Configuração VPN avançada no roteador VPN CVR100W

Opções de download

  • PDF     (1.6 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.5 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (589.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de Dezembro de 2018
ID do documento:SMB4884

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Configuração VPN avançada no roteador VPN CVR100W

Objetivo

Uma VPN (Virtual Private Network) é usada para conectar endpoints em diferentes redes em uma rede pública, como a Internet. Esse recurso permite que usuários remotos que estão fora de uma rede local se conectem com segurança à rede pela Internet. 

Este artigo explica como configurar a VPN avançada no roteador VPN CVR100W. Para a configuração básica de VPN, consulte o artigo Basic VPN Setup on the CVR100W VPN Router.

Dispositivos aplicáveis

Roteador VPN CVR100W

Versão de software

•1.0.1.19

Configuração de VPN avançada

Configurações iniciais

Este procedimento explica como configurar as definições iniciais da Configuração VPN Avançada.

Etapa 1. Faça login no utilitário de configuração da Web e escolha VPN > Advanced VPN Setup. A página Advanced VPN Setup é aberta:

Etapa 2. (Opcional) Para habilitar o NAT (Network Address Translation) Traversal para a conexão VPN, marque a caixa de seleção Enable no campo NAT Traversal. O NAT Traversal permite que uma conexão VPN seja feita entre gateways que utilizam NAT. Escolha esta opção se sua conexão VPN passar por um gateway ativado para NAT.

Etapa 3. (Opcional) Para permitir que os broadcasts do Network Basic Input/Output System (NetBIOS) sejam enviados através da conexão VPN, marque a caixa de seleção Enable (Habilitar) no campo NETBIOS. O NetBIOS permite que os hosts se comuniquem entre si dentro de uma LAN.

Configurações de política IKE

O Internet Key Exchange (IKE) é um protocolo usado para estabelecer uma conexão segura para comunicação em uma VPN. Essa conexão segura estabelecida é chamada de associação de segurança (SA). Este procedimento explica como configurar uma política IKE para a conexão VPN a ser usada para segurança. Para que uma VPN funcione corretamente, as políticas de IKE para ambos os terminais devem ser idênticas.

Etapa 1. Na Tabela de Políticas IKE, clique em Adicionar Linha para criar uma nova política IKE. A página Advanced VPN Setup é alterada:

Etapa 2. No campo Nome da política, insira um nome para a política IKE.

Etapa 3. Na lista suspensa Modo de troca, escolha uma opção para identificar como a política IKE opera.

Main — Esta opção permite que a política IKE funcione com mais segurança. É mais lento que o modo agressivo. Escolha esta opção se for necessária uma conexão VPN mais segura.

Agressivo — Essa opção permite que a política IKE opere mais rapidamente, mas é menos segura que o modo principal. Escolha esta opção se for necessária uma conexão VPN mais rápida.

Etapa 4. (Opcional) Para habilitar o Modo do Entrevistado, marque a caixa de seleção Entrevistado. Se o Modo do participante estiver ativado, o Roteador VPN CVR100W só poderá receber a solicitação VPN do ponto final remoto da VPN.

Etapa 5. No campo ID local, clique no botão de opção desejado para identificar como especificar o ID local.

Automático — Esta opção atribui automaticamente a ID local.

Manual — Esta opção é usada para atribuir manualmente a ID local.

Etapa 6. (Opcional) Na lista suspensa ID local, escolha o método de identificação desejado para a rede local.

Endereço IP — Essa opção identifica a rede local por um endereço IP público.

FQDN — Essa opção usa um Nome de domínio totalmente qualificado (FQDN) para identificar a rede local.

Passo 7. (Opcional) No campo ID local, insira o endereço IP ou o nome de domínio. A entrada depende da opção escolhida na Etapa 6.

Etapa 8. No campo ID remoto, clique no botão de opção desejado para identificar como especificar a ID remota.

Auto — Esta opção atribui automaticamente a ID remota.

Manual — Esta opção é usada para atribuir manualmente a ID remota

Etapa 9. (Opcional) Na lista suspensa ID remoto, escolha o método de identificação desejado para a rede remota.

Endereço IP — Essa opção identifica a rede remota por um endereço IP público.

FQDN — Essa opção usa um Nome de domínio totalmente qualificado (FQDN) para identificar a rede remota.

