目 录
一、概述
二、解决方案优势
三、使用×××给企业的好处
四、思科Cisco RV042 ×××路由器产品功能介绍
五、基于PIX OS的×××配置方案书
一、概述
随着企业规模逐渐扩大,越来越多的企业需要在各地建立分公司、办事机构等,解决企业总部与分支机构的数据同步迫在眉睫。
有的大型企业为了实现数据同步,采用DDN等专线接入去连接各个分公司之间的网络,但是显然这种网络结构非常复杂,且费用昂贵;有的中小企业为了实现数据同步不得不将企业的管理软件摆放在公网供移动业务员访问,但是这样企业管理软件内的数据安全将受到严重的威胁;甚至有的企业为了降低成本去实现数据统一管理,需要分支机构每天都以邮件形式将其数据上报总部,工作非常繁琐。
因此,一种经济、安全的×××解决方案应运而生。
XXX地产有限公司现在在东门、西门两地有三处开发楼盘,分别是XX广场、XX华庭、XX锦城(以下简称:分支机构)。总公司又在XX大厦(以下简称:企业总部)。分各4地。
针对企业的情况,提供一个安全的×××分支机构数据同步解决方案。×××通过一个使用专用连接的共享基础设施,连接企业总部、分支机构和远程办事处,让企业在实现远程移动办公的基础上,实现企业的数据同步,为企业带来高效率的工作方式。
二、解决方案优势
1)高效办公
×××解决方案只需企业在总部与各分支机构分别安装×××硬件,企业任何分支机构或移动出差用户就可以轻松访问企业总部内部网络,并且用户可以直接在企业总部的服务器上提取业务数据。因此,企业用户不论何时何地都能实现数据同步。
2)加强数据统一管理
由于企业分支机构的关键数据都在企业总部的服务器上做统一存储,因此,企业只需要对总部服务器上的数据进行定期备份,就可以实现对整个企业(包括企业总部与企业分支机构)的所有数据进行统一管理。
3)自动拨号连接网络
×××解决方案可以让用户避免手动输入IP地址拨号访问公司网络,直接实现各个分公司的网络互连。
4)合理分配人力资源
×××解决方案不需要专业技术人员进行维护,因此企业可以将人才的工作重心转移到企业的核心业务上。
【
企业实施解决方案原因】
■ 企业分支机构及移动业务人员增多,没有有效的手段实现数据同步,严重影响业务进程;
■ 分支机构数据单独进行备份和管理,导致整个企业业务脱节,协同办公能力下降;
■ 采用传统专线接入的方式实现企业数据同步,费用昂贵且维护困难。
【企业实施解决方案价值】 ■ 何时何地实现数据同步,促进业务顺利进行,提高企业整体运营效率;
■ 企业数据在同一台服务器上进行统一存储和备份,加强管理和协同办公,保障数据安全;
■ 合理分配人才资源,降低人才成本,提高人才利用率;
■ 普精科技公司优质的服务,为企业提供质量的保障。
◆ 节省总体成本。用×××替代传统的拨号网络,可节省20%~40%的费用,替代网络互联,可减少60%~80%的费用。另外,×××还可以保护现有的网络投资。
◆ 大大降低网络复杂度,简化网络设计。
◆ 增强内部网络的互联性和扩展性。
◆ 有助于实现网络安全。×××以通过用户验证、加密和隧道技术等保证通过公用网络传输私有数据的安全性。
◆ 增强与用户、商业伙伴和供应商的联系。×××不仅给企业带来新的希望,企业不再为远程连接负担高额成本,而且大型企业、政府部门采用×××可在保证专用网络功能的前提下大大降低总体成本。目前,×××主要用于以下场合:
◆ 已经通过专线连接实现广域网的企业,由于增加业务,带宽已不能满足业务需要,需要经济可靠的升级方案;
◆ 企业的内部用户和分支机构分布范围广、距离远,需要扩展企业网,实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业;
◆ 分支机构、远程用户、合作伙伴多的企业,需要组建企业专用网
◆ 关键业务多,对通信线路保密和可用性要求高的用户,如银行、证券公司、保险公司等;
◆ 用于各种远程专线连接的网络连接备份。
对于公司现在的情况,特推荐使用思科Cisco RV042 ×××路由器。
以下是产品功能介绍:
思科PIX (Private Internet eXchange)是一种流行的IP防火墙和NAT设备。它是在这个细分市场的第一批产品之一。在2005年,思科发布继承了PIX大多数特性的更新的ASA (Adaptive Security Appliance),并在2008年宣布停止PIX的销售,但PIX技术依旧在刀片市场热卖,比如FWSM (FireWall Services Module),用于思科Catalyst 6500系列交换机和7600系列路由器的防火墙模块。
PIX运行一个专有OS,叫做Finesse (Fast InterNEt Server Executive),到如今简单称为PIX OS。它是带有状态化检测的基于类的网络层防火墙,默认允许内部连接请求出站,并临时在外部接口开启通往内部相应的发起过的会话。常用特性有ACL,conduit,NAT,fixup,×××等。该方案书将详细讲解两大主流×××技术在PIX OS上的配置。
P.S.以下配置基于PIX OS Version 7.0(1)。
一、Site-2-Site ××× on PIX
PIX515E和Cisco2821的site-2-site ×××(包括NAT)上网配置案例。
假设总部和分公司都申请了到Internet的连接,其中公司总部使用PIX515防火墙连接,公司分部使用Cisco2821路由器连接。我们需要对两台设备进行配置,以达到以下目的:
