EzVPN第一种实现方式实验

2018年10月3日吴代鹏 实验 思科 网络

Internet配置:

1
2
3
4
5
6
7
8
!
interface Ethernet0/0
ip address 100.100.100.80 255.255.255.0
half-duplex
!
router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0

ISP配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
!
interface Ethernet0/0
ip address 200.200.200.1 255.255.255.0
half-duplex
!
interface Ethernet0/1
ip address 10.10.10.1 255.255.255.0
half-duplex
!
interface Ethernet0/2
ip address 100.100.100.1 255.255.255.0
half-duplex
!
router ospf 1
log-adjacency-changes
passive-interface Ethernet0/0
passive-interface Ethernet0/1
network 0.0.0.0 255.255.255.255 area 0

GW配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
!
aaa new-model //开启AAA认证服务
!
aaa authentication login noacs line none //创建登陆认证策略,策略名为noacs,策略为先使用线下密码认证,如果线下没有密码就不认证
aaa authentication login xauth local //创建认证列表
aaa authorization network ezvpn-group local //创建授权列表
!
username user1 password 0 test123456 //创建一个XAUTH阶段认证的用户名和密码
!
crypto isakmp policy 10 //定义IPSec第一阶段IKE安全协商
encr aes 256 //设置加密算法
authentication pre-share //设置预共享密钥
hash sha //设置密钥认证算法
group 2 //设置密钥交换方式,注意EzVPN只支持DH组2
lifetime 7200
!
crypto isakmp client configuration group ezvpn-client //配置一个EzVPN组,并对这个组设计策略
key 123456 //用于认证此组名的密码
dns 192.168.1.53 //推送内部DNS服务器给客户端
domain daupon.com //推送内部域名给客户端
pool ezvpn-pool //设置Easy VPN客户端推送的内部全局IP地址池
acl 101 //隧道分离,允许通过用户本地网络上网并访问公司内部网路
access-restrict FastEthernet0/1 //限制这个组的客户只能从FastEthernet 0/1这个物理接口拨入
save-password //配置这个组保存第1.5阶段XAUX认证的用户名和密码,避免用户每次都要输密码
split-dns daupon.com //分割DNS特性,后缀为daupon.com的域名送到内部dns服务器“1.1.1.1”上去解析,其余域名使用运营商提供的DNS进行解析
backup-gateway vpn2.secure.com //把备用VPN网关的配置推送到客户端
backup-gateway 7.7.7.7 //把备用VPN网关的配置推送到客户端
max-users 10 //限制这个组最多只能同时拨入10个客户
max-logins 10 //限制这个组最多支持10个客户同时处于拨入认证状态。防止DOS
netmask 255.255.255.0 //地址池子网掩码
banner ^CYou are in security mode ^C //配置这个组拨号成功后的欢迎信息(在配置路由器的时候",show配置的时候显示^C)
!
crypto ipsec transform-set ezvpn-set esp-des esp-md5-hmac //定义转换集,用于加密数据
!
crypto dynamic-map dyn-map 10 //创建动态加密图
set transform-set ezvpn-set //把之前定义好的转换集放入动态加密图中
!
crypto map mymap client authentication list ezvpn-list //创建静态加密图全局调用AXUTH认证策略
crypto map mymap isakmp authorization list ezvpn-group //创建静态加密图全局调用ezvpn-group授权组
crypto map mymap client configuration address respond //创建静态加密图启用EzVPN的MODE-CFG特性,用于推送策略给客户
crypto map mymap 10 ipsec-isakmp dynamic dyn-map //由于接口下只能调用静态加密图,所以将动态加密图关联到静态加密图
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
half-duplex
!
interface FastEthernet0/1
ip address 200.200.200.200 255.255.255.0
ip nat outside
ip virtual-reassembly
speed auto
half-duplex
crypto map mymap
!
ip local pool ezvpn-pool 172.168.1.100 172.168.1.150 //设置地址池,用于分配给EzVPN客户端拨号进来的用户和组
no ip http server
no ip http secure-server
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 200.200.200.1
!
ip nat inside source list 101 interface FastEthernet0/1 overload
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 any //定义一个扩展ACL,源为公司内部需要被加密访问的网段,目的为ANY,用于隧道分离
access-list 101 deny ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255 //定义内部网络回包给ezvpn客户不做NAT流量
access-list 101 permit ip any any //定义其他可以NAT的流量
no cdp log mismatch duplex
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
login authentication noacs //Console口应用login策略,实现线下保护
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
login authentication noacs //AUX口应用login策略,实现线下保护

