cisco Ezvpn隧道分离技术.docx

cisco Ezvpn隧道分离技术.docx

《cisco Ezvpn隧道分离技术.docx》由会员分享，可在线阅读，更多相关《cisco Ezvpn隧道分离技术.docx（12页珍藏版）》请在冰豆网上搜索。

ciscoEzvpn隧道分离技术

Ezvpn－隧道分离

Ezvpn原本是easyvpn的拼读，是从easyvpn简化而来的。

它能为企业提供远程VPN安全访问，方便移动的远程用户通过VPN来访问网络安全要求较高的内网。

这样既可以通过VPN隧道认证加密数据以进行安全访问，就好像内网用户一样。

同时也可以通过推送的隧道分离策略来使必要进入内网访问的数据才经过VPN加密传输，而访问internet的数据就直接走远程的网关经过NAT出去，不必要再经过总部的VPN服务器再转出去，减少中间不必要的网络流量与时延。

保证远程用户访问内网与访问internet的双重需求，使网络访问变得更简易灵活。

easy虽说是容易，但它的easy看起来只是使客户端的配置变得简省，把一些策略的推送由vpnserver动态去处理，所以把些复杂的事情交给了vpnserver而已。

但客户也并不是没有复杂的配置，其实vpnclient软件本来就内置了一些策略，只是用户不可见罢了，所以只要填写一些必要的一些信息如：

内部vpn服务器IP，进入内网访问凭据。

Top如上：

注意：

1,在做本实验的时候，请把VPNclient软件放在虚拟机的PC里边，如果是用本机来做remoteVPN客户端，很可能只能ping能或说互联到公网，不能ping通内网用户，实验是不能成功。

      2,由于本实验两个VPN网关都存在NAT穿越，所以在定义转换集的时候最好不要用AH认证。

因为NAT穿越会修改源目地址。

配置：

ezvpnserver#showrun

hostnameR1

aaanew-model//开启AAA

aaaauthenticationloginccielocal/AAA登陆本地认证

aaaauthorizationnetworkccielocal/AAA网络接入本地授权

ipcef

noipdomainlookup

usernameciscopassword0cisco/本地认证授权数据库账户

cryptoisakmppolicy10/定义IKE策略－第一阶段

 encr3des

 hashmd5/对于软件客户端必须要用MD5

 authenticationpre-share

 group2

cryptoisakmpclientconfigurationgroupclient/配置客户端推送策略

 keyccnp

 dns202.1.1.1

 domain

 poolpool

 acl101/隧道分离ACL

 save-password/保存密码，客户可以不必每次开启时输入验证信息

 netmask255.255.255.0

cryptoipsectransform-setmysetesp-3desesp-sha-hmac/定义转换集，IKE　1.5阶段

cryptodynamic-mapmap10/由于远程用户是移动的，所以要定义动态MAP

 settransform-setmyset

 reverse-route/开启反向路由注入，指向动态分配客户端网络的地址，下一跳为vpnpeer地址

cryptomapmymapclientauthenticationlistccie/定义加密图，IKE第二阶段

cryptomapmymapisakmpauthorizationlistccie

cryptomapmymapclientconfigurationaddressrespond

cryptomapmymap10ipsec-isakmpdynamicmap

interfaceLoopback0

 ipaddress192.168.2.1255.255.255.0

 ipnatinside

interfaceLoopback1

 ipaddress192.168.6.1255.255.255.0

!

