D *** 소개 (동적 ***)
Cisco의 DM ***과 매우 유사한 핵심 프로토콜 인 vam은 주로 공용 네트워크 주소와 같은 정보를 수집, 유지 관리 및 배포하여 사용자가 내부 보안 터널을 빠르고 쉽게 설정하고 다음을 통해 다른 사이트에 대한 액세스 권한을 얻도록 도와줍니다. 하나의 홉에 해당하는 공용 네트워크 주소는 터널의 대상 주소로 캡슐화되어 대상
D *** 의 여러 역할 로 전송됩니다
. 1. D *** 노드 : 양쪽 끝에있는 장치입니다. 동적 VPN 터널, 주로
VAM 2 의 클라이언트 기능 으로 터널을 설정합니다 . VAM 서버 : D *** 노드 에서 등록 정보 를 수신 하고 주로 각 D * 의 정보를 유지 관리 하는 D *** 서버 ** 노드. 3. VAM 클라이언트 : D *** 클라이언트, 사설 네트워크 주소, 공용 네트워크 주소, VAM 식별 및 기타 정보를 VAM 서버에 등록하고 다른 VAM 클라이언트 정보를 서버에 쿼리합니다. VAM Client는 D ***의 한 유형이기도합니다. (Client가 보내는 UDP 메시지에는 연결 요청 메시지, 초기화 완료 메시지, 등록 요청 메시지 및 인증 요청 메시지가 포함됩니다.) 4. Hub : 또한 VAM Client입니다. * 허브-스포크 구조에서 네트워크의 중앙 장치는 데이터 전달의 중심이기도합니다 .5. 스포크 : VAM 클라이언트 유형, 일반적으로 분기 구조 6. AAA 서버 : 사용자 인증, 권한 부여 및 청구 . 관리 [선택 사항]
D ***의 주요 기능
1. 간단한 구성 : 터널을 통해 여러 VPN과 터널 관계를 설정하여 확장 성 및 유지 관리에 매우 편리합니다
2. Traversing NAT : D ***는 UDP 모드를 채택하여 NAT를 통과하는 것이 매우 좋습니다. 쉽고 . 편리
동적 IP 3. 지원 :이 구조에서, 단지 서버는 고정 IP이며, 나머지는 동적 IP 주소가 될 수 있습니다.
자동 터널 설립을위한 4. 지원 : 스포크 사이의 액세스가 자동으로 리디렉션을 통해 얻을 수 있습니다 서버의 기능 다른 사이트의 클라이언트 정보에 자동으로 터널 세션을 설정합니다
. 5. 등록 프로세스의 암호화 : CHAP 또는 PAP 인증을 통과해야하며 사용자 이름 정보가 필요합니다
. 6. ID 카드 인증 지원 : Pre-sharekey를 사용하여 클라이언트 및 서버 인증
7. 통합 정책 관리 :
8. 세션 협상 프로세스 암호화 : IPSec을 통해 전체 세션의 보안을 보호합니다.
9. 다중 VPN 도메인 지원 : D *** 장치가 격리를 용이하게하기 위해 여러 VPN 도메인을 만들 수 있도록합니다
. 10. 동적 라우팅 프로토콜 지원 :
토폴로지 설명 : 실제 환경에서는 일반적으로 라우터를 VAM 서버로만 사용하지 않습니다. 이때 대신 센터 [허브]를 사용할 수 있습니다. AAA 서버는 옵션으로 구성 할 수 있습니다. 인증 또는 비인증 센터가 VAM 서버, VAM 클라이언트 및 AAA 서버로 작동하도록하는 로컬 인증.
센터 구성
1. VAM 서버 구성
[센터] vam 서버 ip-address 202.100.1.1 [클라이언트의 VAM 패키지 모니터링에 사용되는 VAM 서버의 IP 주소 정의]
[센터] vam 서버 *** 1 [*** 인스턴스 , 다른 클라이언트와 연결 가능]
[center-vam-server-***-1] hub private-ip 10.1.1.1 [허브의 터널 인터페이스 주소는 여기에 지정됨]
[center-vam-server-*** -1] pre- shared-key simple ccieh3c.com [클라이언트 VAM으로 직접 인증 키 예약]
[center-vam-server-***-1] 인증 방법 chap [chap을 통해]
[center-vam-server- ** * -1] 서버 활성화 【마지막 오픈 서비스】
2. AAA 사용자 정의 [선택 사항]
여기에서는 로컬 인증이 사용되므로 기본값은 로컬이므로 Radius 서버 및 기타 구성을 정의 할 필요가 없습니다. 외부 서버 인 경우 AAA를 정의해야합니다. 여기서 사용자를 직접 생성 할 수 있습니다. , 사용자 이름은 클라이언트에 대한 인증으로 사용됩니다. 활성화되지 않은 경우 AAA가 필요하지 않습니다.
