ボーエンカタログ
、簡単に仮想プライベートネットワークは、課題を解決するために必要なもの?
第二に、どのようにルータ上で簡単にVPNを実装するには?
簡単に仮想プライベートネットワークを達成するために第三に、ルータの設定
「仮想プライベートネットワーク」などの単語の敏感\感覚です(最初の文字を参照してください、あなたはどのような咳を知っている)ので、代わりにブログの記事でその中国名「仮想プライベートネットワーク」を使用します。
書面による事前の仮想プライベートネットワークの原則をし、Ciscoの詳細な構成は、IPSecをルーターで、CiscoのASAファイアウォールやルータでIPSec仮想プライベートネットワークを実装します。これらの2つのポストは、本社と支店間の仮想プライベートネットワークの確立を達成するために使用されているので、ユースケースの多くは、その中に企業ネットワークリソースにアクセスしたい出張に、つまり、あるのでしょうか?旅行者としてだけで単一のクライアント、そしてそれは、前の2ボーエンと同じではありません、ボーエンは最初の二つの仮想プライベートネットワークをセットアップし、両方のデバイスは、固定のIPアドレスをルータやファイアウォールなので、出張で達成することはできません人材へのアクセスは、このブログの目的は、企業のイントラネットリソースにアクセスすることができます出張を達成することである、この技術は呼ばれて- 簡単に仮想プライベートネットワーク。
まず、どのような簡単に仮想プライベートネットワークは、問題を解決する必要があることはありますか?
以下に示すように流量が暗号ACL通信の流量は、2台のルータ間で発生する一致した場合、IPSecは仮想プライベートネットワーク接続をトリガします。L2LのIPSec仮想プライベートネットワークのセットアッププロセスでは、接続は、2つの段階を経て確立されています。
1、フェーズ1 - 管理接続
交渉の使用における行政の接続方法。
DHアルゴリズムで重要な情報を共有します。
- ピアは互いを認証します。
2、フェーズ2 - データ接続を確立
ピア保護の間にどのようなトラフィックを定義します。
データを保護するために定義されたセキュリティプロトコル。
- 送信モードの定義。
リモートアクセス仮想プライベートネットワークへの接続を確立するには、上記のプロセスに従って、いくつかの問題があります。一般的に、リモートアクセス、仮想プライベートネットワーク、一方の端部は、このようなように、ルータ、ファイアウォールやなどのハードウェアデバイスは、であり、もう一方の端は、そのようなので、上のデスクトップ、ラップトップ、などのクライアント・デバイス、です。そして、クライアント側でのセキュリティは、いくつかの問題になります。自宅から社内リソースへのアクセスが必要な場合があります、同社のデバイスとPCのゲートウェイレベルのセキュリティ管理レベルは多くの従業員はもちろんのこと、確かに異なっている、想像することができ、コンピュータは、より多くのセキュリティリスクの存在と追加されます。キーが侵害された後、全体のIPSec VPN暗号化送信は、単にデバイス上の事前共有鍵を事前に設定され、全体のIPSec仮想プライベートネットワーク全体の努力が無駄になります。そして、ちょうど安全なメカニズムを介してIPSecトンネリングを提供することを検討し、ユーザー名/パスワードを確認するために、任意のメカニズムを導入していないため、IPsecは、リモート仮想プライベートネットワークに適用した場合、セキュリティ上の問題に大きなリスクが存在します。
もう一つの問題は、我々は接続をトリガするトラフィックを定義するには、crypto ACLを設定することが可能であろう時に互いのピアの暗号マップコンフィギュレーションで指定することができるよう持つことができるようにL2LのIPSec仮想プライベートネットワークの構築は、双方は、固定IPアドレスを持っているということです設立。接続を確立する考えと我々はまだL2L合わせができませんので、もししかし、リモートアクセス仮想プライベートネットワークのために、クライアント側のIPは、固定できません。
第二に、どのようにルータ上で簡単にVPNを実装するには?
