【正文】 請(qǐng)求其余的配置參數(shù) Server向 client推送的參數(shù)至少要包含分配給client的 IP地址 流程 5server進(jìn)行反向路由注入 Remote PC with Easy Remote VPN Client IOS router (8)T Easy VPN Server 創(chuàng)建 RRI靜態(tài)路由 Server進(jìn)行反向路由注入 (Reverse Route Injeciton， RRI)，為剛分配的 client端 IP地址產(chǎn)生一條靜態(tài)路由，以便正確地路由發(fā)送給 client端的數(shù)據(jù)包 流程 6建立 IPSec SA Remote PC with Easy Remote VPN Client IOS router (8)T Easy VPN Server 建立 IPSec SA VPN tunnel Client收到配置參數(shù)，雙方建立 IPSec SA Easy VPN在 server端的配置步驟 vpngate1 ? 創(chuàng)建 IKE策略集，該策略集至少要能與 vpn client的一個(gè)內(nèi)置策略集相匹配，以便在 server和 client之間建立 IKE SA ? 定義要推送給 client的組屬性，其中包含分配給 client的地址池、preshare key等 ? 定義 IPSec變換集 (只用于 client觸發(fā)建立 IPSec SA時(shí)，如果是server觸發(fā)建立 IPSec SA就不需要使用 ) ? 啟用 DPD死亡對(duì)端檢測(cè) ? 配置 Xauth擴(kuò)展認(rèn)證 ? 把 crypto map應(yīng)用到路由器端口上 創(chuàng)建 IKE策略集 vpngate1(config) crypto isakmp enable vpngate1(config) crypto isakmp policy 1 vpngate1(configisakmp) authen preshare vpngate1(configisakmp) encryption 3des vpngate1(configisakmp) group 2 vpngate1(configisakmp) exit Authen: Preshared keys Encryption: 3DES DiffieHellman: Group 2 Other settings: Default Policy 1 vpngate1 Cisco vpn client內(nèi)置的部分策略集 DES MD5 DH2 Preshare 3DES MD5 DH2 Preshare 3DES SHA DH2 Preshare vpngate1 定義分配給 client的地址池 router(config) ip local pool {default | poolname lowipaddress [highipaddress]} vpngate1(config) ip local pool remotepool vpngate1 Remote client remotepool to Pool 地址池中的地址將分配給 client端 定義推送給 client的組屬性 router(config) crypto isakmp client configuration group {groupname | default} vpngate1(config) crypto isakmp client configuration group vpngroup1 vpngate1(configisakmpgroup)key myvpnkey vpngate1(configisakmpgroup) pool remotepool Key: myvpnkey Pool name: remotepool Group: vpngroup1 vpngate1 Remote client 可定義多個(gè)組，每個(gè)組使用自己的 preshare key和地址池 配置組屬性的查詢(xún)模式 router(config) aaa authorization work groupname local group radius vpngate1(config) aaa newmodel vpngate1(config) aaa authorization work vpnremoteaccess local vpngate1 Remote client vpnremoteaccess Group router(config) aaa newmodel 定義查詢(xún)模式 vpnremoteaccess，表明是在路由器本地查詢(xún) 把組屬性查詢(xún)模式與 crypto map關(guān)聯(lián) router(config) crypto map mapname isakmp authorization list listname vpngate1(config) crypto map dynmap isakmp authorization list vpnremoteaccess vpngate1 Remote client vpnremoteaccess Group 配置路由器響應(yīng) client的 IP地址申請(qǐng) router(config) crypto map mapname client configuration address {initiate | respond} vpngate1(config) crypto map dynmap client configuration address respond vpngate1 Remote client 創(chuàng)建 IPSec變換集 router(config) crypto ipsec transformset transformsetname transform1 [transform2 [transform3]] vpngate1(config) crypto ipsec transformset vpntransform esp3des espshahmac vpngate1(cfgcryptotrans) exit vpntransform Transform set name vpngate1 Remote client 創(chuàng)建動(dòng)態(tài) crypto map router(config) crypto dynamicmap dynamicmapname dynamicseqnum vpngate1(config) crypto dynamicmap maptemplate 1 vpngate1(configcryptomap)set transformset vpntransform vpngate1(configcryptomap) reverse route vpngate1(configcryptomap) exit maptemplate 1 Crypto map name/sequence vpngate1 動(dòng)態(tài) crypto map與靜態(tài) crypto map 靜態(tài) crypto map中要配置保護(hù)流量的 ACL等 Easy VPN模式下 client的地址是變化的，定義保護(hù)流量的 ACL比較困難，所以不適宜直接使用靜態(tài) crypto map 動(dòng)態(tài) crypto map中不需要配置全部參數(shù)，缺少的參數(shù)可以在后續(xù)動(dòng)態(tài)地配置 把動(dòng)態(tài) map與靜態(tài) map相關(guān)聯(lián) router(config) crypto map mapname seqnum ipsecisakmp dynamic dynamicmapname vpngate1(config) crypto map dynmap 1 ipsecisakmp dynamic maptemplate vpngate1 Remote client dynmap 1 Crypto map name/sequence 啟用 IKE的 DPD死亡對(duì)端檢測(cè) vpngate1 router(config) crypto isakmp keepalive secs retries vpngate1(config) crypto isakmp keepalive 20 10 1) DPD Send: Are you there? 2) DPD Reply: Yes I am here. 2) DPD Reply es I am here. Secs:發(fā)送 DPD消息的時(shí)間間隔，取值范圍是 103600秒 Retries:DPD失敗后隔多長(zhǎng)時(shí)間重發(fā)，取值范圍是 260秒 啟用 AAA登錄認(rèn)證 router(config) aaa authentication login listname method1 [method2…] vpngate1(config) aaa authentication login vpnusers local vpngate1(config) username user1 password pass1 vpngate1(config) username user2 password pass2 vpngate1 Remote client vpnusers VPN user group 定義擴(kuò)展認(rèn)證 Xauth的超時(shí)時(shí)間 router(config) crypto isakmp xauth timeout seconds vpngate1(config) crypto isakmp xauth timeout 20 vpngate1 Remote client vpnusers VPN user group 20 seconds 把 Xauth認(rèn)證方式與 crypto map關(guān)聯(lián) router(config) crypto map mapname client authentication list listname vpngate1(config) crypto map dynmap client authentication list vpnusers vpngate1 Remote client vpnusers VPN user group dynmap 1 Crypto map name 把 crypto map應(yīng)用到路由器的端口 vpngate1(config) interface ether0/1 vpngate1(configif) crypto map dynmap vpngate1(configif) exit dynmap 1 Crypto map name vpngate1 Remote client e0/1 Easy VPN在 client端的配置步驟 1 點(diǎn)擊“ new”創(chuàng)建一個(gè)新條目 Easy VPN在 client端的配置步驟 2 設(shè)置 Easy VPN server的 IP地址 Easy VPN在 client端的配置步驟 3 設(shè)置組名和對(duì)應(yīng)的 preshare key Xauth擴(kuò)展認(rèn)證 如果設(shè)置了 Xauth擴(kuò)展認(rèn)證，在連接的過(guò)程中會(huì)提示輸入用戶(hù)名 /口令 連接成功后的狀態(tài)信息 目 錄 ? VPN簡(jiǎn)介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS VPN的工作原理 BGP/MPLS VPN的配置示例 VPN中的角色 CE CE CE CE PE PE P P 運(yùn)營(yíng)商網(wǎng)絡(luò) 用戶(hù)網(wǎng)絡(luò) 用戶(hù)網(wǎng)絡(luò) CE (Custom Edge Router)， 用戶(hù)邊緣路由器 ，直接與運(yùn)營(yíng)商網(wǎng)絡(luò)相連 PE (Provider Edge Router)， 運(yùn)營(yíng)商邊緣路由器 ，與 CE相連，主要負(fù)責(zé) VPN業(yè)務(wù)的接入。 IPSec SA ? IPSec SA (安全關(guān)聯(lián)， Security Association)： 使用 SPI可以標(biāo)識(shí)路由器與不同對(duì)象之間的連接 。 IKE協(xié)商就是要在通信雙方之間找到相同的 policy。 ? 啟動(dòng) IKE (Inter key exchange)階段 1，對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道。 IP頭 數(shù)據(jù) ESP頭 ESP trailer ESP auth 加密 TCP/UDP端口 NAT：可以改端口號(hào)了，太棒了 新 UDP頭 目 錄 ? VPN簡(jiǎn)介 ? IPSec VPN ? BGP/MPLS VPN IPSec基礎(chǔ) 端到端 IPSec VPN的工作原理及配置 Easy VPN（遠(yuǎn)程接入 VPN）的工作原理及配置 BGP/MPLS