在之前寫(xiě)過(guò)了Cisco路由器之IPSec 虛擬專(zhuān)用網(wǎng)；在Cisco的ASA防火墻上實(shí)現(xiàn)IPSec虛擬專(zhuān)用網(wǎng)。這兩篇博文都是用于實(shí)現(xiàn)總公司和分公司之間建立虛擬專(zhuān)用網(wǎng)的，那么還有一種使用很多的情況，就是出差人員想要訪問(wèn)公司內(nèi)網(wǎng)的資源呢？由于出差人員只是單一的一個(gè)客戶端，所以和前兩篇博文不一樣，前兩篇博文.da.建.虛.擬.專(zhuān).用網(wǎng)，兩端設(shè)備都是路由器或防火墻，有固定的IP地址，所以呢，并不能實(shí)現(xiàn)出差人員訪問(wèn)，這篇博文的目的，就是實(shí)現(xiàn)出差人員可以訪問(wèn)公司內(nèi)網(wǎng)資源的，這個(gè)技術(shù)被稱(chēng)之為——Easy 虛擬專(zhuān)用網(wǎng)。

公司主營(yíng)業(yè)務(wù)：成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、外貿(mào)營(yíng)銷(xiāo)網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站開(kāi)發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。成都創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開(kāi)放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來(lái)驚喜。成都創(chuàng)新互聯(lián)推出阿榮免費(fèi)做網(wǎng)站回饋大家。

傳送門(mén)：
Cisco路由器之IPSec 虛擬專(zhuān)用網(wǎng)：https://blog.51cto.com/14227204/2448319
Cisco ASA 實(shí)現(xiàn) IPSec 虛擬專(zhuān)用網(wǎng)：https://blog.51cto.com/14227204/2448965

一、在路由器上實(shí)現(xiàn)Easy 虛擬專(zhuān)用網(wǎng)需要配置什么？這篇博文將寫(xiě)下如何在路由器上實(shí)現(xiàn)Easy 虛擬專(zhuān)用網(wǎng)。如果網(wǎng)關(guān)設(shè)備是Cisco ASA防火墻，配置可參考：
1、XAUTH身份驗(yàn)證
在原有的IPSec協(xié)議上，并沒(méi)有用戶驗(yàn)證的功能，所以引入了一個(gè)RFC的草案——XAUTH。它是一個(gè)虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)的增強(qiáng)特性，提供用戶名和密碼的方式來(lái)驗(yàn)證用戶身份。由于這個(gè)過(guò)程是在兩個(gè)連接建立之間完成的，所以被戲稱(chēng)為“階段1.5”（關(guān)于兩個(gè)階段的介紹，可以參考Cisco路由器之IPSec 虛擬專(zhuān)用網(wǎng)，有詳細(xì)的介紹）。

談到用戶驗(yàn)證自然就涉及到了用戶名和密碼的存儲(chǔ)方式，通常情況下有兩種方式：

• 存儲(chǔ)在虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)設(shè)備的內(nèi)部數(shù)據(jù)庫(kù)中，實(shí)現(xiàn)簡(jiǎn)單，我接下來(lái)就使用這種方式；
• 存儲(chǔ)在第三方設(shè)備上，如一臺(tái)AAA服務(wù)器。

2、組策略
要實(shí)現(xiàn)Easy 虛擬專(zhuān)用網(wǎng)，那么一定要在虛擬專(zhuān)用網(wǎng)設(shè)備上配置一些策略，然后，當(dāng)客戶端來(lái)連接虛擬專(zhuān)用網(wǎng)設(shè)備時(shí)，經(jīng)過(guò)身份驗(yàn)證后，主動(dòng)將配置的策略推送給客戶端，以便成功建立連接，那么這個(gè)提前被配置的策略就被稱(chēng)之為組策略。

組策略包含如下：
（1）地址池：可以使虛擬專(zhuān)用網(wǎng)設(shè)備像DHCP服務(wù)器一樣為每個(gè)通過(guò)驗(yàn)證的客戶端“推送”IP地址。這樣，由于客戶端的IP地址是虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)動(dòng)態(tài)分配的，虛擬專(zhuān)用網(wǎng)設(shè)備自然也就知道該與哪個(gè)IP建立虛擬專(zhuān)用網(wǎng)連接。示意圖如下：