Etapa 10. (Opcional) No campo ID remoto, insira o endereço IP ou o nome de domínio. A entrada depende da opção escolhida na Etapa 9.

Etapa 11. No campo ID remoto de redundância, clique no botão de opção desejado para identificar como especificar a ID remota de redundância. O ID remoto de redundância é um ID remoto alternativo usado para configurar o túnel VPN no gateway remoto.

Auto — Esta opção atribui automaticamente a ID remota de redundância.

Manual — Esta opção é usada para atribuir manualmente a ID remota de redundância.

Etapa 12. (Opcional) Na lista suspensa ID Remota de Redundância, escolha o método de identificação desejado para a rede de redundância.

Endereço IP — Essa opção identifica a rede remota de redundância por um endereço IP público.

FQDN — Essa opção usa um Nome de Domínio Totalmente Qualificado (FQDN) para identificar a rede remota de redundância.

Etapa 13. (Opcional) No campo ID Remota de Redundância, insira o endereço IP ou o nome de domínio. A entrada depende da opção escolhida na Etapa 12.

Etapa 14. Na lista suspensa Algoritmo de criptografia, escolha uma opção para negociar a Associação de segurança (SA).

DES — O Data Encryption Standard (DES) usa um tamanho de chave de 56 bits para criptografia de dados. O DES está desatualizado e deve ser usado se um endpoint suporta apenas o DES.

3DES — 3DES (Triple Data Encryption Standard) executa DES três vezes, mas varia o tamanho da chave de 168 bits para 112 bits e de 112 bits para 56 bits, dependendo do ciclo de DES executado. O 3DES é mais seguro que o DES e o AES.

AES-128 — Advanced Encryption Standard com chave de 128 bits (AES-128) usa uma chave de 128 bits para criptografia AES. O AES é mais rápido e mais seguro que o DES. Alguns tipos de hardware permitem que o 3DES seja mais rápido. O AES-128 é mais rápido, mas menos seguro que o AES-192 e o AES-256.

AES-192 — AES-192 usa uma chave de 192 bits para a criptografia AES. O AES-192 é mais lento, mas mais seguro do que o AES-128, e o AES-192 é mais rápido, mas menos seguro do que o AES-256.

AES-256 — AES-256 usa uma chave de 256 bits para a criptografia AES. O AES-256 é mais lento, mas mais seguro que o AES-128 e o AES-192.

Etapa 15. Na lista suspensa Authentication Algorithm (Algoritmo de autenticação), escolha uma opção para autenticar o cabeçalho VPN.

MD5 — O Message-Digest Algorithm 5 (MD5) usa um valor de hash de 128 bits para a autenticação. MD5 é menos seguro, mas mais rápido que SHA-1 e SHA2-256.

SHA-1 — O Secure Hash Algorithm 1 (SHA-1) usa um valor de hash de 160 bits para autenticação. O SHA-1 é mais lento, mas mais seguro que o MD5, e o SHA-1 é mais rápido, mas menos seguro que o SHA2-256.

SHA2-256 — O Secure Hash Algorithm 2 (SHA2-256) usa um valor de hash de 256 bits para autenticação. SHA2-256 é mais lento, mas seguro que MD5 e SHA-1.

Etapa 16. No campo Pre-Shared Key (Chave pré-compartilhada), insira uma chave pré-compartilhada que a política IKE usa.

Etapa 17. Na lista suspensa Grupo Diffie-Hellman (DH), escolha o grupo DH que o IKE utiliza. Os hosts em um grupo DH podem trocar chaves sem se conhecerem. Quanto maior o número de bits do grupo, mais seguro o grupo é.

Etapa 18. No campo SA-Lifetime, insira por quanto tempo (em segundos) a associação de segurança (SA) da VPN dura antes da renovação da SA.

Etapa 19. (Opcional) Para habilitar a Detecção de Peer Dead (DPD), marque a caixa de seleção Enable (Habilitar) no campo Dead Peer Detection (Detecção de Peer Dead). O DPD é usado para monitorar pares IKE para verificar se um peer deixou de funcionar. O DPD evita o desperdício de recursos de rede em peers inativos.

