EZVPN的模式實例.doc

標題：EZVPN目的：檢測EZVPN的三種硬件模式拓撲：步驟：1、 按照拓撲給路由器配置地址 Ip地址規(guī)劃,企業(yè)等一類的大型網(wǎng)絡（大的局域網(wǎng)）內(nèi)部網(wǎng)絡使用的, 是私網(wǎng)地址,連接互聯(lián)網(wǎng)的邊界路由使用的是公網(wǎng)地址Pc上PC(config-if)#int f0/0PC(config-if)#ip add 20.1.1.10 255.255.255.0PC(config-if)#no shEzclient上ezclient(config)#int f0/1ezclient(config-if)#ip add 20.1.1.1 255.255.255.0ezclient(config-if)#no shezclient(config-if)#int f0/0ezclient(config-if)#ip add 61.128.1.1 255.255.255.0ezclient(config-if)#no shInternetinternet(config)#int f0/1internet(config-if)#ip add 61.128.1.10 255.255.255.0internet(config-if)#no shutdown internet(config-if)#int f0/0internet(config-if)#ip add 202.100.1.10 255.255.255.0internet(config-if)#no shutdownGw上gw(config)#int f0/1gw(config-if)#ip add 202.100.1.1 255.255.255.0gw(config-if)#no shgw(config-if)#no shutdown gw(config-if)#int f0/0gw(config-if)#ip add 10.1.1.1 255.255.255.0gw(config-if)#no shutdownServer上server(config)#int f0/1server(config-if)#ip add 10.1.1.10 255.255.255.0server(config-if)#no shutdown2、 解決路由底層問題，及server的回包問題Pc上內(nèi)部網(wǎng)絡一般運行動態(tài)路由協(xié)議，但由于拓撲簡單，直接使用缺省路由，客戶端與中心通信，中心接受的通信流量之后，需要回包，才能確保鏈路暢通，即也是解決的路由回包；且vpn的通信點設備需要知道vpn對端通信點路由及加密點路由Ezclient上Gw上利用缺省路由解決底層路由，使得接收到的路由可以回包，且邊界路由使用都是缺省路由；vpn的加密點必須知道內(nèi)網(wǎng)通信點和對端加密點及通信點路由Server上內(nèi)部網(wǎng)絡一般運行動態(tài)路由協(xié)議，但由于拓撲簡單，直接使用缺省路由，客戶端與中心通信，中心接受的通信流量之后，需要回包，才能確保鏈路暢通，即也是解決的路由回包；且vpn的通信點設備需要知道vpn對端通信點路由及加密點路由測試：ezclient與gw之間3、 創(chuàng)建EZVPN中心Gw上第1階段gw(config)#crypto isakmp policy 10 第一階段認證策略gw(config-isakmp)#authentication pre-share 認證方式預共享密鑰 gw(config-isakmp)#group 2 修改為組2，路由器默認為組1，但客戶端認證時發(fā)送到中心的信息都是在 組2，因此修改組，不采用默認gw(config-isakmp)#hash md5 散列函數(shù)為MD5gw(config)#crypto isakmp client configuration group ipsecgroup EZVPN使用D的是cisco私有的group+key的認證方式，提供設備級的認證， 配置客戶端模式的組名gw(config-isakmp-group)#key cisco 設置group+key的key值第1.5階段gw(config)#aaa new-model 開啟aaa功能 gw(config)#aaa authentication login remote local XAUTH的登錄認證名為remote，方式為本地認證gw(config)#username ipsecuser password cisco 在本地創(chuàng)建客戶端登錄的用戶名和密碼；用戶遠程登錄，查閱路由器的數(shù)據(jù) 庫，消耗路由資源大，企業(yè)一般采用將所有的用戶驗證連到AAA服務器上， 在AAA服務器上查詢，匹配了，在連到中心gw(config)#aaa authorization network remote local 授權為網(wǎng)絡授權，授權策略名為remote，方式為本地授權 gw(config)#ip local pool mypool 123.1.1.100 123.1.1.200 在本地創(chuàng)建地址池，用來推送地址gw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#pool mypool 將地址池和組關聯(lián)gw(config)#crypto isakmp profile isaprof 使用isakmp的profile加密，保護文件gw(conf-isa-prof)#match identity group ipsecgroup 匹配組gw(conf-isa-prof)#client authentication list remote 匹配認證策略gw(conf-isa-prof)#isakmp authorization list remote 匹配授權策略 gw(conf-isa-prof)#client configuration address respond 啟用客戶端配置第2階段gw(config)#crypto