（2）DNS和網(wǎng)關(guān)：和DHCP服務(wù)器一樣，除了給客戶端分配IP地址以外，還要分配網(wǎng)關(guān)和DNS，這樣客戶端就擁有了內(nèi)網(wǎng)的IP、網(wǎng)關(guān)及DNS等必備的資源，真正成為內(nèi)網(wǎng)的一員，如下所示：

（3）交換共享密鑰：在遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)中，虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)需要與多組客戶端“共享密鑰”，因此在配置虛擬專(zhuān)用網(wǎng)時(shí)需要為每組客戶端設(shè)置不同的共享密鑰，客戶端的密鑰并不是虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)推送的，而是需要用戶通過(guò)客戶端軟件配置在主機(jī)上，而這個(gè)過(guò)程一般是由公司的網(wǎng)絡(luò)管理員來(lái)實(shí)現(xiàn)的，那么這個(gè)密鑰自然是保存在客戶端主機(jī)本地了，因此才有了“階段1.5”的存在，如下：

（4）分離隧道：默認(rèn)情況下，客戶端與虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)建立隧道后，只能訪問(wèn)內(nèi)網(wǎng)授權(quán)的資源，這是因?yàn)樗淼罆?huì)允許所有的流量，也就是說(shuō)所有的流量必須經(jīng)過(guò)隧道到達(dá)公司內(nèi)網(wǎng)，自然也就不允許任何流量fang wen wai wang ，而對(duì)于客戶端來(lái)說(shuō)，fang wen wai wang，再正常不過(guò)了，所以需要針對(duì)遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)配置ACL來(lái)分離隧道，通過(guò)配置ACL，所有“permit”的流量都被加密傳輸，所有“deny”的流量都被明文傳輸，而加密的流量就是通過(guò)隧道訪問(wèn)公司內(nèi)網(wǎng)的流量，明文的流量就是訪問(wèn)Internet的流量，將這個(gè)ACL應(yīng)用到組策略中即可實(shí)現(xiàn)需求，如下：

（5）分離DNS：當(dāng)客戶端主機(jī)通過(guò)遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)連接到公司內(nèi)網(wǎng)，即使隧道分離后，客戶端訪問(wèn)Internet的web服務(wù)器時(shí)，也需要使用公司內(nèi)網(wǎng)的DNS解析，但這不是一個(gè)合理的過(guò)程，如果客戶端每次訪問(wèn)百度，都要經(jīng)過(guò)公司內(nèi)網(wǎng)進(jìn)行DNS解析，其實(shí)是沒(méi)必要的，太浪費(fèi)資源了，所以要實(shí)現(xiàn)客戶端訪問(wèn)公司內(nèi)網(wǎng)的web服務(wù)器時(shí)，使用公司內(nèi)網(wǎng)的DNS解析，若訪問(wèn)百度，則使用Internet的DNS，如果要實(shí)現(xiàn)不同的域名使用不同的DNS，就需要用到了分離DNS，如下圖：

3、動(dòng)態(tài)crypto map
因?yàn)槲覀儫o(wú)法實(shí)現(xiàn)在虛擬專(zhuān)用網(wǎng)設(shè)備的靜態(tài)crypto map中指定客戶端的地址（客戶端的地址由虛擬專(zhuān)用網(wǎng)的DHCP服務(wù)分發(fā)，不是固定的），所以需要將靜態(tài)crypto map中需要的參數(shù)被動(dòng)態(tài)填充，使用動(dòng)態(tài)crypto map 必須采用ISAKMP/IKE發(fā)起協(xié)商，而且在實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)的時(shí)候通常在虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)上同時(shí)配置靜態(tài)和動(dòng)態(tài)的crypto map，因?yàn)橹挥幸慌_(tái)具有靜態(tài)配置的設(shè)備可以發(fā)起IPSec的隧道，也正是如此，動(dòng)態(tài)的crypto map很少被用于L2L（局域網(wǎng)to局域網(wǎng)）會(huì)話建立。