1、公司总部和公司分部的办公人员都能够访问Internet。其中,公司总部分配得到的公网地址范围为218.94.26.1- 218.94.26.31/27;公司分部分配得到的公网地址范围为202.102.11.1-202.102.11.31/27。
2、公司总部和公司分部的办公人员能够通过×××建立连接,以互相访问内部的资源。
网络拓扑如下图所示:
PIX515E上×××和NAT的相关配置
第一步:定义感兴趣数据流,即将来需要通过×××加密传输的数据流。
PIX(config)# access-list secure permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
第二步:通过×××传输的数据包不需要做NAT,因此,将这些数据包定义到nat 0,nat 0不对数据包进行地址转换。nat0的处理始终在其他nat(例如nat1、nat2、nat3……)之前。
PIX(config)# nat (inside) 0 access-list secure
第三步:访问internet的数据流使用PAT出去。
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface
第四步:定义ISAKMP策略。
PIX(config)# crypto isakmp enable outside
//在外部接口上启用ISAKMP
PIX(config)# crypto isakmp policy 10 authentication pre-share
//认证方法使用预共享密钥
PIX(config)# crypto isakmp policy 10 encryption des
//加密方法使用des
PIX(config)# crypto isakmp policy 10 hash md5
//散列算法使用md5
PIX(config)# crypto isakmp policy 10 group 2
//DH模长度为1024
第五步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco1234”。
PIX(config)# crypto isakmp identity address
PIX(config)# crypto isakmp key cisco1234 address 202.102.11.34
第六步:设置ipsec转换集。
PIX(config)# crypto ipsec transform-set ccsp esp-des esp-md5-hmac
第七步:设置加密图。
PIX(config)# crypto map cisco 10 ipsec-isakmp
PIX(config)# crypto map cisco 10 match address secure
//加载感兴趣流
PIX(config)# crypto map cisco 10 set transform-set ccsp
//选择转换集
PIX(config)# crypto map cisco 10 set peer 202.102.11.34
//设置对等体地址
PIX(config)# crypto map cisco 10 set pfs group2
//设置完美前向保密,DH模长度为1024
第八步:在外部接口上应用加密图。
PIX(config)# crypto map cisco interface outside
第九步:指定IPsec的流量是可信任的。
PIX(config)# sysopt connection permit-ipsec
Cisco 2821路由器上×××和NAT的相关配置(省略。)
二、Remote Access ××× on PIX
在PIX525上进行配置,要求内网PC2能telnet 登入到PIX525上;外网PC1可以通过SSH方式登入到
PIX525;通过在PIN525上配置NAT 使内网PC2可以ping通外网的R1,R2,PC1;在PIX525上配置
IPSEC-×××,使PC1可以通过IPSEC-××× 方式登陆到内网上,并PING通内网主机PC2。
IP地址表:(如图)
pc1<-------------->R1<-------------->R2<------------->PIX<--------------->pc2
E0 S0 S0 E0 E0 E1
11.1.1.10/24 12.1.1.1/24 23.1.1.2/24 192.168.11.254/24 11.1.1.254/24 12.1.1.2/24 23.1.1.3/24 192.168.11.10/24
一、路由器和PC 机配置
配置R1:
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int S0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int E0
R1(config-if)#ip add 11.1.1.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#router rip
R1(config-router)#network 12.1.1.1
R1(config-router)#network 11.1.1.0
