Easy ×××一點都不Easy

模擬實驗環境：R1是移動端的小路由具有dhcp、nat的功能，R3爲公司內網路由loo 0 192.168.2.1。通過搭建Esay ***來給客戶端方便、快捷、安全的訪問公司內網資源。不過Easy ***分兩種一種是路由上的配置一種是防火牆上的配置。Easy ***雖然名字叫Easy，但那也只是相對於移動客戶端的使用者而言，對於搭建者卻一點都不Easy。不過相對於IPsec ***而言卻更加的安全方便。主要體現在方便上面，Easy ***不需要移動端具有固定的IP地址隨時隨定只要有網的地方就可以連上公司內網、其次就是安全方面Easy ***具有驗證用戶身份，存儲在***的網關設備的內部數據庫中或第三方設備如AAA（Authentication驗證、Authorization授權、Accounting統計）。這一階段又被稱爲階段1.5，因爲它是在IPsec ***的兩個階段中間完成的。所以在搭建Easy ***時就有了階段1管理連接、階段1.5用戶驗證、階段2數據連接。由於路由器的AAA服務是默認關閉的所以在搭建Easy ***是要開啓，而防火牆的AAA服務是默認開啓的所以就不同在手動打開了。

                   Easy *** 路由配置

公司內網地址用loo 0 192.168.2.1的迴環網址

ISP公網上添加一個loo 0 2.2.2.2的迴環網址

移動客戶端的路由器配置（DHCP、NAT）

R1(config)#ip dhcp pool client//配置DHCP與DNS
R1(dhcp-config)#network 192.168.10.0   
R1(dhcp-config)#default-router 192.168.10.1
R1(dhcp-config)#dns-server 8.8.8.8
R1(dhcp-config)#lease 7
R1(dhcp-config)#ex
R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2
R1(config)#access-list 1 permit 192.168.10.0 0.0.0.255//配置NAT與acl
R1(config)#ip nat inside source list 1 int fa0/0 overload 
R1(config)#int fa0/0
R1(config-if)#ip nat out
R1(config-if)#int fa0/1
R1(config-if)#ip nat inside

外網配置

ISP>en
ISP#conf t
ISP(config)#int fa0/0 
ISP(config-if)#ip add 10.0.0.2 255.255.255.0  
ISP(config-if)#no shut
ISP(config-if)#ex
ISP(config)#int fa0/1
ISP(config-if)#ip add 192.168.1.2 255.255.255.0
ISP(config-if)#no shut
ISP(config-if)#ex
ISP(config)#int loo 0
ISP(config-if)#ip add 2.2.2.2 255.255.255.0
ISP(config-if)#no shut

公司內網的服務端配置Easy***

R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R3(config)#aaa new-model//在路由器上啓用AAA服務//
R3(config)#aaa authentication login who local//AAA本地身份驗證//
R3(config)#aaa authorization network who2 local//AAA授權//
R3(config)#username wang password 123//創建本地用戶//
//下面是ISAKMP/IKE階段1管理連接配置//
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 2
R3(config-isakmp)#exit          
R3(config)#ip local pool wen 192.168.2.10 192.168.2.20//定義分配給客戶端地址池//
R3(config)#access-list 111 permit ip 192.168.2.0 0.0.0.255 any//分離隧道acl,所有permit流量都被加密，而deny則被明文傳輸，這樣既保證了內網資源的安全又能讓員工訪問外網資源。//
 //下面是ISAKMP/IKE階段1.5用戶配置//
R3(config)#crypto isakmp client configuration group ez***
R3(config-isakmp-group)#key 123//預共享密鑰//
R3(config-isakmp-group)#dns 9.9.9.9//分配dns地址//
R3(config-isakmp-group)#pool wen//調用分配地址池//
R3(config-isakmp-group)#split-dns benet.com//分離內網dns//在客戶端每次訪問外網web時都需要通過內網去DNS解析這樣加重的公司服務器的負擔，所以啓動DNS分離可以讓公司服務器減壓。
R3(config-isakmp-group)#acl 111//調用隧道分離//
R3(config-isakmp-group)#save-password//允許客戶端可以保存密碼//
R3(config-isakmp-group)#netmask 255.255.255.0//指定客戶端的子網掩碼//
R3(config-isakmp-group)#ex
//下面開始ISAMKP/IKE階段2數據連接配置//
R3(config)#crypto ipsec transform-set best esp-3des esp-sha-hmac 
R3(cfg-crypto-trans)#mode tunnel
R3(cfg-crypto-trans)#exit
R3(config)#crypto dynamic-map dymap 1//建立動態MAP//
R3(config-crypto-map)#reverse-route //反轉路由爲連接成功的客戶端產生32位路由//
R3(config-crypto-map)#set transform-set best//調用傳輸集//
R3(config-crypto-map)#exit
R3(config)#crypto map mymap client configuration address respond//建立靜態MAP 接受地址響應//
R3(config)#crypto map mymap client authentication list who//認證列表爲之前AAA服務中定義的who//
R3(config)#crypto map mymap isakmp authorization list who2//授權列表爲之前AAA服務中定義的who2//
R3(config)#crypto map mymap 1 ipsec-isakmp dynamic dymap//靜態MAP包含動態MAP //
R3(config)#int fa0/0
R3(config-if)#crypto map mymap//靜態MAP應用在端口//

