admin

Easy VPN应用:实现移动办公远程接入

admin 安全防护 2023-01-20 380浏览 0

为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN,是不是也要配置那么多的命令和参数呢?很多用户会提出有没有简单点的VPN配置来完成这样的要求。本节介绍一种简单的VPN配置,即Easy VPN。  

移动VPN技术:Easy VPN  

从Easy VPN的名字上就知道这应该是个简单的VPN应用技术。Easy VPN分为Easy VPN Server和Easy VPN Remote两种。Easy VPN Server是Remote-Access VPN专业设备,配置复杂,支持Policy Pushing等特性。现在的900、1700、Pix、Vpn 3002和ASA等很多设备都支持。  

而Easy VPN Remote就是专门为了小的分支机构所设计的,一般情况下,小分支接口的网络管理员的水平没有那么高,不可能去配置一堆复杂命令来实现Site-to-Site VPN,这时候,只需要通过Easy VPN Remote这个特性配置几条简单的命令,就可以Site-to-Site VPN。所有的配置都在Server端来完成,Client的VPN配置都由Server端采用“推”的方式应用到分支机构的设备上。这种技术极大地避免了分支机构配置VPN失败的问题。但这种VPN不支持路由,不支持组播,只能在IP协议下工作,不支持状态故障切换等技术。所以,需要网络管理员在自己的实际工作中留意这些功能是否需要,再决定是否实施Easy VPN技术。 #p#

基于命令行的Easy VPN配置实例

下面介绍一个基于IOS命令行的Easy VPN Server/Remote配置实例,如图所示。 

Easy VPN应用:实现移动办公远程接入 

图Easy VPN接入  

RouterServer的配置如下。

crypto isakmp policy 1       
encryption 3des       
authentication pre-share       
group 2     
crypto isakmp client configuration address-pool local pool192     
ip local pool pool192 192.168.1.1 192.168.1.254    
crypto isakmp client configuration group vclient-group       
key vclient-key       
domain test.com       
pool pool192       
crypto IPsec transform-set vclient-tfs esp-3des esp-sha-hmac     
crypto dynamic-map template-map 1       
set transform-set vclient-tfs     
crypto map vpnmap isakmp authorization list vclient-group       
crypto map vpnmap client configuration address respond       
crypto map vpnmap 1 IPsec-isakmp dynamic template-map       
interface Loopback0       
ip address 172.16.1.1 255.255.255.240       
interface FastEthernet0       
ip address 10.130.23.246 255.255.255.240       
crypto map vpnmap       
ip route 192.168.1.0 255.255.255.0 FastEthernet0       
show cry isakmp sa       
show cry IPsec sa       
clear cry sa       
clear cry isakmp       
debug cry isakmp     
debug cry IPsec  

#p#

基于SDM的Easy VPN配置实例  

Easy VPN的配置大部分工作都在VPN Server上完成,减轻了配置工作。在Cisco的设备中,比如,1800系列、2800系列和3800路由器系列,可以不使用命令的方式来完成配置。在这些新系列的设备上可以用SDM(思科路由器和安全设备管理器)软件来配置。  

1. Cisco SDM >Cisco SDM 是一种直观且基于 Web 的设备管理工具,用来管理以 Cisco IOS? 软件为基础的路由器。Cisco SDM 可通过智能向导简化路由器及安全配置过程,对于客户及 Cisco 合作伙伴而言,有了这些向导,不必对命令行接口(CLI)有专门的了解,就能快速便捷地部署、配置和监控 Cisco Systems路由器。  

SDM在设备上默认HTTPS管理IP是10.0.10.1。所以如果使用默认配置登录的话,一定要保证PC的地址在10.0.10.0网段。SDM的默认用户名是cisco,密码也是cisco 。  

