视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
VPN的设计与实现
2025-10-02 12:35:41 责编:小OO
文档
点击下载本文 文档为doc格式
IPSEC VPN的设计与实现

VPN指利用公共网络的拨号及接入网(比如PSTN,ISDN及ADSL),实现虚拟专用网,为企业、小型ISP、移动办公人员提供接入服务,适用于对服务质量,网络可靠性要求较低,对价格敏感的用户,并且地点分散,人员分散,对线路的保密和可用性有一定要求。

IPSec基于一组开放的网络安全协议,业务数据流通过IPSec加密,IPSec 能够提供服务器及客户端的双向身份认证,并且为IP及其上层业务数据提供安全加密保护,能够支持数据加密(包括常见的DES,3DES,AES加密算法),数据完整性验证,数据身份验证,以及防重放等功能,充分保证业务数据的安全性。IPSec VPN利用Internet构建三层隧道VPN的方式,可以允许用户以任意方式接入VPN,并且不受地理因素的,无论用户在外地或海外,只需要从当地接入Internet即可。IPSec VPN不仅适用于SOHO用户或移动办公用户接入,而且适用于企业分支机构之间的互连互通。正因为IPSec VPN具有其它VPN不可替代的业务优势,VPN业务已经得到了比较普遍的应用。

【实验目的】

通过本实验,加深对IPSEC VPN的理解,掌握在路由器上设计并实现VPN 的步骤和配置方法。

【实验学时】

本部分实验建议安排3学时。

【实验环境】

1、专有Windows操作系统的PC。

2、PacketTracer5.2路由模拟软件。

【实验内容】

实验拓扑图:Router1做总部VPN网关,Router2模拟Internet网,Router3模拟能上Internet网的接入路由器(该路由器具有NAT功能)。外出移动办公的笔记本能通过Router3进行VPN连接到公司总部的Web服务器。

Router1、Router2、Router3都选用2821型号的路由器,它们之间通过交叉线连接;笔记本、服务器与路由器之间也通过交叉线相连。

IP地址规划如下:

总部服务器Server-PT:192.168.1.1/24。

总部路由器Router1:fa0/0:192.168.1.254/24,fa0/1:100.1.1.2/24。

Internet路由器Router2:fa0/0:200.1.1.1/24,fa0/1:100.1.1.1/24。

远端接入路由器Router3:fa0/0:200.1.1.2/24,fa0/1:172.16.1.254/24。

办公笔记本Laptop-PT:172.16.1.1/24

一、NAT的配置

NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址;动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,选择相应的NAT技术类型。

1、总部路由器Router1的配置:Router1>ena

Router1#conf t

Router1(config)#int fa0/0

Router1(config-if)#ip address192.168.1.254255.255.255.0 Router1(config-if)#no shutdown

Router1(config-if)#exit

Router1(config)#int fa0/1

Router1(config-if)#ip address100.1.1.2255.255.255.0 Router1(config-if)#no shutdown

Router1(config-if)#exit

为Router1配置静态路由

Router1(config)#ip route0.0.0.00.0.0.0100.1.1.1

2、Internet路由器Router2的配置

Router2>ena

Router2#conf t

Router2(config)#int fa0/0

Router2(config-if)#ip address200.1.1.1255.255.255.0 Router2(config-if)#no shutdown

Router2(config-if)#exit

Router2(config)#int fa0/1

Router2(config-if)#ip address100.1.1.1255.255.255.0 Router2(config-if)#no shutdown

3、远端接入路由器Router3的配置

Router3>ena

Router3#conf t

Router3(config)#int fa0/0

Router3(config-if)#ip address200.1.1.2255.255.255.0 Router3(config-if)#ip nat outside//定义NAT对外接口Router3(config-if)#no shutdown

Router3(config-if)#exitRouter3(config)#int fa0/1

Router3(config-if)#ip address172.16.1.254255.255.255.0

Router3(config-if)#ip nat inside//定义NAT对内接口

Router3(config-if)#no shutdown

Router3(config-if)#exit

Router(config)#ip nat inside source list1interface fastEthernet0/0overload

为Router3配置静态路由

Router3(config)#ip route0.0.0.00.0.0.0200.1.1.1

配置列表

Router(config)#access-list1permit172.16.1.00.0.0.255//定义访问列表

4、为服务器和笔记本配置IP地址

为总部服务器Server-PT配置IP地址:192.168.1.1/24,默认网关:192.168.1.254。

为办公笔记本Laptop-PT配置IP地址:172.16.1.1/24,默认网关:172.16.1.254。

5、实验结果

此时,在笔记本Laptop-PT上可以ping到100.1.1.2,但无法访问总部内的Web 服务器。

二、VPN的配置

在总部路由器Router1上做VPN配置,其配置如下:

1、配置认证策略

(1)开启AAA认证

Router1(config)#aaa new-model

Router1(config)#aaa authentication login eza local

(2)配置对远程接入IPSec连接的授权,组名为ezo

Router1(config)#aaa authorization network ezo local

(3)创建用户名和密码

Router1(config)#username lizhaobin password123

(4)对IPSEC阶段一的安全参数进行配置

Router1(config)#crypto isakmp policy10

Router1(config-isakmp)#hash md5Router1(config-isakmp)#authentication pre-share

Router1(config-isakmp)#group2

(5)为VPN客户端接入后分配地址

Router1(config)#ip local pool ez192.168.2.1192.168.2.10

(6)VPN的组和密码配置

Router1(config)#crypto isakmp client configuration group myez

Router1(config-isakmp-group)#key123

Router1(config-isakmp-group)#pool ez

(7)对IPSEC阶段二的配置

Router1(config)#crypto ipsec transform-set tim esp-3des esp-md5-hmac

(8)动态加密

Router1(config)#crypto dynamic-map ezmap10

Router1(config-crypto-map)#set transform-set tim

(9)对VPN认证、授权配置(list是调用上面的AAA配置名)

Router1(config)#crypto map tom client authentication list eza

Router1(config)#crypto map tom isakmp authorization list ezo

Router1(config)#crypto map tom client configuration address respond

(10)进行动态加密的静态绑定

Router1(config)#crypto map tom10ipsec-isakmp dynamic ezmap

(11)绑定到接口

Router1(config)#interface fastEthernet0/1

Router1(config-if)#cr

Router1(config-if)#crypto m

Router1(config-if)#crypto map tom

三、实验结果测试

首先,在拓扑图上双击笔记本Laptop-PT,选择“Desktop”,再选择“command pormpt”,ping一下总部的公网地址100.1.1.2,通了后再ping总部内的服务器192.168.1.1,此时是无法ping通的。接下来进行VPN连接:依然在“Desktop”下选择“VPN”,依次输入如下信息:

GroupName:myezGroup key:123

Host IP:100.1.1.2

Username:lizhaobin

Password:123

点击“connect”后,会提示连接正常,并会显示一个192.168.2.X的地址。可以通过在“Desktop”下的Web Browser中输入IP:192.168.1.1,来访问总部的Web服务器下载本文

显示全文
专题
动视 51dongshi.net 版权所有
Copyright © 2019-2025