Vous êtes sur la page 1sur 26

La configuration de la passerelle VPN supporte au-dessus un modèle de trafic split-tunneling

dans lequel uniquement le trafic vers les réseaux sécurisés est cryptée et tout autre trafic est
transmis non garantis. professionnels de la sécurité Beaucoup considèrent que ce modèle soit
moins sûr que la «pleine-crypto" modèle. C'est parce que lorsque les utilisateurs sont
connectés à la passerelle, ils sont connectés à deux réseaux simultanément. Il ya donc un
potentiel que toute violation de virus ou de sécurité qui provient du réseau non sécurisé
pourrait constituer une violation du réseau assurée par l'hôte connecté. Les problèmes de
sécurité à part, c'est un modèle très populaire pour la plupart des implémentations VPN
passerelle. Il sécurise le trafic qui doit être et ne nécessite pas que la passerelle de la bande
passante ou de prendre sur la tête de traitement la totalité du trafic des utilisateurs connectés.

Split-tunnel (Old School) configuration de la passerelle VPN


La configuration ci-dessous sécuriser les communications réseau entre les 172.30.55.32/28
VPN piscine espace client l'adresse et les hôtes et les serveurs connectés au sous-réseaux
LAN 172.30.40.0/24, 172.30.80.0/24 et 172.30.60.0/24. La configuration de la passerelle
VPN se compose de deux parties: configuration de la carte ISAKMP et crypto. Voici les
étapes:

configuration ISAKMP

A. Créer une politique ISAKMP:

1. Créer des entrées politique


2. Définir la phase 1 de chiffrement
3. Définir la phase 1 de hachage
4. Définir la phase 1 d'authentification
5. Définir la taille d'échange de clés DH

outlan-rt05 (configuration) la politique # isakmp crypto 10 outlan-rt05


(config-isakmp) # chiffrement 3DES outlan-rt05 (config-isakmp) # md5
outlan-rt05 (config-isakmp) # d'authentification pré-partagée outlan-rt05 (
config-isakmp) groupe # 2 outlan-rt05 (config-isakmp) # exit

B. Configurer AAA authentification des utilisateurs et de groupe et de la comptabilité:

1. Activer AAA nouveau modèle


2. Définir l'authentification VPN utilisateur XAUTH
3. Définir l'authentification VPN groupe XAUTH
4. Définir l'autorisation VPN groupe XAUTH
5. Créer des comptes locaux

outlan-rt05 (config) # aaa nouveau modèle outlan-rt05 (config) # aaa de


connexion par défaut l'authentification locale outlan-rt05 (config) # aaa
userauth connexion d'authentification locale outlan-rt05 (config) # aaa
réseau d'autorisations locales groupauth outlan-rt05 (config) # mot de
passe root nom d'utilisateur root
C. Créer un nouveau pool d'adresses IP:

outlan-rt05 (config) # ip local piscine OS-VPN 172.30.90.2 172.30.90.14

D. Création d'une interface loopback associé à la piscine l'adresse:

outlan-rt05 (config) loopback interface # 90 outlan-rt05 (config-if) # ip


address 172.30.90.1 255.255.255.240

E. Créer split-tunneling ACL:

outlan-rt05 (config) # access-list 100 $ permis de 172.30.40.0 0.0.0.255


172.30.90.0 0.0.0.15 outlan-rt05 (config) # access-list 100 $ permis de
172.30.80.0 0.0.0.255 172.30.90.0 0.0.0.15 outlan-rt05 (config) # access-
list 100 $ permis de 172.30.60.0 0.0.0.255 172.30.90.0 0.0.0.15

F. Créer un groupe de configuration du client:

1. Préciser le nom du groupe


2. Clés du Groupe
3. serveur DNS
4. Netmask
5. ACL
6. connexions maximum
7. utilisateurs maximum
8. pool d'adresses
9. client permettent de sauvegarder XAUTH mot de passe
10. bannière de connexion

outlan-rt05 (config) # crypto isakmp groupe de configuration client Old-


School outlan-rt05 (config-isakmp-groupe) # outlan secrète sur clé rt05
(config-isakmp-groupe) # dns 172.30.40.2 outlan-rt05 (config-isakmp
-groupe) netmask 255.255.255.240 # outlan-rt05 (config-isakmp-groupe) de
sauvegarde # passerelle 45.224.90.17 outlan-rt05 (config-isakmp-groupe) de
domaine # outlan.net outlan-rt05 (config-isakmp-groupe) # acl 100 outlan-
rt05 (config-isakmp-groupe) # max-login 1 outlan-rt05 (config-isakmp-
groupe) # max-utilisateurs 13 outlan-rt05 (config-isakmp-groupe) # piscine-
OS VPN outlan- rt05 (config-isakmp-groupe) # sauvegarde de mot de passe
outlan-rt05 (config-isakmp-groupe) ^ bannière # Entrez SMS. Fin de '^' le
caractère. Vous êtes connecté à outlan.net. Toutes les transactions sont
contrôlées. outlan ^-rt05 (config-isakmp-groupe) #

. G composé Configurer TCP (CTCP) définitions port (http et https désactiver et services sur
le routeur):

outlan-rt05 (config) # port ctcp crypto 443 10 000 outlan-rt05 (config) #


ip du serveur ne outlan http-rt05 (config) # no ip http secure-server

H. Configurer keepalive NAT transparence:


outlan-rt05 (config) # nat isakmp crypto keepalive 20

configuration de la carte Crypto

A. Créer transformer ensemble:

1. Définir la phase 2 de chiffrement


2. Définir la phase 2 de hachage
3. Activer la compression IP

outlan-rt05 (config) # $ crypto 3DES transformer-set-MD5-LZS ESP-3DES


esp-md5-hmac comp-LZS

B. Créer la carte crypto dynamique:

1. Définir transformer ensemble


2. Définir la manipulation route client

outlan-rt05 (config) # crypto dynamic-map Old-School 10 outlan-rt05


(config-crypto-map) # set 3DES transformer-set-MD5-LZS outlan-rt05 (config-
crypto-map) # route inverse

