VPN用一致的策略和密钥管理方式在单一的部署中可以整合

欢迎阅读本文档，希望本文档能够对您有所帮助！欢迎阅读本文档，希望本文档能够对您有所帮助！感谢阅读本文档，希望本文档能够对您有所帮助！感谢阅读本文档，希望本文档能够对您有所帮助！欢迎阅读本文档，希望本文档能够对您有所帮助！感谢阅读本文档，希望本文档能够对您有所帮助！EasyVPN配置概述：CiscoEasyVPN用一致的策略和密钥管理方式在单一的部署中可以整合所有的EasyVPNRemote设备（Cisco路由器、CiscoPIX防火墙、CiscoVPN3002硬件客户端或软件客户端）这极大地简化了远程端管理和配置。说的简单点就是在Server端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。拓扑图：实验目的：通过使用EasyVPN技术来实现，远程客户端的用户能够直接访问到服务器端内部网络，简单来说就是客户端PC能ping通服务器端内部的IP地址，并能通过IE浏览R5上面的WEB服务器主页。配置好Server端以后使用硬件路由器作为Client，以实现我们的远程访问。配置好

Server端以后使用软件作为Client，以实现我们的远程访问。使用Tunnel分割模式，记我们与Server端联上去以后又能访问其他的公共网络。实验配置及步骤：一、这里将配置一些基本的连通性和一个基本的配置命令，并用ping测试。R1的基本配置：Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR1R1(config)#noipdoloR1(config)#linecon0R1(config-line)#loggsynR1(config-line)#exec-timeout00R1(config-line)#exitR1(config)#intfa0/0R1(config-if)#ipaddR1(config-if)#noshutR1(config-if)#exitR1(config)#intlo0R1(config-if)#ipaddR1(config-if)#noshutR1(config-if)#exitR1(config)#iproutefa0/0R1(config)#routerospf110R1(config-router)#router-idR1(config-router)#net0.0.0R1(config-router)#exitR2的基本配置：Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR2R2(config)#noipdoloR2(config)#linecon0R2(config-line)#loggsynR2(config-line)#exec-timeout00R2(config-line)#exitR2(config)#intfa0/0R2(config-if)#ipaddR2(config-if)#noshutR2(config-if)#exitR2(config)#ints1/1R2(config-if)#ipaddR2(config-if)#noshutR2(config-if)#exitR2(config)#access-list1permit55R2(config)#ipnatpoolnatnetmaskR2(config)#ipnatinsidesourcelist1poolnatoverloadR2(config)#intfa0/0R2(config-if)#ipnatinsideR2(config-if)#ints1/1R2(config-if)#ipnatoutsideR2(config-if)#exitR2(config)#iproutes1/1R2(config)#routerospf110R2(config-router)#router-idR2(config-router)#net0.0.0R2(config-router)#exitR3的基本配置：Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR3R3(config)#noipdoloR3(config)#linecon0R3(config-line)#loggsynR3(config-line)#exec-timeout00R3(config-line)#exitR3(config)#intfa0/0R3(config-if)#ipaddR3(config-if)#noshutR3(config-if)#exitR3(config)#intlo0R3(config-if)#ipaddR3(config-if)#noshutR3(config-if)#exitR3(config)#iproutefa0/0R4的基本配置：Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR4R4(config)#noipdoloR4(config)#linecon0R4(config-line)#loggsynR4(config-line)#exec-timeout00R4(config-line)#exitR4(config)#ints1/0R4(config-if)#ipaddR4(config-if)#noshutR4(config-if)#exitR4(config)#intfa0/0R4(config-if)#ipaddR4(config-if)#noshutR4(config-if)#exitR4(config)#routerospf110R4(config-router)#router-idR4(config-router)#net0.0.0R4(config-router)#net0.0.0R4(config-router)#exitR4(config)#R5的基本配置：Router>enRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR5R5