cisco Ezvpn隧道分离技术.docx
《cisco Ezvpn隧道分离技术.docx》由会员分享,可在线阅读,更多相关《cisco Ezvpn隧道分离技术.docx(12页珍藏版)》请在冰豆网上搜索。
ciscoEzvpn隧道分离技术
Ezvpn-隧道分离
Ezvpn原本是easyvpn的拼读,是从easyvpn简化而来的。
它能为企业提供远程VPN安全访问,方便移动的远程用户通过VPN来访问网络安全要求较高的内网。
这样既可以通过VPN隧道认证加密数据以进行安全访问,就好像内网用户一样。
同时也可以通过推送的隧道分离策略来使必要进入内网访问的数据才经过VPN加密传输,而访问internet的数据就直接走远程的网关经过NAT出去,不必要再经过总部的VPN服务器再转出去,减少中间不必要的网络流量与时延。
保证远程用户访问内网与访问internet的双重需求,使网络访问变得更简易灵活。
easy虽说是容易,但它的easy看起来只是使客户端的配置变得简省,把一些策略的推送由vpnserver动态去处理,所以把些复杂的事情交给了vpnserver而已。
但客户也并不是没有复杂的配置,其实vpnclient软件本来就内置了一些策略,只是用户不可见罢了,所以只要填写一些必要的一些信息如:
内部vpn服务器IP,进入内网访问凭据。
Top如上:
注意:
1,在做本实验的时候,请把VPNclient软件放在虚拟机的PC里边,如果是用本机来做remoteVPN客户端,很可能只能ping能或说互联到公网,不能ping通内网用户,实验是不能成功。
2,由于本实验两个VPN网关都存在NAT穿越,所以在定义转换集的时候最好不要用AH认证。
因为NAT穿越会修改源目地址。
配置:
ezvpnserver#showrun
hostnameR1
aaanew-model//开启AAA
aaaauthenticationloginccielocal/AAA登陆本地认证
aaaauthorizationnetworkccielocal/AAA网络接入本地授权
ipcef
noipdomainlookup
usernameciscopassword0cisco/本地认证授权数据库账户
cryptoisakmppolicy10/定义IKE策略-第一阶段
encr3des
hashmd5/对于软件客户端必须要用MD5
authenticationpre-share
group2
cryptoisakmpclientconfigurationgroupclient/配置客户端推送策略
keyccnp
dns202.1.1.1
domain
poolpool
acl101/隧道分离ACL
save-password/保存密码,客户可以不必每次开启时输入验证信息
netmask255.255.255.0
cryptoipsectransform-setmysetesp-3desesp-sha-hmac/定义转换集,IKE 1.5阶段
cryptodynamic-mapmap10/由于远程用户是移动的,所以要定义动态MAP
settransform-setmyset
reverse-route/开启反向路由注入,指向动态分配客户端网络的地址,下一跳为vpnpeer地址
cryptomapmymapclientauthenticationlistccie/定义加密图,IKE第二阶段
cryptomapmymapisakmpauthorizationlistccie
cryptomapmymapclientconfigurationaddressrespond
cryptomapmymap10ipsec-isakmpdynamicmap
interfaceLoopback0
ipaddress192.168.2.1255.255.255.0
ipnatinside
interfaceLoopback1
ipaddress192.168.6.1255.255.255.0
!
interfaceFastEthernet0/0
ipaddress202.1.1.1255.255.255.0
ipnatoutside
cryptomapmymap/接口下应用加密图
iplocalpoolpool192.168.5.1192.168.5.10/定义本地为远程用户自动分配的地址池范围。
ipclassless
iproute0.0.0.00.0.0.0FastEthernet0/0/总部一条指向公网的默认路由
ipnatinsidesourcelist102interfaceFastEthernet0/0overload内网用户PAT
Access-list102deny192.168.2.00.0.0.255192.168.5.00.0.0.255
access-list102permitipanyany/PAT转换除了vpn之间的两个网段不用NAT转换。
internet配置:
hostnameR2
ipcef
noipdomainlookup
interfaceFastEthernet0/0
ipaddress202.1.1.2255.255.255.0
interfaceFastEthernet0/1
ipaddress202.1.2.1255.255.255.0
客户端网关:
R3#showrun
hostnameR3
ipcef
noipdomainlookup
interfaceFastEthernet0/0
ipaddress192.168.4.1255.255.255.0
ipnatinside
interfaceFastEthernet0/1
ipaddress202.1.2.2255.255.255.0
ipnatoutside
ipclassless
iproute0.0.0.00.0.0.0FastEthernet0/1
ipnatinsidesourcelist1interfaceFastEthernet0/1overload
access-list1permit192.168.4.00.0.0.255
客户端ciscovpnclient配置:
首先把虚拟机里的PC地址设置成远程网络内网地址,然后内网地址要有连通总部出口路由器地址的条件。
然后VPN才能建立,
安装好vpnclient后,就可以new新建一个VPN连接了,如下:
写好groupname,与key。
点击确定就可以进行连接了:
如果连接到了VPN网关的时候,就可以进行认证了:
写好之前AAA定义的本地用户名与密码,保存OK:
如果策略都没问题,那么隧道协商成功后就可以建立VPN了,可以看到右下角那把锁合上了:
这样VPN连接成功!
