××× 分类:根据×××的服务类型,可以将×××分为Access ×××、Intranet ×××和Extranet ×××三类。详细解释如下:
Access ×××(远程访问虚拟专网)
在该方式下远端用户拨号接入到用户本地的ISP,采用×××技术在公众网上建立一个虚拟的通道到公司的远程接入端口。这种应用既可适应企业内部人员移动和远程办公的需要,又可用于商家提供B2C(企业对客户)的安全访问服务。
在该方式下远端用户拨号接入到用户本地的ISP,采用×××技术在公众网上建立一个虚拟的通道到公司的远程接入端口。这种应用既可适应企业内部人员移动和远程办公的需要,又可用于商家提供B2C(企业对客户)的安全访问服务。
Intranet ×××(企业内部虚拟专网)
在公司两个异地机构的局域网之间在公众网上建立×××,通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN,以便公司内部的资源共享、文件传递等,可以节省DDN等专线所带来的高额费用。
Extranet ×××(扩展的企业内部虚拟专网)
在企业网与相关合作伙伴的企业网之间采用×××技术互连,与Intranet ×××相似,但由于是不同公司的网络相互通信,所以要更多地考虑设备的互连、地址的协调、安全策略的协商等问题。公司的网络管理员还应该设置特定的访问控制表ACL(Access Control List),根据访问者的身份、网络地址等参数来确定相应的访问权限、开放部分资源而非全部资源给外联网的用户。
Extranet ×××通过使用一个专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
在公司两个异地机构的局域网之间在公众网上建立×××,通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN,以便公司内部的资源共享、文件传递等,可以节省DDN等专线所带来的高额费用。
Extranet ×××(扩展的企业内部虚拟专网)
在企业网与相关合作伙伴的企业网之间采用×××技术互连,与Intranet ×××相似,但由于是不同公司的网络相互通信,所以要更多地考虑设备的互连、地址的协调、安全策略的协商等问题。公司的网络管理员还应该设置特定的访问控制表ACL(Access Control List),根据访问者的身份、网络地址等参数来确定相应的访问权限、开放部分资源而非全部资源给外联网的用户。
Extranet ×××通过使用一个专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
关于几个常见概念:
site to site ××× 站点××× 一般是intranet ××× 或者Extranet ××× 在服务器端和客户端在路由对路由上的实现。
remote access ××× 一般是 使用拨号软件的客户端拨入公司站点的×××
easy ××× 是思科公司提出的一个叫法和理念,使用思科的××× 3000客户端来简化客户端的配置。也是基于remote access ××× 基础上的,大量用户的时候用来简化配置
使用ASDM或者SDM就可以发现这个现象。
PPTP L2TP ipse××× 等等是通信协议加密标准的叫法。
环境:路由器(cisco)r1在一个公司的总部为EZ×××的server,远程internet用户要访问总部的内网,远程用户用的是cisco的EZ×××软件。
要求:配置server端,并在client端拨到总部,能够访问内网
步骤一:server端的接口配置
r1(config)#interface e0 à外网接口配置,主机和路由器直连即可
r1(config-if)#ip add 150.100.1.182 255.255.255.0
r1(config-if)#no sh
r1(config)#int loo 0
r1(config-if)#ip add 10.1.1 .1 255.255.255.0 à模拟内网地址
r1(config)#int loo 1
r1(config-if)#ip add 10.1.2 .1 255.255.255.0
步骤二:配置验证以及EZ×××
r1(config)#username cisco pass cisco à用于验证的用户名和密码
r1(config)#aaa new-model à开启AAA
r1(config)#aaa authorization network easyvpn local
à授权访问列表名字为esayvpn,本地数据库
r1(config)#aaa authentication login ccxx local
à登录验证列表名为ccxx,本地数据库
r1(config)#ip local pool ippool 10.1.1 .14 10.1.1.30 à推送给拨上来用户的地址池
r1(config)#crypto isakmp policy 10 à定义IKE1阶段策略
r1(config-isakmp)#encryption 3des à客户端只支持3DES
r1(config-isakmp)#authentication pre-share à使用预共享密钥
r1(config-isakmp)#group 2 à客户端只支持group 2
r1(config-isakmp)#hash md5 à哈希用MD5
r1(config)#crypto isakmp client configuration group cisco à客户端组的配置
r1(config-isakmp-group)#key cisco à预共享密钥
r1(config-isakmp-group)#pool ippool à加载地址池
r1(config-isakmp-group)#acl 100 à加载隧传分离列表
r1(config-isakmp-group)#exit
r1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac
à定义IKE2阶段的转换集
r1(cfg-crypto-trans)#exit
r1(config)#access-list 100 permit ip 10.1.1 .0 0.0.0.255 any à定义列表
r1(config)#access-list 100 permit ip 10.1.2 .0 0.0.0.255 any
r1(config)#crypto dynamic-map dyn 1 à定义动态加密映射,客户端不固定
r1(config-crypto-map)#set transform myset à将转换集加载
r1(config-crypto-map)#reverse-route à反向路由注入,客户到server,server会生成一条静态路由列表
r1(config-crypto-map)#exit
r1(config)#crypto map mymap 10 ipsec-isakmp dynamic dyn
à将动态映射到静态映射
r1(config)#crypto map mymap client authentication list ccxx
à扩展验证使用ccxx
r1(config)#crypto map mymap isakmp authorization list easyvpn
à授权使用easyvpnAAA列表
r1(config)#crypto map mymap client configuration address respond
à向客户端推送配置
r1(config)#int e0/0
r1(config-if)#crypto map mymap à将静态映射加载到接口
à以上配置server完毕
步骤三:客户端PC的配置(使用cisco vpn client软件)
1、安装好的软件,打开,点击new新建,输入组名和密码及server地址
2、建好后,点击连接,提示输入用户名和密码,此为扩展认证
3、点击OK,如果成功,所有的框消失
4、在PC上查看地址,server是否分配过来了地址
C:\>ipconfig
Windows IP Configuration
Ethernet adapter 无线网络连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 150.100.1.140
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 10.1.1 .14 à分配过来的地址
Subnet Mask . . . . . . . . . . . : 255.0.0.0
Default Gateway . . . . . . . . . :
5、已经ping通过INTERNET到了总部内网的地址
C:\>ping 10.1.2 .1
Pinging 10.1.2 .1 with 32 bytes of data:
Reply from 10.1.2 .1: bytes=32 time=23ms TTL=255
Reply from 10.1.2 .1: bytes=32 time=14ms TTL=255
Reply from 10.1.2 .1: bytes=32 time=23ms TTL=255
Reply from 10.1.2 .1: bytes=32 time=13ms TTL=255
C:\>ping 10.1.1 .1
Pinging 10.1.1 .1 with 32 bytes of data:
Reply from 10.1.1 .1: bytes=32 time=11ms TTL=255
Reply from 10.1.1 .1: bytes=32 time=17ms TTL=255
Reply from 10.1.1 .1: bytes=32 time=17ms TTL=255
Reply from 10.1.1 .1: bytes=32 time=49ms TTL=255
C:\>route print à查看PC端的路由
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0a eb a3 47 1f ...... TL-WN210 2.2 / TL-WN250 2.2 - 数据包计划程序微型
端口
0x80004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0xa0005 ...00 05 9a 3c 78 00 ...... Cisco Systems ××× Adapter - 数据包计划程序微
型端口
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
10.255.255.255 255.255.255.255 10.1.1 .14 10.1.1 .14 10
===========================================================================
à这就是由对端组设置推送来的隧传分离列表(ACL100)
C:\>
步骤四:查看两个阶段的关联
r1#show crypto isa sa
dst src state conn-id slot
150.100.1.182 150.100.1.140 QM_IDLE 3 0
r1#show crypto ipsec sa
interface: Ethernet0/0
Crypto map tag: mymap, local addr. 150.100.1.182
protected vrf:
local ident (addr/mask/prot/port): (0.0.0 .0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1 .12/255.255.255.255/0/0)
current_peer: 150.100.1.140:500
PERMIT, flags={}
#pkts encaps: 16, #pkts encrypt: 16, #pkts digest 16
#pkts decaps: 16, #pkts decrypt: 16, #pkts verify 16
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 150.100.1.182, remote crypto endpt.: 150.100.1.140
path mtu 1500, media mtu 1500
current outbound spi: 44166F6E
inbound esp sas:
spi: 0x2C2E8126(741245222)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4435191/2917)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x44166F6E(1142321006)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4435191/2917)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas:
步骤五:查看server当前的配置
r1#show run
hostname r1
!
username cisco password 0 cisco
aaa new-model
!
!
aaa authentication login ccxx local
aaa authorization network easyvpn local
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group cisco
key cisco
pool ippool
acl 100
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dyn 1
set transform-set myset
reverse-route
!
!
crypto map mymap client authentication list ccxx
crypto map mymap isakmp authorization list easyvpn
crypto map mymap client configuration address respond
crypto map mymap 19 ipsec-isakmp dynamic dyn
!
interface Loopback0
ip address 10.1.1 .1 255.255.255.0
!
interface Loopback1
ip address 10.1.2 .1 255.255.255.0
!
interface Ethernet0/0
ip address 150.100.1.182 255.255.255.0
half-duplex
crypto map mymap
!
ip local pool ippool 10.1.1 .14 10.1.1.30
!
access-list 100 permit ip 10.1.1 .0 0.0.0.255 any
access-list 100 permit ip 10.1.2 .0 0.0.0.255 any
!
end
