Иван Панин
Корпоративные VPN на базе Cisco
В статье рассматривается несколько технологий построения VPN-туннеля: IPSec VPN Site-to-Site, Easy-VPN и DMVPN на базе маршрутизаторов Cisco. Преимущества и недостатки, топологии и конфигурации.
IPSec VPN Site-to-Site
Первый способ Site-to-Site или Intranet VPN представлен на рис. 1, используется для объединения в защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи. В основе решения лежит сеть VPN с предварительно настроенными в каждой точке входа в сеть туннелями для передачи защищаемого трафика. Таким образом, все политики доступа и параметры взаимодействия конфигурируются отдельно для каждого устройства доступа и каждой удаленной подсети.
Рисунок 1. VPN Site-to-Site
В данном примере топология представляет собой звезду, маршрутизатор А расположен в центральном офисе компании, В и С – в дополнительных.
Настройка RouterА
Создаем политику ISAKMP (Internet Security Association and Key Management Protocol) с приоритетом 1 (приоритет от 1 до 10000, 1 является самым высоким) и входим в режим конфигурации ISAKMP. Здесь устанавливаем общие параметры для установки туннеля. Указываем алгоритмы хэш-функции и шифрования.
Метод аутентификации. Определяем схему обмена ключами Диффи-Хеллмана [1] (group 2 – 1024 бита, Cisco IOS (Interwork Operating System) также поддерживает 1 и 5 группы) для протокола IKE (Internet Key Exchange). IP-адреса и крипто-ключи должны совпадать с соответствующими на удаленных маршрутизаторах. При смене ключа необходимо очистить крипто-сессию командой:
clear crypto session
Также здесь можно указать время жизни туннеля, команда «lifetime <60-86400>» в секундах.
crypto isakmp policy 1
hash md5
encryption 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 172.16.2.1
crypto isakmp key cisco124 address 172.16.3.1
Далее определяется список выполняемых операций (transform – изменений) для установки подлинности данных, конфиденциальности и сжатия. В нашем примере протокол шифрования сетевого трафика ESP (Encapsulation Security Payload) использует DES (Data Encryption Standard) и MD5 (Message Digest 5).
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
Создаем расширенные списки контроля доступа acl (Access Control List) 102 и 103. В них указываем подсети, трафик между которыми будем шифровать.
access-list 102 permit ip 192.168.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 103 permit ip 192.168.1.0 0.0.0.255 10.10.3.0 0.0.0.255
Создаем крипто-карты для удаленных VPN-маршрути-заторов B и C. Указываем соответствующие IP-адреса, определенный ранее transform-set и списки доступа.
Здесь также можно задействовать классификацию качества обслуживания QoS (Quality of Service), до того как пакет попадет в туннель.
crypto map rtp 2 ipsec-isakmp
set peer 172.16.2.1
set transform-set rtpset
match address 102
crypto map rtp 3 ipsec-isakmp
set peer 172.16.3.1
set transform-set rtpset
match address 103
exit
Теперь назначаем внешнему интерфейсу созданную крипто-карту rtp. И указываем максимальный размер сегмента MSS (Maximum Segment Size) [2].
interface GigabitEthernet0/1
ip address 172.16.1.1 255.255.255.0
ip tcp adjust-mss 1400
crypto map rtp
Настройка RouterВ
crypto isakmp policy 1
hash md5
encryption 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 172.16.1.1
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
access-list 101 permit ip 10.10.2.0 0.0.0.255 192.168.1.0 0.0.0.255
crypto map rtp 2 ipsec-isakmp
set peer 172.16.1.1
set transform-set rtpset
match address 101
fastEthernet0/1
ip address 172.16.2.1 255.255.255.0
ip tcp adjust-mss 1400
crypto map rtp
RouterC настраивается аналогично RouterB.
Резюме
Наиболее распространенная технология, основанная на открытых стандартах, поддерживается наибольшим числом производителей оборудования и программного обеспечения. Идеальна для построения гетерогенных VPN-сетей.
Однако отсутствует возможность динамической маршрутизации между узлами сети (поддержка только IP-трафика) и установки соединения между отдельными узлами компании без участия центрального маршрутизатора. Отсутствует механизм автоматического переключения на резервный канал. Нет возможности назначить отдельную QoS-политику для каждого туннеля.
