Easy VPN应用:实现移动办公远程接入为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN,是不是也要配置那么多的命令和参数呢?很多用户会提出有没有简单点的VPN配置来完成这样的要求。本节介绍一种简单的VPN配置,即Easy VPN。 移动VPN技术:Easy VPN 从Easy VPN的名字上就知道这应该是个简单的VPN应用技术。Easy VPN分为Easy VPN Server和Easy VPN Remote两种。Easy VPN Server是Remote-Access VPN专业设备,配置复杂,支持Policy Pushing等特性。现在的900、1700、Pix、Vpn 3002和ASA等很多设备都支持。 而Easy VPN Remote就是专门为了小的分支机构所设计的,一般情况下,小分支接口的网络管理员的水平没有那么高,不可能去配置一堆复杂命令来实现Site-to-Site VPN,这时候,只需要通过Easy VPN Remote这个特性配置几条简单的命令,就可以Site-to-Site VPN。所有的配置都在Server端来完成,Client的VPN配置都由Server端采用“推”的方式应用到分支机构的设备上。这种技术极大地避免了分支机构配置VPN失败的问题。但这种VPN不支持路由,不支持组播,只能在IP协议下工作,不支持状态故障切换等技术。所以,需要网络管理员在自己的实际工作中留意这些功能是否需要,再决定是否实施Easy VPN技术。 基于命令行的Easy VPN配置实例 下面介绍一个基于IOS命令行的Easy VPN Server/Remote配置实例,如图所示。
图Easy VPN接入 RouterServer的配置如下。
基于SDM的Easy VPN配置实例 Easy VPN的配置大部分工作都在VPN Server上完成,减轻了配置工作。在Cisco的设备中,比如,1800系列、2800系列和3800路由器系列,可以不使用命令的方式来完成配置。在这些新系列的设备上可以用SDM(思科路由器和安全设备管理器)软件来配置。 1. Cisco SDM >Cisco SDM 是一种直观且基于 Web 的设备管理工具,用来管理以 Cisco IOS? 软件为基础的路由器。Cisco SDM 可通过智能向导简化路由器及安全配置过程,对于客户及 Cisco 合作伙伴而言,有了这些向导,不必对命令行接口(CLI)有专门的了解,就能快速便捷地部署、配置和监控 Cisco Systems路由器。 SDM在设备上默认HTTPS管理IP是10.0.10.1。所以如果使用默认配置登录的话,一定要保证PC的地址在10.0.10.0网段。SDM的默认用户名是cisco,密码也是cisco 。 SDM程序既可以安装在PC上,也可以安装在路由器上。安装在PC上能节约路由器的内存并且可以用它来管理其他支持SDM管理的路由器,但是这种模式下不能执行恢复默认的操作。安装到路由器时,基本安装需要大约4~5MB的Flash空间,Cisco SDM Express组件需要1.5MB的Flash空间,只用于路由器的初始化配置无须安装。 提示: IE默认禁止网页访问本机资源,需要修改IE的安全设置。选择IE“工具”菜单,选择“Internet选项”,切换到“高级”选项卡,在“设置”里找到“允许活动内容在我的计算机上运行”,启用该功能;另外在“隐私”选项卡中取消“打开窗口阻止程序”选项。 SDM下载地址为 http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm(需要CCO账号),下载并解压SDM-V21.zip,运行Setup程序即可进行SDM的安装。在安装SDM之前要求安装JRE 1.5,如果尚未安装,可以到Sun公司网站下载。 将SDM安装到路由器之后,路由器必须进行以下配置才能支持SDM管理工具。 ip http server //允许HTTP登录 ip https server //允许HTTPS登录 ip http authentication local //指定本地认证 ip http timeout-policy idle idle-number life life-number request request-number //修改Web接口超时参数 user username privilege 15 secret 0 secret //必须是Secret,不可以用Password关键字 如果需要Telnet或者Ssh远程登录设备,则增加以下配置命令。 line vty 0 4 //路由器型号不同VTY的数量也不同 login local transport input telnet ssh //允许Telnet和Ssh 如果以上步骤配置正确完整,则在IE中输入http://“路由器IP地址”,就可以开始使用SDM了。如果是第一次登录SDM,则提示修改默认用户名cisco ,以及默认密码cisco。 提示: 具体启用配置SDM软件的方法,请查阅产品随机手册和思科网站上的相关信息,相关资料。使用SDM配置VPN的前提是要能保证配置端可以通过HTTPS访问路由器的Web管理界面。值得庆幸的是SDM如今已经支持中文版本。 2. SDM配置Easy VPN的步骤 3. 下面介绍使用思科安全设备管理器(SDM)将Cisco路由器配置成Easy VPN Server。一旦思科路由器配置完成后,可以使用思科VPN客户端(Cisco Systems VPN Client)进行验证。 第1步:从左侧主操作窗口选择Configure→VPN→Easy VPN Server,然后单击Launch Easy VPN Server Wizard,启动Easy VPN服务器向导。 第2步:在弹出的对话框单击【Yes】按钮,这里提示如果对路由器配置Easy VPN Server需要启用AAA认证。请单击【Yes】按钮继续进行配置。 第3步:正式进入Easy VPN配置向导。 第4步:首先要求选择应用Easy VPN的接口,客户端连接终止及身份验证的方法,如图所示。
图:启动VPN接口和认证类型 第5步:单击【下一步】按钮,将配置Internet密钥交换(IKE)的策略,单击【Add】按钮,添加新的策略,如图14-15所示。 提示: 配置VPN隧道的选项必须是双方匹配的。这里是针对“思科VPN客户端” 本身自动选择适当的配置。因此,有必要对客户端电脑配置IKE。 第6步:单击【下一步】按钮,选择默认转换设置或添加新的转换加密和认证算法,如图14-16所示。单击【Add】按钮,添加转换算法设置。 第7步:添加一个新的验证、授权和记账策略,这里选择定义验证的方式为本地配置。 提示: 授权网络访问名单和组策略,这里可以查找或选择一个现有的本地和网络配置清单用做企业的VPN访问授权。 第8步:选择用户认证数据库。可以在存储用户认证细节上选择一个外部服务器,如一个RADIUS服务器或本地数据库,或者两者同时启用。 第9步:在下图所示的对话框中,可以对本地数据库添加、编辑、复制或删除用户组策略。
图14-20 选择对本地数据库的操作 第10步:添加一个隧道组,配置共享密钥用于认证信息。创建一个新的地址池或选择一个现有的地址池,用于VPN客户分配IP地址,如下图所示。 第11步:单击【OK】按钮,选择是否继续添加策略。
图:添加VPN客户端地址池和共享密钥 第12步:如果不需要配置选项,单击【下一步】按钮。 第13步:SDM将上述配置复制到路由器,以更新运行的配置,单击【OK】按钮,完成Easy VPN配置。 完成之后,如果需要修改,可以在主界面编辑和修改。 下面是上述配置后路由器的执行结果。
责编:  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
