当EZ×××与site-to-site ×××结合时,会产生第一阶段与1.5阶段冲突,解决方案是分别创建第一阶段profile策略配置,将EZ×××与L2L的策略分离。
一.site-to-site ×××
(一)第一阶段配置:(isakmp策略配置与传统配置相同)
1、策略配置
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
(一)第一阶段配置:(isakmp策略配置与传统配置相同)
1、策略配置
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
2.验证时采用Keyring(钥匙串)配置验证
crypto keyring key1(钥匙串命名)
pre-shared-key address 0.0.0.0 0.0.0.0 key g2myway
配置密钥及地址验证
3.创建第一阶段isakmp profile(配置策略文件)
crypto isakmp profile l2l***(配置策略文件名)
keyring g2myway (调用验证钥匙串)
match identity address 0.0.0.0
(定义验证方法采用地址验证)
crypto isakmp profile l2l***(配置策略文件名)
keyring g2myway (调用验证钥匙串)
match identity address 0.0.0.0
(定义验证方法采用地址验证)
(二)第二阶段配置(transform-set转换集传统配置)
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
(三)分支站点地址为动态的,创建动态加密映射
crypto dynamic-map l2ldy 2
(创建名为l2ldy的动态加密映射)
set transform-set mytrans (调用转换集)
set isakmp-profile l2l*** (调用第一阶段profile配置文件)
match address 101 (感兴趣流量)
(四)创建静态加密映射并应用至接口
crypto map mymap 1 ipsec-isakmp dynamic l2ldy
创建名为mymap静态加密映射并调用l2ldy动态加密映射
crypto dynamic-map l2ldy 2
(创建名为l2ldy的动态加密映射)
set transform-set mytrans (调用转换集)
set isakmp-profile l2l*** (调用第一阶段profile配置文件)
match address 101 (感兴趣流量)
(四)创建静态加密映射并应用至接口
crypto map mymap 1 ipsec-isakmp dynamic l2ldy
创建名为mymap静态加密映射并调用l2ldy动态加密映射
二、EZ×××配置
(一)第一阶段配置
(isakmp policy配置,可与l2l共用配置或单独配置)
(isakmp policy配置,可与l2l共用配置或单独配置)
(二)1.5阶段配置,采用传统EZ×××配置,但需要创建isakmp profile配置文件,并调用验证。
1.XAUTH
1)设备间验证(组名和组密码验证)
crypto isakmp client configuration group devauth(验证组名)
Center(config-isakmp-group)#key groupkey (验证组密码)
2)用户身份验证
aaa new-model(启用AAA验证)
aaa authentication login ezauthen(验证列表名) local
(对用户身份创建ezauthen验证列表,并采用本地数据库验证或采用服务器验证)
aaa authorization network ezauthor(授权列表名) local 用户
(对用户授权创建ezauthor列表,本地授权或服务器授权)
username g2myway password g2myway (创建本地验证数据库)
3)在crypto map中调用AAA验证对EZ×××用户身份进行验证。
2、模式配置(在组配置界面)
Center(config-isakmp-group)#pool ezpool
(为验证后用户从ezpool地址池中进行地址分配)
Center(config-isakmp-group)#dns 202.103.96.68
(为用户分配DNS地址)
Center(config-isakmp-group)#acl 访问列表(定义隧道分离)
把用户对内网的流量与Internet流量分离
Center(config)#ip local pool ezpool 192.168.1.1 192.168.1.200
创建为用户分配的本地地址池
3、创建isakmp profile文件,调用验证
crypto isakmp profile ezprofile(创建ez***策略配置文件)
match identity group ezremote(采用组验证方法)
client authentication list ezauth
(对用户身份验证调用AAA验证列表)
isakmp authorization list ezauthor
(对用户授权调用AAA授权列表)
client configuration address respond
(用户为动态地址
(二)第二阶段配置(可与l2l采用相同转换集或独立创建配置)
(三)动态加密映射配置
crypto dynamic-map ezdy 1 (创建ezdy的动态加密映射)
set transform-set mytrans (调用转换集)
set isakmp-profile ezprofile
(调用EZ×××第一阶段策略配置文件)
reverse-route (反向路由注入)
crypto isakmp profile ezprofile(创建ez***策略配置文件)
match identity group ezremote(采用组验证方法)
client authentication list ezauth
(对用户身份验证调用AAA验证列表)
isakmp authorization list ezauthor
(对用户授权调用AAA授权列表)
client configuration address respond
(用户为动态地址
(二)第二阶段配置(可与l2l采用相同转换集或独立创建配置)
(三)动态加密映射配置
crypto dynamic-map ezdy 1 (创建ezdy的动态加密映射)
set transform-set mytrans (调用转换集)
set isakmp-profile ezprofile
(调用EZ×××第一阶段策略配置文件)
reverse-route (反向路由注入)
(四)在静态加密映射中调用动态加密映射并应用至接口
crypto map mymap 2 ipsec-isakmp dynamic ezdy
(调用ezdy动态加密映射)
crypto map mymap 2 ipsec-isakmp dynamic ezdy
(调用ezdy动态加密映射)
转载于:https://blog.51cto.com/rensheng86/133349