在前面的文章中,我们探讨了如何创建VPN网关,如何使用Cisco路由器作为网关来实现客户端,以及如何实现Cisco软件VPN客户端。现在我们将检查Cisco EzVPN使用Cisco路由器作为VPN网关和Cisco路由器硬件客户端来支持Network-to-Network VPN拓扑。我们将同时使用全加密和半隧道两种体系结构。对于软件客户端解决方案有局限的地方,硬件客户端解决方案则更灵活。
我们的两个例子都可用于提供对远程办公连接、租用专线或其他提供备份或二次连接的VPN链路的基本支持。 互操作性是基于IPsec标准的产品的优点,但是能使产品更上一个台阶的是在IPsec之上开发的技术。传统的……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在前面的文章中,我们探讨了如何创建VPN网关,如何使用Cisco路由器作为网关来实现客户端,以及如何实现Cisco软件VPN客户端。现在我们将检查Cisco EzVPN使用Cisco路由器作为VPN网关和Cisco路由器硬件客户端来支持Network-to-Network VPN拓扑。我们将同时使用全加密和半隧道两种体系结构。对于软件客户端解决方案有局限的地方,硬件客户端解决方案则更灵活。我们的两个例子都可用于提供对远程办公连接、租用专线或其他提供备份或二次连接的VPN链路的基本支持。
互操作性是基于IPsec标准的产品的优点,但是能使产品更上一个台阶的是在IPsec之上开发的技术。传统的Network-to-Network互操作性指的是两个各自运行着不同供应商的IPsec解决方案的已知IPsec节点能够实现IKE认证、交换密钥、建立SA以及修饰、传输和接收安全流量。这些基本元素并不足以构成企业级VPN解决方案。高可用、路由协议支持、宽认证选项和数据包分片处理等等也是构成企业级VPN解决方案的必要元素。当你在实验室花了一整天时间来设法使两个不同供应商的基于IPsec的VPN可以互操作,你很快就会知道一个特定供应商的解决方案的吸引人之处并不在于它对IPsec标准的支持,而在于供应商在这些标准之上开发的功能。
虽然Cisco的ExVPN的出现对于许多IPsec传统用户来说是个噩梦,但EzVPN的确是一个建立在IPsec之上的非常棒的技术,它使IPsec VPN可以满足企业级的需求。使用EzVPN模型的前提是VPN网关或核心设备的功能应该是足够强大的,它们要能够控制节点连接参数,至少是可用的。相反,VPN客户端或边缘设备应该尽量简单,只要有刚好足够的信息去连接核心设备就行。可以说这个模型与传统的IPsec做法是完全相反的,传统的IPsec模型要求所有IPsec节点都是一样的。
Cisco使用它的Unity Client Protocol(UCP)来实现这个非传统的IPsec节点配置,以改善网关和客户端之间的通信,并使VPN网关下发隧道参数、SA寿命和认证等等到客户端,从而允许客户端返回安全控制中的网络信息。网关和客户端交互的是配置数据,不包括静态密码图和XAUTH认证信息。
EzVPN硬件客户端在Cisco 8xx、176x、18xx、26xx、37xx和38xx平台上都是支持的。而EzVPN网关一般是实现在38xx或72xx平台上。EzVPN硬件客户端支持两种模式:客户端(Client)和网络扩展(Network Extension)。在客户端模式(EZ-CM)中,路由器设置的IP地址是在VPN网关的客户端地址池外的。VPN地址是在路由器上动态配置并绑定到loopback接口上。当VPN连接建立后,所有的流量都使用Port Address Translation (PAT)进行转发。这是Cisco VPN客户端操作的根本。像软件客户端一样,地隧道或全加密安全模型都是支持的。EZ-CM是有限制值的,可能除了家庭办公环境外,因为家庭办公环境中你可以更容易使用软件客户端。
网络扩展模式(EZ-NEM)允许远程路由器为直接和间接连接网络建立IPsec窥视和VPN网关,并且支持一个 “路由的” 完全动态的通信模型。VPN网关并不需要IP网络或者远程节点IP地址去建立IPsec策略。硬件客户端使用名称“outside”来表示公共或非安全网络接口,而“inside”表示连接到特定网络的路由器接口,其中特定网络包括安全网络,以及定义好的网络,这些网络不是直接连接的,而是通过连接到一个指派的安全段的网关到达的,它们可以用ACL包含在EZ-NEM策略中。EZ-NEM客户端也支持网关冗余和动态路由。
在我们的第一个硬件客户端设计中,一个小型本地办公室需要与公司数据网络和其他远程办公室建立可靠的连接。这个公司使用了VPN,因为它可以提供高性价比的网络连接。由于公司同时要监控Internet使用状况,所以所有外部Internet访问都必须经过公司的防火墙。该办公室已经有一个宽带Internet连接。我们将使用一个全加密策略实现一个冗余VPN网关核心解决方案,以提供对核心服务器LAN分段、远程办公网络和Internet的访问。
下面是我们实现的同时支持两个硬件客户端例子(红色是第二个例子)的VPN网关的配置:
I.AAA配置:
| GW 1 (Used for topology example 1 and 2) | GW 2 (Used for topology example 1 only) |