Etapa 20. (Opcional) Para indicar com que frequência o peer é verificado para a atividade, insira o intervalo de tempo (em segundos) no campo DPD Delay. Essa opção estará disponível se o DPD estiver ativado na Etapa 19.

Etapa 21. (Opcional) Para indicar por quanto tempo esperar até que um peer inativo seja descartado, insira por quanto tempo (em segundos) no campo DPD Timeout. Essa opção estará disponível se o DPD estiver ativado na Etapa 19.

Etapa 22. Click Save. A página Advanced VPN Setup original é exibida novamente.

Etapa 23. (Opcional) Para editar uma política IKE na Tabela de Políticas IKE, marque a caixa de seleção da diretiva. Em seguida, clique em Editar, edite os campos obrigatórios e clique em Salvar.

Etapa 24. (Opcional) Para excluir uma política IKE na Tabela de Políticas IKE, marque a caixa de seleção da diretiva e clique em Excluir. Em seguida, clique em Salvar.

Configurações de política de VPN

Este procedimento explica como configurar uma política de VPN para a conexão VPN a ser usada. Para que uma VPN funcione corretamente, as políticas de VPN para ambos os terminais devem ser idênticas.

Etapa 1. Na Tabela de Políticas de VPN, clique em Adicionar Linha para criar uma nova política de VPN. A página Advanced VPN Setup é alterada:

Etapa 2. No campo Nome da política, insira um nome para a política de VPN.

Etapa 3. Na lista suspensa Tipo de política, escolha uma opção para identificar como as configurações do túnel VPN são geradas.

Política manual — Essa opção permite configurar as chaves para criptografia e integridade de dados.

Política automática — Esta opção usa uma política IKE para trocas de chaves de criptografia e integridade de dados.

Etapa 4. Na lista suspensa Ponto de extremidade remoto, escolha uma opção para especificar como atribuir manualmente a ID remota.

Endereço IP — Essa opção identifica a rede remota por um endereço IP público.

FQDN — Essa opção usa um Nome de domínio totalmente qualificado (FQDN) para identificar a rede remota.

Etapa 5. No campo de entrada de texto abaixo da lista suspensa Ponto de extremidade remoto, insira o endereço IP público ou o nome de domínio do endereço remoto.

Etapa 6. (Opcional) Para habilitar a redundância, marque a caixa de seleção Habilitar no campo Ponto de Extremidade de Redundância. A opção de ponto de extremidade de redundância permite que o roteador VPN CVR100W se conecte a um ponto de extremidade de VPN de backup quando a conexão VPN principal falhar.

Passo 7. (Opcional) Para atribuir manualmente a ID de redundância, escolha uma opção na lista suspensa Ponto de extremidade de redundância.

Endereço IP — Essa opção identifica a rede remota de redundância por um endereço IP público.

FQDN — Essa opção usa um Nome de Domínio Totalmente Qualificado (FQDN) para identificar a rede remota de redundância.

Etapa 8. (Opcional) Para inserir o endereço de redundância, no campo de entrada de texto abaixo da lista suspensa Ponto de Extremidade de Redundância, insira o endereço IP público ou o nome de domínio.

Etapa 9. (Opcional) Para habilitar a reversão, marque a caixa de seleção Rollback enable. Esta opção permite a comutação automática da conexão VPN de backup para a conexão VPN primária quando a conexão VPN primária se recuperou de uma falha.

Etapa 10. Na lista suspensa IP local, escolha uma opção para identificar quais hosts são afetados pela política.

Single - Esta opção usa um único host como ponto de conexão VPN local.

Sub-rede — Esta opção usa uma sub-rede da rede local como ponto de conexão VPN local.

Etapa 11. No campo Endereço IP, insira o endereço IP do host ou da sub-rede da sub-rede ou do host local.

Etapa 12. (Opcional) Se a opção Sub-rede for escolhida na Etapa 10, insira a máscara de sub-rede para a sub-rede local no campo Máscara de sub-rede.

Etapa 13. Na lista suspensa IP remoto, escolha uma opção para identificar quais hosts são afetados pela política.

Single - Esta opção usa um único host como ponto de conexão VPN remota.

Sub-rede — Esta opção usa uma sub-rede da rede remota como ponto de conexão VPN remota.

Etapa 14. No campo Endereço IP, insira o endereço IP do host ou da sub-rede da sub-rede ou do host remoto.

Etapa 15. (Opcional) Se a opção Sub-rede for escolhida na Etapa 13, insira a máscara de sub-rede para a sub-rede remota no campo Máscara de sub-rede.

Note: Se a opção Manual Policy (Política manual) for escolhida na Etapa 3, execute as Etapas 16 a Etapa 23; Caso contrário, vá para o passo 24.

Etapa 16. No campo SPI-Incoming, insira de três a oito caracteres hexadecimais para a tag Security Parameter Index (SPI) para o tráfego de entrada na conexão VPN. A marca SPI é usada para distinguir o tráfego de uma sessão do tráfego de outras sessões. O SPI de entrada em um lado do túnel deve ser o SPI de saída do outro lado do túnel.

Etapa 17. No campo SPI-Saída, insira de três a oito caracteres hexadecimais para tag SPI para tráfego de saída na conexão VPN. A marca SPI é usada para distinguir o tráfego de uma sessão do tráfego de outras sessões. O SPI de saída em um lado do túnel deve ser o SPI de entrada do outro lado do túnel.

Etapa 18. Na lista suspensa Algoritmo de criptografia, escolha uma opção para negociar a Associação de segurança (SA).

DES — O Data Encryption Standard (DES) usa um tamanho de chave de 56 bits para criptografia de dados. O DES está desatualizado e deve ser usado se um endpoint suporta apenas o DES.

3DES — 3DES (Triple Data Encryption Standard) executa DES três vezes, mas varia o tamanho da chave de 168 bits para 112 bits e de 112 bits para 56 bits, dependendo do ciclo de DES executado. O 3DES é mais seguro que o DES e o AES.

AES-128 — Advanced Encryption Standard com chave de 128 bits (AES-128) usa uma chave de 128 bits para criptografia AES. O AES é mais rápido e mais seguro que o DES.  Alguns tipos de hardware permitem que o 3DES seja mais rápido. O AES-128 é mais rápido, mas menos seguro que o AES-192 e o AES-256.

AES-192 — AES-192 usa uma chave de 192 bits para a criptografia AES. O AES-192 é mais lento, mas mais seguro do que o AES-128, e o AES-192 é mais rápido, mas menos seguro do que o AES-256.

AES-256 — AES-256 usa uma chave de 256 bits para a criptografia AES. O AES-256 é mais lento, mas mais seguro que o AES-128 e o AES-192.

Etapa 19. No campo Key-In, insira uma chave para a política de entrada. O comprimento da chave depende do algoritmo escolhido na Etapa 18.

O DES usa uma chave de 8 caracteres.

O 3DES usa uma chave de 24 caracteres.

O AES-128 usa uma chave de 12 caracteres.

O AES-192 usa uma chave de 24 caracteres.

O AES-256 usa uma chave de 32 caracteres.

Etapa 20. No campo Key-Out, insira uma chave para a política de saída. O comprimento da chave depende do algoritmo escolhido na Etapa 18. O comprimento da chave depende do algoritmo escolhido na Etapa 18.

O DES usa uma chave de 8 caracteres.

O 3DES usa uma chave de 24 caracteres.

O AES-128 usa uma chave de 12 caracteres.

O AES-192 usa uma chave de 24 caracteres.

O AES-256 usa uma chave de 32 caracteres.

Etapa 21. Na lista suspensa Algoritmo de integridade, escolha uma opção para autenticar o cabeçalho VPN.

MD5 — O Message-Digest Algorithm 5 (MD5) usa um valor de hash de 128 bits para a autenticação. MD5 é menos seguro, mas mais rápido que SHA-1 e SHA2-256.

SHA-1 — O Secure Hash Algorithm 1 (SHA-1) usa um valor de hash de 160 bits para autenticação. O SHA-1 é mais lento, mas mais seguro que o MD5, e o SHA-1 é mais rápido, mas menos seguro que o SHA2-256.

SHA2-256 — O Secure Hash Algorithm 2 (SHA2-256) usa um valor de hash de 256 bits para autenticação. SHA2-256 é mais lento, mas mais seguro que MD5 e SHA-1.

Etapa 22. No campo Key-In, insira uma chave para a política de entrada. O comprimento da chave depende do algoritmo escolhido na Etapa 21.