EasyVPN
В основе решения стоит размещение всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server) [5], к которому подключаются удаленные устройства VPN – аппаратные (Easy VPN Remote) и программные (VPN Client) клиенты. Перед установкой зашифрованного соединения клиент сети Easy VPN проходит процедуру проверки подлинности с последующей загрузкой политик безопасности с сервера.
В случае использования VPN Client на удаленный компьютер устанавливается клиентское программное обеспечение Cisco VPN Client, на текущий момент доступна версия 5.x для Windows 2000/XP/Vista.
На рис. 2 представлена логическая схема подключения, при которой удаленный компьютер становится полноценным участником корпоративной сети.
Рисунок 2. EasyVPN
Трафик от VPN Client, адресованный сети 192.168.1.x, направляется через туннель, а остальное движение может быть настроено по трем вариантам:
- через маршрутизатор А;
- напрямую через линк клиента;
- или вообще запрещен на время сеанса работы.
Авторизация клиента может быть настроена двумя способами: предопределенный ключ Pre-Shared Keys (PSK) – набор символов, далее рассматривается в примере или по сертификату X.509: Public Key Infrastructure (PKI).
При реализации с небольшим числом дополнительных офисов можно выбрать PSK, однако когда их число растет, управлять индивидуальными PSK становится проблематично и лучше выбрать PKI.
Настройка VPN Server (маршрутизатор А) для подключения EasyVPN Client
Задействуем модель аутентификации, авторизации и учета ААА (Authentication, Authorization, Accounting){1}.
aaa new-model
aaa authentication login local
aaa authorization networkt authgroup local
Создаем политику с приоритетом 1, которая будет использоваться при подключении клиентов, и входим в режим конфигурации ISAKMP.
Определяем группу Diffie-Hellman, указываем алгоритмы хэш-функции и шифрования, а также пул динамического назначения IP-адресов{2}.
crypto isakmp policy 1
authentication pre-share
group 2
hash md5
encryption 3de
crypto isakmp client configuration address-pool local easy-vpn-group-dynpool
Создаем групповую политику IKE, содержащую атрибуты для удаленных клиентов. Указываем имя группы (логин), пароль, первичный сервер имен, домен, пул, маску сети, дополнительно можно указать WINS-сервер. А также разрешаем клиенту работу в его локальной сети на время работы VPN-туннеля.
crypto isakmp client configuration group authgroup
key easyvpnpassowrd
dns 192.168.1.254
domain company.ru
pool easy-vpn-group-dynpool
include-local-lan
netmask 255.255.255.0
Далее определяется список выполняемых операций (transform – изменений) для установки подлинности данных, конфиденциальности и сжатия{3}.
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
Создаем динамическую криптокарту rtp с порядковым номером 100, указываем transform-set и RRI (Reverse Route Injection) чтобы вещать маршруты на удаленные сети{3}.
crypto dynamic-map rtp 100
set transform-set rtpset
reverse-route
Применяем метод поиска ключей (IKE-запросы) для установления подлинности и разрешений группы. Настраиваем маршрутизатор для ответов на запросы удаленных клиентов{4}.
crypto map rtp isakmp authorization list authgroup
crypto map rtp client configuration address respond
Создаем профиль криптокарты:
crypto map rtp 100 ipsec-isakmp dynamic rtp
Ведение журнала подключений:
crypto logging session
Создаем пул адресов для группы VPN-клиентов:
ip local pool easy-vpn-group-dynpool 10.10.1.2 10.10.1.5
Список доступа для внешнего сетевого интерфейса. Открываем порты для VPN-клиентов: Authentication Header Protocol(AHP), ESP и UPD ISAKMP:
access-list 101 permit udp any host 172.16.1.1 eq non500-isakmp
access-list 101 permit udp any host 172.16.1.1 eq isakmp
access-list 101 permit esp any host 172.16.1.1
access-list 101 permit ahp any host 172.16.1.1
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 deny ip any any log
Не забываем про инспектирование сессий:
ip inspect name FW isakmp
ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW icmp
Дополнительные протоколы выбираем, исходя из потребностей.