1は、XAUTHを使用してユーザ認証を行います
IPSecプロトコルの初期設計は、ユーザ認証の問題を考慮していませんでした。だから、IETF(インターネット技術タスクフォース、インテル・メッシュ・エンジニアリング・タスク・学科)はドラフト--XAUTH RFCのを導入しました。これは、仮想プライベートネットワークゲートウェイの機能強化、ユーザー名とパスワードは、ユーザーを認証する方法を提供しています。このプロセスは、2つの接続の間にあるので、それが呼ばれた、確立されている「ステージ1.5。」(二相の導入には、を参照してください。CiscoルータのIPSec仮想プライベートネットワークの原則と詳細な設定、詳細な説明を)。
ユーザ認証が自然にユーザー名とパスワードの保存を必要とするだろうと言えば、二つの方法が通常あります。
内部データベース仮想私設網のゲートウェイ装置に格納されます。
- そのような局、AAAサーバ・ストレージなどのサードパーティ機器、オン。
2、AAA的定义(在之前的博文有过介绍,今天就简单写一下了就)
AAA是Authentication(验证)、Authorization(授权)和Accounting(统计)的缩写,提供了在网络设备上配置访问控制的基本框架。
1)验证:用户是谁?
对用户的合法性进行验证,包括用户名、密码等信息的验证。
2)授权:用户可以做什么?
在用户通过验证后,为用户指定其能够使用的服务等权限。
3)统计:用户做过什么?
在用户验证、授权成功后,记录用户的操作等信息,以便于记账、审计和报告。
实现AAA服务器主要 使用RADIUS协议和TACACS+协议。
RADIUS(Remote Authentication Dial In User Service,远程验证拨入用户服务)是一个全开放的标准协议,厂商或用户可以灵活地修改RADIUS。
- TACACS+(Terminal Access Controller System,终端访问控制器访问控制系统)是Cisco设计的私有协议。基本不再使用。
3、组策略
由于与虚拟专用网网关建立连接的客户端可能会很多,所以peer的IP地址就不会固定,crypto acl也不会唯一。最好的解决办法就是让虚拟专用网网关“推送”这些策略给客户端。但是很多情况下客户端的这些策略可能是相同的,因此在远程访问虚拟专用网中引入组的概念,将这些具有相同策略的客户端划分在一个组里,在虚拟专用网网关上一次性地为一组客户端配置策略,这样在配置过程和管理过程中都将大大节省工作量。
1)地址池
可以使虚拟专用网设备像DHCP服务器一样为每个通过验证的客户端“推送”IP地址。这样,由于客户端的IP地址是虚拟专用网网关动态分配的,虚拟专用网设备自然也就知道该与哪个IP建立虚拟专用网连接。如下图所示:
2)DNS和网关
正像DHCP服务器一样,除了给客户端分配IP地址以外,还会分配网关和DNS,虚拟专用网网关也会给客户端推送网关和DNS,这样客户端就拥有了内网的IP、网关及DNS等必备的资源,真正成为内网的一员,如下图所示:
3)共享密钥
在L2L的过程中,需要根据预共享密钥演算出用于加密、身份验证、完整性验证的密钥,支持后续虚拟专用网连接的建立及数据通信。在远程访问虚拟专用网中,虚拟专用网网关需要与多组客户端“共享密钥”,因此在配置虚拟专用网网关时需要为每组客户端设置不同的共享密钥,客户端的密钥并不是虚拟专用网网关推送的,而是需要用户通过客户端软件配置在主机上,而这个过程一般是由公司的网络管理员来实现的,那么这个密钥自然是保存在客户端主机本地了,因此才有了“阶段1.5”的存在,如下图所示:
4)分离隧道
默认情况下,客户端与虚拟专用网网关建立隧道后,只能访问内网授权的资源,这是因为隧道会允许所有的流量,也就是说所有的流量必须经过隧道到达公司内网,自然也就不允许任何流量访问外网,但对于客户端而言,访问外网,是再正常不过的需求了,所以需要针对远程访问虚拟专用网配置ACL来分离隧道。
通过配置ACL,所有“permit”的流量都被加密传输,所有“deny”的流量都被明文传输,而加密的流量就是通过隧道访问公司内网的流量,明文的流量就是访问Internet的流量,将这个ACL应用到组策略中即可实现需求,如下图所示:
5)分离DNS
当客户端主机通过远程访问虚拟专用网连接到公司内网,即使隧道分离后,客户端访问Internet的web服务器时,也需要使用公司内网的DNS解析,但这不是一个合理的过程,细想一下,客户端每次访问外网的某一个域名,都需要不同地区公司内部进行DNS解析,其实是没有必要的;但如果客户端访问的是公司内网的Web服务器就需要通过内网的NDS解析。若要实现访问不同的域名使用不同的DNS,使用的最佳方案是分离DNS。如下图所示:
4、动态Crypto Map
因为我们无法实现在虚拟专用网设备的静态crypto map中指定客户端的地址(客户端的地址由虚拟专用网的DHCP服务分发,不是固定的),所以需要将静态crypto map中需要的参数被动态填充,使用动态crypto map 必须采用ISAKMP/IKE发起协商,而且在实现远程访问虚拟专用网的时候通常在虚拟专用网网关上同时配置静态和动态的crypto map,因为只有一台具有静态配置的设备可以发起IPSec的隧道,也正是如此,动态的crypto map很少被用于L2L(局域网to局域网)会话建立。
在实现远程访问虚拟局域网的时候,一般会先配置transform-set,因为指定传输集与peer的IP地址无关,可以将传输集直接应用到动态crypto map;由于在接口上只能配置一个crypto map,且虚拟专用网网关上必须有静态crypto map,所以需将动态crypto map 应用到静态的crypto map中,再将静态crypto map应用到接口上,这就是配置crypto map的一般思路,如下图所示:
三、配置路由器上实现Easy 虚拟专用网