R1(config-router)#end
R1#sh run
配置R2:
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#int S0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#clock rate 64000
R2(config-if)#int E0
R2(config-if)#ip add 23.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#router rip
R2(config-router)#network 12.1.1.2
R2(config-router)#network 23.1.1.2
R2(config-router)#end
R2#sh run
配置PC机:
PC1:修改本地连接的TCP/IP属性,设置IP:11.1.1.10 掩码:255.255.255.0 网关:11.1.1.254
PC2:修改本地连接的TCP/IP属性,设置IP:192.168.11.10 掩码:255.255.255.0 网关:192.168.11.254
二、PIX525防火墙配置:
1.接口配置:
pixfirewall>en
pixfirewall#conf t
pixfirewall(config)#ho PIX525
PIX525(config)#int E0
PIX525(config-if)#ip add 23.1.1.3 255.255.255.0
PIX525(config-if)#nameif outside //设置接口为外网接口,启动安全级别为0
PIX525(config-if)#security-level 0
PIX525(config-if)#no shut
PIX525(config-if)#int E1
PIX525(config-if)#ip add 192.168.11.254 255.255.255.0
PIX525(config-if)#nameif inside //设置接口为内网接口,启动安全级别为100
PIX525(config-if)#security-level 100
PIX525(config-if)#no shut
PIX525(config-if)#exit
PIX525(config)#
2配置允许内网telnet登入:
PIX525(config)#telnet 0.0.0.0 0.0.0.0 inside //设置E1连接的内网所有主机可以远程登入到PIX上
PIX525(config)#passwd centurydawn //设置内网主机Telnet 登入到PIX上的密码
PIX525(config)#enable password centurydawn
3.配置允许外网SSH 登入:
PIX525(config)#ca zeroize //清除原有的CA配置
PIX525(config)#ca generate //配置CA为普通级别配置
PIX525(config)#ca save //保存CA配置
PIX525(config)#ssh 0.0.0.0 0.0.0.0 outside //允许外部所有网络通过SSH 方式从E0口登入
PIX525(config)#username admin password admin //建立一本地用户,×××和SSH 登入时使用
PIX525(config)#aaa authentication ssh LOCAL //使用本地用户认证
4.配置PAT:
PIX525(config)#global (outside) 1 interface //通过出接口方式转换为外网地址
PIX525(config)#nat (inside) 1 192.168.11.0 255.255.255.0 //允许转换的内部地址网络
PIX525(config)#route outside 0.0.0.0 0.0.0.0 23.1.1.2 //起默认路由,让内网能ping通外网网段
为了让内网的机器能够PING 出去还要加上: //默认情况下,外网是不允许ping 通内网的,当内网的
ping 包出去后,在返回时候会被outside 接口拒绝或者丢弃,所以要让outside 接口能接受这个包,作
如下配置:
PIX525(config)#access-list 100 permit icmp any any
PIX525(config)#access-group 100 in interface outside
5.IPSEC-×××配置:
PIX525(config)#ip local pool ipsecvpn 192.168.11.20-192.168.11.120 mask 255.255.255.0
//建立××× 动态IP 地址池,当外网用户使用IPSEC--×××方式登陆时候,自动从IP池分配一个IP 给用户
PIX525(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.11.0 255.255.255.0
//建立列表允许内网网段(含××× 网段)通过PIX 防火墙时,不需要NAT 转换
PIX525(config)#nat (inside) 0 access-list nonat //应用访问控制列表,0表示不进行转换
