보웬 카탈로그
A, 간편한 가상 개인 네트워크 문제가 해결해야하는거야?
둘째, 어떻게 라우터에 쉽게 VPN을 구현하는 방법?
셋째, 라우터 구성이 쉬운 가상 사설망을 달성하기 위해
은 "가상 개인 네트워크"로 단어를 구분 \ 감각 (첫 글자를보고, 당신은 무엇 기침) 알고, 그래서 대신 블로그 게시물의 중국 이름 "가상 개인 네트워크"를 사용합니다.
앞서 서면 가상 사설망 원칙과 시스코의 세부 구성은 IPsec을 온 라우터 , 시스코 ASA 방화벽 및 라우터에서 IPSec 가상 개인 네트워크를 구현 . 이 두 글은 본사와 지사 간 가상 개인 네트워크의 설립을 달성하는 데 사용되므로 사용 사례의 많은 그 안에서 기업 네트워크 리소스에 액세스 할 출장, 즉,있다? 단지 여행자 단일 클라이언트, 그것은 이전의 두 보웬과 동일하지이므로, 보웬은 처음 두 가상 개인 네트워크를 설정, 두 장치는 출장을 달성 할 수 없다, 라우터 나 방화벽, 고정 IP 주소, 그래서 직원 액세스,이 블로그의 목적은 회사의 인트라넷 리소스에 액세스 할 수 있습니다 출장을 달성하는 것입니다,이 기술이 호출됩니다 - 쉬운 가상 사설망 .
첫째, 개인 가상 쉬운 어떤 네트워크 문제가 해결 필요가 있겠습니까?
아래에 도시 된 바와 같이 유량이 ACL 암호화 통신의 유량은 두 라우터간에 발생과 일치 할 때, IPSec은 가상 사설망 연결을 트리거 할 것이다. L2L IPSec을 가상 개인 네트워크 설정 과정에서 연결이 두 단계를 통해 연결됩니다.
1, 1 단계 - 관리 연결
관리 연결 방식으로하는 협상의 사용이다.
DH 알고리즘에 의해 키 정보를 공유.
- 동료가 서로를 인증합니다.
2, 2 단계 - 데이터 연결을 설정
피어 보호 사이의 어떤 트래픽을 정의합니다.
데이터를 보호하기 위해 정의 된 보안 프로토콜입니다.
- 전송 모드의 정의.
원격 액세스 가상 개인 네트워크에 대한 연결을 설정하려면 위에서 설명한 방법에 따라 약간의 문제가있는 것입니다. 일반적으로 원격 액세스 가상 사설망, 일단 등등 라우터, 방화벽과 같은 하드웨어 장치이고, 상기 타단 등등 데스크톱, 랩톱과 같은 클라이언트 장치이다. 그런 다음 클라이언트 측에서 보안 몇 가지 문제가있을 것입니다. 회사의 장치와 PC 게이트웨이 수준의 보안 관리 수준이 가정에서 기업 리소스에 액세스해야 할 수 많은 직원을 언급하지, 확실히 다른, 상상, 컴퓨터가 더 보안 위험의 존재에 추가됩니다. 키가 손상되면 전체의 IPSec VPN 암호화 전송이 단순히 장치에 사전 공유 키를 미리 구성되어, 전체의 IPSec 가상 개인 네트워크 차원의 노력은 수포로 될 것입니다. 단지 보안 메커니즘을 통해의 IPSec 터널링을 제공하는 것을 고려하고, 사용자 이름 / 암호를 확인하기 위해 어떤 메커니즘을 도입하지 않기 때문에 IPSec을 원격 가상 개인 네트워크에 적용될 때, 보안 문제에 큰 위험이 될 것입니다 .
또 다른 문제는 우리가 서로의 피어 암호화 맵 구성에 지정 될 수 있으므로 가질 수 있도록 L2L IPSec을 가상 개인 네트워크의 설립, 양측이 때 연결을 트리거하는 트래픽을 정의하기 위해 암호화 ACL을 구성 할 수있을 것입니다, 고정 IP 주소를 가지고있다 설립. 연결을 설정하는 생각에 우리는 여전히 L2L 따라 할 수없는, 그래서 만약 그러나 원격 액세스 가상 개인 네트워크, 클라이언트 측의 IP는 고정 할 수 없습니다.
둘째, 어떻게 라우터에 쉽게 VPN을 구현하는 방법?