[center] local-user ccieh3c
[center-luser-ccieh3c] password simple ccieh3c.com
[center-luser-ccieh3c] service-type d ***
3. VAM 클라이언트 구성
[센터] vam 클라이언트 이름 허브 [클라이언트 정의]
[center-vam-client-name-hub] *** 1 [서버의 *** 1 인스턴스 연결]
[center-vam- client-name-hub] server primary ip-address 202.100.1.1 [서버 주소 정의]
[center-vam-client-name-hub] pre-shared-key simple ccieh3c.com [키가 서버와 일치합니다. ]
[center-vam -client-name-hub] user ccieh3c password simple ccieh3c.com [서버가 chap 인증을 활성화했기 때문에 서버에서 정의한 사용자 정보를 여기에 입력해야합니다.]
[center-vam-client-name-hub ] 클라이언트 활성화 [마지막 서비스 열기]
4. IPSEC *** 구성
[센터] ike 피어 센터
[center-ike-peer-center] 사전 공유 키 단순 ccieh3c.com
[여기에서는 원격 주소를 구성 할 필요가 없습니다. 원격 주소입니다.】
[센터] ipsec 제안 센터
[center-ipsec-proposal-center]
[기본 전략 채택]
[center] ipsec 프로필 센터
[center-ipsec-profile-center] ike-peer center
[center-ipsec -profile-center] 제안 센터
[프로필을 사용하여 통화]
5. 터널 인터페이스 [VAM 클라이언트 및 *** 프로필 호출]
[센터] 인터페이스 터널 0
[center-Tunnel0] 소스 g0 / 0 / 0
[center-Tunnel0] ip 주소 10.1.1.1 24 [구성 주소,이 주소는 VAM 서버에도 지정됨]
[center-Tunnel0] tunnel-protocol d *** udp [터널 유형은 d *** udp]
[center-Tunnel0] vam 클라이언트 허브 [이전 VAM 클라이언트 호출]
[center-Tunnel0] ipsec 프로파일 센터 【调用IPSEC 프로파일】
6. Route
[center] ip route-static 0.0.0.0 0.0.0.0 202.100.1.10
지점 구성
1 、 VAM 클라이언트
[spoke1] vam 클라이언트 이름 spoke1
[spoke1-vam-client-name-spoke1] *** 1
[spoke1-vam-client-name-spoke1] 서버 기본 ip-address 202.100.1.1
[spoke1-vam- client-name-spoke1] 사전 공유 키 단순 ccieh3c.com
[spoke1-vam-client-name-spoke1] 사용자 ccieh3c 암호 단순 ccieh3c.com
[spoke1-vam-client-name-spoke1] 클라이언트 활성화
2, IPSEC 配置
[spoke1] ike peer spoke1
[spoke1-ike-peer-spoke1] 사전 공유 키 단순 ccieh3c.com
[spoke1] ipsec 제안 spoke1
[spoke1-ipsec-proposal-spoke1]
[spoke1] ipsec 프로필 spoke1
[spoke1-ipsec-profile-spoke1] ike-peer spoke1
[spoke1-ipsec-profile-spoke1] proposal spoke1
3. 터널 인터페이스 구성
[spoke1] 인터페이스 터널 0
[spoke1-Tunnel0] 소스 g0 / 0 / 1 [환경을 단순화하기 위해 PPPOE dial-up은 여기서 정의하지 않고 PPPOE라면 dial-up interface]
[spoke1-Tunnel0] ip address 10.1.1.2 24
[spoke1-Tunnel0] tunnel- 프로토콜 d *** udp
[spoke1-Tunnel0] vam 클라이언트 spoke1
[spoke1-Tunnel0] ipsec 프로필 spoke1
4. Route
[spoke1] ip route-static 0.0.0.0 0.0.0.0 202.100.2.10 [PPPOE 환경 인 경우 전화 접속 인터페이스입니다.]
VAM보기 【체크】
3 개의 매핑 목록이있는 것을 볼 수 있는데, 하나는 허브 [센터 자체]이고 다른 2 개는 Spoke이며, VAM Client를 통해 Tunnel 인터페이스와 공용 네트워크 인터페이스 간의 대응 관계를 선언합니다.
스포크와 허브는 영구적 인 관계를 가지고 있음을 알 수 있으며, 스포크가 서로 통신 할 때 스포크는 다른 스포크와 해당 매핑 관계를 갖게되며 이는 주문형입니다.
