求老喵指点剑三小gf明教怎么混分呀??_百度知道现任明教教主&Ez***第一部分
给大家报告一下我最近的计划:
第一:我写的书已经完成了,并且已经上交出版社审稿了,而且我还会继续在博客上共享后Ez***和ASA策略图。
第二:现在开始进入新的JUNOS
Security学习阶段,学习Juniper全新SRX系列防火墙技术,最近报名本地安全CCIE的学员有福了,在学习Cisco安全的同时还能学习到Cisco直接竞争对手Juniper的防火墙,在Yeslab安全实验室学习是没有界限的。当然我也会出台相应学习资料和视频,请大家关注,多谢大家多年来对我的支持。
第九章:Easy ***
***也叫做Ez***,是Cisco为远程用户,分支办公室提供的一种远程访问***解决方案。Ez***提供了中心的***管理,动态的策略分发,降低了远程访问***部署的复杂程度,并且增加了扩展和灵活性。
Easy ***特点介绍:
Easy ***是Cisco私有技术,只能运用在Cisco设备之间。
***适用于中心站点固定地址,客户端动态地址的环境,并且客户端身后网络环境需要尽可能简单,例如:小超市,服装专卖店或者彩票点。
Easy ***在中心站点配置策略,并且当客户连接的时候推送给客户,降低了分支站点的管理压力。
Easy ***中心站点管理的内容:
协商的隧道参数,例如:地址,算法和生存时间。
使用已配置的参数建立隧道。
动态的为硬件客户端配置NAT或者PAT地址转换。
使用组,用户和密码认证客户。
管理加解密密钥。
验证,加解密隧道数据。
Easy ***的部署
图9-1 Easy ***部署拓扑:
Ez***部署分为服务器端和客户端两大部分。服务器端可以采用Cisco路由器,PIX500和ASA5500系列防火墙,还有***3000集中器。Cisco
Ez***是一种远程访问***解决方案,它能够同时为在PC上***的软件客户端,还能够为使用Cisco网络设备的硬件客户端提供***服务。支持Cisco
Ez***硬件客户端的设备有Cisco路由器,PIX500系列防火墙,ASA5505防火墙还有***3002硬件客户端。
Easy *** IKE第一阶段两种认证方式
数字***认证(rsa-sig)
使用数字***认证的Ez***,第一阶段使用标准的六个包交换的主模式。
预共享密钥(pre-share)
Cisco Ez***的预共享密钥和传统站点到站点IPSec ***的配置方式不同,传统IPSec
***使用一个密码来进行认证,但是Cisco
Ez***的预共享密钥使用一个组名加上一个密码来进行认证,这是Cisco采用的一种特殊处理方式,这样做的好处在于,我们可以为一个公司内的不同部门配置不同的组,并且把***相关的策略与组进行关联,这样就可以为不同的部门配置不同的***策略。例如:为部门一的用户分配地址池一,部门二的用户分配地址池二。并且还需要注意的问题是,使用预共享密钥认证的Ez***第一阶段使用三个包交换的主动模式(aggressive
主动模式三个包交换介绍
图9-2 主动模式第一个包
图9-3 主动模式第二个包
图9-4 主动模式第三个包
图9-2到图9-4分别展示了主动模式的三个包交换,可以从中发现如下几个特点。
三个包都是明文传输的,并没有进行加密保护。
认证信息使用散列函数进行保护。
主动模式三个包完成了主模式六个包完成的任务。
IKE第一阶段策略协商
DH密钥交换,并产生密钥
主动模式第一个包就产生了DH公共值,很明显没有预先协商DH group。所以在进行主动模式交换之前,发起方和接收方需要统一DH
group,预共享密钥认证的Cisco Ez***必须使用DH group2。
Easy *** IKE第一阶段介绍
Cisco Easy
***为了提高客户的易用性,客户端无须配置IKE策略。无须配置策略不等于客户端没有策略,而是客户端(软件/硬件)已经内建了很多策略。这些策略会在IKE
第一阶段全部推送给服务器端,由服务器来选择适当的策略。所以策略的最终决定权在于Ez***服务器。
再次注意:由于预共享密钥认证的Ez***采用的是AM模式,DH
group策略需要预先统一,Cisco的Ez***如果采用预共享密钥认证,DH Group必须被配置为Group2。
&&& 下面是教主推荐的Easy
*** IKE 第一阶段策略
&1. pre-share + DH group2 + MD5 + DES
&2. pre-share + DH group2 + SHA + 3DES
IKE第1.5阶段介绍
Cisco Easy
***在第一阶段结束后,第二阶段开始之前,插入了一个全新的1.5阶段。这个阶段主要由如下两个技术组成。
XAUTH(Extended Authentication)扩展认证
在第一阶段组名加密码认证的基础之上,再增加了一次用户名和密钥的认证,弥补了主动模式安全性上的问题。
引入AAA技术,使用RADIUS对用户进行认证。
MODE-CFG(Mode Configuration)模式配置
为客户推送***配置策略(IP地址,DNS服务器地址,域名….)
