Easy-VPN的配置與實戰(zhàn)案例

EasyVPN的配置與實戰(zhàn)案例EasyVPN的配置與案例

4

EasyVPN的配置

本節(jié)之前介紹的案例是站點到站點VPN，實現(xiàn)站點到站點的VPN和遠距離工作者或工作在外的員工所運用的遠程訪問類型的VPN不同的是：站點到站點VPN利用連接兩端的網(wǎng)關，（Internet上）網(wǎng)關到網(wǎng)關的流量是加密的。

為了向遠距離工作者或工作在外的員工所供應的遠程訪問類型的VPN，是不是也要配置那么多的吩咐和參數(shù)呢？許多用戶會提出有沒有簡潔點的VPN配置來完成這樣的要求。本節(jié)介紹一種簡潔的VPN配置，即EasyVPN。

4.1

EasyVPN概述

從EasyVPN的名字上就知道這應當是個簡潔的VPN應用技術。EasyVPN分為EasyVPNServer和EasyVPNRemote兩種。EasyVPNServer是Remote－AccessVPN專業(yè)設備，配置困難，支持PolicyPushing等特性?，F(xiàn)在的900、1700、Pix、Vpn3002和ASA等許多設備都支持。

而EasyVPNRemote就是特地為了小的分支機構所設計的，一般狀況下，小分支接口的網(wǎng)絡管理員的水平?jīng)]有那么高，不行能去配置一堆困難吩咐來實現(xiàn)Site－to－SiteVPN，這時候，只須要通過EasyVPNRemote這個特性配置幾條簡潔的吩咐，就可以Site－to－SiteVPN。全部的配置都在Server端來完成，Client的VPN配置都由Server端采納“推”的方式應用到分支機構的設備上。這種技術極大地避開了分支機構配置VPN失敗的問題。但這種VPN不支持路由，不支持組播，只能在IP協(xié)議下工作，不支持狀態(tài)故障切換等技術。所以，須要網(wǎng)絡管理員在自己的實際工作中留意這些功能是否須要，再確定是否實施EasyVPN技術。

4.2

基于吩咐行的EasyVPN配置實例

下面介紹一個基于IOS吩咐行的EasyVPNServer/Remote配置實例，如圖14-9所示。（點擊查看大圖）圖14-9

EasyVPN接入

RouterServer的配置如下。cryptoisakmppolicy1

encryption3des

authenticationpre-share

group2

cryptoisakmpclientconfigurationaddress-poollocalpool192

iplocalpoolpool192192.168.1.1192.168.1.254

cryptoisakmpclientconfigurationgroupvclient-group

keyvclient-key

domaintest

poolpool192

cryptoIPsectransform-setvclient-tfsesp-3desesp-sha-hmac

cryptodynamic-maptemplate-map1

settransform-setvclient-tfs

cryptomapvpnmapisakmpauthorizationlistvclient-group

cryptomapvpnmapclientconfigurationaddressrespond

cryptomapvpnmap1IPsec-isakmpdynamictemplate-map

interfaceLoopback0

ipaddress172.16.1.1255.255.255.240

interfaceFastEthernet0

ipaddress10.130.23.246255.255.255.240

cryptomapvpnmap

iproute192.168.1.0255.255.255.0FastEthernet0

showcryisakmpsa

showcryIPsecsa

clearcrysa

clearcryisakmp

debugcryisakmp

debugcryIPsec

4.3

基于SDM的EasyVPN配置實例

EasyVPN的配置大部分工作都在VPNServer上完成，減輕了配置工作。在Cisco的設備中，比如，1800系列、2800系列和3800路由器系列，可以不運用吩咐的方式來完成配置。在這些新系列的設備上可以用SDM（思科路由器和平安設備管理器）軟件來配置。

1．CiscoSDM

CiscoSDM是一種直觀且基于Web的設備管理工具，用來管理以CiscoIOS?軟件為基礎的路由器。CiscoSDM可通過智能向導簡化路由器及平安配置過程，對于客戶及Cisco合作伙伴而言，有了這些向導，不必對吩咐行接口（CLI）有特地的了解，就能快速便捷地部署、配置和監(jiān)控CiscoSystems路由器。

SDM在設備上默認S管理IP是.1。所以假如運用默認配置登錄的話，肯定要保證PC的地址在10.0.10.0網(wǎng)段。SDM的默認用戶名是cisco，密碼也是cisco。