1 XAUTH를 사용하여 사용자 인증을 수행
IPSec 프로토콜의 초기 디자인은 사용자 인증의 문제를 고려하지 않았다. 그래서 IETF (인터넷 엔지니어링 태스크 포스, 인텔 메쉬 엔지니어링 태스크 부서) 초안 --XAUTH RFC의를 소개했다. 그것은 가상 개인 네트워크 게이트웨이 개선 사항, 사용자 이름과 암호는 사용자를 인증 할 수있는 방법을 제공합니다. 이 프로세스는 두 개의 연결 사이 이래로 더빙하고, 설정된 "단계 1.5." (두 단계의 도입은, 참조 시스코 라우터의 IPSec 가상 사설망 원리 및 구체적인 구성 , 상세한 설명).
사용자 인증을 말하는 것은 자연적으로 사용자 이름과 암호 저장을 포함 할 것이다, 두 가지 방법이 일반적이 있습니다 :
내부 데이터베이스 가상 사설망 게이트웨이 장치에 저장된다.
- 이러한 역 AAA 서버 스토리지와 같은 타사 장비에.
2、AAA的定义(在之前的博文有过介绍,今天就简单写一下了就)
AAA是Authentication(验证)、Authorization(授权)和Accounting(统计)的缩写,提供了在网络设备上配置访问控制的基本框架。
1)验证:用户是谁?
对用户的合法性进行验证,包括用户名、密码等信息的验证。
2)授权:用户可以做什么?
在用户通过验证后,为用户指定其能够使用的服务等权限。
3)统计:用户做过什么?
在用户验证、授权成功后,记录用户的操作等信息,以便于记账、审计和报告。
实现AAA服务器主要 使用RADIUS协议和TACACS+协议。
RADIUS(Remote Authentication Dial In User Service,远程验证拨入用户服务)是一个全开放的标准协议,厂商或用户可以灵活地修改RADIUS。
- TACACS+(Terminal Access Controller System,终端访问控制器访问控制系统)是Cisco设计的私有协议。基本不再使用。
3、组策略
由于与虚拟专用网网关建立连接的客户端可能会很多,所以peer的IP地址就不会固定,crypto acl也不会唯一。最好的解决办法就是让虚拟专用网网关“推送”这些策略给客户端。但是很多情况下客户端的这些策略可能是相同的,因此在远程访问虚拟专用网中引入组的概念,将这些具有相同策略的客户端划分在一个组里,在虚拟专用网网关上一次性地为一组客户端配置策略,这样在配置过程和管理过程中都将大大节省工作量。
1)地址池
可以使虚拟专用网设备像DHCP服务器一样为每个通过验证的客户端“推送”IP地址。这样,由于客户端的IP地址是虚拟专用网网关动态分配的,虚拟专用网设备自然也就知道该与哪个IP建立虚拟专用网连接。如下图所示:
2)DNS和网关
正像DHCP服务器一样,除了给客户端分配IP地址以外,还会分配网关和DNS,虚拟专用网网关也会给客户端推送网关和DNS,这样客户端就拥有了内网的IP、网关及DNS等必备的资源,真正成为内网的一员,如下图所示:
3)共享密钥
在L2L的过程中,需要根据预共享密钥演算出用于加密、身份验证、完整性验证的密钥,支持后续虚拟专用网连接的建立及数据通信。在远程访问虚拟专用网中,虚拟专用网网关需要与多组客户端“共享密钥”,因此在配置虚拟专用网网关时需要为每组客户端设置不同的共享密钥,客户端的密钥并不是虚拟专用网网关推送的,而是需要用户通过客户端软件配置在主机上,而这个过程一般是由公司的网络管理员来实现的,那么这个密钥自然是保存在客户端主机本地了,因此才有了“阶段1.5”的存在,如下图所示:
4)分离隧道
默认情况下,客户端与虚拟专用网网关建立隧道后,只能访问内网授权的资源,这是因为隧道会允许所有的流量,也就是说所有的流量必须经过隧道到达公司内网,自然也就不允许任何流量访问外网,但对于客户端而言,访问外网,是再正常不过的需求了,所以需要针对远程访问虚拟专用网配置ACL来分离隧道。
通过配置ACL,所有“permit”的流量都被加密传输,所有“deny”的流量都被明文传输,而加密的流量就是通过隧道访问公司内网的流量,明文的流量就是访问Internet的流量,将这个ACL应用到组策略中即可实现需求,如下图所示:
5)分离DNS
当客户端主机通过远程访问虚拟专用网连接到公司内网,即使隧道分离后,客户端访问Internet的web服务器时,也需要使用公司内网的DNS解析,但这不是一个合理的过程,细想一下,客户端每次访问外网的某一个域名,都需要不同地区公司内部进行DNS解析,其实是没有必要的;但如果客户端访问的是公司内网的Web服务器就需要通过内网的NDS解析。若要实现访问不同的域名使用不同的DNS,使用的最佳方案是分离DNS。如下图所示:
4、动态Crypto Map
因为我们无法实现在虚拟专用网设备的静态crypto map中指定客户端的地址(客户端的地址由虚拟专用网的DHCP服务分发,不是固定的),所以需要将静态crypto map中需要的参数被动态填充,使用动态crypto map 必须采用ISAKMP/IKE发起协商,而且在实现远程访问虚拟专用网的时候通常在虚拟专用网网关上同时配置静态和动态的crypto map,因为只有一台具有静态配置的设备可以发起IPSec的隧道,也正是如此,动态的crypto map很少被用于L2L(局域网to局域网)会话建立。
在实现远程访问虚拟局域网的时候,一般会先配置transform-set,因为指定传输集与peer的IP地址无关,可以将传输集直接应用到动态crypto map;由于在接口上只能配置一个crypto map,且虚拟专用网网关上必须有静态crypto map,所以需将动态crypto map 应用到静态的crypto map中,再将静态crypto map应用到接口上,这就是配置crypto map的一般思路,如下图所示:
三、配置路由器上实现Easy 虚拟专用网
1、网络环境如下:
2、环境分析:
1)在公司网关路由器上配置虚拟专用网,客户端(出差人员)可以连接到虚拟专用网,并访问内网提供的DNS服务,使用该域名访问,内网中的DNS负责解析该域名)。
2)客户端连接到虚拟专用网后,还要实现出差员工可以访问ISP路由器的loop back 0接口(模拟Internet网)和访问R1的loop back 0接口(模拟HTTP服务)。
3)R4上要开启DHCP服务,给客户端自动下发IP地址网关及DNS。
3)自行配置正确的路由器接口及各个服务器的IP、网关、路由(服务器配置相应的网关,路由器R1只需配置接口IP及一条默认路由指向R2路由器即可,R2路由器除了接口IP以外什么都不要配置,尤其是路由表,否则可能测试不出来虚拟专用网的效果)。
4)客户端需要安装Cisco提供的客户端软件进行连接。
3、配置前准备:
1)下载客户端使用的软件,并安装在客户端,用来连接虚拟专用网(我这里提供的是windows 7的client安装包。Cisco客户端软件包
4、开始配置:
1)配置基本网络参数:
1) R1配置如下:
R1(config)#int loo0 #开启loop back 0接口
R1(config-if)#ip add 1.1.1.1 255.255.255.0 #配置IP地址
R1(config-if)#no shutdown #启用接口
R1(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#line vty 0 4 #配置vty,允许5个终端访问
R1(config-line)#password pwd@123 #配置telnet密码
R1(config-line)#login #保存
R1(config-line)#exit
R1(config)#enable password pwd@123 #配置全局密码
2) Easy配置如下:
Easy(config)#int f0/0
Easy(config-if)#ip add 192.168.10.254 255.255.255.0
Easy(config-if)#no shutdown
Easy(config-if)#exit
Easy(config)#int f1/0
Easy(config-if)#ip add 192.168.20.254 255.255.255.0
Easy(config-if)#no shutdown
Easy(config-if)#exit
Easy(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.1 #配置去往ISP的路由
Easy(config)#ip route 1.1.1.0 255.255.255.0 192.168.10.1 #配置去往R1的loop back 0接口的路由
3) ISP配置如下:
ISP(config)#int f1/0
ISP(config-if)#ip add 192.168.20.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#int f0/0
ISP(config-if)#ip add 192.168.30.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#int loo0
ISP(config-if)#ip add 2.2.2.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#line vty 0 4
ISP(config-line)#password pwd@123
ISP(config-line)#login
ISP(config-line)#exit
ISP(config)#enable password pwd@123
4) R4配置如下:
R4(config)#int f0/0
R4(config-if)#ip add 192.168.30.254 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#int f1/0
R4(config-if)#ip add 192.168.40.254 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 #配置去往ISP的路由
R4(config)#ip dhcp pool LAN #开启DHCP服务
R4(dhcp-config)#network 192.168.40.0 255.255.255.0 #下发网段
R4(dhcp-config)#default-router 192.168.40.254 #下发网关
R4(dhcp-config)#dns-server 202.96.0.10 202.96.0.20 #下发首选DNS和备份DNS
R4(config)#access-list 10 permit any
R4(config)#ip nat inside source list 10 interface f0/0 overload
R4(config)#int f0/0
R4(config-if)#ip nat outside
R4(config-if)#int f1/0
R4(config-if)#ip nat inside
R4(config-if)#exitEasy-虚拟专用网路由器配置如下:
Easy(config)#aaa new-model #启用AAA验证
Easy(config)#aaa authentication login authen local group radius#配置AAA验证使用radius验证,名字为authen
