Cisco路由器之Easy虛擬專用網(wǎng)（解決出差員工訪問公司-創(chuàng)新互聯(lián)

在之前寫過了Cisco路由器之IPSec 虛擬專用網(wǎng)；在Cisco的ASA防火墻上實(shí)現(xiàn)IPSec虛擬專用網(wǎng)。這兩篇博文都是用于實(shí)現(xiàn)總公司和分公司之間建立虛擬專用網(wǎng)的，那么還有一種使用很多的情況，就是出差人員想要訪問公司內(nèi)網(wǎng)的資源呢？由于出差人員只是單一的一個(gè)客戶端，所以和前兩篇博文不一樣，前兩篇博文.da.建.虛.擬.專.用網(wǎng)，兩端設(shè)備都是路由器或防火墻，有固定的IP地址，所以呢，并不能實(shí)現(xiàn)出差人員訪問，這篇博文的目的，就是實(shí)現(xiàn)出差人員可以訪問公司內(nèi)網(wǎng)資源的，這個(gè)技術(shù)被稱之為——Easy 虛擬專用網(wǎng)。

我們提供的服務(wù)有：網(wǎng)站制作、網(wǎng)站建設(shè)、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、犍為ssl等。為上1000+企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的犍為網(wǎng)站制作公司

傳送門：
Cisco路由器之IPSec 虛擬專用網(wǎng)：https://blog.51cto.com/14227204/2448319
Cisco ASA 實(shí)現(xiàn) IPSec 虛擬專用網(wǎng)：https://blog.51cto.com/14227204/2448965

一、在路由器上實(shí)現(xiàn)Easy 虛擬專用網(wǎng)需要配置什么？這篇博文將寫下如何在路由器上實(shí)現(xiàn)Easy 虛擬專用網(wǎng)。如果網(wǎng)關(guān)設(shè)備是Cisco ASA防火墻，配置可參考：
1、XAUTH身份驗(yàn)證
在原有的IPSec協(xié)議上，并沒有用戶驗(yàn)證的功能，所以引入了一個(gè)RFC的草案——XAUTH。它是一個(gè)虛擬專用網(wǎng)網(wǎng)關(guān)的增強(qiáng)特性，提供用戶名和密碼的方式來驗(yàn)證用戶身份。由于這個(gè)過程是在兩個(gè)連接建立之間完成的，所以被戲稱為“階段1.5”（關(guān)于兩個(gè)階段的介紹，可以參考Cisco路由器之IPSec 虛擬專用網(wǎng)，有詳細(xì)的介紹）。

談到用戶驗(yàn)證自然就涉及到了用戶名和密碼的存儲(chǔ)方式，通常情況下有兩種方式：

• 存儲(chǔ)在虛擬專用網(wǎng)網(wǎng)關(guān)設(shè)備的內(nèi)部數(shù)據(jù)庫(kù)中，實(shí)現(xiàn)簡(jiǎn)單，我接下來就使用這種方式；
• 存儲(chǔ)在第三方設(shè)備上，如一臺(tái)AAA服務(wù)器。

2、組策略
要實(shí)現(xiàn)Easy 虛擬專用網(wǎng)，那么一定要在虛擬專用網(wǎng)設(shè)備上配置一些策略，然后，當(dāng)客戶端來連接虛擬專用網(wǎng)設(shè)備時(shí)，經(jīng)過身份驗(yàn)證后，主動(dòng)將配置的策略推送給客戶端，以便成功建立連接，那么這個(gè)提前被配置的策略就被稱之為組策略。

組策略包含如下：
（1）地址池：可以使虛擬專用網(wǎng)設(shè)備像DHCP服務(wù)器一樣為每個(gè)通過驗(yàn)證的客戶端“推送”IP地址。這樣，由于客戶端的IP地址是虛擬專用網(wǎng)網(wǎng)關(guān)動(dòng)態(tài)分配的，虛擬專用網(wǎng)設(shè)備自然也就知道該與哪個(gè)IP建立虛擬專用網(wǎng)連接。示意圖如下：

