موجه Cisco كخادم VPN بعيد باستخدام مثال تكوين SDM

خيارات التنزيل

PDF (1.0 MB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (1.1 MB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (1.3 MB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:٧ سبتمبر ٢٠٠٦

معرّف المستند:70374

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

الاصطلاحات

التكوين

الرسم التخطيطي للشبكة

إجراء التكوين

التحقق من الصحة

معلومات ذات صلة

المقدمة

يصف هذا المستند كيفية إستخدام مدير أجهزة الأمان (SDM) من Cisco لتكوين موجه Cisco للعمل كخادم VPN سهل. يسمح cisco SDM أنت أن يشكل مسحاج تخديدك كخادم VPN ل ال cisco VPN زبون يستعمل easy-to-use baser إدارة قارن. بمجرد اكتمال تكوين موجه Cisco، يمكن التحقق منه باستخدام عميل Cisco VPN.

المتطلبات الأساسية

المتطلبات

يفترض هذا المستند أن موجه Cisco قيد التشغيل الكامل وتم تكوينه للسماح لميزة إدارة قاعدة بيانات المحول (SDM) بإجراء تغييرات التكوين.

ملاحظة: ارجع إلى السماح بوصول HTTPS لإدارة قاعدة بيانات المحول (SDM) للسماح بتكوين الموجه بواسطة إدارة قاعدة بيانات المحول (SDM).

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

cisco 3640 مسحاج تخديد مع cisco ios ® برمجية إطلاق 12.3(14T)
Security Device Manager، الإصدار 2.31
عميل Cisco VPN، الإصدار 4.8

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

حدد تكوين > VPN > خادم VPN سهل من الإطار الرئيسي وانقر فوق تشغيل معالج خادم VPN سهل.
يجب تمكين AAA على الموجه قبل بدء تكوين خادم VPN السهل. انقر فوق نعم لمتابعة التكوين.

تم تمكين "المصادقة والتفويض والمحاسبة (AAA) بنجاح على شاشات رسالة الموجه" على الإطار. انقر فوق موافق لبدء تكوين خادم VPN سهل.
انقر فوق التالي لبدء تشغيل معالج خادم VPN سهل.
حدد الواجهة التي تنهي إتصالات العميل عليها ونوع المصادقة.
انقر فوق التالي لتكوين نهج Internet Key Exchange (IKE) واستخدم الزر Add لإنشاء النهج الجديد.

يجب أن تتطابق التكوينات الموجودة على كلا جانبي النفق تماما. ومع ذلك، يحدد عميل شبكة VPN من Cisco التكوين المناسب تلقائيا لنفسه. لذلك، لا يلزم تكوين IKE على جهاز الكمبيوتر العميل.
انقر فوق التالي لاختيار مجموعة التحويل الافتراضية أو إضافة مجموعة التحويل الجديدة لتحديد خوارزمية التشفير والمصادقة. في هذه الحالة، يتم إستخدام مجموعة التحويل الافتراضية.
انقر فوق التالي لإنشاء قائمة طرق شبكة تخويل المصادقة والتفويض والمحاسبة (AAA) الجديدة للبحث عن نهج المجموعة أو لاختيار قائمة طرق شبكة موجودة تستخدم لتفويض المجموعة.
قم بتكوين مصادقة المستخدم على خادم VPN السهل.

يمكنك تخزين تفاصيل مصادقة المستخدم على خادم خارجي مثل خادم RADIUS أو قاعدة بيانات محلية أو على كليهما. يتم إستخدام قائمة طرق مصادقة تسجيل دخول AAA لتحديد الترتيب الذي يجب البحث فيه عن تفاصيل مصادقة المستخدم.
يسمح لك هذا الإطار بإضافة نهج مجموعة المستخدمين أو تحريرها أو نسخها أو حذفها على قاعدة البيانات المحلية.
أدخل اسما لاسم مجموعة النفق. قم بتوريد المفتاح المشترك مسبقا المستخدم لمعلومات المصادقة.

قم بإنشاء تجمع جديد أو حدد تجمع موجود يستخدم لتخصيص عناوين IP إلى عملاء VPN.
تعرض هذه النافذة ملخصا للإجراءات التي اتخذتها. انقر فوق إنهاء إذا كنت راضيا عن التكوين الخاص بك.
يرسل إدارة قاعدة بيانات المحول (SDM) التكوين إلى الموجه لتحديث التكوين الجاري تشغيله. طقطقة ok أن يستكمل.