在實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)虛擬局域網(wǎng)的時(shí)候，一般會(huì)先配置transform-set，因?yàn)橹付▊鬏敿cpeer的IP地址無(wú)關(guān)，可以將傳輸集直接應(yīng)用到動(dòng)態(tài)crypto map；由于在接口上只能配置一個(gè)crypto map，且虛擬專(zhuān)用網(wǎng)網(wǎng)關(guān)上必須有靜態(tài)crypto map，所以需將動(dòng)態(tài)crypto map 應(yīng)用到靜態(tài)的crypto map中，再將靜態(tài)crypto map應(yīng)用到接口上，這就是配置crypto map的一般思路，如下圖所示：

二、配置實(shí)例
1、環(huán)境如下：

2、環(huán)境分析：

（1）在公司網(wǎng)關(guān)路由器上配置虛擬專(zhuān)用網(wǎng)，客戶端（出差人員）可以連接到虛擬專(zhuān)用網(wǎng)，并訪問(wèn)內(nèi)網(wǎng)提供的DNS服務(wù)及HTTP（www.test.com ） 服務(wù)（使用該域名訪問(wèn)，內(nèi)網(wǎng)中的DNS負(fù)責(zé)解析該域名），為了簡(jiǎn)化環(huán)境，所以集成到一臺(tái)服務(wù)器上了。
（2）客戶端連接到虛擬專(zhuān)用網(wǎng)后，還可以使用Internet的DNS及HTTP服務(wù)，模擬www.baidu.com 網(wǎng)站服務(wù)，并使用Internet上的服務(wù)器提供的DNS服務(wù)解析該域名。
（3）自行配置正確的路由器接口及各個(gè)服務(wù)器的IP、網(wǎng)關(guān)、路由（服務(wù)器配置相應(yīng)的網(wǎng)關(guān)，路由器R1只需配置接口IP及一條默認(rèn)路由指向R2路由器即可，R2路由器除了接口IP以外什么都不要配置，尤其是路由表，否則可能測(cè)試不出來(lái)虛擬專(zhuān)用網(wǎng)的效果）。
（4）客戶端需要安裝Cisco提供的客戶端軟件進(jìn)行連接。
3、配置前準(zhǔn)備：

（1）下載客戶端使用的軟件，并安裝在客戶端，用來(lái)連接虛擬專(zhuān)用網(wǎng)（我這里是windows 7的client安裝包，如果客戶端是Windows 10，請(qǐng)參考博文：Windows 10 安裝虛擬專(zhuān)用網(wǎng)client端）：https://blog.51cto.com/14154700/2431163
（2）自行配置路由器接口IP地址及路由（這些基礎(chǔ)配置命令就不展示了，我之前的博文有寫(xiě)到過(guò)，或者自行百度吧）。
（3）自行配置各個(gè)服務(wù)器及客戶端的IP及網(wǎng)關(guān)。
（4）自行在相關(guān)服務(wù)器上搭建web服務(wù)及DNS服務(wù)（這兩個(gè)服務(wù)不是這篇博客想要介紹的，我這里簡(jiǎn)單搭了一個(gè)，我之前的博文有搭相關(guān)服務(wù)的，可以自行查看）。
4、開(kāi)始配置
公司內(nèi)網(wǎng)路由器配置（接口IP自行配置）：

