網(wǎng)絡(luò)安全與防護(hù)-實(shí)訓(xùn)指導(dǎo)25-1基于路由器實(shí)現(xiàn)分支與總部連接（PT）

學(xué)習(xí)情境2：實(shí)訓(xùn)任務(wù)2.5基于路由器實(shí)現(xiàn)分支與總部VPN連接內(nèi)容介紹

任務(wù)場景及描述1任務(wù)相關(guān)工具軟件介紹2任務(wù)設(shè)計(jì)、規(guī)劃3任務(wù)實(shí)施及方法技巧4任務(wù)檢查與評價(jià)5任務(wù)總結(jié)6任務(wù)場景及描述任務(wù)相關(guān)工具軟件介紹思科PacketTracer〔命令行方式配置〕：任務(wù)設(shè)計(jì)、規(guī)劃在實(shí)際企業(yè)環(huán)境中，經(jīng)常有這樣的需求，即要把企業(yè)總部與其分支機(jī)構(gòu)的兩個(gè)局域網(wǎng)絡(luò)利用VPN進(jìn)行連接，以實(shí)現(xiàn)資源的平安共享，其實(shí)這種就是前面介紹的VPN結(jié)構(gòu)中的站點(diǎn)到站點(diǎn)〔sitetosite〕模式的VPN。如以下圖所示，長春分公司的內(nèi)部主機(jī)A、B通過VPN實(shí)現(xiàn)對北京總部內(nèi)的C、D主機(jī)進(jìn)行平安通信。 互聯(lián)網(wǎng)ISP總公司地方或遠(yuǎn)程分公司北京長春ABCD任務(wù)設(shè)計(jì)、規(guī)劃IP:10.2.2.2IP:10.2.2.1IP:10.1.1.2IP:10.1.1.1R1200.1.1.2100.1.1.1R2S1/0S1/1FE0/0FE0/0互聯(lián)網(wǎng)BA〔1〕主機(jī)A發(fā)送感興趣數(shù)據(jù)流〔需要VPN保護(hù)的流量〕給主機(jī)B；〔2〕路由器R1和R2協(xié)商IKE第1階段會話〔IKE平安關(guān)聯(lián)〕；〔3〕路由器R1和R2協(xié)商IKE第2階段會話〔IPsec平安關(guān)聯(lián)〕；〔4〕感興趣數(shù)據(jù)流信息通過IPsec隧道進(jìn)行交換傳輸；〔5〕IPsec隧道終止。任務(wù)設(shè)計(jì)、規(guī)劃3、5個(gè)步驟中第1步哪些流量是感興趣數(shù)據(jù)流，即需要VPN保護(hù)的流量呢？根據(jù)圖中所示，感興趣數(shù)據(jù)流對于路由器R1和R2而言的，此處感興趣數(shù)據(jù)流是企業(yè)總部網(wǎng)絡(luò)到企業(yè)分支機(jī)構(gòu)的網(wǎng)絡(luò)的互相訪問的數(shù)據(jù)流量。例如：主機(jī)A到主機(jī)B的數(shù)據(jù)包的源IP為，目的IP為，屬于到的數(shù)據(jù)流量，反之同理。對于路器來說它并不知道什么是感興趣數(shù)據(jù)流，需要進(jìn)行配置，可以結(jié)合訪問控制列表進(jìn)行指明。哪些流量不是感興趣數(shù)據(jù)流，即不需要通過VPN保護(hù)的流量呢？根據(jù)圖中所示，對于A主機(jī)〔同網(wǎng)絡(luò)的主機(jī)也是這樣〕要訪問互聯(lián)網(wǎng)上的其它主機(jī)〔不是B主機(jī)網(wǎng)絡(luò)中的主機(jī)〕，這時(shí)就不需要進(jìn)行VPN保護(hù)了。如A訪問公網(wǎng)的網(wǎng)址，就不是感興趣數(shù)據(jù)流了，路由器R1或R2根據(jù)訪問控制列表可以進(jìn)行NAT轉(zhuǎn)換處理而不是進(jìn)行VPN保護(hù)了。因此在路由器R1和R2上要配置訪問控制列表定義哪些數(shù)據(jù)是感興趣數(shù)據(jù)流，哪些不是感興趣數(shù)據(jù)流，不是感興趣數(shù)據(jù)流需要通過配置NAT進(jìn)行轉(zhuǎn)換。舉個(gè)例子，可能不太恰當(dāng)。銀行的總行與分行之間的現(xiàn)金往來是有押運(yùn)車來保護(hù)的，但是銀行與蓄戶之間的現(xiàn)金往來就沒有押運(yùn)車來保護(hù)了。任務(wù)設(shè)計(jì)、規(guī)劃4、5個(gè)步驟中第2步此步為IKE階段1：IKE即Internet密鑰交換(InternetKeyExchange，IKE)是一種為IPSec管理和交換密鑰的標(biāo)準(zhǔn)方法。可以將IKE分為兩個(gè)階段：Phase1主要工作是進(jìn)行認(rèn)證，建立一個(gè)IKESA和Phase2主要是進(jìn)行密鑰交換，利用Phase1中的IKESA來協(xié)商IPSecSA。一旦兩個(gè)對等端之間的IKE協(xié)商取得成功，那么IKE就創(chuàng)立到遠(yuǎn)程對等端的平安關(guān)聯(lián)(securityassociation，SA)。SA是單向的；在兩個(gè)對等端之間存在兩個(gè)SA。IKE使用UDP端口500進(jìn)行協(xié)商，確保端口500不被阻塞。下面介紹Phase1。在phase1主要工作是：〔1〕選用協(xié)商模式mainmode〔主模式〕和aggressivemode〔可譯為挑戰(zhàn)模式或積極模式〕兩種模式的區(qū)別是，主模式平安性要高，提供了對通信雙方身份的保護(hù)，如IP地址等信息，平安性更高；挑戰(zhàn)模式去除了上主模式中的身份的保護(hù)等功能，因此速度上要比前一種快。

