تكوين مركز Cisco VPN 5000 وتنفيذ اتصال VPN ذو الوضع الرئيسي IPSec إلى اتصال LAN-LAN

المقدمة

يشرح هذا المستند التكوين الأولي من مركز Cisco VPN 5000 Concentrator ويوضح كيفية الاتصال بالشبكة باستخدام IP وكيفية تقديم اتصال VPN للوضع الرئيسي IPSec للشبكة المحلية الظاهرية (LAN) إلى الشبكة المحلية الظاهرية (VPN).

يمكنك تثبيت مركز الشبكة الخاصة الظاهرية (VPN) في أي من التكوينين، حسب المكان الذي تقوم بتوصيله بالشبكة فيه بالنسبة لجدار حماية. يحتوي مركز الشبكة الخاصة الظاهرية (VPN) على منفذي إيثرنت، يمر أحدهما (Ethernet 1) بحركة مرور IPSec فقط. ويقوم المنفذ الآخر (إيثرنت 0) بتوجيه جميع حركة مرور IP. إذا كنت تخطط لتثبيت مركز VPN بالتوازي مع جدار الحماية، فيجب عليك إستخدام كلا المنفذين بحيث يواجه Ethernet 0 الشبكة المحلية المحمية، ويواجه Ethernet 1 الإنترنت من خلال موجه عبارة الإنترنت للشبكة. كما يمكنك تثبيت مركز VPN خلف جدار الحماية على الشبكة المحلية (LAN) المحمية وتوصيلها من خلال منفذ Ethernet 0، حتى يتم تمرير حركة مرور IPSec التي تنتقل بين الإنترنت والمركز عبر جدار الحماية.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات أساسية خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى مركز Cisco VPN 5000.

تم إنشاء المعلومات المُقدمة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كنت تعمل في شبكة مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر قبل استخدامه.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

تكوين الاتصال الأساسي

تعتبر أسهل طريقة لإنشاء اتصال شبكة أساسي هي توصيل كبل تسلسلي بمنفذ وحدة التحكم على مركز الشبكة الخاصة الظاهرية (VPN) واستخدام برنامج المحطة الطرفية لتكوين عنوان IP على منفذ الإيثرنت 0. بعد تكوين عنوان IP على منفذ Ethernet 0، يمكنك إستخدام Telnet للاتصال بمركز VPN لإكمال التكوين. يمكنك أيضا توليد ملف تكوين في محرر نص مناسب، وإرساله إلى مركز VPN باستخدام TFTP.

يستعمل انتهائية برمجية من خلال الوحدة طرفية للتحكم ميناء، أنت حضضت مبدئيا لكلمة. أستخدم كلمة المرور "letmein". بعد الاستجابة باستخدام كلمة المرور، قم بإصدار الأمر configure ip ethernet 0، والاستجابة للمطالبات باستخدام معلومات النظام لديك. يجب أن يبدو تسلسل المطالبات كالمثال التالي.

*[ IP Ethernet 0 ]# configure ip ethernet 0
      Section 'ip ethernet 0' not found in the config.
      Do you want to add it to the config? y
      Configure parameters in this section by entering:
      <Keyword> = <Value>
      To find a list of valid keywords and additional help enter "?" 
      *[ IP Ethernet 0 ]# ipaddress=192.168.233.1
      *[ IP Ethernet 0 ]# subnetmask=255.255.255.0
      *[ IP Ethernet 0 ]# ipbroadcast=192.168.233.255
      *[ IP Ethernet 0 ]# mode=routed
      *[ IP Ethernet 0 ]#

أنت الآن جاهز لتكوين منفذ Ethernet 1.

تكوين منفذ Ethernet 1

إن معلومات عنونة TCP/IP على منفذ Ethernet 1 هي عنوان TCP/IP الخارجي القابل للتوجيه عبر الإنترنت الذي قمت بتخصيصه لمركز تركيز الشبكة الخاصة الظاهرية (VPN). تجنب إستخدام عنوان في شبكة TCP/IP نفسها كإيثرنت 0، حيث سيؤدي ذلك إلى تعطيل TCP/IP في المركز.

دخلت ال configure ip ethernet 1 أمر، مستجيب إلى مطالبات مع نظامك معلومة. يجب أن يبدو تسلسل المطالبات كالمثال التالي.