Router(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.1              # 配置一條向外的默認(rèn)路由
Router(config)#aaa new-model                      # 開(kāi)啟三A
#以下是為遠(yuǎn)程訪問(wèn)虛擬專(zhuān)用網(wǎng)客戶端進(jìn)行認(rèn)證及授權(quán)。
# “ test1-authen”是自定義的認(rèn)證名稱(chēng)，“l(fā)ocal”表示本地認(rèn)證方式，
#也可以使用“group radius”，路由器會(huì)轉(zhuǎn)發(fā)給指定的RADIUS服務(wù)器進(jìn)行驗(yàn)證，
#這里就使用“l(fā)ocal”了，方便。
Router(config)#aaa authentication login test-authen local              # 認(rèn)證
Router(config)#aaa authorization network test-author local           # 授權(quán)
Router(config)#username zhangsan secret 123123                   # AAA的認(rèn)證用戶及密碼
#以下是"配置虛擬專(zhuān)用網(wǎng)階段1"，是指定管理連接的相關(guān)參數(shù)，加密算法等
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#hash sha
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 2
#階段1至此配置完畢
Router(config-isakmp)#exit
#接下來(lái)"配置階段1.5"，就是需要在管理連接后建立成功后，推送給客戶端的配置了。
#以下是配置一個(gè)地址池，池中的地址是向客戶端分發(fā)的，
#地址池的網(wǎng)段地址，不可以和內(nèi)網(wǎng)使用同一網(wǎng)段，否則將會(huì)影響最終通信
Router(config)#ip local pool test-pool 192.168.1.200 192.168.1.210
#以下是定義一個(gè)命名的ACL，這個(gè)ACL是推送給客戶端使用的，只有ACL允許的源地址是可以被客戶端訪問(wèn)的
Router(config)#ip access-list extended split-acl
#這個(gè)ACL是允許192.168.0.0去往任何地址，當(dāng)推送到客戶端時(shí)，就會(huì)反過(guò)來(lái)。
#變成了允許任何IP地址訪問(wèn)192.168.0.0。因?yàn)檫@里的源地址是站在路由器的角度的。
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any
#以下是創(chuàng)建用戶組
Router(config)#crypto isakmp client configuration group test-group
Router(config-isakmp-group)#key 321321              # 用戶組密碼
Router(config-isakmp-group)#pool test-pool           # 應(yīng)用剛才定義的地址池
Router(config-isakmp-group)#dns 192.168.0.10          # 指定dns
Router(config-isakmp-group)#acl split-acl               # 應(yīng)用acl
Router(config-isakmp-group)#split-dns test.com      # 指定要分離出來(lái)的域名
Router(config-isakmp-group)#exit 
#階段1.5至此就配置完畢了。

#"配置階段2，也就是數(shù)據(jù)連接的相關(guān)配置"
Router(config)#crypto ipsec transform-set test-set esp-3des esp-sha-hmac            # 配置傳輸集
Router(cfg-crypto-trans)#exit
Router(config)#crypto dynamic-map test-dymap 1          # 創(chuàng)建動(dòng)態(tài)map，“1”是序號(hào)，用來(lái)定義優(yōu)先級(jí)
Router(config-crypto-map)#set transform-set test-set         #在動(dòng)態(tài)crypto map中定義transform-set（傳輸集）
Router(config-crypto-map)#exit
#以下是配置應(yīng)用到靜態(tài)crypto  map中，由于同一臺(tái)網(wǎng)關(guān)設(shè)備還會(huì)存在和分公司的虛擬專(zhuān)用網(wǎng)靜態(tài)map，
#所以建議將這種方式的虛擬專(zhuān)用網(wǎng)配置的序號(hào)靠后一點(diǎn)，優(yōu)先匹配與分公司之間的虛擬專(zhuān)用網(wǎng)靜態(tài)map，這里定義為1000
Router(config)#crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap       #引用剛才創(chuàng)建的動(dòng)態(tài)map
# 以下配置是讓客戶端發(fā)起連接
Router(config)#crypto map test-stamap client authentication list test-authen
Router(config)#crypto map test-stamap isakmp authorization list test-author
Router(config)#crypto map test-stamap client configuration address respond
Router(config)#int f 0/1
Router(config-if)#crypto map test-stamap            # 應(yīng)用到接口

公司網(wǎng)關(guān)路由器上關(guān)于虛擬專(zhuān)用網(wǎng)的配置已經(jīng)完成了，現(xiàn)在使用客戶端安裝專(zhuān)用軟件，連接虛擬專(zhuān)用網(wǎng)，并測(cè)試訪問(wèn)即可。
客戶端配置如下：











使用客戶端進(jìn)行訪問(wèn)驗(yàn)證：

當(dāng)前文章：Cisco路由器之Easy虛擬專(zhuān)用網(wǎng)（解決出差員工訪問(wèn)公司
網(wǎng)頁(yè)URL：http://vcdvsql.cn/article22/pdssjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、標(biāo)簽優(yōu)化、網(wǎng)站導(dǎo)航、云服務(wù)器、做網(wǎng)站、定制開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)