求老喵指点剑三小gf明教怎么混分呀？？_百度知道现任明教教主&Ez***第一部分
给大家报告一下我最近的计划:
第一:我写的书已经完成了，并且已经上交出版社审稿了，而且我还会继续在博客上共享后Ez***和ASA策略图。
第二:现在开始进入新的JUNOS
Security学习阶段，学习Juniper全新SRX系列防火墙技术，最近报名本地安全CCIE的学员有福了，在学习Cisco安全的同时还能学习到Cisco直接竞争对手Juniper的防火墙，在Yeslab安全实验室学习是没有界限的。当然我也会出台相应学习资料和视频，请大家关注，多谢大家多年来对我的支持。
第九章:Easy ***
***也叫做Ez***，是Cisco为远程用户，分支办公室提供的一种远程访问***解决方案。Ez***提供了中心的***管理，动态的策略分发，降低了远程访问***部署的复杂程度，并且增加了扩展和灵活性。
Easy ***特点介绍:
Easy ***是Cisco私有技术，只能运用在Cisco设备之间。
***适用于中心站点固定地址，客户端动态地址的环境，并且客户端身后网络环境需要尽可能简单，例如:小超市，服装专卖店或者彩票点。
Easy ***在中心站点配置策略，并且当客户连接的时候推送给客户，降低了分支站点的管理压力。
Easy ***中心站点管理的内容:
协商的隧道参数，例如:地址，算法和生存时间。
使用已配置的参数建立隧道。
动态的为硬件客户端配置NAT或者PAT地址转换。
使用组，用户和密码认证客户。
管理加解密密钥。
验证，加解密隧道数据。
Easy ***的部署
图9-1 Easy ***部署拓扑:
Ez***部署分为服务器端和客户端两大部分。服务器端可以采用Cisco路由器，PIX500和ASA5500系列防火墙，还有***3000集中器。Cisco
Ez***是一种远程访问***解决方案，它能够同时为在PC上***的软件客户端，还能够为使用Cisco网络设备的硬件客户端提供***服务。支持Cisco
Ez***硬件客户端的设备有Cisco路由器，PIX500系列防火墙，ASA5505防火墙还有***3002硬件客户端。
Easy *** IKE第一阶段两种认证方式
数字***认证（rsa-sig）
使用数字***认证的Ez***，第一阶段使用标准的六个包交换的主模式。
预共享密钥（pre-share）
Cisco Ez***的预共享密钥和传统站点到站点IPSec ***的配置方式不同，传统IPSec
***使用一个密码来进行认证，但是Cisco
Ez***的预共享密钥使用一个组名加上一个密码来进行认证，这是Cisco采用的一种特殊处理方式，这样做的好处在于，我们可以为一个公司内的不同部门配置不同的组，并且把***相关的策略与组进行关联，这样就可以为不同的部门配置不同的***策略。例如:为部门一的用户分配地址池一，部门二的用户分配地址池二。并且还需要注意的问题是，使用预共享密钥认证的Ez***第一阶段使用三个包交换的主动模式（aggressive
主动模式三个包交换介绍
图9-2 主动模式第一个包
图9-3 主动模式第二个包
图9-4 主动模式第三个包
图9-2到图9-4分别展示了主动模式的三个包交换，可以从中发现如下几个特点。
三个包都是明文传输的，并没有进行加密保护。
认证信息使用散列函数进行保护。
主动模式三个包完成了主模式六个包完成的任务。
IKE第一阶段策略协商
DH密钥交换，并产生密钥
主动模式第一个包就产生了DH公共值，很明显没有预先协商DH group。所以在进行主动模式交换之前，发起方和接收方需要统一DH
group，预共享密钥认证的Cisco Ez***必须使用DH group2。
Easy *** IKE第一阶段介绍
Cisco Easy
***为了提高客户的易用性，客户端无须配置IKE策略。无须配置策略不等于客户端没有策略，而是客户端（软件/硬件）已经内建了很多策略。这些策略会在IKE
第一阶段全部推送给服务器端，由服务器来选择适当的策略。所以策略的最终决定权在于Ez***服务器。
再次注意：由于预共享密钥认证的Ez***采用的是AM模式，DH
group策略需要预先统一，Cisco的Ez***如果采用预共享密钥认证，DH Group必须被配置为Group2。
&&& 下面是教主推荐的Easy
*** IKE 第一阶段策略
&1. pre-share + DH group2 + MD5 + DES
&2. pre-share + DH group2 + SHA + 3DES
IKE第1.5阶段介绍
Cisco Easy
***在第一阶段结束后，第二阶段开始之前，插入了一个全新的1.5阶段。这个阶段主要由如下两个技术组成。
XAUTH（Extended Authentication）扩展认证
在第一阶段组名加密码认证的基础之上，再增加了一次用户名和密钥的认证，弥补了主动模式安全性上的问题。
引入AAA技术，使用RADIUS对用户进行认证。
MODE-CFG（Mode Configuration）模式配置
为客户推送***配置策略（IP地址，DNS服务器地址，域名….）
Easy *** IKE第二阶段介绍
Easy *** IKE 第二阶段和普通的IPSec
***一样都为快速模式，客户端依然无须配置任何策略，但是客户端内建了很多策略，并且在快速模式第一个包，全部推送给服务器端，服务器从这些策略中选取其中一个，通过第二个包回馈给客户端，所以不管客户端有多少策略，决定权始终掌握在服务器手中。Cisco
Easy ***对IKE第二阶段的策略一般没有特殊要求，只要是ESP封装应该都能通过，注意Cisco Easy
***不支持AH封装方式
下面是教主推荐的Easy *** IKE 第二阶段策略
&1. esp-des esp-md5-hmac
&2. esp-3des esp-md5-hamc
Easy ***软件Client***
图9-5 解压缩文件
图9-6 选择语言
图9-7 配置***目录
图9-8 重启系统
实验一:Ez***经典配置实验
第一部分:实验目标
配置经典Ez***
第二部分:实际接线状况
图9-9:Ez***经典配置实验实际接线图
第三部分:实验拓扑
图9-10: Ez***经典配置实验拓扑
拓扑介绍:本次试验的主要目的是介绍Ez***经典配置，Private路由器模拟分支站点内部电脑，Branch路由器模拟分支站点的Ez***硬件客户端，Internet路由器模拟互联网路由器，Center路由器模拟中心站点Ez***服务器，Inside路由器模拟中心站点内部服务器，XP电脑模拟***在公司员工电脑上的Ez***软件客户端。本次试验一共有五个主要配置任务，第一是配置Center上的Ez***服务器，第二是配置XP上的Ez***软件客户端，第三是介绍Ez***特性，第四是配置Branch上的Ez***硬件客户端，第五是介绍Ez***的三种模式及其工作特点。
第四部分:基本网络配置
Private基本网络配置
configure terminal
hostname Private
enable password cisco
no ip domain lookup
interface FastEthernet0/0
&ip address 172.16.1.10
255.255.255.0
&no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.1
line vty 0 15
password cisco
Branch基本网络配置
configure terminal
hostname Branch
interface FastEthernet0/0
&ip address 172.16.1.1
255.255.255.0
&no shutdown
interface FastEthernet1/0
&ip address 202.100.1.1
255.255.255.0
&no shutdown
ip route 0.0.0.0 0.0.0.0 202.100.1.10
Internet基本网络配置
configure terminal
hostname Internet
interface FastEthernet1/0
&ip address 202.100.1.10
255.255.255.0
&no shutdown
interface FastEthernet2/0
&ip address 61.128.1.10
255.255.255.0
&no shutdown
Center基本网络配置
configure terminal
hostname Center
interface FastEthernet2/0
&ip address 61.128.1.1
255.255.255.0
&no shutdown
interface FastEthernet3/0
&ip address 10.1.1.1
255.255.255.0
&no shutdown
ip route 0.0.0.0 0.0.0.0 61.128.1.10
Inside基本网络配置
configure terminal
hostname Inside
enable password cisco
no ip domain lookup
interface FastEthernet3/0
&ip address 10.1.1.10
255.255.255.0
&no shutdown
ip route 0.0.0.0 0.0.0.0 10.1.1.1
line vty 0 15
password cisco
XP基本网络配置
图9-11: XP基本网络配置
第五部分:Center路由器上Ez***服务器配置
步骤一:IKE第一阶段策略
Center(config)#crypto isakmp policy 10