1、网络环境如下:
2、环境分析:
1)在公司网关路由器上配置虚拟专用网,客户端(出差人员)可以连接到虚拟专用网,并访问内网提供的DNS服务,使用该域名访问,内网中的DNS负责解析该域名)。
2)客户端连接到虚拟专用网后,还要实现出差员工可以访问ISP路由器的loop back 0接口(模拟Internet网)和访问R1的loop back 0接口(模拟HTTP服务)。
3)R4上要开启DHCP服务,给客户端自动下发IP地址网关及DNS。
3)自行配置正确的路由器接口及各个服务器的IP、网关、路由(服务器配置相应的网关,路由器R1只需配置接口IP及一条默认路由指向R2路由器即可,R2路由器除了接口IP以外什么都不要配置,尤其是路由表,否则可能测试不出来虚拟专用网的效果)。
4)客户端需要安装Cisco提供的客户端软件进行连接。
3、配置前准备:
1)下载客户端使用的软件,并安装在客户端,用来连接虚拟专用网(我这里提供的是windows 7的client安装包。Cisco客户端软件包
4、开始配置:
1)配置基本网络参数:
1) R1配置如下:
R1(config)#int loo0 #开启loop back 0接口
R1(config-if)#ip add 1.1.1.1 255.255.255.0 #配置IP地址
R1(config-if)#no shutdown #启用接口
R1(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#line vty 0 4 #配置vty,允许5个终端访问
R1(config-line)#password pwd@123 #配置telnet密码
R1(config-line)#login #保存
R1(config-line)#exit
R1(config)#enable password pwd@123 #配置全局密码
2) Easy配置如下:
Easy(config)#int f0/0
Easy(config-if)#ip add 192.168.10.254 255.255.255.0
Easy(config-if)#no shutdown
Easy(config-if)#exit
Easy(config)#int f1/0
Easy(config-if)#ip add 192.168.20.254 255.255.255.0
Easy(config-if)#no shutdown
Easy(config-if)#exit
Easy(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.1 #配置去往ISP的路由
Easy(config)#ip route 1.1.1.0 255.255.255.0 192.168.10.1 #配置去往R1的loop back 0接口的路由
3) ISP配置如下:
ISP(config)#int f1/0
ISP(config-if)#ip add 192.168.20.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#int f0/0
ISP(config-if)#ip add 192.168.30.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#int loo0
ISP(config-if)#ip add 2.2.2.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#line vty 0 4
ISP(config-line)#password pwd@123
ISP(config-line)#login
ISP(config-line)#exit
ISP(config)#enable password pwd@123
4) R4配置如下:
R4(config)#int f0/0
R4(config-if)#ip add 192.168.30.254 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#int f1/0
R4(config-if)#ip add 192.168.40.254 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#exit
R4(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 #配置去往ISP的路由
R4(config)#ip dhcp pool LAN #开启DHCP服务
R4(dhcp-config)#network 192.168.40.0 255.255.255.0 #下发网段
R4(dhcp-config)#default-router 192.168.40.254 #下发网关
R4(dhcp-config)#dns-server 202.96.0.10 202.96.0.20 #下发首选DNS和备份DNS
R4(config)#access-list 10 permit any
R4(config)#ip nat inside source list 10 interface f0/0 overload
R4(config)#int f0/0
R4(config-if)#ip nat outside
R4(config-if)#int f1/0
R4(config-if)#ip nat inside
R4(config-if)#exitEasy-虚拟专用网路由器配置如下:
Easy(config)#aaa new-model #启用AAA验证
Easy(config)#aaa authentication login authen local group radius#配置AAA验证使用radius验证,名字为authen