〔2〕選用一種身份認(rèn)證方法在路由器上，通信雙方主要有兩種身份認(rèn)證的方法：一種是通過presharekey〔預(yù)共享密鑰〕進(jìn)行連接認(rèn)證，一般多采用此種方式進(jìn)行身份認(rèn)證；另一種是利用前面講的非對稱加密算法及數(shù)字證書方式，這又分為兩種：一種是(rsa-sig)使用證書授權(quán)〔使用CA〕；別一種是(rsa-encr)手工配置RSA密鑰〔不使用CA〕。在思科路由器上可以使用如下命令定義身份認(rèn)證的方法：(isamkp)authentication{rsa-sig|rsa-encr|pre-share}。任務(wù)設(shè)計(jì)、規(guī)劃〔3〕選用一種加密算法

即對數(shù)據(jù)及信息的加密算法，加密算法可選56位的DES-CBC(des，默認(rèn)值)或者168位的3DES(3des)。在思科路由器上可以使用如下命令定義加密算法：(isakmp)encryption{des|3des}

〔4〕選用一種驗(yàn)證算法驗(yàn)證算法即散列算法，主要用于對所傳輸數(shù)據(jù)或信息的完整進(jìn)行驗(yàn)證的一種方法，那前面工作任務(wù)中提到的HASH算法。路由器中散列算法主要有sha和md5兩種，默認(rèn)sha。在思科路由器上可以使用如下命令定義散列算法：(isamkp)hash{sha|md5}

〔5〕選用一組diffie-hellman公鑰密碼系統(tǒng)組〔dh1或dh2〕。

D-H是基于非對稱加密的一種算法，只進(jìn)行密鑰的生成，使通信雙方都得到用于通信數(shù)據(jù)加密的對稱加密密鑰。關(guān)于D-H算法可以參考前面的加密局部工作任務(wù)中，也可以利用網(wǎng)絡(luò)進(jìn)行查找更多關(guān)于此算法的詳細(xì)說明。除非購置高端路由器，或是VPN通信比較少，否那么最好使用group1長度的密鑰，group命令有兩個(gè)參數(shù)值：1和2。參數(shù)值1表示密鑰使用768位密鑰，參數(shù)值2表示密鑰使用1024位密鑰，顯然后一種密鑰平安性高，但消耗更多的CPU時(shí)間。在思科路由器上可以使用如下命令定義Diffie-Hellman密鑰材料長度：(isakmp)group{1|2}〔6〕定義IKESA的生存周期對生成新SA的周期進(jìn)行調(diào)整。這個(gè)值以秒為單位，默認(rèn)值為86400，也就是一天。值得注意的是兩端的路由器都要設(shè)置相同的SA周期，否那么VPN在正常初始化之后，將會在較短的一個(gè)SA周期到達(dá)中斷。該項(xiàng)設(shè)置允許您決定ike的sa在到期前可以執(zhí)行多長時(shí)間。如設(shè)置為0那么表示IKESA的連接會一直保持不中斷。如果IKESA握手到期，那么IKESA和IPSecSA均需重新協(xié)商連接。