C. Créer la carte crypto statique:

1. crypto map Créer statique et dynamique avec l'authentification de référence


cartographique crypto
2. Définir l'authentification du client VPN liste
3. Définir la liste d'autorisation client ISAKMP
4. Définir la configuration VPN adresse IP du client

outlan-rt05 (config) # crypto map SW-Client 10 ipsec-isakmp outlan


dynamique Old-School-rt05 (config) # crypto map liste SW-Client
authentification client userauth outlan-rt05 (config) # crypto map isakmp
SW-Client autorisation liste outlan groupauth-rt05 (config) # crypto map
SW-client client adresse configuration répondre

D. Créer des interfaces d'accès ACL:

outlan-rt05 (config) # accès-list 101 permis tcp n'importe quel hôte


172.30.80.45 eq 22 outlan-rt05 (config) # access-list 101 permis tcp
n'importe quel hôte 172.30.80.45 eq 23 outlan-rt05 (config) # access-list
101 permis de tcp n'importe quel hôte 172.30.80.45 eq outlan telnet-rt05
(config) # access-list 101 permis tcp n'importe quel hôte 172.30.80.45 eq
443 outlan-rt05 (config) # access-list 101 permis tcp n'importe quel hôte
172.30.80.45 eq 10000 outlan-rt05 (config) # accès-list 101 permis tcp
n'importe quel hôte 172.30.80.45 établi

Installez la carte crypto E.:

1. Appliquer à la carte "non garantis" interface de routeur


2. Installez un accès VPN ACL
3. Configurer le routage IP

outlan-rt05 (config) # interface FastEthernet0 / 0 outlan-rt05 (config-


if) # crypto map SW-Client outlan-rt05 (config-if) # ip-accès groupe de 101
en outlan-rt05 (config-if) # exit outlan-rt05 (config) # ip route 0.0.0.0
0.0.0.0 63.240.22.2 outlan-rt05 (config) # ip route 172.30.80.0 0.0.0.255
172.30.40.33 outlan-rt05 (config) # ip route 172.30.60.0 0.0. 0.255
172.30.40.33

Créer une politique client VPN

Avec la passerelle VPN terminée, la dernière étape consiste


Lisez notre série entière de- à créer la stratégie de client VPN. Le logiciel client VPN
par-étape articles sur l'étape Cisco est livré avec tous les routeurs VPN sous licence et
de construction Cisco IPsec avec un matériel autonome modules cryptographiques (ACV
VPN et adaptateurs matériel AIM). Le logiciel peut également
être téléchargé à partir www.cisco.com. Le client est
disponible pour Windows, Mac OS, et Linux. Le Windows
et Mac OS version dispose d'une interface graphique. Il ya
deux façons de construire le profil. La première consiste à créer un fichier texte de base de
configuration avec les variables de connexion de base définie, puis importer le fichier dans le
client. Voici le profil de la passerelle VPN Old School, nous avons configuré ci-dessus:

[Main] Host = 63.240.22.2 AuthType = 1 = NomGroupe Old-School GroupPwd =


clef secrète TunnelingMode = 1 443 = TcpTunnelingPort

Pour importer la configuration, vous lancez l'interface client et cliquez sur le bouton
"Importer". Une fois que vous connecter à la passerelle VPN, l'application cliente va ajouter
les variables des clients restants, y compris le mot de passe de groupe sous forme cryptée.

L'autre approche est de construire le profil pour le profil du client en utilisant l'interface
graphique. Le processus de construction commence en cliquant sur le bouton "Nouveau", qui
ouvre une fenêtre de configuration du profil:

Lors de la construction du profil par le biais de l'interface graphique, vous avez besoin de
points de données suivants:

 passerelle VPN adresse IP


 Le client ISAKMP configuration nom du groupe
 Le groupe ISAKMP configuration des principaux clients

Une fois l'adresse de la passerelle VPN et des données d'authentification du groupe a été
configuré, le «Transport» onglet est le suivant.
La section de transport fournit l'interface de configuration pour le CTCP ou NAT traversal
options pour le client. La configuration VPN split-tunnel prend en charge NAT-T et CTCP,
mais une seule option tunnel peut être réglé pour un profil. Dans l'exemple ci-dessus, le profil
est configuré pour supporter CTCP écoute sur le port 443. L'étape dernière configuration est
à la disposition d'une passerelle VPN de sauvegarde en cochant l'option "Activer les serveurs
de sauvegarde" sur la "sauvegarde onglet Serveurs.

Mettre en place une passerelle de sauvegarde VPN est une bonne idée si vous êtes en œuvre
un service d'accès critique. Si le serveur de sauvegarde est défini dans le cadre de la
configuration du groupe ISAKMP, elle sera poussée vers le bas pour le profil du client VPN
lorsque la connexion initiale est établie. Alternativement, on peut configuré comme faisant
partie du profil du client VPN construire.

Maintenant que nous avons couvert les-tunnel modèle de répartition, aller à la page
principale de cette série pour apprendre à construire une topologie complète-crypto et tous les
détails sur la mise en œuvre de passerelles VPN en utilisant des routeurs Cisco .
configuration de réseau à réseau passerelle
VPN de Cisco EzVPN
SearchEnterpriseWAN.com

 ContentSyndication

 Digg This
 Stumble
 Delicious
 Google Fusion

Les articles précédents de cette série sur Cisco IPsec VPN configuration couverte d'une
passerelle VPN et mettre en œuvre les clients qui utilisent un routeur Cisco en tant que
passerelle et Cisco logiciel VPN client. Maintenant, nous allons examiner la capacité de
Cisco à l'appui EzVPN topologies VPN réseau à réseau en utilisant le routeur Cisco en tant
que passerelle VPN et le client Cisco routeur matériel.

