EZVPN的模式實例.docVIP

標(biāo)題：EZVPN目的：檢測EZVPN的三種硬件模式拓?fù)洌翰襟E：1、 按照拓?fù)浣o路由器配置地址 Ip地址規(guī)劃,企業(yè)等一類的大型網(wǎng)絡(luò)（大的局域網(wǎng)）內(nèi)部網(wǎng)絡(luò)使用的, 是私網(wǎng)地址,連接互聯(lián)網(wǎng)的邊界路由使用的是公網(wǎng)地址Pc上PC(config-if)#int f0/0PC(config-if)#ip add 20.1.1.10 255.255.255.0PC(config-if)#no shEzclient上ezclient(config)#int f0/1ezclient(config-if)#ip add 20.1.1.1 255.255.255.0ezclient(config-if)#no shezclient(config-if)#int f0/0ezclient(config-if)#ip add 61.128.1.1 255.255.255.0ezclient(config-if)#no shInternetinternet(config)#int f0/1internet(config-if)#ip add 61.128.1.10 255.255.255.0internet(config-if)#no shutdown internet(config-if)#int f0/0internet(config-if)#ip add 202.100.1.10 255.255.255.0internet(config-if)#no shutdownGw上gw(config)#int f0/1gw(config-if)#ip add 202.100.1.1 255.255.255.0gw(config-if)#no shgw(config-if)#no shutdown gw(config-if)#int f0/0gw(config-if)#ip add 10.1.1.1 255.255.255.0gw(config-if)#no shutdownServer上server(config)#int f0/1server(config-if)#ip add 10.1.1.10 255.255.255.0server(config-if)#no shutdown2、 解決路由底層問題，及server的回包問題Pc上內(nèi)部網(wǎng)絡(luò)一般運行動態(tài)路由協(xié)議，但由于拓?fù)浜唵危苯邮褂萌笔÷酚?，客戶端與中心通信，中心接受的通信流量之后，需要回包，才能確保鏈路暢通，即也是解決的路由回包；且vpn的通信點設(shè)備需要知道vpn對端通信點路由及加密點路由Ezclient上Gw上利用缺省路由解決底層路由，使得接收到的路由可以回包，且邊界路由使用都是缺省路由；vpn的加密點必須知道內(nèi)網(wǎng)通信點和對端加密點及通信點路由Server上內(nèi)部網(wǎng)絡(luò)一般運行動態(tài)路由協(xié)議，但由于拓?fù)浜唵危苯邮褂萌笔÷酚?，客戶端與中心通信，中心接受的通信流量之后，需要回包，才能確保鏈路暢通，即也是解決的路由回包；且vpn的通信點設(shè)備需要知道vpn對端通信點路由及加密點路由測試：ezclient與gw之間3、 創(chuàng)建EZVPN中心Gw上第1階段gw(config)#crypto isakmp policy 10 第一階段認(rèn)證策略gw(config-isakmp)#authentication pre-share 認(rèn)證方式預(yù)共享密鑰 gw(config-isakmp)#group 2 修改為組2，路由器默認(rèn)為組1，但客戶端認(rèn)證時發(fā)送到中心的信息都是在 組2，因此修改組，不采用默認(rèn)gw(config-isakmp)#hash md5 散列函數(shù)為MD5gw(config)#crypto isakmp client configuration group ipsecgroup EZVPN使用D的是cisco私有的group+key的認(rèn)證方式，提供設(shè)備級的認(rèn)證， 配置客戶端模式的組名gw(config-isakmp-group)#key cisco 設(shè)置group+key的key值第1.5階段gw(config)#aaa new-model 開啟aaa功能 gw(config)#aaa authentication login remote local XAUTH的登錄認(rèn)證名為remote，方式為本地認(rèn)證gw(config)#username ipsecuser password cisco 在本地創(chuàng)建客戶端登錄的用戶名和密碼；用戶遠(yuǎn)程登錄，查閱路由器的數(shù)據(jù) 庫，消耗路由資源大，企業(yè)一般采用將所有的用戶驗證連到AAA服務(wù)器上， 在AAA服務(wù)器上查詢，匹配了，在連到中心gw(config)#aaa authorization network remote local 授權(quán)為網(wǎng)絡(luò)授權(quán)，授權(quán)策略名為remote，方式為本地授權(quán) gw(config)#ip local pool mypool 123.1.1.100 123.1.1.200 在本地創(chuàng)建地址池，用來推送地址gw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#pool mypool 將地址池和組關(guān)聯(lián)gw(config)#crypto isakmp profile isaprof 使用isakmp的profile加密，保護(hù)文件gw(conf-isa-prof)#match identity group ipsecgroup 匹配組gw(conf-isa-prof)#client authentication list remote 匹配認(rèn)證策略gw(conf-isa-prof)#isakmp authorization list remote 匹配授權(quán)策略 gw(conf-isa-prof)#client