(config)#noipdoloR5(config)#linecon0R5(config-line)#loggsynR5(config-line)#exec-timeout00R5(config-line)#exitR5(config)#intfa0/0R5(config-if)#ipaddR5(config-if)#noshutR5(config-if)#exitR5(config)#intlo0R5(config-if)#ipaddR5(config-if)#noshutR5(config-if)#exitR5(config)#routerospf110R5(config-router)#router-idR5(config-router)#net0.0.0R5(config-router)#net55a0R5(config-router)#exitR5(config)#linevty04R5(config-line)#nologinR5(config-line)#exitR5(config)#现在在PC上面测试一下看看NAT做成功没有！从上图可看R2上的NAT配置已经起效现在我们开始EasyVPNServer端的配置：路由器的AAA配置：R1(config)#usernameciscopasswordcisco设置X-auth认证参数设置X-auth认证参数，用于远程登录使用R1(config)#aaanew-modelEZVPN的serverEZVPN的server一定要启用aaa功能R1(config)#aaaauthenticationloginLOGINnone按惯例解放相关的接口按惯例解放相关的接口R1(config)#linecon0R1(config-line)#loginauthenticationLOGINR1(config-line)#exitR1(config)#linevty04R1(config-line)#loginauthenticationLOGINR1(config-line)#exitEZVPN的aaa配置，两个list（认证list和授权list）。一个是X-auth的认证list；一个是modeconfiguration的授权list，也就是推送哪些策略给client，也可理解为给client受权。注意都是本地的，并且稍后设置的组也是本地的。R1(config)#aaaauthenticationloginRemote-Accesslocal对用户身份创建ezauthen验证列表，并采用本地数据库验证或采用服务器验证对用户身份创建ezauthen验证列表，并采用本地数据库验证或采用服务器验证R1(config)#aaaauthorizationnetworkvpn-grouplocal对用户授权创建vpn-group列表，本地授权或对用户授权创建vpn-group列表，本地授权或服务器授权R1(config)#iplocalpoolRemote-Pool00定义给远程客户端分配的IP地址池定义给远程客户端分配的IP地址池R1(config)#cryptoisakmpenable启用isakmp启用isakmpR1(config)#cryptoisakmpkeepalive2010打开IKEDPD打开IKEDPDR1(config)#cryptoisakmppolicy10R1(config-isakmp)#authenticationpre-share注意这决定了是主动模式注意这决定了是主动模式R1(config-isakmp)#encryption3desR1(config-isakmp)#group2注意只能用2注意只能用2R1(config-isakmp)#hashmd5如果是软件的client就必须是如果是软件的client就必须是md5，如果是硬件就无所谓R1(config-isakmp)#lifetime86400R1(config-isakmp)#exit为远程VPN客户端接入建立ISAKMP策略进入1.5阶段，在本地定义group的名以及组策略也就是modeconfiguration的策略：为远程VPN客户端接入建立ISAKMP策略R1(config)#cryptoisakmpclientconfigurationgrouptestR1(config-isakmp-group)#keyciscoR1(config-isakmp-group)#poolRemote-PoolR1(config-isakmp-group)#?ISAKMPgrouppolicyconfigcommands:access-restrict限制从哪个端口拨入Restrictclientsinthisgrouptoaninterface限制从哪个端口拨入acl做tunnel分割Specifysplittunnelinginclusionaccess-listnumbe做tunnel分割group-lock用于AAA中用户和组的一个绑定，用于AAA中用户和组的一个绑定，本实验中是本地用户本地组，与此无关R1(config-isakmp-group)#dns9推送DNS推送DNSR1(config-isakmp-group)#domain推送domain推送domainR1(config-isakmp-group)#netmask如果这个不设置的话，将使用默认的掩码。如果这个不设置的话，将使用默认的掩码。