我们可以看客户端软件统计的协商信息:
还可以看到隧道分离本地网络:
测试:
1,是否获取了VPN地址?
Ethernetadapter本地连接2:
Connection-specificDNSSuffix .:
Description...........:
CiscoSystemsVPNAdapter
PhysicalAddress.........:
00-05-9A-3C-78-00
DhcpEnabled...........:
No
IPAddress............:
192.168.5.1
SubnetMask...........:
255.255.255.0
DefaultGateway.........:
DNSServers...........:
202.1.1.1
C:
\DocumentsandSettings\Administrator>
2,是否能访问内网用户,并且是不是走的VPN:
C:
\DocumentsandSettings\Administrator>tracert192.168.2.1
Tracingrouteto192.168.2.1overamaximumof30hops
1 366ms 505ms 415ms 192.168.2.1/如果内网地址发往客户端的数据也经过NAT,那么下一跳就是VPN peer地址,不再是主机地址了!
!
!
Tracecomplete.
C:
\DocumentsandSettings\Administrator>
C:
\DocumentsandSettings\Administrator>tracert202.1.1.1
Tracingrouteto202.1.1.1overamaximumof30hops
1 85ms 77ms 46ms 192.168.4.1
2 234ms 186ms 249ms 202.1.2.1
3 373ms 343ms 468ms 202.1.1.1
Tracecomplete.
很明显,访问内网时,走的VPN,所以下一跳直接是内网主机地址,而不走VPN的时候,却是要经过NAT转换之后再到达目的地。
而且不能访问内网。
3,是否有加解密数据?
R1#showcryptoipsecsa
interface:
FastEthernet0/0
Cryptomaptag:
mymap,localaddr202.1.1.1
protectedvrf:
(none)
local ident(addr/mask/prot/port):
(0.0.0.0/0.0.0.0/0/0)
remoteident(addr/mask/prot/port):
(192.168.5.1/255.255.255.255/0/0)
current_peer202.1.2.2port1054
PERMIT,flags={}
#pktsencaps:
25,#pktsencrypt:
25,#pktsdigest:
25
#pktsdecaps:
25,#pktsdecrypt:
25,#pktsverify:
25
#pktscompressed:
0,#pktsdecompressed:
0
#pktsnotcompressed:
0,#pktscompr.failed:
0
#pktsnotdecompressed:
0,#pktsdecompressfailed:
0
#senderrors0,#recverrors0
localcryptoendpt.:
202.1.1.1,remotecryptoendpt.:
202.1.2.2
pathmtu1500,ipmtu1500
currentoutboundspi:
0x4D308FB9(1295028153)
inboundespsas:
spi:
0xCF97304F(3482792015)
transform:
esp-3desesp-sha-hmac,
inusesettings={TunnelUDP-Encaps,}
connid:
2001,flow_id:
SW:
1,cryptomap:
mymap
satiming:
remainingkeylifetime(k/sec):
(4393775/2742)
IVsize:
8bytes
replaydetectionsupport:
Y
Status:
ACTIVE
inboundahsas:
inboundpcpsas:
outboundespsas:
spi:
0x4D308FB9(1295028153)
transform:
esp-3desesp-sha-hmac,
inusesettings={TunnelUDP-Encaps,}
connid:
2002,flow_id:
SW:
2,cryptomap:
mymap
satiming:
remainingkeylifetime(k/sec):
(4393775/2742)
IVsize:
8bytes
replaydetectionsupport:
Y
Status:
ACTIVE
outboundahsas:
outboundpcpsas:
R1#showcryptoisakmp sa
dst src state conn-idslotstatus
202.1.1.1 202.1.2.2 QM_IDLE 1 0ACTIVE
这样经过隧道分离后,VPN远程用户即可以访问internet也可以访问指定的内网网络了。