1.Easy 虛擬專用網(wǎng)需要解決的問題

10年積累的成都網(wǎng)站制作、做網(wǎng)站經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有莫力達(dá)免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

階段1----建立管理連接

• 協(xié)商采用何種方式建立管理連接
• 通過DH算法共享密鑰信息
• 對(duì)等體彼此進(jìn)行身份驗(yàn)證

階段2----建立數(shù)據(jù)連接

• 定義對(duì)等體間保護(hù)何種流量
• 定義用來保護(hù)數(shù)據(jù)的安全協(xié)議
• 定義傳輸模式

2.使用XAUTH做用戶驗(yàn)證

(1) XAUTH

IPsec 協(xié)議最初的設(shè)計(jì)并未考慮用戶驗(yàn)證問題，所以IETF （internet  Engineering  Task Force ， 因特網(wǎng)工程任務(wù)部） 引入了一個(gè)RFC的草案
---XAUTH， 它是一個(gè)虛擬專用網(wǎng)網(wǎng)管的增強(qiáng)特性，提供用戶名和密碼的方式來驗(yàn)證用戶身份。
由于這個(gè)過程是在倆個(gè)連接建立之間完成的，所以被稱為“階段1.5”。

用戶驗(yàn)證自然就會(huì)涉及用戶名和密碼的存儲(chǔ)方式，通常情況下有兩種：

1. 存儲(chǔ)在虛擬專用網(wǎng)網(wǎng)關(guān)設(shè)備的內(nèi)部數(shù)據(jù)庫(kù)中
2. 存儲(chǔ)在第三方設(shè)備上

（2）AAA的定義

AAA是Authentication（驗(yàn)證），Authorization（授權(quán)），Accounting（統(tǒng)計(jì)）的縮寫，它提供了在網(wǎng)絡(luò)設(shè)備上配置訪問控制的基本框架

驗(yàn)證： 用戶是誰(shuí)？
對(duì)用戶的合法性進(jìn)行驗(yàn)證，包括用戶名，密碼等信息的驗(yàn)證

授權(quán)：用戶可以做什么？
在用戶通過驗(yàn)證后，為用戶指定其能夠使用的服務(wù)等權(quán)限

統(tǒng)計(jì)：用戶做過什么?
在用戶驗(yàn)證，授權(quán)成功后，記錄用戶的操作等信息，以便用于記賬

實(shí)現(xiàn)AAA服務(wù)器主要使用RADIUS協(xié)議和TACACS+協(xié)議
RADIUS（遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)）是一個(gè)全開放的標(biāo)準(zhǔn)協(xié)議，廠商或用戶可以靈活地修改RADIUS

TACACS+（終端訪問控制器訪問控制系統(tǒng)）是Cisco設(shè)計(jì)的私有協(xié)議

• 路由器開啟AAA

Router（config）# aaa new-model

3.組策略

• .地址池

  遠(yuǎn)程訪問虛擬專用網(wǎng)的客戶端之所以很難與虛擬專用網(wǎng)的網(wǎng)關(guān)建立連接，就是因?yàn)榭蛻舳藳]有固定的IP地址，在這種“動(dòng)態(tài)”的情況下，最好的辦法就是讓使虛擬專用網(wǎng)設(shè)備像DHCP服務(wù)器一樣為每個(gè)通過驗(yàn)證的客戶端“推送”IP地址。這樣，由于客戶端的IP地址是虛擬專用網(wǎng)網(wǎng)關(guān)動(dòng)態(tài)分配的，虛擬專用網(wǎng)設(shè)備自然也就知道該與哪個(gè)IP建立虛擬專用網(wǎng)連接。

  

• DNS和網(wǎng)關(guān)

和DHCP服務(wù)器一樣，除了給客戶端分配IP地址以外，還要分配網(wǎng)關(guān)和DNS，這樣客戶端就擁有了內(nèi)網(wǎng)的IP、網(wǎng)關(guān)及DNS等必備的資源，真正成為內(nèi)網(wǎng)的一員

• 共享密鑰

在遠(yuǎn)程訪問虛擬專用網(wǎng)中，虛擬專用網(wǎng)網(wǎng)關(guān)需要與多組客戶端“共享密鑰”，因此在配置虛擬專用網(wǎng)時(shí)需要為每組客戶端設(shè)置不同的共享密鑰，客戶端的密鑰并不是虛擬專用網(wǎng)網(wǎng)關(guān)推送的，而是需要用戶通過客戶端軟件配置在主機(jī)上，而這個(gè)過程一般是由公司的網(wǎng)絡(luò)管理員來實(shí)現(xiàn)的，那么這個(gè)密鑰自然是保存在客戶端主機(jī)本地了，因此才有了“階段1.5”的存在

• 分離隧道

默認(rèn)情況下，客戶端與虛擬專用網(wǎng)網(wǎng)關(guān)建立隧道后，只能訪問內(nèi)網(wǎng)授權(quán)的資源，這是因?yàn)樗淼罆?huì)允許所有的流量，也就是說所有的流量必須經(jīng)過隧道到達(dá)公司，自然也就不允許任何流量訪問，而對(duì)于客戶端而言，所以需要針對(duì)遠(yuǎn)程訪問虛擬專用網(wǎng)配置ACL來分離隧道

• 分離DNS

當(dāng)客戶端主機(jī)通過遠(yuǎn)程訪問虛擬專用網(wǎng)連接到公司，即使隧道分離后，客戶端訪問Internet的web服務(wù)器時(shí)，也需要使用公司內(nèi)網(wǎng)的DNS解析，但這不是一個(gè)合理的過程，如果客戶端每次訪問百度，都要經(jīng)過公司內(nèi)網(wǎng)進(jìn)行DNS解析，其實(shí)是沒必要的，太浪費(fèi)資源了，所以要實(shí)現(xiàn)客戶端訪問公司的web服務(wù)器時(shí)，使用公司內(nèi)網(wǎng)的DNS解析，若訪問百度，則使用的DNS，如果要實(shí)現(xiàn)不同的域名使用不同的DNS，就需要用到了分離DNS

4.動(dòng)態(tài)Crypto Map

我們無法實(shí)現(xiàn)在虛擬專用網(wǎng)設(shè)備的靜態(tài)crypto map中指定客戶端的地址（客戶端的地址由虛擬專用網(wǎng)的DHCP服務(wù)分發(fā)，不是固定的），所以需要將靜態(tài)crypto map中需要的參數(shù)被動(dòng)態(tài)填充，使用動(dòng)態(tài)crypto map 必須采用ISAKMP/IKE發(fā)起協(xié)商，而且在實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)的時(shí)候通常在虛擬專用網(wǎng)網(wǎng)關(guān)上同時(shí)配置靜態(tài)和動(dòng)態(tài)的crypto map，因?yàn)橹挥幸慌_(tái)具有靜態(tài)配置的設(shè)備可以發(fā)起IPSec的隧道，也正是如此，動(dòng)態(tài)的crypto map很少被用于L2L（局域網(wǎng)to局域網(wǎng)）會(huì)話建立，

在實(shí)現(xiàn)遠(yuǎn)程訪問虛擬局域網(wǎng)的時(shí)候，一般會(huì)先配置transform-set，因?yàn)橹付▊鬏敿cpeer的IP地址無關(guān)，可以將傳輸集直接應(yīng)用到動(dòng)態(tài)crypto map；由于在接口上只能配置一個(gè)crypto map，且虛擬專用網(wǎng)網(wǎng)關(guān)上必須有靜態(tài)crypto map，所以需將動(dòng)態(tài)crypto map 應(yīng)用到靜態(tài)的crypto map中，再將靜態(tài)crypto map應(yīng)用到接口上，這就是配置crypto map。

5.配置案例

1.配置IP 并且除了R4 別的全部做默認(rèn)路由

橋接一個(gè)主機(jī)是64位的，要用虛擬專用網(wǎng)的客戶端程序

如R3配置

R3(config)#int f0/0
R3(config-if)#ip add 192.168.0.10 255.255.255.0
R3(config-if)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1

