Как да се създаде виртуална частна мрежа Cisco
Здравейте Аз трябва да кажа, че имам сложен въпрос, и аз осъзнавам, че искам да правя прекалено много, така че ако го игнорирате, ще се разбере. Си намерих работа от системния администратор в голяма корпорация с много клонове и сложни мрежови базиран VPN-връзки. Сега отворете друг клон и трябва да го свържете към мрежата от същите правила. Той използва Cisco оборудване, както и, разбира се, се контролира от Клиента Cisco VPN. Помогнете моля. Как да се създаде виртуална частна мрежа Cisco с конвенционални средства? Аз ще помогне всяка INFA. Благодаря на всички безразличен.
Да, темата наистина е доста обемен. Но, въпреки това, аз ще се опитам да ви помогна. Да започнем от самото начало.
Cisco VPN Client - специален софтуер, който се инсталира на персонален компютър, и има за цел да създаде IPSec тунел с всеки Cisco Easy VPN сървър.
Основни характеристики и функционални характеристики на Клиента Cisco VPN:
Cisco IOS сървъра сертификат
Cisco IOS сертификат на сървър е интегрирана в Cisco IOS софтуера рутер и дава възможност да действа по мрежата като сертифициращ орган (да издава и отнема цифрови сертификати). В производството и управлението на криптографски информация - не е лесна задача. Сертификат на сървъра решава тези проблеми с помощта на мащабируема Калифорния, който е интегриран хардуер IPSec VPN поддръжка. Cisco IOS софтуера също подкрепя напълно интегрирани функции PKI, които работят със сертификати за сървъри и "чужди" сертификати центрове.
Създаване на сертификата на сървъра цифров на рутера
Вграден сертификат на сървър има широки възможности за персонализиране. Помислете за изисквания минимален брой отбори, за да се създаде нормална конфигурация.
посочва името на цифров сертификат сървър
крипто PKI сървъра certsrv
Имената на ниво база данни
издател име CN = certsrv, OU = клиент-група-1, O = Cisco Systems
Само тръгна параметри могат да бъдат извършени, а след това на сървъра трябва да бъде преведена в експлоатация не по изключване
Те ще генерира ключ за главния сертификат на сървъра. Със своя частен ключ ще продължи да бъде подписан от всички издадени сертификати.
предостави автомобил команда ви позволява да издава автоматично сертификати на исканията на потребителите, което значително опростява процедурата за издаване на сертификати на толкова много клиенти. Ако каналът сигурност между клиента и сървъра се поддържа необходимото ниво на сигурност. Така например, издаването на удостоверенията само за потребителите в мрежата могат да бъдат решени онлайн.
определяне на технологията Cisco VPN клиент
Cisco Easy VPN опростява управлението на VPN мрежи, които свързват възлите един към друг, благодарение на активното насърчаване на нови политики за сигурност от главния възел в мрежата на отделни сайтове. За улеснение на конфигурация и мащабируемост Easy VPN се прилага "тласък политика» (политика натискане), но запазва гъвкав набор от опции и контрол върху спазването на правилата.
Easy VPN сървър, конфигуриран в главния офис, в съответствие с политиката за сигурност на отделните устройства VPN, осигурява изпълнението на съществуващите политики, дори преди установяване на връзка.
За да се получи цифров сертификат, за да изберете, Сертификати менюто VPN-клиент -> Записване. За да се издадат трябва да присъства IP-достижимост между компютъра и интерфейса на рутера LAN.
Не забравяйте да посочите име на домейн, дори ако рутера не е конфигурирана, или за получаване на удостоверение ще бъде невъзможно!
Когато се издава удостоверение на потребителя, VPN клиент ще получи сертификат корен CA, която съдържа публичен ключ на сървъра. С негова помощ при проверката на автентичността на сертификат Easy VPN-сървър. По този начин става възможно защита срещу MITM тип атака.
Ако дадете на клиента достъп до сървъра не може да бъде IP сертификат, екстракт от сертификати може да бъде направено ръчно. Генерираната искането за сертификат в двоична последователност се въвежда в командния ред на сървъра. Сертификатът се внася в същата форма, в Клиентът Cisco VPN.
Разберете отговорите на следните въпроси: