Tutte le operazioni saranno effettuate in modalità privilegiata, accessibile digitando enable nella modalità utente.
Prima Parte: Configurazione dell’accesso remoto VPN
La configurazione di un accesso remoto VPN si articola in diversi passaggi.
1. Creazione di una lista di controllo degli accessi (ACL)
L’ACL viene utilizzata per definire il traffico che sarà consentito attraverso la VPN. Ad esempio:
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
In questo esempio, l’ACL permette il traffico tra la sottorete 192.168.1.0/24 e la sottorete 192.168.2.0/24.
2. Configurazione dell’ISAKMP (Internet Security Association and Key Management Protocol)
ISAKMP è utilizzato per stabilire un canale sicuro per lo scambio di chiavi crittografiche.
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0
In questo esempio, si utilizza l’encryption AES, l’autenticazione tramite chiave pre-condivisa, e il gruppo di Diffie-Hellman 2 per il key exchange. La chiave pre-condivisa è “cisco123”.
3. Configurazione del Transform Set
Il Transform Set specifica gli algoritmi utilizzati per la crittografia e l’autenticazione dei pacchetti IPSec.
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
Questo comando crea un Transform Set chiamato ESP-AES-SHA che utilizza l’encryption AES e l’autenticazione HMAC con SHA.
4. Creazione del Profilo Crypto
Il Profilo Crypto associa l’ACL all’ISAKMP policy e al Transform Set.
crypto map VPN-Profile 10 ipsec-isakmp
set peer 203.0.113.1
set transform-set ESP-AES-SHA
match address 101
In questo esempio, il Profilo Crypto “VPN-Profile” è associato all’ACL 101, all’ISAKMP policy, e al Transform Set ESP-AES-SHA.
Seconda Parte: Gestione della VPN
Dopo aver configurato la VPN, è importante monitorare la sua operatività e gestire eventuali problemi. Cisco IOS fornisce una serie di comandi utili a questo scopo.
1. Monitoraggio dello stato della VPN
Il comando show crypto isakmp sa permette di visualizzare lo stato delle connessioni ISAKMP, mentre il comando show crypto ipsec sa mostra lo stato delle connessioni IPSec.
show crypto isakmp sa
show crypto ipsec sa
Questi comandi forniscono informazioni dettagliate sul flusso di traffico criptato e possono aiutare a identificare problemi di connettività o di performance.
2. Gestione delle connessioni VPN
Il comando clear crypto isakmp può essere utilizzato per chiudere le connessioni ISAKMP, mentre clear crypto ipsec sa chiude le connessioni IPSec. Entrambi questi comandi possono essere utili per risolvere problemi temporanei.
clear crypto isakmp
clear crypto ipsec sa
3. Configurazione avanzata
Ci sono molte altre opzioni disponibili per configurare e gestire una VPN su un router Cisco. Ad esempio, è possibile configurare la VPN per utilizzare un certificato digitale per l’autenticazione, invece di una chiave pre-condivisa, o per utilizzare l’Internet Key Exchange (IKE) versione 2, che offre una sicurezza migliorata rispetto a ISAKMP.
Inoltre, è possibile configurare un Gruppo Virtuale per consentire l’accesso VPN a diversi gruppi di utenti, ciascuno con le proprie impostazioni di sicurezza. Questo si realizza tramite il comando crypto isakmp client configuration group e una serie di sottocomandi.
crypto isakmp client configuration group vpnusers
key cisco123
dns 192.168.1.1
wins 192.168.1.2
domain example.com
pool ippool
acl 110
max-users 10
Questo esempio configura un gruppo chiamato “vpnusers”, con una chiave pre-condivisa, server DNS e WINS specifici, un dominio, un pool di indirizzi IP e una ACL specifici, e un limite massimo di 10 utenti.