SDM程序既可以安装在PC上,也可以安装在路由器上。安装在PC上能节约路由器的内存并且可以用它来管理其他支持SDM管理的路由器,但是这种模式下不能执行恢复默认的操作。安装到路由器时,基本安装需要大约4~5MB的Flash空间,Cisco SDM Express组件需要1.5MB的Flash空间,只用于路由器的初始化配置无须安装。  

提示:  

IE默认禁止网页访问本机资源,需要修改IE的安全设置。选择IE“工具”菜单,选择“Internet选项”,切换到“高级”选项卡,在“设置”里找到“允许活动内容在我的计算机上运行”,启用该功能;另外在“隐私”选项卡中取消“打开窗口阻止程序”选项。  

SDM下载地址为 http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm(需要CCO账号),下载并解压SDM-V21.zip,运行Setup程序即可进行SDM的安装。在安装SDM之前要求安装JRE 1.5,如果尚未安装,可以到Sun公司网站下载。   

将SDM安装到路由器之后,路由器必须进行以下配置才能支持SDM管理工具。  

ip http server //允许HTTP登录    

ip https server //允许HTTPS登录    

ip http authentication local //指定本地认证    

ip http timeout-policy idle idle-number life life-number request request-number //修改Web接口超时参数    

user username privilege 15 secret 0 secret //必须是Secret,不可以用Password关键字  

如果需要Telnet或者Ssh远程登录设备,则增加以下配置命令。    

line vty 0 4 //路由器型号不同VTY的数量也不同    

login local    

transport input telnet ssh //允许Telnet和Ssh  

如果以上步骤配置正确完整,则在IE中输入http://“路由器IP地址”,就可以开始使用SDM了。如果是第一次登录SDM,则提示修改默认用户名cisco ,以及默认密码cisco。

提示:  

具体启用配置SDM软件的方法,请查阅产品随机手册和思科网站上的相关信息,相关资料。使用SDM配置VPN的前提是要能保证配置端可以通过HTTPS访问路由器的Web管理界面。值得庆幸的是SDM如今已经支持中文版本。  

2. SDM配置Easy VPN的步骤

3. 下面介绍使用思科安全设备管理器(SDM)将Cisco路由器配置成Easy VPN Server。一旦思科路由器配置完成后,可以使用思科VPN客户端(Cisco Systems VPN Client)进行验证。  

第1步:从左侧主操作窗口选择Configure→VPN→Easy VPN Server,然后单击Launch Easy VPN Server Wizard,启动Easy VPN服务器向导。    

第2步:在弹出的对话框单击【Yes】按钮,这里提示如果对路由器配置Easy VPN Server需要启用AAA认证。请单击【Yes】按钮继续进行配置。  

第3步:正式进入Easy VPN配置向导。  

第4步:首先要求选择应用Easy VPN的接口,客户端连接终止及身份验证的方法,如图所示。

Easy VPN应用:实现移动办公远程接入

图:启动VPN接口和认证类型  

第5步:单击【下一步】按钮,将配置Internet密钥交换(IKE)的策略,单击【Add】按钮,添加新的策略,如图14-15所示。

提示:  

配置VPN隧道的选项必须是双方匹配的。这里是针对“思科VPN客户端” 本身自动选择适当的配置。因此,有必要对客户端电脑配置IKE。

第6步:单击【下一步】按钮,选择默认转换设置或添加新的转换加密和认证算法,如图14-16所示。单击【Add】按钮,添加转换算法设置。  

第7步:添加一个新的验证、授权和记账策略,这里选择定义验证的方式为本地配置。

提示:  

