1.Easy仮想プライベートネットワークの問題を解決すべき
フェーズ1 ----管理接続
- どのように交渉が管理接続です
- DHアルゴリズムによってキー情報を共有
- 互いを認証するピア
フェーズ2 ----データ接続を確立
- ピア保護の間のトラフィックの定義は何ですか
- プロテクトデータに使用され定義されたセキュリティプロトコル
- 送信モードの定義
2. XAUTHユーザ認証を行います
(1)XAUTH
IPsec 协议最初的设计并未考虑用户验证问题,所以IETF (internet Engineering Task Force , 因特网工程任务部) 引入了一个RFC的草案
---XAUTH, 它是一个虚拟专用网网管的增强特性,提供用户名和密码的方式来验证用户身份。
由于这个过程是在俩个连接建立之间完成的,所以被称为“阶段1.5”。
用户验证自然就会涉及用户名和密码的存储方式,通常情况下有两种:- 内部データベース仮想私設網のゲートウェイ装置に記憶され
- サードパーティ製のデバイスに保存されています
定義(2)AAA IS
AAAは、ネットワークデバイスにアクセス制御構成のための基本的なフレームワークを提供する認証(確認)、承認(認可)、頭字会計(統計)
認証:ユーザーがいるのですか?
利用者の正当性は、名前、パスワードなどを含むユーザ認証情報を確認され
認証:ユーザーが行うことができますか?
ユーザーが認証されると、ユーザサービスの権限を指定するために使用することができます
統計:どのようなユーザーが行っている?
ユーザ認証を、認証が成功すると、そのようなユーザの操作などの記録情報、課金用の
AAAは、RADIUSプロトコルおよびTACACS +プロトコルを使用して、メインサーバである
標準プロトコルRADIUS(リモート認証ダイヤルインユーザーサービス)全開、ベンダまたはユーザRADIUSを変更する柔軟性があります
TACACS +(ターミナルアクセスコントローラアクセスコントロールシステム)シスコ独自のプロトコルの設計であります
- オープンAAAルータ
ます。Router(config)#AAAの新モデル
3.グループポリシー
-
アドレスプール
クライアントリモートアクセス仮想プライベートネットワークは、クライアントが固定IPアドレスを持っていないため、「ダイナミック」、その場合には、最良の方法は、仮想プライベートをさせることです、ゲートウェイ仮想プライベートネットワークとの接続を確立することは困難である理由でありますクライアントを検証することにより、「プッシュ」IPアドレスごとなどのDHCPサーバなどのネットワークデバイス。このように、クライアントのIPアドレスが動的に仮想プライベートネットワークゲートウェイ、仮想プライベートネットワーク機器を割り当てられ、確立されているので、自然にどのようなIP仮想プライベートネットワーク接続を知っています。
- DNSとゲートウェイ
そして、DHCPサーバは、クライアントに割り当てられたIPアドレスが、また、配信ゲートウェイとDNSに加えて、クライアントはIP、ゲートウェイ、およびDNSおよびその他のネットワークに必要な資源を持っていると本当にのネットワークになります
- 共有キー
リモートアクセス仮想プライベートネットワーク、クライアントのグループと「共有キー」への仮想プライベートネットワークゲートウェイニーズでは、仮想プライベートネットワークを構成するときに、クライアントのグループごとに異なる共有キーを設定する必要があるので、クライアントはキーではありません仮想プライベートネットワークゲートウェイプッシュが、それは、キーが自然にそう、ローカルクライアントホストに格納され、達成するためにクライアントソフトウェアを介してホストに設定するには、ユーザーが必要であり、このプロセスは、通常、ネットワーク管理者から提供されますの「フェーズ1.5」の有無のみ
- スプリットトンネリング
デフォルトでは、クライアントはトンネルがすべてのトラフィックが会社へのトンネルを通過しなければならないことを意味し、すべてのトラフィックを、できるようになるので、当然、ない、内でのみ承認されたリソースへの仮想プライベートネットワークゲートウェイ、ネットワークアクセスのトンネルを確立しますあなたが別々にリモートアクセス仮想プライベートネットワークトンネルにACLを設定する必要がありますので、へ、とクライアントのすべてのトラフィックを許可
- 分離DNS
会社へのリモートアクセス、仮想プライベートネットワークを介した場合、クライアントのホスト接続、でもスプリットトンネリングした後、クライアントアクセス、インターネットウェブサーバ、クライアントは各場合にも、会社のイントラネットのDNS解決を使用する必要があるが、これは合理的なプロセスではありません訪問Baiduは、企業のイントラネットのDNS解決を通過する際に、実際には、その会社のイントラネットのDNS解決を使用して、同社のWebサーバにアクセスするためのクライアントを達成するために、資源の無駄必要はありませんアクセスBaiduのであれば、あなたが別のDNSを使用して、異なるドメイン名を達成する必要がある場合は、DNSの用途は、あなたは別のDNSを使用する必要があります
4.ダイナミック暗号マップ
私たちは、仮想プライベートネットワークデバイスアドレス(DHCPサービス固定されていない仮想プライベートネットワーク、で配布クライアントのアドレス)をマッピング暗号静的に指定されたクライアントを実現することができない、それが動的に使用して移入され、必要なパラメータでスタティック暗号マップにする必要がありますダイナミック暗号マップ必見のISAKMP / IKEはネゴシエーションを開始するだけでなく、リモートアクセス仮想プライベートネットワークでの通常の場合、仮想プライベートネットワークゲートウェイ上のスタティックおよびダイナミック暗号マップ、両方のためのIPSecを開始することができ、静的に構成された1つのデバイスのみまれL2L(LAN LANに)セッションの確立を使用しないトンネル、それはまた真である、ダイナミック暗号マップ、
場合は、リモートアクセスの仮想ローカルエリアネットワーク、正常に設定されますトランスフォームセットをIPアドレスがピアとは何の関係もありませんトランスミッションの設定指定したため、送信が直接、ダイナミック暗号マップに適用する設定することができます。唯一のインターフェイスにクリプトマップを設定しているので、仮想は、プライベートネットワークゲートウェイでダイナミック暗号マップをスタティック暗号マップ、暗号マップを設定されたインターフェイスへのその後スタティック暗号マップに適用することにするので必要性をスタティック暗号マップを有していなければなりません。
5.設定ケース
1.設定R4を除くIPおよび他のすべてのデフォルトルートを行います
橋は、64ビットのホストで、仮想プライベートネットワーククライアントプログラムを使用します