Easy *** IKE第二阶段介绍
Easy *** IKE 第二阶段和普通的IPSec
***一样都为快速模式,客户端依然无须配置任何策略,但是客户端内建了很多策略,并且在快速模式第一个包,全部推送给服务器端,服务器从这些策略中选取其中一个,通过第二个包回馈给客户端,所以不管客户端有多少策略,决定权始终掌握在服务器手中。Cisco
Easy ***对IKE第二阶段的策略一般没有特殊要求,只要是ESP封装应该都能通过,注意Cisco Easy
***不支持AH封装方式
下面是教主推荐的Easy *** IKE 第二阶段策略
&1. esp-des esp-md5-hmac
&2. esp-3des esp-md5-hamc
Easy ***软件Client***
图9-5 解压缩文件
图9-6 选择语言
图9-7 配置***目录
图9-8 重启系统
实验一:Ez***经典配置实验
第一部分:实验目标
配置经典Ez***
第二部分:实际接线状况
图9-9:Ez***经典配置实验实际接线图
第三部分:实验拓扑
图9-10: Ez***经典配置实验拓扑
拓扑介绍:本次试验的主要目的是介绍Ez***经典配置,Private路由器模拟分支站点内部电脑,Branch路由器模拟分支站点的Ez***硬件客户端,Internet路由器模拟互联网路由器,Center路由器模拟中心站点Ez***服务器,Inside路由器模拟中心站点内部服务器,XP电脑模拟***在公司员工电脑上的Ez***软件客户端。本次试验一共有五个主要配置任务,第一是配置Center上的Ez***服务器,第二是配置XP上的Ez***软件客户端,第三是介绍Ez***特性,第四是配置Branch上的Ez***硬件客户端,第五是介绍Ez***的三种模式及其工作特点。
第四部分:基本网络配置
Private基本网络配置
configure terminal
hostname Private
enable password cisco
no ip domain lookup
interface FastEthernet0/0
&ip address 172.16.1.10
255.255.255.0
&no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.1
line vty 0 15
password cisco
Branch基本网络配置
configure terminal
hostname Branch
interface FastEthernet0/0
&ip address 172.16.1.1
255.255.255.0
&no shutdown
interface FastEthernet1/0
&ip address 202.100.1.1
255.255.255.0
&no shutdown
ip route 0.0.0.0 0.0.0.0 202.100.1.10
Internet基本网络配置
configure terminal
hostname Internet
interface FastEthernet1/0
&ip address 202.100.1.10
255.255.255.0
&no shutdown
interface FastEthernet2/0
&ip address 61.128.1.10
255.255.255.0
&no shutdown
Center基本网络配置
configure terminal
hostname Center
interface FastEthernet2/0
&ip address 61.128.1.1
255.255.255.0
&no shutdown
interface FastEthernet3/0
&ip address 10.1.1.1
255.255.255.0
&no shutdown
ip route 0.0.0.0 0.0.0.0 61.128.1.10
Inside基本网络配置
configure terminal
hostname Inside
enable password cisco
no ip domain lookup
interface FastEthernet3/0
&ip address 10.1.1.10
255.255.255.0
&no shutdown
ip route 0.0.0.0 0.0.0.0 10.1.1.1
line vty 0 15
password cisco
XP基本网络配置
图9-11: XP基本网络配置
第五部分:Center路由器上Ez***服务器配置
步骤一:IKE第一阶段策略
Center(config)#crypto isakmp policy 10
Center(config-isakmp)#authentication pre-share