Easy(config)#aaa authorization network author local group radius #配置AAA授权使用radius授权资源访问,授权的名字是author
Easy(config)#username benet password pwd@123 #创建easy虚拟专用网验证的账户名和密码
#配置IPSec 虚拟专用网阶段一
Easy(config)#crypto isakmp policy 1 #策略序列号为“1”
Easy(config-isakmp)#encryption aes #配置加密算法
Easy(config-isakmp)#hash sha #hash命令指定验证过程中采用的散列算法
Easy(config-isakmp)#group 2 #配置加密共享密钥方式使用dh算法
Easy(config-isakmp)#lifetime 86400 #配置保持时间,默认保持时间为24小时
Easy(config-isakmp)#authentication pre-share #配置共享密钥的方式为“预先共享密钥”
Easy(config-isakmp)#exit
Easy(config)#crypto ipsec transform-set bj-set esp-aes esp-sha-hmac #配置传输集地址池使用动态map调用传输集
Easy(cfg-crypto-trans)#exit
Easy(config)#ip local pool ez虚拟专用网 192.168.10.100 192.168.10.200#创建地址池,地址池的名字为ez虚拟专用网
Easy(config)#crypto dynamic-map dy-map 1#创建动态map,动态map的名字为dy-map
Easy(config-crypto-map)#reverse-route #配置反转路由
Easy(config-crypto-map)#set transform-set bj-set #动态map调用传输集
Easy(config-crypto-map)#exit
Easy(config)#crypto isakmp client configuration group remote虚拟专用网# 创建用户组,名字为remote虚拟专用网
Easy(config-isakmp-group)#key pwd@123 #设置访问密码
Easy(config-isakmp-group)#pool ez虚拟专用网 #用户组调用地址池
Easy(config-isakmp-group)#dns 2.2.2.2 #给虚拟专用网客户端下发dns
Easy(config-isakmp-group)#domain benet.com #给客户端下发域名,名字为benet.com
Easy(config-isakmp-group)#exit
Easy(config)#crypto map st-map client configuration address respond #创建静态map,名字为st-map
Easy(config)#crypto map st-map client authentication list authen #静态map调用验证,验证的名字是authen
Easy(config)#crypto map st-map isakmp authorization list author#静态map调用授权,授权的名字是author
Easy(config)#crypto map st-map 1 ipsec-isakmp dynamic dy-map #静态map调用动态map
Easy(config)#exit
Easy(config)#int f1/0 #进入接口
Easy(config-if)#crypto map st-map #应用静态map到接口
Easy(config-if)#exit至此Easy虚拟专用网就已经配置完成了,接下来客户端安装client软件就可以开始验证咯。
2)客户端配置如下:
将我提供的压缩包解压后安装虚拟专用网的客户端软件。
语言保持默认下一步就OK
继续下一步
选择安装路径,我这里就保持默认,继续下一步
点击next,开始安装
保持默认,结束就可以了
yes,重启电脑
按照图片步骤打开即可
5、配置隧道分离,(桥接主机访问R1loop back0接口走隧道分离而不是走Easy-虚拟专用网)
1) 创建ACL抓取要走隧道分离的流量
Easy-***(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 any
Easy-***(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any
2)应用隧道分离
Easy-***(config)#crypto isakmp client configuration group remote***
Easy-***(config-isakmp-group)#acl 100
Easy-***(config-isakmp-group)#exit호스트를 해소하는 것은 단순히 확인하는 것이 ISP의 R1에 액세스 할 수 있습니다 및 루프 다시 0 인터페이스 (참고 *** 다시 연결을 끊으려면) 동안 분할 터널링을 확인, 당신은 ping 명령으로 확인할 수 있습니다. 
지금까지 효과가 달성되고, 클라이언트는 회사의 인트라넷 서비스 (루프의 R1 다시 0 인터페이스)에 액세스 할 수 있습니다, 당신은 또한 인터넷 서비스에 액세스 할 수 있습니다.
----이 기사를 마무리, 읽어 주셔서 감사합니다 ----