R1(config-isakmp-group)#exitR1(config)#cryptoisakmpprofileMYPROFILE创建ezvpn策略配置文件创建ezvpn策略配置文件%AprofileisdeemedincompleteuntilithasmatchidentitystatementsR1(conf-isa-prof)#matchidentitygrouptest采用组验证方法采用组验证方法R1(conf-isa-prof)#clientauthenticationlistRemote-Access对用户身份验证调用AAA验证列表对用户身份验证调用AAA验证列表R1(conf-isa-prof)#isakmpauthorizationlistvpn-group对用户授权调用AAA授权列表对用户授权调用AAA授权列表R1(conf-isa-prof)#clientconfigurationaddressrespond地址的分配方式：软件VPN地址的分配方式：软件VPN端版本3.0以下用initiate，也就是硬推；3.0以上用respond，是server响应client的请求而分配R1(conf-isa-prof)#exit到此第一阶段和第1.5阶段配置完毕，进入第二阶段配置：R1(config)#cryptoipsectransform-setMYSETesp-3desesp-md5-hmac定义转换集定义转换集R1(cfg-crypto-trans)#modetunnel模式只能用默认的tunnel模式只能用默认的tunnelR1(cfg-crypto-trans)#exit动态加密映射配置：R1(config)#cryptodynamic-mapMYMAP10创建MYMAP的动态加密映射创建MYMAP的动态加密映射R1(config-crypto-map)#settransform-setMYSET调用转换集调用转换集R1(config-crypto-map)#setisakmp-profileMYPROFILE调用EZVPN第一阶段策略配置文件调用EZVPN第一阶段策略配置文件R1(config-crypto-map)#reverse-route以前是在静态map下的反向路由注入以前是在静态map下的反向路由注入，现在是在动态map下的反向路由注入R1(config-crypto-map)#exit在静态加密映射中调用动态加密映射并应用至接口：R1(config)#cryptomapMYMAP100ipsec-isakmpdynamicMYMAP调用MYMAP动态加密映射调用MYMAP动态加密映射接口下应用：R1(config)#intfa0/0R1(config-if)#cryptomapMYMAP在接口下掉用在接口下掉用R1(config-if)#exitR1(config)#EZVPNServer可以端接IPSec隧道，这些隧道是由在PC上运行CiscoVPN客户端软件的远程移动工作者发起的。这种灵活性使远程移动工作者，如旅途中的销售人员和远程办公者，访问存有重要数据和应用的总部内部网络成为可能，接下来我们就来讨论如何实现。软件client端的配置：注意不能将客户端软件与模拟器在同一台电脑上运行，这样做的现象是能拨号成功，但只有加密发包没有解密收包。可以将客户端软件安装在虚拟机上，这样就能正常工作了安装ciscovpnclient5.00软件后拨号，拨号成功后小锁关闭数据包的封装过程：新建一个VPN，组名是test，密码是cisco：客户端软件的安装这里就省了！与其它软件的安装一样！打开VPNClient:接下来我们新建一个VPN拨号连接，点击New按钮：为拨号连接取一个名字（随便取）描述这个播号连接的作用为拨号连接取一个名字（随便取）描述这个播号连接的作用填写组名填写密码R1(config)#cryptoisakmpclientconfigurationgrouptestR1(config-isakmp-group)#keyciscoR1(config-isakmp-group)#poolRemote-Pool连接远端服务器并输入用户名和密码：R1(config)#usernameR1(config)#usernameciscopasswordciscoR1(config)#aaanew-model

当我们拨号成功以后，会在“通知区域”显示成一把小锁。表示我们已经成功的与Server端建立连接了。如果是没有拨号成功则显示：。拨号成功后的状态统计：这时我们可以在Client上检查一下IP地址配置情况：这里的IP地址就是Server端分配给我们的私网IP地址这里的IP地址就是Server端分配给我们的私网IP地址再断开VPN拨号，再测试一下到Server端内网的连通性：当我们断开VPN以后，则出现无法找到目的主机。这就说明通过测试我们能够成功的访问Server端的内网主机。现在既然我们与Server端能建立起连接，那我们Client端想去访问公网。如这里的()，行吗？当我们断开VPN连接以后测试一下：可以看见，能够到达我们的外网。现在将VPN连接起再测试一下：可以看见现在到达不了了，这是为什么呢？我们都知道VPN中的数据是经过加了密了，现在我们使用的是软件的Client，那么加密点就在我的PC的网卡上面，那到我们的数据在传送到对端以后，对端需要经过解密以后，才能读取里面的内容，在我们这个案例中，解密点就是在Server端的fa0/0这个端口，那如果我这个数据在Client经过加密以后，传到那个地方，他能对这个数据进行加密吗？答案是肯定的，不能。所以它ping不能我们的

，那我们想，如果通过VPN拨号到了Server端以后，我还想上公网，那这时候怎么办呢？不可能断开再上公网，如果要进行能

Server端进行通信时又去拨号，这样是不是非常麻烦，那么我们如何解决这个问题呢？要解决这个问题就必须使用到我们EasyVPN中的Tunnel分离技术了。那么什么是EasyVPN遂道分离技术呢？SplitTunneling(隧道分离)技术主要是用来区分流量的，那区分什么流量呢？在本实验验中主要是用来区分去往Internet的流量和要通过VPN加密传输的流量。在实验中我们先不采用隧道分离技术，我们能看到Client端在成功建立VPN连接后，能访问Server端的内部网络，不能访问Internet了，要解决这个问题，为了达到Client端能同时访问Server端的内部网络和Internet网络的效果我们应该如何解决呢？那就往下看吧！在上面我们刚才说到当我们通过VPN拨号到Server端以后就不能访问这个WEB服务器，这是为什么呢？那我们先来看看为什么不能访问外网。首先我们在Client端内部的PC上使用tracert命令跟踪一下数据包我们可以看见去往外网的下一跳为，这个地址刚好是Server端的公网IP地址，而并没有走正常的NAT，造这个问题的原因正是应为没有启用隧道分离，Client端PC把所有的数据包都放到隧道当中传输了。