PIX525(config)# sysopt connection permit-vpn
――――――
PIX525(config)#access-list tunnellist permit 192.168.11.0 255.255.255.0
PIX525(config)#group-policy centurydawn internal //建立内部组策略,命名为centurydawn
PIX525(config)#group-policy centurydawn attributes
PIX525(config-group-policy)#vpn-idle-timeout 20 //设置×××超时时间为20钟
PIX525(config-group-policy)#split-tunnel-policy tunnelspecified //建立隧道分离策略
PIX525(config-group-policy)#split-tunnel-network-list value tunnellist
//与tunnellist匹配的网络将全部使用隧道分离
――――――
PIX525(config-group-policy)#exit
PIX525(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac
//ipsec的数据转换格式集通过des方式加密,对方通过哈希表-md5方式还原数据
PIX525(config)#crypto dynamic map mydynmap 20 set transform-set myset
//建立加密动态映射图,并采用上建的myset 方式加密解密
PIX525(config)#crypto map mymap 20 ipsec-isakmp dynamic mydynmap
//建立加密静态映射图,加密静态映射图中ipsec-isakmp 采用上建的加密动态映射图加密
PIX525(config)#crypto map mymap interface outside //将加密静态映射图应用于外网接口
PIX525(config)#crypto isakmp identity address //isakmp采用地址验证
PIX525(config)#crypto isakmp enable outside //isakmp 应用于外网接口
// isakmp:Internet Security Association and Key Management Protocol policy.
互连网安全密钥管理协议策略应用到外网接口
――――――
PIX525(config)#crypto isakmp policy 10 //建立isakmp 策略
PIX525(config-isakmp-policy)#authentication pre-share //使用共享密钥认证
PIX525(config-isakmp-policy)#encryption des //使用des算法加密
PIX525(config-isakmp-policy)#hash md5 //哈希使用MD5算法还原数据
PIX525(config-isakmp-policy)#end
PIX525(config)#tunnel-group centurydawn10 type ipsec-ra //建立××× 远程登入(即使用隧道分离)组
PIX525(config)#tunnel-group general-attributes //配置×××远程登入(即使用隧道分离)组的基本属性
PIX525(config-tunnel-general)#address-pool ipsevvpn //设置×××登入内网时分配的IP地址池
PIX525(config-tunnel-general)#authentication-server-group LOCAL //服务端组使用本地认证
――――――
PIX525(config-tunnel-general)#default-group-policy centurydawn //指定默认的组策略为centurydawn
――――――
PIX525(config-tunnel-general)#exit
PIX525(config)#tunnel-group centurydawn10 ipsec-attributes //设置××× 远程登入(即使用隧道分离)组的
ipsec属性
PIX525(config-tunnel-ipsec)#pre-share-key centurydawn //设置使用的共享密钥为centurydawn
6.验证:
在外网PC1 上使用××× 方式测试是否能成功登入到PIX525 上(需要安装×××-CLIENT 软件),在
×××-CLIENT 上host项上输入PIX525的outside接口地址,然后输入××× 组centurydawn10和密码centurydawn,
点击连接,等待输入用户名和密码。输入完用户名密码等待PIX验证后,在运行下输入cmd进入CLI模
式。在CLI模式下输入ipconfig /all查看是否获取到ipsecvpn 地址池中分配到的IP 地址,若分配到则
成功使用×××方式登入到了PIX 上,确切说登入到了内部网络上。这样PC1就如同在内部网络中一样可以随意使用内部网络资源了。