Конфигурирование сетевых интерфейсов: назначаем криптокарту (включить VPN-сервер), список доступа, входящий и исходящий интерфейсы для процесса трансляции сетевых адресов NAT.
interface GigabitEthernet0/1
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
ip nat outside
crypto map rtp
ip inspect FW out
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip inspect FW in
exit
Исключаем VPN-трафик из процесса NAT между внутренней подсетью 192.168.1.0/24 и удаленной 10.10.1.0/24 (VPN-клиенты):
access-list 110 deny ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
route-map ISP permit 10
match ip address 110
ip nat inside source route-map ISP interface gi0/1 overload
С чем пришлось столкнуться. За маршрутизатором А спрятан почтовый сервер, IP: 192.168.1.2. На внешнем DNS-сервере в записи «A» для mx-записи указан IP 172.16.1.1, а на внутреннем DNS указан 192.168.1.2. C внешнего интерфейса настроено перенаправление 25 порта.
ip nat inside source static tcp 192.168.1.2 25 172.16.1.1 25 extendable
Однако VPN-клиенты не могли отправлять почту через внутренний почтовый сервер.
В качестве решения можно использовать дополнительную карту маршрутизации для исключения трафика из процесса NAT, тем самым направить его через туннель.
access-list 111 deny tcp 10.10.1.0 0.0.0.255 host 192.168.1.2 eq smtp
access-list 111 permit tcp any host 172.16.1.1 eq smtp
route-map smtp-for-vpn permit 10
match ip address 111
ip nat inside source static tcp 192.168.1.2 25 172.16.1.1 25 route-map smtp-for-vpn extendable
Настройка VPN Client
Программный VPN-клиент доступен для загрузки на веб-сайте компании Cisco Systems по адресу [4]. После установки в операционной системе автоматически будет создан виртуальный сетевой интерфейс, MTU установлено значение 1300. На рис. 3 представлен интерфейс создания нового подключения.
Рисунок 3. Настройки подключения
После успешного соединения с VPN-сервером в трее появится «замок» (см. рис. 4).
Рисунок 4. Соединение установлено
Cостояние текущих подключений можно посмотреть при помощи команды: «show crypto session», очистить текущие: «clear crypto session».
Блок конфигурации VPN Server для подключения VPN Remote
Задействуем аутентификацию для локальных пользователей, авторизация групп – см. выше {1}.
aaa authentication login authuser local
Создаем пользователя для удаленного подключения:
username ezvpn privilege 0 password cisco120
Настройка политики isakmp выполнена выше {2}.
Настраиваем групповую политику для удаленного подключения. Задаем ключ и разрешаем клиенту сохранять пароль в конфигурации:
crypto isakmp client configuration group easy-vpn-conn
key cisco121
save-password
Набор преобразования для протоколов безопасности IPSec и динамическая карта созданы выше {3}.
Задействуем расширенную аутентификацию XAUTH (Extended Authentication) для криптокарты (имя и пароль пользователя сisco сохранили в конфигурации маршрутизатора VPN Remote):
crypto map rtp client authentication list authuser
Авторизация групп для криптокарты задействована ранее {4}.
По аналогии с VPN Client необходимо исключить VPN-трафик из процесса NAT и разрешить доступ на внешнем интерфейсе. В списки доступа 110 и 101 добавляем:
access-list 110 deny ip 192.168.1.0 0.0.0.255 10.10.5.0 0.0.0.255
access-list 101 permit ip 10.10.5.0 0.0.0.255 192.168.1.0 0.0.0.255
Настройка VPN Remote
Указываем параметры подключения: автоматическое поднятие IPSec-туннеля, имя и ключ для соответствующей группы на VPN-сервере, IP-адрес сервера.