在思科路由器上可以使用如下命令定義IKESA的生存周期：(isakmp)lifetimeseconds任務(wù)設(shè)計(jì)、規(guī)劃5、5個(gè)步驟中第3步在phase2主要工作是：〔1〕選用協(xié)議封裝ESP與AH是數(shù)據(jù)封裝的兩種常用方式：EncapsulatingSecurityPayload〔ESP〕IP封裝平安負(fù)載協(xié)議協(xié)議號為50，ESP為IP數(shù)據(jù)包提供完整性檢查、認(rèn)證和加密，提供機(jī)密性并可防止篡改。ESP效勞依據(jù)建立的平安關(guān)聯(lián)〔SA〕是可選的；AuthenticationHeader〔AH〕協(xié)議號為51，與ESP區(qū)別在于AH沒有ESP的加密特性，AH的數(shù)據(jù)完整性驗(yàn)證是對整個(gè)數(shù)據(jù)包做出的，包括IP頭局部，但是IP頭局部包含很多可變參數(shù)，如經(jīng)過多個(gè)路由器后TTL、TOS、標(biāo)志位、及頭部校驗(yàn)和都可能變化，所以頭部的完整性發(fā)生變化導(dǎo)致收發(fā)方無法匹配。而ESP是對局部數(shù)據(jù)包做數(shù)據(jù)完整性驗(yàn)證時(shí)，不包括IP頭局部。因此從機(jī)密性與完整性角度考慮一般選擇ESP封裝。詳細(xì)信息可通過網(wǎng)絡(luò)進(jìn)行查詢。

〔2〕選用一種加密算法

〔3〕選用一種驗(yàn)證算法在思科路由器上可以使用如下命令定義IPSec協(xié)議封裝方式、加密算法與驗(yàn)證算法：cryptoipsectransform-set變換集名字esp-desesp-md5-hmac

任務(wù)設(shè)計(jì)、規(guī)劃〔4〕選用是否使用diffie-hellman公鑰密碼系統(tǒng)來執(zhí)行完美向前保密PFS，默認(rèn)為none禁用PFS。

〔5〕選用變換集的模式變換集的模式有兩種：隧道tunnel模式或者傳輸transport模式。在隧道方式下,整個(gè)IP包都封裝在一個(gè)新的IP包中,并在新的IP包頭和原來的IP包頭之間插入IPSec頭(AH/ESP)；傳輸模式主要為上層協(xié)議提供保護(hù)，AH和/或ESP包頭插入在IP包頭和運(yùn)輸層協(xié)議包頭之間。在思科路由器上可以使用如下命令定義變換集的模式：(crypto-transform)mode{tunnel|transport}

〔6〕定義IPSecSA生存時(shí)間。與IKESA的生存時(shí)間作用不同，但原理上是類似。

6、5個(gè)步驟中第4步這一階段為IPSec會話階段，在這一過程中SAs在通信雙方間進(jìn)行交換，并將協(xié)商的平安效勞應(yīng)用到數(shù)據(jù)流量上。7、5個(gè)步驟中第5步這一階段為隧道終止，隧道終止的可能原因是:設(shè)定的SA生存時(shí)間到了；包計(jì)時(shí)器超出，IPsecSA被移除。

任務(wù)設(shè)計(jì)、規(guī)劃

為配置的實(shí)現(xiàn)對上圖的簡化，下面是要進(jìn)行的實(shí)際配置中的圖及具體參數(shù)。 模擬互聯(lián)網(wǎng)總公司地方或遠(yuǎn)程分公司北京長春ACR1R2R3S1/0

