Exempel 1

Remote Access VPN eller fjärråtkomst-VPN, precis som namnet antyder, tillåter distansarbetare att komma åt företagets intranät hemifrån eller var som helst i världen med sina persondatorer eller mobiltelefoner. Användare kan komma åt resurserna på servrar i det lokala nätverket som om de var direkt anslutna till kontorsnätverket. De två vanligaste teknikerna i fjärråtkomst-VPN är IPSec och SSL.

IPSec är den mest använda VPN-tekniken. En klientapplikation krävs på distansarbetarens dator för att upprätta en anslutning. IPSec har utformats för att säkerställa dataintegritet och konfidentialitet via effektiva säkerhetsfunktioner.

I denna laboration implementeras Cisco IPSec VPN för fjärranslutning eller ”remote access”. För att kunna konfigurera Cisco IPSec VPN måste aktiveras på routern ett säkerhets paket som innehåller de IOS kommando som tillåter säkerhetskonfigurationer. Därefter måste man konfigurera ett säkerhetssystem som identifierar användare i den fjärranslutningen. Ett sådan system är känd som AAA.

Nätverkstopologi

Konfigurationer

RU IP

  • IP Address: 192.168.1.10
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.1.1
  • DNS Server: 0.0.0.0

PC1 IP

  • IP Address: 192.168.2.10
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.2.1
  • DNS Server: 0.0.0.0

Server IP

  • IP Address: 192.168.1.10
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.1.1
  • DNS Server: 0.0.0.0
  • Router> enable
  • Router# configure terminal
  • Router(config)# hostname R1
  • R1(config)# no ip domain-lookup
  • R1(config)# interface Gig0/1
  • R1(config-if)# description Connected to VPN Client Network
  • R1(config-if)# ip address 192.168.1.1 255.255.255.0
  • R1(config-if)# no shutdown
  • R1(config-if)# exit
  • R1(config)# interface s0/0/0
  • R1(config-if)# description Connected to INTERNET
  • R1(config-if)# ip address 209.165.200.226 255.255.255.252
  • R1(config-if)# no shutdown
  • R1(config-if)# exit
  • R1(config)# ip route 0.0.0.0 0.0.0.0 se0/0/0
  • NAT konfiguration
  • R1(config)# ip access-list standard ACL_NAT
  • R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
  • R1(config-std-nacl)# exit
  • R1(config)# ip nat inside source list ACL_NAT interface s0/0/0
  • R1(config)# interface s0/0/0
  • R1(config-if)# ip nat outside
  • R1(config-if)# exit
  • R1(config)# interface Gig0/1
  • R1(config-if)# ip nat inside
  • R1(config-if)# exit
  • R1#
  • Router> enable
  • Router# configure terminal
  • Router(config)# hostname INTERNET
  • INTERNET(config)# no ip domain-lookup
  • INTERNET(config)# interface s0/0/0
  • INTERNET(config-if)# description DCE Connected to R1
  • INTERNET(config-if)# clock rate 2000000
  • INTERNET(config-if)# ip address 209.165.200.225 255.255.255.252
  • INTERNET(config-if)# no shutdown
  • INTERNET(config-if)# exit
  • INTERNET(config)# interface s0/0/1
  • INTERNET(config-if)# description DCE Connected to RAC
  • INTERNET(config-if)# clock rate 2000000
  • INTERNET(config-if)# ip address 209.165.200.229 255.255.255.252
  • INTERNET(config-if)# no shutdown
  • INTERNET(config-if)# end
  • INTERNET#
  • Router> enable
  • Router# configure terminal
  • Router(config)# hostname RAC
  • RAC(config)# no ip domain-lookup
  • RAC(config)# interface Gig0/1
  • RAC(config-if)# description Connected to MAIN OFFICE
  • RAC(config-if)# ip address 192.168.2.1 255.255.255.0
  • RAC(config-if)# no shutdown
  • RAC(config-if)# exit
  • RAC(config)# interface s0/0/1
  • RAC(config-if)# description Connected to INTERNET
  • RAC(config-if)# ip address 209.165.200.230 255.255.255.252
  • RAC(config-if)# no shutdown
  • RAC(config-if)# exit
  • RAC(config)# ip route 0.0.0.0 0.0.0.0 se0/0/1
  • RAC(config)#
  • Aktivera IOS säkerhets paket securityk9
  • RAC(config)# license boot module c1900 technology-package securityk9
  • ACCEPT? [yes/no]: yes
  • RAC(config)# end
  • RAC# copy running-config startup-config
  • RAC# reload
  • RAC# configure terminal
  • RAC(config)# ip local pool vpnPOOL 192.168.2.100 192.168.2.115
  • RAC(config)# aaa new-model
  • RAC(config)# aaa authentication login userVPN local
  • RAC(config)# aaa authorization network groupVPN local
  • RAC(config)# username adminVPN secret adminP@55
  • !
  • RAC(config)# crypto isakmp policy 100
  • RAC(config-isakmp)# encryption aes 256
  • RAC(config-isakmp)# hash sha
  • RAC(config-isakmp)# authentication pre-share
  • RAC(config-isakmp)# group 5
  • RAC(config-isakmp)# lifetime 3600
  • RAC(config-isakmp)# exit
  • !
  • RAC(config)# crypto isakmp client configuration group groupVPN
  • RAC(config-isakmp-group)# key ciscogroupVPN
  • RAC(config-isakmp-group)# pool vpnPOOL
  • RAC(config-isakmp-group)# exit
  • !
  • RAC(config)# crypto ipsec transform-set setVPN esp-aes esp-sha-hmac
  • RAC(config)# crypto dynamic-map dynamicVPN 100
  • RAC(config-crypto-map)# set transform-set setVPN
  • RAC(config-crypto-map)# reverse-route
  • RAC(config-crypto-map)# exit
  • !
  • RAC(config)# crypto map staticMAP client configuration address respond
  • RAC(config)# crypto map staticMAP client authentication list userVPN
  • RAC(config)# crypto map staticMAP isakmp authorization list groupVPN
  • RAC(config)# crypto map staticMAP 20 ipsec-isakmp dynamic dynamicVPN
  • !
  • RAC(config)# interface s0/0/1
  • RAC(config-if)# crypto map staticMAP
  • RAC(config-if)# end
  • RAC#

RU VPN klient

  • GroupName: groupVPN
  • Group Key: ciscogroupVPN
  • Host IP (Server IP): 209.165.200.230
  • Username: adminVPN
  • Password: adminP@55

.