1.Easy 가상 사설 네트워크 문제가 해결 될
1 단계 ---- 관리 연결
- 협상은 관리 연결은 어떻게
- DH 알고리즘에 의해 키 정보를 공유하기
- 피어는 서로를 인증 할
2 단계 ---- 데이터 연결을 설정
- 피어 보호 사이의 트래픽의 정의는 무엇인가
- 보호 데이터를 저장하는 데 사용 정의 된 보안 프로토콜
- 전송 모드의 정의
2. XAUTH 사용자 인증을
(1) XAUTH
IPsec 协议最初的设计并未考虑用户验证问题,所以IETF (internet Engineering Task Force , 因特网工程任务部) 引入了一个RFC的草案
---XAUTH, 它是一个虚拟专用网网管的增强特性,提供用户名和密码的方式来验证用户身份。
由于这个过程是在俩个连接建立之间完成的,所以被称为“阶段1.5”。
用户验证自然就会涉及用户名和密码的存储方式,通常情况下有两种:- 내부 데이터베이스 가상 사설망 게이트웨이 장치에 기억
- 타사 장치에 저장된
정의 (2)는 AAA
AAA는 네트워크 디바이스에 액세스 제어를 구성하기위한 기본 틀을 제공하는 인증 (확인), 권한 부여 (인가) 약어 회계 (통계)
인증 : 사용자가 누구입니까?
사용자의 정당성 등 이름, 암호를 포함하여 사용자 인증 정보를 확인
인증 : 사용자가 할 수 있습니까?
사용자가 인증 된 후에는 사용자가 서비스의 권한을 지정하는데 사용될 수있다
통계 : 사용자가 수행 한 작업에
사용자 인증, 권한 부여 결제에 사용하기 위해, 이러한 사용자의 작업으로, 기록 정보를 성공
AAA는 RADIUS 프로토콜과 TACACS + 프로토콜을 사용하여 주 서버 인
표준 프로토콜 RADIUS를 (원격 인증 전화 접속 사용자 서비스) 완전 개방, 공급 업체 또는 사용자 RADIUS를 수정할 수있는 유연성이
TACACS + (터미널 액세스 컨트롤러 액세스 제어 시스템)는 시스코 고유의 프로토콜 디자인
- 라우터 열린 AAA
라우터 (구성) #의 AAA 새로운 모델
3. 그룹 정책
-
주소 풀
클라이언트 원격 액세스 가상 개인 네트워크는 "동적"가장 좋은 방법은 가상 개인을 수 있도록하는 것입니다 경우에 클라이언트가 고정 IP 주소를 가지고 있지 않기 때문에, 게이트웨이 가상 개인 네트워크와의 연결을 설정하기 어려운 이유입니다 이러한 클라이언트를 확인하여 "푸시"IP 주소에 따라 DHCP 서버와 같은 네트워크 장치. 클라이언트의 IP 주소가 동적으로 가상 사설 네트워크 게이트웨이, 가상 개인 네트워크 장비를 할당 설립되기 때문에 따라서, 자연스럽게 가상 개인 네트워크 연결을 IP 것을 알고있다.
- DNS 및 게이트웨이
그리고 DHCP 서버는 클라이언트에 할당 된 IP 주소뿐만 아니라 유통 게이트웨이 및 DNS에 추가하여, 클라이언트 IP, 게이트웨이, DNS 및 기타 네트워크에 필요한 자원을 가지고 진정의 네트워크가 될 것이다
- 공유 키
원격 액세스 가상 개인 네트워크, 클라이언트의 그룹과 "공유 키"에 가상 개인 네트워크 게이트웨이 요구 사항에서 가상 개인 네트워크를 구성 할 때 각 클라이언트 그룹에 대해 다른 공유 키를 설정해야하므로, 클라이언트는 키가 아닌 가상 사설망은 밀어 게이트웨이,하지만 그렇다면, 키가 자연스럽게 지역의 클라이언트 호스트에 저장되어, 달성하기 위해 클라이언트 소프트웨어를 통해 호스트의 구성을 사용자에게 요구하고,이 과정은 일반적으로 네트워크 관리자가 제공 "단계 1.5"의 존재
- 분할 터널링
기본적으로 클라이언트는 터널 모든 트래픽이 회사에 터널을 통과해야 함을 의미합니다 모든 트래픽을 허용 것이기 때문에, 자연스럽게,하지, 내에서만 승인 된 자원에 가상 개인 네트워크 게이트웨이, 네트워크 액세스 권한이있는 터널을 설정 어떤 트래픽을 허용, 당신은 별도의 원격 액세스 구성에 가상 사설망 터널을 ACL이 필요한 고객을위한, 그래서
- 분리 DNS
심지어 분할 터널링 후 회사에 원격 액세스 가상 개인 네트워크를 통해 클라이언트 호스트 연결, 클라이언트 액세스 인터넷 웹 서버는 또한 회사의 인트라넷 DNS 해상도를 사용할 필요가 있지만, 이것은, 합리적인 공정하지 않은 경우 클라이언트 각각의 경우 방문의 바이두는, 회사 인트라넷 DNS 확인을 통과 할 때, 사실, 그래서 회사의 인트라넷 DNS 해상도를 사용하여 회사의 웹 서버에 액세스하도록 클라이언트를 달성하기 위해, 자원의 낭비 필요가 없습니다 액세스 Baidu의 경우, 다른 DNS를 사용하여 다른 도메인 이름을 달성하고자하는 경우 DNS의 사용은, 별도의 DNS를 사용할 필요가
4. 동적 암호화지도
우리는 가상 개인 네트워크 장치 주소 (DHCP 서비스 고정되지 않은 가상 개인 네트워크, 배포 클라이언트의 주소)에 매핑 암호화 정적에 지정된 클라이언트를 달성 할 수없는, 동적으로 사용 채워집니다 필요한 매개 변수에 정적 암호화지도 할 필요가 동적 암호화 맵 필수의 ISAKMP / IKE 협상을 시작뿐만 아니라 원격 액세스 가상 개인 네트워크에서 일반적으로 만약 가상 사설 네트워크 게이트웨이에 정적 및 동적 암호화지도, 모두 때문에 IPsec을 시작할 수있는 정적 구성을 하나의 장치 만 터널, 그것은 또한 사실입니다, 동적 거의 세션 설정 (LAN으로 LAN) L2L를 사용하지하는지도 암호화,
단지 인터페이스에 암호화 맵을 구성하기 때문에, 원격 액세스 가상 근거리 통신망, 정상적으로 변환 세트를 구성 할 때, IP 어드레스가 피어와 무관하기 때문에, 전송 설정 지정된, 송신 설정 직접 매핑 암호화 동적으로 적용 할 수있다 필요 동적 암호화 맵 정적 암호화 맵 암호화 맵 구성된 인터페이스로 다음 정적 암호화 맵을 적용 할 수 있도록 가상는 사설 네트워크 게이트웨이에 매핑 암호화 정적 있어야.
5. 구성 사례
1. 구성 R4를 제외하고 IP 및 다른 모든 기본 경로를 할
다리는 64 비트 호스트, 가상 개인 네트워크 클라이언트 프로그램을 사용하다
R3 리 구성
R3(config)#int f0/0
R3(config-if)#ip add 192.168.0.10 255.255.255.0
R3(config-if)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1R1 구성 :
AAA는 다음 구성
R1(config)#aaa new-model
R1(config)#aaa authentication login bdqn-authen local
R1(config)#aaa authorization network bdqn-author local
R1(config)#username bdqn secret cisco //创建用户 加密다음과 같이 1 단계는 구성
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit다음 단계 1.5 구성
R1(config)#ip local pool bdqn-pool 192.168.1.200 192.168.1.210
//创建地址池
R1(config)#ip access-list extended split-acl
R1(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any
R1(config-ext-nacl)#exit다음과 같이 그룹 정책 만들기
R1(config)#crypto isakmp client configuration group test-group
R1(config-isakmp-group)#key 123456
R1(config-isakmp-group)#pool bdqn-pool
R1(config-isakmp-group)#dns 192.168.0.10
R1(config-isakmp-group)#acl split-acl
R1(config-isakmp-group)#split-dns bdqn.com
R1(config-isakmp-group)#exit구성 동적지도
R1(config)#crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map bdqn-dymap 1
R1(config-crypto-map)#set transform-set bdqn-set
R1(config-crypto-map)#exit
R1(config)#crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
R1(config)#crypto map bdqn-stamap client authentication list bdqn-authen
R1(config)#crypto map bdqn-stamap isakmp authorization list bdqn-author
R1(config)#crypto map bdqn-stamap client configuration address respond
//用于让客户端先发起连接
R1(config)#int f0/1
R1(config-if)#crypto map bdqn-stamap
//应用到外接口클라이언트 가상 사설망을 설치
첫 번째와 두 번째 단 상자 채움 비트 기술 정보,
제 외부 인터페이스 블록 쓰기 R1은 iP
두 그룹 정책 사용자 이름과 암호를 입력 암호 기입 이하
계정 암호 AAA를 입력
가상 머신 핑 확인
R1은 방화벽을 변경하는 경우
다른 구성은 동일
다음과 같이 방화벽 구성에 있습니다 :
외부 인터페이스에 : nameif의 외부에서
내부의 nameif : 인터페이스에
ciscoasa (구성) # 경로 외부 0 0 200.0.0.2 // 방화벽 기본 경로 갈
ciscoasa(config)# username bdqn password 123456
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# encryption 3des
ciscoasa(config-isakmp-policy)# hash sha
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# exit
ciscoasa(config)# ip local pool bdqn-pool 192.168.1.200-192.168.1.210
ciscoasa(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
ciscoasa(config)# group-policy test-group internal
ciscoasa(config)# group-policy test-group attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value split-acl
ciscoasa(config-group-policy)# exit
ciscoasa(config)# tunnel-group bdqn-group type ipsec-ra
ciscoasa(config)# tunnel-group bdqn-group general-attributes
ciscoasa(config-tunnel-general)# default-group-policy test-group
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group bdqn-group ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key bdqn-key
ciscoasa(config-tunnel-ipsec)# exit
ciscoasa(config)# crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac
ciscoasa(config)# crypto dynamic-map bdqn-dymap 1 set transform-set bdqn-set
ciscoasa(config)# crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
ciscoasa(config)# crypto map bdqn-stamap int outside