S1/0

S1/1S1/1FE0/0

FE0/0

任務(wù)實(shí)施及方法技巧通過命令行配置站點(diǎn)到站點(diǎn)VPN1．VPN效勞器Router：R1(VPNServer)的配置〔1〕IKE配置router(config)#hostnamer1r1(config)#cryptoisakmppolicy1//定義策略為1r1(config)#hashmd5//定義MD5散列算法r1(isakmp)#authenticationpre-share//定義為預(yù)共享密鑰認(rèn)證方式r1(isakmp)#exitr1(config)#cryptoisakmpkeycisco123address0.0.0.00.0.0.0//配置預(yù)共享密鑰為cisco123,對等端為所有IP〔2〕IPSec協(xié)議配置r1(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac//創(chuàng)立變換集r1(config)#cryptodynamic-maprtpmap10//創(chuàng)立動態(tài)保密圖rtpmap10r1(crypto-map)#settransform-setrtpset//使用上面的定義的變換集rtpsetr1(crypto-map)#matchaddress115//援引訪問列表確定受保護(hù)的流量r1(crypto-map)#exitr1(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap//將動態(tài)保密圖集參加到正規(guī)的圖集中r1(config)#interfacefastethernet0/0任務(wù)實(shí)施及方法技巧r1(config-if)#ipnatinsider1(config-if)#exitr1(config)#interfaceSerial1/0r1(config-if)#clockrate64000r1(config-if)#noshutdownr1(config-if)#ipnatoutsider1(config-if)#cryptomaprtptrans//將保密映射應(yīng)用到S1/1接口上r1(config-if)#exitr1(config)#ipnatinsidesourceroute-mapnonatinterfaceSerial1/0overload!---這個(gè)NAT配置啟用了路由策略，內(nèi)容為到的訪問不進(jìn)行地址翻譯!---到其他網(wǎng)絡(luò)的訪問都翻譯成S0/0接口的IP地址r1(config)#iproute0.0.0.00.0.0.0Serial1/0//配置靜態(tài)路由協(xié)議r1(config)#access-list115denyip10.2.2.00.0.0.255anyr1(config)#access-list120permitip10.2.2.00.0.0.255anyr1(config)#route-mapnonatpermit10//使用路由策略r1(router-map)#matchipaddress120r1(config)#linevty04r1(config-line)#passwordceyr1(config-line)#login任務(wù)實(shí)施及方法技巧2．模擬互聯(lián)網(wǎng)路由器R2的配置模擬互聯(lián)網(wǎng)路由器R2只需要配置連接路由器R1和R3的兩個(gè)接口的IP地址即可：router(config)#hostnamer2r2(config)#interfaceSerial1/0r2(config-if)#ipaddress100.1.1.2r2(config-if)#clockrate64000r2(config-if)#noshutdownr2(config-if)#exitr2(config)#interfaceSerial1/1r2(config-if)#ipaddress200.1.1.1r2(config-if)#clockrate64000r2(config-if)#noshutdown任務(wù)實(shí)施及方法技巧3．VPN客戶端Router：R3〔VPNClient〕的配置router(config)#hostnamer3r3(config)#cryptoisakmppolicy1//定義策略為1r3(isakmp)#hashmd5//定義MD5散列算法r3(isakmp)#authenticationpre-share//定義為預(yù)共享密鑰認(rèn)證方式r3(config)#cryptoisakmpkeycisco123address100.1.1.1!---配置預(yù)共享密鑰為cisco123,對等端為效勞器端IP100.1.1.1!---IPSec協(xié)議配置r3(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac//創(chuàng)立變換集r3(config)#cryptomaprtp1ipsec-isakmp//使用IKE創(chuàng)立保密圖rtp1r3(crypto-map)#setpeer100.1.1.1//確定遠(yuǎn)程對等端r3(crypto-map)#settransform-setrtpset//使用上面的定義的變換集rtpsetr3(crypto-map)#matchaddress115//援引訪問列表確定受保護(hù)的流量r3(config)#interfacefastethernet0/0r3(config-if)#ipaddress1r3(config-if)#clockrate64000r3(config-if)#noshutdownr3(config-if)#ipnatinsider3(config-if)#exit任務(wù)實(shí)施及方法技巧r3(config)#interfaceSerial1/1r3(config-if)#ipaddress200.1.1r3(config-if)#clockrate64000r3(config-if)#noshutdownr3(config-if)#ipnatoutsider3(config-if)#cryptomaprtp//將保密映射應(yīng)用到S0/1接口上r3(config-if)#exitr3(config)#ipnatinsidesourceroute-mapnonatinterfaceSerial1/1overload!---這個(gè)NAT配置啟用了路由策略，內(nèi)容為到的訪問不進(jìn)行地址翻譯!---到其他網(wǎng)絡(luò)的訪問都翻譯成S1/1接口的IP地址r3(config-if)#iproute0.0.0.00.0.0.0Serial0//配置靜態(tài)路由協(xié)議r3(config)#access-list115denyip10.1.1.00.0.0.255anyr3(config)#access-list120permitip10.1.1.00.0.0.255anyr3(config)#route-mapnonatpermit10//使用路由策略r3(router-map)#matchipaddress120任務(wù)檢查與評價(jià)在基于命令行配置的VPN連接檢測在基于命令行中，可以借助于，Show和Debug命令進(jìn)行VPN連接的測試與排錯。