为了解决这个问题我们在Server端路由器上启用隧道分离。没有启用tunnel分割时的路由：默认全部走加密通道，所以无法访问公网在PC上观察：R1#shiplocalpoolPoolBeginEndFreeInuseRemote-Pool00982R1#从这里我们可以看见这上我们给远端Client分配IP的地址池。R1#shiplocalpoolRemote-PoolPoolBeginEndFreeInuseRemote-Pool00982Inuseaddresses:IKEAddrIDBIKEAddrIDBR1#从上面这里我们可以看见我们现在给远端Client分配过去正在使用的IP地址。在PC上测试：可以看见访问Server端是没有问题了。我们可以看见现在访问这个站点不成功。在我们没有通过VPN拨号时是能够正常的。这就是因为没有做tunnel分离，为了解决这个问题我们在Server端路由器上加入如下命令启用隧道分离。R1(config)#access-list100permitip55any这也是推送给这也是推送给client的策略之一，告诉任何client到/24的流量必须走加密通道，其它的正常封装转发R1(config)#cryptoisakmpclientconfigurationgrouptestR1(config-isakmp-group)#acl100tunnel分割的列表，tunnel分割的列表，定义哪些流量需要加密R1(config-isakmp-group)#exitR1(config)#PC上中断VPN后再重新拨号测试：从上面红框处我们可以看见以前在没有启用Tunnel分离技术时这里显示的是也就是所有的数据都需要经过加密。而当我们启了用Tunnel分离技术以后呢？则显示的是表示只有去往这个网段的数据才需要密码。这时我们在ClientPC上再来测试一下：到达Server端的内网能够正常通信。从这里我们可以看出，当我们启用了Tunnel分离时，就能够也我们的外网进行通信了。我们现在在PC上tracert一下，看看它是怎么走的？从上图我们可以看出它，它很明显是走我们的NAT出去的。而没有再走到Server端去了。在R1上查看反向路由注入效果：R1#shiproute/24issubnetted,1subnetsCisdirectlyconnected,Loopback0/32issubnetted,1subnetsO[110/2]via,00:52:50,FastEthernet0/0/32issubnetted,1subnets32位主机路由，下一跳为PC32位主机路由，下一跳为PC的公网地址S[1/0]via/24issubnetted,1subnetsO[110/65]via,00:52:50,FastEthernet0/0/24issubnetted,1subnetsCisdirectlyconnected,FastEthernet0/0R1#R1#shcryptoengineconnectionsactiveIDInterfaceIP-AddressStateAlgorithmEncryptDecrypt5FastEthernet0/0setHMAC_MD5+3DES_56_C002003FastEthernet0/0set3DES+MD50132004FastEthernet0/0set3DES+MD5130以上我们使用软件Client来进来VPN拨号的，现在我们来使用硬件（路由器）来Client。硬件client端的配置：不需要配置NAT也能保证内网用户上外网是其特点之一，也不需要第一阶段的若干策略R3(config)#cryptoipsecclientezvpnClientR3(config-crypto-ezvpn)#peerServer端的公网IP地址Server端的公网IP地址R3(config-crypto-ezvpn)#grouptestkeycisco与server的配置相一致与server的配置相一致R3(config-crypto-ezvpn)#mode?clientClientnetwork-extensionNetworkExtensionnetwork-plusRequestaIPaddressidentifierinNEMR3(config-crypto-ezvpn)#modeclientR3(config-crypto-ezvpn)#connect?aclConfigurematchingACLtotriggerEzVPNconnectionautoAutomaticmanualManualR3(config-crypto-ezvpn)#connectmanual实际工作中设为自动，此处设为手动是方便实验控制实际工作中设为自动，此处设为手动是方便实验控制R3(config-crypto-ezvpn)#exitR3(config)#intfa0/0R3(config-if)#cryptoipsecclientezvpnClientR3(config-if)#exitR3(config)#intlo0R3(config-if)#cryptoipsecclientezvpnClientinsideR3(config-if)#exit*Mar100:11:52.899:%CRYPTO-6-ISAKMP_ON_OFF:ISAKMPisON当配置完这些以后我们的EasyVPN链路并没有建立成功，我们还需要手工输入下面一条命令来进行与Server端的连接。连接成功以后会在Client上会提示如下信息：R3#cryptoipsecclientezvpnconnect手工拨号命令手工拨号命令*Mar100:12:15.939:EZVPN(Client):PendingXAuthRequest,Pleaseenterthefollowingcommand:*Mar100:12:15.939:EZVPN:cryptoipsecclientezvpnxauth这个提示的意思是要你在特权模式下输入cryptoipsecclientezvpnxauth命令来完成XAUTH认证，接下来我们就来敲入命令，并输入用户名和密码来完成认证。