بعد الإكمال، يمكنك تحرير وتعديل التغييرات في التكوين، إذا لزم الأمر.

تكوين الموجه (خادم VPN)
Building configuration... Current configuration : 3336 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable password cisco ! aaa new-model ! !--- In order to set AAA authentication at login, use the aaa authentication login* !--- command in global configuration mode* . aaa authentication login default local !--- Here, list name "sdm_vpn_xauth_ml_1" is specified for !--- the authentication of the clients. aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local ! aaa session-id common ! resource policy ! ! ! ip cef ! ! ! ! !--- The RSA certificate generates after the !--- ip http secure-server* command is enabled.* crypto pki trustpoint TP-self-signed-392370502 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-392370502 revocation-check none rsakeypair TP-self-signed-392370502 ! ! crypto pki certificate chain TP-self-signed-392370502 certificate self-signed 01 3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33393233 37303530 32301E17 0D303530 39323130 30323135 375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333730 35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 ED61BD43 0AD90559 2C7D7DB1 BB3147AA 784F3B46 9E63E63C 5CD61976 6BC46596 DB1AEB44 46644B18 8A890604 489B0447 B4B5C702 98272464 FFFD5511 A4BA79EC 239BCEA2 823F94EE 438B2E0A 5D90E9ED 8158BC8D 04F67C21 AEE1DB6F 046A0EF3 4C8798BE 0A171421 3FD5A690 7C735751 E7C58AA3 FB4CCE4F 5930212D 90EB4A33 02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D 11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014B278 183F02DF 5000A124 124FEF08 8B704656 15CD301D 0603551D 0E041604 14B27818 3F02DF50 00A12412 4FEF088B 70465615 CD300D06 092A8648 86F70D01 01040500 03818100 C12AB266 0E85DAF6 264AC86F 27761351 E31DF628 BE7792B2 991725ED AAB3BABE B1F1C6CA 7E5C0D19 B9793439 E5AECC78 C5ECBE56 871EB4D3 39B60AD1 AB0B97FE 515B4CC6 81BEE802 DC02BD1B A0D10EE9 0FD79D72 B44C0143 6E39C06B D9178590 57D02A8F 750DA100 ABEEB1F1 B02A8B1F B746942B 892D1514 B2CC9D58 A28F08E2 quit ! ! ! ! ! ! ! ! ! ! !--- Creates a user account with all privileges. username sdmsdm privilege 15 password 0 sdmsdm ! ! !--- Creates an isakmp policy 1 with parameters like !--- 3des encryption, pre-share key authentication, and DH group 2. crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration group vpn !--- Defines the pre-shared key as sdmsdm. key sdmsdm pool SDM_POOL_1 netmask 255.255.255.0 ! !--- Defines transform set parameters. crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! !--- Specifies the crypto map parameters. crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface FastEthernet1/0 ip address 10.77.241.157 255.255.255.192 duplex auto speed auto ! interface Serial2/0 ip address 10.1.1.1 255.255.255.0 no fair-queue !--- Applies the crypto map SDM_CMAP1 to the interface. crypto map SDM_CMAP_1 ! interface Serial2/1 no ip address shutdown ! interface Serial2/2 no ip address shutdown ! interface Serial2/3 no ip address shutdown !--- Creates a local pool named SDM_POOL_1 for issuing IP !--- addresses to clients. ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5 !--- Commands for enabling http and https required to launch SDM. ip http server ip http secure-server ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco ! ! end

تكوين الموجه (خادم VPN)

Building configuration...

Current configuration : 3336 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
aaa new-model
!