Расширенная аутентификация (Xauth) является дополнительной опцией, для включения которой на стороне сервера необходимо настроить криптокарту cм. выше {4}. Аутентификация через Xauth может быть настроена в трех вариантах, интерактивная – через командную строку (CLI), веб-интерфейс и сохранение имени и пароля – в конфигурации, как показано ниже:
crypto ipsec client ezvpn easy-vpn-conn
connect auto
group ez-remote-group key cisco121
mode network-extension
peer 172.16.1.1
username cisco password cisco120
xauth userid mode local
Назначим конфигурацию Easy VPN внешнему интерфейсу:
interface Vlan 2
ip address 10.10.5.1 255.255.255.0
crypto ipsec client ezvpn easy-vpn-conn inside
Определяем интерфейс, который получит доступ и будет доступен на VPN-сервере:
interface Vlan 2
ip address 10.10.5.1 255.255.255.0
crypto ipsec client ezvpn easy-vpn-conn inside
Также необходимо добавить маршрут для внутренней подсети за RouterA, на нем маршрут до подсети 10.10.5.0 создастся автоматически при поднятии туннеля:
ip route 192.168.1.0 255.255.255.0 172.16.1.1
Резюме
Объем настроек оборудования в удаленных офисах сводится к минимуму и состоит в подготовке универсального шаблона конфигурации. В дальнейшем этот шаблон может быть легко тиражирован на все устройства сети VPN без ущерба для уровня безопасности. В случае программного VPN Client, кроме установки на ПК, затрат вообще никаких не требуется. Таким образом, технология Easy VPN значительно минимизирует затраты на сопровождение благодаря автоматической загрузке конфигураций и политик с центрального узла. Существует возможность переключения на резервный канал, статические политики QoS для каждого узла.
К недостаткам можно отнести: ограничения динамической маршрутизации и отсутствие поддержки мобильных устройств.
Альтернативой является Cisco AnyConnect Client – новое поколение VPN-клиента Cisco, работающего по протоколу SSL. Отличительной особенностью является возможность его автоматической загрузки на компьютер, который до этого не имел VPN-клиента, а также поддержка Windows Mobile версий 5.0 и 6.0. Однако полная поддержка данного клиента реализована лишь в Сisco Adaptive Security Appliances (ASA).
Dynamic Multipoint VPN (DMVPN)
В основе технологии лежит механизм динамического установления соединений между узлами сети. Cisco DMVPN может быть развернут как совместно с системами безопасности Cisco IOS Firewall и Cisco IOS IPS, так и вместе с такими необходимыми в современных сетях механизмами, как QoS, IP Multicast, Split Tunneling. Используя возможности Cisco DMVPN, можно создавать крупные VPN-сети с десятками и сотнями узлов с возможностью балансировки загрузки каналов и резервирования.
В основе DMVPN [6] лежат несколько технологий:
- mGRE-туннели (Multiple Generic Routing Encapsulation);
- протокол NHRP [7] (Next Hop Resolution Protocol);
- протоколы динамической маршрутизации;
- профили IPsec (IPsec profiles).
На рис. 5 представлена Dual-DMVPN[8] топология с двумя центральными маршрутизаторами Hub 1 и 2, настроенными с одним mGRE-туннелем, а удаленные Spoke 1, 2 и 3 настроены с двумя mGRE-туннелями, подключенными к DMVPN-1 и 2 сетям (желтые облака).
Рисунок 5. Dual-hub Router, Dual-DMVPN Topology
NHRP – клиент-серверный протокол преобразования адресов, позволяющий всем хостам, которые находятся в NBMA (Non Broadcast Multiple Access) сети, динамически найти физические адреса друг друга, обращаясь к next-hop серверу (NHS). После этого хосты могут обмениваться информацией напрямую.
Алгоритм работы DMVPN
- Hub-маршрутизатор работает как NHS, а spoke-марш-рутизаторы – клиенты.
- Hub-маршрутизатор хранит и обслуживает базу данных NHRP, в которой хранятся соответствия между физическими адресами и адресами mGRE-туннелей spoke-маршрутизаторов.
- На каждом spoke-маршрутизаторе, hub-маршрутизатор статически указан как NHS и задано соответствие между физическим адресом и адресом mGRE-туннеля hub-маршрутизатора.
- При включении каждый spoke-маршрутизатор регистрируется на NHS и при необходимости запрашивает у сервера информацию об адресах других spoke-маршрутизаторов для построения туннелей spoke-to-spoke.
- Для взаимодействия между собой все маршрутизаторы должны принадлежать одной сети NHRP, принадлежность к сети определяется идентификатором сети (network ID).
