上次介紹了在開源軟體pfSense上使用OpenVPN套件來建立Site-to-Site VPN,讓pfSense下的電腦都能輕易地透過VPN連線取得遠端的資源,本文接續介紹CA的其他相關運用:透過CA在兩部Cisco Router之間建立Site-to-Site VPN。
本文將實作如何在兩部Cisco Router之間透過CA建立Site-to-Site VPN(在兩部設備之間建立VPN連線),並且加上IPSec的加密機制,讓Router下的電腦都能輕易地透過VPN連線取用遠端的資源,而無須個別進行連線的動作並在連線過程中增加其安全性。
在實作前,請先準備好以下的軟硬體:
·硬體:此次使用兩部Cisco 871的機器,其記憶體大小均為128MB。
·韌體:IOS部分使用的版本是c870-advipservicesk9-mz.12 4-15.T1,採用ADVIPSERVICESK9版本的目的是為了使用IPSec及CA的功能。
測試架構說明
本次實作的架構圖如圖1所示,在兩地的Cisco上,透過CA進行身分驗證,並在身分驗證後透過IPSec建立VPN連線。
 |
| ▲圖1 Site-to-Site VPN架構圖。 |
連線建立後,可以在兩地的電腦直接連線至對點的設備,進行日常維運工作。203.70.228.5(CA)在此架構中,同時扮演CA及VPN Site的角色,210.66.233.2(R1)則僅單純扮演VPN Site的角色。
在本文中,將使用CA(Certificate Authority)進行身分驗證。CA的部分之前已做過介紹,可參閱筆者在網管人第106期的介紹(http://www.netadmin.com.tw/article_content.aspx?sn=1411120005)。
簡單敘述一下所要進行的步驟。先在CA上建立CA Server,再讓R1申請一個使用者憑證,接著在CA上核可此憑證。同樣地,也在CA上對自己申請憑證(可以想像CA此時也是扮演使用者的角色),接著在CA上核可該申請。
最後,在兩端的Router上建立IPSec Tunnel,在身分認證時使用剛剛申請下來的使用者憑證進行身分驗證,之後再建立VPN連線。
路由器相關設定:基礎設定
將幾個基本的設定予以列出,並稍加說明,以下是CA的部分:
這兩個設定在設定CA Server和申請使用者憑證時會使用到,因此必須進行設定。同樣地,R1也必須做如下的設定:
在簽發憑證時,時間的一致性和精確度相當重要,因此兩台Router都有設定NTP的相關設定:
設定其時區為+8(CST只是一個名稱,重點是後面的8)以及NTP校時機制,讓它與time.stdtime.gov.tw進行校時,由於並未啟動ip domain-lookup的正解查詢機制,因此直接輸入其Server的IP。若IP之後有所變更,請自行調整。
設定完成後稍微等待一下,再檢查一次系統時間是否已校正完成。校正完成後,在address前會有一個星號(*)。
CA相關設定:設定CA伺服器
Client端必須透過CA的網頁伺服器進行申請認證,因此在CA上必須開啟網頁伺服器。