!--- In order to set AAA authentication at login, use the aaa authentication login !--- command in global configuration mode
.
aaa authentication login default local

!--- Here, list name "sdm_vpn_xauth_ml_1" is specified for !--- the authentication of the clients.

aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local 
aaa authorization network sdm_vpn_group_ml_1 local 
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
!
!
!--- The RSA certificate generates after the !--- ip http secure-server command is enabled.

crypto pki trustpoint TP-self-signed-392370502
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-392370502
 revocation-check none
 rsakeypair TP-self-signed-392370502
!
!
crypto pki certificate chain TP-self-signed-392370502
 certificate self-signed 01
  3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33393233 37303530 32301E17 0D303530 39323130 30323135 
  375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333730 
  35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  ED61BD43 0AD90559 2C7D7DB1 BB3147AA 784F3B46 9E63E63C 5CD61976 6BC46596 
  DB1AEB44 46644B18 8A890604 489B0447 B4B5C702 98272464 FFFD5511 A4BA79EC 
  239BCEA2 823F94EE 438B2E0A 5D90E9ED 8158BC8D 04F67C21 AEE1DB6F 046A0EF3 
  4C8798BE 0A171421 3FD5A690 7C735751 E7C58AA3 FB4CCE4F 5930212D 90EB4A33 
  02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D 
  11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014B278 183F02DF 
  5000A124 124FEF08 8B704656 15CD301D 0603551D 0E041604 14B27818 3F02DF50 
  00A12412 4FEF088B 70465615 CD300D06 092A8648 86F70D01 01040500 03818100 
  C12AB266 0E85DAF6 264AC86F 27761351 E31DF628 BE7792B2 991725ED AAB3BABE 
  B1F1C6CA 7E5C0D19 B9793439 E5AECC78 C5ECBE56 871EB4D3 39B60AD1 AB0B97FE 
  515B4CC6 81BEE802 DC02BD1B A0D10EE9 0FD79D72 B44C0143 6E39C06B D9178590 
  57D02A8F 750DA100 ABEEB1F1 B02A8B1F B746942B 892D1514 B2CC9D58 A28F08E2
  quit
!
!
!
!
!
!
!
!
!
!

!--- Creates a user account with all privileges.

username sdmsdm privilege 15 password 0 sdmsdm
!
! 

!--- Creates an isakmp policy 1 with parameters like !--- 3des encryption, pre-share key authentication, and DH group 2.

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2

crypto isakmp client configuration group vpn

!--- Defines the pre-shared key as sdmsdm.

key sdmsdm
 pool SDM_POOL_1
 netmask 255.255.255.0
!

!--- Defines transform set parameters.

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto dynamic-map SDM_DYNMAP_1 1
 set transform-set ESP-3DES-SHA 
 reverse-route
!

!--- Specifies the crypto map parameters.

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 
!
!
!
!
interface Ethernet0/0
 no ip address
 shutdown
 half-duplex
!
interface FastEthernet1/0
 ip address 10.77.241.157 255.255.255.192
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.1.1 255.255.255.0
 no fair-queue

!--- Applies the crypto map SDM_CMAP1 to the interface.

crypto map SDM_CMAP_1
!
interface Serial2/1
 no ip address
 shutdown
!
interface Serial2/2
 no ip address
 shutdown
!
interface Serial2/3
 no ip address
 shutdown

!--- Creates a local pool named SDM_POOL_1 for issuing IP !--- addresses to clients.

ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5

!--- Commands for enabling http and https required to launch SDM. 

ip http server
ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
!
!
end

التحقق من الصحة

حاول الاتصال بموجه Cisco باستخدام عميل Cisco VPN للتحقق من تكوين موجه Cisco بنجاح.

حدد إدخالات الاتصال > جديد.
املأ تفاصيل إتصالك الجديد.

يجب أن يحتوي حقل المضيف على عنوان IP أو اسم المضيف لنقطة نهاية النفق لخادم VPN السهل (موجه Cisco). يجب أن تتوافق معلومات مصادقة المجموعة مع تلك المستخدمة في الخطوة 9. انقر فوق حفظ عند الانتهاء.
حدد الاتصال الذي تم إنشاؤه حديثا وانقر فوق توصيل.
أدخل اسم مستخدم وكلمة مرور للمصادقة الموسعة (Xauth). يتم تحديد هذه المعلومات بواسطة معلمات Xauth في الخطوة 7.
بمجرد إنشاء الاتصال بنجاح، حدد إحصائيات من قائمة الحالة للتحقق من تفاصيل النفق.

يبدي هذا نافذة حركة مرور و تشفير معلومة:

يبدي هذا نافذة انقسام tunneling معلومة إن شكلت:
حدد سجل > إعدادات السجل لتمكين مستويات السجل في عميل Cisco VPN.
حدد سجل > سجل Windows لعرض إدخالات السجل في عميل Cisco VPN.