内容发布更新时间 : 2024/5/19 14:11:32星期一 下面是文章的全部内容请认真阅读。
Easy VPN的配置与实战案例
Easy VPN的配置与案例
4 Easy VPN的配置
本节之前介绍的案例是站点到站点VPN,实现站点到站点的VPN和远距离工作者或工作在外的员工所使用的远程访问类型的VPN不同的是:站点到站点VPN利用连接两端的网关,(Internet上)网关到网关的流量是加密的。
为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN,是不是也要配置那么多的命令和参数呢?很多用户会提出有没有简单点的VPN配置来完成这样的要求。本节介绍一种简单的VPN配置,即Easy VPN。 4.1 Easy VPN概述
从Easy VPN的名字上就知道这应该是个简单的VPN应用技术。Easy VPN分为Easy VPN Server和Easy VPN Remote两种。Easy VPN Server是Remote-Access VPN专业设备,配置复杂,支持Policy Pushing等特性。现在的900、1700、Pix、Vpn 3002和ASA等很多设备都支持。
而Easy VPN Remote就是专门为了小的分支机构所设计的,一般情况下,小分支接口的网络管理员的水平没有那么高,不可能去配置一堆复杂命令来实现Site-to-Site VPN,这时候,只需要通过Easy VPN Remote这个特性配置几条简单的命令,就可以Site-to-Site VPN。所有的配置都在Server端来完成,Client的VPN配置都由Server端采用“推”的方式应用到分支机构的设备上。这种技术极大地避免了分支机构配置VPN失败的问题。但这种VPN不支持路由,不支持组播,只能在IP协议下工作,不支持状态故障切换等技术。所以,需要网络管理员在自己的实际工作中留意这些功能是否需要,再决定是否实施Easy VPN技术。
4.2 基于命令行的Easy VPN配置实例
下面介绍一个基于IOS命令行的Easy VPN Server/Remote配置实例,如图14-9所示。 (点击查看大图)图14-9 Easy VPN接入
RouterServer的配置如下。 crypto isakmp policy 1 encryption 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254 crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192 crypto IPsec transform-set vclient-tfs esp-3des esp-sha-hmac crypto dynamic-map template-map 1 set transform-set vclient-tfs crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 IPsec-isakmp dynamic template-map interface Loopback0 ip address 172.16.1.1 255.255.255.240 interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 crypto map vpnmap ip route 192.168.1.0 255.255.255.0 FastEthernet0 show cry isakmp sa show cry IPsec sa clear cry sa clear cry isakmp debug cry isakmp debug cry IPsec
4.3 基于SDM的Easy VPN配置实例
Easy VPN的配置大部分工作都在VPN Server上完成,减轻了配置工作。在Cisco的设备中,比如,1800系列、2800系列和3800路由器系列,可以不使用命令的方式来完成配置。在这些新系列的设备上可以用SDM(思科路由器和安全设备管理器)软件来配置。 1.Cisco SDM
Cisco SDM 是一种直观且基于 Web 的设备管理工具,用来管理以 Cisco IOS? 软件为基础的路由器。Cisco SDM 可通过智能向导简化路由器及安全配置过程,对于客户及 Cisco 合作伙伴而言,有了这些向导,不必对命令行接口(CLI)有专门的了解,就能快速便捷地部署、配置和监控 Cisco Systems路由器。
SDM在设备上默认HTTPS管理IP是10.0.10.1。所以如果使用默认配置登录的话,一定要保证PC的地址在10.0.10.0网段。SDM的默认用户名是cisco,密码也是cisco 。
SDM程序既可以安装在PC上,也可以安装在路由器上。安装在PC上能节约路由器的内存并且可以用它来管理其他支持SDM管理的路由器,但是这种模式下不能执行恢复默认的操作。安装到路由器时,基本安装需要大约4~5MB的Flash空间,Cisco SDM Express组件需要1.5MB的Flash空间,只用于路由器的初始化配置无须安装。 IE默认禁止网页访问本机资源,需要修改IE的安全设置。选择IE“工具”菜单,选择“Internet选项”,切换到“高级”选项卡,在“设置”里找到“允许活动内容在我的计算机上运行”,启用该功能;另外在“隐私”选项卡中取消“打开窗口阻止程序”选项。
SDM下载地址为 http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm(需要CCO账号),下载并解压SDM-V21.zip,运行Setup程序即可进行SDM的安装。在安装SDM之前要求安装JRE 1.5,如果尚未安装,可以到Sun公司网站下载。
将SDM安装到路由器之后,路由器必须进行以下配置才能支持SDM管理工具。 ip http server //允许HTTP登录 ip https server //允许HTTPS登录 ip http authentication local //指定本地认证 ip http timeout-policy idle idle-number life life-number request request-number //修改Web接口超时参数 user username privilege 15 secret 0 secret //必须是Secret,不可以用Password关键字
如果需要Telnet或者Ssh远程登录设备,则增加以下配置命令。 line vty 0 4 //路由器型号不同VTY的数量也不同 login local transport input telnet ssh //允许Telnet和Ssh 如果以上步骤配置正确完整,则在IE中输入http://“路由器IP地址”,就可以开始使用SDM了。如果是第一次登录SDM,则提示修改默认用户名cisco ,以及默认密码cisco。 具体启用配置SDM软件的方法,请查阅产品随机手册和思科网站上的相关信息,相关资料。使用SDM配置VPN的前提是要能保证配置端可以通过HTTPS访问路由器的Web管理界面。值得庆幸的是SDM如今已经支持中文版本。
2.SDM配置Easy VPN的步骤
下面介绍使用思科安全设备管理器(SDM)将Cisco路由器配置成Easy VPN Server。一旦思科路由器配置完成后,可以使用思科VPN客户端(Cisco Systems VPN Client)进行验证。
第1步:从左侧主操作窗口选择Configure→VPN→Easy VPN Server,然后单击Launch Easy VPN Server Wizard,启动Easy VPN服务器向导,如图14-10所示。
图4-10 Launch Easy VPN Server Wizard
第2步:在弹出的对话框单击【Yes】按钮,这里提示如果对路由器配置Easy VPN Server需要启用AAA认证。请单击【Yes】按钮继续进行配置, 如图14-11所示。
如图14-12所示,表示路由器已经成功启用AAA。单击【OK】按钮,下面可以轻松地配置VPN服务器了。 图14-11 启用AAA提示
图14-12 确认AAA配置完成
第3步:正式进入Easy VPN配置向导,图14-13所示显示了配置过程需要选择的配置和启动的服务,单击【下一步】按钮。
第4步:首先要求选择应用Easy VPN的接口,客户端连接终止及身份验证的方法,如图14-14所示。