（2）DNS和網(wǎng)關(guān)：和DHCP服務(wù)器一樣，除了給客戶端分配IP地址以外，還要分配網(wǎng)關(guān)和DNS，這樣客戶端就擁有了內(nèi)網(wǎng)的IP、網(wǎng)關(guān)及DNS等必備的資源，真正成為內(nèi)網(wǎng)的一員，如下所示：

（3）交換共享密鑰：在遠(yuǎn)程訪問虛擬專用網(wǎng)中，虛擬專用網(wǎng)網(wǎng)關(guān)需要與多組客戶端“共享密鑰”，因此在配置虛擬專用網(wǎng)時(shí)需要為每組客戶端設(shè)置不同的共享密鑰，客戶端的密鑰并不是虛擬專用網(wǎng)網(wǎng)關(guān)推送的，而是需要用戶通過客戶端軟件配置在主機(jī)上，而這個(gè)過程一般是由公司的網(wǎng)絡(luò)管理員來實(shí)現(xiàn)的，那么這個(gè)密鑰自然是保存在客戶端主機(jī)本地了，因此才有了“階段1.5”的存在，如下：

（4）分離隧道：默認(rèn)情況下，客戶端與虛擬專用網(wǎng)網(wǎng)關(guān)建立隧道后，只能訪問內(nèi)網(wǎng)授權(quán)的資源，這是因?yàn)樗淼罆?huì)允許所有的流量，也就是說所有的流量必須經(jīng)過隧道到達(dá)公司內(nèi)網(wǎng)，自然也就不允許任何流量fang wen wai wang ，而對(duì)于客戶端來說，fang wen wai wang，再正常不過了，所以需要針對(duì)遠(yuǎn)程訪問虛擬專用網(wǎng)配置ACL來分離隧道，通過配置ACL，所有“permit”的流量都被加密傳輸，所有“deny”的流量都被明文傳輸，而加密的流量就是通過隧道訪問公司內(nèi)網(wǎng)的流量，明文的流量就是訪問Internet的流量，將這個(gè)ACL應(yīng)用到組策略中即可實(shí)現(xiàn)需求，如下：

（5）分離DNS：當(dāng)客戶端主機(jī)通過遠(yuǎn)程訪問虛擬專用網(wǎng)連接到公司內(nèi)網(wǎng)，即使隧道分離后，客戶端訪問Internet的web服務(wù)器時(shí)，也需要使用公司內(nèi)網(wǎng)的DNS解析，但這不是一個(gè)合理的過程，如果客戶端每次訪問百度，都要經(jīng)過公司內(nèi)網(wǎng)進(jìn)行DNS解析，其實(shí)是沒必要的，太浪費(fèi)資源了，所以要實(shí)現(xiàn)客戶端訪問公司內(nèi)網(wǎng)的web服務(wù)器時(shí)，使用公司內(nèi)網(wǎng)的DNS解析，若訪問百度，則使用Internet的DNS，如果要實(shí)現(xiàn)不同的域名使用不同的DNS，就需要用到了分離DNS，如下圖：

3、動(dòng)態(tài)crypto map
因?yàn)槲覀儫o法實(shí)現(xiàn)在虛擬專用網(wǎng)設(shè)備的靜態(tài)crypto map中指定客戶端的地址（客戶端的地址由虛擬專用網(wǎng)的DHCP服務(wù)分發(fā)，不是固定的），所以需要將靜態(tài)crypto map中需要的參數(shù)被動(dòng)態(tài)填充，使用動(dòng)態(tài)crypto map 必須采用ISAKMP/IKE發(fā)起協(xié)商，而且在實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)的時(shí)候通常在虛擬專用網(wǎng)網(wǎng)關(guān)上同時(shí)配置靜態(tài)和動(dòng)態(tài)的crypto map，因?yàn)橹挥幸慌_(tái)具有靜態(tài)配置的設(shè)備可以發(fā)起IPSec的隧道，也正是如此，動(dòng)態(tài)的crypto map很少被用于L2L（局域網(wǎng)to局域網(wǎng)）會(huì)話建立。