*[ IP Ethernet 0 ]# configure ip ethernet 1
      Section 'ip ethernet 1' not found in the config.
      Do you want to add it to the config? y
      Configure parameters in this section by entering:
      <Keyword> = <Value>
      To find a list of valid keywords and additional help enter "?"
      *[ IP Ethernet 1 ]# ipaddress=206.45.55.1
      *[ IP Ethernet 1 ]# subnetmask=255.255.255.0
      *[ IP Ethernet 1 ]# ipbroadcast=206.45.55.255
      *[ IP Ethernet 1 ]# mode=routed
      *[ IP Ethernet 1 ]#

تحتاج الآن إلى تكوين بوابة IPSec.

تكوين بوابة IPSec

تتحكم بوابة IPSec في أماكن تركيز VPN الذي يرسل جميع حركة مرور IPSec، أو حركة مرور البيانات التي يتم إنشاء قنوات لها. هذا مستقل عن المسار الافتراضي الذي تقوم بتكوينه لاحقا. ابدأ بإدخال الأمر configure general، والاستجابة للمطالبات باستخدام معلومات النظام. يجب أن يبدو تسلسل المطالبات كالمثال الموضح أدناه.

* IntraPort2+_A56CB700# configure general
      Section 'general' not found in the config.
      Do you want to add it to the config? y
      Configure parameters in this section by entering:
       = 
      To find a list of valid keywords and additional help enter "?"
      *[ General ]# ipsecgateway=206.45.55.2
      *[ General ]# exit
      Leaving section editor.
      * IntraPort2+_A56CB700#

ملاحظة: في الإصدارات 6.x والإصدارات الأحدث، تم تغيير الأمر ipsecgateway إلى الأمر vpnGateway.

الآن دعنا تكوين نهج تبادل مفتاح الإنترنت (IKE).

تكوين سياسة IKE

تتحكم معلمات بروتوكول إدارة مفتاح اقتران أمان الإنترنت (ISAKMP)/IKE في كيفية قيام مركز الشبكة الخاصة الظاهرية (VPN) والعميل بتحديد ومصادقة بعضهما البعض لإنشاء جلسات النفق. ويشار إلى هذه المفاوضات الأولية بالمرحلة الأولى. معلمات المرحلة 1 عمومية على الجهاز ولا تقترن بواجهة معينة. الكلمات الأساسية المتعرف عليها في هذا القسم موضحة أدناه. يمكن تعيين معلمات تفاوض المرحلة 1 لأنفاق شبكة LAN إلى شبكة LAN في القسم [معرف القسم الخاص بشريك النفق <معرف القسم>]. تتحكم المرحلة 2 من تفاوض IKE في كيفية معالجة مركز الشبكة الخاصة الظاهرية (VPN) وعميل الشبكة الخاصة الظاهرية (VPN) لجلسات النفق الفردية. يتم تعيين معلمات تفاوض IKE للمرحلة 2 لمركز تركيز الشبكة الخاصة الظاهرية (VPN) وعميل الشبكة الخاصة الظاهرية (VPN) في جهاز [مجموعة VPN <Name>].

فيما يلي الصياغة الخاصة بسياسة IKE.

Protection = [ MD5_DES_G1 | MD5_DES_G2 | SHA_DES_G1 | SHA_DES_G2 ]

تحدد الكلمة الأساسية للحماية مجموعة حماية للتفاوض بين ISAKMP/IKE بين مركز الشبكة الخاصة الظاهرية (VPN) وعميل الشبكة الخاصة الظاهرية (VPN). قد تظهر هذه الكلمة الأساسية عدة مرات داخل هذا القسم، وفي هذه الحالة يقترح مركز VPN جميع مجموعات الحماية المحددة. يقبل عميل الشبكة الخاصة الظاهرية (VPN) أحد خيارات التفاوض. والقطعة الأولى من كل خيار، MD5 (ملخص الرسالة 5)، هي خوارزمية المصادقة المستخدمة للتفاوض. SHA يرمز إلى خوارزمية التجزئة الآمنة، والتي تعتبر أكثر أمانا من MD5. القطعة الثانية من كل خيار هي خوارزمية التشفير. يستخدم DES (معيار تشفير البيانات) مفتاح 56-بت لتجزئة البيانات. القطعة الثالثة من كل خيار هي مجموعة Diffie-Hellman، تستخدم لتبادل المفاتيح. لأن خوارزمية المجموعة 2 (G2) تستخدم أعدادا أكبر، فإنها أكثر أمانا من المجموعة 1 (G1).

لبدء التكوين، أدخل الأمر configure ike policy، مستجيبا للمطالبات بمعلومات النظام. ويرد أدناه مثال على ذلك.

* IntraPort2+_A56CB700# configure IKE Policy
      Section 'IKE Policy' was not found in the config.
      Do you want to add it to the config? y
      Configure parameters in this section by entering:
      <Keyword> = <Value>
      To find a list of valid keywords and additional help enter "?"
      *[ IKE Policy ] Protection = MD5_DES_G1 
      *[ IKE Policy ] exit
      Leaving section editor.
      * IntraPort2+_A56CB700#

الآن بعد تكوين الأساسيات، حان الوقت لتعريف النفق وبارامترات اتصال IP.

تكوين الوضع الرئيسي من موقع إلى موقع

لتكوين مركز VPN لدعم إتصالات LAN إلى LAN، يلزمك تحديد تكوين النفق، بالإضافة إلى معلمات اتصال IP التي سيتم إستخدامها في النفق. ستقوم بهذا في قسمين، القسم [Tunnel Partner VPN X]، والقسم [IP VPN X]. بالنسبة لأي تكوين محدد من موقع إلى موقع، يجب أن تتطابق x المحدد في هذين القسمين، حتى يكون تكوين النفق مقترنا بشكل صحيح بتكوين البروتوكول.

لننظر إلى كل من هذه الأقسام بالتفصيل.

تكوين قسم شريك النفق

في قسم شريك النفق، يجب تحديد المعلمات الثمانية التالية على الأقل.

• تحويل

• شريك

• KeyManage

• SharedKey

• نمط

• LocalAccess

• نظير

• BindTo

تحويل

تحدد الكلمة الأساسية "تحويل" أنواع الحماية والخوارزميات المستخدمة لجلسات عميل IKE. كل خيار مقترن بهذه المعلمة هو جزء حماية يحدد معلمات المصادقة والتشفير. قد تظهر معلمة التحويل عدة مرات داخل هذا القسم، وفي هذه الحالة يقترح مركز الشبكة الخاصة الظاهرية (VPN) قطع الحماية المحددة بالترتيب الذي تم تحليلها به به، حتى يتم قبول واحدة من قبل العميل للاستخدام أثناء جلسة العمل. في معظم الحالات، يكون هناك حاجة إلى كلمة أساسية تحويل واحدة فقط.

الخيارات الخاصة بالكلمة الأساسية تحويل هي كما يلي.

[ ESP(SHA,DES) | ESP(SHA,3DES) | ESP(MD5,DES) | ESP(MD5,3DES) | ESP(MD5) | 
ESP(SHA) | AH(MD5) | AH(SHA) |AH(MD5)+ESP(DES) | AH(MD5)+ESP(3DES) |
AH(SHA)+ESP(DES) | AH(SHA)+ESP(3DES) ]

ESP يمثل حمولة أمان التضمين و AH يمثل رأس المصادقة. يستخدم كلا الرأسين لتشفير الحزم ومصادقتها. يستخدم DES (معيار تشفير البيانات) مفتاح 56-بت لتجزئة البيانات. يستخدم معيار 3DES ثلاثة مفاتيح مختلفة وثلاثة تطبيقات لخوارزمية DES لتشفير البيانات. MD5 هي خوارزمية التجزئة 5 التي تهضم الرسائل. SHA هي خوارزمية التجزئة الآمنة، والتي تعتبر أكثر أمانا إلى حد ما من MD5.

ESP(MD5،DES) هو الإعداد الافتراضي، ويوصى به لمعظم الإعدادات. يستخدم ESP(MD5) و ESP(SHA) بروتوكول ESP لمصادقة الحزم (دون تشفير). يستخدم AH(MD5) و AH(SHA) AH لمصادقة الحزم. AH(MD5)+ESP(DES)، AH(MD5)+ESP(3DES)، AH(SHA)+ESP(DES)، و AH(SHA)+ESP(3DES) إستخدام AH لمصادقة الحزم و ESP لتشفير الحزم.

شريك

تحدد الكلمة الأساسية للشريك عنوان IP الخاص بالطرف الطرفي الآخر للنفق في شراكة النفق. يجب أن يكون هذا الرقم عنوان IP عام قابل للتوجيه يمكن معه لمركز تركيز VPN المحلي إنشاء اتصال IPSec.

