REMOTE VPN (加CA)总结
1.Router RemoteVPN(基于CA)

2.topology

192.168.19.0/24
pc----------------------------------------------router------------------------------10.1.2.0/24


3、Key Points
- (config)#cry isakmp policy 10
(config-isakmp)#h m
/*ISKMP策略必须使用MD5、group 1、DES*/

- (config)#cry isakmp client configuration group groupname
/*此group名与vpn client申请证书的OU(department)名需要一致*/

- (config)#cry isakmp client config group groupname
(config-isakmp-group)#acl split
(config)#ip access-list e split
(config-ext-nacl)# permit ip 10.1.1.0 0.0.0.255 a
/*实现split-tunnel*/
- (config)#cry dynamic-map laobai 10
(config-crypto-map)#reverse-route
/*实现revese-route，自动产生静态路由*/
- VPN client申请证书时，一定要先import CA的证书，然后import自己的证书


4、Verify
- reverse route
2600#s ip route st
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S 10.1.1.1/32 [1/0] via 192.168.19.201
- PC新增路由
PC cmd模式下 C:\route print
Network Destination Netmask Gateway Interface Metric
10.1.2.0 255.255.255.0 183.1.1.1 183.1.1.1 1
- #sis
interface: Ethernet0/0
Crypto map tag: ipsec, local addr. 192.168.19.10
protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
current_peer: 192.168.19.201:500
PERMIT, flags={}
#pkts encaps: 12, #pkts encrypt: 12, #pkts digest 12
#pkts decaps: 12, #pkts decrypt: 12, #pkts verify 12
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 192.168.19.10, remote crypto endpt.: 192.168.19.201
path mtu 1500, media mtu 1500
current outbound spi: 4D78165C

5、Troubleshoot
- 当VPN tunnel建好后，无任何流量，多长时间后自动中断VPN tunnel

Router RemoteVPN(基于CA)+RIP
1、Topology
（地址池10.1.1.0/24) 3.3.3.0/24
10.1.2.0/24-------- r1--------------------------------------------------r2---------10.1.3.0/24
|
|
pc

2、Background Theory
- PC通过remote VPN连至R1,R1与R2之间通过RIP路由。需求：能顺利地从PC telnet R2

3、Key Points
- split-tunnel对应的ACL(实际上是定义感兴趣流量-需要加密的流量)
(config)#ip access-list e split
(config-ext-nacl)#p ip 10.1.2.0 0.0.0.255 a
(config-ext-nacl)#p ip 10.1.3.0 0.0.0.255 a

4、Verify
- 若在R1上执行重分布，会发现：R2根本学不到R1上reverse route注入的静态路由
原因：此静态路由指向PC,R1认为由E0/0学习到，所以不会再通过E0/0发送给R2
方案：R1(config-if)#no ip split-horizon

- 做了之后，R2学习到该静态路由，但从PC仍然ping不通router
原因：RIP做了优化处理：由于R2和PC也处于同一网段，所以R2虽然是从R1学到此条路由，下一跳却指
向PC.PC收到不加密、感兴趣流量，并且自身接口相当于做了cry map，故DROP

- 比较彻底也比较龌龊的解决方案：在R2上添加静态路由
(config)#ip route 10.1.1.1 255.255.255.255 3.3.3.26
/*10.1.1.1为PC从地址池学习到的地址，3.3.3.26为R1的地址*/

5、Troubleshoot
- 从报文封装的角度看，寡人以为R1不需要reverse route,真正需要的是R2.但实验证明需要
解释：R1收到PC的ping包后马上进行路由处理，将其丢至某个端口，端口上事先已配置了cry map
然后才开始ESP处理！

- 重分布后R2并不知道R1的下一跳指向那里，也无法做任何优化处理。但R2的下一跳却指向了PC
这件事情主要是R1处理的！

6、Note
感兴趣流量 cry map 否 加密 Action
yes yes no 丢掉
yes no yes 解密处理

PIX RemoteVPN(基于CA)

1.topology
3.3.3.0/24 (地址池10.1.1.0/24) ( 10.1.1.2.0/24)
pc--------------------------------------------outside--pix----inside----------------------------------------------r1


2、Key Points
- 在PIX上配置ISAKMP要干的第一件事
(config)#isakmp enable outside

- 定义走VPN的流量
(config)#access-list nonat p ip 10.1.2.0 255.255.255.0 10.1.1.0 255.255.255.0
(config)#nat (inside) 0 a nonat

- 定义允许进入的流量
(config)#sysopt connection permit-ipsec

- ipsec策略的完整配置
(config)# crypto ipsec transform-set set esp-des esp-md5-hmac
(config)#crypto dynamic-map dymap 10 set transform-set set
(config)#crypto map ipsec 10 ipsec-isakmp dynamic dymap
(config)#crypto map ipsec client configuration address initiate
(config)#crypto map ipsec client configuration address respond
(config)#crypto map ipsec client authentication LOCAL
(config)#crypto map ipsec interface outside

3、Verify
- #sh access-list
access-list dynacl3; 1 elements
access-list dynacl3 line 1 permit ip any host 10.1.1.1 (hitcnt=0)
/*动态产生的ACL*/