企业网组网设计与仿真实现
3、NAT-T配置
正常的IPsec VPN 是不能穿越PAT的,CISCO的IPsec VPN为了穿越PAT提供了很多扩展的功能.例如: NAT-T,ipsec over udp,ipsec over tcp,应用层网关。此次我们将使用工业标准的NAT-T技术。在CISCO防火墙上默认开启了NAT-T功能,因此不需要我们再手动配置。我们只需要增加对防火墙E0口(outside)的静态端口映射即可。
IPsec VPN使用的是UDP 500和4500端口,必须把这两个端口映射出公网,才能让外网连接上防火墙来建立VPN。
Gateway(config)#ip nat inside source static udp 192.168.0.9 500 interface s0/0 500
Gateway(config)#ip nat inside source static udp 192.168.0.9 4500 interface s0/0 4500
现在就完成了IPsec VPN的配置。
4.3.2 移动办公VPN配置
为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN,我们使用RemoteVPN解决方案。RemoteVPN是EZVPN的一种,它使用客户端软件连接服务端来实现VPN连接的,其使用向客户端推送策略的方式大大减轻了客户端的配置,方便了管理。远程工作者在自己的电脑上安装一个“Cisco VPN Client”的软件,稍微设置一下参数,即可连接上配置好相关参数的服务端,建立一条安全加密的虚拟隧道。
图4.12 Cisco VPN Client
本小节针对远程工作者与总部的连接,使用RemoteVPN来实现加密的数据传输。如
35
企业网组网设计与仿真实现
图4.13所示,远程工作者通过RemoteVPN获取一个内网的IP地址,通过这个地址访问公司内部资源,提供了VPN网络的高拓展性。
Core1内部服务器群192.168.60.0SW4FWCore2RemoteVPNGateway移动办公
图4.13 RemoteVPN设计拓扑
1、防火墙设置
RemoteVPN跟Site-to-siteVPN同属IPsec VPN,,但配置上还是有区别的。在RemoteVPN上必须定义好远程用户接入后能够访问的地址,称为分离隧道。没有分离定义分离隧道的话,客户端即使建立起了VPN,也无法访问内网,因为服务端不知道返回的流量需要加密,因而返回流量无法到达客户端。RemoteVPN还会为接入的用户分配一个内网的IP地址,通过这个地址访问公司内部资源。如表3.1所示,用于分配RemoteVPN远程用户的地址为192.168.80.0/24网段。
以下对防火墙进行RemoteVPN配置: FW(config)# isakmp policy 1
FW(config-isakmp-policy)# authentication pre-share FW(config-isakmp-policy)# encryption 3des FW(config-isakmp-policy)# hash md5 FW(config-isakmp-policy)# group 2 FW(config-isakmp-policy)# lifetime 43200 FW(config-isakmp-policy)# exit FW(config)# isakmp enable outside
以上步骤可以忽略,因为在site-to-site VPN里,已经配置过相似的参数,Crypto isakmp policy是可以共用在两个VPN上的。
以下是定义地址池。既定义哪些地址用于分配给远程接入用户使用。
FW(config)# ip local pool vpnpool 192.168.80.11-192.168.80.254 mask 255.255.255.0
36
企业网组网设计与仿真实现
以下定义分离隧道。建立一个ACL定义访问地址,然后在相关策略上套用。
FW(config)# access-list split standard permit 192.168.60.0 255.255.255.0 FW(config)# group-policy vpnclient internal FW(config)# group-policy vpnclient attributes
FW(config-group-policy)# split-tunnel-policy tunnelspecified FW(config-group-policy)# split-tunnel-network-list value split 以下配置剩余必要命令:
FW(config)# crypto ipsec transform-set remote esp-3des esp-sha-hmac FW(config)# crypto dynamic-map dyremote 10 set transform-set remote FW(config)# crypto map l2l 20 ipsec-isakmp dynamic dyremote FW(config)# crypto map l2l interface outside