Pour poursuivre la lecture gratuite, inscrivez-vous ci-dessous ou connexion

Nécessite l'appartenance à Voir

Pour accéder à ce contenu et tous les membres seulement, s'il vous plaît fournir les
informations suivantes:

http://searchente 55 1330534
Adresse Email:
Your E-mail Address Devenir membre

En soumettant vos informations d'enregistrement à SearchEnterpriseWAN.com vous acceptez de recevoir des e-


mails à partir du réseau de sites TechTarget, et / ou fournisseurs de contenu tiers qui ont des relations avec
TechTarget, en fonction de vos intérêts sujet et de l'activité, y compris les mises à jour sur les nouveaux
contenus, événement notifications, lance un site de nouvelles et études de marché. S'il vous plaît vérifier toutes
les informations et les sélections ci-dessus. Vous pouvez vous désinscrire à tout moment d'un ou plusieurs des
services que vous avez sélectionné en éditant votre profil, vous désabonner par e-mail ou en nous contactant ici

 Votre utilisation de SearchEnterpriseWAN.com est régie par nos Conditions


d'utilisation
 Nous avons conçu notre politique de confidentialité pour vous fournir des information
importante sur la façon dont nous recueillons et utilisons votre inscription et autres
informations. Nous vous encourageons à lire la politique de confidentialité, et de
l'utiliser pour aider à prendre des décisions éclairées.
 Si vous résidez hors des États-Unis, en soumettant ces informations d'inscription,
vous acceptez que vos données personnelles soient transférées et traitées aux États-
Unis.

 Digg This
 Stumble
 Delicious
 Google Fusion

EnterpriseWAN RELATED LINKS

Ads by Google

 Broadband Wireless Access


240Mbps wireless broadband routersfor multipoint solutions
infinetwireless.com
 Best VPN Services
Compare Top VPN Service Providers.Reviews, Free Trials, Coupon Codes!
www.vpnsp.com
 Free IPv6 Tunnel Broker
Connect to the IPv6 Internetuse Hurricane's Free Tunnel Broker
tunnelbroker.net
 I passed the CCIE R&S Lab
on my first attempt!Steve Clarkin - CCIE #25821
www.INE.com/CCIE
 3 USA +2 UK IP,secure VPN
Elite, Hide IP, see blocked sitesDedicated IP's, pay LibertyReserve
www.usaip.eu

Contenus associés

 design VPN
o plan de la sécurité des considérations-Client pour les VPN SSL
o VPN L2
o IPsec VPN de Cisco routeur: Configuration et mise en œuvre
o détails du protocole IPSec VPN pour la mise en œuvre
o Installation et intégration de réseaux privés virtuels
o L'Expert VPN: alternatives client VPN, partie 2 - PPTP
o Comment mettre en place un VPN: Étape 9 - Configurez vos clients à distance
o Détermination IPsec tunnel, la capacité de bande passante
o Relations entre les professionnels Inter-AS MPLS
o VPN tutoriel: Comprendre les bases d'IPsec et SSL VPN

Connexes Glossaire

Conditions de Whatis.com - la technologie en ligne dictionnaire

design VPN

 virtuelle routage et l'acheminement (searchEnterpriseWAN.com)


 réseau privé virtuel (VPN) (searchEnterpriseWAN.com)

Ressources connexes
 2020software.com, téléchargements de logiciels d'essai pour le logiciel de
comptabilité , ERP , CRM et Business Software Systems
 Recherche Bitpipe.com pour le dernier des livres blancs et webcasts d'affaires
 Whatis.com, la ligne dictionnaire informatique
Nous allons utiliser à plein-crypto et split-tunneling architectures. Lorsque des solutions de
logiciel client sont limités, des solutions client matériels assurent la flexibilité. Nos deux
exemples peuvent être utilisés pour fournir un soutien principal pour les connexions bureau à
distance ou avec une ligne louée ou d'autres liens VPN pour fournir une connectivité de
sauvegarde ou secondaire.

L'interopérabilité est un avantage des produits basés sur les normes IPsec, mais ce qui rend
certains produits de qualité supérieure est la technologie développée au-dessus d'IPsec.
réseaux traditionnels l'interopérabilité de réseau signifie que deux connus pairs IPsec, chacun
exécutant une solution IPsec un fournisseur différent, peut réaliser l'authentification IKE,
l'échange des clés, établir des sociétés de surveillance, et de qualifier, de transmettre et de
recevoir du trafic assuré. Ces éléments de base ne font pas une solution d'entreprise VPN.
Haute disponibilité, le support du protocole de routage, les options d'authentification large, et
la fragmentation des paquets de traitement, pour n'en nommer que quelques-uns, sont les
éléments qui composent une solution de classe entreprise VPN. Après vous perdre une
journée dans le laboratoire de prise de deux fournisseurs différents à base de VPN IPsec
interopérer, vous apprendrez rapidement que ce n'est pas de supporter les standards IPSec
qui font donnée de fournisseur de solutions un attrayant, c'est ce que le vendeur a
construit au-dessus de ces normes qu'il fait grande.

Bien que l'existence de EzVPN de Cisco est un anathème


Lisez notre série entière de- pour de nombreux traditionalistes IPsec, EzVPN est un
par-étape articles sur l'étape excellent exemple de la construction au-dessus d'IPsec VPN
de construction Cisco IPsec IPsec pour faire le travail pour l'entreprise. Le principe
VPN derrière le modèle EzVPN est que la passerelle VPN ou d'un
dispositif de base doit être à puce, avec la possibilité de
contrôler les paramètres de connexion par les pairs, au moins
autant qu'il est viable. Le dispositif de client VPN ou du
bord, en revanche, devrait être simple, juste après avoir suffisamment d'informations pour se
connecter à la base sans se blesser. On pourrait dire que ce modèle est tout à fait contraire au
dogme IPsec traditionnelle, qui repose sur l'idée que les pairs IPsec sont censées être, eh
bien ... pairs.

Cisco accomplit cette configuration pairs non-traditionnels IPsec en utilisant son unité
protocole client (UCP) pour faciliter les communications entre la passerelle et le client,
permettant à la passerelle VPN pour pousser les paramètres du tunnel, la durée de vie SA,
authentification, etc, pour le client et tourner à permettre au client de passer des informations
sur les réseaux, il est de fixation. Les données de la passerelle et le client push, pas de cartes
crypto statique, et XAUTH authentification.

