Remote akses VPN adalah layanan yang sangat populer di kalangan router Cisco ASA Firewall dan. Fleksibilitas memiliki akses remote ke jaringan perusahaan dan sumber dayanya secara harfiah dari mana saja di dunia, telah terbukti sangat berguna dan dalam banyak kasus tak tergantikan. Semua yang dibutuhkan adalah koneksi internet cepat dan kredensial pengguna Anda untuk log in - semua sisanya diurus oleh router Cisco atau alat firewall.
Untuk memulai koneksi, kita menggunakan Cisco VPN client, tersedia untuk sistem operasi Windows (XP, Vista, Windows 7 - 32 & 64bit), Linux, Mac OS 10.5 dan x10.4 & Solaris UltraSPARC (32 & 64bit), sehingga banyak tersedia untuk sebagian besar pengguna di seluruh dunia. Cisco VPN Klien tersedia untuk di-download dari kami Unduh Cisco bagian.
VPN Cisco juga memperkenalkan konsep 'Membagi Tunneling'. Membagi tunneling adalah fitur yang memungkinkan VPN remote akses klien LAN perusahaan, tetapi pada saat yang sama surfing internet. Dalam konfigurasi ini, hanya lalu lintas ditakdirkan untuk LAN perusahaan dikirim melalui terowongan VPN (dienkripsi), sementara semua lalu lintas lainnya (internet) disalurkan secara normal karena akan jika pengguna tidak terhubung ke VPN perusahaan.
Beberapa perusahaan memiliki kebijakan yang ketat yang tidak memungkinkan akses VPN klien remote internet saat terhubung ke jaringan perusahaan (split tunneling dinonaktifkan) sementara yang lain memungkinkan akses terbatas ke Internet melalui terowongan VPN (langka)! Dalam hal ini, semua lalu lintas terowongan melalui VPN dan biasanya ada proxy web yang akan menyediakan akses Internet remote client terbatas.
Dari semua di atas, dibagi tunneling adalah konfigurasi yang paling umum dari konfigurasi VPN Cisco hari ini, namun untuk tujuan pendidikan, kami akan mencakup semua metode.
Menyiapkan router Cisco untuk menerima terpencil Cisco VPN klien bukanlah tugas yang sangat sulit. Setelah setiap langkah yang ditunjukkan dalam artikel ini akan menjamin itu akan berjalan lancar.
Di bawah ini adalah diagram khas jaringan perusahaan yang menyediakan akses VPN untuk pengguna remote untuk mengakses sumber daya jaringan perusahaan.
VPN dibentuk adalah sebuah terowongan IPSec aman dan semua lalu lintas dienkripsi menggunakan algoritma enkripsi dikonfigurasi:
The Cisco IPSec VPN memiliki dua tingkat perlindungan sejauh keprihatinan kredensial. Klien remote harus memiliki kelompok credential otentikasi valid, diikuti dengan credential pengguna yang valid.
Mandat Kelompok dimasukkan sekali dan disimpan dalam entri koneksi VPN, namun kepercayaan pengguna tidak disimpan dan meminta setiap kali sambungan dibuat:
Kita harus mencatat bahwa mengkonfigurasi router Anda untuk mendukung Point-to-Point Protocol VPN Tunnel (PPTP) merupakan metode alternatif dan tertutup pada kami Router Cisco Konfigurasi PPTP artikel, namun PPTP VPN adalah solusi yang lebih tua, kurang aman dan kurang fleksibel. Kami sangat menyarankan menggunakan Cisco IPSec VPN saja.
Dalam rangka untuk mengkonfigurasi Cisco IPSec VPN dukungan klien, router harus menjalankan setidaknya 'Advanced Security' IOS jika sebagian besar yang mengikuti perintah tidak akan tersedia pada prompt CLI!
Untuk memulai, kita perlu mengaktifkan 'model aaa' router yang merupakan singkatan dari ', Otorisasi Otentikasi dan Akuntansi'. AAA menyediakan metode untuk mengidentifikasi pengguna yang login ke router dan memiliki akses ke server atau sumber daya lainnya.
AAA juga mengidentifikasi tingkat akses yang telah diberikan kepada setiap pengguna dan monitor aktivitas pengguna untuk menghasilkan informasi akuntansi.
Kami mengaktifkan layanan tersebut 'aaa baru-model' diikuti oleh X-Auth untuk otentikasi pengguna dan kemudian kelompok otentikasi (jaringan vpn_group_ml_1):
R1# configure terminal
R1(config)# aaa new-model
R1(config)# aaa authentication login default local
R1(config)# aaa authentication login vpn_xauth_ml_1 local
R1(config)# aaa authentication login sslvpn local
R1(config)# aaa authorization network vpn_group_ml_1 local
R1(config)# aaa session-id common
R1(config)# aaa new-model
R1(config)# aaa authentication login default local
R1(config)# aaa authentication login vpn_xauth_ml_1 local
R1(config)# aaa authentication login sslvpn local
R1(config)# aaa authorization network vpn_group_ml_1 local
R1(config)# aaa session-id common
Ketika mencoba untuk mendirikan sebuah terowongan IPSec, ada dua fase negosiasi utama di mana klien remote negosiasi kebijakan keamanan dan metode enkripsi dengan router Cisco VPN.
Sekarang kita membuat account pengguna yang akan diberikan kepada pengguna remote kami. Setiap kali mereka mencoba untuk menyambung ke VPN kami, mereka akan diminta untuk memasukkan informasi ini:
R1(config)# username adminitrator secret $cisco$firewall
R1(config)#
R1(config)#
Kami selanjutnya membuat Internet Security Association dan Key Management Protocol (ISAKMP) kebijakan untuk Fase 1 negosiasi.Dalam contoh ini, kami telah membuat dua kebijakan ISAKMP, dan mengkonfigurasi enkripsi (encr), metode otentikasi, algoritma hash dan mengatur Diffie-Hellman kelompok:
R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)#
R1(config-isakmp)#crypto isakmp policy 2
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# exit
R1(config-isakmp)# encr 3des
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)#
R1(config-isakmp)#crypto isakmp policy 2
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# exit
Kami sekarang membuat grup dan mengkonfigurasi server DNS dan parameter lain yang diperlukan. Parameter ini diturunkan kepada klien segera setelah berhasil mengotentikasi ke grup:
R1(config)# crypto isakmp client configuration group CCLIENT-VPN
R1(config-isakmp-group)# key firewall.cx
R1(config-isakmp-group)# dns 10.0.0.10
R1(config-isakmp-group)# pool VPN-Pool
R1(config-isakmp-group)# acl 120
R1(config-isakmp-group)# max-users 5
R1(config-isakmp-group)# exit
R1(config)# ip local pool VPN-Pool 192.168.0.20 192.168.0.25
R1(config-isakmp-group)# key firewall.cx
R1(config-isakmp-group)# dns 10.0.0.10
R1(config-isakmp-group)# pool VPN-Pool
R1(config-isakmp-group)# acl 120
R1(config-isakmp-group)# max-users 5
R1(config-isakmp-group)# exit
R1(config)# ip local pool VPN-Pool 192.168.0.20 192.168.0.25
Konfigurasi di atas adalah untuk ' CCLIENT-VPN kelompok dengan kunci pra-berbagi (metode otentikasi dikonfigurasi sebelumnya) dari 'firewall.cx '. Pengguna otentikasi ke grup ini akan memiliki mereka DNS diatur ke 10.0.0.10 . Maksimal 5 pengguna yang diizinkan untuk terhubung secara bersamaan ke grup ini dan akan memiliki akses ke sumber daya yang diatur oleh access-list 120 .
Terakhir, pengguna otentikasi ke grup ini akan mendapatkan alamat IP mereka dari kolam bernama ' VPN-Pool 'yang menyediakan berbagai alamat IP: 192.168.0.20 sampai 192.168.0.25.
Penciptaan Kebijakan 2 Tahap berikutnya. Ini adalah untuk enkripsi data aktual & IPSec fase 2 otentikasi:
R1(config)# crypto ipsec transform-set encrypt-method-1 esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#
R1(cfg-crypto-trans)#
Transformasi bernama ' encrypto-metode-1 'kemudian diterapkan ke profil IPSec bernama' VPN-Profil-1 ':
R1(config)# crypto ipsec profile VPN-Profile-1
R1(ipsec-profile)# set transform-set encrypt-method-1
R1(ipsec-profile)# set transform-set encrypt-method-1
Perhatikan enkripsi dan metode otentikasi kami terowongan IPSec kripto seperti yang ditunjukkan oleh klien VPN terhubung ke router dengan konfigurasi di atas:
Sekarang waktunya untuk memulai mengikat semua di atas bersama-sama dengan menciptakan antarmuka virtual-template yang akan bertindak sebagai 'antarmuka virtual' untuk klien kami masuk VPN. Remote VPN klien akan mendapatkan alamat IP yang merupakan bagian dari jaringan internal kami (lihat diagram di atas - 192.168.0.x/24) sehingga kita karenanya tidak memerlukan ini antarmuka virtual untuk memiliki alamat ip dan mengkonfigurasinya sebagai ' bernomor ip 'antarmuka pada interface LAN router kami.
