إعداد مركز Cisco VPN 5000 Concentrator في البداية والوصول إلى العميل عن بعد
خيارات التنزيل
-
ePub (88.1 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
لغة خالية من التحيز
تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
المحتويات
المقدمة
يشرح هذا الدليل التكوين الأولي من مركز Cisco VPN 5000، وخاصة كيفية تكوينه للاتصال بالشبكة باستخدام IP، وتقديم اتصال العميل عن بعد.
يمكنك تثبيت المكثف في أي من التكوينين، اعتمادا على المكان الذي تربطه فيه بالشبكة فيما يتعلق بجدار حماية. يحتوي مركز التركيز على منفذي إيثرنت، يمر أحدهما (إيثرنت 1) فقط بحركة مرور IPSec. ويقوم المنفذ الآخر (إيثرنت 0) بتوجيه جميع حركة مرور IP. إذا كنت تخطط لتثبيت مركز VPN بالتوازي مع جدار الحماية، فيجب عليك إستخدام كلا المنفذين بحيث يواجه Ethernet 0 الشبكة المحلية المحمية، ويواجه Ethernet 1 الإنترنت من خلال موجه عبارة الإنترنت للشبكة. كما يمكنك تثبيت مركز التركيز خلف جدار الحماية على الشبكة المحلية (LAN) المحمية وتوصيلها عبر منفذ Ethernet 0، حتى يتم تمرير حركة مرور IPSec التي تنتقل بين الإنترنت ومركز التركيز عبر جدار الحماية.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى مركز Cisco VPN 5000.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.
تكوين الاتصال الأساسي
تعتبر أسهل طريقة لإنشاء اتصال شبكة أساسي هي توصيل كبل تسلسلي بمنفذ وحدة التحكم على مركز التركيز واستخدام البرامج الطرفية لتكوين عنوان IP على منفذ الإيثرنت 0. بعد تكوين عنوان IP على منفذ إيثرنت 0، يمكنك إستخدام Telnet للاتصال بالمركز لإكمال التكوين. يمكنك أيضا توليد ملف تكوين في محرر نص مناسب، وإرساله إلى المركز باستخدام TFTP.
يستعمل انتهائية برمجية من خلال الوحدة طرفية للتحكم ميناء، أنت حضضت مبدئيا لكلمة. أستخدم كلمة المرور "letmein". بعد الاستجابة باستخدام كلمة المرور، قم بإصدار الأمر configure ip ethernet 0، والاستجابة للمطالبات باستخدام معلومات النظام لديك. يجب أن يبدو تسلسل المطالبات كما يلي:
*[ IP Ethernet 0 ]# configure ip ethernet 0
Section 'ip ethernet 0' not found in the config.
Do you want to add it to the config? y
Configure parameters in this section by entering:
<Keyword> = <Value>
To find a list of valid keywords and additional help enter "?"
*[ IP Ethernet 0 ]# ipaddress=192.168.233.1
*[ IP Ethernet 0 ]# subnetmask=255.255.255.0
*[ IP Ethernet 0 ]# ipbroadcast=192.168.233.255
*[ IP Ethernet 0 ]# mode=routed
*[ IP Ethernet 0 ]#
أنت الآن جاهز لتكوين منفذ Ethernet 1.
منفذ Ethernet 1
إن معلومات عنونة TCP/IP على منفذ Ethernet 1 هي عنوان TCP/IP الخارجي القابل للتوجيه عبر الإنترنت الذي قمت بتخصيصه لمركز التركيز. تجنب إستخدام عنوان في شبكة TCP/IP نفسها كإيثرنت 0، حيث سيؤدي ذلك إلى تعطيل TCP/IP في مركز VPN.
دخلت ال configure ip ethernet 1 أمر، مستجيب إلى مطالبات مع نظامك معلومة. يجب أن يبدو تسلسل المطالبات كما يلي:
*[ IP Ethernet 0 ]# configure ip ethernet 1
Section 'ip ethernet 1' not found in the config.
Do you want to add it to the config? y
Configure parameters in this section by entering:
<Keyword> = <Value>
To find a list of valid keywords and additional help enter "?"
*[ IP Ethernet 1 ]# ipaddress=206.45.55.1
*[ IP Ethernet 1 ]# subnetmask=255.255.255.0
*[ IP Ethernet 1 ]# ipbroadcast=206.45.55.255
*[ IP Ethernet 1 ]# mode=routed
*[ IP Ethernet 1 ]#
تحتاج الآن إلى تكوين المسار الافتراضي.
المسار الافتراضي
تحتاج إلى تكوين مسار افتراضي يمكن أن يستخدمه مركز التركيز لإرسال جميع حركة مرور TCP/IP الموجهة للشبكات الأخرى غير الشبكة (الشبكات) التي يتصل بها مباشرة أو التي تحتوي على مسارات ديناميكية لها. يشير المسار الافتراضي مرة أخرى إلى جميع الشبكات التي تم العثور عليها على المنفذ الداخلي. لاحقا، ستقوم بتكوين IntraPort لإرسال حركة مرور IPSec إلى الإنترنت ومنه باستخدام معلمة عبارة IPSec. لبدء تكوين المسار الافتراضي، أدخل الأمر edit config ip static، والاستجابة للمطالبات بمعلومات النظام. يجب أن يبدو تسلسل المطالبات كما يلي:
*IntraPort2+_A56CB700# edit config ip static
Section 'ip static' not found in the config.
Do you want to add it to the config? y
Configuration lines in this section have the following format:
<Destination> <Mask> <Gateway> <Metric> [<Redist=(RIP|none)>]
Editing "[ IP Static ]"...
1: [ IP Static ]
End of buffer
Edit [ IP Static ]> append 1
Enter lines at the prompt. To terminate input, enter
a . on a line all by itself.
Append> 0.0.0.0 0.0.0.0 192.168.233.2 1
Append> .
Edit [ IP Static ]> exit
Saving section...
Checking syntax...
Section checked successfully.
*IntraPort2+_A56CB700#
تحتاج الآن إلى تكوين بوابة IPSec.
بوابة IPSec
تتحكم بوابة IPSec في المكان الذي يرسل فيه المكثف حركة مرور IPSec، أو حركة مرور البيانات النفقية. هذا مستقل عن المسار الافتراضي الذي قمت بتكوينه للتو. ابدأ بإدخال الأمر configure general، والاستجابة للمطالبات باستخدام معلومات النظام. يجب أن يبدو تسلسل المطالبات كما يلي:
* IntraPort2+_A56CB700#configure general
Section 'general' not found in the config.
Do you want to add it to the config? y
Configure parameters in this section by entering:
=
To find a list of valid keywords and additional help enter "?"
*[ General ]# ipsecgateway=206.45.55.2
*[ General ]# exit
Leaving section editor.
* IntraPort2+_A56CB700#
بعد ذلك، قم بتكوين نهج IKE.
سياسة IKE
قم بتعيين معلمات بروتوكول إدارة مفتاح اقتران أمان الإنترنت/تبادل مفتاح الإنترنت (ISAKMP/IKE) لمركز التركيز. تتحكم هذه الإعدادات في كيفية تعريف مركز التركيز والعميل لبعضهما البعض ومصادقته لإنشاء جلسات النفق. ويشار إلى هذه المفاوضات الأولية بالمرحلة الأولى. معلمات المرحلة 1 عمومية على الجهاز ولا تقترن بواجهة معينة. الكلمات الأساسية المتعرف عليها في هذا القسم موضحة أدناه. يمكن تعيين معلمات تفاوض المرحلة 1 لأنفاق شبكة LAN إلى شبكة LAN في القسم [معرف القسم الخاص بشريك النفق <معرف القسم>].
تتحكم المرحلة 2 من تفاوض IKE في كيفية تعامل مركز VPN والعميل مع جلسات النفق الفردية. يتم تعيين معلمات تفاوض IKE للمرحلة 2 لمركز تركيز الشبكة الخاصة الظاهرية (VPN) والعميل في جهاز [مجموعة VPN <Name>]
فيما يلي الصياغة الخاصة بسياسة IKE:
Protection = [ MD5_DES_G1 | MD5_DES_G2 | SHA_DES_G1 | SHA_DES_G2 ]
تحدد الكلمة الأساسية للحماية مجموعة حماية لمفاوضات ISAKMP/IKE بين مركز VPN والعميل. قد تظهر هذه الكلمة الأساسية عدة مرات داخل هذا القسم، وفي هذه الحالة يقترح مركز التركيز جميع مجموعات الحماية المحددة. يقبل العميل أحد خيارات التفاوض. والقطعة الأولى من كل خيار، MD-5 (ملخص الرسالة 5)، هي خوارزمية المصادقة المستخدمة للتفاوض. SHA يرمز إلى خوارزمية التجزئة الآمنة، والتي تعتبر أكثر أمانا من MD5. القطعة الثانية من كل خيار هي خوارزمية التشفير. يستخدم DES (معيار تشفير البيانات) مفتاح 56-بت لتجزئة البيانات. القطعة الثالثة من كل خيار هي مجموعة Diffie-Hellman، تستخدم لتبادل المفاتيح. لأن خوارزمية المجموعة 2 (G2) تستخدم أعدادا أكبر، فإنها أكثر أمانا من المجموعة 1 (G1).