Le client du matériel EzVPN est supporté sur les plates-formes Cisco 8xx, 176x, 18xx, 26xx,
37xx, 38xx et. La passerelle est généralement mis en œuvre EzVPN sur un 38xx ou 72xx
plate-forme. Le client du matériel EzVPN prend en charge deux modes: client et Extension
du réseau. En mode Client (EZ-CM), le routeur est attribuée une adresse IP de la passerelle
VPN client l'adresse de la piscine de l'. L'adresse VPN est configuré de manière dynamique
sur le routeur et lié à une interface de bouclage. Une fois la connexion VPN est établie, tout
le trafic est transmis en utilisant Port Address Translation (PAT). C'est essentiellement la
façon dont le client Cisco VPN fonctionne. Comme le logiciel client, split-tunnel ou des
modèles de sécurité à plein-crypto sont pris en charge. EZ-CM a une valeur limitée, sauf
peut-être dans un environnement de bureau à domicile, où vous pourrez plus facilement
utiliser un logiciel client.

Extension du réseau Mode (EZ-NEM) permet au routeur distant pour établir peering IPsec
avec la passerelle VPN et indirectement liées directement réseaux, contribuant ainsi à une
déroute "modèle de communication» qui est entièrement dynamique. La passerelle VPN ne
requiert pas un réseau IP ou même adresse IP de l'hôte distant pour établir la politique IPsec.
Le client matériel utilise les désignations «l'extérieur» pour le public ou non, d'interface
réseau et le «dedans» pour les interfaces du routeur qui sont connectés à des réseaux qui
devraient être sécurisés, en plus des réseaux définis qui ne sont pas directement liés, mais
accessible par une passerelle connecté à l'un des segments désignés sûrs et peuvent être inclus
dans la politique EZ-NEM à l'aide d'une ACL. Le client EZ-NEM soutient également la
redondance de passerelle et de routage dynamique.

Dans notre scénario matériel de conception de premier client, un petit bureau local des
besoins de connectivité fiable au réseau de données d'entreprise et d'autres bureaux distants.
L'entreprise utilise un VPN car il fournit une connectivité réseau rentable. La société
surveille également l'utilisation d'Internet afin que tous les accès à Internet externes doivent
sortir du pare-feu d'entreprise. Le bureau a une connexion Internet haut débit. Nous mettrons
en place une solution VPN redondants base de la passerelle à l'aide d'une politique client
complet de cryptage qui permet d'accéder à des segments de base de serveur LAN, les réseaux
de bureau à distance et l'Internet.

Ci-dessous la configuration de la passerelle VPN qui supporte à la fois des exemples de


matériel client (les éléments deuxième exemple sont en rouge) nous mettons en œuvre:

I. AAA configuration:

GW 1 (utilisé par exemple pour 1 topologie GW 2 (utilisé par exemple pour 1 seule
et 2) topologie)
aaa authentification nouveau modèle aaa authentification nouveau modèle
de connexion par défaut aaa aaa de connexion par défaut aaa aaa
authentification de connexion locale authentification de connexion locale
userauth groupauth réseau local aaa userauth groupauth réseau local aaa
autorisation locale! nom autorisation locale! nom
d'utilisateur outlan-RTR1 mot de d'utilisateur outlan-RTR1 mot de
passe 0 outlan-RTR1 passe 0 outlan-RTR1

II. Phase I ISAKMP configuration:

GW 1 (utilisé par exemple pour 1 topologie GW 2 (utilisé par exemple pour 1 seule
et 2) topologie)
politique isakmp crypto 10 encr politique isakmp crypto 10 encr
3des md5 d'authentification pré- 3des md5 d'authentification pré-
partagée groupe 2 partagée groupe 2
isakmp crypto groupe de isakmp crypto client groupe de
configuration client-client-fc clés configuration dur-client-fc clés
supersecret dur de sauvegarde de mot
de passe de sauvegarde pfs-passerelle
45.240.90.2 max-max utilisateurs 1-
supersecret pfs enregistrer mot de
logins 1! crypto configuration de
passe de sauvegarde-passerelle
groupe de client isakmp-client-clés
190.55.2.98 max-max utilisateurs 1-1
st supersecret dur dur acl-client-
logins
filets de mettre mot de passe de
sauvegarde pfs-passerelle 45.240.90.2
max-max utilisateurs 1-1 logins
crypto isakmp profil description crypto isakmp profil description
dur client ISAKMP pour les clients dur client ISAKMP pour les clients
Cisco match de groupe Soft identité Cisco match de groupe Soft identité
dur du client-client dur du client-client
d'authentification liste isakmp d'authentification liste isakmp
userauth liste d'autorisation userauth liste d'autorisation
groupauth adresse de configuration du groupauth adresse de configuration du
client de répondre keepalive 20 10 client de répondre keepalive 20 10
tentatives tentatives
ip access-liste élargie dur-client-
ip 172.30.40.0 filets permis
0.0.0.255 0.0.0.255 1.1.1.0 permis ip
172.30.40.0 0.0.0.255 172.30.62.0
0.0.0.255 172.30.40.0 0.0.0.255
permis ip 172.30.89.0 0.0 .0.255 ip
permis 172.30.60.0 0.0.0.255 1.1.1.0
0.0.0.255 permis ip 172.30.60.0
0.0.0.255 172.30.62.0 0.0.0.255
permis ip 172.30.60.0 0.0.0.255
172.30.89.0 0.0.0.255 permis ip
172.30.131.0 0.0 .0.255 1.1.1.0
0.0.0.255 permis ip 172.30.131.0
0.0.0.255 172.30.62.0 0.0.0.255
permis ip 172.30.131.0 0.0.0.255
172.30.89.0 0.0.0.255 permis ip
172.30.50.0 0.0.0.255 1.1.1.0
0.0.0.255 permis ip 172.30.50.0
0.0.0.255 172.30.62.0 0.0.0.255
permis ip 172.30.50.0 0.0.0.255
172.30.89.0 0.0.0.255 permis ip
172.30.132.0 0.0.0.255 1.1.1.0
0.0.0.255 permis ip 172.30.132.0
0.0.0.255 172.30.62.0 0.0.0.255
permis ip 172.30.132.0 0.0.0.255
172.30.89.0 0.0.0.255