R1配置：

aaa配置如下

R1(config)#aaa new-model
R1(config)#aaa authentication login bdqn-authen local
R1(config)#aaa authorization network bdqn-author local
R1(config)#username bdqn secret cisco  //創(chuàng)建用戶 加密

階段1配置如下

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share 
R1(config-isakmp)#group 2
R1(config-isakmp)#exit

階段1.5配置如下

R1(config)#ip local pool bdqn-pool 192.168.1.200 192.168.1.210          
//創(chuàng)建地址池
R1(config)#ip access-list extended split-acl
R1(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any 
R1(config-ext-nacl)#exit

創(chuàng)建組策略如下

R1(config)#crypto isakmp client configuration group test-group
R1(config-isakmp-group)#key 123456
R1(config-isakmp-group)#pool bdqn-pool
R1(config-isakmp-group)#dns 192.168.0.10
R1(config-isakmp-group)#acl split-acl
R1(config-isakmp-group)#split-dns bdqn.com
R1(config-isakmp-group)#exit

配置動(dòng)態(tài)Map

R1(config)#crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac  
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map bdqn-dymap 1
R1(config-crypto-map)#set transform-set bdqn-set
R1(config-crypto-map)#exit

R1(config)#crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
R1(config)#crypto map bdqn-stamap client authentication list bdqn-authen
R1(config)#crypto map bdqn-stamap isakmp authorization list bdqn-author
R1(config)#crypto map bdqn-stamap client configuration address respond 
//用于讓客戶端先發(fā)起連接

R1(config)#int f0/1
R1(config-if)#crypto map bdqn-stamap
//應(yīng)用到外接口

安裝虛擬專用網(wǎng)的客戶端

第一和第二個(gè)框位描述信息隨便填，
第三個(gè)框?qū)慠1外接口的iP
下面寫組策略的用戶名和密碼，輸入兩遍密碼

輸入aaa的賬號(hào)密碼

驗(yàn)證 用虛擬機(jī)ping

如果把R1換為防火墻

其他配置都一樣

在防火墻上配置如下：

進(jìn)入外接口：nameif outside
進(jìn)入內(nèi)接口：nameif inside
ciscoasa(config)# route outside 0 0 200.0.0.2 //防火墻走默認(rèn)路由

ciscoasa(config)# username bdqn password 123456
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# encryption 3des 
ciscoasa(config-isakmp-policy)# hash sha 
ciscoasa(config-isakmp-policy)# authentication pre-share 
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# exit
ciscoasa(config)# ip local pool bdqn-pool 192.168.1.200-192.168.1.210
ciscoasa(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
ciscoasa(config)# group-policy test-group internal 
ciscoasa(config)# group-policy test-group attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified 
ciscoasa(config-group-policy)# split-tunnel-network-list value split-acl
ciscoasa(config-group-policy)# exit
ciscoasa(config)# tunnel-group bdqn-group type ipsec-ra 
ciscoasa(config)# tunnel-group bdqn-group general-attributes
ciscoasa(config-tunnel-general)# default-group-policy test-group
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group bdqn-group ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key bdqn-key
ciscoasa(config-tunnel-ipsec)# exit
ciscoasa(config)# crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac 
ciscoasa(config)# crypto dynamic-map bdqn-dymap 1 set  transform-set bdqn-set
ciscoasa(config)# crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
ciscoasa(config)# crypto map bdqn-stamap int outside

新聞名稱：遠(yuǎn)程訪問虛擬專用網(wǎng)------EASY虛擬專用網(wǎng)
網(wǎng)頁(yè)路徑：http://www.rwnh.cn/article36/ggddsg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、外貿(mào)網(wǎng)站建設(shè)、品牌網(wǎng)站制作、標(biāo)簽優(yōu)化、自適應(yīng)網(wǎng)站、微信公眾號(hào)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)