لبدء التكوين، أدخل الأمر configure ike policy، مستجيبا للمطالبات بمعلومات النظام.
* IntraPort2+_A56CB700# configure IKE policy
Section 'IKE Policy' was not found in the config.
Do you want to add it to the config? y
Configure parameters in this section by entering:
<Keyword> = <Value>
To find a list of valid keywords and additional help enter "?"
*[ IKE Policy ] Protection = MD5_DES_G1
*[ IKE Policy ] exit
Leaving section editor.
* IntraPort2+_A56CB700#
الآن بعد تكوين الأساسيات، أدخل معلمات المجموعة.
تكوين مجموعة VPN
عند إدخال معلمات المجموعة، تذكر أنه يجب ألا يحتوي اسم مجموعة VPN على مسافات، حتى ولو كان محلل سطر الأوامر يسمح لك بإدخال مسافات في اسم مجموعة VPN. يمكن أن يحتوي اسم مجموعة VPN على أحرف وأرقام وشرطات وتسطير سفلي.
هناك أربعة معلمات أساسية مطلوبة في كل مجموعة من مجموعات VPN لعملية IP:
-
تقنية Maxconnections
-
StartIPaddress أو LocalIPNet
-
تحويل
-
IPNet
المعلمة MaxConnections هي الحد الأقصى لعدد جلسات عمل العميل المتزامنة المسموح بها في تكوين مجموعة VPN المحدد هذا. تذكر هذا الرقم، حيث يعمل بالاقتران مع المعلمة StartIPAddress أو المعلمة LocalIPNet.
يقوم مركز الشبكة الخاصة الظاهرية (VPN) بتعيين عناوين IP للعملاء البعيدين بواسطة نظامين مختلفين، هما StartIPAddress و LocalIPNet. يقوم StartIPAddress بتعيين أرقام IP من الشبكة الفرعية المتصلة ب Ethernet 0 وعوامل الوكيل للعملاء المتصلين. يقوم LocalIPNet بتعيين أرقام IP إلى العملاء البعيدين من شبكة فرعية فريدة لعملاء VPN، ويتطلب ذلك توعية بقية الشبكة بوجود الشبكة الفرعية لشبكة VPN من خلال التوجيه الثابت أو الديناميكي. يوفر StartIPAddress تكوين أسهل، ولكنه قد يحد من حجم مساحة العنوان. يوفر LocalIPNet مرونة أكبر في العنونة للمستخدمين البعيدين، ولكنه يتطلب مزيدا من العمل قليلا لتكوين التوجيه اللازم.
بالنسبة ل StartIPAddress، أستخدم أول عنوان IP معين إلى جلسة نفق عميل قادم. في إعداد تكوين أساسي، يجب أن يكون هذا عنوان IP على شبكة TCP/IP الداخلية (الشبكة نفسها الخاصة بمنفذ Ethernet 0). في المثال التالي، تم تعيين عنوان جلسة عمل العميل الأولى على 192.168.233.50، بينما يتم تعيين جلسة عمل العميل المتزامنة التالية على 192.168.233.51 وهكذا. لقد قمنا بتعيين قيمة MaxConnections تبلغ 30، مما يعني أننا بحاجة إلى الحصول على كتلة من 30 عنوانا IP غير مستخدم (بما في ذلك خوادم DHCP إذا كان لديك أي منها) بدءا من 192.168.233.50 وانتهاء ب 192.168.233.79. تجنب تداخل عناوين IP المستخدمة في تكوينات مجموعة VPN مختلفة.
يقوم LocalIPNet بتعيين عناوين IP إلى العملاء البعيدين من شبكة فرعية يجب عدم إستخدامها في أماكن أخرى على شبكة LAN. على سبيل المثال، إذا قمت بتحديد المعلمة "LocalIPNet=182.168.1.0/24" في تكوين مجموعة VPN، يقوم مركز التركيز بتعيين عناوين IP للعملاء بدءا من 192.168.1.1. لذلك، تحتاج إلى تعيين "Maxconnections=254"، لأن مركز التركيز لن يصغي إلى حدود الشبكة الفرعية عند تعيين أرقام IP باستخدام LocalIPNet.
