth включен, пользователем позже. Легкий VPN -сервер не может быть настроен для ISAKMP Group 1 или 5 при использовании с легкими клиентами VPN.

Для обеспечения безопасных туннельных соединений, удаленная функция Cisco Easy VPN не поддерживает наборы преобразований, обеспечивая шифрование без аутентификации или тех, кто обеспечивает аутентификацию без шифрования. Должны быть представлены как шифрование, так и аутентификация.

Протокол Unity Cisco не поддерживает аутентификацию подлинности аутентификации (AH), но он поддерживает полезную нагрузку инкапсуляции (ESP).

Иногда соединение VPN может использоваться в качестве резервного соединения, предназначенного для установки и использования, когда основная ссылка недоступна. Различные возможности резервного копирования доступны для удовлетворения такой потребности, включая, но не ограничиваясь, набрать резервную копию. При использовании сценариев резервного копирования Dial с простым VPN следует понимать, что любой метод резервного копирования, основанный на статусе линии, не поддерживается. Это означает, что основной интерфейс в состоянии вверх/вниз не запускает установление соединения VPN.

Также достойно упоминания на данный момент является тот факт, что совместимость NAT не поддерживается в режиме клиента при включении разделения туннелирования. Это связано с тем, что клиент будет подключен как к центральному сайту, так и к локальной локальной сети, причем маршрутизация включена в обе сетки в соответствии с определением разделенного туннелирования. Без разделительного туннелирования IP -адрес, назначенный центральным сайтом, станет адресом клиентского интерфейса. Это избегает любой возможности перекрытия адреса. При включении разделения туннелирования, это не всегда может быть так. Когда соединение установлено, и маршрут вводится в центральную сеть сайтов для удаленного доступа к сайту, маршрут должен быть уникальным. Разделенное туннелирование позволяет возможность перекрытия адреса.

Была ли эта статья полезна?

Требует ли простой VPN Cisco VPN -клиент?

Требует ли простой VPN Cisco VPN -клиент?

Краткое содержание

Ключевые моменты

Вопросы

Подробные ответы

Требует ли простой VPN Cisco VPN -клиент

Требует ли простой VPN Cisco VPN -клиент?

Поддерживать

Настройка VPN с использованием простого VPN и туннеля IPSEC

Иерархическая навигация

Загрузки

Оглавление

Настройка VPN с использованием простого VPN и туннеля IPSEC

Настройте политику IKE

Cisco Easy VPN на программных маршрутизаторах на основе программного обеспечения Cisco IOS

Руководство пользователя для Cisco Security Manager 4.22

Заголовок книги

Легкий VPN

Полученные результаты

Глава: Легкий VPN

Легкий VPN

Понимание простого VPN

Легкий VPN с резервной копией диска

Легкий VPN с высокой доступностью

Легкий VPN с динамическими виртуальными туннельными интерфейсами

Примечания

Легкие режимы конфигурации VPN

Похожие темы

Easy VPN и IKE расширенная аутентификация (Xauth)

Легкая активация туннеля VPN

Похожие темы

Обзор настройки простого VPN

Важные заметки о простой конфигурации VPN

Настройка характеристик подключения клиента для простого VPN

Навигационный путь

Похожие темы

Полевой ссылка

Настройка объектов политики учетных данных

Навигационный путь

Похожие темы

Полевой ссылка

Настройка предложения iPsec для простого VPN

Навигационный путь

Похожие темы

Полевой ссылка

Настройка динамического VTI для простого VPN

Навигационный путь

Похожие темы

Полевой ссылка

Настройка политики профиля подключения для простого VPN

Процедура

Настройка политики группы пользователей для простого VPN

Навигационный путь

Похожие темы

Простые требования к серверу VPN

Похожие сообщения

Related Posts

Epson 4700 Print Cardstock

Делает ли наушники с большим объемом повреждений

Требуется ли Bluetooth интернет