1.Easy 虛擬專用網需要解決的問題
階段1----建立管理連接
- 協商採用何種方式建立管理連接
- 通過DH算法共享密鑰信息
- 對等體彼此進行身份驗證
階段2----建立數據連接
- 定義對等體間保護何種流量
- 定義用來保護數據的安全協議
- 定義傳輸模式
2.使用XAUTH做用戶驗證
(1) XAUTH
IPsec 協議最初的設計並未考慮用戶驗證問題,所以IETF (internet Engineering Task Force , 因特網工程任務部) 引入了一個RFC的草案
---XAUTH, 它是一個虛擬專用網網管的增強特性,提供用戶名和密碼的方式來驗證用戶身份。
由於這個過程是在倆個連接建立之間完成的,所以被稱爲“階段1.5”。
用戶驗證自然就會涉及用戶名和密碼的存儲方式,通常情況下有兩種:- 存儲在虛擬專用網網關設備的內部數據庫中
- 存儲在第三方設備上
(2)AAA的定義
AAA是Authentication(驗證),Authorization(授權),Accounting(統計)的縮寫,它提供了在網絡設備上配置訪問控制的基本框架
驗證: 用戶是誰?
對用戶的合法性進行驗證,包括用戶名,密碼等信息的驗證
授權:用戶可以做什麼?
在用戶通過驗證後,爲用戶指定其能夠使用的服務等權限
統計:用戶做過什麼?
在用戶驗證,授權成功後,記錄用戶的操作等信息,以便用於記賬
實現AAA服務器主要使用RADIUS協議和TACACS+協議
RADIUS(遠程驗證撥入用戶服務)是一個全開放的標準協議,廠商或用戶可以靈活地修改RADIUS
TACACS+(終端訪問控制器訪問控制系統)是Cisco設計的私有協議
- 路由器開啓AAA
Router(config)# aaa new-model
3.組策略
-
.地址池
遠程訪問虛擬專用網的客戶端之所以很難與虛擬專用網的網關建立連接,就是因爲客戶端沒有固定的IP地址,在這種“動態”的情況下,最好的辦法就是讓使虛擬專用網設備像DHCP服務器一樣爲每個通過驗證的客戶端“推送”IP地址。這樣,由於客戶端的IP地址是虛擬專用網網關動態分配的,虛擬專用網設備自然也就知道該與哪個IP建立虛擬專用網連接。
![遠程訪問虛擬專用網------EASY虛擬專用網]()
- DNS和網關
和DHCP服務器一樣,除了給客戶端分配IP地址以外,還要分配網關和DNS,這樣客戶端就擁有了內網的IP、網關及DNS等必備的資源,真正成爲內網的一員
- 共享密鑰
在遠程訪問虛擬專用網中,虛擬專用網網關需要與多組客戶端“共享密鑰”,因此在配置虛擬專用網時需要爲每組客戶端設置不同的共享密鑰,客戶端的密鑰並不是虛擬專用網網關推送的,而是需要用戶通過客戶端軟件配置在主機上,而這個過程一般是由公司的網絡管理員來實現的,那麼這個密鑰自然是保存在客戶端主機本地了,因此纔有了“階段1.5”的存在
- 分離隧道
默認情況下,客戶端與虛擬專用網網關建立隧道後,只能訪問內網授權的資源,這是因爲隧道會允許所有的流量,也就是說所有的流量必須經過隧道到達公司,自然也就不允許任何流量訪問,而對於客戶端而言,所以需要針對遠程訪問虛擬專用網配置ACL來分離隧道
- 分離DNS
當客戶端主機通過遠程訪問虛擬專用網連接到公司,即使隧道分離後,客戶端訪問Internet的web服務器時,也需要使用公司內網的DNS解析,但這不是一個合理的過程,如果客戶端每次訪問百度,都要經過公司內網進行DNS解析,其實是沒必要的,太浪費資源了,所以要實現客戶端訪問公司的web服務器時,使用公司內網的DNS解析,若訪問百度,則使用的DNS,如果要實現不同的域名使用不同的DNS,就需要用到了分離DNS
4.動態Crypto Map
我們無法實現在虛擬專用網設備的靜態crypto map中指定客戶端的地址(客戶端的地址由虛擬專用網的DHCP服務分發,不是固定的),所以需要將靜態crypto map中需要的參數被動態填充,使用動態crypto map 必須採用ISAKMP/IKE發起協商,而且在實現遠程訪問虛擬專用網的時候通常在虛擬專用網網關上同時配置靜態和動態的crypto map,因爲只有一臺具有靜態配置的設備可以發起IPSec的隧道,也正是如此,動態的crypto map很少被用於L2L(局域網to局域網)會話建立,
在實現遠程訪問虛擬局域網的時候,一般會先配置transform-set,因爲指定傳輸集與peer的IP地址無關,可以將傳輸集直接應用到動態crypto map;由於在接口上只能配置一個crypto map,且虛擬專用網網關上必須有靜態crypto map,所以需將動態crypto map 應用到靜態的crypto map中,再將靜態crypto map應用到接口上,這就是配置crypto map。
5.配置案例
1.配置IP 並且除了R4 別的全部做默認路由
橋接一個主機是64位的,要用虛擬專用網的客戶端程序
如R3配置
R3(config)#int f0/0
R3(config-if)#ip add 192.168.0.10 255.255.255.0
R3(config-if)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1R1配置:
aaa配置如下
R1(config)#aaa new-model
R1(config)#aaa authentication login bdqn-authen local
R1(config)#aaa authorization network bdqn-author local
R1(config)#username bdqn secret cisco //創建用戶 加密階段1配置如下
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit階段1.5配置如下