configuration address respond 啟用客戶端配置第2階段gw(config)#crypto ipsec transform-set trans esp-des esp-md5-hmac 中心不知道客戶端身后的網(wǎng)絡(luò)，因此，感興趣流不匹配，直接配置轉(zhuǎn)換集 gw(config)#crypto dynamic-map dymap 10 客戶端因資金問題，一般都是動態(tài)獲取地址，因此使用動態(tài)mapgw(config-crypto-map)#set transform-set transgw(config-crypto-map)#set isakmp-profile isaprof 匹配轉(zhuǎn)換集和profile的策略gw(config)#crypto map cisco 10 ipsec-isakmp dynamic dymap 動態(tài)map關(guān)聯(lián)到靜態(tài)map，因為接口只支持靜態(tài)map調(diào)用gw(config)#int f0/1gw(config-if)#crypto map cisco 調(diào)用map客戶端ezclient上（首先client模式）ezclient(config)#crypto ipsec client ezvpn ezclient 配置客戶端ezclient(config-crypto-ezvpn)#peer 202.100.1.1 匹配對等體地址ezclient(config-crypto-ezvpn)#group ipsecgroup key cisco 匹配第一階段的認(rèn)證，組和keyezclient(config-crypto-ezvpn)#mode client Client模式ezclient(config-crypto-ezvpn)#connect manual 手動撥號 ezclient(config)#int f0/0ezclient(config-if)#crypto ipsec client ezvpn ezclient outsideezclient(config-if)#int f0/1ezclient(config-if)#crypto ipsec client ezvpn ezclient inside 定義內(nèi)部和外部在客戶端ezclient上撥號查看獲取的地址 Client模式接收到中心推送的地址Pc上進(jìn)行Ping命令測試 客戶端可以訪問中心，不能訪問互聯(lián)網(wǎng)中心進(jìn)行ping測試 中心不能訪問客戶端查看PAT 客戶端使用中心推送的地址訪問，并且PAT只有企業(yè)型的查看pc從中拿到的策略 無策略其次client模式+tunnel split（隧道分割）gw(config)#ip access-list extended split-tunnelgw(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 anygw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#acl split-tunnel 用ACL匹配流量，并在組中匹配，即使用隧道分割客戶端需要從新觸發(fā)vpn，才能拿到策略查看策略 客戶端拿到了隧道分割的策略查看獲取到的地址 客戶端收到中心推送的地址Pc上進(jìn)行ping命令測試 客戶端既能訪問中心，又能訪問互聯(lián)網(wǎng)中心進(jìn)行ping測試 中心不能訪問客戶端在server上啟用遠(yuǎn)程路由，并在pc上測試server(config)#line vty 0 15server(config-line)#password ciscoserver(config-line)#loginserver(config)#enable password 123在server設(shè)備上查看 客戶端使用中心推送的地址查看PAT PAT有兩個，企業(yè)型的和互聯(lián)網(wǎng)型再添加一個密碼保存策略gw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#save-password 密碼保存，即有些用戶想要記住密碼，下次直接點擊連接客戶端斷開一下，再連接，才能拿到新的策略ezclient#clear crypto ipsec client ezvpn ezclient#crypto ipsec client ezvpn connect ezclient#crypto ipsec client ezvpn xauth Username: ipsecuserPassword:查看策略 客戶端密碼保存策略拿到可以測試一下 斷開連接后，從新?lián)芴枺苯訐苌?，不用撥密碼然后使用網(wǎng)絡(luò)擴展模式，先刪除策略，再修改客戶端模式ezclient(config)#crypto ipsec client ezvpn ezclientezclient(config-crypto-ezvpn)#mode network-extension 網(wǎng)絡(luò)擴展模式 從新?lián)芴柌榭吹刂?沒有收到中心推送的地址Pc上測試 客戶端可以訪問中心，不能訪問互聯(lián)網(wǎng)Server設(shè)備上查看與測試 客戶端使用的是自己真實的地址 中心能夠訪問客戶端查看PAT 沒有PAT其次使用網(wǎng)絡(luò)擴展模式+split-tunnel 用ACL匹配流量，并在組中匹配，即使用隧道分割客戶端從新觸發(fā)vpn，才能拿到策略查看策略查看地址 沒有Pc上測試 可以訪問 中心，也可以訪問互聯(lián)網(wǎng)Server設(shè)備上查看和測試 客戶端使用的是自己真實的地址訪問中心，且中心能夠訪問客戶端查看PAT PAT只有一個，互聯(lián)網(wǎng)型添加密碼保存策略，及手動撥號改為自動撥號 密碼保存，即有些用戶想要記住密碼，下次直接點擊連接先拿到策略修改手動撥號改為自動撥號斷開后驗證 斷開后，客戶端自動撥號，建立連接刪掉策略，自動撥號改為手動撥號，使用Natwork-puls模式Natwork-puls模式ezclient(config)#crypto ipsec client ezvpn ezcl