EZVPN的模式实例

标题：EZVPN目的：检测EZVPN的三种硬件模式拓扑：步骤：1、按照拓扑给路由器配置地址Ip地址规划,企业等一类的大型网络（大的局域网）内部网络使用的,是私网地址,连接互联网的边界路由使用的是公网地址Pc上PC(config-if)#intf0/0PC(config-if)#ipadd20.1.1.10255.255.255.0PC(config-if)#noshEzclient上ezclient(config)#intf0/1ezclient(config-if)#ipadd20.1.1.1255.255.255.0ezclient(config-if)#noshezclient(config-if)#intf0/0ezclient(config-if)#ipadd61.128.1.1255.255.255.0ezclient(config-if)#noshInternetinternet(config)#intf0/1internet(config-if)#ipadd61.128.1.10255.255.255.0internet(config-if)#noshutdowninternet(config-if)#intf0/0internet(config-if)#ipadd202.100.1.10255.255.255.0internet(config-if)#noshutdownGw上gw(config)#intf0/1gw(config-if)#ipadd202.100.1.1255.255.255.0gw(config-if)#noshgw(config-if)#noshutdowngw(config-if)#intf0/0gw(config-if)#ipadd10.1.1.1255.255.255.0gw(config-if)#noshutdownServer上server(config)#intf0/1server(config-if)#ipadd10.1.1.10255.255.255.0server(config-if)#noshutdown2、解决路由底层问题，及server的回包问题Pc上内部网络一般运行动态路由协议，但由于拓扑简单，直接使用缺省路由，客户端与中心通信，中心接受的通信流量之后，需要回包，才能确保链路畅通，即也是解决的路由回包；且vpn的通信点设备需要知道vpn对端通信点路由及加密点路由Ezclient上Gw上利用缺省路由解决底层路由，使得接收到的路由可以回包，且边界路由使用都是缺省路由；vpn的加密点必须知道内网通信点和对端加密点及通信点路由Server上内部网络一般运行动态路由协议，但由于拓扑简单，直接使用缺省路由，客户端与中心通信，中心接受的通信流量之后，需要回包，才能确保链路畅通，即也是解决的路由回包；且vpn的通信点设备需要知道vpn对端通信点路由及加密点路由测试：ezclient与gw之间3、创建EZVPN中心Gw上第1阶段gw(config)#cryptoisakmppolicy10第一阶段认证策略gw(config-isakmp)#authenticationpre-share认证方式预共享密钥gw(config-isakmp)#group2修改为组2，路由器默认为组1，但客户端认证时发送到中心的信息都是在组2，因此修改组，不采用默认gw(config-isakmp)#hashmd5散列函数为MD5gw(config)#cryptoisakmpclientconfigurationgroupipsecgroupEZVPN使用D的是cisco私有的group+key的认证方式，提供设备级的认证，配置客户端模式的组名gw(config-isakmp-group)#keycisco设置group+key的key值第1.5阶段gw(config)#aaanew-model开启aaa功能gw(config)#aaaauthenticationloginremotelocalXAUTH的登录认证名为remote，方式为本地认证gw(config)#usernameipsecuserpasswordcisco在本地创建客户端登录的用户名和密码；用户远程登录，查阅路由器的数据库，消耗路由资源大，企业一般采用将所有的用户验证连到AAA服务器上，在AAA服务器上查询，匹配了，在连到中心gw(config)#aaaauthorizationnetworkremotelocal授权为网络授权，授权策略名为remote，方式为本地授权gw(config)#iplocalpoolmypool123.1.1.100123.1.1.200在本地创建地址池，用来推送地址gw(config)#cryptoisakmpclientconfigurationgroupipsecgroupgw(config-isakmp-group)#poolmypool将地址池和组关联gw(config)#cryptoisakmpprofileisaprof使用isakmp的profile加密，保护文件gw(conf-isa-prof)#matchidentitygroupipsecgroup匹配组gw(conf-isa-prof)#clientauthenticationlistremote匹配认证策略gw(conf-isa-prof)#isakmpauthorizationlistremote匹配授权策略gw(conf-isa-prof)#clientconfigurationaddressrespond启用客户端配置第2阶段gw(config)#cryptoipsectransform-settransesp-desesp-md5-hmac中心不知道客户端身后的网络，因此，感兴趣流不匹配，直接配置转换集gw(config)#cryptodynamic-mapdymap10客户端因资金问