遠(yuǎn)程訪問虛擬專用網(wǎng)------EASY虛擬專用網(wǎng)

1.Easy 虛擬專用網(wǎng)需要解決的問題

階段1----建立管理連接

• 協(xié)商采用何種方式建立管理連接
• 通過DH算法共享密鑰信息
• 對等體彼此進(jìn)行身份驗證

階段2----建立數(shù)據(jù)連接

• 定義對等體間保護(hù)何種流量
• 定義用來保護(hù)數(shù)據(jù)的安全協(xié)議
• 定義傳輸模式

2.使用XAUTH做用戶驗證

(1) XAUTH

IPsec 協(xié)議最初的設(shè)計并未考慮用戶驗證問題，所以IETF （internet  Engineering  Task Force ， 因特網(wǎng)工程任務(wù)部） 引入了一個RFC的草案
---XAUTH， 它是一個虛擬專用網(wǎng)網(wǎng)管的增強(qiáng)特性，提供用戶名和密碼的方式來驗證用戶身份。
由于這個過程是在倆個連接建立之間完成的，所以被稱為“階段1.5”。

用戶驗證自然就會涉及用戶名和密碼的存儲方式，通常情況下有兩種：

1. 存儲在虛擬專用網(wǎng)網(wǎng)關(guān)設(shè)備的內(nèi)部數(shù)據(jù)庫中
2. 存儲在第三方設(shè)備上

（2）AAA的定義

AAA是Authentication（驗證），Authorization（授權(quán)），Accounting（統(tǒng)計）的縮寫，它提供了在網(wǎng)絡(luò)設(shè)備上配置訪問控制的基本框架

驗證： 用戶是誰？
對用戶的合法性進(jìn)行驗證，包括用戶名，密碼等信息的驗證

授權(quán)：用戶可以做什么？
在用戶通過驗證后，為用戶指定其能夠使用的服務(wù)等權(quán)限

統(tǒng)計：用戶做過什么?
在用戶驗證，授權(quán)成功后，記錄用戶的操作等信息，以便用于記賬

實現(xiàn)AAA服務(wù)器主要使用RADIUS協(xié)議和TACACS+協(xié)議
RADIUS（遠(yuǎn)程驗證撥入用戶服務(wù)）是一個全開放的標(biāo)準(zhǔn)協(xié)議，廠商或用戶可以靈活地修改RADIUS

TACACS+（終端訪問控制器訪問控制系統(tǒng)）是Cisco設(shè)計的私有協(xié)議

• 路由器開啟AAA

Router（config）# aaa new-model

3.組策略

• .地址池

  遠(yuǎn)程訪問虛擬專用網(wǎng)的客戶端之所以很難與虛擬專用網(wǎng)的網(wǎng)關(guān)建立連接，就是因為客戶端沒有固定的IP地址，在這種“動態(tài)”的情況下，最好的辦法就是讓使虛擬專用網(wǎng)設(shè)備像DHCP服務(wù)器一樣為每個通過驗證的客戶端“推送”IP地址。這樣，由于客戶端的IP地址是虛擬專用網(wǎng)網(wǎng)關(guān)動態(tài)分配的，虛擬專用網(wǎng)設(shè)備自然也就知道該與哪個IP建立虛擬專用網(wǎng)連接。

  

• DNS和網(wǎng)關(guān)

和DHCP服務(wù)器一樣，除了給客戶端分配IP地址以外，還要分配網(wǎng)關(guān)和DNS，這樣客戶端就擁有了內(nèi)網(wǎng)的IP、網(wǎng)關(guān)及DNS等必備的資源，真正成為內(nèi)網(wǎng)的一員

• 共享密鑰

在遠(yuǎn)程訪問虛擬專用網(wǎng)中，虛擬專用網(wǎng)網(wǎng)關(guān)需要與多組客戶端“共享密鑰”，因此在配置虛擬專用網(wǎng)時需要為每組客戶端設(shè)置不同的共享密鑰，客戶端的密鑰并不是虛擬專用網(wǎng)網(wǎng)關(guān)推送的，而是需要用戶通過客戶端軟件配置在主機(jī)上，而這個過程一般是由公司的網(wǎng)絡(luò)管理員來實現(xiàn)的，那么這個密鑰自然是保存在客戶端主機(jī)本地了，因此才有了“階段1.5”的存在

• 分離隧道

默認(rèn)情況下，客戶端與虛擬專用網(wǎng)網(wǎng)關(guān)建立隧道后，只能訪問內(nèi)網(wǎng)授權(quán)的資源，這是因為隧道會允許所有的流量，也就是說所有的流量必須經(jīng)過隧道到達(dá)公司，自然也就不允許任何流量訪問，而對于客戶端而言，所以需要針對遠(yuǎn)程訪問虛擬專用網(wǎng)配置ACL來分離隧道

• 分離DNS

當(dāng)客戶端主機(jī)通過遠(yuǎn)程訪問虛擬專用網(wǎng)連接到公司，即使隧道分離后，客戶端訪問Internet的web服務(wù)器時，也需要使用公司內(nèi)網(wǎng)的DNS解析，但這不是一個合理的過程，如果客戶端每次訪問百度，都要經(jīng)過公司內(nèi)網(wǎng)進(jìn)行DNS解析，其實是沒必要的，太浪費(fèi)資源了，所以要實現(xiàn)客戶端訪問公司的web服務(wù)器時，使用公司內(nèi)網(wǎng)的DNS解析，若訪問百度，則使用的DNS，如果要實現(xiàn)不同的域名使用不同的DNS，就需要用到了分離DNS

4.動態(tài)Crypto Map

我們無法實現(xiàn)在虛擬專用網(wǎng)設(shè)備的靜態(tài)crypto map中指定客戶端的地址（客戶端的地址由虛擬專用網(wǎng)的DHCP服務(wù)分發(fā)，不是固定的），所以需要將靜態(tài)crypto map中需要的參數(shù)被動態(tài)填充，使用動態(tài)crypto map 必須采用ISAKMP/IKE發(fā)起協(xié)商，而且在實現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)的時候通常在虛擬專用網(wǎng)網(wǎng)關(guān)上同時配置靜態(tài)和動態(tài)的crypto map，因為只有一臺具有靜態(tài)配置的設(shè)備可以發(fā)起IPSec的隧道，也正是如此，動態(tài)的crypto map很少被用于L2L（局域網(wǎng)to局域網(wǎng)）會話建立，

在實現(xiàn)遠(yuǎn)程訪問虛擬局域網(wǎng)的時候，一般會先配置transform-set，因為指定傳輸集與peer的IP地址無關(guān)，可以將傳輸集直接應(yīng)用到動態(tài)crypto map；由于在接口上只能配置一個crypto map，且虛擬專用網(wǎng)網(wǎng)關(guān)上必須有靜態(tài)crypto map，所以需將動態(tài)crypto map 應(yīng)用到靜態(tài)的crypto map中，再將靜態(tài)crypto map應(yīng)用到接口上，這就是配置crypto map。

5.配置案例

1.配置IP 并且除了R4 別的全部做默認(rèn)路由

橋接一個主機(jī)是64位的，要用虛擬專用網(wǎng)的客戶端程序

如R3配置

R3(config)#int f0/0
R3(config-if)#ip add 192.168.0.10 255.255.255.0
R3(config-if)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1

R1配置：

aaa配置如下

R1(config)#aaa new-model
R1(config)#aaa authentication login bdqn-authen local
R1(config)#aaa authorization network bdqn-author local
R1(config)#username bdqn secret cisco  //創(chuàng)建用戶 加密

階段1配置如下

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share 
R1(config-isakmp)#group 2
R1(config-isakmp)#exit

階段1.5配置如下

R1(config)#ip local pool bdqn-pool 192.168.1.200 192.168.1.210          
//創(chuàng)建地址池
R1(config)#ip access-list extended split-acl
R1(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any 
R1(config-ext-nacl)#exit

創(chuàng)建組策略如下

R1(config)#crypto isakmp client configuration group test-group
R1(config-isakmp-group)#key 123456
R1(config-isakmp-group)#pool bdqn-pool
R1(config-isakmp-group)#dns 192.168.0.10
R1(config-isakmp-group)#acl split-acl
R1(config-isakmp-group)#split-dns bdqn.com
R1(config-isakmp-group)#exit

配置動態(tài)Map

R1(config)#crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac  
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map bdqn-dymap 1
R1(config-crypto-map)#set transform-set bdqn-set
R1(config-crypto-map)#exit

R1(config)#crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
R1(config)#crypto map bdqn-stamap client authentication list bdqn-authen
R1(config)#crypto map bdqn-stamap isakmp authorization list bdqn-author
R1(config)#crypto map bdqn-stamap client configuration address respond 
//用于讓客戶端先發(fā)起連接

R1(config)#int f0/1
R1(config-if)#crypto map bdqn-stamap
//應(yīng)用到外接口

安裝虛擬專用網(wǎng)的客戶端

第一和第二個框位描述信息隨便填，
第三個框?qū)慠1外接口的iP
下面寫組策略的用戶名和密碼，輸入兩遍密碼

輸入aaa的賬號密碼

驗證 用虛擬機(jī)ping

如果把R1換為防火墻

其他配置都一樣

在防火墻上配置如下：

進(jìn)入外接口：nameif outside
進(jìn)入內(nèi)接口：nameif inside
ciscoasa(config)# route outside 0 0 200.0.0.2 //防火墻走默認(rèn)路由

ciscoasa(config)# username bdqn password 123456
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# encryption 3des 
ciscoasa(config-isakmp-policy)# hash sha 
ciscoasa(config-isakmp-policy)# authentication pre-share 
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# exit
ciscoasa(config)# ip local pool bdqn-pool 192.168.1.200-192.168.1.210
ciscoasa(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
ciscoasa(config)# group-policy test-group internal 
ciscoasa(config)# group-policy test-group attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified 
ciscoasa(config-group-policy)# split-tunnel-network-list value split-acl
ciscoasa(config-group-policy)# exit
ciscoasa(config)# tunnel-group bdqn-group type ipsec-ra 
ciscoasa(config)# tunnel-group bdqn-group general-attributes
ciscoasa(config-tunnel-general)# default-group-policy test-group
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group bdqn-group ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key bdqn-key
ciscoasa(config-tunnel-ipsec)# exit
ciscoasa(config)# crypto ipsec transform-set bdqn-set esp-3des esp-sha-hmac 
ciscoasa(config)# crypto dynamic-map bdqn-dymap 1 set  transform-set bdqn-set
ciscoasa(config)# crypto map bdqn-stamap 1000 ipsec-isakmp dynamic bdqn-dymap
ciscoasa(config)# crypto map bdqn-stamap int outside