KeyManage

تحدد الكلمة الأساسية KeyManage كيفية تحديد تركيزات VPN في شراكة نفق الجهاز الذي يبدأ النفق ونوع إجراء إنشاء النفق الذي يتبعه. الخيارات هي "تلقائي" و"ابدأ" و"إستجابة" و"يدوي". يمكنك إستخدام الخيارات الثلاثة الأولى لتكوين أنفاق IKE، والكلمة الأساسية اليدوية لتكوين أنفاق التشفير الثابت. لا يغطي هذا المستند كيفية تكوين أنفاق التشفير الثابت. يحدد تلقائيا أنه يمكن لشريك النفق بدء طلبات إعداد النفق والاستجابة لها على حد سواء. تحدد Initiate أن شريك النفق يرسل طلبات إعداد النفق فقط، ولا يستجيب لها. تقوم الاستجابة بتحديد شريك النفق الذي يستجيب لطلبات إعداد النفق، ولكن لا تقوم بتهيئتها أبدا.

SharedKey

يتم إستخدام الكلمة الأساسية SharedKey كسر IKE المشترك. يجب تعيين نفس قيمة SharedKey على كلا شريكي النفق.

نمط

تعرف الكلمة الأساسية "الوضع" بروتوكول تفاوض IKE. التقصير عملية إعداد، لذلك أن يثبت ال VPN مركز ل interoperability أسلوب، أنت ينبغي ثبتت الأسلوب الكلمة المفتاح إلى رئيسي.

LocalAccess

يحدد LocalAccess أرقام IP التي يمكن الوصول إليها من خلال النفق، من قناع مضيف إلى مسار افتراضي. تحدد الكلمة الأساسية LocalProto أرقام بروتوكول IP التي يمكن الوصول إليها من خلال النفق، مثل ICMP(1) و TCP(6) و UDP(17) وما إلى ذلك. إذا كنت تريد تمرير جميع أرقام IP، فيجب عليك تعيين LocalProto=0. يحدد LocalPort أرقام المنافذ التي يمكن الوصول إليها عبر النفق. الإعداد الافتراضي لكل من LocalProto و LocalPort إلى 0 أو الوصول الكامل.

نظير

تحدد الكلمة الأساسية للنظير الشبكات الفرعية التي يتم العثور عليها من خلال نفق. يحدد PeerProto البروتوكولات المسموح بها من خلال نقطة نهاية النفق البعيد، ومجموعات PeerPort التي يمكن الوصول إليها في الطرف الآخر من النفق.

BindTo

يحدد BindTo منفذ إيثرنت الذي ينهي الاتصالات من موقع إلى موقع. يجب عليك دائما تعيين هذه المعلمة على إيثرنت 1، باستثناء عندما يكون مركز VPN قيد التشغيل في وضع المنفذ الواحد.

تكوين المعلمات

لتكوين هذه المعلمات، أدخل الأمر configure tunnel partner VPN 1، مستجيبا للمطالبات بمعلومات النظام لديك.

يجب أن يبدو تسلسل المطالبات كالمثال التالي.

*IntraPort2+_A56CB700# configure Tunnel Partner VPN 1
      Section ?config Tunnel Partner VPN 1? not found in the config.
      Do you want to add it to the config? y
      Configure parameters in this section by entering:
       = 
      To find a list of valid keywords and additional help enter "?"
      *[ Tunnel Partner VPN 1 ]# transform=ESP(MD5,DES)
      *[ Tunnel Partner VPN 1 ]# sharedkey=letmein
      *[ Tunnel Partner VPN 1 ]# partner=208.203.136.10
      *[ Tunnel Partner VPN 1 ]# mode=main
      *[ Tunnel Partner VPN 1 ]# peer=10.0.0.0/8
      *[ Tunnel Partner VPN 1 ]# localaccess=192.168.233.0/24
      *[ Tunnel Partner VPN 1 ]# bindto=Ethernet 1
      *[ Tunnel Partner VPN 1 ]# exit
      Leaving section editor.

الآن حان الوقت لتكوين قسم IP.

تكوين قسم IP

يمكنك إستخدام إتصالات مرقمة أو غير مرقمة (كما في تكوين IP على إتصالات WAN) في قسم تكوين IP من كل شراكة نفق. هنا، إستخدمنا غير مرقم.

يتطلب الحد الأدنى لتكوين اتصال من موقع إلى موقع غير مرقم عبارتين: number=false and mode=rourourouted. ابدأ بإدخال أوامر configure ip vpn 1، واستجيب إلى مطالبات النظام كما يلي.

*[ IP Ethernet 0 ]# configure ip vpn 1
      Section ?IP VPN 1? not found in the config.
      Do you want to add it to the config? y
      Configure parameters in this section by entering:
      <Keyword> = <Value>
      To find a list of valid keywords and additional help enter "?" 
      *[ IP VPN 1 ]# mode=routed
      *[ IP VPN 1 ]# numbered=false

والآن حان الوقت لإعداد مسار افتراضي.

تكوين المسار الافتراضي (جدول مسار TCP/IP)

تحتاج إلى تكوين مسار افتراضي يمكن أن يستخدمه مركز VPN لإرسال جميع حركة مرور TCP/IP الموجهة للشبكات بخلاف الشبكة (الشبكات) التي يتصل بها مباشرة أو التي تحتوي على مسارات ديناميكية لها. يشير المسار الافتراضي مرة أخرى إلى جميع الشبكات التي تم العثور عليها على المنفذ الداخلي. لقد قمت بتكوين IntraPort بالفعل لإرسال حركة مرور IPSec إلى الإنترنت ومنه باستخدام معلمة عبارة IPSec. لبدء تكوين المسار الافتراضي، أدخل الأمر edit config ip static، والاستجابة للمطالبات بمعلومات النظام. يجب أن يبدو تسلسل المطالبات كالمثال التالي.

*IntraPort2+_A56CB700# edit config ip static
      Section 'ip static' not found in the config.
      Do you want to add it to the config? y
      Configuration lines in this section have the following format:
      <Destination> <Mask> <Gateway> <Metric> [<Redist=(RIP|none)>]
      Editing "[ IP Static ]"...
      1: [ IP Static ]
      End of buffer
      Edit [ IP Static ]> append 1
      Enter lines at the prompt. To terminate input, enter
      a . on a line all by itself.
      Append> 0.0.0.0 0.0.0.0 192.168.233.2 1
      Append> .
      Edit [ IP Static ]> exit
      Saving section...
      Checking syntax...
      Section checked successfully.
      *IntraPort2+_A56CB700#

إنهاء

تتمثل الخطوة الأخيرة في حفظ التكوين. عند سؤالك إذا كنت متأكدا من أنك تريد تنزيل التكوين وإعادة تشغيل الجهاز، اكتب y واضغط على إدخال. لا تقم بإيقاف تشغيل مركز الشبكة الخاصة الظاهرية (VPN) أثناء عملية التمهيد. بعد إعادة تمهيد مركز التركيز، يمكن للمستخدمين الاتصال باستخدام برنامج عميل شبكة VPN الخاص بمركز التركيز.

لحفظ التكوين، أدخل الأمر save، كما يلي.

*IntraPort2+_A56CB700# save
      Save configuration to flash and restart device? y

إذا كنت متصلا بموجه الشبكة الخاصة الظاهرية (VPN) باستخدام برنامج Telnet، فإن المخرجات الواردة أعلاه هي كل ما ستراه. إذا كنت متصلا من خلال وحدة تحكم، فسترى مخرجات مماثلة لما يلي، لفترة أطول فقط. في نهاية هذا الإخراج، يقوم مركز الشبكة الخاصة الظاهرية (VPN) بإرجاع "Hello Console..." ويطلب كلمة مرور. هكذا تعلم أنك إنتهيت.

Codesize => 0 pfree => 462
      Updating Config variables...
      Adding section '[ General ]' to config
      Adding -- ConfiguredFrom = Command Line, from Console
      Adding -- ConfiguredOn = Timeserver not configured
      Adding -- DeviceType = IntraPort2
      Adding -- SoftwareVersion = IntraPort2 V4.5
      Adding -- EthernetAddress = 00:00:a5:6c:b7:00
      Not starting command loop: restart in progress.
      Rewriting Flash....

معلومات ذات صلة

• إعلان نهاية المبيعات لسلسلة Cisco VPN 5000
• صفحة دعم مركز Cisco VPN 5000
• صفحة دعم عميل Cisco VPN 5000
• صفحة دعم IPsec
• الدعم التقني والمستندات - Cisco Systems