مدونة NetworkSet مدونة تختص بأمور الشبكات والأجهزة التى تدعمها Cisco EzVPN تقنية غير معلومة لدى الغالبية ومع أنها قديمة إلا أنها مازالت مستخدمة في العديد من الشركات بالتحديد الصغيرة والمتوسطة وذلك للربط بين فروعها المختلفة, وهذا ما حدث معى بالفعل فقد طلب أحد أصدقائى منى ترشيح حل مجاني ومناسب وأمن للربط بين المقر الرئيسى للشركة التى يعمل بها وأحد فروعها مع العلم أن كل الراوترات الموجودة في عمله من شركة سيسكو!
قبل البدأ في عمل أى شيء ولضمان نجاح عملية الربط بين الراوترين سنحتاج أن نحدد أى من الطريقتين سنختار فالحل الأول وهو الحل التقليدى الذى نستخدم فيه الحواسيب المسموح لها بأستخدام خدمة VPN بشكل مباشر ونقوم بربطها مع الطرف اﻷخر الذى سيعمل كـ Server مثل الراوتر أو الفايروول أو أى VPN connection, أما الحل الثاني وهو ما سنختاره مع هذه الحالة وهو أستخدام الراوترات الرئيسية في المقر الرئيسى والفرعي للعمل كـ Server & Client والسبب في أختيار الحل الثاني؟ التأكد من أن المجموعة المسموح لها بأستخدام خدمة VPN ستستخدمه للعمل فقط وليس لفعل أى أنشطة أخرى ولإخضاعهم تحت السياسات الموضوعة على الراوتر.
سنبدأ كتابة بعض الأعدادات على الراوتر الذى سيعمل كـ Server وستكون البداية مع عمل AAA model لتوثيق المجموعة التى ستستخدم خدمة VPN وتحديد صلاحياتهم أيضاً
aaa authentication login userauthen local
aaa authorization network groupauthor local
username test password test123
ثم نقوم بوضع بولسى للتشفير
encr 9des
authentication pre-share
group 9
crypto isakmp client configuration group vpngrp
key test987
save-password
تفعيل IPSec
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
نضيف crypto map على الإنترفيس المتصل بالإنترنت
description WAN
crypto map clientmap
بعد ذلك ننتقل لكتابة بعض الأعدادات على الراوتر الذى سيعمل كـ Client والتى ستكون أسهل من التى كتبناها على الراوتر اﻷخر ﻷن اﻻتصال سيكون تلقائى فنحن لن نكون بحاجة لعمل nat والتشفير سيكون تلقائى عن التقنية نفسها
connect auto
group vpngrp key test987
mode network-extension
peer 192.168.11.254
username test password test123
xauth userid mode local
لتشغيل التشفير لأبد من تحديد WAN interface الذى سيخرج منه وذلك يتم بشكل تلقائى أيضاً
description WAN
crypto ipsec client ezvpn ez
سنواجه مشكلة تتعلق بالأجهزة التى تستخدم الطبقات الثالثة (L3) في الإنترنت مثل Switch virtual interface/Physical
interface fastethernet 0/3
description ANY L3 LAN interface
crypto ipsec client ezvpn ez inside
بعد ذلك سنقوم بإختبار الـ tunnel للتأكد من أن كل شيء يعمل بشكل صحيح ويمكنكم أستخدام هذه اﻷوامر للتأكد من صحة الخطوات السابقة أو معالجة أى مشكلة قد تحدث مستقباً
#show crypto isakmp sa
#show crypto ipsec client ezvpn
لمزيد من المعلومات يمكنكم الضغط عل الروابط التالية فهى مراجع لمن يريد الحصول على معلومات وتفاصيل أكثر :-
http://www.cisco.com/en/US/docs/routers/access/1800/1841/software/configuration/guide/ezvpn.html
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080808395.shtml
اشكر اخي على هذا الطرح الأكثر من رائع والجهد المبذول في هذا العمل . ارجو توضيح بعض الأمور المهمه :
1) ما هو نوع ip الذي يتم إستخدامه في كلا الروترين
2) ما مدى فاعلية هذه الطرقيه وما هو مسار الترفك فيها هل يصل للisp مع العلم أنه يجب الإشتراك في خدمه
السلام عليكم عندي ثلاثة فروع واريد ربطها بشبكة واحدة من اجل ان اسمح لجميع الفروع استخدام النظام المحاسبي
هل هذي الخدمة ستفيدني
وهل هي خدمة مجانية يعني لا تدفع رسوم لمزود الخدمة
ارجوا الافادة وجزاكم الله خيرا