实现站点到站点的VPN和远距离工作者或工作在外的员工所使用的远程访问类型的VPN不同的是:站点到站点VPN利用连接两端的网关,(Internet上)网关到网关的流量是加密的。
为了向远距离作业者或作业在外的职工所供给的长途拜访类型的VPN,是不是也要装备那么多的指令和参数呢?许多用户会提出有没有简略点的VPN装备来完结这样的要求。本节介绍一种简略的VPN装备,即Easy VPN。
移动VPN技能:Easy VPN
从Easy VPN的姓名上就知道这应该是个简略的VPN使用技能。Easy VPN分为Easy VPN Server和Easy VPN Remote两种。Easy VPN Server是Remote-Access VPN专业设备,装备杂乱,支撑Policy Pushing等特性。现在的900、1700、Pix、Vpn 3002和ASA等许多设备都支撑。
而Easy VPN Remote便是专门为了小的分支机构所规划的,一般情况下,小分支接口的网络办理员的水平没有那么高,不行能去装备一堆杂乱指令来完结Site-to-Site VPN,这时候,只需求经过Easy VPN Remote这个特性装备几条简略的指令,就能够Site-to-Site VPN。一切的装备都在Server端来完结,Client的VPN装备都由Server端选用“推”的办法使用到分支机构的设备上。这种技能极大地避免了分支机构装备VPN失利的问题。但这种VPN不支撑路由,不支撑组播,只能在IP协议下作业,不支撑状况毛病切换等技能。所以,需求网络办理员在自己的实践作业中留心这些功用是否需求,再决议是否施行Easy VPN技能。 #p#
根据指令行的Easy VPN装备实例
下面介绍一个根据IOS指令行的Easy VPN Server/Remote装备实例,如图所示。
图Easy VPN接入
RouterServer的装备如下。
crypto isakmp policy 1 encryption 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254 crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192 encryption 3des 0 encryption 3des 1 encryption 3des 2 encryption 3des 3 encryption 3des 4 encryption 3des 5 encryption 3des 6 encryption 3des 7 encryption 3des 8 encryption 3des 9 authentication pre-share 0 authentication pre-share 1 authentication pre-share 2 authentication pre-share 3 authentication pre-share 4 authentication pre-share 5 authentication pre-share 6 authentication pre-share 7 |
#p#
根据SDM的Easy VPN装备实例
Easy VPN的装备大部分作业都在VPN Server上完结,减轻了装备作业。在Cisco的设备中,比方,1800系列、2800系列和3800路由器系列,能够不运用指令的办法来完结装备。在这些新系列的设备上能够用SDM(思科路由器和安全设备办理器)软件来装备。
1. Cisco SDM >Cisco SDM 是一种直观且根据 Web 的设备办理东西,用来办理以 Cisco IOS? 软件为根底的路由器。Cisco SDM 可经过智能导游简化路由器及安全装备进程,关于客户及 Cisco 合作伙伴而言,有了这些导游,不用对指令行接口(CLI)有专门的了解,就能快速快捷地布置、装备和监控 Cisco Systems路由器。
SDM在设备上默许HTTPS办理IP是10.0.10.1。所以假如运用默许装备登录的话,一定要确保PC的地址在10.0.10.0网段。SDM的默许用户名是cisco,暗码也是cisco 。
SDM程序既能够装置在PC上,也能够装置在路由器上。装置在PC上能节省路由器的内存而且能够用它来办理其他支撑SDM办理的路由器,可是这种形式下不能履行康复默许的操作。装置到路由器时,根本装置需求大约4~5MB的Flash空间,Cisco SDM Express组件需求1.5MB的Flash空间,只用于路由器的初始化装备无须装置。
提示:
IE默许制止网页拜访本机资源,需求修正IE的安全设置。挑选IE“东西”菜单,挑选“Internet选项”,切换到“高档”选项卡,在“设置”里找到“答应活动内容在我的核算机上运转”,启用该功用;另外在“隐私”选项卡中撤销“翻开窗口阻挠程序”选项。
SDM下载地址为 http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm(需求CCO账号),下载并解压SDM-V21.zip,运转Setup程序即可进行SDM的装置。在装置SDM之前要求装置JRE 1.5,假如没有装置,能够到Sun公司网站下载。
将SDM装置到路由器之后,路由器有必要进行以下装备才干支撑SDM办理东西。
ip http server //答应HTTP登录
ip https server //答应HTTPS登录
ip http authentication local //指定本地认证
ip http timeout-policy idle idle-number life life-number request request-number //修正Web接口超时参数