- По средствам протокола EIGRP (Enhanced Interior Gateway Routing Protocol) распространяется информация о маршрутах к внутренним подсетям за hub- и spoke-маршрутизаторами.
- При потере связи с активным NHS, spoke-клиент использует альтернативный туннель.
MGRE-туннель позволяет одному GRE-интерфейсу поддерживать несколько IPsec-туннелей и упрощает количество и сложность настроек по сравнению с GRE-туннелями точка-точка. Также mGRE-интерфейс позволяет использовать динамически назначенные IP-адреса на spoke-маршрутизаторах.
Настройка DMVPN на Hub-1
- IP subnet: 10.10.1.0/24
- NHRP network ID: 100001
- Tunnel key: 100001
- Dynamic routing protocol: EIGRP
Создаем политику ISAKMP, указываем ключ и разрешаем аутентификацию с любого IP-адреса:
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco119 address 0.0.0.0 0.0.0.0
Определяем список выполняемых операций (transform) для установки подлинности данных, конфиденциальности и сжатия. Возможны два варианта: туннельный режим – инкапсуляция и защита всей IP-дейтаграммы и транспортный режим – инкапсулирует или защищает только полезную часть, что делает его подверженным атакам, но более экономичным за счет отсутствия дополнительного IP-заголовка ~ 20 байт на пакет.
crypto IPsec transform-set rtpset esp-des esp-md5-hmac
mode transport
crypto IPsec profile vpnprof
set transform-set rtpset
Создание туннельного интерфейса:
interface Tunnel1
! Полоса пропускания 1000 Кбит
bandwidth 1000
ip address 10.10.1.1 255.255.255.0
! Так как GRE добавляет дополнительные заголовки к IP-пакету,
! необходимо изменить значение MTU[2] на интерфейсе
ip mtu 1400
no ip next-hop-self eigrp 1
! Включаем NHRP с указанием идентификатора сети
ip nhrp network-id 100001
! Аутентификации (опционально)
ip nhrp authentication cisco118
! Автоматическое добавление соответствия между адресами
! spoke-маршрутизаторов
ip nhrp map multicast dynamic
! NHRP NBA-адреса действительны в течении 10 минут
ip nhrp holdtime 600
no ip split-horizon eigrp 1
! Необходимо изменить значение MSS[2]
ip tcp adjust-mss 1360
! Задержка пропускной способности интерфейса
! (десятки микросекунд)
delay 1000
! Настройка соответствия между туннельным интерфейсом
! и физическим
! В качестве адреса отправителя в пакете выходящем
! из mGRE-интерфейса будет использоваться IP-адрес
! физического интерфейса, а адрес получателя будет
! выучен динамически с помощью протокола NHRP
tunnel source Vlan1
Включаем mGRE-туннель, задаем идентификатор, профиль IPSec:
tunnel mode gre multipoint
tunnel key 100001
tunnel protection IPsec profile vpnprof
interface Vlan1
ip address 172.16.1.1 255.255.255.0
interface Vlan2
ip address 192.168.1.1 255.255.255.0
Динамическая маршрутизация:
router eigrp 1
network 10.10.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255
no auto-summary
Настройка DMVPN на Hub-2
Конфигурация Hub-2 аналогична Hub-1, отличия лишь в DMVPN:
- IP subnet: 10.10.2.0/24
- NHRP network ID: 100002
- Tunnel key: 100002
Настройка DMVPN на Spoke-1
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco119 address 0.0.0.0 0.0.0.0
crypto IPsec transform-set rtpset esp-des esp-md5-hmac
mode transport
crypto IPsec profile vpnprof
set transform-set rtpset
interface Tunnel1
bandwidth 1000
ip address 10.10.1.101 255.255.255.0
ip mtu 1400
ip nhrp authentication cisco118
! Статическое соответствие между адресом mGRE-туннеля
! и физическим адресом hub-маршрутизатора
!(первый адрес- адрес туннельного интерфейса,
! второй — адрес внешнего физического интерфейса)
ip nhrp map 10.10.1.1 172.16.1.1
! Адрес внешнего физического интерфейса hub-маршрутизатора
! указывается как получатель multicast-пакетов от локального
! маршрутизатора
ip nhrp map multicast 172.16.1.1
ip nhrp network-id 100001
