【正文】 policy 10Router(configisakmp)encr 3desRouter(configisakmp)hash md5Router(configisakmp)authentication preshareRouter(configisakmp)group 2Router(config)crypto isakmp key alex_gdin address Router(config)crypto ipsec transformset l2l esp3des espmd5hmacRouter(config)crypto map l2l 10 ipsecisakmp Router(configcryptomap)set peer Router(configcryptomap)set transformset l2lRouter(configcryptomap)match address 101Router(config)interface FastEthernet0/0Router(configif)crypto map l2l到此基礎IPsec VPN配置完畢，下一步就是把NAT設備考慮進去，對IPsec VPN配置和NAT配置進行調(diào)整。NATT配置正常的IPsec VPN 是不能穿越PAT的，CISCO的IPsec : NATT，ipsec over udp，ipsec over tcp，應用層網(wǎng)關(guān)。此次我們將使用工業(yè)標準的NATT技術(shù)。在CISCO防火墻上默認開啟了NATT功能，因此不需要我們再手動配置。我們只需要增加對防火墻E0口（outside）的靜態(tài)端口映射即可。IPsec VPN使用的是UDP 500和4500端口，必須把這兩個端口映射出公網(wǎng)，才能讓外網(wǎng)連接上防火墻來建立VPN。Gateway(config)ip nat inside source static udp 500 interface s0/0 500Gateway(config)ip nat inside source static udp 4500 interface s0/0 4500現(xiàn)在就完成了IPsec VPN的配置。 移動辦公VPN配置為了向遠距離工作者或工作在外的員工所提供的遠程訪問類型的VPN，我們使用RemoteVPN解決方案。RemoteVPN是EZVPN的一種，它使用客戶端軟件連接服務端來實現(xiàn)VPN連接的，其使用向客戶端推送策略的方式大大減輕了客戶端的配置，方便了管理。遠程工作者在自己的電腦上安裝一個“Cisco VPN Client”的軟件，稍微設置一下參數(shù)，即可連接上配置好相關(guān)參數(shù)的服務端，建立一條安全加密的虛擬隧道。 Cisco VPN Client本小節(jié)針對遠程工作者與總部的連接，使用RemoteVPN來實現(xiàn)加密的數(shù)據(jù)傳輸。，遠程工作者通過RemoteVPN獲取一個內(nèi)網(wǎng)的IP地址，通過這個地址訪問公司內(nèi)部資源，提供了VPN網(wǎng)絡的高拓展性。 RemoteVPN設計拓撲防火墻設置RemoteVPN跟SitetositeVPN同屬IPsec VPN，但配置上還是有區(qū)別的。在RemoteVPN上必須定義好遠程用戶接入后能夠訪問的地址，稱為分離隧道。沒有分離定義分離隧道的話，客戶端即使建立起了VPN，也無法訪問內(nèi)網(wǎng)，因為服務端不知道返回的流量需要加密，因而返回流量無法到達客戶端。RemoteVPN還會為接入的用戶分配一個內(nèi)網(wǎng)的IP地址，通過這個地址訪問公司內(nèi)部資源。以下對防火墻進行RemoteVPN配置：FW(config) isakmp policy 1FW(configisakmppolicy) authentication preshareFW(configisakmppolicy) encryption 3desFW(configisakmppolicy) hash md5FW(configisakmppolicy) group 2 FW(configisakmppolicy) lifetime 43200FW(configisakmppolicy) exitFW(config) isakmp enable outside 以上步驟可以忽略，因為在sitetosite VPN里，已經(jīng)配置過相似的參數(shù)，Crypto isakmp policy是可以共用在兩個VPN上的。以下是定義地址池。既定義哪些地址用于分配給遠程接入用戶使用。FW(config) ip local pool vpnpool mask 以下定義分離隧道。建立一個ACL定義訪問地址，然后在相關(guān)策略上套用。