cisco pix515 VPN 配置实例手册

VPN(Virtual Private Network):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet或Intranet。要实现VPN连接,企业内部网络中必须配置有一台支持VPN的ROUTER或支持VPN的PIX或一台基于Windows NT或Windows2000 Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
在身份验证中,Cisco 有专用的认证服务软件Cisco Secure ACS(Access Control Server), Cisco Secure ACS是一种AAA服务器。所谓AAA,是指:
认证(authentication):当NAS(Network Access Server网络访问服务器)收到一个用户认证的请求,它把有关信息通过UDP 1645发给Radius服务器,服务器检查用户数据库确定是否为授权用户,如果是,则给NAS返回验证通过的信息。
记帐(accounting): 如果需要,用户连接结束后,NAS可以将连接持续的时间、流量等信息发给Radius服务器进行记录,作为计费参考数据。
授权(authorization): 通过Radius服务器还可以限定用户可以访问的服务。
通过引入AAA服务器,可以:
1.解决用户数限制: 例如VPN3030只支持定义500个用户,用ACS可以支持更多用户.
2.计费:ACS记录的用户连接时间,通讯量等信息可作计费数据.
3.增强安全性: 可以限定用户访问的服务;用户访问的日志可用于安全审计.
4.方便管理:用户定义可用于一组设备,无需分别设置和维护.现以PIX506E及Cisco Secure ACS 3.2为例架设VPN及AAA认证服务器,网络架构图如下:

SOHO(10.10.2.21-10.10.2.40 )——–Internet——-(211.96.*.8)PIX506E(10.10.1.254)——–switch——ACS SERVER(10.10.1.8)
1. PIX506E的基本配置
PIX(config)# hostname VPN (配置PIX506E的名称)
VPN(config)# interface ethernet0 100full (设置端口为100M full)
VPN(config)# interface ethernet1 100full
VPN(config)# enable password ****** (进入特权模式密码)
VPN(config)# password ****** (远程telnet密码)
VPN(config)# ip address outside 211.96.*.8 255.255.255.0 (定义PIX的outside口IP,此IP为Internet共享IP)
VPN(config)# ip address inside 10.10.1.254 255.255.255.0 (定义PIX的inside口IP)
Command:
VPN(config)# fixup protocol [] [-] 关闭Protocol及Port用以下Command: VPN(config)# no fixup protocol [] [-] VPN(config)# route outside 0.0.0.0 0.0.0.0 211.96.*.1 1 (定义出pix的路由) VPN(config)#nat (inside) 0 access-list nonat (定义不需要进行NAT传输的流量) VPN(config)#route outside 0.0.0.0 0.0.0.0 211.96.*.1 1 (定义到Internet的网关) VPN(config)#access-list nonat permit ip 10.10.1.0 255.255.255.0 10.10.2.0 255.255.255.0 (定义不进行NAT的流量,这些流量会用IPSce来封装,当PIX的内部IP和分配给VPN client的IP在同一网段的时候,一样要加ACL,加源和目的网段一样的ACL,这个要注意)\ 2. PIX506E VPN配置: VPN(config)# ip local pool cage 10.10.2.21-10.10.2.40 (定义分配给VPN client的IP地址池 ) VPN(config)# sysopt connection permit-ipsec(对于所有IPSec流量不检测允许其通过,如果不加这个命令的话,需要加上ACL到outside口以允许特定的IPSce流量通过,但会控制更加灵活) VPN(config)# crypto ipsec transform-set cageset esp-des esp-md5-hmac(定义一个变换集cageset) VPN(config)# crypto dynamic-map cagedyn 10 set transform-set cageset (把变换集aaades添加到动态加密策略cageset) VPN(config)#crypto map cagemap 10 ipsec-isakmp dynamic cagedyn (把动态加密策略绑定到cagemap 加密图) VPN(config)#crypto map cagemap client configuration address initiate (定义给每个客户端分配IP地址)
VPN(config)#crypto map cagemap client configuration address respond (定义PIX防火墙接受来自任何IP的请求)
VPN(config)#crypto map cagemap interface outside (把动态加密图cagemap绑定到outside口)
VPN(config)#isakmp enable outside (在outside口启用isakmp)
VPN(config)#isakmp key ******** address 0.0.0.0 netmask 0.0.0.0 (定义共享密匙,并接受任何地址的请求)
VPN(config)#isakmp client configuration address-pool local cage outside (将VPN client地址池绑定到isakmp)
VPN(config)#isakmp policy 10 authentication pre-share (定义phase 1使用pre-shared key进行认证)
VPN(config)#isakmp policy 10 encryption des (定义phase 1协商用DES加密算法)
VPN(config)#isakmp policy 10 hash md5 (定义phase 1协商用MD5散列算法)
VPN(config)#isakmp policy 10 group 2 (定义phase 1进行IKE协商使用DH group 2 )
VPN(config)#isakmp policy 10 lifetime 86400(定义IKE SA生存时间)
VPN(config)#vpngroup Administrator address-pool cage (定义VPN client:Administrator拨入使用的vpngroup所分配的IP池)
VPN(config)#vpngroup Administrator idle-time 1800 (定义vpngroup的空闲时间)
VPN(config)#vpngroup Administrator password ******** (定义VPN client:Administrator的密码为********)
3. PIX506E AAA认证的配置:
VPN(config)#aaa-server cage protocol radius (定义AAA服务器使用的协议)
VPN(config)#aaa-server cage (inside) host 10.10.1.8 yang timeout 5 (定义AAA Server的ip及共享密码yang,装了ACS的服务器)
VPN(config)#crypto map cagemap client authentication cage (定义需要验证服务器 ,使用的是cage用户验证)
4. Cisco VPN Client 4.0.1的配置:
VPN client版本为4.0.1以上,先创建一个连接,使用pre-shared key,group Authentication name和password要和PIX中的vpngroup和key一致.

发表评论

电子邮件地址不会被公开。 必填项已用*标注