MD5 usa uma chave de 16 caracteres.

SHA-1 usa uma chave de 20 caracteres.

SHA2-256 usa uma chave de 32 caracteres.

Etapa 23. No campo Key-Out, insira uma chave para a política de saída. O comprimento da chave depende do algoritmo escolhido na Etapa 21. O comprimento da chave depende do algoritmo escolhido na Etapa 21.

MD5 usa uma chave de 16 caracteres.

SHA-1 usa uma chave de 20 caracteres.

SHA2-256 usa uma chave de 32 caracteres.

Note: Se você escolheu Auto Policy na Etapa 3, execute as Etapas 24 a Etapa 29; Caso contrário, vá para o passo 31.

Etapa 24. No campo SA-Lifetime, insira por quanto tempo, em segundos, o SA dura antes da renovação.

Etapa 25. Na lista suspensa Algoritmo de criptografia, escolha uma opção para negociar a Associação de segurança (SA).

DES — O Data Encryption Standard (DES) usa um tamanho de chave de 56 bits para criptografia de dados. O DES está desatualizado e deve ser usado se um endpoint suporta apenas o DES.

3DES — 3DES (Triple Data Encryption Standard) executa DES três vezes, mas varia o tamanho da chave de 168 bits para 112 bits e de 112 bits para 56 bits, dependendo do ciclo de DES executado. O 3DES é mais seguro que o DES e o AES.

AES-128 — Advanced Encryption Standard com chave de 128 bits (AES-128) usa uma chave de 128 bits para criptografia AES. O AES é mais rápido e mais seguro que o DES. Alguns tipos de hardware permitem que o 3DES seja mais rápido. O AES-128 é mais rápido, mas menos seguro que o AES-192 e o AES-256.

AES-192 — AES-192 usa uma chave de 192 bits para a criptografia AES. O AES-192 é mais lento, mas mais seguro do que o AES-128, e o AES-192 é mais rápido, mas menos seguro do que o AES-256.

AES-256 — AES-256 usa uma chave de 256 bits para a criptografia AES. O AES-256 é mais lento, mas mais seguro que o AES-128 e o AES-192.

Etapa 26. Na lista suspensa Algoritmo de integridade, escolha uma opção para autenticar o cabeçalho VPN.

MD5 — O Message-Digest Algorithm 5 (MD5) usa um valor de hash de 128 bits para a autenticação. MD5 é menos seguro, mas mais rápido que SHA-1 e SHA2-256.

SHA-1 — O Secure Hash Algorithm 1 (SHA-1) usa um valor de hash de 160 bits para autenticação. O SHA-1 é mais lento, mas mais seguro que o MD5, e o SHA-1 é mais rápido, mas menos seguro que o SHA2-256.

SHA2-256 — O Secure Hash Algorithm 2 (SHA2-256) usa um valor de hash de 256 bits para autenticação. SHA2-256 é mais lento, mas seguro que MD5 e SHA-1.

Etapa 27. Marque a caixa de seleção Enable no campo PFS Key Group (Grupo de chaves PFS) para ativar o Perfect Forward Secsecret (PFS). O PFS aumenta a segurança da VPN, mas retarda a velocidade da conexão.

Etapa 28. (Opcional) Se você optou por ativar o PFS na Etapa 27, escolha um grupo Diffie-Hellman (DH) para participar na lista suspensa, abaixo do campo Grupo de chaves PFS. Quanto maior o número do grupo, mais seguro o grupo estará.

Etapa 29. Na lista suspensa Selecionar política IKE, escolha qual política IKE usar para a política VPN.

Etapa 30. (Opcional) Se você clicar em Exibir, será direcionado para a seção de configuração de IKE da página Advanced VPN Setup.

Etapa 31. Click Save. A página Advanced VPN Setup original é exibida novamente.

Etapa 32. Click Save.

Etapa 33. (Opcional) Para editar uma política de VPN na Tabela de Políticas de VPN, marque a caixa de seleção da diretiva. Em seguida, clique em Editar, edite os campos obrigatórios e clique em Salvar.

Etapa 34. (Opcional) Para excluir uma política de VPN na Tabela de Políticas de VPN, marque a caixa de seleção da diretiva, clique em Excluir e clique em Salvar.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco