《計算機網(wǎng)絡安全防護技術（第二版）》課件 （秦燊）第4章 虛擬專用網(wǎng)技術

第4章虛擬專用網(wǎng)技術任務4.1配置IPSECVPN

隨著A公司的發(fā)展壯大，在多地開設了分公司，總公司和各分公司之間的網(wǎng)絡需要互連；在家辦工的員工以及出差的員工需要連接到公司內(nèi)網(wǎng)；供貨商、銷售商也需要連接到公司的外聯(lián)網(wǎng)。傳統(tǒng)的專線連接，雖然可以確?？偣九c分公司間網(wǎng)絡連接的安全性，但布署成本高、變更不靈活。出差的員工雖然可以通過遠程撥號接入公司內(nèi)網(wǎng)，但速度慢、費用高。而虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術，能利用因特網(wǎng)或其他公共互聯(lián)網(wǎng)絡的基礎設施，創(chuàng)建一條安全的虛擬專用網(wǎng)絡通道，是公司建立自己的內(nèi)聯(lián)網(wǎng)（Intrannet）和外聯(lián)網(wǎng)（Extranet）的最好選擇。

虛擬專用網(wǎng)絡，一方面是虛擬的，它的傳輸通道可以是因特網(wǎng)這樣的共享資源，因為共享，所以費用低。另一方面，它又是專用的，利用加密技術和隧道技術，可以為分處各地的公司節(jié)點構建出一條安全的專用隧道，確保數(shù)據(jù)的私密性（Confidentiality）、完整性（Integrity）和源認證（Authentication）等得到保障。再一方面，它是靈活的，只需通過軟件配置，就可以方便的增刪用戶，擴充分支接入點。

加密技術是虛擬專用網(wǎng)絡的基礎，安全隧道技術是虛擬專用網(wǎng)絡的核心。安全隧道技術實質(zhì)上是一個加密、封裝、傳輸和拆封、解密的過程。虛擬專用網(wǎng)絡傳輸數(shù)據(jù)的過程形式多樣，為便于理解，抽取一種典型的情況舉例說明：公司分部與公司總部分處兩地，運用VPN技術，通過因特網(wǎng)，將它們連接成一個專用網(wǎng)絡?，F(xiàn)從公司分部，以私網(wǎng)IP地址訪問公司總部的網(wǎng)絡。

首先，發(fā)送端的明文流量進入VPN設備，根據(jù)訪問控制列表和安全策略決定該流量是直接明文轉(zhuǎn)發(fā)，還是加密封裝后進入安全隧道轉(zhuǎn)發(fā)，還是將該流量丟棄。

若需進入安全隧道，先把包括私網(wǎng)IP地址在內(nèi)的數(shù)據(jù)報文進行加密，以確保數(shù)據(jù)的私密性；再將安全協(xié)議頭部、加密后的數(shù)據(jù)報文和預共享密鑰與一起進行HASH運算提取指紋，即進行HMAC，以確保數(shù)據(jù)的完整性和源認證；再封裝上新的公網(wǎng)IP地址，轉(zhuǎn)發(fā)進入公網(wǎng)。數(shù)據(jù)在公網(wǎng)傳輸?shù)倪^程，即是在安全隧道中傳輸?shù)倪^程，除了公網(wǎng)IP地址是明文的，其它部分都被加密封裝保護起來了。數(shù)據(jù)到達隧道的另一端，即到達公司總部后，先由VPN設備對數(shù)據(jù)包進行裝配、還原，經(jīng)過認證、解密，獲取、查看其私網(wǎng)目的IP地址，轉(zhuǎn)發(fā)到公司總部的目的地。任務4.1IPSECVPN

因為IP協(xié)議在設計之初并沒有考慮安全性，存在很多安全隱患，所以在隨后的IPV6設計中，加強了安全設計，IPSec（IPSecurity）成為IPV6的重要組成部分。IPSec不僅是IPV6的一個部分，同時，它也能被IPv4使用，通過IPSec可以選擇所需的安全協(xié)議、算法、定義密鑰的生成與交換方法，為通信節(jié)點間提供安全的IP傳輸通道。