ipsec transform-set trans esp-des esp-md5-hmac 中心不知道客戶端身后的網(wǎng)絡，因此，感興趣流不匹配，直接配置轉(zhuǎn)換集 gw(config)#crypto dynamic-map dymap 10 客戶端因資金問題，一般都是動態(tài)獲取地址，因此使用動態(tài)mapgw(config-crypto-map)#set transform-set transgw(config-crypto-map)#set isakmp-profile isaprof 匹配轉(zhuǎn)換集和profile的策略gw(config)#crypto map cisco 10 ipsec-isakmp dynamic dymap 動態(tài)map關聯(lián)到靜態(tài)map，因為接口只支持靜態(tài)map調(diào)用gw(config)#int f0/1gw(config-if)#crypto map cisco 調(diào)用map客戶端ezclient上（首先client模式）ezclient(config)#crypto ipsec client ezvpn ezclient 配置客戶端ezclient(config-crypto-ezvpn)#peer 202.100.1.1 匹配對等體地址ezclient(config-crypto-ezvpn)#group ipsecgroup key cisco 匹配第一階段的認證，組和keyezclient(config-crypto-ezvpn)#mode client Client模式ezclient(config-crypto-ezvpn)#connect manual 手動撥號 ezclient(config)#int f0/0ezclient(config-if)#crypto ipsec client ezvpn ezclient outsideezclient(config-if)#int f0/1ezclient(config-if)#crypto ipsec client ezvpn ezclient inside 定義內(nèi)部和外部在客戶端ezclient上撥號查看獲取的地址 Client模式接收到中心推送的地址Pc上進行Ping命令測試 客戶端可以訪問中心，不能訪問互聯(lián)網(wǎng)中心進行ping測試 中心不能訪問客戶端查看PAT 客戶端使用中心推送的地址訪問，并且PAT只有企業(yè)型的查看pc從中拿到的策略 無策略其次client模式+tunnel split（隧道分割）gw(config)#ip access-list extended split-tunnelgw(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 anygw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#acl split-tunnel 用ACL匹配流量，并在組中匹配，即使用隧道分割客戶端需要從新觸發(fā)vpn，才能拿到策略查看策略 客戶端拿到了隧道分割的策略查看獲取到的地址 客戶端收到中心推送的地址Pc上進行ping命令測試 客戶端既能訪問中心，又能訪問互聯(lián)網(wǎng)中心進行ping測試 中心不能訪問客戶端在server上啟用遠程路由，并在pc上測試server(config)#line vty 0 15server(config-line)#password ciscoserver(config-line)#loginserver(config)#enable password 123在server設備上查看 客戶端使用中心推送的地址查看PAT PAT有兩個，企業(yè)型的和互聯(lián)網(wǎng)型再添加一個密碼保存策略gw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#save-password 密碼保存，即有些用戶想要記住密碼，下次直接點擊連接客戶端斷開一下，再連接，才能拿到新的策略ezclient#clear crypto ipsec client ezvpn ezclient#crypto ipsec client ezvpn connect ezclient#crypto ipsec client ezvpn xauth Username: ipsecuserPassword:查看策略 客戶端密碼保存策略拿到可以測試一下 斷開連接后，從新?lián)芴?，直接撥上，不用撥密碼然后使用網(wǎng)絡擴展模式，先刪除策略，再修改客戶端模式ezclient(config)#crypto ipsec client ezvpn ezclientezclient(config-crypto-ezvpn)#mode network-extension 網(wǎng)絡擴展模式 從新?lián)芴柌榭吹刂?沒有收到中心推送的地址Pc上測試 客戶端可以訪問中心，不能訪問互聯(lián)網(wǎng)Server設備上查看與測試 客戶端使用的是自己真實的地址 中心能夠訪問客戶端查看PAT 沒有PAT其次使用網(wǎng)絡擴展模式+split-tunnel 用ACL匹配流量，并在組中匹配，即使用隧道分割客戶端從新觸發(fā)vpn，才能拿到策略查看策略查看地址 沒有Pc上測試 可以訪問 中心，也可以訪問互聯(lián)網(wǎng)Server設備上查看和測試 客戶端使用的是自己真實的地址訪問中心，且中心能夠訪問客戶端查看PAT PAT只有一個，互聯(lián)網(wǎng)型添加密碼保存策略，及手動撥號改為自動撥號 密碼保存，即有些用戶想要記住密碼，下次直接點擊連接先拿到策略修改手動撥號改為自動撥號斷開后驗證 斷開后，客戶端自動撥號，建立連接刪掉策略，自動撥號改為手動撥號，使用Natwork-puls模式Natwork-puls模式ezclient(config)#crypto ipsec client ezvpn ezcl