低成本 高安全 某集团VPN组网案例.docx

低成本 高安全 某集团VPN组网案例.docx

《低成本 高安全 某集团VPN组网案例.docx》由会员分享，可在线阅读，更多相关《低成本 高安全 某集团VPN组网案例.docx（21页珍藏版）》请在冰豆网上搜索。

低成本高安全某集团VPN组网案例

泰达集团IT网络服务中心作为泰达集团的IT核心运行部门，不仅承担着集团及其他分公司的IT维护、升级和培训工作，还作为泰达集团运营网络的核心而存在。

此次VPN的组网是由IT网络服务中心提出实施的要求。

泰达集团的网络系统具有应用种类复杂、地理位置分散、业务重和高安全等特点。

   最初，集团总部和分公司、办事处在互相通信时采用了专线技术后，由于费用一直很高，仅仅和几家分公司实施了连接，而且对IT服务中心的工作人员也有很高的技术要求，需要技术人员既了解广域网技术又要了解局域网技术。

经过一段时间的考查后，为了保证集团总部和各分公司、办事处的通信都能正常进行，而且还要达到"低成本、高安全"的目的，决定使用IPsecVPN技术来完成该任务。

   1 项目分析

   泰达集团总部有一栋大厦，员工人数大约1500人，在全国设有4个分公司（上海、广州、重庆和西安），12个办事处（全国其他省市一级市）。

集团总部、分公司和办事处都有到当地ISP的连接。

集团采用多种应用来完成公司信息化的运转，总部财务统一处理机制、上海研发分公司、重庆制作分公司、分散的人事系统和统一的CRM系统等。

为完成上述应用，需要保证集团同分公司、办事处之间畅通的通信。

在保证畅通的前提下，集团总部提出要考虑通信的安全性问题和降低通信费用问题。

   泰达集团有较多的分公司和办事处，这些分公司和办事处的地理位置分散、IT服务人员技术水平参差不齐及各地应用不尽相同等因素一直困扰着该集团。

而VPN技术发展到今天，越来越多的企业在使用VPN技术来完成异地同网间的通信。

VPN技术已经成为一个庞大的远程通信技术，在其中既有站点到站点之间的VPN技术，也有客户端到VPNServer的VPN技术，还有目前在因特网中应用最为广泛的MPLSVPN技术。

那么，在这么多VPN技术中如何为泰达集团选择站点到站点之间的IPsecVPN，实施在总部、分公司和办事处之间，达到多应用、高安全、低成本的要求。

   1．多应用流量的问题

   在泰达集团的网络中流传着大量的应用数据，有公司日常办公流量（邮件、OA软件等），还有其他的一些应用系统（公司内部研发系统、CRM、人事管理系统和集中财务管理系统等），这么多的流量在因特网中传递，传递的方向、传递的技术都是在实施VPN之前需要考虑的问题

   2．高安全性的问题

   很多的应用数据需要在因特网中传递，但我们都知道因特网是一个没有安全性的网络。

泰达集团这些内部的数据在传递时必须考虑安全问题。

为最大限度保证数据传递的安全性，需要采取强大的身份验证和加密机制。

身份验证目前比较流行的是：

AAA技术，一般采用HASH算法来完成。

加密机制目前有DES、3DES和AES等算法来完成。

   3．低成本的问题

   大家都知道，任何一个企业都希望用最少的资金，完成最大的收益。

泰达集团的网络连接费用一直高居不下，很大程度是由于最初使用的专线技术而造成的。

当VPN技术越来越成熟时，低成本将是一个很容易解决的问题。

   2 项目实施技术剖析

   通过前面的学习，已经了解到VPN技术完全能够解决泰达集团的多应用、高安全、低成本的要求，泰达集团的网络结构如图14-7所示。

VPN组网图

   1．VPN实施前的规划

   VPN在实施前的规划其实是最重要的工作。

在实施泰达集团VPN连接方案前，需要进行大量的调查工作，包括对集团总部和分支机构的设备型号、设备配置、设备IOS版本、技术支持能力和设备对加密算法的支持等内容。

这些内容的调查将保证在实施VPN时顺利有效地完成。

需要再次提醒网络管理员，一个VPN实施的命令相对容易理解，但要完成一个有效、优化的VPN，规划就起着决定性的作用。

   2．VPN的ISAKMP阶段

   在完成规划后，可以进行VPNISAKMP阶段的实施。

VPN的站点到站点之间的实施在这一阶段中需要完成VPN功能的启用、第一阶段策略的建立、身份验证方法的定义、加密算法的确定、密钥交换方法的明确、HASH算法的设置、链路存活时间的设置、站点标识的实现及预先共享验证方法等。