R1(config)#ip local pool bdqn-pool 192.168.1.200 192.168.1.210
//創建地址池
R1(config)#ip access-list extended split-acl
R1(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any
R1(config-ext-nacl)#exit創建組策略如下
R1(config)#crypto isakmp client configuration group test-group
R1(config-isakmp-group)#key 123456
R1(config-isakmp-group)#pool bdqn-pool
R1(config-isakmp-group)#dns 192.168.0.10
R1(config-isakmp-group)#acl split-acl
R1(config-isakmp-group)#split-dns bdqn.com
R1(config-isakmp-group)#exit配置動態Map
R1(config)#crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map bdqn-dymap 1
R1(config-crypto-map)#set transform-set bdqn-set
R1(config-crypto-map)#exit
R1(config)#crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
R1(config)#crypto map bdqn-stamap client authentication list bdqn-authen
R1(config)#crypto map bdqn-stamap isakmp authorization list bdqn-author
R1(config)#crypto map bdqn-stamap client configuration address respond
//用於讓客戶端先發起連接
R1(config)#int f0/1
R1(config-if)#crypto map bdqn-stamap
//應用到外接口安裝虛擬專用網的客戶端
第一和第二個框位描述信息隨便填,
第三個框寫R1外接口的iP
下面寫組策略的用戶名和密碼,輸入兩遍密碼
輸入aaa的賬號密碼
驗證 用虛擬機ping
如果把R1換爲防火牆
其他配置都一樣
在防火牆上配置如下:
進入外接口:nameif outside
進入內接口:nameif inside
ciscoasa(config)# route outside 0 0 200.0.0.2 //防火牆走默認路由
ciscoasa(config)# username bdqn password 123456
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# encryption 3des
ciscoasa(config-isakmp-policy)# hash sha
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# exit
ciscoasa(config)# ip local pool bdqn-pool 192.168.1.200-192.168.1.210
ciscoasa(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
ciscoasa(config)# group-policy test-group internal
ciscoasa(config)# group-policy test-group attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value split-acl
ciscoasa(config-group-policy)# exit
ciscoasa(config)# tunnel-group bdqn-group type ipsec-ra
ciscoasa(config)# tunnel-group bdqn-group general-attributes
ciscoasa(config-tunnel-general)# default-group-policy test-group
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group bdqn-group ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key bdqn-key
ciscoasa(config-tunnel-ipsec)# exit
ciscoasa(config)# crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac
ciscoasa(config)# crypto dynamic-map bdqn-dymap 1 set transform-set bdqn-set
ciscoasa(config)# crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
ciscoasa(config)# crypto map bdqn-stamap int outside