user username privilege 15 secret 0 secret //有必要是Secret,不行以用Password关键字
假如需求Telnet或许Ssh长途登录设备,则增加以下装备指令。
line vty 0 4 //路由器类型不同VTY的数量也不同
login local
transport input telnet ssh //答应Telnet和Ssh
假如以上过程装备正确完好,则在IE中输入http://“路由器IP地址”,就能够开始运用SDM了。假如是第一次登录SDM,则提示修正默许用户名cisco ,以及默许暗码cisco。
提示:
详细启用装备SDM软件的办法,请查阅产品随机手册和思科网站上的相关信息,相关材料。运用SDM装备VPN的条件是要能确保装备端能够经过HTTPS拜访路由器的Web办理界面。值得幸亏的是SDM现在现已支撑中文版别。
2. SDM装备Easy VPN的过程
3. 下面介绍运用思科安全设备办理器(SDM)将Cisco路由器装备成Easy VPN Server。一旦思科路由器装备完结后,能够运用思科VPN客户端(Cisco Systems VPN Client)进行验证。
第1步:从左边主操作窗口挑选Configure→VPN→Easy VPN Server,然后单击Launch Easy VPN Server Wizard,发动Easy VPN服务器导游。
第2步:在弹出的对话框单击【Yes】按钮,这儿提示假如对路由器装备Easy VPN Server需求启用AAA认证。请单击【Yes】按钮持续进行装备。
第3步:正式进入Easy VPN装备导游。
第4步:首要要求挑选使用Easy VPN的接口,客户端衔接停止及身份验证的办法,如图所示。
图:发动VPN接口和认证类型
第5步:单击【下一步】按钮,将装备Internet密钥交流(IKE)的战略,单击【Add】按钮,增加新的战略,如图14-15所示。
提示:
装备VPN地道的选项有必要是两边匹配的。这儿是针对“思科VPN客户端” 自身主动挑选恰当的装备。因而,有必要对客户端电脑装备IKE。
第6步:单击【下一步】按钮,挑选默许转化设置或增加新的转化加密和认证算法,如图14-16所示。单击【Add】按钮,增加转化算法设置。
第7步:增加一个新的验证、授权和记账战略,这儿挑选界说验证的办法为本地装备。
提示:
授权网络拜访名单和组战略,这儿能够查找或挑选一个现有的本地和网络装备清单用做企业的VPN拜访授权。
第8步:挑选用户认证数据库。能够在存储用户认证细节上挑选一个外部服务器,如一个RADIUS服务器或本地数据库,或许两者一起启用。
第9步:在下图所示的对话框中,能够对本地数据库增加、修正、仿制或删去用户组战略。
图14-20 挑选对本地数据库的操作
第10步:增加一个地道组,装备同享密钥用于认证信息。创立一个新的地址池或挑选一个现有的地址池,用于VPN客户分配IP地址,如下图所示。
第11步:单击【OK】按钮,挑选是否持续增加战略。
图:增加VPN客户端地址池和同享密钥
第12步:假如不需求装备选项,单击【下一步】按钮。
第13步:SDM将上述装备仿制到路由器,以更新运转的装备,单击【OK】按钮,完结Easy VPN装备。 #p#
完结之后,假如需求修正,能够在主界面修正和修正。
下面是上述装备后路由器的履行成果。
authentication pre-share 8 authentication pre-share 9 group 2 0 group 2 1 group 2 2 group 2 3 group 2 4 group 2 0 group 2 6 group 2 0 group 2 8 group 2 9 group 2 0 crypto isakmp client configuration address-pool local pool192 1 group 2 0 crypto isakmp client configuration address-pool local pool192 3 group 2 0 crypto isakmp client configuration address-pool local pool192 5 crypto isakmp client configuration address-pool local pool192 6 crypto isakmp client configuration address-pool local pool192 7 crypto isakmp client configuration address-pool local pool192 8 crypto isakmp client configuration address-pool local pool192 9 !--- the authentication of the clientscrypto isakmp client configuration address-pool local pool192 7 ip local pool pool192 192.168.1.1 192.168.1.254 1 ip local pool pool192 192.168.1.1 192.168.1.254 2 ip local pool pool192 192.168.1.1 192.168.1.254 3 group 2 0 ip local pool pool192 192.168.1.1 192.168.1.254 5 group 2 0 ip local pool pool192 192.168.1.1 192.168.1.254 7 group 2 0 group 2 0 crypto isakmp client configuration group vclient-group 0 group 2 0 crypto isakmp client configuration group vclient-group 2 !