تحدد الكلمة الأساسية "تحويل" أنواع الحماية والخوارزميات التي يستخدمها مركز التركيز لجلسات عميل IKE. الخيارات هي كما يلي:
Transform = [ ESP(SHA,DES) | ESP(SHA,3DES) | ESP(MD5,DES) | ESP(MD5,3DES) | ESP(MD5) | ESP(SHA) | AH(MD5) | AH(SHA) |AH(MD5)+ESP(DES) | AH(MD5)+ESP(3DES) | AH(SHA)+ESP(DES) | AH(SHA)+ESP(3DES) ]
كل خيار هو قطعة حماية تحدد معلمات المصادقة والتشفير. قد تظهر هذه الكلمة الأساسية عدة مرات داخل هذا القسم، وفي هذه الحالة يقترح مركز التركيز قطع الحماية المحددة بالترتيب الذي تم تحليلها به، إلى أن يتم قبول واحدة من قبل العميل للاستخدام أثناء الجلسة. في معظم الحالات، يكون هناك حاجة إلى كلمة أساسية تحويل واحدة فقط.
يشير ESP(SHA،DES) و ESP(SHA،3DES) و ESP(MD5،DES) و ESP(MD5،3DES) إلى رأس حمولة أمان التضمين (ESP) لتشفير الحزم ومصادقتها. يستخدم DES (معيار تشفير البيانات) مفتاح 56-بت لتجزئة البيانات. يستخدم معيار 3DES ثلاثة مفاتيح مختلفة وثلاثة تطبيقات لخوارزمية DES لتشفير البيانات. MD5 هي خوارزمية التجزئة 5 التي تهضم الرسائل، و SHA هي خوارزمية التجزئة الآمنة، والتي تعتبر أكثر أمانا إلى حد ما من MD5.
ESP(MD5،DES) هو الإعداد الافتراضي ويوصى به لمعظم عمليات التثبيت. يستخدم ESP(MD5) و ESP(SHA) رأس ESP لمصادقة الحزم التي لا تحتوي على تشفير. AH(MD5) و AH(SHA) إستخدام رأس المصادقة (AH) لمصادقة الحزم. AH(MD5)+ESP(DES)، AH(MD5)+ESP(3DES)، AH(SHA)+ESP(DES)، و AH(SHA)+ESP(3DES) إستخدام رأس المصادقة لمصادقة الحزم ورأس ESP لتشفير الحزم.
ملاحظة: لا يدعم برنامج عميل Mac OS خيار AH. يجب تحديد خيار ESP واحد على الأقل إذا كنت تستخدم برنامج عميل Mac OS.
ويعد حقل IPNet مهما، لأنه يتحكم في الأماكن التي يمكن أن يذهب إليها عملاء مركز التركيز. تحدد القيم التي تدخلها في هذا الحقل حركة مرور TCP/IP التي يتم إنشاء قنوات لها، أو بشكل أكثر شيوعا، حيث يمكن للعميل الذي ينتمي إلى مجموعة VPN هذه الانتقال إلى شبكتك.
توصي Cisco بتكوين الشبكة الداخلية (في هذا المثال 192.168.233.0/24)، لذلك يتم إرسال جميع حركات مرور البيانات من عميل يذهب إلى الشبكة الداخلية عبر النفق، وبالتالي تتم مصادقتها وتشفيرها (إذا قمت بتمكين التشفير). في هذا السيناريو، لا يتم إنشاء قنوات مرور أخرى، وبدلا من ذلك، يتم توجيهها بشكل طبيعي. يمكنك أن يكون لديك إدخالات متعددة، بما في ذلك عنوان واحد أو عنوان مضيف. التنسيق هو العنوان (في المثال الخاص بنا، عنوان الشبكة 192.168.233.0) ثم القناع المرتبط بذلك العنوان في وحدات بت (/24، وهو قناع من الفئة C).
ابدأ تشغيل هذا الجزء من التكوين من خلال إدخال أمر configure VPN group basic-user، ومن ثم الاستجابة للمطالبات باستخدام معلومات النظام لديك. فيما يلي مثال على سلسلة التكوين بالكامل:
*IntraPort2+_A56CB700# configure VPN group basic-user
Section 'VPN Group basic-user' not found in the config.
Do you want to add it to the config? y
Configure parameters in this section by entering:
<Keyword> = <Value>
To find a list of valid keywords and additional help enter "?"