题，一般都是动态获取地址，因此使用动态mapgw(config-crypto-map)#settransform-settransgw(config-crypto-map)#setisakmp-profileisaprof匹配转换集和profile的策略gw(config)#cryptomapcisco10ipsec-isakmpdynamicdymap动态map关联到静态map，因为接口只支持静态map调用gw(config)#intf0/1gw(config-if)#cryptomapcisco调用map客户端ezclient上（首先client模式）ezclient(config)#cryptoipsecclientezvpnezclient配置客户端ezclient(config-crypto-ezvpn)#peer202.100.1.1匹配对等体地址ezclient(config-crypto-ezvpn)#groupipsecgroupkeycisco匹配第一阶段的认证，组和keyezclient(config-crypto-ezvpn)#modeclientClient模式ezclient(config-crypto-ezvpn)#connectmanual手动拨号ezclient(config)#intf0/0ezclient(config-if)#cryptoipsecclientezvpnezclientoutsideezclient(config-if)#intf0/1ezclient(config-if)#cryptoipsecclientezvpnezclientinside定义内部和外部在客户端ezclient上拨号查看获取的地址Client模式接收到中心推送的地址Pc上进行Ping命令测试客户端可以访问中心，不能访问互联网中心进行ping测试中心不能访问客户端查看PAT客户端使用中心推送的地址访问，并且PAT只有企业型的查看pc从中拿到的策略无策略其次client模式+tunnelsplit（隧道分割）gw(config)#ipaccess-listextendedsplit-tunnelgw(config-ext-nacl)#permitip10.1.1.00.0.0.255anygw(config)#cryptoisakmpclientconfigurationgroupipsecgroupgw(config-isakmp-group)#aclsplit-tunnel用ACL匹配流量，并在组中匹配，即使用隧道分割客户端需要从新触发vpn，才能拿到策略查看策略客户端拿到了隧道分割的策略查看获取到的地址客户端收到中心推送的地址Pc上进行ping命令测试客户端既能访问中心，又能访问互联网中心进行ping测试中心不能访问客户端在server上启用远程路由，并在pc上测试server(config)#linevty015server(config-line)#passwordciscoserver(config-line)#loginserver(config)#enablepassword123在server设备上查看客户端使用中心推送的地址查看PATPAT有两个，企业型的和互联网型再添加一个密码保存策略gw(config)#cryptoisakmpclientconfigurationgroupipsecgroupgw(config-isakmp-group)#save-password密码保存，即有些用户想要记住密码，下次直接点击连接客户端断开一下，再连接，才能拿到新的策略ezclient#clearcryptoipsecclientezvpnezclient#cryptoipsecclientezvpnconnectezclient#cryptoipsecclientezvpnxauthUsername:ipsecuserPassword:查看策略客户端密码保存策略拿到可以测试一下断开连接后，从新拨号，直接拨上，不用拨密码然后使用网络扩展模式，先删除策略，再修改客户端模式ezclient(config)#cryptoipsecclientezvpnezclientezclient(config-crypto-ezvpn)#modenetwork-extension网络扩展模式从新拨号查看地址没有收到中心推送的地址Pc上测试客户端可以访问中心，不能访问互联网Server设备上查看与测试客户端使用的是自己真实的地址中心能够访问客户端查看PAT没有PAT其次使用网络扩展模式+split-tunnel用ACL匹配流量，并在组中匹配，即使用隧道分割客户端从新触发vpn，才能拿到策略查看策略查看地址没有Pc上测试可以访问中心，也可以访问互联网Server设备上查看和测试客户端使用的是自己真实的地址访问中心，且中心能够访问客户端查看PATPAT只有一个，互联网型添加密码保存策略，及手动拨号改为自动拨号密码保存，即有些用户想要记住密码，下次直接点击连接先拿到策略修改手动拨号改为自动拨号断开后验证断开后，客户端自动拨号，建立连接删掉策略，自动拨号改为手动拨号，使用Natwork-puls模式Natwork-puls模式ezclient(config)#cryptoipsecclientezvpnezclientezclient(config-crypto-ezvpn)#modenetwork-plusNatwork-puls模式查看地址中心推送地址Pc上测试可以访问中心，不能访问互联网Server设备上查看和测试客户端使用的是真实的地址，且中心可以访问客户端查看PAT无PAT其次使用Natwork-puls模式+split-tunnel从新拨号拿到策略查看策略查看地址中心推送地址Pc上测试客户端既能访问中心，又能访问互联网Server设备上查看及测试中心能够访问客户端查看PATPAT只有一个互联网型