授权网络访问名单和组策略,这里可以查找或选择一个现有的本地和网络配置清单用做企业的VPN访问授权。  

第8步:选择用户认证数据库。可以在存储用户认证细节上选择一个外部服务器,如一个RADIUS服务器或本地数据库,或者两者同时启用。  

第9步:在下图所示的对话框中,可以对本地数据库添加、编辑、复制或删除用户组策略。

Easy VPN应用:实现移动办公远程接入

图14-20 选择对本地数据库的操作  

第10步:添加一个隧道组,配置共享密钥用于认证信息。创建一个新的地址池或选择一个现有的地址池,用于VPN客户分配IP地址,如下图所示。  

第11步:单击【OK】按钮,选择是否继续添加策略。

Easy VPN应用:实现移动办公远程接入

图:添加VPN客户端地址池和共享密钥   

第12步:如果不需要配置选项,单击【下一步】按钮。

第13步:SDM将上述配置复制到路由器,以更新运行的配置,单击【OK】按钮,完成Easy VPN配置。 #p#

完成之后,如果需要修改,可以在主界面编辑和修改。  

下面是上述配置后路由器的执行结果。

Building configuration...    
Current configuration : 3336 bytes    
!    
version 12.4    
service timestamps debug datetime msec    
service timestamps log datetime msec    
no service password-encryption    
!    
hostname Router    
!    
boot-start-marker    
boot-end-marker    
!    
enable password cisco    
!    
aaa new-model<   
!    
!--- In order to set AAA authentication at login, use the aaa authentication login     
!--- command in global configuration mode    
.   
aaa authentication login default local    
!--- Here, list name "sdm_vpn_xauth_ml_1" is specified for     
!--- the authentication of the clients.    
aaa authentication login sdm_vpn_xauth_ml_1 local    
aaa authorization exec default local     
aaa authorization network sdm_vpn_group_ml_1 local     
!    
aaa session-id common    
!    
resource policy    
!    
!    
ip cef    
!    
!--- The RSA certificate generates after the     
!--- ip http secure-server command is enabled.    
crypto pki trustpoint TP-self-signed-392370502    
enrollment selfsigned    
subject-name cn=IOS-Self-Signed-Certificate-392370502    
revocation-check none    
rsakeypair TP-self-signed-392370502    
!    
!    
crypto pki certificate chain TP-self-signed-392370502    
certificate self-signed 01    
3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030     
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274     
(省略)    
quit    
!    
!--- Creates a user account with all privileges.    
username sdmsdm privilege 15 password 0 sdmsdm    
!    
!     
!--- Creates an isakmp policy 1 with parameters like     
!--- 3des encryption, pre-share key authentication, and DH group 2.    
crypto isakmp policy 1    
encr 3des    
authentication pre-share    
group 2    
crypto isakmp client configuration group vpn    
!--- Defines the pre-shared key as sdmsdm.    
key sdmsdm    
pool SDM_POOL_1    
netmask 255.255.255.0    
!    
!--- Defines transform set parameters.    
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac     
!    
crypto dynamic-map SDM_DYNMAP_1 1    
set transform-set ESP-3DES-SHA     
reverse-route    
!    
!--- Specifies the crypto map parameters.    
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1    
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1    
crypto map SDM_CMAP_1 client configuration address respond    
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1     
!    
interface Ethernet0/0    
no ip address    
shutdown    
half-duplex    
!    
interface FastEthernet1/0    
ip address 10.77.241.157 255.255.255.192    
duplex auto    
speed auto    
!    
interface Serial2/0    
ip address 10.1.1.1 255.255.255.0    
no fair-queue    
!--- Applies the crypto map SDM_CMAP1 to the interface.    
crypto map SDM_CMAP_1    
!    
interface Serial2/1    
no ip address     
shutdown    
!    
interface Serial2/2    
no ip address     
shutdown    
!    
interface Serial2/3<   
no ip address    
shutdown    
!--- Creates a local pool named SDM_POOL_1 for issuing IP     
!--- addresses to clients.    
ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5    
!--- Commands for enabling http and https required to launch SDM.     
ip http server    
ip http secure-server    
!    
control-plane    
!    
line con 0    
line aux 0    
line vty 0 4    
password cisco    
!    
end

继续浏览有关 安全 的文章
发表评论