ip nhrp holdtime 300
! Адрес туннельного интерфейса hub-маршрутизатора
! указывается как next-hop-сервер
ip nhrp nhs 10.10.1.1
ip tcp adjust-mss 1360
delay 1000
tunnel source Vlan1
tunnel mode gre multipoint
tunnel key 100001
tunnel protection IPsec profile vpnprof shared
interface Tunnel2
bandwidth 1000
ip address 10.10.2.101 255.255.255.0
ip mtu 1400
ip nhrp authentication cisco118
ip nhrp map 10.10.2.1 172.16.1.2
ip nhrp map multicast 172.16.1.2
ip nhrp network-id 100002
ip nhrp holdtime 300
ip nhrp nhs 10.10.2.1
ip tcp adjust-mss 1360
delay 1000
tunnel source Vlan1
tunnel mode gre multipoint
tunnel key 100002
tunnel protection IPsec profile vpnprof shared
interface Vlan1
!ip address dhcp hostname Spoke1
ip address 172.16.1.101 255.255.255.0
interface Vlan2
ip address 192.168.101.1 255.255.255.0
router eigrp 1
network 10.10.1.0 0.0.0.255
network 10.10.2.0 0.0.0.255
network 192.168.101.0 0.0.0.255
no auto-summary
Настройка DMVPN на Spoke-2, Spoke-n
Конфигурация аналогична Spoke-1, отличия лишь во внутренних IP-подсетях согласно рис. 5.
Резюме
Сеть может быть построена как с использованием одного, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Пересылка информации об IP-сетях осуществляется по зашифрованным туннелям между подразделениями компании при помощи протоколов динамической маршрутизации. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла сети. Отдельные узлы смогут устанавливать соединения VPN между собой без участия центрального узла. Возможна реализация политик QoS с различным приоритетом для разных узлов сети.
Недостатком выступает отсутствие возможности назначить отдельную QoS-политику для каждого туннеля, альтернативными технологиями в данном случае являются Point-to-Point GRE over Ipsec [9] и Virtual Tunnel Interface(VTI) [9].
Заключение
Рассмотренные способы настройки VPN применимы и вполне достаточны для большого числа современных компаний, однако в данной статье рассмотрены далеко не все технологии. Также на базе маршрутизаторов Cisco Systems могут быть реализованы такие технологии, как GRE VPN, MPLS VPN, VTI VPN и Web VPN, обладающие дополнительными преимуществами и недостатками, но это уже темы для следующих статей.
Перечень VPN-платформ на базе маршрутизаторов Cisco, поддерживающих рассмотренные технологии, доступен по адресу [9].
Приложение
О технологии
VPN (Virtual Private Network – виртуальная частная сеть) – логическая сеть, создаваемая поверх другой сети, например Интернета. За счёт шифрования создаются закрытые каналы, позволяющие объединить территориально разрозненные подразделения организации, надомных и мобильных работников в единую сеть. Учитывая современный ритм бизнеса, VPN является незаменимой технологией.
- Алгоритм Диффи-Хеллмана – http://ru.wikipedia.org/wiki/Diffie-Hellman.
- Resolve IP Fragmentation, MTU, MSS – http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml.
- Site-to-Site Tunnel Between IOS Routers – http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080223a59.shtml.
- Software VPN Client – http://www.cisco.com/kobayashi/sw-center/sw-vpn.shtml.
- Easy VPN – http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_configuration_example09186a008032b637.shtml.
- Dynamic Multipoint VPN – http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/DMVPN_1.html.
- Configuring NHRP – http://www.cisco.com/en/US/docs/ios/ipaddr/configuration/guide/iad_cfg_nhrp_ps9587_TSD_Products_Configuration_Guide_Chapter.html.
- Sharing IPsec with Tunnel Protection – http://www.cisco.com/en/US/docs/ios/security/configuration/guide/share_ipsec_w_tun_protect.html.
- IPsec VPN WAN Design Overview – http://www.cisco.com/application/pdf/en/us/guest/netsol/ns130/c649/ccmigration_09186a0080685ce6.pdf.