10.1.1.3에 해당하는 공용 네트워크 주소는 VAM 메시지를 통해 서버 측에 직접 발견되고 해당 관계가 즉시 나타나는 것을 알 수 있습니다. 여기서는 기본적으로 170 초입니다.
IPSEC ***
IPSEC ***는 터널을 자동으로 설정합니다. 여기서 난이도는 ***가 아니라 VAM입니다. 모든 VPN 구성에서 원격 주소와 터널 대상 주소가 지정되지 않은 경우 Spoke는 허브 끝 주소가 누구인지 어떻게 알 수 있습니다. 그런 다음 모든 구현은 VAM 기능을 통해 구현됩니다. Client는 지정된 서버 주소 [Authentication]을 통해 서버와 연결 관계를 설정하고 서버는 Spoke에 대한 매핑 관계의 허브 끝을 알려줍니다. 그리고 영구적입니다. 이러한 방식으로 허브는 허브의 공용 네트워크 주소가 무엇인지 알고 VPN이 설정을 시작할 때 IP 주소로 직접 전송됩니다.
라우팅 문제
여기서 라우팅 문제는 정적 라우팅과 동적 라우팅 프로토콜로 해결할 수 있습니다. 정적 라우팅은 자연스럽게 구성하기 쉽습니다. 여기서는 주로 OSPF 문제에 대해 설명합니다.
OSPF에는 네트워크 유형이 있으며 터널 인터페이스는 기본적으로 포인트-투-포인트입니다. 허브와 스포크가 포인트-투 -N이므로 브로드 캐스트와 P2MP 중 하나를 선택할 수 있으므로 여기서는 분명히 불가능합니다. DR. BDR을 선택해야하므로이 경우 Spoke가 DR 역할을 할 수 없습니다. 그렇지 않으면 DR이 많습니다. Hub는 Spoke를 DR [Spoke의 Loo 주소가 클 수 있음]로 처리합니다.이 경우 문제가 발생합니다. 라우팅. 따라서 여기서 허브 만 박사 역할을 할 수 있습니다.
이 경우 문제가 없으며주의가 필요한 P2MP 문제도 없습니다.
모든 경로가 수신되었음을 알 수 있습니다.
Spoke와 Spoke 간의 상호 방문
허브의 영구 매핑 관계 만 있고 Spoke와 Spoke 간의 상호 방문이 허브를 통과하는지 여부를 확인할 수 있습니다.
통신이 정상임을 알 수 있으며, 우리가 염려하는 것은 스포크 사이에 직접 IPSEC 이웃 을 설정 하거나 IPSEC를 통해 전달하는 것입니다.
하나의 홉에서 직접 완성 된 것을 볼 수 있는데, 허브를 통과하면 2 홉이된다.
또한 상대방이 말하는 VAM 사이에 새로운 매핑 관계가 있습니다. 즉, Spoke2가 2.2.2.2에 액세스 할 때 경로의 다음 홉을 찾습니다.
여기에 10.1.1.2가 있으며, 서버와 같은 vam 클라이언트를 통해 10.1.1.2의 대응 테이블 관계를 쿼리하여 해당 공용 네트워크 주소를 알고 IPSEC를 통해 상대방과 ***를 설정합니다.
Spoke2와 hub, 그리고 spoke1도 IPSEC ***를 설정 한 것을 알 수 있습니다.이 경우 ***는 본사를 통해 전달되지 않습니다.
주의해야 할 사항
1. AAA 서버의 존재 여부는 VAM 서버의 인증 활성화 여부에 따라 전적으로 달라지며 인증 방식을 통해 none으로 정의 할 수 있습니다. 인증되지 않은 경우 사용자가 클라이언트를 인증 할 필요가 없습니다. 이름이며 AAA 서버는 중요하지 않습니다. 기본값은 chap 모드입니다.
2.이 기술은 이중 허브를 지원하며 이중 허브 인 경우 VAM 서버에 여러 개의 허브 끝 주소를 정의해야합니다.
3. OSPF 라우팅 프로토콜을 사용할 때 인터페이스 유형에주의하십시오. RIP를 사용하는 경우 분할 지평선에주의하십시오. 주소 계획이 더 좋으면 정적을 사용하여 자원을 절약 할 수 있습니다.
4. 동적 라우팅 프로토콜을 사용하는 경우 Hello 시간을 약간 늘릴 수 있습니다. 포인트, 장비 소비를 줄일 수 있습니다.
이 기사는 공개 계정 : Network Road 블로그에 재현되어 있습니다.