interfaceFastEthernet0/0

 ipaddress202.1.1.1255.255.255.0

 ipnatoutside

cryptomapmymap/接口下应用加密图

iplocalpoolpool192.168.5.1192.168.5.10/定义本地为远程用户自动分配的地址池范围。

ipclassless

iproute0.0.0.00.0.0.0FastEthernet0/0/总部一条指向公网的默认路由

ipnatinsidesourcelist102interfaceFastEthernet0/0overload内网用户PAT

Access-list102deny192.168.2.00.0.0.255192.168.5.00.0.0.255

access-list102permitipanyany/PAT转换除了vpn之间的两个网段不用NAT转换。

internet配置：

hostnameR2

ipcef

noipdomainlookup

interfaceFastEthernet0/0

 ipaddress202.1.1.2255.255.255.0

interfaceFastEthernet0/1

 ipaddress202.1.2.1255.255.255.0

客户端网关：

R3#showrun

hostnameR3

ipcef

noipdomainlookup

interfaceFastEthernet0/0

 ipaddress192.168.4.1255.255.255.0

 ipnatinside

interfaceFastEthernet0/1

 ipaddress202.1.2.2255.255.255.0

 ipnatoutside

ipclassless

iproute0.0.0.00.0.0.0FastEthernet0/1

ipnatinsidesourcelist1interfaceFastEthernet0/1overload

access-list1permit192.168.4.00.0.0.255

客户端ciscovpnclient配置：

首先把虚拟机里的PC地址设置成远程网络内网地址，然后内网地址要有连通总部出口路由器地址的条件。

然后VPN才能建立，

安装好vpnclient后，就可以new新建一个VPN连接了，如下：

写好groupname,与key。

点击确定就可以进行连接了：

如果连接到了VPN网关的时候，就可以进行认证了：

写好之前AAA定义的本地用户名与密码，保存OK：

如果策略都没问题，那么隧道协商成功后就可以建立VPN了，可以看到右下角那把锁合上了：

这样VPN连接成功！

我们可以看客户端软件统计的协商信息：

还可以看到隧道分离本地网络：

测试：

１，是否获取了VPN地址？

Ethernetadapter本地连接2:

       Connection-specificDNSSuffix .:

       Description...........:

CiscoSystemsVPNAdapter

       PhysicalAddress.........:

00-05-9A-3C-78-00

       DhcpEnabled...........:

No

       IPAddress............:

192.168.5.1

       SubnetMask...........:

255.255.255.0

       DefaultGateway.........:

       DNSServers...........:

202.1.1.1

C:

\DocumentsandSettings\Administrator>

２，是否能访问内网用户，并且是不是走的VPN：

C:

\DocumentsandSettings\Administrator>tracert192.168.2.1

 Tracingrouteto192.168.2.1overamaximumof30hops

  1  366ms  505ms  415ms 192.168.2.1/如果内网地址发往客户端的数据也经过NAT，那么下一跳就是VPN　peer地址，不再是主机地址了！

！

！

 Tracecomplete.

C:

\DocumentsandSettings\Administrator>

C:

\DocumentsandSettings\Administrator>tracert202.1.1.1

Tracingrouteto202.1.1.1overamaximumof30hops

 1   85ms   77ms   46ms 192.168.4.1

 2  234ms  186ms  249ms 202.1.2.1

 3  373ms  343ms  468ms 202.1.1.1

Tracecomplete.

很明显，访问内网时，走的VPN，所以下一跳直接是内网主机地址，而不走VPN的时候，却是要经过NAT转换之后再到达目的地。

而且不能访问内网。

３，是否有加解密数据？

R1#showcryptoipsecsa    

interface:

FastEthernet0/0

   Cryptomaptag:

mymap,localaddr202.1.1.1

  protectedvrf:

（none）

  local ident（addr/mask/prot/port）:

（0.0.0.0/0.0.0.0/0/0）

  remoteident（addr/mask/prot/port）:

（192.168.5.1/255.255.255.255/0/0）

  current_peer202.1.2.2port1054

    PERMIT,flags={}

   #pktsencaps:

25,#pktsencrypt:

25,#pktsdigest:

25

   #pktsdecaps:

25,#pktsdecrypt:

25,#pktsverify:

25

   #pktscompressed:

0,#pktsdecompressed:

0

   #pktsnotcompressed:

0,#pktscompr.failed:

0

   #pktsnotdecompressed:

0,#pktsdecompressfailed:

0

   #senderrors0,#recverrors0

    localcryptoendpt.:

202.1.1.1,remotecryptoendpt.:

202.1.2.2

    pathmtu1500,ipmtu1500

    currentoutboundspi:

0x4D308FB9（1295028153）

    inboundespsas:

     spi:

0xCF97304F（3482792015）

       transform:

esp-3desesp-sha-hmac,

       inusesettings={TunnelUDP-Encaps,}

       connid:

2001,flow_id:

SW:

1,cryptomap:

mymap

       satiming:

remainingkeylifetime（k/sec）:

（4393775/2742）

       IVsize:

8bytes

       replaydetectionsupport:

Y

       Status:

ACTIVE

    inboundahsas:

    inboundpcpsas:

    outboundespsas:

     spi:

0x4D308FB9（1295028153）

       transform:

esp-3desesp-sha-hmac,

       inusesettings={TunnelUDP-Encaps,}

       connid:

2002,flow_id:

SW:

2,cryptomap:

mymap

       satiming:

remainingkeylifetime（k/sec）:

（4393775/2742）

       IVsize:

8bytes

       replaydetectionsupport:

Y

       Status:

ACTIVE

    outboundahsas:

    outboundpcpsas:

R1#showcryptoisakmp sa

dst      src        state    conn-idslotstatus

202.1.1.1   202.1.2.2    QM_IDLE      1   0ACTIVE

这样经过隧道分离后，VPN远程用户即可以访问internet也可以访问指定的内网网络了。