Настройка CIsco Easy VPN

Search Безопасность в сетях cisco Настройка CIsco Easy VPN Cisco - Безопасность

Cisco Easy VPN упрощает конфигурацию клиентов. Состоит из двух частей Easy VPN Remote и Easy VPN Server.

Компоненты Cisco Easy VPN.

Состоит из remote и server. Server позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве headend устройств в site-to-site или remote-access VPN режимах. Эти устройства терминируют IPsec туннели непосредственно с ПК пользователей использующих Cisco VPN Client программное обеспечение.

Easy VPN Remote

Позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве удаленного VPN клиента. Они получают политики безопасности от Easy VPN Server. Что исключает потребность ручной конфигурации. Easy VPN Remote обеспечивают  автоматическое, централизованное управление для:

  • Согласования параметров туннелей (адреса, алгоритмы, время)
  • Набора параметров касающихся установки туннеля.
  • Автоматическое создание NAT PAT и ACL.
  • Аутентификация пользователей.
  • Управления ключами безопасности для шифрования/дешифрации.
  • Аутентификация шифрование и расшифровка туннельных данных.

 

Easy VPN Remote поддерживает три режима работы:

 

  • Клиент - определяет использование NAT PAT для возможности использования ip адреса из подсети не принадлежащей пространству tunnel destination. Необходимые security assiciations SA создаются автоматически для IP адреса назначенного удаленному хосту.
  • Network Extension - определяет что удаленный хост использует IP маршрутизируемую адресацию, и в туннеле используется логическая подсеть. PAT не используется и удаленных хост имеет прямое соединение со всеми сервисами сети.
  • Network Extension Plus - имеет некоторые дополнения - запрашивает ip адрес через конфигурационный режим и создает Loopback интерфейс. IPsec SA для этого ip адреса создается автоматически.

Easy VPN Server

Для работы Easy VPN Server необходима поддержка ISAKMP политик с использованием Diffie-Hellman group 2 (1024bit) согласования. Этот протокол используется расширением Cisco Unity. Cisco Unity protocol базируется на идентификации клиентской группы. Клиент должен аутентифицировать свою группу, а если включен XAUTH еще и себя(логином и паролем). При использовании Easy VPN Remote обязательно должна присутствовать аутентификация и шифрование. Cisco Unity протокол использует только ESP. Если включен режим сплит тунелинга, то NAT не используется, потому что туннель участвует в маршрутизации.

Установка соединения Easy VPN

При установке соединения происходит клиент/серверная аутентификация в 2 стадии:

  1. Групповая аутентификация, которая является частью создания канала. Может проходить по pre-shared ключу или по сертификатам.
  2. XAUTH - удаленная сторона представляет логин и пароль в central site VPN device.

При установке соединения клиент и роутер проходят следующие шаги:

  1. VPN клиент инициирует IKE phase 1.
  2. VPN клиент устанавливает ISAKMP SA.
  3. Easy VPN Server принимает SA proposals.
  4. Easy VPN Server инициирует аутентификацию пользователя.
  5. Происходит конфигурация режима.
  6. Reverse Route Injection (RRI) процесс начинается.
  7. IPsec quick mode заканчивает соединение.

1. IKE phase 1.

Во время начального шага запускается IKE 1 фаза. IKE фаза 1 может проходить в 2 видах:

  • Использование pre-shared ключа для аутентификации - VPN client инициирует aggressive mode. Каждый пир знает ключ другого пира. Этот ключ виден в running-config. Зная это есть дополнительная опция шифрования pre-shared ключей. В конфигурацию VPN клиента необходимо ввести данные о группе, имя и ключ.
  • Использование цифровых сертификатов - VPN клиент инициирует main mode. Цифровые сертификаты используют RSA подписи на Easy VPN Remote устройстве. Эта поддержка обеспечивается RSA сертификатом сохраненным в центральном репозитории или в самом устройстве. С цифровым сертификатом для определения профайла группы используется специальное distinguished имя. Cisco рекомендует тайм аут в 40 секунд когда используются цифровые сертификаты.

Когда используется aggressive mode для идентификации Cisco IOS VPN устройства необходимо использовать
crypto isakmp identity hostname
команду. Изменение идентификатора не производит эффекта на аутентификацию по сертификатам через IKE main mode. Команда crypto isakmp identity позволяет использовать адрес или имя.

(config)#crypto isakmp identity address
(config)#crypto isakmp identity key sharedkeystring address 192.168.1.33

Так же можно использовать и имя для идентификации.

(config)#crypto isakmp identity hostname
(config)#crypto isakmp key sharedkeystring hostnamr remoterouter.example.com
(config)#ip host remoterouter.example.com 192.168.1.33

Обе конфигурации имеют одинаковое значение.

Установка ISAKMP SA.
Когда VPN клиент пытается установить SA между пирами он отсылает несколько ISAKMP proposals к Easy VPN Server. Чтоб уменьшить размер ручной конфигурации ISAKMP proposals имеют несколько комбинаций шифрования, хэш алгоритмов, методов аутентификации и размеров Diffie-Hellman групп.

SA proposal принятие.
Несколько proposals могут объединяться в ISAKMP policy. Когда существует несколько proposals, Easy VPN server выбирает нужный по первому совпадению. Поэтому более секьюрные policy должны быть описаны первыми. Когда proposal принимается устройство является аутентифицированным и начинается аутентификация пользователя.

Easy VPN аутентификация пользователя
Когда SA принято и устройство аутентифицировано начинается процесс аутентификация пользователя. В зависимости от конфигурации сервера начинается процесс аутентификации Xauth. VPN клиент ожидает обмена логином и паролем. По ААА определяется политики по которым пользователи могут выполнять те или иные функции.

Mode configuration
Когда VPN сервер подтвердил аутентификацию VPN клиент запрашивает оставшиеся параметры конфигурации которые сконфигурированы на VPN сервере. Обычно это следующие параметры: ip address, DNS, split tunneling информация и др сливается клиенту. Главная информация это ip адрес остальная опциональная.

Reverse Route Injection
Процесс внедрения статического маршрута (касающегося клиента) в IGP. RRI включается на динамических криптомапах.

IPsec Quick Mode
Запускается процесс установления IPsec SA. Этот режим и устанавливает IPsec SA, после чего соединение считается установленным и активным.

Настройка через SDM

configure----> vpn ------> easy vpn server -----> create easy vpn server

По этому пути мы запускаем Easy VPN Server Wizard в котором нужно будет задать некоторые параметры:

  • Выбор интерфейса на котором будут терминироваться VPN
  • IKE policy конфигурация
  • Конфигурация метода поиска групповых политик
  • Аутентификация пользователя
  • Конфигурация local group policy
  • IPsec transform set конфигурация

Конфигурация пользователей проходит по следующему пути:

additional tasks ----> Router Access ------> User Accounts/View ------> Add

Проверка работоспособности

show crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst                                  src                  state              conn-id           slot      status
172.16.0.4                    172.16.1.40  QM_IDLE    1004                0          ACTIVE
IPv6   Crypto  ISAKMP  SA

show crypto ipsec sa

Основной командой для проверки установки соединения является:

debug crypto isakmp

 

 

 

< Предыдущая   Следующая >   Последнее на форуме Terms and Conditions | Cisco conf | Support | Contact Us 922-96-07 Design © CCIE | Cisco-conf. All rights reserved.
rss