偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

軟件客戶端的全加密Cisco IPsec VPN網(wǎng)關(guān)

作者:佚名
安全
創(chuàng)建VPN客戶端網(wǎng)關(guān)的方法是全加密的,或稱為“新式”拓?fù)?。一般都認(rèn)為這種拓?fù)浔葟V泛應(yīng)用的“半隧道VPN”更安全。本文詳細(xì)的介紹了軟件客戶端的全加密Cisco IPsec VPN網(wǎng)關(guān)的配置過程。

      在所有的全加密配置網(wǎng)絡(luò)中,所有從遠(yuǎn)程節(jié)點(diǎn)過來的流量在到達(dá)VPN網(wǎng)關(guān)的內(nèi)部接口之前都是加密的。然后網(wǎng)關(guān)將這些安全的(已經(jīng)解碼的)流量發(fā)送到本地下一跳節(jié)點(diǎn)(172.30.40.33)。在這個(gè)例子中,我們將使用我們?cè)凇芭f式”實(shí)現(xiàn)中所使用的相同網(wǎng)絡(luò):172.30.40.0/24、172.30.80.0/24和172.30.60.0/24。所有其它的流量都被發(fā)送到內(nèi)部防火墻接口。然后防火墻根據(jù)它的策略規(guī)則庫處理VPN客戶端的外部請(qǐng)求。將所有的流量傳送到正確的位置的確是需要費(fèi)一番周折。但為了支持來自非顯式定義網(wǎng)絡(luò)的VPN客戶端連接,VPN網(wǎng)關(guān)的默認(rèn)路由必須指向網(wǎng)關(guān)路由器的DMZ接口(63.240.22.0.1)。所有的安全網(wǎng)絡(luò)必須被顯式地定義并且使用RS的172.30.40.0/24的網(wǎng)絡(luò)接口(172.30.40.33)作為下一跳地址。為了使Internet流量能到達(dá)防火墻的內(nèi)部接口(172.30.40.1),我們實(shí)現(xiàn)了一條路由來檢查流量,然后根據(jù)一個(gè)流量檢查ACL將它轉(zhuǎn)發(fā)到恰當(dāng)?shù)木W(wǎng)關(guān)。這跟路由器決定加密哪些流量的方法一樣,它根據(jù)ACL來檢查流量,然后進(jìn)行相應(yīng)的處理。

既然我們已經(jīng)解決了安全網(wǎng)絡(luò)流量和Internet網(wǎng)絡(luò)流量處理問題,以及在IOS路由器上實(shí)現(xiàn)全加密拓?fù)洌覀兙涂梢赃M(jìn)行新式VPN配置了。新式和舊式VPN配置的區(qū)別很大程度上是在外加的ISAKMP模板上。在舊式配置中,VPN客戶端認(rèn)證、授權(quán)和IP地址處理都是作為靜態(tài)密碼表配置的一部分。

 

在一個(gè)單客戶端解決方案中(其中用戶社區(qū)的所有流量傳輸都通過單個(gè)網(wǎng)絡(luò)訪問、ISAKMP和AAA策略實(shí)現(xiàn)),這并不會(huì)帶來任何的限制。而在多客戶端環(huán)境中,由于需要實(shí)現(xiàn)不同的AAA和網(wǎng)絡(luò)訪問策略,這時(shí)舊式方法有些不滿足要求。ISAKMP模板能夠創(chuàng)建不同的ISAKMP模板與不同的ISAKMP客戶端配置組和擴(kuò)展的不同的動(dòng)態(tài)密碼圖及/或圖序列實(shí)體一起使用。

 

為了說明它們的區(qū)別,我們將使用新式方法重新創(chuàng)建半隧道和全加密VPN解決方案。就像舊式方法,VPN網(wǎng)關(guān)配置由兩部分組成:ISAKMP和密碼圖配置。

 

ISAKMP配置

 

A.創(chuàng)建ISAKMP策略:下面這個(gè)配置實(shí)現(xiàn)了ISAKMP階段1策略,它同時(shí)支持默認(rèn)DES/SHA/DH-1和支持預(yù)共享密匙的更安全的標(biāo)準(zhǔn)3DES/MD5/DH-2:

outlan-rt05(config)#crypto isakmp policy 10
outlan-rt05(config-isakmp)#encr 3des
outlan-rt05(config-isakmp)#hash md5
outlan-rt05(config-isakmp)#authentication pre-share
outlan-rt05(config-isakmp)#group 2
outlan-rt05(config-isakmp)#exit
outlan-rt05(config)#crypto isakmp policy 20
outlan-rt05(config-isakmp)#hash sha
outlan-rt05(config-isakmp)#encryption des
outlan-rt05(config-isakmp)#authentication pre-share
outlan-rt05(config-isakmp)#group 1

B.配置AAA用戶和組認(rèn)證、授權(quán)和帳號(hào):半隧道策略將使用本地源用戶認(rèn)證和組授權(quán)。全加密策略使用TACACS進(jìn)行用戶認(rèn)證和本地源組授權(quán)。

outlan-rt05(config)#aaa authentication login local-user-auth local
outlan-rt05(config)#aaa authorization network local-group-authz local
outlan-rt05(config)#aaa authentication login aaa-auth group tacacs+
outlan-rt05(config)#tacacs-server host 172.30.40.6
outlan-rt05(config)#tacacs-server key secretkey

C.為這兩個(gè)策略創(chuàng)建IP地址池:

outlan-rt05(config)#ip local pool OS-VPN 172.30.90.2 172.30.90.14
outlan-rt05(config)#ip local pool FC-VPN 5.0.0.2 5.0.0.254

D.創(chuàng)建loopback接口與地址池:

outlan-rt05(config)#interface loopback 90
outlan-rt05(config-if)#ip address 172.30.90.1 255.255.255.2
outlan-rt05(config-if)#exit
outlan-rt05(config)#interface loopback 5
outlan-rt05(config-if)#ip address 5.0.0.1 255.255.255.0
outlan-rt05(config-if)#exit
outlan-rt05(config)#

E.創(chuàng)建半隧道ACL:

outlan-rt05(config)#ip access-list extended SPLIT-TUNNEL
outlan-rt05(config-ext-nacl)#permit ip 172.30.40.0 0.0.0.255 172.30.90.0 0.0.0.15
outlan-rt05(config-ext-nacl)#permit ip 172.30.80.0 0.0.0.255 172.30.90.0 0.0.0.15
outlan-rt05(config-ext-nacl)#permit ip 172.30.60.0 0.0.0.255 172.30.90.0 0.0.0.15
outlan-rt05(config-ext-nacl)#exit
outlan-rt05(config)#

F.創(chuàng)建客戶端配置組:半隧道策略的ISAKMP組和全加密策略必須分開創(chuàng)建:

outlan-rt05(config)#crypto isakmp client configuration group split-tunnel
outlan-rt05(config-isakmp-group)#key secretkey
outlan-rt05(config-isakmp-group)#dns 172.30.40.2
outlan-rt05(config-isakmp-group)#domain outlan.net
outlan-rt05(config-isakmp-group)#pool OS-VPN
outlan-rt05(config-isakmp-group)#acl SPLIT-TUNNEL
outlan-rt05(config-isakmp-group)#max-logins 2
outlan-rt05(config-isakmp-group)#max-users 13
outlan-rt05(config-isakmp-group)#save-password
outlan-rt05(config-isakmp-group)#banner ^
Enter TEXT message. End with the character '^'.
You are connected to OUTLAN. All outlan traffic is secured.
^
outlan-rt05(config-isakmp-group)#exit
outlan-rt05(config)# crypto isakmp client configuration group full-crypto
outlan-rt05(config-isakmp-group)#key secretkey
outlan-rt05(config-isakmp-group)#dns 172.30.40.2
outlan-rt05(config-isakmp-group)#domain outlan.net
outlan-rt05(config-isakmp-group)#pool FC-VPN
outlan-rt05(config-isakmp-group)#save-password
outlan-rt05(config-isakmp-group)#include-local-lan
outlan-rt05(config-isakmp-group)#pfs
outlan-rt05(config-isakmp-group)#max-users 253
outlan-rt05(config-isakmp-group)#max-logins 1
outlan-rt05(config-isakmp-group)#banner ^
Enter TEXT message. End with the character '^'.
This is a full crypto VPN connection.
^
outlan-rt05(config-isakmp-group)#exit

