EZVPN的模式实例.doc

标题：EZVPN目的：检测EZVPN的三种硬件模式拓扑：步骤：1、 按照拓扑给路由器配置地址 Ip地址规划,企业等一类的大型网络（大的局域网）内部网络使用的, 是私网地址,连接互联网的边界路由使用的是公网地址Pc上PC(config-if)#int f0/0PC(config-if)#ip add 20.1.1.10 255.255.255.0PC(config-if)#no shEzclient上ezclient(config)#int f0/1ezclient(config-if)#ip add 20.1.1.1 255.255.255.0ezclient(config-if)#no shezclient(config-if)#int f0/0ezclient(config-if)#ip add 61.128.1.1 255.255.255.0ezclient(config-if)#no shInternetinternet(config)#int f0/1internet(config-if)#ip add 61.128.1.10 255.255.255.0internet(config-if)#no shutdown internet(config-if)#int f0/0internet(config-if)#ip add 202.100.1.10 255.255.255.0internet(config-if)#no shutdownGw上gw(config)#int f0/1gw(config-if)#ip add 202.100.1.1 255.255.255.0gw(config-if)#no shgw(config-if)#no shutdown gw(config-if)#int f0/0gw(config-if)#ip add 10.1.1.1 255.255.255.0gw(config-if)#no shutdownServer上server(config)#int f0/1server(config-if)#ip add 10.1.1.10 255.255.255.0server(config-if)#no shutdown2、 解决路由底层问题，及server的回包问题Pc上内部网络一般运行动态路由协议，但由于拓扑简单，直接使用缺省路由，客户端与中心通信，中心接受的通信流量之后，需要回包，才能确保链路畅通，即也是解决的路由回包；且vpn的通信点设备需要知道vpn对端通信点路由及加密点路由Ezclient上Gw上利用缺省路由解决底层路由，使得接收到的路由可以回包，且边界路由使用都是缺省路由；vpn的加密点必须知道内网通信点和对端加密点及通信点路由Server上内部网络一般运行动态路由协议，但由于拓扑简单，直接使用缺省路由，客户端与中心通信，中心接受的通信流量之后，需要回包，才能确保链路畅通，即也是解决的路由回包；且vpn的通信点设备需要知道vpn对端通信点路由及加密点路由测试：ezclient与gw之间3、 创建EZVPN中心Gw上第1阶段gw(config)#crypto isakmp policy 10 第一阶段认证策略gw(config-isakmp)#authentication pre-share 认证方式预共享密钥 gw(config-isakmp)#group 2 修改为组2，路由器默认为组1，但客户端认证时发送到中心的信息都是在 组2，因此修改组，不采用默认gw(config-isakmp)#hash md5 散列函数为MD5gw(config)#crypto isakmp client configuration group ipsecgroup EZVPN使用D的是cisco私有的group+key的认证方式，提供设备级的认证， 配置客户端模式的组名gw(config-isakmp-group)#key cisco 设置group+key的key值第1.5阶段gw(config)#aaa new-model 开启aaa功能 gw(config)#aaa authentication login remote local XAUTH的登录认证名为remote，方式为本地认证gw(config)#username ipsecuser password cisco 在本地创建客户端登录的用户名和密码；用户远程登录，查阅路由器的数据 库，消耗路由资源大，企业一般采用将所有的用户验证连到AAA服务器上， 在AAA服务器上查询，匹配了，在连到中心gw(config)#aaa authorization network remote local 授权为网络授权，授权策略名为remote，方式为本地授权 gw(config)#ip local pool mypool 123.1.1.100 123.1.1.200 在本地创建地址池，用来推送地址gw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#pool mypool 将地址池和组关联gw(config)#crypto isakmp profile isaprof 使用isakmp的profile加密，保护文件gw(conf-isa-prof)#match identity group ipsecgroup 匹配组gw(conf-isa-prof)#client authentication list remote 匹配认证策略gw(conf-isa-prof)#isakmp authorization list remote 匹配授权策略 gw(conf-isa-prof)#client configuration address respond 启用客户端配置第2阶段gw(config)#crypto ipsec transform-set trans esp-des esp-md5-hmac 中心不知道客户端身后的网络，因此，感兴趣流不匹配，直接配置转换集 gw(config)#crypto dynamic-map dymap 10 客户端因资金问题，一般都是动态获取地址，因此使用动态mapgw(config-crypto-map)#set transform-set transgw(config-crypto-map)#set isakmp-profile isaprof 匹配转换集和profile的策略gw(config)#crypto map cisco 10 ipsec-isakmp dynamic dymap 动态map关联到静态map，因为接口只支持静态map调用gw(config)#int f0/1gw(config-if)#crypto map cisco 调用map客户端ezclient上（首先client模式）ezclient(config)#crypto ipsec client ezvpn ezclient 配置客户端ezclient(config-crypto-ezvpn)#peer 202.100.1.1 匹配对等体地址ezclient(config-crypto-ezvpn)#group ipsecgroup key cisco 匹配第一阶段的认证，组和keyezclient(config-crypto-ezvpn)#mode client Client模式ezclient(config-crypto-ezvpn)#connect manual 手动拨号 ezclient(config)#int f0/0ezclient(config-if)#crypto ipsec client ezvpn ezclient outsideezclient(config-if)#int f0/1ezclient(config-if)#crypto ipsec client ezvpn ezclient inside 定义内部和外部在客户端ezclient上拨号查看获取的地址 Client模式接收到中心推送的地址Pc上进行Ping命令测试 客户端可以访问中心，不能访问互联网中心进行ping测试 中心不能访问客户端查看PAT 客户端使用中心推送的地址访问，并且PAT只有企业型的查看pc从中拿到的策略 无策略其次client模式+tunnel split（隧道分割）gw(config)#ip access-list extended split-tunnelgw(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 anygw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#acl split-tunnel 用ACL匹配流量，并在组中匹配，即使用隧道分割客户端需要从新触发vpn，才能拿到策略查看策略 客户端拿到了隧道分割的策略查看获取到的地址 客户端收到中心推送的地址Pc上进行ping命令测试 客户端既能访问中心，又能访问互联网中心进行ping测试 中心不能访问客户端在server上启用远程路由，并在pc上测试server(config)#line vty 0 15server(config-line)#password ciscoserver(config-line)#loginserver(config)#enable password 123在server设备上查看 客户端使用中心推送的地址查看PAT PAT有两个，企业型的和互联网型再添加一个密码保存策略gw(config)#crypto isakmp client configuration group ipsecgroupgw(config-isakmp-group)#save-password 密码保存，即有些用户想要记住密码，下次直接点击连接客户端断开一下，再连接，才能拿到新的策略ezclient#clear crypto ipsec client ezvpn ezclient#crypto ipsec client ezvpn connect ezclient#crypto ipsec client ezvpn xauth Username: ipsecuserPassword:查看策略 客户端密码保存策略拿到可以测试一下 断开连接后，从新拨号，直接拨上，不用拨密码然后使用网络扩展模式，先删除策略，再修改客户端模式ezclient(config)#crypto ipsec client ezvpn ezclientezclient(config-crypto-ezvpn)#mode network-extension 网络扩展模式 从新拨号查看地址 没有收到中心推送的地址Pc上测试 客户端可以访问中心，不能访问互联网Server设备上查看与测试 客户端使用的是自己真实的地址 中心能够访问客户端查看PAT 没有PAT其次使用网络扩展模式+split-tunnel 用ACL匹配流量，并在组中匹配，即使用隧道分割客户端从新触发vpn，才能拿到策略查看策略查看地址 没有Pc上测试 可以访问 中心，也可以访问互联网Server设备上查看和测试 客户端使用的是自己真实的地址访问中心，且中心能够访问客户端查看PAT PAT只有一个，互联网型添加密码保存策略，及手动拨号改为自动拨号 密码保存，即有些用户想要记住密码，下次直接点击连接先拿到策略修改手动拨号改为自动拨号断开后验证 断开后，客户端自动拨号，建立连接删掉策略，自动拨号改为手动拨号，使用Natwork-puls模式Natwork-puls模式ezclient(config)#crypto ipsec client ezvpn ezcl