FW(config) accesslist split standard permit FW(config) grouppolicy vpnclient internalFW(config) grouppolicy vpnclient attributes FW(configgrouppolicy) splittunnelpolicy tunnelspecified FW(configgrouppolicy) splittunnelnetworklist value split以下配置剩余必要命令：FW(config) crypto ipsec transformset remote esp3des espshahmacFW(config) crypto dynamicmap dyremote 10 set transformset remoteFW(config) crypto map l2l 20 ipsecisakmp dynamic dyremoteFW(config) crypto map l2l interface outsideFW(config) tunnelgroup vpnclient type ipsecra FW(config) tunnelgroup vpnclient generalattributes FW(configtunnelgeneral) authenticationservergroup LOCAL FW(configtunnelgeneral) defaultgrouppolicy vpnclient FW(configtunnelgeneral) addresspool vpnpool FW(configtunnelgeneral) exitFW(config) tunnelgroup vpnclient ipsecattributes FW(configtunnelipsec) presharedkey alex_gdin客戶端軟件設置打開Cisco VPN Client軟件之后，點擊軟件快捷欄的“New”圖標即可定義需要的參數(shù)。 Cisco VPN Client參數(shù)設置“Group Authentication”上的用戶名和密碼即為款中配置加粗部分。參數(shù)填寫完畢，按“Save”保存。然后在主界面雙擊你創(chuàng)建好的條目，如無配置錯誤，你即可連接上遠端的服務端。NATT配置因為在Sitetosite VPN配置中，在Gateway網(wǎng)關(guān)路由器上已經(jīng)把IPsec VPN所使用的到端口映射了出去，所以這里只需在Gateway網(wǎng)關(guān)路由器把用于控制NAT地址轉(zhuǎn)換的ACL上增加一條條目，用于免除VPN連接的轉(zhuǎn)換。Gateway(config)ip accesslist extend inside2outsideGateway(configextnacl)4 deny ip 安全加固模塊設計完整的企業(yè)網(wǎng)絡必須要有可靠的網(wǎng)絡安全保護措施來抵御來自網(wǎng)內(nèi)、網(wǎng)外的安全威脅，例如黑客入侵、病毒木馬、DOS攻擊、人為破壞等。我們有許多防御措施選擇，如安裝防病毒軟件、進行訪問控制、數(shù)據(jù)加密傳輸?shù)?。各種網(wǎng)絡安全并不是各自獨立的，而是作為一個整理來保護一個網(wǎng)絡，要做到1+12的效果，必須要以實際網(wǎng)絡環(huán)境需要為基礎，選擇全面的網(wǎng)絡保護措施，不讓其中一處短板破壞了整個網(wǎng)絡的防御結(jié)構(gòu)。Cisco提出的網(wǎng)絡安全的核心原則成為CIA三元組——機密性（confidentiality）、完整性（integrity）、可用性（availability），是目前最簡單、適用范圍最廣的安全模型。這三大核心原則可以適用于小到如用戶訪問，大至如互聯(lián)網(wǎng)上的數(shù)據(jù)安全。本節(jié)本著CIA三元組原則，對企業(yè)網(wǎng)進行安全的加固，從最基礎的訪問控制、防止欺騙等，到一些高級的安全技術(shù)特征，是本設計的企業(yè)網(wǎng)的網(wǎng)絡數(shù)據(jù)安全達到最優(yōu)化。在本節(jié)所提及的一些安全技術(shù)特征部分為思科專有，或在其他廠商有相似技術(shù)但命名不同，而且因為軟件問題，一些安全技術(shù)并不能被仿真軟件所支持，但文章所列配置命令是真實能在實際環(huán)境中運行的。 訪問控制，各VLAN都有不同的權(quán)限限制，并且從實際公司運作上考慮，這里將增添幾項訪問權(quán)限，全部訪問控制具體為：（1）內(nèi)網(wǎng)訪問控制：普通部門單位之間不能相互訪問全部部門能訪問服務器群和外網(wǎng)網(wǎng)管部門能訪問整個公司的VLAN（單向發(fā)起連接）服務器不會主動向網(wǎng)絡發(fā)起連接（除/FTP）外訪客廳VLAN只能訪問外網(wǎng)服務器群和外網(wǎng)（2）外網(wǎng)訪問控制：通過VPN接入，只能訪問內(nèi)部服務器群外網(wǎng)用戶只能訪問外部服務器的相關(guān)服務對服務器群的訪問限制全部部門能訪問服務器群（包括內(nèi)網(wǎng)服務器群、外網(wǎng)服務器群）和外網(wǎng)網(wǎng)絡。在部門單位（包括會議室、不包括網(wǎng)管部）VLAN虛接口上配置ACL，使部門能訪問服務器群，但首先注意要放行DHCP請求流量，這里以VLAN10為例。Core1(config)ip accesslist extended cvlan10Core1(configextnacl)permit udp any any eq bootpsCore1(configextnacl)permit udp any any eq bootpcCore1(configextnacl)permit ip Core1(configextnacl)permit ip 為了對服務器的保護，還應該限制到到達服務器的具體協(xié)議端口做限制，不過這里可以從服務器主機下手，關(guān)閉不需要的服務，至開啟服務相關(guān)的端口。部門間的訪問限制不同IP網(wǎng)段的主機、不同VLAN內(nèi)的主機本來是不能相互訪問的，但由于網(wǎng)關(guān)網(wǎng)絡開啟路由功能后，導致IP網(wǎng)段之間、VLAN之間能夠相互訪問，這需要在核心交換機的VLAN上配置ACL。在部門單位（包括會議室、不包括網(wǎng)管部）VLAN虛接口上配置ACL，達到相互之間不能訪問，這里以VLAN10為例，繼續(xù)上一款的配置。Core1(configextnacl)deny ip Core1(configextnacl)permit ip any然后把ACL應用在VLAN虛接口Core1(config)int vlan 10Core1(configif)ip accessgroup cvlan10 in這樣，款和款所創(chuàng)建的ACL就能實現(xiàn)普通部門能訪問服務器群和外網(wǎng)，但不能訪問其他部門。網(wǎng)管部的訪問限制網(wǎng)管部門負責對整個企業(yè)網(wǎng)絡的管理和維護，哪個部門哪臺PC是誰使用，通過網(wǎng)管軟件都能掌握得一清二楚，并且對于普通的軟件故障，能夠通過遠程控制來實現(xiàn)維修，這樣就需要網(wǎng)管部能訪問整個企業(yè)網(wǎng)絡。但由于其他部門之間不能互相訪問，即使允許網(wǎng)管部VLAN訪問其他部門，也會因為其他部門的流量不能返回而導致連接失敗，這里我們就要使用CBAC的技術(shù)，實現(xiàn)網(wǎng)管部門單向發(fā)起連接后能讓流量正常返回?；谏舷挛牡脑L問控制協(xié)議（CBAC）通過檢查通過IOS防火墻的流量來發(fā)現(xiàn)＆管理TCP和UDP的會話狀態(tài)信息。這些狀態(tài)信息被用來在IOS防火墻訪問列表創(chuàng)建臨時通道。通過在流量向上配置IP Inspect列表，允許為受允許會話放回流量和附加數(shù)據(jù)連接，打開這些通路。以下在Core1核心交換機上配置CBAC。Core1(config)ip inspect name NetMag tcp timeout 30Core1(config)ip inspect name NetMag udp timeout 5Core1(config)ip inspect name NetMag icmp timeout 10Core1(config)ip inspect name NetMag telnet timeout 60為了減輕交換機負擔，只有網(wǎng)管部門的流量從普通部門VLAN出去的時候，才建立相關(guān)狀態(tài)表，所以把IP Inspect應用在普通部門VLAN虛接口的出站方向。以下以應用在VLAN10為例（其他普通部門VLAN同樣應用即可）：Core1(config)int vlan 10Core1(configif) ip inspect NetMag out 防止地址欺騙地址欺騙是指行動產(chǎn)生的IP數(shù)據(jù)包偽造的源IP地址，以便冒充其他系統(tǒng)或保護發(fā)件人的身分，這是一種黑客的攻擊形式，黑客使用一臺計算機上網(wǎng)，而借用另外一臺機器的IP地址，從而冒充另外一臺機器與服務器打交道。地址欺騙的可以發(fā)生在外網(wǎng)對內(nèi)網(wǎng)的攻擊，也可以是內(nèi)部PC被惡意操控進行從內(nèi)部發(fā)起的欺騙攻擊。為了防止地址欺騙，進而發(fā)生對網(wǎng)絡的其他惡意行為，本設計將從兩個方向進行防御：在網(wǎng)關(guān)配置防地址欺騙的措施，在內(nèi)網(wǎng)控制好員工PC不被使用虛假IP。邊界路由加固在Gateway網(wǎng)關(guān)路由的s0/0口放置