Mengatur antarmuka sebagai bernomor ip memungkinkan pemrosesan IP melalui itu tanpa menetapkan alamat IP secara eksplisit, namun Anda harus mengikat ke antarmuka fisik yang tidak memiliki alamat IP dikonfigurasi, biasanya antarmuka LAN Anda:
R1(config)# interface Virtual-Template2 type tunnel
R1(config-if)# ip unnumbered FastEthernet0/0
R1(config-if)# tunnel mode ipsec ipv4
R1(config-if)# tunnel protection ipsec profile VPN-Profile-1
R1(config-if)# ip unnumbered FastEthernet0/0
R1(config-if)# tunnel mode ipsec ipv4
R1(config-if)# tunnel protection ipsec profile VPN-Profile-1
Di atas, template virtual kami juga mewarisi metode enkripsi dikonfigurasi kami melalui ' IPSec VPN profil-profil-1 perintah 'yang menetapkan mengubah metode untuk' mengenkripsi-metode-1 '(cek blok konfigurasi sebelumnya) yang pada gilirannya setara dengan' esp- 3des esp-sha-hmac '.
Perhatikan bagaimana Cisco CLI konfigurasi mengikuti struktur logis. Anda mengkonfigurasi parameter tertentu yang kemudian digunakan di bagian lain dari konfigurasi. Jika logika ini dipahami oleh insinyur, maka decoding konfigurasi Cisco diberikan menjadi tugas yang mudah.
Sejauh ini kita telah mengaktifkan mekanisme otentikasi (aaa), menciptakan kebijakan ISAKMP, menciptakan kelompok VPN dan mengatur parameter, dikonfigurasi metode enkripsi (mengubah-set) dan diikat ke template virtual pengguna VPN remote akan terhubung ke .
Kedua-langkah terakhir adalah untuk membuat satu profil ISAKMP terakhir untuk menghubungkan kelompok VPN dengan template virtual:
R1(config)# crypto isakmp profile vpn-ike-profile-1
R1(conf-isa-prof)# match identity group CCLIENT-VPN
R1(conf-isa-prof)# client authentication list vpn_xauth_ml_1
R1(conf-isa-prof)# isakmp authorization list vpn_group_ml_1
R1(conf-isa-prof)# client configuration address respond
R1(conf-isa-prof)# virtual-template 2
R1(conf-isa-prof)# match identity group CCLIENT-VPN
R1(conf-isa-prof)# client authentication list vpn_xauth_ml_1
R1(conf-isa-prof)# isakmp authorization list vpn_group_ml_1
R1(conf-isa-prof)# client configuration address respond
R1(conf-isa-prof)# virtual-template 2
Langkah terakhir adalah penciptaan daftar akses kami yang akan mengontrol lalu lintas VPN untuk terowongan, efektif mengendalikan apa yang kita VPN pengguna dapat mengakses dari jarak jauh.
Setelah itu selesai, kita perlu menambahkan pernyataan 'tidak NAT' sehingga lalu lintas keluar router dan menuju pengguna VPN yang diawetkan dengan alamat pribadi IP-nya, jika paket yang dikirim melalui terowongan oleh router, akan NAT'ed dan Oleh karena itu ditolak oleh Klien VPN remote.
Ketika NAT diaktifkan melalui sebuah terowongan VPN, pengguna remote melihat lalu lintas terowongan berasal dari alamat IP publik router, padahal sebenarnya harus dari alamat pribadi IP router.
Kami berasumsi konfigurasi standar berikut NAT untuk menyediakan akses Internet untuk perusahaan jaringan LAN:
R1#show running-config
<output omitted>
ip nat inside source list 100 interface Dialer1 overload
access-list 100 remark -=[Internet NAT Service]=-
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 remark
<output omitted>
ip nat inside source list 100 interface Dialer1 overload
access-list 100 remark -=[Internet NAT Service]=-
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 remark
Berdasarkan hal tersebut di atas, kita lanjutkan dengan konfigurasi kita. Pertama, kita perlu membatasi akses ke pengguna remote VPN kami, sehingga mereka hanya mengakses server SQL kami dengan alamat IP 192.168.0.6 ( access-list 120 ), maka kita menolak NAT (akses-daftar 100 ) ke IP VPN remote kami Renang kisaran:
R1(config)# access-list 120 remark ==[Cisco VPN Users]== R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.20 R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.21 R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.22
R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.23
R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.24
R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.25
R1(config)# no access-list 100
R1(config)# access-list 100 remark [Deny NAT for VPN Clients]=-
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.25
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.23
R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.24
R1(config)# access-list 120 permit ip host 192.168.0.6 host 192.168.0.25
R1(config)# no access-list 100
R1(config)# access-list 100 remark [Deny NAT for VPN Clients]=-
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.25
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
Perhatikan bahwa untuk access-list 100 , kita bisa baik ' host menyangkal ip 192.168.0.6 'untuk remote klien kami, atau seperti yang ditunjukkan, menyangkal jaringan 192.168.0.0/24 . Apa bedanya? Praktis tidak ada. Menyangkal seluruh jaringan Anda layanan NAT terhadap klien remote, akan memudahkan untuk setiap penambahan masa depan.