在这一阶段中需要在站点之间进行上述内容的一致性检查。

在保证一致性后，才能有效地建立链路。

   3．VPN的IPsec阶段

   在完成第1阶段后，VPN的第2阶段工作就要开展了。

在这一阶段中，出现问题的概率最高。

所以提醒网络管理员在配置时一定要注意。

在这一阶段中将完成转换器的定义、第2阶段链路的存活时间、VPN流量的定义、映射的建立、对等体的明确和映射的实施。

这个阶段的工作在第1阶段的所有参数协商成功后，才能起作用。

这个阶段涉及到的参数比较多，同样也要保证参数的一致性。

具体的参数设置将在14.2.2节中介绍。

   4．VPN的验证

   这是在VPN配置完成后，利用本章前面的验证命令来检测搭建的VPN是否能正常有效地工作。

这一阶段难度较大，尤其是在VPN无法正常工作时的排错。

泰达集团VPN实施步骤

   考虑到各个站点的相同性，在具体实例讲解中选取了经典3站点的配置。

如果网络管理员在工作中遇到超过3个站点，参照此配置即可。

3个站点之间的VPN线路的实施可以说涵盖了同VPN相关的全部知识，在具体的实例中会按照每站点方式来实现。

泰达集团3站点配置拓扑如图1所示。

泰达集团VPN实施部分拓扑（选取3站方式）

   北京总部的路由器命令为Routerbj，具体步骤配置如下。

   Routerbj（config）#cryptoisakmpenable

   Routerbj（config）#cryptoisakmppolicy110

   Routerbj（config-isakmp）#authenticationpre-share

   Routerbj（config-isakmp）#encryptiondes

   Routerbj（config-isakmp）#group1

   Routerbj（config-isakmp）#hashmd5

   Routerbj（config-isakmp）#lifetime86400

   Routerbj（config-isakmp）#exit

   Routerbj（config）#ryptoisakmpidentityaddress

   Routerbj（config）#cryptoisakmpkeycisco1234address172.30.2.2

   Routerbj（config）#cryptoisakmpkeycisco1234address172.30.3.2

   Routerbj（config）#cryptoIPsectransformmineesp-des

   Routerbj（config）#cryptomapmymap10IPsec-isakmp

   Routerbj（config-crypto-map）#setpeer172.30.2.2

   Routerbj（config-crypto-map）#setpeer172.30.3.2

   Routerbj（config-crypto-map）#settransform-setmine

   Routerbj（config-crypto-map）#matchaddress110

   Routerbj（config-crypto-map）#exit

   Routerbj（config）#access-list110permittcp10.0.1.00.0.0.25510.0.2.00.0.0.255

   Routerbj（config）#access-list110permittcp10.0.1.00.0.0.25510.0.3.00.0.0.255

   Routerbj（config）#interfaceEthernet0/1

   Routerbj（config-if）#cryptomapmymap

   上海分支机构的路由器命令为Routersh，具体步骤配置如下。

   Routersh（config）#cryptoisakmpenable

   Routersh（config）#cryptoisakmppolicy110

   Routersh（config-isakmp）#authenticationpre-share

   Routersh（config-isakmp）#encryptiondes

   Routersh（config-isakmp）#group1

   Routersh（config-isakmp）#hashmd5

   Routersh（config-isakmp）#lifetime86400

   Routersh（config-isakmp）#exit

   Routersh（config）#ryptoisakmpidentityaddress

   Routersh（config）#cryptoisakmpkeycisco1234address172.30.1.2

   Routersh（config）#cryptoIPsectransformmineesp-des

   Routersh（config）#cryptomapmymap10IPsec-isakmp

   Routersh（config-crypto-map）#setpeer172.30.1.2

   Routersh（config-crypto-map）#settransform-setmine

   Routersh（config-crypto-map）#matchaddress110

   Routersh（config-crypto-map）#exit

   Routersh（config）#access-list110permittcp 10.0.2.00.0.0.25510.0.1.00.0.0.255

   Routersh（config）#interfaceEthernet0/1

   Routersh（config-if）#cryptomapmymap

   西安分支机构的路由器命令为Routerxa，具体步骤配置如下。

 Routerxa（config）#cryptoisakmpenable

   Routerxa（config）#cryptoisakmppolicy110

   Routerxa（config-isakmp）#authenticationpre-share

   Routerxa（config-isakmp）#encryptiondes

   Routerxa（config-isakmp）#group1

   Routerxa（config-isakmp）#hashmd5

   Routerxa（config-isakmp）#lifetime86400

   Routerxa（config-isakmp）#exit

   Routerxa（config）#ryptoisakmpidentityaddress

   Routerxa（config）#cryptoisakmpkeycisco1234address172.30.1.2

   Routerxa（config）#cryptoIPsectransformmineesp-des

   Routerxa（config）#cryptomapmymap10IPsec-isakmp

   Routerxa（config-crypto-map）#setpeer172.30.1.2

   Routerxa（config-crypto-map）#settransform-setmine

   Routerxa（config-crypto-map）#matchaddress110

   Routerxa（config-crypto-map）#exit

   Routerxa（config）#access-list110permittcp 10.0.3.00.0.0.25510.0.1.00.0.0.255

   Routerxa（config）#interfaceEthernet0/1

   Routerxa（config-if）#cryptomapmymap

   至此，一个3站点VPN的配置完成。

   这个实例的难点在于如何确认哪些流量在通过线路时能够启用VPN的通信，它们的关键在于ACL的定义。

第11章用大量的篇幅介绍了ACL技术，但ACL中的Permit和Deny两个动作在VPN中发生了变化，不再是允许通过和拒绝通过的概念。

   在VPN中，Permit代表该流量需要加密传递，换另外一种说法，就是对该流量使用VPN链路传递；Deny代表该流量不需要加密传递，不对该流量使用VPN链路传递。

所以请网络管理员在使用ACL时需要注意此处的定义。

EasyVPN的配置

   本节之前介绍的案例是站点到站点VPN，实现站点到站点的VPN和远距离工作者或工作在外的员工所使用的远程访问类型的VPN不同的是：

站点到站点VPN利用连接两端的网关，（Internet上）网关到网关的流量是加密的。

   为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN，是不是也要配置那么多的命令和参数呢？

很多用户会提出有没有简单点的VPN配置来完成这样的要求。

本节介绍一种简单的VPN配置，即EasyVPN。

    EasyVPN概述

   从EasyVPN的名字上就知道这应该是个简单的VPN应用技术。

EasyVPN分为EasyVPNServer和EasyVPNRemote两种。

EasyVPNServer是Remote－AccessVPN专业设备，配置复杂，支持PolicyPushing等特性。

现在的900、1700、Pix、Vpn3002和ASA等很多设备都支持。

   而EasyVPNRemote就是专门为了小的分支机构所设计的，一般情况下，小分支接口的网络管理员的水平没有那么高，不可能去配置一堆复杂命令来实现Site－to－SiteVPN，这时候，只需要通过EasyVPNRemote这个特性配置几条简单的命令，就可以Site－to－SiteVPN。

所有的配置都在Server端来完成，Client的VPN配置都由Server端采用"推"的方式应用到分支机构的设备上。

这种技术极大地避免了分支机构配置VPN失败的问题。

但这种VPN不支持路由，不支持组播，只能在IP协议下工作，不支持状态故障切换等技术。

所以，需要网络管理员在自己的实际工作中留意这些功能是否需要，再决定是否实施EasyVPN技术。

   基于命令行的EasyVPN配置实例

   下面介绍一个基于IOS命令行的EasyVPNServer/Remote配置实例，如图2所示。

EasyVPN接入

   RouterServer的配置如下。

 cryptoisakmppolicy1

   　　encryption3des

   　　authenticationpre-share

   　　group2

   cryptoisakmpclientconfigurationaddress-poollocalpool192

   iplocalpoolpool192192.168.1.1192.168.1.254

   cryptoisakmpclientconfigurationgroupvclient-group

   　　keyvclient-key

   　　domain

   　　poolpool192

   　　cryptoIPsectransform-setvclient-tfsesp-3desesp-sha-hmac

   cryptodynamic-maptemplate-map1

   　　settransform-setvclient-tfs

   cryptomapvpnmapisakmpauthorizationlistvclient-group

   　　cryptomapvpnmapclientconfigurationaddressrespond

   　　cryptomapvpnmap1IPsec-isakmpdynamictemplate-map

   　　interfaceLoopback0

   　　ipaddress172.16.1.1255.255.255.240

   　　interfaceFastEthernet0

   　　ipaddress10.130.23.246255.255.255.240

   　　cryptomapvpnmap

   　　iproute192.168.1.0255.255.255.0FastEthernet0

   　　showcryisakmpsa

   　　showcryIPsecsa

   　　clearcrysa

   　　clearcryisakmp

   　　debugcryisakmp

   debugcryIPsec　　

基于SDM的EasyVPN配置实例

   EasyVPN的配置大部分工作都在VPNServer上完成，减轻了配置工作。

在Cisco的设备中，比如，1800系列、2800系列和3800路由器系列，可以不使用命令的方式来完成配置。

在这些新系列的设备上可以用SDM（思科路由器和安全设备管理器）软件来配置。

   1．CiscoSDM

   CiscoSDM是一种直观且基于Web的设备管理工具，用来管理以CiscoIOS?

软件为基础的路由器。

CiscoSDM可通过智能向导简化路由器及安全配置过程，对于客户及Cisco合作伙伴而言，有了这些向导，不必对命令行接口（CLI）有专门的了解，就能快速便捷地部署、配置和监控CiscoSystems路由器。

   SDM在设备上默认HTTPS管理IP是10.0.10.1。

所以如果使用默认配置登录的话，一定要保证PC的地址在10.0.10.0网段。

SDM的默认用户名是cisco，密码也是cisco。

   SDM程序既可以安装在PC上，也可以安装在路由器上。

安装在PC上能节约路由器的内存并且可以用它来管理其他支持SDM管理的路由器，但是这种模式下不能执行恢复默认的操作。

安装到路由器时，基本安装需要大约4~5MB的Flash空间，CiscoSDMExpress组件需要1.5MB的Flash空间，只用于路由器的初始化配置无须安装。

   提示：

IE默认禁止网页访问本机资源，需要修改IE的安全设置。

选择IE"工具"菜单，选择"Internet选项"，切换到"高级"选项卡，在"设置"里找到"允许活动内容在我的计算机上运行"，启用该功能；另外在"隐私"选项卡中取消"打开窗口阻止程序"选项。

   SDM下载地址为1.5，如果尚未安装，可以到Sun公司网站下载。

   将SDM安装到路由器之后，路由器必须进行以下配置才能支持SDM管理工具。

   iphttpserver      //允许HTTP登录

   iphttpsserver      //允许HTTPS登录

   iphttpauthenticationlocal    //指定本地认证

   iphttptimeout-policyidleidle-numberlifelife-numberrequestrequest-number  //修改Web接口超时参数

   userusernameprivilege15secret0secret  //必须是Secret，不可以用Password关键字

   如果需要Telnet或者Ssh远程登录设备，则增加以下配置命令。

   linevty04   //路由器型号不同VTY的数量也不同

   loginlocal

   transportinputtelnetssh //允许Telnet和Ssh

   如果以上步骤配置正确完整，则在IE中输入http:

//"路由器IP地址"，就可以开始使用SDM了。

如果是第一次登录SDM，则提示修改默认用户名cisco，以及默认密码cisco。

   提示：

具体启用配置SDM软件的方法，请查阅产品随机手册和思科网站上的相关信息，相关资料。

使用SDM配置VPN的前提是要能保证配置端可以通过HTTPS访问路由器的Web管理界面。

值得庆幸的是SDM如今已经支持中文版本。

   2．SDM配置EasyVPN的步骤

   下面介绍使用思科安全设备管理器（SDM）将Cisco路由器配置成EasyVPNServer。

一旦思科路由器配置完成后，可以使用思科VPN客户端（CiscoSystemsVPNClient）进行验证。

   第1步：

从左侧主操作窗口选择Configure→VPN→EasyVPNServer，然后单击LaunchEasyVPNServerWizard，启动EasyVPN服务器向导，如图3所示。

LaunchEasyVPNServerWizard

    第2步：

在弹出的对话框单击【Yes】按钮，这里提示如果对路由器配置EasyVPNServer需要启用AAA认证。

请单击【Yes】按钮继续进行配置，如图14-11所示。

   如图4-5所示，表示路由器已经成功启用AAA。

单击【OK】按钮，下面可以轻松地配置VPN服务器了。

启用AAA提示

确认AAA配置完成

   第3步：

正式进入EasyVPN配置向导，图6所示显示了配置过程需要选择的配置和启动的服务，单击【下一步】按钮。

   第4步：

首先要求选择应用EasyVPN的接口，客户端连接终止及身份验证的方法，如图7所示。

EasyVPN配置向导

启动VPN接口和认证类型

第5步：

单击【下一步】按钮，将配置Internet密钥交换（IKE）的策略，单击【Add】按钮，添加新的策略