r1#showcryptoisakmpsa//列出活動的IKE會話r1#showcryptoipsecsa//列出活動的IPsec平安關(guān)聯(lián)r1#debugcryptoisakmp//調(diào)試IKE通信任務(wù)檢查與評價(jià)任務(wù)2.5-知識技能要點(diǎn)測評表序號測評要點(diǎn)具體目標(biāo)測評權(quán)重1知識理解深入理解VPN及隧道技術(shù)，掌握隧道技術(shù)的應(yīng)用，熟悉VPN通道的建立過程。202工具及軟件使用能正確在路由器上基于命令行方式（不建議用SDM）進(jìn)行VPN連接的配置。103任務(wù)實(shí)施能在路由器上利用IPSEC隧道技術(shù)配置遠(yuǎn)程機(jī)構(gòu)的互聯(lián)。能夠采用正確的方法對VPN連接結(jié)果進(jìn)行檢查，并能說明檢查結(jié)果。204專業(yè)能力提升能對IPSEC技術(shù)的實(shí)現(xiàn)有深入理解205方法能力提升利用學(xué)習(xí)資源自主進(jìn)行深入學(xué)習(xí)206社會能力提升通過小組合作分析協(xié)議結(jié)構(gòu)，提升表達(dá)、溝通能力10任務(wù)總結(jié)謝謝您的收看！請多提珍貴意見！謝謝附件：基于工程案例的配置附件：基于工程案例的配置X_R#showrun//初始配置hostnameX_RenablepasswordciscointerfaceFastEthernet0/0ipnatoutsideinterfaceFastEthernet0/1ipnatinsiderouterospf1network192.168.19.00.0.0.255area0ipnatinsidesourcelist10poolpoolnatxoverloadiproute0.0.0.00.0.0.0201.1.1.1linevty04passwordciscologinend附件：基于工程案例的配置Z_R#showrun//初始配置hostnameZ_RipdhcppoolpoolzinterfaceFastEthernet0/0ipnatoutsideinterfaceFastEthernet0/1ipnatinsideipnatinsidesourcelist10interfaceFastEthernet0/0overloadiproute0.0.0.00.0.0.0204.1.1.1end附件：基于工程案例的配置X_R#showrun//配置辦事處單獨(dú)的IPSEC之后hostnameX_Renablepasswordciscocryptoisakmppolicy1encr3deshashmd5authenticationpre-sharegroup2lifetime80000cryptoipsectransform-setset123esp-3desesp-md5-hmaccryptomapmap1231ipsec-isakmpsettransform-setset123matchaddress110interfaceFastEthernet0/0ipnatoutsidecryptomapmap123!interfaceFastEthernet0/1ipnatinsiderouterospf1network192.168.19.00.0.0.255area0ipnatinsidesourcelist111poolpoolnatxoverloadiproute0.0.0.00.0.0.0201.1.1.1access-list111permitip192.168.11.00.0.0.255anyaccess-list111permitip192.168.12.00.0.0.255anyaccess-list111permitip192.168.13.00.0.0.255anyaccess-list111permitip192.168.14.00.0.0.255anyaccess-list111permitip192.168.15.00.0.0.255anyaccess-list111permitip192.168.16.00.0.0.255anyaccess-list111permitip192.168.17.00.0.0.255anyaccess-list111permitip192.168.18.00.0.0.255anyaccess-list111permitip192.168.19.00.0.0.255anylinevty04passwordciscologinend附件：基于工程案例的配置X_R#showrun//配置辦事處、分公司兩者的IPSEC之后hostnameX_Renablepasswordciscocryptoisakmppolicy1encr3deshashmd5authenticationpre-sharegroup2lifetime80000cryptoipsectransform-setset123esp-3desesp-md5-hmaccryptomapmap1231ipsec-isakmpsettransform-setset123matchaddress110interfaceFastEthernet0/0ipnatoutsidecryptomapmap123interfaceFastEthernet0/1ipnatinsiderouterospf1network192.168.19.00.0.0.255area0ipnatinsidesourcelist111poolpoolnatxoverloadiproute0.0.0.00.0.0.0201.1.1.1access-list111permitip192.168.11.00.0.0.255anyaccess-list111permitip192.168.12.00.0.0.255anyaccess-list111permitip192.168.13.00.0.0.255anyaccess-list111permitip192.168.14.00.0.0.255anyaccess-list111permitip192.168.15.00.0.0.255anyaccess-list111permitip192.168.16.00.0.0.255anyaccess-list111permitip192.168.17.00.0.0.255anyaccess-list111permitip192.168.18.00.0.0.255anyaccess-list111permitip192.168.19.00.0.0.255any附件：基于工程案例的配置Z_R#showrun//配置IPSEC之后hostnameZ_Ripdhcppoolpoolzcryptoisakmppolicy1encr3deshashmd5authenticationpre-sharegroup2lifetime80000