Josinfo How-to Series Guide
Objetivo: Compartilhar um pouco da experiência adquirida durante os estudos para certificação CCIE SP e R&S e alguns exemplos de soluções de rede.
Programação:
Mostrar o passo a passo de como estabelecer uma conexão VPN IPSec para rede LAN corporativa (Extranet). A partir dessa conexão será permitido um cliente VPN conectar dentro da LAN privada através da internet.
Através dessa conexão VPN IPsec é possivel utilizar a funcionalidade chamada Split-Tunnel onde podemos separar o de trafego de interesse que passara por dentro do túnel IPSEC, deixando os demais trafego aberto para internet.
Procurar se atentar em liberar acesso para os clientes VPN apenas a LAN corporativa.
Cenário
O ambiente de testes foi criado utilizando o Eve-NG e 1 host com Windows 7, no qual será utilizado como cliente VPN.
Figura 01 – Topologia VPN IPsec – Split Tunneling
01 PARTE: Criação ISAKMP.
> A conexão do tunnel IPSec ocorre separado em duas fases, IKE Fase 01 e IKE fase 02.
> IKE01 é responsável por fechar tunnel de Infraestrutura, para depois IKE02 estabelecer criptografia/IPSEC.
2 PARTE: Para que o cliente VPN possa estabelecer conexão com o central site, é preciso definir alguns critérios como Grupo VPN/PreShared Key.
> Criação do grupo ISAKMP onde será informado alguns atributos que será enviados ao cliente VPN, como DNS, preshared-key ACL e um pool de endereços IP;
> O cliente VPN deve combinar os valores do nome do grupo+ preshared key. A ACL 101 e o Pool vão compor para garantir o trafego de interesse;
> Configurar ACL no Central Site VPN que vai garantir o trafego de interesse para acesso a LAN, baseado na ACL 101, que deverá ser aplicado no IKE 01 group "vpnclient ";
> Criação do Pool de endereçamento que será atribuída ao cliente VPN e rota default para internet.
03 PARTE: Criando o IKE02 para encriptação IPSEC.
> Criação da dynamic map "dynmap " e amarrar com a transform (IKE02) "myset";
> Reverse-route: instala /32 do host que fecha a VPN para que o roteador possa devolver o trafego para o cliente;
04 PARTE: ACL 111 vai dizer qual rede poderá ser traduzida para Internet (Trafego com origem LAN com destino endereço do pool devera ser bloqueado), e deverá ser aplicada na interface outside.
> Ativar o AAA, para validar as credenciais do cliente VPN & amarrar a crypto map com o AAA criado inicialmente.
05 PARTE: Criação das politicas de AAA/NAT e demais atributos.
> Para fins de testes método de autenticação será local (ccie/ccie);
> A primeira regra de NAT é para evitar que os endereços da LAN não sejam traduzidos ao comunicar com a porção aplicada ao POOL "LAN2LAN";
> A segunda regra é destinada ao trafego de interesse passe pelo NAT com destino internet;
> Criar default route dos endereços da LAN, para que saiam para internet.
06 PARTE:Aplicar a crypto map na interface de outside e configurar as interfaces IN e OUT do nat.
Configuração Cliente VPN com cisco VPN 5.0.7
Baixar e instalar o cliente VPN cisco 5.0.7 ou equivalente.
Escolha o Iniciar > Programas > Cliente de VPN de Sistemas Cisco > cliente VPN.
Clique novo a fim lançar a janela de entrada nova da conexão de VPN da criação.
Validação do Cenário de testes
Materiais Utilizados para o LAB
=== Cliente VPN IPSEC ---
https://www.ibm.com/developerworks/community/files/app#/file/90b4f704-9b8b-4118-81e5-d4c4b949b3c3
=== Material referencia Cisco ===
https://bit.ly/2w8N0Pp
=== Maquinas Virtuais com VMWARE ===
Windows Seven / Simulador de rede EVE-NG
Espero que tenha ficado claro, para mais informações por favor mantenham contato!
Se gostou não esqueça de deixar o seu like e compartilhe por favor!
E-mail: josimaru@gmail.com
Abraços pessoal
Nenhum comentário:
Postar um comentário