一般情况下,VPN可以用于允许远程通信方,包括销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。
同样的,对于网管人员来说,他们也因此多一种选择,而且是一种安全的选择,因为他们可以借助通过公网走VPN隧道对企业内部网络资源进行访问和维护。考虑到设备投入最小化的要求,以及对网络拓扑状态和性能影响最小的原则,网管人员可以利用现有的网络资源在不改变网络拓扑的情况下,在边界路由器上部署VPN,另外由于维护人员对内部资源的访问流量一般不大的现实,因此在边界路由器上开放的VPN功能对于网络性能影响不大。
下面以Cisco 2600路由器为例介绍配置法。
拓扑结构
拓扑结构比较简单,企业一般是由一台Cisco中端产品作为边界路由器(见图1)。
图1
这里以Cisco 2611路由器作为边界路由设备。
主要配置说明
在Cisco技术支持网站上有其详细的配置,这里将就主要的配置做详细的说明。具体配置可以参考:
http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_configuration_example09186a0080094847.shtml。
根据VPN建立过程,可以划分为以下三个阶段。
第一阶段:IKE协商
IKE协商主要涉及密钥交换方式,采用加密算法。一般来讲,会有以下参数需要设置:加密算法、散列函数(Hash)、认证方式。
在具体配置Cisco路由器的时候,应首先建立ISAKMP策略集,然后依次配置其加密算法、散列函数和认证方式。
下面是从Cisco技术支持网站的Running-config摘下来的,请参考。
crypto isakmp policy 3
encr des
authentication pre-share
group 2
说明:
“encr des”表示加密采用des算法,注意在国内只有des算法可以用,因为美国对加密有出口限制。
“authentication pre-share 表示初始协商时使用预先设置的共享密钥。密钥的具体配置在后面配置VPN用户组参数时配置。
第二阶段:用户组配置
用户组的配置主要是对发出请求接入的用户进行初始化协商、身份确认、分配IP资源、以及告知用户其内部网络支撑系统资源配属情况。一般涉及下列参数:初始化协商所需的密钥、用户认证方式、用户可以使用的IP地址资源、用户接入内部网络后其DNS、WINS、域名后缀等基本信息参数。
crypto isakmp client configuration group 3000client
key cisco123
dns 14.1.1.10
wins 14.1.1.20
domain cisco.com
pool ippool
由于我们采用的是共享密钥方式,因此,在这里需要设置key的具体值。另外,pool 设置可以参照下面实例。
ip local pool ippool 14.1.1.100 14.1.1.200
第三阶段:用户信道参数
用户信道参数的设置是对用户建立VPN通道可以采用的算法集合进行界定,以方便通信双方协商其具体通信过程中所采用的加密算法,并建立映射关系。一般需要设置transform-set 和 map 集。
crypto dynamic-map dynmap 10
set transform-set myset
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
需要说明的是,VPN组网方式有两大类:Peer-to-Peer和Point-to-Peer的方式。这里选择的是后者,其特点是用户IP是动态的,因此,这里的映射集合应该为动态的。另外,这里具体配置了用户认证的方式,为使用本地用户数据库认证。具体配置为:
aaa new-model
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
username cisco password 0 cisco
其中,用户名为cisco,口令为cisco。
transform-set 的配置可以参考如下配置:
crypto ipsec transform-set myset esp-des esp-sha-hmac
需要注意的问题
古人云:“尽信书则不如无书”。如果完全按照技术资料,即Cisco网站由TAC确认的配置文件进行配置是不能配通的。原因很简单,因为“show running-config”命令没有将全部的配置显示出来,有些配置可能因为是默认的缘故,或者Cisco出于某些考虑,将部分配置信息过滤掉了。
主要的缺漏如下:
散列函数:hash md5,表明使用md5算法对信息进行摘要计算。
传输模式:crypto ipsec transform-set myset mode transport 使用透明模式,另外一种模式是tunnel模式。
另外,还有以下问题需要注意:
路由问题
需要将接入用户的IP路由信息进行配置,否则将不能访问内部服务器,而只能ping通网关。可以采用加静态路由方式,给VPN地址池用户的IP(14.1.1.100~14.1.1.200)指明VPN网关的接口为其默认路由关口。
ip route 14.1.1.0 255.255.255.0 FastEthernet0/0
其中FastEthernet0/0 为172网段所在的外口。
边界安全影响
通常情况下,一般网络边缘会配置一定的网络访问控制策略。如果配置了拒绝UDP协议或者只允许部分UDP端口访问的策略的话,那么会影响VPN通道的建立。因为IKE协商时会使用UDP 500端口进行协商。因此,还需要开放必要的端口资源,具体配置请参阅有关资料。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=399&categ_code=10151002
