网络安全高级应用 第五章 远程访问VPN.ppt

* 第二步额外配置为定义组策略，其中包括分配IP地址，所以首先需要配置一个IP地址池。在下面定义组策略是已经调用“pool vpn_pool” 所谓ACL分离隧道就是让客户端主机既可以访问公司资源又可以访问Internet（这时最一般的需求，可能会很复杂）。这就需要ACL指定什么样的流量被保护。permit指定被隧道保护的流量，deny指定被客户端明文发送的流量。ACL的配置是从路由器的角度来看的。在ACL中的源地址是客户端要到达的地址，而目标地址代表客户端自身。本案例中，任何客户端的流量，当被发送到/24时都将会被保护，所有的其它流量以明文的形式被发送。 组策略中还有最最关键的一个配置，相当于点到点VPN的共享密钥“key groupkey” 除此之外，组策略还包括很多（下面内容可根据学员情况适当扩展）： 如果是对等网的环境，上述配置即以满足要求；但如果是域控环境，则用户需要通过域帐号登入网络访问资源，但域控服务器不可能与在广域网的用户建立连接，于是这项任务自然由网关设备完成（VPN的服务器端），所以还需以下策略配置： domain domain_name 指定分配给客户端的域名 dns dns_ip_1 dns_ip_2 指定内网的dns服务器地址，可以指定两个 split-dns domain_name 用于分离dns，对于命令没有列出的域名，将使用用户本地的dns服务器解析。 * 静态的crypto map条目存在一个问题：必须指定远程对等设备的IP地址，这对于远程VPN的服务器端是不可能实现的（客户端可能是网上任何一台主机或设备）。所以配置远程VPN必须引入新的概念——动态crypto map用于建立远程访问的IPSec会话。使用动态的Crypto Map条目，只需要一条必要的命令：set transform-set ，其它的配置参数在协商IPSec参数时，会被动态地填充。 但动态crypto map也存在一个问题：即服务器端不可能发起通讯，因为它无法知道客户端是谁（IP地址），因此在L2L VPN中很少使用动态crypto map，除非可以肯定总公司绝对没有访问分支公司的可能性。 此外，动态crypto map有一些限制： 1. 必须使用ISAKMP/IKE来发起协商。 2. 一台对等设备必须有一个静态的配置（一般是peer的IP地址），另一端必须有一个动态的配置（通常是服务器端）。 3.只有客户端可以发起通信。 * 第一条命令：与前面的AAA配置呼应，指定了使用aaa authentication login命令来验证用户。 第二条命令：与前面的AAA配置呼应，指定了使用aaa authorization network命令来找到远程访问组的配置 第三条命令：指定是客户端发起了IKE模式配置（respond参数）。虽然后面可以有两个参数，但一般情况都是由Remote客户端发起，所以基本每次都选用respond参数。 第四条命令用于激活（调用）动态crypto map。 这里很多人会问，为什么要将动态的MAP在静态的MAP中调用？ 之前我们已经学习过，在接口需要应用crypto map而且只能应用一个crypto map，很多公司都有同时使用L2LVPN和远程VPN的需求，因此如果不在静态MAP中调用，就只能在接口上应用两个MAP，这一点之前已经说明是不可能的。 * 首先作为客户端，必须明确指明服务器端的IP地址，这是动态crypto map的要求。 其次注意配置客户端软件的时候，填写的应该是策略组的用户名称和共享密钥，很多初学者容易将身份验证的用户名和密码填写在这里。 查看隧道分离的对话卡框注意，如果隧道分离失败，所有的流量都将通过VPN到达总公司，将无法访问Internet。白框中将显示 * 提醒学员关注命令中显示的“Session status: UP-ACTIVE”即可 * Benet总公司有自己内部的服务器，分公司用户通过Easy VPN硬件客户端（路由器）访问总公司局域网。 注意：该实验并非本章重点，学员达到了解的程度即可。而且很多配置与软件客户端相同，只是客户端不同。 讲解该实验的目的主要是让学员能够看到客户端的配置，不像软件客户端只是填写一些对话框，可以更好的理解客户端的工作原理。 * 服务器In和Out安装Windows 2003，服务器In启用远程桌面，服务器Out搭建网站，并配置DNS服务器。主机PC1安装Windows XP系统，配置DNS指向。 演示实验只需配置客户端设备即可，不要重复配置服务器端。 * Easy VPN服务器R1的配置与使用软件客户端时的配置相同，这里略过 crypto ipsec client ezvpn命令建立一个连接配置文件，