当EZ×××与site-to-site ×××结合时,会产生第一阶段与1.5阶段冲突,解决方案是分别创建第一阶段profile策略配置,将EZ×××与L2L的策略分离。
一.site-to-site ×××
(一)第一阶段配置:(isakmp策略配置与传统配置相同)
1、策略配置
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
(一)第一阶段配置:(isakmp策略配置与传统配置相同)
1、策略配置
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
2.验证时采用Keyring(钥匙串)配置验证
crypto keyring key1(钥匙串命名)
pre-shared-key address 0.0.0.0 0.0.0.0 key g2myway
配置密钥及地址验证
3.创建第一阶段isakmp profile(配置策略文件)
crypto isakmp profile l2lvpn(配置策略文件名)
keyring g2myway (调用验证钥匙串)
match identity address 0.0.0.0
(定义验证方法采用地址验证)
crypto isakmp profile l2lvpn(配置策略文件名)
keyring g2myway (调用验证钥匙串)
match identity address 0.0.0.0
(定义验证方法采用地址验证)
(二)第二阶段配置(transform-set转换集传统配置)
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
(三)分支站点地址为动态的,创建动态加密映射
crypto dynamic-map l2ldy 2
(创建名为l2ldy的动态加密映射)
set transform-set mytrans (调用转换集)
set isakmp-profile l2lvpn (调用第一阶段profile配置文件)
match address 101 (感兴趣流量)
(四)创建静态加密映射并应用至接口
crypto map mymap 1 ipsec-isakmp dynamic l2ldy
创建名为mymap静态加密映射并调用l2ldy动态加密映射
crypto dynamic-map l2ldy 2
(创建名为l2ldy的动态加密映射)
set transform-set mytrans (调用转换集)
set isakmp-profile l2lvpn (调用第一阶段profile配置文件)
match address 101 (感兴趣流量)
(四)创建静态加密映射并应用至接口
crypto map mymap 1 ipsec-isakmp dynamic l2ldy
创建名为mymap静态加密映射并调用l2ldy动态加密映射
二、EZ×××配置
(一)第一阶段配置
(isakmp policy配置,可与l2l共用配置或单独配置)
(isakmp policy配置,可与l2l共用配置或单独配置)
(二)1.5阶段配置,采用传统EZ×××配置,但需要创建isakmp profile配置文件,并调用验证。
1.XAUTH
1)设备间验证(组名和组密码验证)
crypto isakmp client configuration group devauth(验证组名)
Center(config-isakmp-group)#key groupkey (验证组密码)
2)用户身份验证
aaa new-model(启用AAA验证)
aaa authentication login ezauthen(验证列表名) local
(对用户身份创建ezauthen验证列表,并采用本地数据库验证或采用服务器验证)
aaa authorization network ezauthor(授权列表名) local 用户
(对用户授权创建ezauthor列表,本地授权或服务器授权)
username g2myway password g2myway (创建本地验证数据库)
3)在crypto map中调用AAA验证对EZ×××用户身份进行验证。
2、模式配置(在组配置界面)
Center(config-isakmp-group)#pool ezpool
(为验证后用户从ezpool地址池中进行地址分配)
Center(config-isakmp-group)#dns 202.103.96.68
(为用户分配DNS地址)
Center(config-isakmp-group)#acl 访问列表(定义隧道分离)
把用户对内网的流量与Internet流量分离
Center(config)#ip local pool ezpool 192.168.1.1 192.168.1.200
创建为用户分配的本地地址池
3、创建isakmp profile文件,调用验证
crypto isakmp profile ezprofile(创建ezvpn策略配置文件)
match identity group ezremote(采用组验证方法)
client authentication list ezauth
(对用户身份验证调用AAA验证列表)
isakmp authorization list ezauthor
(对用户授权调用AAA授权列表)
client configuration address respond
(用户为动态地址
(二)第二阶段配置(可与l2l采用相同转换集或独立创建配置)
(三)动态加密映射配置
crypto dynamic-map ezdy 1 (创建ezdy的动态加密映射)
set transform-set mytrans (调用转换集)
set isakmp-profile ezprofile
(调用EZ×××第一阶段策略配置文件)
reverse-route (反向路由注入)
crypto isakmp profile ezprofile(创建ezvpn策略配置文件)
match identity group ezremote(采用组验证方法)
client authentication list ezauth
(对用户身份验证调用AAA验证列表)
isakmp authorization list ezauthor
(对用户授权调用AAA授权列表)
client configuration address respond
(用户为动态地址
(二)第二阶段配置(可与l2l采用相同转换集或独立创建配置)
(三)动态加密映射配置
crypto dynamic-map ezdy 1 (创建ezdy的动态加密映射)
set transform-set mytrans (调用转换集)
set isakmp-profile ezprofile
(调用EZ×××第一阶段策略配置文件)
reverse-route (反向路由注入)
(四)在静态加密映射中调用动态加密映射并应用至接口
crypto map mymap 2 ipsec-isakmp dynamic ezdy
(调用ezdy动态加密映射)
crypto map mymap 2 ipsec-isakmp dynamic ezdy
(调用ezdy动态加密映射)
