软件客户端的全加密Cisco IPsec VPN网关

　　在所有的全加密配置网络中，所有从远程节点过来的流量在到达VPN网关的内部接口之前都是加密的。然后网关将这些安全的（已经解码的）流量发送到本地下一跳节点（172.30.40.33）。在这个例子中，我们将使用我们在“旧式”实现中所使用的相同网络：172.30.40.0/24、172.30.80.0/24和172.30.60.0/24。所有其它的流量都被发送到内部防火墙接口。然后防火墙根据它的策略规则库处理VPN客户端的外部请求。将所有的流量传送到正确的的确是需要费一番周折。但为了支持来自非显式定义网络的VPN客户端连接，VPN网关的默认由必须指向网关由器的DMZ接口（63.240.22.0.1）。所有的安全网络必须被显式地定义并且使用RS的172.30.40.0/24的网络接口（172.30.40.33）作为下一跳地址。为了使Internet流量能到达防火墙的内部接口（172.30.40.1），我们实现了一条由来检查流量，然后根据一个流量检查ACL将它转发到恰当的网关。这跟由器决定加密哪些流量的方法一样，它根据ACL来检查流量，然后进行相应的处理。

　　既然我们已经解决了安全网络流量和Internet网络流量处理问题，以及在IOS由器上实现全加密拓扑，我们就可以进行新式VPN配置了。新式和旧式VPN配置的区别很大程度上是在外加的ISAKMP模板上。在旧式配置中，VPN客户端认证、授权和IP地址处理都是作为静态密码表配置的一部分。

　　在一个单客户端解决方案中（其中用户社区的所有流量传输都通过单个网络访问、ISAKMP和AAA策略实现），这并不会带来任何的。而在多客户端中，由于需要实现不同的AAA和网络访问策略，这时旧式方法有些不满足要求。ISAKMP模板能够创建不同的ISAKMP模板与不同的ISAKMP客户端配置组和扩展的不同的动态密码图及/或图序列实体一起使用。

　　为了说明它们的区别，我们将使用新式方法重新创建半隧道和全加密VPN解决方案。就像旧式方法，VPN网关配置由两部分组成：ISAKMP和密码图配置。

　　A．创建ISAKMP策略：下面这个配置实现了ISAKMP阶段1策略，它同时支持默认DES/SHA/DH-1和支持预共享密匙的更安全的标准3DES/MD5/DH-2：

　　B．配置AAA用户和组认证、授权和帐号：半隧道策略将使用本地源用户认证和组授权。全加密策略使用TACACS进行用户认证和本地源组授权。

　　C．为这两个策略创建IP地址池：

　　E．创建半隧道ACL：

　　F．创建客户端配置组：半隧道策略的ISAKMP组和全加密策略必须分开创建：

　　G．配置CTCP端口定义（并禁用由器上的HTTP和HTTPS服务）：

　　H．配置NAT透明活跃时间：NAT透明默认是激活的，但你需要设置一个活跃时间。然后，如果你只想使用CTCP，你可以禁用NAT回环：

　　配置ISAKMP模板：ISAKMP模板是用来做新式配置的。注意ISAKMP组名和ISAKMP策略名应该是一样的。这不是一个硬性要求，但如果你有很多不同的组和模板，这样做可以让你更容易管理它们：

　　密码图配置

　　路由器设置方法图定义了ISAKMP组和模板后，我们继续配置（更简单的）新式密码图。

　　A．创建转换集：因为我们仅支持CiscoVPN软件客户端，所以我们实际上只需要一个阶段2策略：

　　B．创建动态密码图：因为我们支持两个不同的VPN策略，我们有一些实现动态密码图的选项要配置。我们可以实现两个不同的图，或者实现一个图及两个序列。下面是一个实现一个图及两个序列的例子：

　　C．创建静态密码图：

　　D．安装静态密码图：一旦密码图安装好，它就可以支持客户端连接了。然而，为了支持全密码非安全流量处理，我们需要实现策略由：

　　E：安装由策略：正如我们所提到的，为了处理离线流量，我们需要由器在处理特定类型流量时忽略它的默认由。这个技巧是通过创建一个流量匹配ACL和一个将匹配的流量指向另一个网关的简单由图实现的：

　　这样多策略VPN网关就配置好了。对于客户端模板配置，管理员可能为每一个ISAKMP分别创建一个客户端模板。下面是半隧道和全加密拓扑的启动器文件：

　　这就完成了软件客户端VPN配置。

　　【编辑推荐】