*** (一) IPSec 站点到站点的***51CTO博客 - 牛牛娱乐

*** (一) IPSec 站点到站点的***51CTO博客

2019年03月30日13时14分30秒 | 作者: 诗珊 | 标签: 装备,站点,需求 | 浏览: 1470

 

跟着网络的飞速发展,只是确保网络通讯现已不能满意企业需求,高效,安全的需求也随之而来。跟着这些需求越来越高,然后产生了***(虚拟专用网络)技能。

依据需求***技能分为两类

1. 站点到站点的***

站点到站点的***用来完结两个私有网络的通讯,逻辑大将两个私有网络构成一个局域网,以私有地址相互拜访。这种形式一般运用于企业的总部和分部。

2. 长途拜访***

长途拜访***用于针对一些长时间出差的人员,也需求拜访企业内部资源,一起需求确保安全,这时分运用长途拜访***技能让职工经过虚拟专用网络拜访内部网络资源。

可想而知,***技能完结了在Internet上树立虚拟专用网络,经过加密的方法,完结逻辑上阻隔,然后完结安全的传输。

本章评论的IPSec ***,归于站点到站点的***。树立这种***衔接,需求3个进程。

1  流量触发

***网关之间传输流量,会触发***树立衔接,当没有流量的时分是不会搁置的。

2  树立办理链接

这是一个洽谈的进程,两台***网关直接洽谈运用何种加密算法,怎么完结身份验证等等。

3  树立数据衔接

下面,咱们经过详细事例来阐明***完结的进程。

拓扑:

咱们运用RA模仿上海总公司,RB模仿ISP,RC和RD别离模仿两个分公司,而且每个分公司衔接一台PC测验。

需求:

不能经过路由完结网络连通,那么只在路由器上装备默许路由指向ISP路由器即可,而ISP路由器上只装备IP地址,所以默许3台PC是不能通讯的,当总公司RA和RD,RC别离树立***之后,RA的PC就能够跟其他两台PC通讯了。

IP地址规划

PC1   IP  192.168.1.10  网关  192.168.1.1

PC2   IP  192.168.2.10  网关  192.168.2.1

PC3   IP  192.168.3.10  网关  192.168.3.1

RA   F0/1  192.168.1.1   F0/0  200.1.1.1

RB   F0/1  200.1.1.2   F0/0  201.1.1.1  F0/2  202.1.1.1

RC   F0/1  201.1.1.2   F0/0  192.168.2.1

RD   F0/0  202.1.1.2   F0/1  192.168.3.1

详细装备进程:

虚拟PC,IP装备

RA IP地址装备

RB IP地址装备

RC IP装备

RD  IP装备

由于做了默许路由,路由器直接应该是相互能够通讯的。(***网关有必要能通讯才干完结)

RA的***装备

上图是第一阶段办理衔接的装备,下面咱们一条一条看这些详细设置的是什么。

RA(config)#crypto isakmp policy 1        树立办理衔接战略

RA(config-isakmp)#encryption aes        用于身份验证选用的加密算法

RA(config-isakmp)#hash md5            验证进程中选用HMAC功用

RA(config-isakmp)#authentication pre-share    设备身份验证方法的选定

RA(config-isakmp)#group 1              DH组

RA(config-isakmp)#lifetime 86400         生计周期

RA(config-isakmp)#exit

RA(config)#crypto isakmp key 0 cicso address 201.1.1.2 255.255.255.0

RA(config)#crypto isakmp key 0 cicso address 202.1.1.2 255.255.255.0  装备预同享密钥,由于要衔接两个分公司,所以需求创立两个。

相同来逐个解释一下指令的意义

RA(config)#$ 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   创立拜访操控列表 装备答应哪些网络归于这个***

RA(config)#$ 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

RA(config)#crypto ipsec transform-set tr esp-des ah-md5-hmac  装备相匹配的传输集

RA(cfg-crypto-trans)#mode tunnel      装备为地道形式的***

RA(cfg-crypto-trans)#exit

RA(config)#crypto map map 1 ipsec-isakmp    装备地图(用来对应不同的***,不同的peer上对应不同的ACL)

% NOTE: This new crypto map will remain disabled until a peer

        and a valid access list have been configured.

RA(config-crypto-map)#match address 101   套用ACL 101

RA(config-crypto-map)#set peer 201.1.1.2    对应peer  201.1.1.2

RA(config-crypto-map)#set transform-set tr   所运用的传输集

RA(config-crypto-map)#exit

RA(config)#crypto map map 2 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

        and a valid access list have been configured.

RA(config-crypto-map)#match address 102

RA(config-crypto-map)#set peer 202.1.1.2

RA(config-crypto-map)#set transform-set tr

RA(config-crypto-map)#exit

RA(config-if)#crypto map map   最终在接口运用。

接下来所做的装备如RA相同,在RC,RD上装备与RA装备相对应的装备。(加密方法以及预同享密钥需求相同)

装备完结之后进行测验,PC2和PC3能够与PC1进行通讯了。

***(二)  NAT豁免与NAT-T

在IPSec ***(一)中,咱们介绍了运用路由器树立站点到站点的IPsec ***,***是树立起来了,但要完结企业内部完好的需求仍是不行的,其间还有一些问题的存在。

1. 当PAT与***在一台设备上

一般,咱们运用PAT完结企业内部同享上网,运用***完结虚拟专用网络,那么在它们一起运用的时分,会呈现什么情况呢。在NAT时,咱们会界说拜访操控列表。

Access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (***)

Access-list 102 permit ip any any (NAT)

这儿两个操控列表产生了交集,在运用的时分,***作业就会不正常,需求装备NAT豁免来处理这一问题。(NAT豁免是处理抵触的理念,而不是技能)

Access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Access-list 101 permit ip any any (NAT)

经过这两条拜访操控列表,使走***的地址不走NAT道路,完结豁免。

2. 当PAT和***不在一台设备上。

当不在一台设备上时,需求运用nat穿越技能来完结,这也是本章详细要评论的问题。

拓扑:

如图,中心的路由器为NAT,左面为***服务器,这儿运用ASA防火墙来替代,也趁便学习怎么在ASA上装备***,RA为ASA的peer。相同运用PC1,PC2来做最终的验证。

IP散布:

PC1  IP  192.168.1.10   网关  192.168.1.1

PC2  IP  192.168.2.10   网关  192.168.2.1

ASA  F1/0  192.168.1.1  F0/0  200.1.1.1

NAT  F1/0  200.1.1.2    F0/0  201.1.1.1

RA   F1/0  201.1.1.2    F0/0  192.168.2.1

装备进程

ASA IP地址装备

ASA装备一条默许路由,确保通讯

ASA装备***详细进程,进程的意义和在路由器上迥然不同,这儿不多做介绍了

数据衔接的装备

NAT服务器的装备

请注意下图最终两条指令,从overload能够看出这是做了PAT同享上网,而下面两条static nat是用于对***服务器的发布,经过了静态NAT的形式,完结了NAT-T (NAT穿越)的功用。

路由器RA ***的装备。

VPC的装备。

将上述装备完结之后,能够发现,从PC1既能够经过***拜访PC2,也能够经过NAT拜访201.1.1.2 外部地址。

***(三)根据ASA完结easy *** (软件client端)

在前两节的内容中,咱们一直在介绍站点到站点之间的***,这种一般运用在总公司与分公司之间,而***还包含长途拜访***,这种***一般针对移动用户来完结的。移动用户只需求衔接到internet,就能够经过衔接***服务器接入企业内部网络。这儿的***服务器也能够完结上章说到的***豁免,这儿面称为别离地道。

拓扑如下:

详细装备如下:

    咱们运用ASA防火墙来完结此功用,这儿是IP地址的装备。

装备认证口令,以及办理衔接。

装备地址池和别离地道

界说policy,在其间启用别离地道。

树立地道组

树立传输集和动态地图,并在端口上运用。

然后在外网用户上装置 cisco *** client 软件,进行衔接。翻开东西,挑选new选项卡。

输入host,***服务器的地址,和界说的***地道组名和预同享密钥。

保存之后挑选衔接。

衔接进程中需求咱们输入口令,这儿装备的是cisco,输入完之后进行测验。

PC2能够和内网通讯了。

***(四)easy *** 硬件客户端

有的时分咱们在运用长途拜访***的时分,不一定针对移动用户,如小型的分公司也需求拜访企业内部资源的时分,则需求进行树立长途拜访***来确保安全,可是假如每台核算机上都装置软件关于职工难度较大,而且非常费事,那么咱们会在这些核算机的前端路由器上装置硬件客户端来完结。所以硬件客户端与软件的差异便是在客户端的前端路由器上装备,对PC是彻底通明的,能够直接挑选进行***的拜访。

以下是拓扑:

    服务器端的装备如上一章节软件客户端的装备相同,只不过这儿运用的是路由器而不是ASA,就不多做介绍了。

以上的内容在上一章节都说到了,这儿就不多做介绍,而下面则是硬件客户端的装备。

在硬件客户端也只需求咱们简略装备,指定peer,预同享密钥等信息,完结之后***衔接还没有正式树立起来,记住软件客户端中需求输入帐户暗码之后才干树立么,在这儿也是相同的,输入crypto ipsec client ez*** xauth之后,输入username 和 Password才干正式衔接,而且每次衔接都需求从头输入。

树立成功之后咱们配上虚拟PC的IP地址进行测验。

    上图现已显现测验成功,可是假如每次衔接都需求在路由器上进行设置是很杂乱费事的,那么咱们能够在***服务器上设置保存衔接,如下指令,当这样设置之后,当***_group这个组进行衔接的时分就会保存username 和password 再次衔接则能够直接进行了。

以上内容为长途拜访***的硬件客户端形式。

***(五)SSL长途拜访***

Easy ***现已能够完结移动用户和小型分公司的问题了,可是假如企业内部的出售人员去其他公司做说明,那么一般是不会费事的去在对方核算机上安全软件的,那么SSL长途拜访***就会处理这一问题,直接经过翻开web的方法,直接进行***衔接。

试验拓扑如下:

首要进行IP地址的装备。

假如easy ***,需求首要创立username 和password 进行最终的身份验证。设置之后还需求确认SVC软件的方位,SVC便是SSL客户端软件。

相同需求树立地道别离和地址池,防止和NAT抵触。

界说组战略。

树立地道组。

与easy ***最不相同的是SSL的客户端了,翻开IE浏览器,拜访***服务器的外网IP地址,而且输入username和password。

进入界面之后点击start anyconnect 安全客户端(这儿的装备是胖客户端装备,胖客户端能够支撑许多类型的衔接,而其他客户端功用比较短缺。)

当装置完结之后,右下角会有一个小钥匙,表明现已衔接成功。

测验。

以上内容是SSL长途拜访***的装备。

为了我们更好的学习和试验,将各种装备文件附在下面进行参阅。

Easy *** 根据 ASA

username cisco password cisco

crypto isakmp enable outside

crypto isakmp policy 10

encryption aes

hash sha

authentication pre-share

group 2

exit

ip local pool ***_pool 192.168.10.1-192.168.10.200

access-list split_tunnel permit ip 192.168.1.0 255.255.255.0 any

group-policy ***_group_policy internal

group-policy ***_group_policy attributes

split-tunnel-policy tunnelspecified

split-tunnel-network-list value split_tunnel

exit

tunnel-group ***_group type ipsec-ra

tunnel-group ***_group general-attributes

address-pool ***_pool

default-group-policy ***_group_policy

exit

tunnel-group ***_group ipsec-attributes

pre-shared-key groupkey

exit

crypto ipsec transform-set ***_transform esp-aes esp-sha-hmac

crypto dynamic-map ***_dymap 10 set transform-set ***_transform

crypto map mymap 1000 ipsec-isakmp dynamic ***_dymap

crypto map mymap int outside

easy ***根据路由器

aaa new-model

aaa authentication login ***_authen local

aaa authorization network ***_author local

username cisco password cisco

crypto isakmp policy 10

encryption aes 128

hash sha

authentication pre-share

group 2

exit

ip local pool ***_pool 192.168.10.1 192.168.10.200

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

crypto isakmp client configuration group ***_group

key groupkey

pool ***_pool

acl 101

exit

crypto ipsec transform-set ***_transform esp-aes esp-sha-hmac

exit

crypto dynamic-map ***_dymap 10

set transform-set ***_transform

exit

crypto map mymap client authentication list ***_authen

crypto map mymap isakmp authorization list ***_author

crypto map mymap client configuration address respond

crypto map mymap 1000 ipsec-isakmp dynamic ***_dymap

int f0/0

crypto map mymap

exit

ip route 0.0.0.0 0.0.0.0 200.1.1.2

easy *** 硬件客户端装备

crypto ipsec client ez*** myeasy***

connect auto

group ***_group key groupkey

mode network-extension

peer 20.1.1.1

username cisco password cisco

exit

int f0/0

crypto ipsec client ez*** myeasy*** inside

int f1/0

crypto ipsec client ez*** myeasy*** outside

exit

exit

crypto ipsec client ez*** xauth

//在服务器端做如下装备,答应硬件客户端存储XAUTH认证信息,就不用每次供给XAUTH认证

crypto isakmp client configuration group ***_group

save-password

exit

SSL 长途拜访***在ASA上的装备

username cisco password cisco

web***

enable outside

svc image disk0:/sslclient-win-1.1.3.173.pkg

svc enable

exit

ip local pool ***_pool 192.168.10.1-192.168.10.200

access-list split_tunnel permit ip 192.168.1.0 255.255.255.0 any

group-policy ***_group_policy internal

group-policy ***_group_policy attributes

***-tunnel-protocol web*** svc

split-tunnel-policy tunnelspecified

split-tunnel-network-list value split_tunnel

web***

svc ask enable

exit

exit

tunnel-group ***_group type web***

tunnel-group ***_group general-attributes

address-pool ***_pool

default-group-policy ***_group_policy

exit

tunnel-group ***_group web***-attributes

group-alias groups enable

exit

web***

tunnel-group-list enable

exit

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表牛牛娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章