--- ip http secure-server command is enabledcrypto isakmp client configuration address-pool local pool192 7 crypto isakmp client configuration group vclient-group 4 crypto isakmp client configuration group vclient-group 5 crypto isakmp client configuration group vclient-group 6 crypto isakmp client configuration group vclient-group 7 crypto isakmp client configuration group vclient-group 8 group 2 0 group 2 0 key vclient-key 1 key vclient-key 2 key vclient-key 3 key vclient-key 4 key vclient-key 5 key vclient-key 6 group 2 0 !--- Creates a user account with all privilegescrypto isakmp client configuration address-pool local pool192 7 key vclient-key 9 group 2 0 domain test.com 1 domain test.com 2 !--- 3des encryption, pre-share key authentication, and DH group 2crypto isakmp client configuration address-pool local pool192 7 domain test.com 4 domain test.com 5 domain test.com 6 domain test.com 7 domain test.com 8 !--- Defines the pre-shared key as sdmsdmcrypto isakmp client configuration address-pool local pool192 7 pool pool192 0 pool pool192 1 pool pool192 2 group 2 0 !--- Defines transform set parameterscrypto isakmp client configuration address-pool local pool192 7 pool pool192 5 group 2 0 pool pool192 7 pool pool192 8 pool pool192 9 group 2 0 !--- Specifies the crypto map parameterscrypto isakmp client configuration address-pool local pool192 7 encryption 3des 02 encryption 3des 03 encryption 3des 04 encryption 3des 05 group 2 0 encryption 3des 07 encryption 3des 08 encryption 3des 09 encryption 3des 10 group 2 0 encryption 3des 12 encryption 3des 13 encryption 3des 14 encryption 3des 15 group 2 0 encryption 3des 17 encryption 3des 18 encryption 3des 19 !--- Applies the crypto map SDM_CMAP1 to the interfacecrypto isakmp client configuration address-pool local pool192 7 encryption 3des 21 group 2 0 encryption 3des 23 encryption 3des 08 encryption 3des 25 group 2 0 encryption 3des 27 encryption 3des 08 encryption 3des 25 group 2 0 encryption 3des 31 encryption 3des 08 encryption 3des 25 encryption 3des 34 !--- addresses to clientscrypto isakmp client configuration address-pool local pool192 7 encryption 3des 36 encryption 3des 37 encryption 3des 38 encryption 3des 39 group 2 0 encryption 3des 41 group 2 0 encryption 3des 43 encryption 3des 44 encryption 3des 45 encryption 3des 46 group 2 0 encryption 3des 48 |
【修正引荐】
- 三步搞定VPN服务器长途衔接
- 企业长途接入装备不宜贪小失大
知优网 » Easy VPN使用:完成移动工作长途接入
