Segurança da bridge

Opções de download

  • PDF     (263.3 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:10 de maio de 2006
ID do documento:12540

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

A segurança é uma consideração vital durante o projeto de um link sem fio com ponte entre os segmentos Ethernet. Este documento demonstra como proteger o tráfego que atravessa um enlace sem fio com bridge através do uso de um túnel IPSEC.

Neste exemplo, duas Cisco Aironet 350 Series Bridges estabelecem WEP; os dois roteadores configuram um túnel IPSEC.

Pré-requisitos

Requisitos

Antes de tentar esta configuração, certifique-se de que você esteja familiarizado com o uso destes:

  • Interface de configuração Cisco Aironet Bridge

  • Interface de linha de comando do Cisco IOS

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Roteadores Cisco 2600 Series executando IOS versão 12.1

  • Cisco Aironet 350 Series Bridges executando a versão do firmware 11.08T

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Material de Suporte

As Cisco Aironet 340, 350 e 1400 Series Bridges oferecem criptografia WEP de até 128 bits. Isso não é confiável para conectividade segura devido a problemas bem conhecidos em algoritmos WEP e à facilidade de exploração, conforme descrito em Segurança do algoritmo WEPleavingcisco.com e no Cisco Aironet Response to Press - Falhas na Segurança 802.11.

Um método de aumentar a segurança do tráfego passado através de um link transposto sem fio é criar um túnel IPSEC roteador a roteador criptografado que cruze o link. Isto funciona porque as pontes operam na camada 2 do modelo de OSI. Você pode executar roteador-para-roteador IPSEC na conexão entre as pontes.

Se a segurança do link sem fio for violada, o tráfego que ele contém permanecerá criptografado e seguro.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Esta seção apresenta informações para configurar os recursos descritos neste documento.

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta IOS Command Lookup.

Diagrama de Rede

Este documento utiliza a configuração de rede mostrada neste diagrama:

bridge2.gif

Configurações

Este documento utiliza as seguintes configurações:

Roteador A (Cisco 2600 Router) 
RouterA#show running-config 
Building configuration...

Current configuration : 1258 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!
logging rate-limit console 10 except errors
!
ip subnet-zero
no ip finger
ip dhcp excluded-address 10.1.1.20
ip dhcp excluded-address 10.1.1.30
!
ip dhcp pool wireless
 network 10.1.1.0 255.255.255.0
!
ip audit notify log
ip audit po max-events 100
call rsvp-sync
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 10.1.1.30
!
!
crypto ipsec transform-set set esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 10.1.1.30
set transform-set set
match address 120
!
interface Loopback0
ip address 20.1.1.1 255.255.255.0
!
interface Ethernet0
ip address 10.1.1.20 255.255.255.0
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.30
no ip http server
no ip http cable-monitor
!
access-list 120 permit ip 20.1.1.0 0.0.0.255 30.1.1.0 0.0.0.255
!
!
line con 0
transport input none
line vty 0 4
!
end

RoteadorB (Roteador Cisco 2600) 
RouterB#show running-config 
Building configuration...

Current configuration : 1177 bytes 
! 
version 12.1 
no service single-slot-reload-enable 
no service pad 
service timestamps debug uptime 
service timestamps log uptime 
no service password-encryption 
! 
hostname RouterB 
! 
logging rate-limit console 10 except errors 
! 
ip subnet-zero 
no ip finger 
! 
ip audit notify log 
ip audit po max-events 100 
call rsvp-sync
crypto isakmp policy 10 
hash md5 
authentication pre-share 
crypto isakmp key cisco address 10.1.1.20 
! 
! 
crypto ipsec transform-set set esp-3des esp-md5-hmac 
! 
crypto map vpn 10 ipsec-isakmp 
set peer 10.1.1.20 
set transform-set set 
match address 120
interface Loopback0 
ip address 30.1.1.1 255.255.255.0 
! 
interface Ethernet0 
ip address 10.1.1.30 255.255.255.0 
no ip mroute-cache 
crypto map vpn 
! 
ip classless 
ip route 0.0.0.0 0.0.0.0 10.1.1.20 
no ip http server 
no ip http cable-monitor 
! 
access-list 120 permit ip 30.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 
! 
! 
line con 0 
transport input none 
line vty 0 4 
login 
! 
end

Pontes Cisco Aironet

bridgea.gif

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  • show crypto engine connections ative - este comando é usado para exibir as conexões de sessão criptografadas ativas atuais 

    RouterA#show crypto engine connection active
  ID Interface   IP-Address      State Algorithm             Encrypt Decrypt 
   1 Ethernet0   10.1.1.20       set   HMAC_MD5+DES_56_CB          0      0 
2002 Ethernet0   10.1.1.20       set   HMAC_MD5+3DES_56_C          0      3 
2003 Ethernet0   10.1.1.20       set   HMAC_MD5+3DES_56_C          3      0 

RouterB#show crypto engine connection active
  ID Interface    IP-Address     State Algorithm             Encrypt Decrypt 
   1  <none>         <none>      set   HMAC_MD5+DES_56_CB          0      0 
2000 Ethernet0    10.1.1.30      set   HMAC_MD5+3DES_56_C          0      3 
2001 Ethernet0    10.1.1.30      set   HMAC_MD5+3DES_56_C          3      0

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Para fazer Troubleshooting de conectividade de IPSEC, consulte:

Para solucionar problemas da conexão sem fio, consulte:

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
10-May-2006
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos