上一篇文章,我们学习到如何通过建立Cisco EzVPN网关来支持Network-to-network IPsec VPN拓扑。现在我们接着学习在Cisco EzVPN网关上支持全加密节点关系的硬件客户配置。 典型的硬件客户设备有四个配置元素:DHCP/DNS服务器配置、硬件客户配置、接口配置和IP路由配置。 与IOS IPsec配置不一样的是,硬件客户端不需要ISAKMP策略、转换集或者密码图定义。
建立IPsec的网关链路只需要客户端配置。硬件客户配置利用了“内置的”ISAKMP和转换集定义。EzVPN支持20种不同的ISAKMP策略,它们使用AES、DES和3DES的加密方式和SHA 和M……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
上一篇文章,我们学习到如何通过建立Cisco EzVPN网关来支持Network-to-network IPsec VPN拓扑。现在我们接着学习在Cisco EzVPN网关上支持全加密节点关系的硬件客户配置。
典型的硬件客户设备有四个配置元素:DHCP/DNS服务器配置、硬件客户配置、接口配置和IP路由配置。
与IOS IPsec配置不一样的是,硬件客户端不需要ISAKMP策略、转换集或者密码图定义。建立IPsec的网关链路只需要客户端配置。硬件客户配置利用了“内置的”ISAKMP和转换集定义。EzVPN支持20种不同的ISAKMP策略,它们使用AES、DES和3DES的加密方式和SHA 和MD5认证,但只支持Diffie-Hellman Group 2(1024位)密钥长度。这给管理员提供了加密和认证的灵活性,但是必须使用DH Group 2,否则ISAKMP阶段1协商就会失败。
转换集支持也提供多样认证和加密选择,而且限制很小。这表示只有支持带有加密和身份认证的ESP的转换集。这也就意味着它没有AH支持,同时也不能在VPN网关配置一个转换集有加密而没有认证的ESP。或者有认证而没有加密的ESP,这样你才可以得到一个成功的阶段2协商。上一篇文章中的VPN网关配置考虑到了这些规则,但很多其它的ISAKMP和转换集配置可以由硬件客户端实现和支持。现在我们就看看客户端配置:
DHCP/DNS服务配置
通过一个EZ-NEM远程办公配置,路由器(或者LAN路由交换机)通常适用于提供DHCP和DNS服务。或者可以配置一个本地服务器来提供这些服务。但是,这种类型的解决方法想法是通过固定服务而使支持和替换(如果需要)变得容易。下面是两个直接相连网络的DHCP范围和核心DNS服务器(172.30.40.101)的DNS代理服务以及四个Internet根DNS服务器定义的基本配置。
| outlan-VPN-RTR(config)#ip dhcp pool vlan-100 outlan-VPN-RTR(dhcp-config)#network 172.30.100.0 255.255.255.0 outlan-VPN-RTR(dhcp-config)#default-router 172.30.100.1 outlan-VPN-RTR(dhcp-config)#dns-server 1.1.1.1 outlan-VPN-RTR(dhcp-config)#domain-name usr.outlan.net outlan-VPN-RTR(dhcp-config)#exit outlan-VPN-RTR(config)#ip dhcp excluded-address 172.30.100.1 outlan-VPN-RTR(config)#ip dhcp pool vlan-120 outlan-VPN-RTR(dhcp-config)#network 172.30.120.0 255.255.255.0 outlan-VPN-RTR(dhcp-config)#default-router 172.30.100.1 outlan-VPN-RTR(dhcp-config)#dns-server 1.1.1.1 outlan-VPN-RTR(dhcp-config)#domain-name usr.outlan.net outlan-VPN-RTR(dhcp-config)#exit outlan-VPN-RTR(config)# ip dhcp excluded-address 172.30.120.1 outlan-VPN-RTR(config)#ip domain-name outlan.net outlan-VPN-RTR(config)#ip dns server outlan-VPN-RTR(config)#ip name-server 172.30.40.101 outlan-VPN-RTR(config)#ip name-server 192.36.148.17 outlan-VPN-RTR(config)#ip name-server 192.112.36.4 outlan-VPN-RTR(config)#ip name-server 193.0.14.129 outlan-VPN-RTR(config)#ip name-server 198.32.64.12 |
硬件客户配置
硬件客户命名遵循与软件客户命名相当相似的格式。基础客户命名要求以下属性:
1. EzVPN客户端连接定义名字是通过这个命令设置的:<crypto ipsec client ezvpn {client name}>
2. ISAKMP组认证是通过这个命令设置的:<group {group-name} key {key string}>
3. 用于全天候远程位置连接的连接模式定义是通过这个命令设置的:<connect {auto | manual | acl {acl}}>
4. 客户模式定义是通过这个命令设置的:<mode {client network-extension}>
5. 主机(节点)定义允许定义多个。客户端以递减顺序与节点的连接,它是通过这个命令设置的:<peer {ip address | hostname}>
6. XAUTH用户和密码定义是通过这个命令设置的:<username {name} password {passwd}>
7. XAUTH身份触发器定义负责建立认证进程。一旦连接被触发,XAUTH证书就会被发送出去。这是通过这个命令设置的:<xauth userid mode {interactive | http-intercept | local}>
下面是一个语法例子,详细说明了硬件客户端连接定义的配置:
| outlan-VPN-RTR(config)#crypto ipsec client ezvpn hard-client outlan-VPN-RTR(config-crypto-ezvpn)#connect auto outlan-VPN-RTR(config-crypto-ezvpn)#group hard-client-fc key supersecret outlan-VPN-RTR(config-crypto-ezvpn)#username outlan-rtr1 password outlan-rtr1 outlan-VPN-RTR(config-crypto-ezvpn)#xauth userid mode local outlan-VPN-RTR(config-crypto-ezvpn)#mode network-extension outlan-VPN-RTR(config-crypto-ezvpn)#peer 190.55.2.98 outlan-VPN-RTR(config-crypto-ezvpn)#peer 45.240.90.194 |
8. 流量修正ACL是一个在硬件客户端路由器没有与任何必须保证安全的IP子网的接口连接的情况下使用的可选客户端定义。客户端硬件规定应通过一个流量修正ACL来包括这些子网。ACL遵循与“网关”流量ACL使用的一样的格式:Local Network -> Remote Network (any),这里本地网络是与硬件客户路由器相邻的,并且远程网络是可以通过VPN网关到达的。下面就是我们例子中的网络的ACL:
| outlan-VPN-RTR(config)#access-list 140 permit ip 172.30.89.0 0.0.0.255 any outlan-VPN-RTR(config)#access-list 140 permit ip 172.30.62.0 0.0.0.255 any |
一旦定义了ACL,在客户端定义中是使用客户端配置的这个子命令来引用的:<acl {acl name}>。
接口创建和指定
在定义好硬件客户模板后,接下来我们必须配置接口地址和指定本地子网加密客户端。类似于NAT,硬件客户端接口配置会指定“内部”和“外部”接口。为了成功激活策略,只能指定一个外部接口和至少一个内部接口:
| outlan-VPN-RTR(config)#ip access-list extended VPN-IN outlan-VPN-RTR(config-ext-nacl)# remark permit DHCP Client Traffic outlan-VPN-RTR(config-ext-nacl)# permit udp any any eq bootpc outlan-VPN-RTR(config-ext-nacl)# remark permit IPSEC Phase 1 Phase 2 traffic outlan-VPN-RTR(config-ext-nacl)# permit esp host 190.55.2.98 any outlan-VPN-RTR(config-ext-nacl)# permit udp host 190.55.2.98 any eq isakmp outlan-VPN-RTR(config-ext-nacl)# permit esp host 45.240.90.194 any outlan-VPN-RTR(config-ext-nacl)# permit udp host 45.240.90.194 any eq isakmp outlan-VPN-RTR(config-ext-nacl)#exit outlan-VPN-RTR(config)# interface FastEthernet0/0 outlan-VPN-RTR(config-if)#ip address dhcp outlan-VPN-RTR(config-if)#ip access-group VPN-IN in outlan-VPN-RTR(config-if)#crypto ipsec client ezvpn hard-client outside outlan-VPN-RTR(config-if)#exit outlan-VPN-RTR(config)# interface Vlan100 outlan-VPN-RTR(config-if)#ip address 172.30.100.1 255.255.255.0 outlan-VPN-RTR(config-if)#crypto ipsec client ezvpn hard-client inside outlan-VPN-RTR(config-if)#exit outlan-VPN-RTR(config)# interface Vlan120 outlan-VPN-RTR(config-if)#ip address 172.30.120.1 255.255.255.0 outlan-VPN-RTR(config-if)#crypto ipsec client ezvpn hard-client inside outlan-VPN-RTR(config-if)#exit |
IP路由配置
这个例子中的路由配置非常简单。因为外部接口是由DHCP配置的,并且默认路由作为ISP提供的DHCP的一部分,所以不需要进行默认路由配置。更完美起见,我们可以设置DR到物理接口Fa0/0,但是这并不是必须的。同样简单的是,所有到达其中一个内部接口的流量都是加密并发送到VPN网关的。然而,我们的确需要提供一些路由逻辑给邻近的子网,在这些子网中客户也需要被保护。这可以通过一些静态路由实现:
| outlan-VPN-RTR(config)# ip route 172.30.62.0 255.255.255.0 1.1.1.254 outlan-VPN-RTR(config)# ip route 172.30.89.0 255.255.255.0 1.1.1.254 |
通过在硬件客户端模板中设置“connect auto”,客户端会在接口指定并激活后,立刻打开与VPN网关的协商。如果你一直是你自己的网络中配置,你的客户端和VPN网关现在应该已经连接而且能够传输安全的流量了。
这些包括了所有全加密客户配置。
作者
Michael J. Martin作为网络和Unix信息管理员已经在信息技术领域工作了17多年。他早期在研究和ISP方面进行的设计、实现和支持MIS基础架构的经历,为他当前在大型因特网和安全架构的工作上提供了独特的视角。作为一个网络架构师,他已经为多家公司设计过高速、高可用的LAN/WAN网络,如ANS/AOL、Philips和Edgix Corporation等,它也给许多业务和区域ISP提供网络顾问服务。Michael也撰写了很多关于网络和安全问题的文章。
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。