Cisco 路由器之Easy虛擬專用網(wǎng)（解決出差員工訪問公司

在之前寫過了Cisco路由器之IPSec 虛擬專用網(wǎng)；在Cisco的ASA防火墻上實現(xiàn)IPSec虛擬專用網(wǎng)。這兩篇博文都是用于實現(xiàn)總公司和分公司之間建立虛擬專用網(wǎng)的，那么還有一種使用很多的情況，就是出差人員想要訪問公司內(nèi)網(wǎng)的資源呢？由于出差人員只是單一的一個客戶端，所以和前兩篇博文不一樣，前兩篇博文.da.建.虛.擬.專.用網(wǎng)，兩端設(shè)備都是路由器或防火墻，有固定的IP地址，所以呢，并不能實現(xiàn)出差人員訪問，這篇博文的目的，就是實現(xiàn)出差人員可以訪問公司內(nèi)網(wǎng)資源的，這個技術(shù)被稱之為——Easy 虛擬專用網(wǎng)。

傳送門：
Cisco路由器之IPSec 虛擬專用網(wǎng)：https://blog.51cto.com/14227204/2448319
Cisco ASA 實現(xiàn) IPSec 虛擬專用網(wǎng)：https://blog.51cto.com/14227204/2448965

一、在路由器上實現(xiàn)Easy 虛擬專用網(wǎng)需要配置什么？這篇博文將寫下如何在路由器上實現(xiàn)Easy 虛擬專用網(wǎng)。如果網(wǎng)關(guān)設(shè)備是Cisco ASA防火墻，配置可參考：
1、XAUTH身份驗證
在原有的IPSec協(xié)議上，并沒有用戶驗證的功能，所以引入了一個RFC的草案——XAUTH。它是一個虛擬專用網(wǎng)網(wǎng)關(guān)的增強特性，提供用戶名和密碼的方式來驗證用戶身份。由于這個過程是在兩個連接建立之間完成的，所以被戲稱為“階段1.5”（關(guān)于兩個階段的介紹，可以參考Cisco路由器之IPSec 虛擬專用網(wǎng)，有詳細的介紹）。

談到用戶驗證自然就涉及到了用戶名和密碼的存儲方式，通常情況下有兩種方式：

• 存儲在虛擬專用網(wǎng)網(wǎng)關(guān)設(shè)備的內(nèi)部數(shù)據(jù)庫中，實現(xiàn)簡單，我接下來就使用這種方式；
• 存儲在第三方設(shè)備上，如一臺AAA服務(wù)器。

2、組策略
要實現(xiàn)Easy 虛擬專用網(wǎng)，那么一定要在虛擬專用網(wǎng)設(shè)備上配置一些策略，然后，當(dāng)客戶端來連接虛擬專用網(wǎng)設(shè)備時，經(jīng)過身份驗證后，主動將配置的策略推送給客戶端，以便成功建立連接，那么這個提前被配置的策略就被稱之為組策略。

組策略包含如下：
（1）地址池：可以使虛擬專用網(wǎng)設(shè)備像DHCP服務(wù)器一樣為每個通過驗證的客戶端“推送”IP地址。這樣，由于客戶端的IP地址是虛擬專用網(wǎng)網(wǎng)關(guān)動態(tài)分配的，虛擬專用網(wǎng)設(shè)備自然也就知道該與哪個IP建立虛擬專用網(wǎng)連接。示意圖如下：

（2）DNS和網(wǎng)關(guān)：和DHCP服務(wù)器一樣，除了給客戶端分配IP地址以外，還要分配網(wǎng)關(guān)和DNS，這樣客戶端就擁有了內(nèi)網(wǎng)的IP、網(wǎng)關(guān)及DNS等必備的資源，真正成為內(nèi)網(wǎng)的一員，如下所示：

（3）交換共享密鑰：在遠程訪問虛擬專用網(wǎng)中，虛擬專用網(wǎng)網(wǎng)關(guān)需要與多組客戶端“共享密鑰”，因此在配置虛擬專用網(wǎng)時需要為每組客戶端設(shè)置不同的共享密鑰，客戶端的密鑰并不是虛擬專用網(wǎng)網(wǎng)關(guān)推送的，而是需要用戶通過客戶端軟件配置在主機上，而這個過程一般是由公司的網(wǎng)絡(luò)管理員來實現(xiàn)的，那么這個密鑰自然是保存在客戶端主機本地了，因此才有了“階段1.5”的存在，如下：

（4）分離隧道：默認(rèn)情況下，客戶端與虛擬專用網(wǎng)網(wǎng)關(guān)建立隧道后，只能訪問內(nèi)網(wǎng)授權(quán)的資源，這是因為隧道會允許所有的流量，也就是說所有的流量必須經(jīng)過隧道到達公司內(nèi)網(wǎng)，自然也就不允許任何流量fang wen wai wang ，而對于客戶端來說，fang wen wai wang，再正常不過了，所以需要針對遠程訪問虛擬專用網(wǎng)配置ACL來分離隧道，通過配置ACL，所有“permit”的流量都被加密傳輸，所有“deny”的流量都被明文傳輸，而加密的流量就是通過隧道訪問公司內(nèi)網(wǎng)的流量，明文的流量就是訪問Internet的流量，將這個ACL應(yīng)用到組策略中即可實現(xiàn)需求，如下：

（5）分離DNS：當(dāng)客戶端主機通過遠程訪問虛擬專用網(wǎng)連接到公司內(nèi)網(wǎng)，即使隧道分離后，客戶端訪問Internet的web服務(wù)器時，也需要使用公司內(nèi)網(wǎng)的DNS解析，但這不是一個合理的過程，如果客戶端每次訪問百度，都要經(jīng)過公司內(nèi)網(wǎng)進行DNS解析，其實是沒必要的，太浪費資源了，所以要實現(xiàn)客戶端訪問公司內(nèi)網(wǎng)的web服務(wù)器時，使用公司內(nèi)網(wǎng)的DNS解析，若訪問百度，則使用Internet的DNS，如果要實現(xiàn)不同的域名使用不同的DNS，就需要用到了分離DNS，如下圖：

3、動態(tài)crypto map
因為我們無法實現(xiàn)在虛擬專用網(wǎng)設(shè)備的靜態(tài)crypto map中指定客戶端的地址（客戶端的地址由虛擬專用網(wǎng)的DHCP服務(wù)分發(fā)，不是固定的），所以需要將靜態(tài)crypto map中需要的參數(shù)被動態(tài)填充，使用動態(tài)crypto map 必須采用ISAKMP/IKE發(fā)起協(xié)商，而且在實現(xiàn)遠程訪問虛擬專用網(wǎng)的時候通常在虛擬專用網(wǎng)網(wǎng)關(guān)上同時配置靜態(tài)和動態(tài)的crypto map，因為只有一臺具有靜態(tài)配置的設(shè)備可以發(fā)起IPSec的隧道，也正是如此，動態(tài)的crypto map很少被用于L2L（局域網(wǎng)to局域網(wǎng)）會話建立。

在實現(xiàn)遠程訪問虛擬局域網(wǎng)的時候，一般會先配置transform-set，因為指定傳輸集與peer的IP地址無關(guān)，可以將傳輸集直接應(yīng)用到動態(tài)crypto map；由于在接口上只能配置一個crypto map，且虛擬專用網(wǎng)網(wǎng)關(guān)上必須有靜態(tài)crypto map，所以需將動態(tài)crypto map 應(yīng)用到靜態(tài)的crypto map中，再將靜態(tài)crypto map應(yīng)用到接口上，這就是配置crypto map的一般思路，如下圖所示：

二、配置實例
1、環(huán)境如下：

2、環(huán)境分析：

（1）在公司網(wǎng)關(guān)路由器上配置虛擬專用網(wǎng)，客戶端（出差人員）可以連接到虛擬專用網(wǎng)，并訪問內(nèi)網(wǎng)提供的DNS服務(wù)及HTTP（www.test.com ） 服務(wù)（使用該域名訪問，內(nèi)網(wǎng)中的DNS負(fù)責(zé)解析該域名），為了簡化環(huán)境，所以集成到一臺服務(wù)器上了。
（2）客戶端連接到虛擬專用網(wǎng)后，還可以使用Internet的DNS及HTTP服務(wù)，模擬www.baidu.com 網(wǎng)站服務(wù)，并使用Internet上的服務(wù)器提供的DNS服務(wù)解析該域名。
（3）自行配置正確的路由器接口及各個服務(wù)器的IP、網(wǎng)關(guān)、路由（服務(wù)器配置相應(yīng)的網(wǎng)關(guān)，路由器R1只需配置接口IP及一條默認(rèn)路由指向R2路由器即可，R2路由器除了接口IP以外什么都不要配置，尤其是路由表，否則可能測試不出來虛擬專用網(wǎng)的效果）。
（4）客戶端需要安裝Cisco提供的客戶端軟件進行連接。
3、配置前準(zhǔn)備：

（1）下載客戶端使用的軟件，并安裝在客戶端，用來連接虛擬專用網(wǎng)（我這里是windows 7的client安裝包，如果客戶端是Windows 10，請參考博文：Windows 10 安裝虛擬專用網(wǎng)client端）：https://blog.51cto.com/14154700/2431163
（2）自行配置路由器接口IP地址及路由（這些基礎(chǔ)配置命令就不展示了，我之前的博文有寫到過，或者自行百度吧）。
（3）自行配置各個服務(wù)器及客戶端的IP及網(wǎng)關(guān)。
（4）自行在相關(guān)服務(wù)器上搭建web服務(wù)及DNS服務(wù)（這兩個服務(wù)不是這篇博客想要介紹的，我這里簡單搭了一個，我之前的博文有搭相關(guān)服務(wù)的，可以自行查看）。
4、開始配置
公司內(nèi)網(wǎng)路由器配置（接口IP自行配置）：

Router(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.1              # 配置一條向外的默認(rèn)路由
Router(config)#aaa new-model                      # 開啟三A
#以下是為遠程訪問虛擬專用網(wǎng)客戶端進行認(rèn)證及授權(quán)。
# “ test1-authen”是自定義的認(rèn)證名稱，“l(fā)ocal”表示本地認(rèn)證方式，
#也可以使用“group radius”，路由器會轉(zhuǎn)發(fā)給指定的RADIUS服務(wù)器進行驗證，
#這里就使用“l(fā)ocal”了，方便。
Router(config)#aaa authentication login test-authen local              # 認(rèn)證
Router(config)#aaa authorization network test-author local           # 授權(quán)
Router(config)#username zhangsan secret 123123                   # AAA的認(rèn)證用戶及密碼
#以下是"配置虛擬專用網(wǎng)階段1"，是指定管理連接的相關(guān)參數(shù)，加密算法等
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#hash sha
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 2
#階段1至此配置完畢
Router(config-isakmp)#exit
#接下來"配置階段1.5"，就是需要在管理連接后建立成功后，推送給客戶端的配置了。
#以下是配置一個地址池，池中的地址是向客戶端分發(fā)的，
#地址池的網(wǎng)段地址，不可以和內(nèi)網(wǎng)使用同一網(wǎng)段，否則將會影響最終通信
Router(config)#ip local pool test-pool 192.168.1.200 192.168.1.210
#以下是定義一個命名的ACL，這個ACL是推送給客戶端使用的，只有ACL允許的源地址是可以被客戶端訪問的
Router(config)#ip access-list extended split-acl
#這個ACL是允許192.168.0.0去往任何地址，當(dāng)推送到客戶端時，就會反過來。
#變成了允許任何IP地址訪問192.168.0.0。因為這里的源地址是站在路由器的角度的。
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any
#以下是創(chuàng)建用戶組
Router(config)#crypto isakmp client configuration group test-group
Router(config-isakmp-group)#key 321321              # 用戶組密碼
Router(config-isakmp-group)#pool test-pool           # 應(yīng)用剛才定義的地址池
Router(config-isakmp-group)#dns 192.168.0.10          # 指定dns
Router(config-isakmp-group)#acl split-acl               # 應(yīng)用acl
Router(config-isakmp-group)#split-dns test.com      # 指定要分離出來的域名
Router(config-isakmp-group)#exit 
#階段1.5至此就配置完畢了。

#"配置階段2，也就是數(shù)據(jù)連接的相關(guān)配置"
Router(config)#crypto ipsec transform-set test-set esp-3des esp-sha-hmac            # 配置傳輸集
Router(cfg-crypto-trans)#exit
Router(config)#crypto dynamic-map test-dymap 1          # 創(chuàng)建動態(tài)map，“1”是序號，用來定義優(yōu)先級
Router(config-crypto-map)#set transform-set test-set         #在動態(tài)crypto map中定義transform-set（傳輸集）
Router(config-crypto-map)#exit
#以下是配置應(yīng)用到靜態(tài)crypto  map中，由于同一臺網(wǎng)關(guān)設(shè)備還會存在和分公司的虛擬專用網(wǎng)靜態(tài)map，
#所以建議將這種方式的虛擬專用網(wǎng)配置的序號靠后一點，優(yōu)先匹配與分公司之間的虛擬專用網(wǎng)靜態(tài)map，這里定義為1000
Router(config)#crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap       #引用剛才創(chuàng)建的動態(tài)map
# 以下配置是讓客戶端發(fā)起連接
Router(config)#crypto map test-stamap client authentication list test-authen
Router(config)#crypto map test-stamap isakmp authorization list test-author
Router(config)#crypto map test-stamap client configuration address respond
Router(config)#int f 0/1
Router(config-if)#crypto map test-stamap            # 應(yīng)用到接口

公司網(wǎng)關(guān)路由器上關(guān)于虛擬專用網(wǎng)的配置已經(jīng)完成了，現(xiàn)在使用客戶端安裝專用軟件，連接虛擬專用網(wǎng)，并測試訪問即可。
客戶端配置如下：











使用客戶端進行訪問驗證：