G.配置CTCP端口定義(并禁用路由器上的HTTP和HTTPS服務(wù)):

outlan-rt05(config)#crypto ctcp port 443 10000
outlan-rt05(config)#no ip http secure-server
outlan-rt05(config)#no ip http server

H.配置NAT透明活躍時(shí)間:NAT透明默認(rèn)是激活的,但你需要設(shè)置一個(gè)活躍時(shí)間。然后,如果你只想使用CTCP,你可以禁用NAT回環(huán):

outlan-rt05(config)#crypto isakmp nat keepalive 20
outlan-rt05(config)#no crypto ipsec nat-transparency udp-encaps

配置ISAKMP模板:ISAKMP模板是用來做新式配置的。注意ISAKMP組名和ISAKMP策略名應(yīng)該是一樣的。這不是一個(gè)硬性要求,但如果你有很多不同的組和模板,這樣做可以讓你更容易管理它們:

outlan-rt05(config)#crypto isakmp profile split-tunnel
% A profile is deemed incomplete until it has match identity statements
outlan-rt05(conf-isa-prof)#description ISAKMP for Split Tunneling Cisco Soft Clients
outlan-rt05(conf-isa-prof)#match identity group split-tunnel
outlan-rt05(conf-isa-prof)#client authentication list local-user-auth
outlan-rt05(conf-isa-prof)#isakmp authorization list local-group-authz
outlan-rt05(conf-isa-prof)#client configuration address respond
outlan-rt05(conf-isa-prof)#keepalive 20 retry 10
outlan-rt05(conf-isa-prof)#exit
outlan-rt05(config)#
outlan-rt05(config)# crypto isakmp profile full-crypto
% A profile is deemed incomplete until it has match identity statements
outlan-rt05(conf-isa-prof)#description ISAKMP for Full Crypto Cisco Soft Clients
outlan-rt05(conf-isa-prof)#match identity group full-crypto
outlan-rt05(conf-isa-prof)#client authentication list aaa-auth
outlan-rt05(conf-isa-prof)#isakmp authorization list local-group-authz
outlan-rt05(conf-isa-prof)#client configuration address respond
outlan-rt05(conf-isa-prof)#keepalive 20 retry 10
outlan-rt05(conf-isa-prof)#exit
outlan-rt05(config)#

密碼圖配置

定義了ISAKMP組和模板后,我們繼續(xù)配置(更簡(jiǎn)單的)新式密碼圖。

A.創(chuàng)建轉(zhuǎn)換集:因?yàn)槲覀儍H支持Cisco VPN軟件客戶端,所以我們實(shí)際上只需要一個(gè)階段2策略:

outlan-rt05(config)#crypto ipsec transform-set 3DES-MD5-Z esp-3des esp-md5-hmac comp-lzs

B.創(chuàng)建動(dòng)態(tài)密碼圖:因?yàn)槲覀冎С謨蓚€(gè)不同的VPN策略,我們有一些實(shí)現(xiàn)動(dòng)態(tài)密碼圖的選項(xiàng)要配置。我們可以實(shí)現(xiàn)兩個(gè)不同的圖,或者實(shí)現(xiàn)一個(gè)圖及兩個(gè)序列。下面是一個(gè)實(shí)現(xiàn)一個(gè)圖及兩個(gè)序列的例子:

outlan-rt05(config)#crypto dynamic-map Software-Client 10
outlan-rt05(config-crypto-map)#set security-association lifetime seconds 12000
outlan-rt05(config-crypto-map)#set transform-set 3DES-MD5-Z
outlan-rt05(config-crypto-map)#set isakmp-profile split-tunnel
outlan-rt05(config-crypto-map)#reverse-route
outlan-rt05(config-crypto-map)#exit
outlan-rt05(config-crypto-map)#crypto dynamic-map Software-Client 20
outlan-rt05(config-crypto-map)#set transform-set 3DES-MD5-Z
outlan-rt05(config-crypto-map)#set pfs group2
outlan-rt05(config-crypto-map)#set isakmp-profile full-crypto
outlan-rt05(config-crypto-map)#reverse-route
outlan-rt05(config-crypto-map)#exit

