|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Remote Access VPN Tunnel Implementation
10.3.3.6 Шаг 6: Настройте пул адресов
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w401 |
|
|
|
|
|
m |
w Click |
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Введите имя пула или выберите предварительно настроенное в раскрывающемся меню. Затем введите начальный диапазон пула и конец диапазона, введите маску подсети и нажмите “Next”, как показано на следующем снимке экрана.
10.3.3.7 Шаг 7: Настройте атрибуты клиента
Введите дополнительную информацию о конфигурации сети, которая будет отправлена на удаленные клиенты (как показано ниже), и нажмите кнопку “Next”.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
402 |
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
w Click |
|
|
|
|
|
o |
m |
|
w |
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
10.3.3.8 Шаг 8. Настройте политику IKE.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Сконфигурируйте предложение IKE Phase 1, выбрав алгоритм шифрования, алгоритм аутентификации и группу Диффи-Хеллмана для согласования SA, как показано в следующем окне, и нажмите кнопку
“Next”.
10.3.3.9 Шаг 9. Настройка параметров шифрования и аутентификации IPsec
Для конфигурации IKE Phase 2 выберите алгоритм шифрования в качестве 3DES и алгоритм аутентификации в качестве SHA, как показано ниже.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Remote Access VPN Tunnel Implementation
10.3.3.10 Шаг 10: Исключение трансляции адресов и разделенное туннелирование
Трансляция сетевых адресов используется, чтобы скрыть внешний сетевой IP-адрес от внешнего воздействия, как показано ниже.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w403 |
|
|
|
|
|
m |
w Click |
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Исключения могут быть сделаны путем определения локальных хостов и сетей, адреса которых не будут переведены. Кроме того, раздельное туннелирование может быть включено, чтобы разрешить незашифрованный доступ пользователей к Интернету. Наконец, нажмите кнопку “Next”, чтобы открыть окно подтверждения, показанное ниже, а затем нажмите “Finish”.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
|
E |
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
404 |
|
|
|
|
|
|
|
w |
|
|
|
|
m |
w Click |
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
10.3.3.11 Шаг 11. Установите клиентское программное обеспечение Cisco VPN.
Установите VPN-клиент на машине, которая подключена к внешнему интерфейсу. Дважды щелкните значок “Local Area Connection” (Подключение по локальной сети) (не Cisco System VPN Adapter), как показано ниже.
Присвойте машине следующий IP-адрес: 209.165.201.19, как показано ниже.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Remote Access VPN Tunnel Implementation
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
405 |
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
10.3.3.12 Шаг 12: Запустите программное обеспечение и проверьте подключение
Сначала запустите системный VPN-клиент Cisco. Создайте новое соединение, нажав на иконку “New”. Заполните записи в окне «Connection Entry», введите имя для подключения и введите IP-адрес VPN-сервера, который равен 209.165.201.21. Затем введите имя группового туннеля и пароль, который является предварительным общим ключом, настроенным для VPN удаленного доступа в ASA. Детали показаны ниже.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
|
E |
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
406 |
|
|
|
|
|
|
|
w |
|
|
|
|
m |
w Click |
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Затем нажмите на вкладку “Transport”(Транспорт) и выберите “Enable Transparent Tunneling”(Включить прозрачное туннелирование), которое позволяет зашифрованному трафику IPsec проходить через устройства трансляции сетевых адресов / трансляции адресов портов (NAT / PAT), такие как брандмауэры. Затем выберите IPsec через UDP (NAT / PAT), как показано на следующем экране.
Нажмите кнопку “Save”(Сохранить), чтобы создать соединение, как показано далее.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
|
Remote Access VPN Tunnel Implementation |
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
m |
407 |
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
Чтобы |
проверить подключение к сети, выполните команду |
ping |
|
-x cha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
209.165.201.21 с хоста клиента. Это должно быть успешно, как в следующей команде.
Перейдите в меню “Options”(Параметры) на VPN-клиенте и выберите параметры, как показано на следующем экране, чтобы получить дополнительные параметры.
Выберите следующие “Preferences”: “Save window settings,” “Enable tool tips,” “Enable connect history display,” и “Enable accessibility options,”, как показано ниже.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
|
E |
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
408 |
|
|
|
|
|
|
|
w |
|
|
|
|
m |
w Click |
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Затем нажмите кнопку “Connect”, которая открывает окно аутентификации пользователя, как показано на следующем экране.
Заполните поля имени пользователя и пароля как user1 и 123, как настроено в этом примере, и нажмите кнопку «ОК». Соединение будет инициализировано, и начнется согласование политик безопасности, как показано на следующем снимке экрана.
Как только пользователь подключится к VPN-шлюзу, появится другое всплывающее окно, подтверждающее, что соединение установлено, как показано на следующем снимке экрана.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Remote Access VPN Tunnel Implementation
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
409 |
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Чтобы просмотреть более подробную информацию о VPN-туннеле, перейдите в меню “Status” и выберите “Statistics” на VPN-клиенте. Как показано на следующем снимке экрана, удаленный клиент получил IPадрес из предварительно сконфигурированного пула, это 209.165.201.1. Появится новое соединение, информация “student”. Количество зашифрованных пакетов равно 78, а алгоритмы шифрования и аутентификации - 3-DES и SHA-1 соответственно.
Чтобы просмотреть сведения об IP-адресе удаленного клиента, введите команду «ipconfig», как показано ниже, чтобы увидеть IP-адрес,
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
410 |
|
|
|
|
|
w |
|
|
|
|
w Click |
|
|
|
|
|
o |
m |
|
w |
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
Network Attacks and Defenses: A Hands-on Approach
который был назначен пользователю из пула адресов на шлюзе VPN.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
10.3.3.13 Шаг 13: Проверьте Установление VPN-туннеля
На ASA используйте команду «show crypto isakmp sa» для отображения согласованных параметров SA IKE фазы 1, как показано ниже:
Замечено, что количество активных сопоставлений безопасности равно 1, одноранговый узел IKE равен 209.165.201.19, тип подключения - VPN с удаленным доступом (пользователь), роль удаленного пользователя - респондент, а режим IKE фазы 1 агрессивен, так как обозначается AM-
ACTIVE.”