理解easy vpn的配置步骤

2008-04-24 11:48:32

Easy VPN的特点

1. 端到端模式下，两端路由器都要进行较复杂的配置
2. Easy VPN模式下，Remote只需要进行简单的配置，其余大部分参数由Server端直接推送给它
3. Easy VPN模式常用于用户的远程接入
4. Remote可以是cisco vpn client，server端可以是路由器，其IOS要求高于或等于12.2(8)T

流程1--client向server发送IKE policy

- Easy VPN由client触发
- cisco vpn client中内置了多个IKE policy
- client触发Easy VPN后，会把内置的IKE policy全部发送到server端

流程2-- server 找到匹配的policy

- server 把client 发送来的IKE policy 与自己的policy相比较
- 找到匹配值后成功建立IKE SA

流程3-- server 要client输入用户/口令

- 如果配置了扩展认证Xauth，server 端将要求client端发送用户名/口令进行身份认证
- 配置Xauth将获得更高的安全性，因此建议server端配置Xauth

流程4--server向client推送参数

- 身份认证通过后，client将向server请求其余的配置参数
- Server向client推送的参数至少要包含分配给client的IP地址

流程5--server进行反向路由注入

Server进行反向路由注入(Reverse Route Injeciton，RRI)，为刚分配的client端IP地址产生一条静态路由，以便正确地路由发送给client端的数据包

流程6--建立IPSec SA

Client收到配置参数，双方建立IPSec SA

Easy VPN在server端的配置步骤

1. 创建IKE策略集，该策略集至少要能与vpn client的一个内置策略集相匹配，以便在server和client之间建立IKE SA
2. 定义要推送给client的组属性，其中包含分配给client的地址池、pre-share key等
3. 定义IPSec变换集(只用于client触发建立IPSec SA时，如果是server触发建立IPSec SA就不需要使用)
4. 启用DPD死亡对端检测
5. 配置Xauth扩展认证
6. 把crypto map应用到路由器端口上

Remote access VPN是提供给出差用户或者远程用户访问公司内部资源的远程拨入方式,用户从远程拨入,首先需要身份认证:

!
username dika password 7 0512091A20424A041C //定义本地用户数据库,用于验证的用户名和密码

需要启动AAA

!
aaa new-model
aaa session-id common

ip local pool VPN-POOL 10.1.200.30 10.1.200.40 //地址池,将会分配给远程拨用的用户

在Cisco VPN Client拨入VPN服务器时,需要进行身份认证,出现提示用户输入帐号密码的对话框,如下是定义相关的参数
!
aaa authentication login VPN-LOGIN local //定义身份认证的本地用户数据库,登录验证列表
crypto isakmp xauth timeout 60
crypto map VPN-MAP client authentication list VPN-LOGIN //VPN map调用已经定义好的本地登陆数据库

定义ISAKMP策略,相当于phase 1

!
crypto isakmp policy 100
hash md5
authentication pre-share
group 2

组策略配置

aaa authorization network remote-vpn-group local //授权访问列表名字为remote-vpn-group，本地数据库
crypto isakmp client configuration group remote-vpn-group //调用授权访问列表名remote-vpn-group,配置vpn cleint,group authentication选项,name项需要填写的就是这里定义的
key cisco //密码
domain gdhlt.vpn
pool VPN-POOL //调用已经定义好的地址池
!
crypto map VPN-MAP client configuration address respond //向客户端推送配置
crypto map VPN-MAP isakmp authorization list remote-vpn-group //授权使用remote-vpn-group AAA列表

!
crypto ipsec transform-set remote-vpn esp-des esp-md5-hmac //设置转换集

建立动态加密映射

!
crypto dynamic-map remote-vpn 1
set transform-set remote-vpn //调用转换集
reverse-route //反向路由注入，客户到server，server会生成一条静态路由列表
!

将动态映射到静态映射

crypto map VPN-MAP 1 ipsec-isakmp dynamic remote-vpn
!

打开IKE DPD
crypto isakmp keepalive 20 10

设置环回地址,用于拨入成功后的测试
!
interface Loopback0
ip address 10.1.200.1 255.255.255.0 secondary
ip address 10.1.100.1 255.255.255.0

interface FastEthernet2/0
ip address 10.1.1.11 255.255.255.0
duplex auto
speed auto
crypto map VPN-MAP //将静态映射加载到接口

本文出自 “网络记忆棒” 博客，请务必保留此出处http://netocool.blog.51cto.com/61250/73293

上一篇 AAA配置　　下一篇 [CCNP认证实验之三]Remote access vpn

类别：路由技术 ┆ 技术圈() ┆ 阅读() ┆ 评论() ┆推送到技术圈 ┆返回首页

相关文章

文章评论

[1楼]

[匿名]lisa

2008-04-25 09:09:37

恩讲解的不错好好学学

[2楼]

[匿名]good

2008-12-28 22:44:15

朋友写的不错，不过感觉代码部分写的没有次序性。

[3楼]

[匿名]good

2008-12-28 22:45:01

朋友写的不错，不过好像写的没有次序性啊

[4楼]

[匿名]good

2008-12-28 22:45:36

朋友写的不错，不过代码部分写的好像么有次序性啊！

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：