C.創(chuàng)建靜態(tài)密碼圖:

outlan-rt05(config)#crypto map outlan-ipsec-gw05 10 ipsec-isakmp dynamic Software-Client

D.安裝靜態(tài)密碼圖:一旦密碼圖安裝好,它就可以支持客戶端連接了。然而,為了支持全密碼非安全流量處理,我們需要實(shí)現(xiàn)策略路由:

outlan-rt05(config)#int fastEthernet 0/0
outlan-rt05(config-if)#crypto map outlan-ipsec-gw05
*Dec 8 04:32:00.479: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
outlan-rt05(config-if)#exit

E:安裝路由策略:正如我們上面所提到的,為了處理離線流量,我們需要路由器在處理特定類型流量時(shí)忽略它的默認(rèn)路由。這個(gè)技巧是通過創(chuàng)建一個(gè)流量匹配ACL和一個(gè)將匹配的流量指向另一個(gè)網(wǎng)關(guān)的簡(jiǎn)單路由圖實(shí)現(xiàn)的:

outlan-rt05(config)#ip access-list extended redirect
outlan-rt05(config-ext-nacl)#permit tcp 5.0.0.0 0.0.0.255 any eq 80
outlan-rt05(config-ext-nacl)#permit tcp 5.0.0.0 0.0.0.255 any eq 443
outlan-rt05(config-ext-nacl)#permit tcp 5.0.0.0 0.0.0.255 any eq ftp
outlan-rt05(config)# route-map int-acc permit 10
outlan-rt05(config-route-map)#match ip address redirect
outlan-rt05(config-route-map)#set ip next-hop 172.30.40.1
outlan-rt05(config)#interface FastEthernet0/1
outlan-rt05(config-if)#ip policy route-map int-acc
outlan-rt05(config-if)#exit
outlan-rt05(config)#

這樣多策略VPN網(wǎng)關(guān)就配置好了。對(duì)于客戶端模板配置,管理員可能為每一個(gè)ISAKMP分別創(chuàng)建一個(gè)客戶端模板。下面是半隧道和全加密拓?fù)涞膯?dòng)器文件:

[main]
Description= New_School_ST
Host=63.240.22.2
AuthType=1
GroupName=split-tunnel
GroupPwd=secretkey
TunnelingMode=1
TcpTunnelingPort=10000

[main]
Description=New_School_FC
Host=63.240.22.2
AuthType=1
GroupName=full-crypto
GroupPwd=secretkey
TunnelingMode=1
TcpTunnelingPort=443

這就完成了軟件客戶端VPN配置。

【編輯推薦】

  1. IPsec和SSL VPNs基礎(chǔ)知識(shí)理解
  2. 巧妙解決VPN網(wǎng)絡(luò)訪問故障兩例
  3. 您的企業(yè)網(wǎng)絡(luò)應(yīng)該實(shí)現(xiàn)哪一種VPN?
  4. 一步到位 艾泰連鎖機(jī)構(gòu)VPN解決方案(圖示)
  5. 中央人民廣播電臺(tái)采用Array SSL VPN解決方案

 

責(zé)任編輯:佚名 來源: 互聯(lián)網(wǎng)
加密VPN
相關(guān)推薦

2011-10-26 13:17:05

2011-11-25 14:15:02

IPsec VPNIPsec VPN配置

2009-12-02 14:37:17

2011-11-25 13:49:17

2011-11-30 14:51:55

2011-11-25 13:24:56

2011-11-29 16:08:30

IPsec VPN

2011-07-21 11:30:19

網(wǎng)關(guān)選擇產(chǎn)品

2011-11-25 13:34:56

IPsec VPNIPsec VPN協(xié)議

2012-10-19 13:37:08

2011-05-25 19:35:25

2012-09-28 09:44:32

2010-12-15 11:24:35

2021-09-22 15:46:29

虛擬桌面瘦客戶端胖客戶端

2011-11-29 12:13:21

VPN

2012-09-26 09:49:44

2009-08-06 17:12:13

C# WebServi

2010-03-08 14:18:51

2011-11-29 12:27:54

2009-04-02 15:10:28

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)