III. Phase II ISAKMP configuration:

GW 1 (utilisé par exemple pour 1 topologie GW 2 (utilisé par exemple pour 1 seule
et 2) topologie)
crypto ipsec esp transformer 3DES- crypto ipsec esp transformer 3DES-
set-MD5-esp 3des-md5-hmac set-MD5-esp 3des-md5-hmac
crypto dynamic-map hard-vpn-gateway crypto dynamic-map hard-vpn-gateway
15 secondes définir la durée de vie 15 secondes définir la durée de vie
de sécurité-association 12000 Set de sécurité-association 12000 Set
transformer-set DES-MD5 ensemble pfs transformer-set DES-MD5 ensemble pfs
groupe2 ensemble isakmp-profil-client groupe2 ensemble isakmp-profil-client
difficile inverse route difficile inverse route
Plan du crypto-sécurisé client 10 Plan du crypto-sécurisé client 10
ipsec-isakmp dynamique dur-vpn- ipsec-isakmp dynamique dur-vpn-
gateway gateway

IV. carte Crypto interfaces d'installation, route politique de l'Internet et de


configuration de routage IP:

GW 1 (utilisé par exemple pour 1 GW 2 (utilisé par exemple pour 1 seule


topologie et 2) topologie)
FastEthernet0 interface / 0 FastEthernet0 interface / 0 adresse IP
adresse IP 190.55.2.98 45.240.90.194 255.255.255.252 carte
255.255.255.252 carte crypto- politique ip route-map crypto int-acc-
sécurisé client! / 1 FastEthernet0 sécurisé client! / 1 FastEthernet0
interface 255.255.255.0 adresse IP interface 172.30.40.101 255.255.255.0
172.30.40.31 adresse IP
router ospf 20 log-adjacence
router ospf 20 log-adjacence
changements redistribuer statique
changements redistribuer statique
métriques réseau de 200 sous-
métriques réseau de 200 sous-réseaux
réseaux 172.30.40.0 0.0.0.255 zone
172.30.40.0 0.0.0.255 zone 0.0.0.0
0.0.0.0
0.0.0.0 0.0.0.0 190.55.2.97 ip
0.0.0.0 0.0.0.0 45.240.90.193 ip route
route

Pour les bureaux distants de communiquer les uns avec les autres, les routeurs de base doit
utiliser un protocole de routage dynamique d'annoncer les réseaux distants, ils ont établi des
relations de peering avec. Ceci est accompli en utilisant une combinaison d'un protocole de
routage dynamique, la redistribution d'itinéraire statique et inverse la voie d'injection (RRI).
RRI est activée comme l'une des options de la carte politique de l'aide de la crypto <reverse-
route> commande de configuration. Avec RRI permis, après que le client et la passerelle
IPsec peering établir le dispositif de passerelle ajoute dynamiquement des routes statiques
vers sa table de routage pour le réseau sécurisé et son point de terminaison associé tunnel
distant. Ces routes statiques peuvent ensuite être redistribués par un protocole de routage
comme OSPF ou BGP. Dans l'exemple ci-dessus, OSPF redistribue les réseaux distants.

Maintenant que vous avez construit la passerelle de matériel, vous aurez besoin de se
déplacer sur le client. Pour en savoir plus sur Cisco VPN configuration et le matériel à base
de clients VPN , allez à la page principale de cette série.
Full-crypto configuration client VPN Cisco
matériel pour EzVPN
SearchEnterpriseWAN.com

 Digg This
 Stumble
 Delicious

Dans le dernier article de notre série sur la construction à base de routeur passerelles VPN ,
nous avons appris à l'appui de réseau à réseau avec IPsec VPN topologies par la construction
d'une passerelle avec Cisco EzVPN. Maintenant, nous allons passer à la configuration du
client matériel qui appuiera une relation pleine-crypto peering pour la passerelle EzVPN.

Le dispositif matériel client typique de construction a quatre éléments de configuration:


DHCP / configuration du serveur DNS, la configuration du client matériel, la configuration de
l'interface et la configuration de routage IP.

Contrairement à d'autres configurations IPsec IOS, le client ne nécessite pas de matériel


politique ISAKMP, transformer ou mettre définition crypto map. Seule la configuration du
client est nécessaire pour établir le lien avec la passerelle IPsec. configurations client
Hardware utiliser "built-in" ISAKMP et transformer établir des définitions. EzVPN supports
20 différentes politiques ISAKMP utilisant AES, DES, 3DES pour le chiffrement et SHA et
MD5 pour l'authentification, mais ne supporte que Diffie-Hellman groupe 2 (1024 bits)
longueurs de clé. Ceci donne la flexibilité aux administrateurs en matière de cryptage et
d'authentification, mais DH Group 2 doit être utilisé ou ISAKMP

Pour poursuivre la lecture gratuite, inscrivez-vous ci-dessous ou connexion

Nécessite l'appartenance à Voir

Pour accéder à ce contenu et tous les membres seulement, s'il vous plaît fournir les
informations suivantes:

http://searchente 55 1330549
Adresse Email:
Your E-mail Address Devenir membre

En soumettant vos informations d'enregistrement à SearchEnterpriseWAN.com vous acceptez de recevoir des e-


mails à partir du réseau de sites TechTarget, et / ou fournisseurs de contenu tiers qui ont des relations avec
TechTarget, en fonction de vos intérêts sujet et de l'activité, y compris les mises à jour sur les nouveaux
contenus, événement notifications, lance un site de nouvelles et études de marché. S'il vous plaît vérifier toutes
les informations et les sélections ci-dessus. Vous pouvez vous désinscrire à tout moment d'un ou plusieurs des
services que vous avez sélectionné en éditant votre profil, vous désabonner par e-mail ou en nous contactant ici

 Votre utilisation de SearchEnterpriseWAN.com est régie par nos Conditions


d'utilisation
 Nous avons conçu notre politique de confidentialité pour vous fournir des information
importante sur la façon dont nous recueillons et utilisons votre inscription et autres
informations. Nous vous encourageons à lire la politique de confidentialité, et de
l'utiliser pour aider à prendre des décisions éclairées.
 Si vous résidez hors des États-Unis, en soumettant ces informations d'inscription,
vous acceptez que vos données personnelles soient transférées et traitées aux États-
Unis.