FW(config)# tunnel-group vpnclient type ipsec-ra FW(config)# tunnel-group vpnclient general-attributes FW(config-tunnel-general)# authentication-server-group LOCAL FW(config-tunnel-general)# default-group-policy vpnclient FW(config-tunnel-general)# address-pool vpnpool FW(config-tunnel-general)# exit
FW(config)# tunnel-group vpnclient ipsec-attributes FW(config-tunnel-ipsec)# pre-shared-key alex_gdin 2、客户端软件设置
打开Cisco VPN Client软件之后,点击软件快捷栏的“New”图标即可定义需要的参数。具体参数填写入图4.14所示。
图4.14 Cisco VPN Client参数设置
“Group Authentication”上的用户名和密码即为1、款中配置加粗部分。参数填
37
企业网组网设计与仿真实现
写完毕,按“Save”保存。然后在主界面双击你创建好的条目,如无配置错误,你即可连接上远端的服务端。
3、NAT-T配置
因为在Site-to-site VPN配置中,在Gateway网关路由器上已经把IPsec VPN所使用的到端口映射了出去,所以这里只需在Gateway网关路由器把用于控制NAT地址转换的ACL上增加一条条目,用于免除VPN连接的转换。
Gateway(config)#ip access-list extend inside2outside
Gateway(config-ext-nacl)#4 deny ip 192.168.60.0 0.0.0.255 192.168.80.0 0.0.0.255
4.4 安全加固模块设计
完整的企业网络必须要有可靠的网络安全保护措施来抵御来自网内、网外的安全威胁,例如黑客入侵、病毒木马、DOS攻击、人为破坏等。我们有许多防御措施选择,如安装防病毒软件、进行访问控制、数据加密传输等。各种网络安全并不是各自独立的,而是作为一个整理来保护一个网络,要做到1+1>2的效果,必须要以实际网络环境需要为基础,选择全面的网络保护措施,不让其中一处短板破坏了整个网络的防御结构。
Cisco提出的网络安全的核心原则成为CIA三元组——机密性(confidentiality)、完整性(integrity)、可用性(availability),是目前最简单、适用范围最广的安全模型。这三大核心原则可以适用于小到如用户访问,大至如互联网上的数据安全。
本节本着CIA三元组原则,对企业网进行安全的加固,从最基础的访问控制、防止欺骗等,到一些高级的安全技术特征,是本设计的企业网的网络数据安全达到最优化。在本节所提及的一些安全技术特征部分为思科专有,或在其他厂商有相似技术但命名不同,而且因为软件问题,一些安全技术并不能被仿真软件所支持,但文章所列配置命令是真实能在实际环境中运行的。
4.4.1 访问控制
根据表3.1的信息,各VLAN都有不同的权限限制,并且从实际公司运作上考虑,这里将增添几项访问权限,全部访问控制具体为:
(1)内网访问控制:
38
企业网组网设计与仿真实现
普通部门单位之间不能相互访问 全部部门能访问服务器群和外网
网管部门能访问整个公司的VLAN(单向发起连接) 服务器不会主动向网络发起连接(除email/FTP)外 访客厅VLAN只能访问外网服务器群和外网 (2)外网访问控制:
通过VPN接入,只能访问内部服务器群 外网用户只能访问外部服务器的相关服务 1、对服务器群的访问限制
全部部门能访问服务器群(包括内网服务器群、外网服务器群)和外网网络。 在部门单位(包括会议室、不包括网管部)VLAN虚接口上配置ACL,使部门能访问服务器群,但首先注意要放行DHCP请求流量,这里以VLAN10为例。
Core1(config)#ip access-list extended cvlan10 Core1(config-ext-nacl)#permit udp any any eq bootps Core1(config-ext-nacl)#permit udp any any eq bootpc
Core1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.60.0 0.0.0.255
Core1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.70.0 0.0.0.255
为了对服务器的保护,还应该限制到到达服务器的具体协议端口做限制,不过这里可以从服务器主机下手,关闭不需要的服务,至开启服务相关的端口。
2、部门间的访问限制
不同IP网段的主机、不同VLAN内的主机本来是不能相互访问的,但由于网关网络开启路由功能后,导致IP网段之间、VLAN之间能够相互访问,这需要在核心交换机的VLAN上配置ACL。
在部门单位(包括会议室、不包括网管部)VLAN虚接口上配置ACL,达到相互之间不能访问,这里以VLAN10为例,继续上一款的配置。
Core1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
Core1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any
39