مدونة NetworkSet

كيفية ربط راوترين بإستخدام تقنية Cisco EzVPN

Cisco EzVPN تقنية غير معلومة لدى الغالبية ومع أنها قديمة إلا أنها مازالت مستخدمة في العديد من الشركات بالتحديد الصغيرة والمتوسطة وذلك للربط بين فروعها المختلفة, وهذا ما حدث معى بالفعل فقد طلب أحد أصدقائى منى ترشيح حل مجاني ومناسب وأمن للربط بين المقر الرئيسى للشركة التى يعمل بها وأحد فروعها مع العلم أن كل الراوترات الموجودة في عمله من شركة سيسكو!

قبل البدأ في عمل أى شيء ولضمان نجاح عملية الربط بين الراوترين سنحتاج أن نحدد أى من الطريقتين سنختار فالحل الأول وهو الحل التقليدى الذى نستخدم فيه الحواسيب المسموح لها بأستخدام خدمة VPN بشكل مباشر ونقوم بربطها مع الطرف اﻷخر الذى سيعمل كـ Server مثل الراوتر أو الفايروول أو أى VPN connection, أما الحل الثاني وهو ما سنختاره مع هذه الحالة وهو أستخدام الراوترات الرئيسية في المقر الرئيسى والفرعي للعمل كـ Server & Client والسبب في أختيار الحل الثاني؟ التأكد من أن المجموعة المسموح لها بأستخدام خدمة VPN ستستخدمه للعمل فقط وليس لفعل أى أنشطة أخرى ولإخضاعهم تحت السياسات الموضوعة على الراوتر.

ezvpn

سنبدأ كتابة بعض الأعدادات على الراوتر الذى سيعمل كـ Server وستكون البداية مع عمل AAA model لتوثيق المجموعة التى ستستخدم خدمة VPN وتحديد صلاحياتهم أيضاً

Cisco's
aaa new-model
aaa authentication login userauthen local
aaa authorization network groupauthor local
username test password test123

ثم نقوم بوضع بولسى للتشفير

Cisco's
crypto isakmp policy 9
encr 9des
authentication pre-share
group 9
crypto isakmp client configuration group vpngrp
key test987
save-password

تفعيل IPSec

Cisco's
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap

نضيف crypto map على الإنترفيس المتصل بالإنترنت

Cisco's
interface gigabitEthernet0/0/1
description WAN
crypto map clientmap

بعد ذلك ننتقل لكتابة بعض الأعدادات على الراوتر الذى سيعمل كـ Client والتى ستكون أسهل من التى كتبناها على الراوتر اﻷخر ﻷن اﻻتصال سيكون تلقائى فنحن لن نكون بحاجة لعمل nat والتشفير سيكون تلقائى عن التقنية نفسها

Cisco's
crypto ipsec client ezvpn ez
connect auto
group vpngrp key test987
mode network-extension
peer 192.168.11.254
username test password test123
xauth userid mode local

لتشغيل التشفير لأبد من تحديد WAN interface الذى سيخرج منه وذلك يتم بشكل تلقائى أيضاً

Cisco's
interface gigabitEthernet0/0/3
description WAN
crypto ipsec client ezvpn ez

سنواجه مشكلة تتعلق بالأجهزة التى تستخدم الطبقات الثالثة (L3) في الإنترنت مثل Switch virtual interface/Physical
interface fastethernet 0/3
description ANY L3 LAN interface
crypto ipsec client ezvpn ez inside

بعد ذلك سنقوم بإختبار الـ tunnel للتأكد من أن كل شيء يعمل بشكل صحيح ويمكنكم أستخدام هذه اﻷوامر للتأكد من صحة الخطوات السابقة أو معالجة أى مشكلة قد تحدث مستقباً

Cisco's
#show crypto ipsec sa
#show crypto isakmp sa
#show crypto ipsec client ezvpn

لمزيد من المعلومات يمكنكم الضغط عل الروابط التالية فهى مراجع لمن يريد الحصول على معلومات وتفاصيل أكثر :-

http://www.cisco.com/en/US/docs/routers/access/1800/1841/software/configuration/guide/ezvpn.html

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080808395.shtml

Exit mobile version