*[ VPN Group "basic-user" ]# startipaddress=192.168.233.50
or
*[ VPN Group "basic-user" ]# localipnet=192.168.234.0/24
*[ VPN Group "basic-user" ]# maxconnections=30
*[ VPN Group "basic-user" ]# Transform=ESP(SHA,DES)
*[ VPN Group "basic-user" ]# ipnet=192.168.233.0/24
*[ VPN Group "basic-user" ]# exit
Leaving section editor.
*IntraPort2_A51EB700#
تتمثل الخطوة التالية في تحديد قاعدة بيانات المستخدم.
تكوين مستخدم VPN
في هذا قسم من التشكيل، أنت تعين ال VPN مستعمل قاعدة معطيات. يحدد كل سطر مستخدم شبكة VPN مع تكوين مجموعة VPN الخاصة بهذا المستخدم وكلمة المرور. يجب أن تحتوي الإدخالات متعددة الأسطر على فواصل أسطر تنتهي بشرطة مائلة عكسية. على أي حال، فإن فواصل الأسطر المتضمنة في علامات تنصيص مزدوجة يتم الحفاظ عليها.
عندما يبدأ عميل VPN جلسة نفق، يتم إرسال اسم مستخدم العميل إلى الجهاز. إذا عثر الجهاز على المستخدم في هذا القسم، فإنه يستخدم المعلومات الموجودة في الإدخال لإعداد النفق. (يمكنك أيضا إستخدام خادم RADIUS لمصادقة مستخدمي VPN). إذا لم يعثر الجهاز على اسم المستخدم، ولم تقم بتكوين خادم RADIUS لتنفيذ المصادقة، فلن يتم فتح جلسة عمل النفق ويعاد الخطأ إلى العميل.
ابدأ التكوين بإدخال الأمر edit config vpn users. دعنا نلقي نظرة على مثال يضيف مستخدما باسم "User1" إلى مجموعة الشبكات الخاصة الظاهرية (VPN) "Basic-user".
*IntraPort2+_A56CB700# edit config VPN users
Section 'VPN users' not found in the config.
Do you want to add it to the config? y
<Name> <Config> <SharedKey>
Editing "[ VPN Users ]"...
1: [ VPN Users ]
End of buffer
Edit [ VPN Users ]> append 1
Enter lines at the prompt. To terminate input, enter
a . on a line all by itself.
Append> User1 Config="basic-user" SharedKey="Burnt"
Append> .
Edit [ VPN Users ]> exit
Saving section...
Checking syntax...
Section checked successfully.
*IntraPort2+_A56CB700#
SharedKey الخاص بهذا المستخدم هو "Burn". تكون جميع قيم التكوين هذه حساسة لحالة الأحرف؛ إذا قمت بتكوين "user1"، فيجب على المستخدم إدخال "user1" في برنامج العميل. يؤدي إدخال "user1" إلى ظهور رسالة خطأ غير صحيحة أو غير مصرح بها للمستخدم. يمكنك الاستمرار في إدخال المستخدمين بدلا من إنهاء المحرر، ولكن تذكر، يجب إدخال فترة للخروج من المحرر. قد يتسبب الفشل في حدوث إدخالات غير صحيحة في التكوين.
إنهاء
تتمثل خطوتك الأخيرة في حفظ التكوين. عند سؤالك عما إذا كنت متأكدا من رغبتك في تنزيل التكوين وإعادة تشغيل الجهاز، اكتب y واضغط مفتاح الإدخال. لا تطفئوا المكثف أثناء عملية التمهيد. بعد إعادة تمهيد مركز التركيز، يمكن للمستخدمين الاتصال باستخدام برنامج Concentrator VPN Client.
لحفظ التكوين، أدخل الأمر save، كما يلي:
*IntraPort2+_A56CB700# save
Save configuration to flash and restart device? y
إذا كنت متصلا بالمكثف باستخدام برنامج Telnet، فإن المخرجات الواردة أعلاه هي كل ما ستراه. إذا كنت متصلا من خلال وحدة تحكم، فسترى مخرجات مماثلة لما يلي، لفترة أطول فقط. في نهاية هذا المخرج، يقوم المكثف بإرجاع "Hello Console..." ويطلب كلمة مرور. هكذا تعلم أنك إنتهيت.
Codesize => 0 pfree => 462
Updating Config variables...
Adding section '[ General ]' to config
Adding -- ConfiguredFrom = Command Line, from Console
Adding -- ConfiguredOn = Timeserver not configured
Adding -- DeviceType = IntraPort2
Adding -- SoftwareVersion = IntraPort2 V4.5
Adding -- EthernetAddress = 00:00:a5:6c:b7:00
Not starting command loop: restart in progress.
Rewriting Flash....
التعليقات