Jika misalnya ada kebutuhan untuk menyangkal NAT selama 5 server sehingga mereka dapat menjangkau klien remote VPN, maka akses-daftar 100 akan perlu diedit untuk menyertakan host baru, dimana sekarang sudah diurus. Ingat, dengan akses-daftar 100 kita hanya mengendalikan fungsi NAT, bukan akses klien terpencil memiliki (dilakukan dengan access-list 120 di contoh kita.
Pada titik ini, konfigurasi Cisco VPN selesai dan berfungsi penuh.
Membagi Tunneling
Kami disebutkan di awal artikel ini bahwa kita akan menutupi membagi metode tunneling tunneling dan penuh untuk klien kami VPN.Anda akan senang mengetahui bahwa fungsi ini adalah semata-mata ditentukan oleh-daftar akses kelompok, hal ini kami adalah access-list 120.
Jika kita ingin terowongan semua lalu lintas dari klien VPN ke jaringan kami, kami akan menggunakan berikut akses-daftar 120konfigurasi:
R1(config)# access-list 120 remark ==[Cisco VPN Users]==
R1(config)# access-list 120 permit ip any host 192.168.0.20
R1(config)# access-list 120 permit ip any host 192.168.0.21
R1(config)# access-list 120 permit ip any host 192.168.0.22
R1(config)# access-list 120 permit ip any host 192.168.0.23
R1(config)# access-list 120 permit ip any host 192.168.0.24
R1(config)# access-list 120 permit ip any host 192.168.0.25
R1(config)# access-list 120 permit ip any host 192.168.0.20
R1(config)# access-list 120 permit ip any host 192.168.0.21
R1(config)# access-list 120 permit ip any host 192.168.0.22
R1(config)# access-list 120 permit ip any host 192.168.0.23
R1(config)# access-list 120 permit ip any host 192.168.0.24
R1(config)# access-list 120 permit ip any host 192.168.0.25
Dalam contoh lain, jika kita ingin memberikan kami VPN klien akses ke jaringan 10.0.0.0/24, 10.10.10.0/24 & 192.168.0.0/24, inilah yang akses-daftar 120 akan terlihat seperti (skenario ini memerlukan modifikasi NAT access-list 100 juga):
R1(config)# access-list 120 remark ==[Cisco VPN Users]==
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)#
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)#
R1(config)# no access-list 100
R1(config)# access-list 100 remark [Deny NAT for VPN Clients]=-
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)#
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)#
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.25
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 10.0.0.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
Ketika klien VPN menghubungkan, sebaiknya kita pergi ke statistik koneksi ini, kita akan melihat 3 jaringan di bawah rute aman, menunjukkan semua lalu lintas menuju jaringan ini adalah terowongan melalui VPN:
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)#
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)#
R1(config)# no access-list 100
R1(config)# access-list 100 remark [Deny NAT for VPN Clients]=-
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)#
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 host 192.168.0.25
R1(config)#
R1(config)#
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.20
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.21
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.22
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.23
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.24
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 host 192.168.0.25
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 10.0.0.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
Ketika klien VPN menghubungkan, sebaiknya kita pergi ke statistik koneksi ini, kita akan melihat 3 jaringan di bawah rute aman, menunjukkan semua lalu lintas menuju jaringan ini adalah terowongan melalui VPN:
Cisco VPN Konfigurasi Tips
Hal ini terlihat dari contoh terakhir kami dengan tunneling dari kami 3 jaringan, yang harus kita VPN IP kolam alamat lebih besar, misalnya 50 alamat IP, maka kita akan harus memasukkan IP 50 x 3 = 150 Jaringan baris kode hanya untuk access-list 120, ditambah lagi 150 baris untuk akses-daftar 100 (tidak ada NAT)! Itu cukup tugas memang!