Center(config-isakmp)#group 2
Center(config-isakmp)#hash md5
&IKE第一阶段策略,注意DH组必须配置成为2&
Center(config)#crypto isakmp client configuration
group ipsecgroup
Center(config-isakmp-group)#key yeslabccies
&IKE第一阶段预共享密钥认证用的组名加上密码&
步骤二:第1.5阶段XAUTH配置
Center(config)#aaa new-model
Center(config)#aaa authentication login noacs line
Center(config)#line console 0
Center(config-line)#login authentication noacs
Center(config)#line aux 0
Center(config-line)#login authentication noacs
&AAA线下保护,保障用户总是可以使用线下的密码登录Console和AUX口&
Center(config)#username ipsecuser password
yeslabccies
&XAUTH认证用用户名和密码&
Center(config)#aaa authentication login
xauth-authen local
&定义XAUTH认证策略,策略名为xauth-authen,使用“local”本地用户数据库进行认证&
步骤三:第1.5阶段MODE-CFG配置
Center(config)#ip local pool ippool 123.1.1.100
123.1.1.200
&定义推送给客户端的地址池,名字为ippool&
如何选择地址池:
地址池的网段必须在内网可路由。
去往地址池(123.1.1.0/24)的数据包,通过内网的路由,最终会被送到***设备“Center”。
由于在本实验中,模拟内部服务器的路由器“Inside”指默认网关到“Center”,所以可以认为选择任何地址池都可以在内部网络路由,并且送到“Center”,所以本实验使用的地址池“123.1.1.0/24”,只是根据个人习惯随意选定的。
Center(config)#aaa authorization network
mcfg-author local
&定义MODE-CFG的授权策略,名字为mcfg-author使用本地配置策略进行授权&
Center(config)#crypto isakmp client configuration
group ipsecgroup
Center(config-isakmp-group)#pool ippool
&把定义的策略“地址池”在组“ipsecgroup”下进行调用,通过这种方式就能够实现不同的组(部门)获取不同的Ez***策略。&
步骤四:第2阶段转换集与动态map配置
Center(config)#crypto ipsec transform-set ez***set
esp-des esp-md5-hmac
Center(config)#crypto dynamic-map dymap 10
Center(config-crypto-map)#set transform-set
步骤五:第2阶段crypto map配置
Center(config)#crypto map cry-map client
authentication list xauth-authen
&全局调用XAUTH认证策略xauth-authen&
Center(config)#crypto map cry-map isakmp
authorization list mcfg-author
&全局调用MODE-CFG授权策略mcfg-author&
Center(config)#crypto map cry-map client
configuration address respond
&启用MODE-CFG特性,不配置此命令无法推送策略给客户&
Center(config)#crypto map cry-map 10 ipsec-isakmp
dynamic dymap
Center(config)#interface fastEthernet 2/0
Center(config-if)#crypto map cry-map
第六部分:配置XP上Ez***软件客户端并查看状态
步骤一:配置Ez***软件客户端
图9-12配置Ez***软件客户端
图9-13 Ez***软件客户端拨号测试
图9-14 查看Ez***软件客户端状态
访问Inside服务器
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。