| aaa new-model aaa authentication login default local aaa authentication login userauth local aaa authorization network groupauth local ! username outlan-rtr1 password 0 outlan-rtr1 | aaa new-model aaa authentication login default local aaa authentication login userauth local aaa authorization network groupauth local ! username outlan-rtr1 password 0 outlan-rtr1 |
II.ISAKMP阶段I配置:
| GW 1 (Used for topology example 1 and 2) | GW 2 (Used for topology example 1 only) |
| crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 | crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 |
| crypto isakmp client configuration group hard-client-fc key supersecret save-password pfs backup-gateway 45.240.90.2 max-users 1 max-logins 1 ! crypto isakmp client configuration group hard-client-st key supersecret acl hard-client-nets save-password pfs backup-gateway 45.240.90.2 max-users 1 max-logins 1 | crypto isakmp client configuration group |
| crypto isakmp profile hard-client description ISAKMP for Cisco Soft Clients match identity group hard-client client authentication list userauth isakmp authorization list groupauth client configuration address respond keepalive 20 retry 10 | crypto isakmp profile hard-client |
| ip access-list extended hard-client-nets permit ip 172.30.40.0 0.0.0.255 1.1.1.0 0.0.0.255 permit ip 172.30.40.0 0.0.0.255 172.30.62.0 0.0.0.255 permit ip 172.30.40.0 0.0.0.255 172.30.89.0 0.0.0.255 permit ip 172.30.60.0 0.0.0.255 1.1.1.0 0.0.0.255 permit ip 172.30.60.0 0.0.0.255 172.30.62.0 0.0.0.255 permit ip 172.30.60.0 0.0.0.255 172.30.89.0 0.0.0.255 permit ip 172.30.131.0 0.0.0.255 1.1.1.0 0.0.0.255 permit ip 172.30.131.0 0.0.0.255 172.30.62.0 0.0.0.255 permit ip 172.30.131.0 0.0.0.255 172.30.89.0 0.0.0.255 permit ip 172.30.50.0 0.0.0.255 1.1.1.0 0.0.0.255 permit ip 172.30.50.0 0.0.0.255 172.30.62.0 0.0.0.255 permit ip 172.30.50.0 0.0.0.255 172.30.89.0 0.0.0.255 permit ip 172.30.132.0 0.0.0.255 1.1.1.0 0.0.0.255 permit ip 172.30.132.0 0.0.0.255 172.30.62.0 0.0.0.255 permit ip 172.30.132.0 0.0.0.255 172.30.89.0 0.0.0.255 |
III.ISAKMP阶段II配置:
| GW 1 (Used for topology example 1 and 2) | GW 2 (Used for topology example 1 only) |
| crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac | crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac |
| crypto dynamic-map hard-vpn-gateway 15 set security-association lifetime seconds 12000 set transform-set DES-MD5 set pfs group2 set isakmp-profile hard-client reverse-route | crypto dynamic-map hard-vpn-gateway 15 set security-association lifetime seconds 12000 set transform-set DES-MD5 set pfs group2 set isakmp-profile hard-client reverse-route |
| crypto map secure-client 10 ipsec-isakmp dynamic hard-vpn-gateway | crypto map secure-client 10 ipsec-isakmp dynamic hard-vpn-gateway |
IV.密码图安装接口、Internet策略路由和IP路由配置:
| GW 1 (Used for topology example 1 and 2) | GW 2 (Used for topology example 1 only) |
| interface FastEthernet0/0 ip address 190.55.2.98 255.255.255.252 crypto map secure-client ! interface FastEthernet0/1 ip address 172.30.40.31 255.255.255.0 | interface FastEthernet0/0 ip address 45.240.90.194 255.255.255.252 ip policy route-map int-acc crypto map secure-client ! interface FastEthernet0/1 ip address 172.30.40.101 255.255.255.0 |
| router ospf 20 log-adjacency-changes redistribute static metric 200 subnets network 172.30.40.0 0.0.0.255 area 0.0.0.0 | router ospf 20 log-adjacency-changes redistribute static metric 200 subnets network 172.30.40.0 0.0.0.255 area 0.0.0.0 |
| ip route 0.0.0.0 0.0.0.0 190.55.2.97 | ip route 0.0.0.0 0.0.0.0 45.240.90.193 |
为了实现远程办公室与其他位置的通信,核心路由器必须利用一个动态路由协议来告知他们已经建立对等关系的远程网络。这是通过整合使用动态路由协议、静态路由再分配和Reverse Route Injection(RRI)来实现的。作为密码图策略选项之一的RRI是使用配置命令<reverse-route>激活的。激活RRI后,网关设备会在客户端和网关建立IPsec窥视后,动态将静态路由添加到它的安全网络和相关远程隧道终端路由表中。然后这些静态路由就可以通过一个路由协议,如OSPF或BGP,再分配下去。上面的例子中使用了OSPF来再分配远程网络。
现在你已经创建了硬件网关,你将需要继续学习关于客户端的知识。
作者
Michael J. Martin作为网络和Unix信息管理员已经在信息技术领域工作了17多年。他早期在研究和ISP方面进行的设计、实现和支持MIS基础架构的经历,为他当前在大型因特网和安全架构的工作上提供了独特的视角。作为一个网络架构师,他已经为多家公司设计过高速、高可用的LAN/WAN网络,如ANS/AOL、Philips和Edgix Corporation等,它也给许多业务和区域ISP提供网络顾问服务。Michael也撰写了很多关于网络和安全问题的文章。
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
大企业分支互联需要统一管理
随着网络规模的不断扩大和VPN网关部署数量的不断增多,如何对VPN网关进行有效管理是各个企业所面临的一个大问题……
-
Cisco EzVPN的半隧道VPN硬件客户端配置
前文中我们探讨了支持EzVPN网关上的全加密窥视的硬件客户端配置。现在我们将转到半隧道客户端配置上来,这是一种更高效更安全的方法,但同时也更复杂些。
-
如何使用Cisco路由器创建IPsec VPN
本专题将详细地、一步步地解释Cisco IOS IPSec VPN配置概念和实现基于软件及硬件的VPN网关。
-
软件客户端的全加密Cisco IPsec VPN网关
我在之前的文章中提到过有两种不同的部署Cisco软件客户端的方法。第二种创建VPN客户端网关的方法是全加密的,或者我们称为“新式”拓扑。