Easy(config)#aaa authorization network author local group radius #配置AAA授权使用radius授权资源访问,授权的名字是author
Easy(config)#username benet password pwd@123 #创建easy虚拟专用网验证的账户名和密码
#配置IPSec 虚拟专用网阶段一
Easy(config)#crypto isakmp policy 1 #策略序列号为“1”
Easy(config-isakmp)#encryption aes #配置加密算法
Easy(config-isakmp)#hash sha #hash命令指定验证过程中采用的散列算法
Easy(config-isakmp)#group 2 #配置加密共享密钥方式使用dh算法
Easy(config-isakmp)#lifetime 86400 #配置保持时间,默认保持时间为24小时
Easy(config-isakmp)#authentication pre-share #配置共享密钥的方式为“预先共享密钥”
Easy(config-isakmp)#exit
Easy(config)#crypto ipsec transform-set bj-set esp-aes esp-sha-hmac #配置传输集地址池使用动态map调用传输集
Easy(cfg-crypto-trans)#exit
Easy(config)#ip local pool ez虚拟专用网 192.168.10.100 192.168.10.200#创建地址池,地址池的名字为ez虚拟专用网
Easy(config)#crypto dynamic-map dy-map 1#创建动态map,动态map的名字为dy-map
Easy(config-crypto-map)#reverse-route #配置反转路由
Easy(config-crypto-map)#set transform-set bj-set #动态map调用传输集
Easy(config-crypto-map)#exit
Easy(config)#crypto isakmp client configuration group remote虚拟专用网# 创建用户组,名字为remote虚拟专用网
Easy(config-isakmp-group)#key pwd@123 #设置访问密码
Easy(config-isakmp-group)#pool ez虚拟专用网 #用户组调用地址池
Easy(config-isakmp-group)#dns 2.2.2.2 #给虚拟专用网客户端下发dns
Easy(config-isakmp-group)#domain benet.com #给客户端下发域名,名字为benet.com
Easy(config-isakmp-group)#exit
Easy(config)#crypto map st-map client configuration address respond #创建静态map,名字为st-map
Easy(config)#crypto map st-map client authentication list authen #静态map调用验证,验证的名字是authen
Easy(config)#crypto map st-map isakmp authorization list author#静态map调用授权,授权的名字是author
Easy(config)#crypto map st-map 1 ipsec-isakmp dynamic dy-map #静态map调用动态map
Easy(config)#exit
Easy(config)#int f1/0 #进入接口
Easy(config-if)#crypto map st-map #应用静态map到接口
Easy(config-if)#exit至此Easy虚拟专用网就已经配置完成了,接下来客户端安装client软件就可以开始验证咯。
2)客户端配置如下:
将我提供的压缩包解压后安装虚拟专用网的客户端软件。
语言保持默认下一步就OK
继续下一步
选择安装路径,我这里就保持默认,继续下一步
点击next,开始安装
保持默认,结束就可以了
yes,重启电脑
按照图片步骤打开即可
5、配置隧道分离,(桥接主机访问R1loop back0接口走隧道分离而不是走Easy-虚拟专用网)
1) 创建ACL抓取要走隧道分离的流量
Easy-***(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 any
Easy-***(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any
2)应用隧道分离
Easy-***(config)#crypto isakmp client configuration group remote***
Easy-***(config-isakmp-group)#acl 100
Easy-***(config-isakmp-group)#exitホストをブリッジする(それを再接続切断するには***注)ISPのR1とループバック0インターフェイスにアクセスすることができますが、私は単にあなたがpingコマンドで確認することができ、検証しまう、スプリットトンネリングを確認してください。
これまでのところ、効果が達成され、クライアントは唯一の企業のイントラネットサービス(バック0インターフェイスループのR1)にアクセスすることができ、あなたはまた、インターネットサービスにアクセスすることができます。
----これは、読書のためのおかげで記事を締結します----