 Digg This
 Stumble
 Delicious

EnterpriseWAN RELATED LINKS

Ads by Google

 Aussie NAPs, IX & Peering


Peer at PIPE, 5 states, 13 POPSLargest IX Points in Australia
www.pipenetworks.com
 Formation CCNA en Inde
Prix incroyables, haute qualitéElu meilleur lieu de travail
www.Koenig-Solutions.eu
 Cisco Login Security
Add Two Factor Authentication toyour Cisco VPN. Free Trial!
nordicedge.se/cisco
 Broadband Wireless Access
240Mbps wireless broadband routersfor multipoint solutions
infinetwireless.com
 Cisco Firewall ASA5500
Sell Cisco Firewall ASA5505, 55105520, 5540, 5550...
cisco-eshop.com

Contenus associés

 design VPN
o plan de la sécurité des considérations-Client pour les VPN SSL
o VPN L2
o IPsec VPN de Cisco routeur: Configuration et mise en œuvre
o détails du protocole IPSec VPN pour la mise en œuvre
o Installation et intégration de réseaux privés virtuels
o L'Expert VPN: alternatives client VPN, partie 2 - PPTP
o Comment mettre en place un VPN: Étape 9 - Configurez vos clients à distance
o Détermination IPsec tunnel, la capacité de bande passante
o Relations entre les professionnels Inter-AS MPLS
o VPN tutoriel: Comprendre les bases d'IPsec et SSL VPN

Connexes Glossaire

Conditions de Whatis.com - la technologie en ligne dictionnaire


design VPN

 virtuelle routage et l'acheminement (searchEnterpriseWAN.com)


 réseau privé virtuel (VPN) (searchEnterpriseWAN.com)

Ressources connexes

 2020software.com, téléchargements de logiciels d'essai pour le logiciel de


comptabilité , ERP , CRM et Business Software Systems
 Recherche Bitpipe.com pour le dernier des livres blancs et webcasts d'affaires
 Whatis.com, la ligne dictionnaire informatique
Phase 1 de négociation échoue.

Transform a fixé la pension offre également


Lisez notre série entière de- l'authentification et la sélection diversifiée de cryptage, avec
par-étape articles sur l'étape des restrictions mineures. Cela se traduit seulement
de construction Cisco IPsec transformer jeux qui prennent en charge ESP avec
VPN chiffrement et d'authentification sont disponibles. Cela
signifie qu'il n'y a pas de support AH, et pas de transformer
les jeux utilisant ESP avec chiffrement et sans
authentification, ou ESP avec l'authentification et de
chiffrement sans peut être configuré sur la passerelle VPN, du moins si vous vous attendez à
avoir du succès des négociations de la phase 2. La configuration de la passerelle VPN à
l'article précédent prend compte de ces règles, mais un certain nombre de ISAKMP autres et
transformer configurations peuvent être mis en œuvre et soutenu par le client du matériel.
Passons maintenant à la configuration du client:

I. DHCP / DNS des services de configuration


Avec une configuration EZ-NEM bureau distant, le routeur (ou le LAN Routing Switch) est
généralement configuré pour fournir des services DHCP et DNS. En variante, un serveur
local peut être configuré pour fournir ces services. Mais l'idée de ce type de solution consiste
à regrouper les services d'apporter son soutien et de remplacement (si nécessaire) facile.
Voici la configuration de base pour les étendues DHCP deux réseaux directement connectés
»et les services DNS proxy avec le noyau du serveur DNS (172.30.40.101) et quatre racine
DNS Internet définitions de serveur:

outlan-VPN-RTR (config) # ip dhcp pool vlan-100 outlan-VPN-RTR (dhcp-


config) # network 255.255.255.0 172.30.100.0 outlan-VPN-RTR (dhcp-config) #
default-router 172.30.100.1 outlan-VPN-RTR (dhcp-config) # Serveur DNS
1.1.1.1 outlan-VPN-RTR (dhcp-config) # noms de domaine usr.outlan.net
outlan-VPN-RTR (dhcp-config) # exit outlan- VPN-RTR (config) # ip dhcp
excluded-adresse 172.30.100.1 outlan-VPN-RTR (config) # ip dhcp pool vlan-
120 outlan-VPN-RTR (dhcp-config) # network 255.255.255.0 172.30.120.0
outlan- VPN-RTR (dhcp-config) # default-router 172.30.100.1 outlan-VPN-RTR
(dhcp-config) # Serveur DNS 1.1.1.1 outlan-VPN-RTR (dhcp-config) #
usr.outlan nom de domaine. net outlan-VPN-RTR (dhcp-config) # exit outlan-
VPN-RTR (config) # ip dhcp excluded-adresse 172.30.120.1 outlan-VPN-RTR
(config) # ip domain-name outlan.net outlan-VPN- RTR (config) # ip serveur
dns outlan-VPN-RTR (config) # ip nom-serveur 172.30.40.101 outlan-VPN-RTR
(config) # ip nom-serveur 192.36.148.17 outlan-VPN-RTR (config) # ip nom-
serveur 192.112.36.4 outlan-VPN-RTR (config) # ip-nom de serveur
193.0.14.129 outlan-VPN-RTR (config) # ip de serveur de noms 198.32.64.12

II. configuration client Hardware


La définition du matériel client suit un format assez semblable à la définition du logiciel
client. La définition de base des clients nécessite les attributs suivants:

1. client EzVPN connexion nom de définition est fixé avec la commande ipsec <crypto
{client ezvpn name}> client
2. authentification de groupe ISAKMP est réglé avec la commande <group {group-
name} string}> {key clés
3. définition du mode de connexion, à temps plein connexions à distance, est fixé avec la
commande {auto <Connect | Manuel | {acl}}> acl
4. définition du mode Client est défini par l'{client <mode network-extension}>
commande
5. Hôte (pairs) la définition permet de multiples définitions à définir. Le client se
connecte au pairs dans l'ordre décroissant et est défini par l'adresse {ip <peer
commande | hostname}>
6. XAUTH et mot de passe utilisateur est défini définition avec {nom} <username
commande passe {passwd}> l'
7. XAUTH définition déclencher l'authentification met en place le processus
d'authentification. Une fois la connexion a été déclenchée, les pouvoirs XAUTH
doivent être envoyées. Il est fixé avec le userid mode <xauth commande {interactive |
http-intercept | local}>

Voici un exemple de syntaxe détaillant le client du matériel définition de connexion


de configuration:

outlan-VPN-RTR (config) # crypto ipsec client ezvpn dur client


outlan-VPN-RTR (config-crypto-ezvpn) # communiquer auto outlan-VPN-
RTR (config-crypto-ezvpn) # groupe hard-client-fc clés supersecret
outlan-VPN-RTR (config-crypto-ezvpn) # outlan nom d'utilisateur-mot
de passe RTR1 outlan-RTR1 outlan-VPN-RTR (config-crypto-ezvpn) #
xauth userid mode local outlan-VPN-RTR (config-crypto- ezvpn) # mode
réseau-extension outlan-VPN-RTR (config-crypto-ezvpn) # pairs
190.55.2.98 outlan-VPN-RTR (config-crypto-ezvpn) # pairs
45.240.90.194

8. qualificatif de la circulation ACL est un client définition en option pour une


utilisation dans des scénarios dans lesquels le routeur client ne dispose pas du matériel
directement lié interfaces sur l'ensemble des sous-réseau IP qui doivent être sécurisés.
Le matériel du client a une provision pour ces sous-réseaux, y compris l'aide d'une
ACL de qualification du trafic. L'ACL suit le même format qu'une passerelle "trafic
ACL" utilise: Réseau local -> Remote Network (toute), où les réseaux locaux sont
ceux adjacents au routeur client matériel et les réseaux distants sont accessibles via la
passerelle VPN. Voici l'ACL pour notre exemple de réseau:
9. outlan-VPN-RTR (config) # access-list 140 ip 172.30.89.0 0.0.0.255
permis de toute outlan-VPN-RTR (config) # access-list 140 ip
172.30.62.0 0.0.0.255 permis de tout

Une fois que l'ACL est défini, il est référencé dans la définition des clients utilisant
une configuration client-commande <acl sous name}> {acl.

III. la création d'interface et la désignation


Avec la définition du profil du client matériel en place, à côté il faut configurer l'interface
d'adressage et de sous-réseau local appellations crypto client. Comme NAT, l'interface de
configuration du matériel client utilise les désignations «intérieur» et «l'extérieur». Il ne peut
y avoir qu'une seule interface à l'extérieur et il doit y avoir au moins une interface à l'intérieur
pour que la politique doit être activé:

outlan-VPN-RTR (config) # ip access-list étendue VPN-IN outlan-VPN-RTR


(config-ext-NaCl) # remarque permis DHCP Client trafic outlan-VPN-RTR
(config-ext-NaCl) # permis udp any any eq bootpc outlan-VPN-RTR (config-
ext-NaCl) # remarque permis de Phase 1 Phase 2 IPSEC trafic outlan-VPN-RTR
(config-ext-NaCl) # permis 190.55.2.98 accueil esp toute outlan-VPN-RTR
(config-ext-NaCl) # permis 190.55.2.98 accueil udp toute eq outlan isakmp-
VPN-RTR (config-ext-NaCl) # permis de 45.240.90.194 accueil esp toute
outlan-VPN-RTR (config-ext-NaCl) # permis udp accueil 45.240.90.194 toute
eq outlan isakmp-VPN-RTR (config-ext-NaCl) # exit outlan-VPN-RTR (config) #
interface FastEthernet0 / 0 outlan-VPN-RTR (config-if) # ip address dhcp
outlan-VPN-RTR (config-if) # ip access-group VPN-IN dans outlan-VPN-RTR
(config-if) # crypto client ipsec ezvpn difficiles des clients en dehors
outlan-VPN-RTR (config-if) # exit outlan-VPN-RTR (config) # interface
outlan Vlan100-VPN-RTR (config-if) # ip address 255.255.255.0 172.30.100.1
outlan-VPN-RTR (config-if) # crypto client ipsec ezvpn dur client à
l'intérieur outlan -VPN-RTR (config-if) # exit outlan-VPN-RTR (config) #
interface outlan Vlan120-VPN-RTR (config-if) # ip address 255.255.255.0
172.30.120.1 outlan-VPN-RTR (config-if ) # crypto client ipsec ezvpn dur
client à l'intérieur outlan-VPN-RTR (config sortie-if) #

IV. Configuration de routage IP


La configuration de routage pour cet exemple est très simple. Il n'ya pas de configuration de
la route par défaut, parce que l'interface externe est configuré avec DHCP et la route par
défaut sera fournie dans le cadre du bail DHCP du FAI. Pour des raisons esthétiques que
nous pourrions définir la DR à l'interface physique Fa0 / 0, mais il n'est pas nécessaire. C'est
aussi simple, car tout le trafic à l'une des interfaces à l'intérieur est crypté et envoyé à la
passerelle VPN. Nous n'avons, cependant, nécessité de fournir une certaine logique de
routage pour les sous-réseaux adjacents que le client sera également de fixation. Cela peut
être manipulé avec des routes statiques:

outlan-VPN-RTR (config) # ip route 255.255.255.0 172.30.62.0 1.1.1.254


outlan-VPN-RTR (config) # ip route 255.255.255.0 172.30.89.0 1.1.1.254

Avec "Auto Connect" défini dans le profil client du matériel, le client devra ouvrir des
négociations avec la passerelle VPN dès que les appellations d'interface ont été fixés et les
interfaces sont en place. Si vous avez été la construction le long de votre propre réseau, votre
client et la passerelle VPN devrait maintenant être connecté et capable de transférer le trafic
sécurisé.