在實(shí)現(xiàn)遠(yuǎn)程訪問虛擬局域網(wǎng)的時(shí)候，一般會(huì)先配置transform-set，因?yàn)橹付▊鬏敿cpeer的IP地址無關(guān)，可以將傳輸集直接應(yīng)用到動(dòng)態(tài)crypto map；由于在接口上只能配置一個(gè)crypto map，且虛擬專用網(wǎng)網(wǎng)關(guān)上必須有靜態(tài)crypto map，所以需將動(dòng)態(tài)crypto map 應(yīng)用到靜態(tài)的crypto map中，再將靜態(tài)crypto map應(yīng)用到接口上，這就是配置crypto map的一般思路，如下圖所示：

二、配置實(shí)例
1、環(huán)境如下：

2、環(huán)境分析：

（1）在公司網(wǎng)關(guān)路由器上配置虛擬專用網(wǎng)，客戶端（出差人員）可以連接到虛擬專用網(wǎng)，并訪問內(nèi)網(wǎng)提供的DNS服務(wù)及HTTP（www.test.com ） 服務(wù)（使用該域名訪問，內(nèi)網(wǎng)中的DNS負(fù)責(zé)解析該域名），為了簡(jiǎn)化環(huán)境，所以集成到一臺(tái)服務(wù)器上了。
（2）客戶端連接到虛擬專用網(wǎng)后，還可以使用Internet的DNS及HTTP服務(wù)，模擬www.baidu.com 網(wǎng)站服務(wù)，并使用Internet上的服務(wù)器提供的DNS服務(wù)解析該域名。
（3）自行配置正確的路由器接口及各個(gè)服務(wù)器的IP、網(wǎng)關(guān)、路由（服務(wù)器配置相應(yīng)的網(wǎng)關(guān)，路由器R1只需配置接口IP及一條默認(rèn)路由指向R2路由器即可，R2路由器除了接口IP以外什么都不要配置，尤其是路由表，否則可能測(cè)試不出來虛擬專用網(wǎng)的效果）。
（4）客戶端需要安裝Cisco提供的客戶端軟件進(jìn)行連接。
3、配置前準(zhǔn)備：

（1）下載客戶端使用的軟件，并安裝在客戶端，用來連接虛擬專用網(wǎng)（我這里是windows 7的client安裝包，如果客戶端是Windows 10，請(qǐng)參考博文：Windows 10 安裝虛擬專用網(wǎng)client端）：https://blog.51cto.com/14154700/2431163
（2）自行配置路由器接口IP地址及路由（這些基礎(chǔ)配置命令就不展示了，我之前的博文有寫到過，或者自行百度吧）。
（3）自行配置各個(gè)服務(wù)器及客戶端的IP及網(wǎng)關(guān)。
（4）自行在相關(guān)服務(wù)器上搭建web服務(wù)及DNS服務(wù)（這兩個(gè)服務(wù)不是這篇博客想要介紹的，我這里簡(jiǎn)單搭了一個(gè)，我之前的博文有搭相關(guān)服務(wù)的，可以自行查看）。
4、開始配置
公司內(nèi)網(wǎng)路由器配置（接口IP自行配置）：

Router(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.1              # 配置一條向外的默認(rèn)路由
Router(config)#aaa new-model                      # 開啟三A
#以下是為遠(yuǎn)程訪問虛擬專用網(wǎng)客戶端進(jìn)行認(rèn)證及授權(quán)。
# “ test1-authen”是自定義的認(rèn)證名稱，“l(fā)ocal”表示本地認(rèn)證方式，
#也可以使用“group radius”，路由器會(huì)轉(zhuǎn)發(fā)給指定的RADIUS服務(wù)器進(jìn)行驗(yàn)證，
#這里就使用“l(fā)ocal”了，方便。
Router(config)#aaa authentication login test-authen local              # 認(rèn)證
Router(config)#aaa authorization network test-author local           # 授權(quán)
Router(config)#username zhangsan secret 123123                   # AAA的認(rèn)證用戶及密碼
#以下是"配置虛擬專用網(wǎng)階段1"，是指定管理連接的相關(guān)參數(shù)，加密算法等
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#hash sha
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 2
#階段1至此配置完畢
Router(config-isakmp)#exit
#接下來"配置階段1.5"，就是需要在管理連接后建立成功后，推送給客戶端的配置了。
#以下是配置一個(gè)地址池，池中的地址是向客戶端分發(fā)的，
#地址池的網(wǎng)段地址，不可以和內(nèi)網(wǎng)使用同一網(wǎng)段，否則將會(huì)影響最終通信
Router(config)#ip local pool test-pool 192.168.1.200 192.168.1.210
#以下是定義一個(gè)命名的ACL，這個(gè)ACL是推送給客戶端使用的，只有ACL允許的源地址是可以被客戶端訪問的
Router(config)#ip access-list extended split-acl
#這個(gè)ACL是允許192.168.0.0去往任何地址，當(dāng)推送到客戶端時(shí)，就會(huì)反過來。
#變成了允許任何IP地址訪問192.168.0.0。因?yàn)檫@里的源地址是站在路由器的角度的。
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any
#以下是創(chuàng)建用戶組
Router(config)#crypto isakmp client configuration group test-group
Router(config-isakmp-group)#key 321321              # 用戶組密碼
Router(config-isakmp-group)#pool test-pool           # 應(yīng)用剛才定義的地址池
Router(config-isakmp-group)#dns 192.168.0.10          # 指定dns
Router(config-isakmp-group)#acl split-acl               # 應(yīng)用acl
Router(config-isakmp-group)#split-dns test.com      # 指定要分離出來的域名
Router(config-isakmp-group)#exit 
#階段1.5至此就配置完畢了。

#"配置階段2，也就是數(shù)據(jù)連接的相關(guān)配置"
Router(config)#crypto ipsec transform-set test-set esp-3des esp-sha-hmac            # 配置傳輸集
Router(cfg-crypto-trans)#exit
Router(config)#crypto dynamic-map test-dymap 1          # 創(chuàng)建動(dòng)態(tài)map，“1”是序號(hào)，用來定義優(yōu)先級(jí)
Router(config-crypto-map)#set transform-set test-set         #在動(dòng)態(tài)crypto map中定義transform-set（傳輸集）
Router(config-crypto-map)#exit
#以下是配置應(yīng)用到靜態(tài)crypto  map中，由于同一臺(tái)網(wǎng)關(guān)設(shè)備還會(huì)存在和分公司的虛擬專用網(wǎng)靜態(tài)map，
#所以建議將這種方式的虛擬專用網(wǎng)配置的序號(hào)靠后一點(diǎn)，優(yōu)先匹配與分公司之間的虛擬專用網(wǎng)靜態(tài)map，這里定義為1000
Router(config)#crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap       #引用剛才創(chuàng)建的動(dòng)態(tài)map
# 以下配置是讓客戶端發(fā)起連接
Router(config)#crypto map test-stamap client authentication list test-authen
Router(config)#crypto map test-stamap isakmp authorization list test-author
Router(config)#crypto map test-stamap client configuration address respond
Router(config)#int f 0/1
Router(config-if)#crypto map test-stamap            # 應(yīng)用到接口

公司網(wǎng)關(guān)路由器上關(guān)于虛擬專用網(wǎng)的配置已經(jīng)完成了，現(xiàn)在使用客戶端安裝專用軟件，連接虛擬專用網(wǎng)，并測(cè)試訪問即可。
客戶端配置如下：











使用客戶端進(jìn)行訪問驗(yàn)證：

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

標(biāo)題名稱：Cisco路由器之Easy虛擬專用網(wǎng)（解決出差員工訪問公司-創(chuàng)新互聯(lián)
分享地址：http://bm7419.com/article42/didhec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動(dòng)網(wǎng)站建設(shè)、服務(wù)器托管、Google、網(wǎng)站收錄、云服務(wù)器、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)