【TechTarget中国原创】上一篇文章,我们学习到如何通过建立Cisco EzVPN网关来支持Network-to-network IPsec VPN拓扑。现在我们接着学习在Cisco EzVPN网关上支持全加密节点关系的硬件客户配置。
典型的硬件客户设备有四个配置元素:DHCP/DNS服务器配置、硬件客户配置、接口配置和IP路由配置。
与IOS IPsec配置不一样的是,硬件客户端不需要ISAKMP策略、转换集或者密码图定义。建立IPsec的网关链路只需要客户端配置。硬件客户配置利用了“内置的”ISAKMP和转换集定义。EzVPN支持20种不同的ISAKMP策略,它们使用AES、DES和3DES的加密方式和SHA 和MD5认证,但只支持Diffie-Hellman Group 2(1024位)密钥长度。这给管理员提供了加密和认证的灵活性,但是必须使用DH Group 2,否则ISAKMP阶段1协商就会失败。
转换集支持也提供多样认证和加密选择,而且限制很小。这表示只有支持带有加密和身份认证的ESP的转换集。这也就意味着它没有AH支持,同时也不能在VPN网关配置一个转换集有加密而没有认证的ESP。或者有认证而没有加密的ESP,这样你才可以得到一个成功的阶段2协商。上一篇文章中的VPN网关配置考虑到了这些规则,但很多其它的ISAKMP和转换集配置可以由硬件客户端实现和支持。现在我们就看看客户端配置:
DHCP/DNS服务配置
通过一个EZ-NEM远程办公配置,路由器(或者LAN路由交换机)通常适用于提供DHCP和DNS服务。或者可以配置一个本地服务器来提供这些服务。但是,这种类型的解决方法想法是通过固定服务而使支持和替换(如果需要)变得容易。下面是两个直接相连网络的DHCP范围和核心DNS服务器(172.30.40.101)的DNS代理服务以及四个Internet根DNS服务器定义的基本配置。
outlan-VPN-RTR(config)#ip dhcp pool vlan-100
outlan-VPN-RTR(dhcp-config)#network 172.30.100.0
255.255.255.0
outlan-VPN-RTR(dhcp-config)#default-router 172.30.100.1
outlan-VPN-RTR(dhcp-config)#dns-server 1.1.1.1
outlan-VPN-RTR(dhcp-config)#domain-name usr.outlan.net
outlan-VPN-RTR(dhcp-config)#exit
outlan-VPN-RTR(config)#ip dhcp excluded-address
172.30.100.1
outlan-VPN-RTR(config)#ip dhcp pool vlan-120
outlan-VPN-RTR(dhcp-config)#network 172.30.120.0
255.255.255.0
outlan-VPN-RTR(dhcp-config)#default-router 172.30.100.1
outlan-VPN-RTR(dhcp-config)#dns-server 1.1.1.1
outlan-VPN-RTR(dhcp-config)#domain-name usr.outlan.net
outlan-VPN-RTR(dhcp-config)#exit
outlan-VPN-RTR(config)# ip dhcp excluded-address
172.30.120.1
outlan-VPN-RTR(config)#ip domain-name outlan.net
outlan-VPN-RTR(config)#ip dns server
outlan-VPN-RTR(config)#ip name-server 172.30.40.101
outlan-VPN-RTR(config)#ip name-server 192.36.148.17
outlan-VPN-RTR(config)#ip name-server 192.112.36.4
outlan-VPN-RTR(config)#ip name-server 193.0.14.129
outlan-VPN-RTR(config)#ip name-server 198.32.64.12 |
硬件客户配置
硬件客户命名遵循与软件客户命名相当相似的格式。基础客户命名要求以下属性:
1. EzVPN客户端连接定义名字是通过这个命令设置的:<crypto ipsec client ezvpn {client name}>
2. ISAKMP组认证是通过这个命令设置的:<group {group-name} key {key string}>
3. 用于全天候远程位置连接的连接模式定义是通过这个命令设置的:<connect {auto | manual | acl {acl}}>
4. 客户模式定义是通过这个命令设置的:<mode {client network-extension}>
5. 主机(节点)定义允许定义多个。客户端以递减顺序与节点的连接,它是通过这个命令设置的:<peer {ip address | hostname}>
6. XAUTH用户和密码定义是通过这个命令设置的:<username {name} password {passwd}>
7. XAUTH身份触发器定义负责建立认证进程。一旦连接被触发,XAUTH证书就会被发送出去。这是通过这个命令设置的:<xauth userid mode {interactive | http-intercept | local}>
下面是一个语法例子,详细说明了硬件客户端连接定义的配置:
outlan-VPN-RTR(config)#crypto ipsec client ezvpn hard-client
outlan-VPN-RTR(config-crypto-ezvpn)#connect auto
outlan-VPN-RTR(config-crypto-ezvpn)#group hard-client-fc key supersecret
outlan-VPN-RTR(config-crypto-ezvpn)#username outlan-rtr1 password outlan-rtr1
outlan-VPN-RTR(config-crypto-ezvpn)#xauth userid mode local
outlan-VPN-RTR(config-crypto-ezvpn)#mode network-extension
outlan-VPN-RTR(config-crypto-ezvpn)#peer 190.55.2.98
outlan-VPN-RTR(config-crypto-ezvpn)#peer 45.240.90.194 |
8. 流量修正ACL是一个在硬件客户端路由器没有与任何必须保证安全的IP子网的接口连接的情况下使用的可选客户端定义。客户端硬件规定应通过一个流量修正ACL来包括这些子网。ACL遵循与“网关”流量ACL使用的一样的格式:Local Network -> Remote Network (any),这里本地网络是与硬件客户路由器相邻的,并且远程网络是可以通过VPN网关到达的。下面就是我们例子中的网络的ACL:
outlan-VPN-RTR(config)#access-list 140 permit ip 172.30.89.0 0.0.0.255 any
outlan-VPN-RTR(config)#access-list 140 permit ip 172.30.62.0 0.0.0.255 any |
一旦定义了ACL,在客户端定义中是使用客户端配置的这个子命令来引用的:<acl {acl name}>。
接口创建和指定
在定义好硬件客户模板后,接下来我们必须配置接口地址和指定本地子网加密客户端。类似于NAT,硬件客户端接口配置会指定“内部”和“外部”接口。为了成功激活策略,只能指定一个外部接口和至少一个内部接口:
outlan-VPN-RTR(config)#ip access-list extended VPN-IN
outlan-VPN-RTR(config-ext-nacl)# remark permit DHCP Client Traffic
outlan-VPN-RTR(config-ext-nacl)# permit udp any any eq bootpc
outlan-VPN-RTR(config-ext-nacl)# remark permit IPSEC Phase 1 Phase 2 traffic
outlan-VPN-RTR(config-ext-nacl)# permit esp host 190.55.2.98 any
outlan-VPN-RTR(config-ext-nacl)# permit udp host 190.55.2.98 any eq isakmp
outlan-VPN-RTR(config-ext-nacl)# permit esp host 45.240.90.194 any
outlan-VPN-RTR(config-ext-nacl)# permit udp host 45.240.90.194 any eq isakmp
outlan-VPN-RTR(config-ext-nacl)#exit
outlan-VPN-RTR(config)# interface FastEthernet0/0
outlan-VPN-RTR(config-if)#ip address dhcp
outlan-VPN-RTR(config-if)#ip access-group VPN-IN in
outlan-VPN-RTR(config-if)#crypto ipsec client ezvpn hard-client outside
outlan-VPN-RTR(config-if)#exit
outlan-VPN-RTR(config)# interface Vlan100
outlan-VPN-RTR(config-if)#ip address 172.30.100.1 255.255.255.0
outlan-VPN-RTR(config-if)#crypto ipsec client ezvpn hard-client inside
outlan-VPN-RTR(config-if)#exit
outlan-VPN-RTR(config)# interface Vlan120
outlan-VPN-RTR(config-if)#ip address 172.30.120.1 255.255.255.0
outlan-VPN-RTR(config-if)#crypto ipsec client ezvpn hard-client inside
outlan-VPN-RTR(config-if)#exit |
IP路由配置
这个例子中的路由配置非常简单。因为外部接口是由DHCP配置的,并且默认路由作为ISP提供的DHCP的一部分,所以不需要进行默认路由配置。更完美起见,我们可以设置DR到物理接口Fa0/0,但是这并不是必须的。同样简单的是,所有到达其中一个内部接口的流量都是加密并发送到VPN网关的。然而,我们的确需要提供一些路由逻辑给邻近的子网,在这些子网中客户也需要被保护。这可以通过一些静态路由实现:
outlan-VPN-RTR(config)# ip route 172.30.62.0 255.255.255.0 1.1.1.254
outlan-VPN-RTR(config)# ip route 172.30.89.0 255.255.255.0 1.1.1.254 |
通过在硬件客户端模板中设置“connect auto”,客户端会在接口指定并激活后,立刻打开与VPN网关的协商。如果你一直是你自己的网络中配置,你的客户端和VPN网关现在应该已经连接而且能够传输安全的流量了。
这些包括了所有全加密客户配置。