SDM程序既可以安裝在PC上，也可以安裝在路由器上。安裝在PC上能節(jié)約路由器的內(nèi)存并且可以用它來管理其他支持SDM管理的路由器，但是這種模式下不能執(zhí)行復原默認的操作。安裝到路由器時，基本安裝須要大約4~5MB的Flash空間，CiscoSDMExpress組件須要1.5MB的Flash空間，只用于路由器的初始化配置無須安裝。

IE默認禁止網(wǎng)頁訪問本機資源，須要修改IE的平安設置。選擇IE“工具”菜單，選擇“Internet選項”，切換到“高級”選項卡，在“設置”里找到“允許活動內(nèi)容在我的計算機上運行”，啟用該功能；另外在“隱私”選項卡中取消“打開窗口阻擋程序”選項。

SDM下載地址為（須要CCO賬號），下載并解壓SDM－V21.zip，運行Setup程序即可進行SDM的安裝。在安裝SDM之前要求安裝JRE1.5，假如尚未安裝，可以到Sun公司網(wǎng)站下載。

將SDM安裝到路由器之后，路由器必需進行以下配置才能支持SDM管理工具。ipserver

//允許登錄

ipsserver

//允許S登錄

ipauthenticationlocal

//指定本地認證

iptimeout-policyidleidle-numberlifelife-numberrequestrequest-number

//修改Web接口超時參數(shù)

userusernameprivilege15secret0secret

//必需是Secret，不行以用Password關鍵字

假如須要Telnet或者Ssh遠程登錄設備，則增加以下配置吩咐。linevty04

//路由器型號不同VTY的數(shù)量也不同

loginlocal

transportinputtelnetssh

//允許Telnet和Ssh

假如以上步驟配置正確完整，則在IE中輸入://“路由器IP地址”，就可以起先運用SDM了。假如是第一次登錄SDM，則提示修改默認用戶名cisco，以及默認密碼cisco。

詳細啟用配置SDM軟件的方法，請查閱產(chǎn)品隨機手冊和思科網(wǎng)站上的相關信息，相關資料。運用SDM配置VPN的前提是要能保證配置端可以通過S訪問路由器的Web管理界面。值得慶幸的是SDM如今已經(jīng)支持中文版本。

2．SDM配置EasyVPN的步驟

下面介紹運用思科平安設備管理器（SDM）將Cisco路由器配置成EasyVPNServer。一旦思科路由器配置完成后，可以運用思科VPN客戶端（CiscoSystemsVPNClient）進行驗證。

第1步：從左側主操作窗口選擇Configure→VPN→EasyVPNServer，然后單擊LaunchEasyVPNServerWizard，啟動EasyVPN服務器向導，如圖14-10所示。圖4-10

LaunchEasyVPNServerWizard

第2步：在彈出的對話框單擊【Yes】按鈕，這里提示假如對路由器配置EasyVPNServer須要啟用AAA認證。請單擊【Yes】按鈕接著進行配置，

如圖14-11所示。

如圖14-12所示，表示路由器已經(jīng)勝利啟用AAA。單擊【OK】按鈕，下面可以輕松地配置VPN服務器了。圖14-11

啟用AAA提示圖14-12

確認AAA配置完成

第3步：正式進入EasyVPN配置向導，圖14-13所示顯示了配置過程須要選擇的配置和啟動的服務，單擊【下一步】按鈕。

第4步：首先要求選擇應用EasyVPN的接口，客戶端連接終止及身份驗證的方法，如圖14-14所示。（點擊查看大圖）圖14-13

EasyVPN配置向導（點擊查看大圖）圖14-14

啟動VPN接口和認證類型

第5步：單擊【下一步】按鈕，將配置Internet密鑰交換（IKE）的策略，單擊【Add】按鈕，添加新的策略，如圖14-15所示。（點擊查看大圖）圖14-15

設置IKE屬性

配置VPN隧道的選項必需是雙方匹配的。這里是針對“思科VPN客戶端”本身自動選擇適當?shù)呐渲谩Ｒ虼?，有必要對客戶端電腦配置IKE。

第6步：單擊【下一步】按鈕，選擇默認轉換設置或添加新的轉換加密和認證算法，如圖14-16所示。單擊【Add】按鈕，添加轉換算法設置，如圖14-17所示。（點擊查看大圖）圖14-16

