第5章VPN技术
本章任务:根据工程任务安全需求分析,解决利用Internet线路进行安全通信配置问题。 必备知识: 1. VPN概念
2. 站到站VPN配置
3. 远程访问VPN配置
学习目标:完成在路由器上创建模拟分公司与分支机构间、分支机构与员工电脑间VPN 连接的配置任务,保护基于Internet线路的网络通信安全。 5.1 模拟公司网络安全通信配置任务分析
5.2 VPN简介
5.3 IPSec VPN配置
根据前述对IPSec主要构成技术及运行步骤介绍不难发现,要构建IPSec VPN,一定需要配置以下几项内容:
●通过ACL选择在哪些网络、主机间建立IPSec VPN安全隧道;
●动态建立SA时,配置IKE/ISAKMP SA所需的各项参数;
●建立IPSec SA所需的各项参数;
●将IPSec SA与所要保护的网络、主机绑定在一起;
5.3.1 站到站VPN配置
在H3C网络设备上配置利用IKE自动协商预共享密钥的站到站VPN的步骤如表5-?所示。
表5-?自动协商预共享密钥站到站VPN配置步骤
其中步骤1用于定义哪些流量要被VPN保护,当这些流量经过网络设备接口时会触发网络设备启动IKE自动协商;步骤2用于定义IKE对等体信息,例如对等体对端VPN网关的地址、预共享密钥等。以及IKE提议信息,如本端VPN网关的地址、DH算法等;步骤3用于配置IPSEC工作时的加密算法等参数;步骤4用于定义IPSEC安全策略,将IKE对等体、IKE提议、IPSEC提议、选择要被过滤数据的ACL等绑定在一起;步骤5用于将定义好的IPSEC策略应用在指定的接口上。充退磁控制器
以上配置命令语法参看H3C手册。
由于VPN配置操作比较复杂,为了简化配置操作,H3C提供了WEB界面方式,可以通过图形界面,非常简单的完成配置。 当H3C网络设备接口与配置用PC机能够用网络连通后,利用H3C网络设备默认的admin用户和其默认启动的WEB服务,就可以利用浏览器对其进行配置。
首先在浏览器中输入H3C网络设备的IP地址,并在登录界面输入用户名“admin”,口令默认也为“admin”以及验证码等信息,即可进入H3C网络设备管理界面。
ofp002点击界面左边框菜单中【VPN】边的文件夹图标,展开,并点击【IPSec VPN】按钮,即可看到图5-?所示H3C WEB IPSEC VPN策略界面。如果已经配置有IPSec VPN策略,则可以在该界面中看到并对其进行编辑。
图5-?H3C WEB IPSEC VPN策略界面
点击图5-?所示界面中的【新建】按钮,则会进入图5-?所示H3C WEB IPSEC VPN 配置界面。在该界面中要配置站到站VPN必须输入的选项以及所应填入的内容按照从上到下顺序如表5-?所示。
表4-?IPSec VPN配置界面参数含义
5.8实训
5.8.1 站到站VPN配置
1. 实训组织:
实训学时:100分钟;
学生分组:2人/组。
2. 实训目的:
通过实训熟练掌握路由器上预共享密钥站到站VPN的安全配置基本操作。
3. 实训环境:
(1)安装有Windows系统和CiscoVPN客户端软件的PC机,每组3台;
(2)H3C MSR 20-40路由器(支持VPN功能),每组2台;
(3)H3C S3610交换机1台;
(5)UTP直通电缆,每组6条;
(6)Console电缆,每组2条。
注意,保持所有路由器、交换机为出厂配置。
4. 实训准备:
实训开始前按照图5-?所示网络拓扑连接好网络,配置网络设备、主机的网络连接,并测试网络连通性。
图5-?站到站VPN配置实训网络拓扑
5. 实训内容:
预共享密钥站到站VPN配置
6. 实训指导:
本实验指导以台席3上的R3、R4路由器、PC3、PC4为例,其他台席、其他路由器可相应将其IP地址进行改变,例如R1 e0/0口,使用IP地址为10.0.X.251。
(1)配置交换机端口镜像,做好数据抓包准备
ISP交换机端口镜像参考配置如下:
[3S1]mirroring-group 1 local
[3S1]mirroring-group 1 mirroring-port e1/0/1 to e1/0/23 both
砂
[3S1]mirroring-group 1 monitor-port e1/0/24
以上命令定义了一个编号为1的端口镜像组,在该端口镜像组中,将把端口e1/0/1到e1/0/23上的出入流量都镜像到端口e1/0/24。
(2)配置并检查网络连通性
在路由器R4上的参考配置如下:
[R4]int e0/1
[R4-Ethernet0/1]ip add 10.3.4.254 24
[R4-Ethernet0/1]
%Apr 5 17:28:54:119 2011 R4 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Ethernet0/1 is UP.
地锚机[R4-Ethernet0/1]rip
[R4-rip-1]network 10.0.0.0
[R4-rip-1]ver 2
[R4-rip-1]undo summary
[R4]int e0/0
[R4- Ethernet0/0]ip add 10.0.3.14 24
[R4- Ethernet0/0]
%Apr 5 17:29:40:956 2011 R4 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Ethernet0/0 is UP.
[R4- Ethernet0/0]quit
在路由器R4上的参考配置如下:
[R3]int e0/0供电设备
[R3-Ethernet0/0]ip add 10.0.3.13 24
[R3-Ethernet0/0]
%Apr 6 19:34:05:414 2011 R3 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Ethernet0/0 is UP.
[R3-Ethernet0/0]int e0/1
[R3-Ethernet0/1]ip add 10.3.3.254 24
[R3-Ethernet0/1]
%Apr 6 19:34:23:197 2011 R3 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Ethernet0/1 is UP.
[R3-Ethernet0/1]quit
[R3]rip
[R3-rip-1]network 10.0.0.0
[R3-rip-1]ver 2
[R3-rip-1]undo summary
[R3-rip-1]quit
[R3]复方金荞麦颗粒
完成R3、R4路由器配置后,按照图示配置PC网络连接属性。
并在PC5 上启动wireshark软件,设置过滤条件为:ip.addr == 10.0.3.1,即只显示IP地
