Easy ×××的特点
1. 端到端模式下,两端路由器都要进行较复杂的配置
2. Easy ×××模式下,Remote只需要进行简单的配置,其余大部分参数由Server端直接推送给它
3. Easy ×××模式常用于用户的远程接入
4. Remote可以是cisco vpn client,server端可以是路由器,其IOS要求高于或等于12.2(8)T
2. Easy ×××模式下,Remote只需要进行简单的配置,其余大部分参数由Server端直接推送给它
3. Easy ×××模式常用于用户的远程接入
4. Remote可以是cisco vpn client,server端可以是路由器,其IOS要求高于或等于12.2(8)T
流程1--client向server发送IKE policy
- Easy ×××由client触发
- cisco vpn client中内置了多个IKE policy
- client触发Easy ×××后,会把内置的IKE policy全部发送到server端
- cisco vpn client中内置了多个IKE policy
- client触发Easy ×××后,会把内置的IKE policy全部发送到server端
流程2-- server 找到匹配的policy
- server 把client 发送来的IKE policy 与自己的policy相比较
- 找到匹配值后成功建立IKE SA
- 找到匹配值后成功建立IKE SA
流程3-- server 要client输入用户/口令
- 如果配置了扩展认证Xauth,server 端将要求client端 发送用户名/口令进行身份认证
- 配置Xauth将获得更高的安全性,因此建议server端配置Xauth
- 配置Xauth将获得更高的安全性,因此建议server端配置Xauth
流程4--server向client推送参数
- 身份认证通过后,client将向server请求其余的配置参数
- Server向client推送的参数至少要包含分配给client的IP地址
- Server向client推送的参数至少要包含分配给client的IP地址
流程5--server进行反向路由注入
Server进行反向路由注入(Reverse Route Injeciton,RRI),为刚分配的client端IP地址产生一条静态路由,以便正确地路由发送给client端的数据包
流程6--建立IPSec SA
Client收到配置参数,双方建立IPSec SA
Easy ×××在server端的配置步骤
1. 创建IKE策略集,该策略集至少要能与vpn client的一个内置策略集相匹配,以便在server和client之间建立IKE SA
2. 定义要推送给client的组属性,其中包含分配给client的地址池、pre-share key等
3. 定义IPSec变换集(只用于client触发建立IPSec SA时,如果是server触发建立IPSec SA就不需要使用)
4. 启用DPD死亡对端检测
5. 配置Xauth扩展认证
6. 把crypto map应用到路由器端口上
2. 定义要推送给client的组属性,其中包含分配给client的地址池、pre-share key等
3. 定义IPSec变换集(只用于client触发建立IPSec SA时,如果是server触发建立IPSec SA就不需要使用)
4. 启用DPD死亡对端检测
5. 配置Xauth扩展认证
6. 把crypto map应用到路由器端口上
Remote access ×××是提供给出差用户或者远程用户访问公司内部资源的远程拨入方式,用户从远程拨入,首先需要身份认证:
!
username dika password 7 0512091A20424A041C //定义本地用户数据库,用于验证的用户名和密码
username dika password 7 0512091A20424A041C //定义本地用户数据库,用于验证的用户名和密码
需要启动AAA
!
aaa new-model
aaa session-id common
aaa new-model
aaa session-id common
ip local pool ×××-POOL 10.1.200.30 10.1.200.40 //地址池,将会分配给远程拨用的用户
在Cisco ××× Client拨入×××服务器时,需要进行身份认证,出现提示用户输入帐号密码的对话框,如下是定义相关的参数
!
aaa authentication login ×××-LOGIN local //定义身份认证的本地用户数据库,登录验证列表
crypto isakmp xauth timeout 60
crypto map ×××-MAP client authentication list ×××-LOGIN //××× map调用已经定义好的本地登陆数据库
!
aaa authentication login ×××-LOGIN local //定义身份认证的本地用户数据库,登录验证列表
crypto isakmp xauth timeout 60
crypto map ×××-MAP client authentication list ×××-LOGIN //××× map调用已经定义好的本地登陆数据库
定义ISAKMP策略,相当于phase 1
!
crypto isakmp policy 100
hash md5
authentication pre-share
group 2
crypto isakmp policy 100
hash md5
authentication pre-share
group 2
组策略配置
aaa authorization network remote-vpn-group local //授权访问列表名字为remote-vpn-group,本地数据库
crypto isakmp client configuration group remote-vpn-group //调用授权访问列表名remote-vpn-group,配置vpn cleint,group authentication选项,name项需要填写的就是这里定义的
key cisco //密码
domain gdhlt.vpn
pool ×××-POOL //调用已经定义好的地址池
!
crypto map ×××-MAP client configuration address respond //向客户端推送配置
crypto map ×××-MAP isakmp authorization list remote-vpn-group //授权使用remote-vpn-group AAA列表
crypto isakmp client configuration group remote-vpn-group //调用授权访问列表名remote-vpn-group,配置vpn cleint,group authentication选项,name项需要填写的就是这里定义的
key cisco //密码
domain gdhlt.vpn
pool ×××-POOL //调用已经定义好的地址池
!
crypto map ×××-MAP client configuration address respond //向客户端推送配置
crypto map ×××-MAP isakmp authorization list remote-vpn-group //授权使用remote-vpn-group AAA列表
!
crypto ipsec transform-set remote-vpn esp-des esp-md5-hmac //设置转换集
建立动态加密映射
!
crypto dynamic-map remote-vpn 1
set transform-set remote-vpn //调用转换集
reverse-route //反向路由注入,客户到server,server会生成一条静态路由列表
!
crypto dynamic-map remote-vpn 1
set transform-set remote-vpn //调用转换集
reverse-route //反向路由注入,客户到server,server会生成一条静态路由列表
!
将动态映射到静态映射
crypto map ×××-MAP 1 ipsec-isakmp dynamic remote-vpn
!
!
打开IKE DPD
crypto isakmp keepalive 20 10
设置环回地址,用于拨入成功后的测试
!
interface Loopback0
ip address 10.1.200.1 255.255.255.0 secondary
ip address 10.1.100.1 255.255.255.0
!
interface Loopback0
ip address 10.1.200.1 255.255.255.0 secondary
ip address 10.1.100.1 255.255.255.0
interface FastEthernet2/0
ip address 10.1.1.11 255.255.255.0
duplex auto
speed auto
crypto map ×××-MAP //将静态映射加载到接口
ip address 10.1.1.11 255.255.255.0
duplex auto
speed auto
crypto map ×××-MAP //将静态映射加载到接口
