easy ×××

××× 分类：根据×××的服务类型，可以将×××分为Access ×××、Intranet ×××和Extranet ×××三类。详细解释如下：

Access ×××（远程访问虚拟专网）

在该方式下远端用户拨号接入到用户本地的ISP，采用×××技术在公众网上建立一个虚拟的通道到公司的远程接入端口。这种应用既可适应企业内部人员移动和远程办公的需要，又可用于商家提供B2C（企业对客户）的安全访问服务。

Intranet ×××（企业内部虚拟专网）

在公司两个异地机构的局域网之间在公众网上建立×××，通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等，可以节省DDN等专线所带来的高额费用。

Extranet ×××（扩展的企业内部虚拟专网）

在企业网与相关合作伙伴的企业网之间采用×××技术互连，与Intranet ×××相似，但由于是不同公司的网络相互通信，所以要更多地考虑设备的互连、地址的协调、安全策略的协商等问题。公司的网络管理员还应该设置特定的访问控制表ACL（Access Control List），根据访问者的身份、网络地址等参数来确定相应的访问权限、开放部分资源而非全部资源给外联网的用户。

Extranet ×××通过使用一个专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。

关于几个常见概念：

site to site ××× 站点××× 一般是intranet ××× 或者Extranet ××× 在服务器端和客户端在路由对路由上的实现。

remote access ××× 一般是使用拨号软件的客户端拨入公司站点的×××

easy ××× 是思科公司提出的一个叫法和理念，使用思科的××× 3000客户端来简化客户端的配置。也是基于remote access ××× 基础上的，大量用户的时候用来简化配置

使用ASDM或者SDM就可以发现这个现象。

PPTP L2TP ipse××× 等等是通信协议加密标准的叫法。

环境：路由器（cisco）r1在一个公司的总部为EZ×××的server,远程internet用户要访问总部的内网，远程用户用的是cisco的EZ×××软件。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

要求：配置server端，并在client端拨到总部，能够访问内网

步骤一：server端的接口配置

r1(config)#interface e0 à外网接口配置,主机和路由器直连即可

r1(config-if)#ip add 150.100.1.182 255.255.255.0

r1(config-if)#no sh

r1(config)#int loo 0

r1(config-if)#ip add <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.1 255.255.255.0 à模拟内网地址

r1(config)#int loo 1

r1(config-if)#ip add 10.1.2.1 255.255.255.0

步骤二：配置验证以及EZ×××

r1(config)#username cisco pass cisco à用于验证的用户名和密码

r1(config)#aaa new-model à开启AAA

r1(config)#aaa authorization network easy*** local

à授权访问列表名字为esay***，本地数据库

r1(config)#aaa authentication login ccxx local

à登录验证列表名为ccxx,本地数据库

r1(config)#ip local pool ippool 10.1.1.14 10.1.1.30 à推送给拨上来用户的地址池

r1(config)#crypto isakmp policy 10 à定义IKE1阶段策略

r1(config-isakmp)#encryption 3des à客户端只支持3DES

r1(config-isakmp)#authentication pre-share à使用预共享**

r1(config-isakmp)#group 2 à客户端只支持group 2

r1(config-isakmp)#hash md5 à哈希用MD5

r1(config)#crypto isakmp client configuration group cisco à客户端组的配置

r1(config-isakmp-group)#key cisco à预共享**

r1(config-isakmp-group)#pool ippool à加载地址池

r1(config-isakmp-group)#acl 100 à加载隧传分离列表

r1(config-isakmp-group)#exit

r1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac

à定义IKE2阶段的转换集

r1(cfg-crypto-trans)#exit

r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any à定义列表

r1(config)#access-list 100 permit ip 10.1.2.0 0.0.0.255 any

r1(config)#crypto dynamic-map dyn 1 à定义动态加密映射，客户端不固定

r1(config-crypto-map)#set transform myset à将转换集加载

r1(config-crypto-map)#reverse-route à反向路由注入，客户到server，server会生成一条静态路由列表

r1(config-crypto-map)#exit

r1(config)#crypto map mymap 10 ipsec-isakmp dynamic dyn

à将动态映射到静态映射

r1(config)#crypto map mymap client authentication list ccxx

à扩展验证使用ccxx

r1(config)#crypto map mymap isakmp authorization list easy***

à授权使用easy***AAA列表

r1(config)#crypto map mymap client configuration address respond

à向客户端推送配置

r1(config)#int e0/0

r1(config-if)#crypto map mymap à将静态映射加载到接口

à以上配置server完毕

步骤三：客户端PC的配置（使用cisco *** client软件）

1、安装好的软件，打开，点击new新建，输入组名和密码及server地址

2、建好后，点击连接，提示输入用户名和密码，此为扩展认证

3、点击OK，如果成功，所有的框消失

4、在PC上查看地址，server是否分配过来了地址

C:\>ipconfig

Windows IP Configuration

Ethernet adapter 无线网络连接:

Connection-specific DNS Suffix . :

IP Address. . . . . . . . . . . . : 150.100.1.140

Subnet Mask . . . . . . . . . . . : 255.255.255.255

Default Gateway . . . . . . . . . :

Ethernet adapter 本地连接 2:

Connection-specific DNS Suffix . :

IP Address. . . . . . . . . . . . : 10.1.1.14 à分配过来的地址

Subnet Mask . . . . . . . . . . . : 255.0.0.0

Default Gateway . . . . . . . . . :

5、已经ping通过INTERNET到了总部内网的地址

C:\>ping 10.1.2.1

Pinging 10.1.2.1 with 32 bytes of data:

Reply from 10.1.2.1: bytes=32 time=23ms TTL=255

Reply from 10.1.2.1: bytes=32 time=14ms TTL=255

Reply from 10.1.2.1: bytes=32 time=23ms TTL=255

Reply from 10.1.2.1: bytes=32 time=13ms TTL=255

C:\>ping 10.1.1.1

Pinging 10.1.1.1 with 32 bytes of data:

Reply from 10.1.1.1: bytes=32 time=11ms TTL=255

Reply from 10.1.1.1: bytes=32 time=17ms TTL=255

Reply from 10.1.1.1: bytes=32 time=49ms TTL=255

C:\>route print à查看PC端的路由

===========================================================================

Interface List

0x1 ........................... MS TCP Loopback interface

0x2 ...00 0a eb a3 47 1f ...... TL-WN210 2.2 / TL-WN250 2.2 - 数据包计划程序微型

端口

0x80004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface

0xa0005 ...00 05 9a 3c 78 00 ...... Cisco Systems ××× Adapter - 数据包计划程序微

型端口

===========================================================================

Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 150.100.1.182 150.100.1.140 30

10.0.0.0 255.0.0.0 10.1.1.14 10.1.1.14 10

10.1.1.0 255.255.255.0 10.1.1.14 10.1.1.14 1

10.1.1.14 255.255.255.255 127.0.0.1 127.0.0.1 10

10.1.2.0 255.255.255.0 10.1.1.14 10.1.1.14 1

10.255.255.255 255.255.255.255 10.1.1.14 10.1.1.14 10

===========================================================================

à这就是由对端组设置推送来的隧传分离列表（ACL100）

C:\>

步骤四：查看两个阶段的关联

r1#show crypto isa sa

dst src state conn-id slot

150.100.1.182 150.100.1.140 QM_IDLE 3 0

r1#show crypto ipsec sa

interface: Ethernet0/0

Crypto map tag: mymap, local addr. 150.100.1.182

protected vrf:

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (10.1.1.12/255.255.255.255/0/0)

current_peer: 150.100.1.140:500

PERMIT, flags={}

#pkts encaps: 16, #pkts encrypt: 16, #pkts digest 16

#pkts decaps: 16, #pkts decrypt: 16, #pkts verify 16

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 150.100.1.182, remote crypto endpt.: 150.100.1.140

path mtu 1500, media mtu 1500

current outbound spi: 44166F6E

inbound esp sas:

spi: 0x2C2E8126(741245222)

transform: esp-3des esp-md5-hmac ,

in use settings ={Tunnel, }

slot: 0, conn id: 2000, flow_id: 1, crypto map: mymap

sa timing: remaining key lifetime (k/sec): (4435191/2917)

IV size: 8 bytes

replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x44166F6E(1142321006)

transform: esp-3des esp-md5-hmac ,

in use settings ={Tunnel, }

slot: 0, conn id: 2001, flow_id: 2, crypto map: mymap

sa timing: remaining key lifetime (k/sec): (4435191/2917)

IV size: 8 bytes

replay detection support: Y

outbound ah sas:

outbound pcp sas:

步骤五：查看server当前的配置

r1#show run

hostname r1

username cisco password 0 cisco

aaa new-model

aaa authentication login ccxx local

aaa authorization network easy*** local

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp client configuration group cisco

key cisco

pool ippool

acl 100

crypto ipsec transform-set myset esp-3des esp-md5-hmac

crypto dynamic-map dyn 1

set transform-set myset

reverse-route

crypto map mymap client authentication list ccxx

crypto map mymap isakmp authorization list easy***

crypto map mymap client configuration address respond

crypto map mymap 19 ipsec-isakmp dynamic dyn

interface Loopback0

ip address 10.1.1.1 255.255.255.0

interface Loopback1

ip address 10.1.2.1 255.255.255.0

interface Ethernet0/0

ip address 150.100.1.182 255.255.255.0

half-duplex

crypto map mymap

ip local pool ippool 10.1.1.14 10.1.1.30

access-list 100 permit ip 10.1.1.0 0.0.0.255 any

access-list 100 permit ip 10.1.2.0 0.0.0.255 any

end

本文出自:http://dnsdhcp.blog.51cto.com/1280638/287125

转载于:https://blog.51cto.com/235898457/314996

相关推荐