这个提示的意思是要你在特权模式下输入cryptoipsecclientezvpnxauth命令来完成XAUTH认证，接下来我们就来敲入命令，并输入用户名和密码来完成认证。R3#cryptoipsecclientezvpnxauthUsername:ciscoPassword:R3#*Mar100:12:25.875:%CRYPTO-6-EZVPN_CONNECTION_UP:(Client)User=Group=testClient_public_addr=Client的公网地址Server_public_addr=Server的公网地址Assigned_client_addr=当我们拨号成功以后，这是Server端分配给Client的私有IP地址Client的公网地址Server的公网地址当我们拨号成功以后，这是Server端分配给Client的私有IP地址R3#*Mar100:12:27.539:%LINK-3-UPDOWN:InterfaceLoopback1当我们拨号成功以后会自动在本地给我们创建一个回环口，用来存放分配给我们的私网IP地址,changedstatetoup当我们拨号成功以后会自动在本地给我们创建一个回环口，用来存放分配给我们的私网IP地址*Mar100:12:28.539:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceLoopback1,changedstatetoupR3#我们现在来查看一下我们拨号成功没有？R3#showcryptoipsecclientezvpn查看是否拨入成功查看是否拨入成功EasyVPNRemotePhase:4Tunnelname:ClientTunnel的名称Tunnel的名称Insideinterfacelist:Loopback0Outsideinterface:FastEthernet0/0CurrentState:IPSEC_ACTIVEIIpsec状态为ACTIVE表示正常LastEvent:SOCKET_UPAddress:Server分配给Client的私网IP地址。Server分配给Client的私网IP地址。Mask:55DNSPrimary:9DefaultDomain:SavePassword:DisallowedSplitTunnelList:1Address:Mask:Protocol:0x0SourceDest这里我们可以看见，在Server端启用了Tunnel分离技术了的。CurrentEzVPNPeer:Server端的公网IP地址这里我们可以看见，在Server端启用了Tunnel分离技术了的。Server端的公网IP地址R3#查看会话状态：R3#showcryptosessiondetailCryptosessioncurrentstatusCode:C-IKEConfigurationmode,D-DeadPeerDetectionK-Keepalives,N-NAT-traversal,X-IKEExtendedAuthenticationInterface:FastEthernet0/0Sessionstatus:UP-ACTIVE会话状态表示活动的。会话状态表示活动的。Peer:port500fvrf:(none)ivrf:(none)Phase1_id:Desc:(none)IKESA:local/500remote/500ActiveCapabilities:CXconnid:1lifetime:23:44:07IPSECFLOW:permitiphost/ActiveSAs:2,origin:cryptomapInbound:#pktsdec'ed0drop0life(KB/Sec)4452194/2697Outbound:#pktsenc'ed0drop0life(KB/Sec)4452194/2697查看NAT信息：R3#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp:4:4:4:4icmp:5:5:5:5R3#当我们拨号成功以后在server端查看路由：R1#shiproute/24issubnetted,1subnetsCisdirectlyconnected,Loopback0/32issubnetted,1subnetsO[110/2]via,00:32:01,FastEthernet0/0/32issubnetted,2subnetsS[1/0]viaS[1/0]via多了条按反向路由注入规则二生成的静态路由/24issubnetted,1subnets多了条按反向路由注入规则二生成的静态路由O[110/65]via,00:32:01,FastEthernet0/0/24issubnetted,1subnetsCisdirectlyconnected,FastEthernet0/0R1#R1#showcryptoengineconnectionsactiveIDInterfaceIP-AddressStateAlgorithmEncryptDecrypt5FastEthernet0/0setHMAC_MD5+3DES_56_C006FastEthernet0/0setHMAC_MD5+3DES_56_C002001FastEthernet0/0set3DES+MD51502002FastEthernet0/0set3DES+MD5015这里我们可以看出一条链路上有两个IPSEC。2003FastEthernet0/0set3DES+MD5013这里我们可以看出一条链路上有两个IPSEC。2004FastEthernet0/0set3DES+MD5130现在来测试一下：（必须以为源进行才有意义）R3#pingsourceTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packet