R3の設定
R3(config)#int f0/0
R3(config-if)#ip add 192.168.0.10 255.255.255.0
R3(config-if)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1R1の設定:
AAA、次のように構成されました
R1(config)#aaa new-model
R1(config)#aaa authentication login bdqn-authen local
R1(config)#aaa authorization network bdqn-author local
R1(config)#username bdqn secret cisco //创建用户 加密次のようにステージ1が設定されています
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit次のようにステージ1.5に構成
R1(config)#ip local pool bdqn-pool 192.168.1.200 192.168.1.210
//创建地址池
R1(config)#ip access-list extended split-acl
R1(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any
R1(config-ext-nacl)#exit次のようにグループポリシーを作成します。
R1(config)#crypto isakmp client configuration group test-group
R1(config-isakmp-group)#key 123456
R1(config-isakmp-group)#pool bdqn-pool
R1(config-isakmp-group)#dns 192.168.0.10
R1(config-isakmp-group)#acl split-acl
R1(config-isakmp-group)#split-dns bdqn.com
R1(config-isakmp-group)#exitダイナミックマップの設定
R1(config)#crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map bdqn-dymap 1
R1(config-crypto-map)#set transform-set bdqn-set
R1(config-crypto-map)#exit
R1(config)#crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
R1(config)#crypto map bdqn-stamap client authentication list bdqn-authen
R1(config)#crypto map bdqn-stamap isakmp authorization list bdqn-author
R1(config)#crypto map bdqn-stamap client configuration address respond
//用于让客户端先发起连接
R1(config)#int f0/1
R1(config-if)#crypto map bdqn-stamap
//应用到外接口クライアント仮想プライベートネットワークをインストールします。
第一及び第二のボックスだけで塗りつぶしビットの記述情報、
第3の外部インターフェイスブロック書き込みR1はiP
二回、グループポリシーのユーザー名とパスワード、入力されたパスワードの下に書かれました
アカウントのパスワードを入力し、AAA
仮想マシンのpingを確認してください
R1は、ファイアウォールを変更した場合
他の構成は同じです
次のようにファイアウォールの設定です。
外側のインターフェイスに:nameifコマンドの外
インサイドnameifコマンド:インターフェイスに
ciscoasa(config)#関連ルート外0 0 200.0.0.2 //ファイアウォールのデフォルトルートへ行きます
ciscoasa(config)# username bdqn password 123456
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# encryption 3des
ciscoasa(config-isakmp-policy)# hash sha
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# exit
ciscoasa(config)# ip local pool bdqn-pool 192.168.1.200-192.168.1.210
ciscoasa(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
ciscoasa(config)# group-policy test-group internal
ciscoasa(config)# group-policy test-group attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value split-acl
ciscoasa(config-group-policy)# exit
ciscoasa(config)# tunnel-group bdqn-group type ipsec-ra
ciscoasa(config)# tunnel-group bdqn-group general-attributes
ciscoasa(config-tunnel-general)# default-group-policy test-group
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group bdqn-group ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key bdqn-key
ciscoasa(config-tunnel-ipsec)# exit
ciscoasa(config)# crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac
ciscoasa(config)# crypto dynamic-map bdqn-dymap 1 set transform-set bdqn-set
ciscoasa(config)# crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
ciscoasa(config)# crypto map bdqn-stamap int outside