Windows7-1:

安装Cisco VPN Client


新建连接,并配置如上图。填上:
Connection Entry:EzVPN
Description:可不填
Host:200.200.200.200
Group Authentication
Name:ezvpn-client
Password:123456
Confirm Passwrod:123456
点击“Save”,并“Connect”。之后跳出下图:

输入:
Username:user1
Password:test123456
连接成功后会有Banner提示“You are in security mode”

Windows7-1配置及测试:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
C:\Users\wudaipeng>ipconfig /all

Windows IP 配置

   主机名  . . . . . . . . . . . . . : WIN-882KQRPSVP3
   主 DNS 后缀 . . . . . . . . . . . :
   节点类型  . . . . . . . . . . . . : 混合
   IP 路由已启用 . . . . . . . . . . : 否
   WINS 代理已启用 . . . . . . . . . : 否
   DNS 后缀搜索列表  . . . . . . . . : daupon.com

以太网适配器 本地连接 2:

   连接特定的 DNS 后缀 . . . . . . . : daupon.com
   描述. . . . . . . . . . . . . . . : Cisco Systems VPN Adapter
   物理地址. . . . . . . . . . . . . : 00-05-9A-3C-78-00
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::b837:80fa:c0b5:1e4a%17(首选)
   IPv4 地址 . . . . . . . . . . . . : 172.168.1.100(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 172.168.1.1
   DHCPv6 IAID . . . . . . . . . . . : 369100186
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-18-1E-DF-4F-00-0C-29-CC-63-53

   DNS 服务器  . . . . . . . . . . . : 192.168.1.53
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

以太网适配器 本地连接:

   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   物理地址. . . . . . . . . . . . . : 00-0C-29-E9-E4-95
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::e502:49b0:9d08:c2db%11(首选)
   IPv4 地址 . . . . . . . . . . . . : 10.10.10.10(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 10.10.10.1
   DHCPv6 IAID . . . . . . . . . . . : 234884137
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-18-1E-DF-4F-00-0C-29-CC-63-53

   DNS 服务器  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

隧道适配器 isatap.{52BE49F8-4AE2-414B-9B8E-035178A119EA}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是

隧道适配器 本地连接*:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是

隧道适配器 isatap.daupon.com:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : daupon.com
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是

隧道适配器 6TO4 Adapter:

   连接特定的 DNS 后缀 . . . . . . . : daupon.com
   描述. . . . . . . . . . . . . . . : Microsoft 6to4 Adapter
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   IPv6 地址 . . . . . . . . . . . . : 2002:aca8:164::aca8:164(首选)
   默认网关. . . . . . . . . . . . . :
   DNS 服务器  . . . . . . . . . . . : 192.168.1.53
   TCPIP 上的 NetBIOS  . . . . . . . : 已禁用
   
C:\Users\wudaipeng>ping 192.168.1.10

正在 Ping 192.168.1.10 具有 32 字节的数据:
来自 192.168.1.10 的回复: 字节=32 时间=3033ms TTL=63
来自 192.168.1.10 的回复: 字节=32 时间=40ms TTL=63
来自 192.168.1.10 的回复: 字节=32 时间=40ms TTL=63
来自 192.168.1.10 的回复: 字节=32 时间=42ms TTL=63

192.168.1.10 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 40ms,最长 = 3033ms,平均 = 788ms