選擇TransformSet設置圖14-17

添加Transform

第7步：添加一個新的驗證、授權和記賬策略，這里選擇定義驗證的方式為本地配置，如圖14-18所示。（點擊查看大圖）圖14-18

選擇本地策略

授權網(wǎng)絡訪問名單和組策略，這里可以查找或選擇一個現(xiàn)有的本地和網(wǎng)絡配置清單用做企業(yè)的VPN訪問授權。

第8步：選擇用戶認證數(shù)據(jù)庫，如圖14-19所示?？梢栽诖鎯τ脩粽J證細微環(huán)節(jié)上選擇一個外部服務器，如一個RADIUS服務器或本地數(shù)據(jù)庫，或者兩者同時啟用。

第9步：在如圖14-20所示的對話框中，可以對本地數(shù)據(jù)庫添加、編輯、復制或刪除用戶組策略。（點擊查看大圖）圖14-19

選擇用戶認證數(shù)據(jù)庫（點擊查看大圖）圖14-20

選擇對本地數(shù)據(jù)庫的操作

第10步：添加一個隧道組，配置共享密鑰用于認證信息。創(chuàng)建一個新的地址池或選擇一個現(xiàn)有的地址池，用于VPN客戶安排IP地址，如圖14-21所示。

第11步：單擊【OK】按鈕，在圖14-22中選擇是否接著添加策略。（點擊查看大圖）圖14-21

添加VPN客戶端地址池和共享密鑰（點擊查看大圖）圖14-22

添加地址池后

第12步：假如不須要配置選項，單擊【下一步】按鈕。圖14-23顯示了之前配置的參數(shù)，檢驗此提示內(nèi)容是否正確，假如感到滿足可以單擊【結束】按鈕。

第13步：SDM將上述配置復制到路由器，以更新運行的配置，在圖14-24中單擊【OK】按鈕，完成EasyVPN配置。（點擊查看大圖）圖14-23

顯示配置參數(shù)圖14-24

完成EasyVPN配置

完成之后，假如須要修改，可以在主界面編輯和修改。

下面是上述配置后路由器的執(zhí)行結果。Buildingconfiguration...Currentconfiguration:3336bytes

!

version12.4

servicetimestampsdebugdatetimemsec

servicetimestampslogdatetimemsec

noservicepassword-encryption

!

hostnameRouter

!

boot-start-marker

boot-end-marker

!

enablepasswordcisco

!

aaanew-model

!

!---InordertosetAAAauthenticationatlogin,usetheaaaauthenticationlogin

!---commandinglobalconfigurationmode

.

aaaauthenticationlogindefaultlocal

!---Here,listname"sdm_vpn_xauth_ml_1"isspecifiedfor

!---theauthenticationoftheclients.

aaaauthenticationloginsdm_vpn_xauth_ml_1local

aaaauthorizationexecdefaultlocal

aaaauthorizationnetworksdm_vpn_group_ml_1local

!

aaasession-idcommon

!

resourcepolicy

!

!

ipcef

!

!---TheRSAcertificategeneratesafterthe

!---ipsecure-servercommandisenabled.

cryptopkitrustpointTP-self-signed-392370502

enrollmentselfsigned

subject-namecn=IOS-Self-Signed-Certificate-392370502

revocation-checknone

rsakeypairTP-self-signed-392370502

!

!

cryptopkicertificatechainTP-self-signed-392370502

certificateself-signed01

3082023C308201A5A003020102020101300D06092A864886F70D010104050030

30312E302C06035504031325494F532D53656C662D5369676E65642D43657274

（省略）

quit

!

!---Createsauseraccountwithallprivileges.

usernamesdmsdmprivilege15password0sdmsdm

!

!

!---Createsanisakmppolicy1withparameterslike

!---3desencryption,pre-sharekeyauthentication,andDHgroup2.

cryptoisakmppolicy1

encr3des

authenticationpre-share

group2

cryptoisakmpclientconfigurationgroupvpn

!---Definesthepre-sharedkeyassdmsdm.

keysdmsdm

poolSDM_POOL_1

netmask255.255.255.0

!

!---Definestransformsetparameters.

cryptoipsectransform-setESP-3DES-SHAesp-3desesp-sha-hmac

!

cryptodynamic-mapSDM_DYNMAP_11

settransform-setESP-3DES-SHA

reverse-route

!

!---Specifiesthecryptomapparameters.

cryptomapSDM_CMAP_1clientauthenticationlistsdm_vpn_xauth_ml_1

cryptomapSDM_CMAP_1isakmpauthorizationlistsdm_vpn_group_