Untuk membantu mengurangi konfigurasi untuk hanya beberapa baris, ini adalah kode alternatif yang akan digunakan dan memiliki efek yang sama:
Mark VPN Lalu Lintas untuk terowongan:
R1(config)# access-list 120 remark ==[Cisco VPN Users]==
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
Jangan NAT lalu lintas dari LAN kami terhadap klien VPN, tetapi segala sesuatu yang lain NAT ditakdirkan untuk internet:
R1(config)# access-list 100 remark [Deny NAT for VPN Clients]=-
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 10.0.0.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
Akses-daftar 120 memberitahu router untuk terowongan semua lalu lintas dari tiga jaringan untuk klien kami VPN siapa alamat IP akan berada dalam kisaran 192.168.0.0/24!
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 10.0.0.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
Akses-daftar 120 memberitahu router untuk terowongan semua lalu lintas dari tiga jaringan untuk klien kami VPN siapa alamat IP akan berada dalam kisaran 192.168.0.0/24!
Jadi, jika klien VPN yang diterima dari kolam VPN, alamat IP 192.168.0.23 atau 192.168.0.49, itu benar-benar tidak akan peduli sebagai '192.168.0.0 0.0.0.255 pernyataan 'pada akhir setiap daftar akses-120 mencakup baik 192.168.0.23 192.168.0.49 &. Bahkan menggantikan ' 192.168.0.0 0.0.0.255 ' dengan ' setiap pernyataan 'akan memiliki efek yang sama.
Untuk 'daftar akses-100' yang mengontrol layanan NAT, kita tidak dapat menggunakan ' setiap 'pernyataan pada akhir bagian MENYANGKAL dari ACL, karena akan mengecualikan NAT untuk semua jaringan (publik dan swasta) sehingga benar-benar menonaktifkan NAT dan sebagai akibat, akses internet.
Sebagai catatan terakhir, jika diperlukan klien VPN yang akan diberikan dengan rentang alamat IP berbeda dari jaringan internal (misalnya 192.168.50.0/24), maka perubahan kecil berikut untuk konfigurasi harus dilakukan:
R1(config)# crypto isakmp client configuration group CCLIENT-VPN
R1(config-isakmp-group)# key firewall.cx
R1(config-isakmp-group)# dns 10.0.0.10
R1(config-isakmp-group)# pool VPN-Pool
R1(config-isakmp-group)# acl 120
R1(config-isakmp-group)# max-users 5
R1(config-isakmp-group)# exit
R1(config)#
R1(config)# ip local pool VPN-Pool 192.168.50.10 192.168.50.25R1(config)#
R1(config)# interface Virtual-Template2 type tunnelR1(config-if)# ip address 192.168.50.1 255.255.255.0R1(config-if)# tunnel mode ipsec ipv4R1(config-if)# tunnel protection ipsec profile VPN-Profile-1
R1(config-isakmp-group)# key firewall.cx
R1(config-isakmp-group)# dns 10.0.0.10
R1(config-isakmp-group)# pool VPN-Pool
R1(config-isakmp-group)# acl 120
R1(config-isakmp-group)# max-users 5
R1(config-isakmp-group)# exit
R1(config)#
R1(config)# ip local pool VPN-Pool 192.168.50.10 192.168.50.25R1(config)#
R1(config)# interface Virtual-Template2 type tunnelR1(config-if)# ip address 192.168.50.1 255.255.255.0R1(config-if)# tunnel mode ipsec ipv4R1(config-if)# tunnel protection ipsec profile VPN-Profile-1
Dengan asumsi 3 jaringan internal
Mark VPN Lalu Lintas untuk terowongan:
R1(config)# access-list 120 remark ==[Cisco VPN Users]==
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255
Jangan NAT lalu lintas dari LAN kami terhadap klien VPN, tetapi segala sesuatu yang lain NAT ditakdirkan untuk internet:
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255
Jangan NAT lalu lintas dari LAN kami terhadap klien VPN, tetapi segala sesuatu yang lain NAT ditakdirkan untuk internet:
R1(config)# access-list 100 remark [Deny NAT for VPN Clients]=-
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 10.0.0.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 10.0.0.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
R1(config)# access-list 120 permit ip 10.0.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 120 permit ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255
Jangan NAT lalu lintas dari LAN kami terhadap klien VPN, tetapi segala sesuatu yang lain NAT ditakdirkan untuk internet:
R1(config)# access-list 100 remark [Deny NAT for VPN Clients]=-R1(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 10.0.0.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(config)# access-list 100 remark
R1(config)# access-list 100 remark -=[Internet NAT Service]=-
R1(config)# access-list 100 permit ip 10.0.0.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
No comments:
Post a Comment