Center(config-isakmp)#authentication pre-share
Center(config-isakmp)#group 2
Center(config-isakmp)#hash md5
&IKE第一阶段策略，注意DH组必须配置成为2&
Center(config)#crypto isakmp client configuration
group ipsecgroup
Center(config-isakmp-group)#key yeslabccies
&IKE第一阶段预共享密钥认证用的组名加上密码&
步骤二:第1.5阶段XAUTH配置
Center(config)#aaa new-model
Center(config)#aaa authentication login noacs line
Center(config)#line console 0
Center(config-line)#login authentication noacs
Center(config)#line aux 0
Center(config-line)#login authentication noacs
&AAA线下保护，保障用户总是可以使用线下的密码登录Console和AUX口&
Center(config)#username ipsecuser password
yeslabccies
&XAUTH认证用用户名和密码&
Center(config)#aaa authentication login
xauth-authen local
&定义XAUTH认证策略，策略名为xauth-authen，使用“local”本地用户数据库进行认证&
步骤三:第1.5阶段MODE-CFG配置
Center(config)#ip local pool ippool 123.1.1.100
123.1.1.200
&定义推送给客户端的地址池，名字为ippool&
如何选择地址池:
地址池的网段必须在内网可路由。
去往地址池（123.1.1.0/24）的数据包，通过内网的路由，最终会被送到***设备“Center”。
由于在本实验中，模拟内部服务器的路由器“Inside”指默认网关到“Center”,所以可以认为选择任何地址池都可以在内部网络路由，并且送到“Center”，所以本实验使用的地址池“123.1.1.0/24”，只是根据个人习惯随意选定的。
Center(config)#aaa authorization network
mcfg-author local
&定义MODE-CFG的授权策略，名字为mcfg-author使用本地配置策略进行授权&
Center(config)#crypto isakmp client configuration
group ipsecgroup
Center(config-isakmp-group)#pool ippool
&把定义的策略“地址池”在组“ipsecgroup”下进行调用，通过这种方式就能够实现不同的组（部门）获取不同的Ez***策略。&
步骤四:第2阶段转换集与动态map配置
Center(config)#crypto ipsec transform-set ez***set
esp-des esp-md5-hmac
Center(config)#crypto dynamic-map dymap 10
Center(config-crypto-map)#set transform-set
步骤五:第2阶段crypto map配置
Center(config)#crypto map cry-map client
authentication list xauth-authen
&全局调用XAUTH认证策略xauth-authen&
Center(config)#crypto map cry-map isakmp
authorization list mcfg-author
&全局调用MODE-CFG授权策略mcfg-author&
Center(config)#crypto map cry-map client
configuration address respond
&启用MODE-CFG特性，不配置此命令无法推送策略给客户&
Center(config)#crypto map cry-map 10 ipsec-isakmp
dynamic dymap
Center(config)#interface fastEthernet 2/0
Center(config-if)#crypto map cry-map
第六部分:配置XP上Ez***软件客户端并查看状态
步骤一:配置Ez***软件客户端
图9-12配置Ez***软件客户端
图9-13 Ez***软件客户端拨号测试
图9-14 查看Ez***软件客户端状态
访问Inside服务器
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。