 

移動客戶端

首先從移動端的DHCP中獲取地址，在測試與公司外網口的地址192.168.1.1的連通性。然後在client端上安裝Easy***軟件並獲取公司內網段分配的地址，然後測試與公司內網段192.168.2.0段的連通性。通了代表可以訪問公司內網了。

安裝好Easy***客戶端後將自動獲取一塊網卡。

 

利用Easy***的用戶賬號登錄並獲取公司內網段的地址。

 

如圖是獲得公司內網段的地址

 

最後的測試步驟

 

     

                          Easy *** 防火牆配置

 

 

 

移動客戶端的配置R1

R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2
R1(config)#ip dhcp pool client//配置DHCP//
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.1.1
R1(dhcp-config)#dns-server 8.8.8.8 
R1(dhcp-config)#lease 7//租約7天//
R1(dhcp-config)#ex
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat inside source list 1 int fa0/0 overload 
R1(config)#int fa0/0
R1(config-if)#ip nat out
R1(config-if)#int fa0/1
R1(config-if)#ip nat inside

ISP配置

ISP>en
ISP#conf t
ISP(config)#int fa0/1
ISP(config-if)#ip add 10.0.0.2 255.255.255.0
ISP(config-if)#no shut
ISP(config-if)#ex
ISP(config)#int fa0/0
ISP(config-if)#ip add 11.0.0.2 255.255.255.0
ISP(config-if)#no shut

公司內網段配置

R3>en
R3#conf t
R3(config)#int fa0/0
R3(config-if)#ip add 192.168.10.2 255.255.255.0 
R3(config-if)#no shut
R3(config-if)#ex
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1

防火牆端口配置

ciscoasa> en
Password: 
ciscoasa# conf t
ciscoasa(config)# int e0/1
ciscoasa(config-if)# nameif inside 
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip add 192.168.10.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# int e0/0
ciscoasa(config-if)# nameif outside 
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip add 11.0.0.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# ex
ciscoasa(config)# route outside 0 0 11.0.0.2 //默認路由

配置好後可以用在移動客戶端上獲取DHCP地址並測試與防火牆ASA外網口的連通性。

 

然後在防火牆上配置Easy***    

由於ASA防火牆是默認開啓AAA服務的所以直接配置用戶

ciscoasa(config)# username wang password 123//這裏防火牆的賬戶加密爲密文//
ciscoasa(config)# crypto isakmp enable outside//開啓ISAKMP//
//IKE階段一配置//
ciscoasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# encryption 3des
ciscoasa(config-isakmp-policy)# hash sha
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# lifetime 120
ciscoasa(config-isakmp-policy)# ex
ciscoasa(config)# ip local pool wen-pool名稱 192.168.10.10-192.168.10.20//定義客戶端的IP範圍
ciscoasa(config)# access-list 111 permit ip 192.168.10.0 255.255.255.0 any//定義客戶端感興趣流
ciscoasa(config)# group-policy wen-group組名 internal//建立內置組策略
ciscoasa(config)# group-policy wen-group attributes//配置策略屬性
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified //定義指定流量可以通過隧道
ciscoasa(config-group-policy)# split-tunnel-network-list value 111//指定ACL流量
ciscoasa(config-group-policy)# ex
ciscoasa(config)# tunnel-group li-group名稱 type ipsec-ra//定義隧道組並指定類型爲遠程訪問
ciscoasa(config)# tunnel-group li-group general-attributes //指定屬性
ciscoasa(config-tunnel-general)# address wen-pool//調用地址池
ciscoasa(config-tunnel-general)# default-group-policy wen-group //調用組策略
ciscoasa(config-tunnel-general)# ex
ciscoasa(config)# tunnel-group li-group ipsec-attributes //設置預共享密鑰
ciscoasa(config-tunnel-ipsec)# pre-shared-key 123
ciscoasa(config-tunnel-ipsec)# exit
ciscoasa(config)# crypto ipsec transform-set wen-set名稱 esp-3des esp-sha-hmac//定義傳輸集//
ciscoasa(config)# crypto dynamic-map dymap名稱 1 set transform-set wen-set//動態map中調用傳輸集
ciscoasa(config)# crypto map jtmap名稱 10 ipsec-isakmp dynamic dymap//靜態map調用動態map//   
ciscoasa(config)# crypto map jtmap int outside //靜態map調用在端口//
//如果配置好後不記得組策略名稱的話可以查看show run表，當然現實生活中是不可能這樣做的
ciscoasa# show run
... ...部分內容省略
group-policy wen-group internal
group-policy wen-group attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value 111
username wang password bo/9gssZj7sMTw8I encrypted//用戶//
tunnel-group li-group type remote-access
tunnel-group li-group general-attributes
 address-pool wen-pool
 default-group-policy wen-group
tunnel-group li-group ipsec-attributes//組策略的名稱//
 pre-shared-key *
prompt hostname context 
Cryptochecksum:00000000000000000000000000000000

最後在客戶端上安裝Easy***的客戶端軟件並獲取地址，在測試與公司內網的連通性看是否能正常訪問