シンプルな仮想プライベートネットワーク
概観
このような仮想プライベートネットワークをセットアップする目的は、外部の会社のオフィススタッフの多くを満足させ、外部の従業員(営業担当者/リモート技術者)がインターネットを介して会社のリソース(会社のドキュメント、会社のITインフラストラクチャ)に安全にアクセスできるようにすることです。シンプルな仮想プライベートネットワークはB2Cアーキテクチャであり、L2L仮想プライベートネットワーク/ GRE over IPsec /動的マルチポイント仮想プライベートネットワークは、B2Bアーキテクチャに近いものです。
単純な仮想プライベートネットワークの原理は、従来の仮想プライベートネットワークの原理よりも複雑で、構成がさらに面倒です。したがって、クライアント構成を簡略化するために、ほとんどのコマンドはサーバー側に展開され、クライアントに必要なのはダイヤルを実行するためのソフトウェアだけです。
従業員は出張で会社のイントラネットにアクセスする必要があります。直接リモートアクセスは安全ではなく、攻撃されて情報漏えいを引き起こす可能性があります。このとき、ルーターがない場合は、従業員の所在地の動的アドレスと会社の固定アドレスの間に仮想プライベートネットワークを確立して、データの安全な送信を実現する必要があります。サーバー側での単純な仮想プライベートネットワークの展開は複雑ですが、クライアント側での使用は簡単で、固定ソフトウェアをインストールするだけで安全な通信を実現できます。単純な仮想プライベートネットワークのクライアントは、ソフトウェアベースのクライアントとハードウェアベースのクライアントに分けられます。
原理
単純な仮想プライベートネットワークの確立のネゴシエーションもIPsecネゴシエーションに属しますが、これはIPsec仮想プライベートネットワークとは多少異なり、ネゴシエーションフェーズはさらに多くなります。
1.5ステージ:
モード構成:モード構成、サーバーが構成をクライアントにプッシュするために使用されます
。xauth:拡張認証、単純な仮想プライベートネットワーク認証は「2要素」認証を使用します。共有キーに加えて、グループパスワードも必要です。
配置する
コンピューターにループバックポートを作成し、 GNS3のルーターを使用してループバックポートに接続し、ループバックポートアドレスを確認して、R1のf0 / 0ポートを同じネットワークセグメントに設定し、互いにpingを実行します。
dneupdate64.msiをインストールします。
client_setup.msiをインストールします。
ネットワークカードからループバックポートDNEプラグインをアンインストールします。
GNS3は環境とpingを再構築します。
仮想プライベートネットワーククライアントを開きます。開くことができる場合は、以下の構成と展開を続行できます。
EZVPN Server 配置:
R4
1.0段構成:
暗号isakmpポリシー1暗号
化3des
認証事前共有
ハッシュsha
グループ2
1.5ステージ構成:// a、bのそれぞれに3つのグループポリシーを作成しました異なるリモートアクセス担当者の
暗号isakmpクライアント構成group
agroup // 異なるクライアントのグループポリシーを構成しますacisco //グループキー
dns 8.8.8.8 8.8 .4.4 // DNS
ドメインの割り当てcisco.com //会社のドメイン名
pool apool //正常にダイヤルしたユーザーにアドレスを割り当てるアドレスを割り当てることの利点は、本社がダイヤルインの送信元を指定でき、内部セキュリティファイアウォールがセキュリティ戦略を実行できることです。アドレスを割り当てない場合、クライアントはプライベートアドレスを使用し、それらを効果的に管理できません。
acl splitacl //リストを分離し、インターネットストリームと暗号化ストリームを分離し、関係するACL
をプッシュしますsave-password //ユーザーにパスワードの保存を許可します
netmask 255.255.255.0
ip local pool apool 172.16.1.1 172.16.1.100
ip access-list extended splitacl
permit ip 192.168 .45.0 0.0.0.255任意
crypto isakmp client configuration group bgroup
key bcisco
dns 8.8.8.8 8.8.4.4
domain cisco.com
pool bpool
acl splitacl
save-password
netmask 255.255.255.0
ip local pool bpool 172.16.2.1 172.16.2.100
2.0ステージ構成:
暗号化ipsecトランスフォームセットeztrans esp- 3des esp-sha-hmac
AAA認証リストと承認リストを構成します
aaa new-model
aaa authentication login ezlogin local //定義されていない場合は認証リストezloginを定義し、ローカルユーザー名データベースを呼び出します
aaa承認ネットワークezauthorローカル
ユーザー名auserパスワードamima //個人ユーザー名パスワード
ユーザー名を作成しますBuser Password bmima
動的マップ構成:
暗号動的マップdymap 1
set transform-set eztrans
reverse-route //逆ルーティングをオンにします。ユーザーが正常にダイヤルすると、本社はブランチLANのネットワークセグメントを学習できます
静的マップ構成と動的マップの呼び出し:
暗号マップezmap 1 ipsec-isakmp動的dymap discover //動的
暗号マップの呼び出しezmapクライアント認証リストezlogin //クライアント認証を有効にし、ローカルアカウントパスワードを使用してクライアントの
暗号マップを認証するezmap isakmp承認リストezauthor //クライアント認証を有効にします。認証が成功した場合は、IPアドレスとその他の情報を認証します
。cryptomap ezmap client configuration address respond //クライアントのIPアドレスの動的割り当て
インターフェースf0 / 0
暗号マップezmap //インターフェースの下で呼び出す
show crypto ipsec client ezvpn // Client view ezvpn information
EZVPNクライアント構成:
R2
编EZVPN配置
暗号IPsec クライアントezvpn aaaaa
接続自動
グループagroupキーacisco
モードクライアント
ピア100.1.34.4
ユーザー名auserパスワードamima
アプリケーションポリシーセット
int f1 / 0
暗号ipsecクライアントezvpn aaaaa外
int f0 / 0
暗号ipsecクライアントezvpn aaaaa内部
ezvpnクライアントの3つのモード:
1.クライアントモード:サーバーからアドレスを取得します。すべてのイントラネットはこのアドレスを使用して本社と通信します。本社はブランチにアクティブにアクセスできません。本社はブランチルータを管理できます。
2.拡張モード:サーバーからアドレスを取得する必要はありませんが、本社と支社は相互に直接アクセスできます(L2L)。本社はブランチルータを管理できません。
3.拡張拡張モード:サーバーからアドレスを取得しますが、本社と支社は互いに直接アクセスできます(L2L)。本社はブランチルータを管理できます。
構成が完了したら、R2への影響を確認します。
すべてのトラフィックがループバックを通過し
ます。NATが構成されていない場合でも、NATリストが生成されます
。1.5ステージサーバーとクライアントの対話構成情報:
上記は、ハードウェアを介して本社サーバーと通信するためのものです。ここでは、サーバーと通信するソフトウェアインストールクライアントの操作手順について説明します。
ソフトウェアを開き、新しい接続を作成し、指定された情報を入力します。
情報を保存し、接続を確立して、ユーザー名とパスワードを入力します。
使用するときは、仮想ネットワークカードを必ず開いてください。
