Easy VPN的特点

1. 端到端模式下，两端路由器都要进行较复杂的配置
2. Easy VPN模式下，Remote只需要进行简单的配置，其余大部分参数由Server端直接推送给它
3. Easy VPN模式常用于用户的远程接入
4. Remote可以是cisco vpn client，server端可以是路由器，其IOS要求高于或等于12.2(8)T

流程1--client向server发送IKE policy

- Easy VPN由client触发
- cisco vpn client中内置了多个IKE policy
- client触发Easy VPN后，会把内置的IKE policy全部发送到server端

流程2-- server 找到匹配的policy

- server 把client 发送来的IKE policy 与自己的policy相比较
- 找到匹配值后成功建立IKE SA

流程3-- server 要client输入用户/口令

- 如果配置了扩展认证Xauth，server 端将要求client端 发送用户名/口令进行身份认证
- 配置Xauth将获得更高的安全性，因此建议server端配置Xauth

流程4--server向client推送参数

- 身份认证通过后，client将向server请求其余的配置参数
- Server向client推送的参数至少要包含分配给client的IP地址

流程5--server进行反向路由注入

Server进行反向路由注入(Reverse Route Injeciton，RRI)，为刚分配的client端IP地址产生一条静态路由，以便正确地路由发送给client端的数据包

流程6--建立IPSec SA

Client收到配置参数，双方建立IPSec SA

Easy VPN在server端的配置步骤

1. 创建IKE策略集，该策略集至少要能与vpn client的一个内置策略集相匹配，以便在server和client之间建立IKE SA
2. 定义要推送给client的组属性，其中包含分配给client的地址池、pre-share key等
3. 定义IPSec变换集(只用于client触发建立IPSec SA时，如果是server触发建立IPSec SA就不需要使用)
4. 启用DPD死亡对端检测
5. 配置Xauth扩展认证
6. 把crypto map应用到路由器端口上

 

Remote access VPN是提供给出差用户或者远程用户访问公司内部资源的远程拨入方式,用户从远程拨入,首先需要身份认证:

!
username dika password 7 0512091A20424A041C //定义本地用户数据库,用于验证的用户名和密码

需要启动AAA

!
aaa new-model
aaa session-id common

ip local pool VPN-POOL 10.1.200.30 10.1.200.40 //地址池,将会分配给远程拨用的用户

在Cisco VPN Client拨入VPN服务器时,需要进行身份认证,出现提示用户输入帐号密码的对话框,如下是定义相关的参数
!
aaa authentication login VPN-LOGIN local //定义身份认证的本地用户数据库,登录验证列表
crypto isakmp xauth timeout 60
crypto map VPN-MAP client authentication list VPN-LOGIN   //VPN map调用已经定义好的本地登陆数据库

定义ISAKMP策略,相当于phase 1

!
crypto isakmp policy 100 
 hash md5
 authentication pre-share
 group 2

组策略配置

aaa authorization network remote-vpn-group local  //授权访问列表名字为remote-vpn-group，本地数据库
crypto isakmp client configuration group remote-vpn-group //调用授权访问列表名remote-vpn-group,配置vpn cleint,group authentication选项,name项需要填写的就是这里定义的
 key cisco //密码
 domain gdhlt.vpn
 pool VPN-POOL //调用已经定义好的地址池
!
crypto map VPN-MAP client configuration address respond  //向客户端推送配置
crypto map VPN-MAP isakmp authorization list remote-vpn-group  //授权使用remote-vpn-group AAA列表

!
crypto ipsec transform-set remote-vpn esp-des esp-md5-hmac  //设置转换集

建立动态加密映射

!
crypto dynamic-map remote-vpn 1
 set transform-set remote-vpn   //调用转换集
 reverse-route   //反向路由注入，客户到server，server会生成一条静态路由列表
!

将动态映射到静态映射

crypto map VPN-MAP 1 ipsec-isakmp dynamic remote-vpn
!

打开IKE DPD
crypto isakmp keepalive 20 10

设置环回地址,用于拨入成功后的测试
!
interface Loopback0
 ip address 10.1.200.1 255.255.255.0 secondary
 ip address 10.1.100.1 255.255.255.0

 

interface FastEthernet2/0
 ip address 10.1.1.11 255.255.255.0
 duplex auto
 speed auto
 crypto map VPN-MAP  //将静态映射加载到接口