软件客户端的全加密Cisco IPsec VPN网关

在所有的全
加密配置网络中,所有从远程节点过来的流量在到达
VPN网关的内部接口之前都是加密的。然后网关将这些安全的(已经解码的)流量发送到本地下一跳节点(172.30.40.33)。在这个例子中,我们将使用我们在“旧式”实现中所使用的相同网络:172.30.40.0/24、172.30.80.0/24和172.30.60.0/24。所有其它的流量都被发送到内部防火墙接口。然后防火墙根据它的策略规则库处理VPN客户端的外部请求。将所有的流量传送到正确的位置的确是需要费一番周折。但为了支持来自非显式定义网络的VPN客户端连接,VPN网关的默认路由必须指向网关路由器的DMZ接口(63.240.22.0.1)。所有的安全网络必须被显式地定义并且使用RS的172.30.40.0/24的网络接口(172.30.40.33)作为下一跳地址。为了使Internet流量能到达防火墙的内部接口(172.30.40.1),我们实现了一条路由来检查流量,然后根据一个流量检查ACL将它转发到恰当的网关。这跟路由器决定加密哪些流量的方法一样,它根据ACL来检查流量,然后进行相应的处理。,既然我们已经解决了安全网络流量和Internet网络流量处理问题,以及在IOS路由器上实现全加密拓扑,我们就可以进行新式VPN配置了。新式和旧式VPN配置的区别很大程度上是在外加的ISAKMP模板上。在旧式配置中,VPN客户端认证、授权和IP地址处理都是作为静态密码表配置的一部分。,在一个单客户端解决方案中(其中用户社区的所有流量传输都通过单个网络访问、ISAKMP和AAA策略实现),这并不会带来任何的限制。而在多客户端环境中,由于需要实现不同的AAA和网络访问策略,这时旧式方法有些不满足要求。ISAKMP模板能够创建不同的ISAKMP模板与不同的ISAKMP客户端配置组和扩展的不同的动态密码图及/或图序列实体一起使用。,为了说明它们的区别,我们将使用新式方法重新创建半隧道和全加密VPN解决方案。就像旧式方法,VPN网关配置由两部分组成:ISAKMP和密码图配置。,ISAKMP配置

原创文章,如若转载,请注明出处:http://www.shwuzhen.com/gou/233.html

联系我们

13810578059

在线咨询:点击这里给我发消息

邮件:88628738@qq.com

合作方式:网站转让、SEO优化、网站跳转