Ez***-隧道分离

Ez***原本是easy ***的拼读,是从easy***简化而来的。它能为企业提供远程×××安全访问,方便移动的远程用户通过×××来访问网络安全要求较高的内网。这样既可以通过×××隧道认证加密数据以进行安全访问,就好像内网用户一样。同时也可以通过推送的隧道分离策略来使必要进入内网访问的数据才经过×××加密传输,而访问internet的数据就直接走远程的网关经过NAT出去,不必要再经过总部的×××服务器再转出去,减少中间不必要的网络流量与时延。保证远程用户访问内网与访问internet的双重需求,使网络访问变得更简易灵活。easy虽说是容易,但它的easy看起来只是使客户端的配置变得简省,把一些策略的推送由*** server动态去处理,所以把些复杂的事情交给了*** server而已。但客户也并不是没有复杂的配置,其实*** client软件本来就内置了一些策略,只是用户不可见罢了,所以只要填写一些必要的一些信息如:内部***服务器IP,进入内网访问凭据。
 

Top如上:
注意: 1,在做本实验的时候,请把×××client软件放在虚拟机的PC里边,如果是用本机来做remote ×××客户端,很可能只能ping能或说互联到公网,不能ping通内网用户,实验是不能成功。
       2,由于本实验两个 ×××网关都存在NAT穿越,所以在定义转换集的时候最好不要用AH认证。因为NAT穿越会修改源目地址。
配置:
ez***server#show run
hostname R1
aaa new-model//开启 AAA
aaa authentication login ccie local/AAA登陆本地认证
aaa authorization network ccie local/AAA网络接入本地授权
ip cef
no ip domain lookup
username cisco password 0 cisco/本地认证授权数据库账户
crypto isakmp policy 10/定义 IKE策略-第一阶段
 encr 3des
 hash md5/对于软件客户端必须要用 MD5
 authentication pre-share
 group 2
crypto isakmp client configuration group client/配置客户端推送策略
 key ccnp
 dns 202.1.1.1
 domain zengfei.com
 pool pool
 acl 101/隧道分离 ACL
 save-password/保存密码,客户可以不必每次开启时输入验证信息
 netmask 255.255.255.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac /定义转换集, IKE 1.5阶段
crypto dynamic-map map 10/由于远程用户是移动的,所以要定义动态 MAP
 set transform-set myset
 reverse-route/开启反向路由注入,指向动态分配客户端网络的地址,下一跳为 *** peer地址
crypto map mymap client authentication list ccie/定义加密图, IKE第二阶段
crypto map mymap isakmp authorization list ccie
crypto map mymap client configuration address respond
crypto map mymap 10 ipsec-isakmp dynamic map
interface Loopback0
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
interface Loopback1
 ip address 192.168.6.1 255.255.255.0
!
interface FastEthernet0/0
 ip address 202.1.1.1 255.255.255.0
 ip nat outside
crypto map mymap/接口下应用加密图
ip local pool pool 192.168.5.1 192.168.5.10/定义本地为远程用户自动分配的地址池范围。
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0/总部一条指向公网的默认路由
ip nat inside source list 102 interface FastEthernet0/0 overload内网用户 PAT
Access-list 102 deny 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 102 permit ip any any/PAT转换除了 ***之间的两个网段不用NAT转换。
internet配置:
hostname R2
ip cef
no ip domain lookup
interface FastEthernet0/0
 ip address 202.1.1.2 255.255.255.0
interface FastEthernet0/1
 ip address 202.1.2.1 255.255.255.0
客户端网关:
R3#show run
hostname R3
ip cef
no ip domain lookup
interface FastEthernet0/0
 ip address 192.168.4.1 255.255.255.0
 ip nat inside
interface FastEthernet0/1
 ip address 202.1.2.2 255.255.255.0
 ip nat outside
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
ip nat inside source list 1 interface FastEthernet0/1 overload
access-list 1 permit 192.168.4.0 0.0.0.255
客户端 cisco ***client配置:
首先把虚拟机里的 PC地址设置成远程网络内网地址,然后内网地址要有连通总部出口路由器地址的条件。然后×××才能建立,
 

安装好 ***client后,就可以new新建一个×××连接了,如下:
 

写好 group name ,与key。点击确定就可以进行连接了:
 

如果连接到了 ×××网关的时候,就可以进行认证了:
 

写好之前 AAA定义的本地用户名与密码,保存OK:
 

如果策略都没问题,那么隧道协商成功后就可以建立 ×××了,可以看到右下角那把锁合上了:
 

这样 ×××连接成功!我们可以看客户端软件统计的协商信息:
 

还可以看到隧道分离本地网络:
 

测试:
1,是否获取了 ×××地址?
Ethernet adapter 本地连接 2:
        Connection-specific DNS Suffix . : zengfei.com
        Description . . . . . . . . . . . : Cisco Systems ××× Adapter
        Physical Address. . . . . . . . . : 00-05-9A-3C-78-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.5.1
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 202.1.1.1
C:\Documents and Settings\Administrator>
2,是否能访问内网用户,并且是不是走的 ×××:
C:\Documents and Settings\Administrator>tracert 192.168.2.1
 
Tracing route to 192.168.2.1 over a maximum of 30 hops
 
  1   366 ms   505 ms   415 ms 192.168.2.1/如果内网地址发往客户端的数据也经过 NAT,那么下一跳就是××× peer地址,不再是主机地址了!!!
 
Trace complete.
 
C:\Documents and Settings\Administrator>
C:\Documents and Settings\Administrator>tracert 202.1.1.1
Tracing route to 202.1.1.1 over a maximum of 30 hops
 1     85 ms    77 ms    46 ms 192.168.4.1
 2    234 ms   186 ms   249 ms 202.1.2.1
 3    373 ms   343 ms   468 ms 202.1.1.1
Trace complete.
很明显,访问内网时,走的 ×××,所以下一跳直接是内网主机地址,而不走×××的时候,却是要经过NAT转换之后再到达目的地。而且不能访问内网。
3,是否有加解密数据?
R1#show crypto ipsec sa     
interface: FastEthernet0/0
    Crypto map tag: mymap, local addr 202.1.1.1
   protected vrf: (none)
   local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.5.1/255.255.255.255/0/0)
   current_peer 202.1.2.2 port 1054
     PERMIT, flags={}
    #pkts encaps: 25, #pkts encrypt: 25, #pkts digest: 25
    #pkts decaps: 25, #pkts decrypt: 25, #pkts verify: 25
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 202.1.1.1, remote crypto endpt.: 202.1.2.2
     path mtu 1500, ip mtu 1500
     current outbound spi: 0x4D308FB9(1295028153)
     inbound esp sas:
      spi: 0xCF97304F(3482792015)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 2001, flow_id: SW:1, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4393775/2742)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0x4D308FB9(1295028153)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 2002, flow_id: SW:2, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4393775/2742)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:
 
R1#show crypto isakmp sa
dst              src             state          conn-id slot status
202.1.1.1        202.1.2.2       QM_IDLE              1    0 ACTIVE
这样经过隧道分离后, ×××远程用户即可以访问internet也可以访问指定的内网网络了。