Configuração simples da VPN IPv4 do guerreiro da estrada no Cisco IOS

2

Eu estou olhando para configurar uma configuração VPN razoavelmente simples de road warrior em nossos roteadores Cisco. Frustrantemente, tenho procurado por isso, mas não consigo encontrar um guia completo simples.

  • Vários usuários remotos (não necessariamente muitos)
  • Configuração do IPSec / ISAKMP
  • IPv4
  • opções para o túnel dividido ou o modo de gateway padrão

Qual configuração eu preciso inserir para habilitar isso?

Estou procurando uma resposta genérica, embora eu esteja executando c2600-ik9o3s3-mz.123-26.bin, se você precisar saber.

    
por MikeyB 22.02.2010 / 07:43

2 respostas

1

Aqui está o que eu criei, este deve ser um ponto de partida decente para criar uma configuração de VPN. Não tenho certeza de que é mínimo em si, mas deve atrair qualquer pessoa que esteja procurando por isso.

O Guia de Soluções de Cliente Cisco Secure VPN que o Zypher apontou foi muito útil para criar isto - há alguns bons exemplos lá se você puder analisá-lo.

aaa new-model

! Create a vpn-users DB that points to the local auth service
aaa authentication login vpn-users local
aaa authorization network vpn-users local

! any local user will be allowed to use the VPN
username fred secret 5 SECRET

! Create an ISAKMP policy that handles the ISAKMP negotiation process
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp keepalive 120 15
crypto isakmp xauth timeout 60

! Group policy for ISAKMP
crypto isakmp client configuration group default
 key PLAINTEXT_KEY
 dns LOCAL_DNS_SERVERS
 domain LOCAL_DOMAIN
 pool vpn-dynamic-pool

! VPN clients will be assigned addresses out of this pool
ip local pool vpn-dynamic-pool 192.168.2.1 192.168.2.254

! Create transform sets that specify how the actual IPSEC traffic will be encrypted
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA-LZS esp-aes esp-sha-hmac comp-lzs

! Create IPSEC policies - any negotiated transform scheme must be specified
! in the map below
crypto dynamic-map vpn-dynamic-map 1
 set transform-set ESP-AES-128-SHA-LZS
crypto dynamic-map vpn-dynamic-map 2
 set transform-set ESP-AES-128-SHA

! 
crypto map vpn-dynamic client authentication list vpn-users
crypto map vpn-dynamic client configuration address respond
crypto map vpn-dynamic isakmp authorization list vpn-users
crypto map vpn-dynamic 1 ipsec-isakmp dynamic vpn-dynamic-map

! Apply the IPSEC map to the external interface
interface ExternalInterface/0
 crypto map vpn-dynamic
    
por 23.02.2010 / 17:41
2

Você está procurando por uma VPN de acesso remoto. Cisco Docs

Além disso, provavelmente você deve procurar no Guia de soluções do cliente Cisco Secure VPN

    
por 22.02.2010 / 08:23

Tags