路由器允许vpnclient使用分割隧道连接ipsec和internet的-cisco.pdfVIP

路由器允许 VPN Client 使用分割隧道连接 IPsec 和 Internet 的配置示例 目录 简介 先决条件 要求 使用的组件 规则 背景信息 配置 网络图 配置 VPN 客户端 4.8 配置 验证 故障排除 故障排除命令 相关信息 简介 本文档提供有关如何允许 VPN 客户端在通过隧道连接到 Cisco IOS® 路由器时访问 Internet 的分步 说明。要允许 VPN 客户端通过 IPsec 安全访问公司资源并且同时允许对 Internet 进行非安全访问 ，需要进行此配置。此配置称为分割隧道。 注意： 配置分割隧道后可能会带来安全风险。由于 VPN 客户端可以对 Internet 进行非安全访问 ，因此它们可能被攻击者攻陷。然后该攻击者可以通过 IPsec 隧道访问公司 LAN。可以在完全隧道 和分割隧道之间进行折衷，以允许 VPN 客户端仅访问本地 LAN。请参阅 PIX/ASA 7.x：允许 VPN 客户端访问本地 LAN 的配置示例。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： 安装有 Cisco IOS 软件版本 12.4 的 Cisco 路由器 3640 Cisco VPN Client 4.8 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 远程访问 VPN 满足了移动工作者的安全连接组织网络的需要。移动用户可以使用安装在其 PC 机上 的 VPN 客户端软件来建立安全连接。VPN 客户端将会向已配置为接受这些请求的中心站点设备发 起连接。在本示例中，中心站点设备是使用动态加密映射的 Cisco IOS 路由器。 当您对 VPN 连接启用分割隧道时，需要在路由器上配置一个访问控制列表 (ACL)。在本示例中 ，access-list 101 命令与用于分割隧道的组关联，并且该隧道通向 10.10.10.x/24 网络。流向设备的 未加密数据流（例如，Internet）将从 ACL 101 中配置的网络中排除。 access-list 101 permit ip 55 55 针对组属性应用 ACL。 crypto isakmp client configuration group vpngroup key cisco123 dns 0 wins 0 domain pool ippool acl 101 本配置示例针对 IPsec 隧道配置了以下要素： 应用到 PIX 上的外部接口的加密映射 根据本地身份验证对 VPN 客户端进行的扩展身份验证 (Xauth) 从地址池中为 VPN 客户端动态分配专用 IP 地址 nat 0 access-list 命令功能，此功能允许 LAN 上的主机使用远程用户的专用 IP 地址，同时仍可 从 PIX 处获得网络地址转换 (NAT) 地址，以访问不受信任的网络。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 网络图 本文档使用以下网络设置： 注意： 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用 的 RFC 1918 地址。 配置 本文档使用以下配置： 路由器 Cisco VPN 客户端 路由器 VPN#show run Building configuration... Current configuration : 2170 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname VPN ! boot-start-marker boot-end-marker ! ! ! Enable authentication, authorization and accounting (AAA) ! for user authentication and group authorization. aaa