CISCO_IOS_Easy_VPN_Server

CISCO IOS Easy VPN Server

Jesús Moreno León
Alberto Molina Coballes
Redes de Área Local

Junio 2009

Escenario
OFICINA CENTRAL

INTERNET
CLIENTE REMOTO

●

●

●

Se quiere implementar una VPN deacceso remoto
basada en IPSec
Se usará un router (IOS 12.4 o posterior) como servidor
Easy VPN
Los clientes necesitan instalar CISCO Easy VPN Client

Tareas a realizar
I. Crear un pool de direccionesque usarán los clientes que
se conecten por VPN
II. Configurar la autenticación
III.Configurar la política IKE
IV.Configurar la política IPSec

I. Crear un pool de direcciones

Paso
1

Comandor1(config)# ip local pool VPNPOOL
192.168.1.10 192.168.1.19

Objetivo
Se crea un pool de direcciones que
permite 10 conexiones concurrentes

II. Configurar la autenticación
Paso

Comando

2

r1(config)# aaanew-model

3

r1(config)# aaa authentication login
VPN-USERS local

4

r1(config)# aaa authorization network
VPN-GROUP local

5

r1(config)# username vpnuser
password micontraseña

Objetivo
Activa lafuncionalidad aaa
(Authentication, Authorization y
Accounting)
Defina la lista de métodos de
autenticación cuando un usuario
hace login (local, RADIUS...)
Establece los parámetros que
restringen elacceso de los usarios a
la red
Se crea una cuenta de usuario que
usarán los clientes VPN para
autenticarse contra el servidor

III. Configurar las políticas IKE
Paso

Comando

Objetivo

6

r1(config)#crypto isakmp policy 10

Crear una nueva política IKE. Cada
política se identifica por su número
de prioridad (de 1 a 10.000; 1 la más
prioridad más alta)

7

r1(config-isakmp)# encryption aes 192Especificar el algoritmo de cifrado a
utilizar

8

r1(config-isakmp)# hash sha

Elegir el algoritmo de hash a usar:
Message Digest 5 (MD5 [md5] ) o
Secure Hash Algorithm (SHA [sha]).

9r1(config-isakmp)# authentication
pre-share

Determinar el método de
autenticación: pre-shared keys
(pre-share), RSA1 encrypted nonces
(rsa-encr), o RSA signatures (rsa-slg).

III. Configurar las políticas IKE...