Cela termine la configuration du client plein crypto. Pour en savoir plus sur le split
tunneling avec le client du matériel, vous aurez besoin de lire le
Configuring IPSec - Cisco Secure VPN Client to
Central Router Controlling Access
 HOME
o SUPPORT
 TECHNOLOGY SUPPORT
 SECURITY AND VPN
 IPSEC NEGOTIATION/IKE PROTOCOLS
 CONFIGURE
 CONFIGURATION EXAMPLES AND
TECHNOTES
 Configuring IPSec - Cisco Secure VPN Client
to Central Router Controlling Access

Downloads
 Configuring IPSec - Cisco Secure VPN Client to Central Router Controlling Access

Document ID: 14141

Contents
Introduction
Prerequisites
      Requirements
      Components Used
      Conventions
Configure
      Network Diagram
      Configurations
Verify
Troubleshoot
      Troubleshooting Commands
Related Information

Introduction

The following configuration would not be commonly used, but was designed to allow Cisco Secure VPN Client
IPSec tunnel termination on a central router. As the tunnel comes up, the PC receives its IP address from the
central router's IP address pool (in our example, the router is named "moss"), then the pool traffic can reach the
local network behind moss or be routed and encrypted to the network behind the outlying router (in our example,
the router is named "carter"). In addition, traffic from private network 10.13.1.X to 10.1.1.X is encrypted; the
routers are doing NAT overload.
Prerequisites

Requirements
There are no specific requirements for this document.

Components Used
The information in this document is based on these software and hardware versions:

 Cisco IOS® Software Release 12.1.5.T (c3640-io3s56i-mz.121-5.T)

 Cisco Secure VPN Client 1.1

The information in this document was created from the devices in a specific lab environment. All of the devices
used in this document started with a cleared (default) configuration. If your network is live, make sure that you
understand the potential impact of any command.

Conventions
For more information on document conventions, refer to Cisco Technical Tips Conventions.

Configure

In this section, you are presented with the information to configure the features described in this document.

Note: To find additional information on the commands used in this document, use the Command Lookup Tool
(registered customers only) .

Network Diagram
This document uses this network setup:
Configurations
This document uses these configurations:

 moss Configuration

 carter Configuration

moss Configuration

Version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname moss
!
logging rate-limit console 10 except errors
enable password ww
!
ip subnet-zero
!
no ip finger
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 99.99.99.1
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp client configuration address-pool local RTP-POOL
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
crypto dynamic-map rtp-dynamic 20
set transform-set rtpset
!
crypto map rtp client configuration address initiate
crypto map rtp client configuration address respond
!crypto map sequence for network to network traffic
crypto map rtp 1 ipsec-isakmp
set peer 99.99.99.1
set transform-set rtpset
match address 115

!--- crypto map sequence for VPN Client network traffic.

crypto map rtp 10 ipsec-isakmp dynamic rtp-dynamic


!
call rsvp-sync
!
interface Ethernet2/0
ip address 172.18.124.154 255.255.255.0
ip nat outside
no ip route-cache
no ip mroute-cache
half-duplex
crypto map rtp
!
interface Serial2/0
no ip address
shutdown
!
interface Ethernet2/1
ip address 10.13.1.19 255.255.255.0
ip nat inside
half-duplex
!
ip local pool RTP-POOL 192.168.1.1 192.168.1.254
ip nat pool ETH20 172.18.124.154 172.18.124.154 netmask
255.255.255.0
ip nat inside source route-map nonat pool ETH20 overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip route 10.1.1.0 255.255.255.0 172.18.124.158
ip route 99.99.99.0 255.255.255.0 172.18.124.158
no ip http server
!

!--- Exclude traffic from NAT process.

access-list 110 deny ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255


access-list 110 deny ip 10.13.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 10.13.1.0 0.0.0.255 any

!--- Include traffic in encryption process.

access-list 115 permit ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255


access-list 115 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
route-map nonat permit 10
match ip address 110
!
dial-peer cor custom
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end

carter Configuration

Current configuration : 2059 bytes


!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname carter
!
logging rate-limit console 10 except errors
!
ip subnet-zero
!
no ip finger
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 172.18.124.154
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!

!--- crypto map sequence for network-to-network traffic.

crypto map rtp 1 ipsec-isakmp


set peer 172.18.124.154
set transform-set rtpset
match address 115
!
call rsvp-sync
!
interface Ethernet0/0
ip address 99.99.99.1 255.255.255.0
ip nat outside
half-duplex
crypto map rtp
!
interface FastEthernet3/0
ip address 10.1.1.1 255.255.255.0
ip nat inside
duplex auto
speed 10
!
ip nat pool ETH00 99.99.99.1 99.99.99.1 netmask 255.255.255.0
ip nat inside source route-map nonat pool ETH00 overload
ip classless
ip route 0.0.0.0 0.0.0.0 99.99.99.2
no ip http server
!

!--- Exclude traffic from NAT process.

access-list 110 deny ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255


access-list 110 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 10.1.1.0 0.0.0.255 any

!--- Include traffic in encryption process.

access-list 115 permit ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255


access-list 115 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
route-map nonat permit 10
match ip address 110
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

Verify

This section provides information you can use to confirm your configuration is working properly.

Certain show commands are supported by the Output Interpreter Tool (registered customers only) , which
allows you to view an analysis of show command output.

 show crypto ipsec sa—Shows the phase 2 security associations.

 show crypto isakmp sa—Shows the phase 1 security associations.

Troubleshoot

This section provides information you can use to troubleshoot your configuration.

Troubleshooting Commands
Certain show commands are supported by the Output Interpreter Tool (registered customers only) , which
allows you to view an analysis of show command output.

Note: Before issuing debug commands, refer to Important Information on Debug Commands.

 debug crypto ipsec—Shows the IPSec negotiations of phase 2.

 debug crypto isakmp—Shows the ISAKMP negotiations of phase 1.

 debug crypto engine—Shows the traffic that is encrypted.

 clear crypto isakmp—Clears the security associations related to phase 1.

 clear crypto sa—Clears the security associations related to phase 2.

Vous aimerez peut-être aussi