IPSec使用兩種安全協(xié)議提供服務，一種是AH（AuthenticationHeader,驗證頭），另一種是ESP（EncapsulatingSecurityPayload，封裝安全載荷）。其中，AH協(xié)議只提供源認證和完整性校驗，不提供加密保護。ESP協(xié)議則提供加密、源認證和完整性校驗。

不論是AH還是ESP，都有兩種工作模式，一種是傳輸模式（TransportMode），另一種是隧道模式（TunnelMode）。在傳輸模式中，源和目的IP地址及IP包頭域是不加密的，從源到目的端的數(shù)據(jù)使用原來的IP地址進行通信。攻擊者截獲數(shù)據(jù)后，雖無法破解數(shù)據(jù)內(nèi)容，但可看到通信雙方的地址信息。傳輸模式適用于保護端到端的通信，如局域網(wǎng)內(nèi)網(wǎng)絡管理員遠程網(wǎng)管設備時的通道加密。

隧道模式中，用戶的整個IP數(shù)據(jù)包被加密后封裝在一個新的IP數(shù)據(jù)包中，新的源和目的IP地址是隧道兩端的兩個安全網(wǎng)關的IP地址，原來的IP地址被加密封裝起來了。攻擊者截獲數(shù)據(jù)后，不但無法破解數(shù)據(jù)內(nèi)容，而且也無法了解通信雙方的地址信息。隧道模式適用于站點到站點間建立隧道，保護站點間的通信數(shù)據(jù)，如跨越公網(wǎng)的總公司和分公司、移動用戶通過公網(wǎng)訪問公司內(nèi)網(wǎng)等場景。

IPSECVPN的傳輸分為兩個階段，協(xié)商階段和數(shù)據(jù)傳輸階段。

如圖4-1-1所示，打開EVE-NG，搭建實驗拓撲。圖4-1-1實驗拓撲圖

一、基礎配置：1.IP地址配置：VPCS1>ip54R1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshuR1(config-if)#intg0/0R1(config-if)#ipaddR1(config-if)#noshuR2(config)#intg0/0R2(config-if)#ipaddR2(config-if)#noshuR2(config-if)#intg0/1R2(config-if)#ipaddR2(config-if)#noshuR3(config)#intg0/1R3(config-if)#ipaddR3(config-if)#noshuR3(config-if)#intg0/0R3(config-if)#ipaddR3(config-if)#noshuR4(config)#intg0/0R4(config-if)#ipaddR4(config-if)#noshuR4(config-if)#intg0/1R4(config-if)#ipadd54R4(config-if)#noshuVPCS2>ip542.配置內(nèi)網(wǎng)路由（1）總公司網(wǎng)絡內(nèi)部互通，配置如下：R2(config)#iproute（2）為總公司內(nèi)部路由器R1配置默認路由：R1(config)#iproute（3）分公司網(wǎng)絡內(nèi)部已互通，不需要配置。3.配置外網(wǎng)路由，使Internet公網(wǎng)互通：R2(config)#iprouteR4(config)#iproute

二、為R2配置IPSecVPN

采用IPSec保護通信雙方的數(shù)據(jù)，需要通信雙方協(xié)商決定一個SA（SecurityAssociation，安全聯(lián)盟），SA是單向的，它包括協(xié)議、算法、密鑰等內(nèi)容。IPSecSA由三個參數(shù)唯一標識，這三個參數(shù)是：目的IP地址、安全協(xié)議（ESP或AH）和一個稱為SPI（SecurityParametersIndex）的32位值。SPI可以手工指定，也可以由第一階段自動生成。

通信雙方需要保護的數(shù)據(jù)稱為感興趣流，通過ACL配置，ACL允許的流量，將被保護。保護感興趣流所用的安全協(xié)議（AH、ESP），工作模式（transport、tunnel），加密算法（des、3des、aes、gcm、gmac、seal），驗證算法（md5、sha、sha256、sha384、sha512），由第二階段的ipsec轉(zhuǎn)換集來定義。

第二階段還要定義安全策略cryptomap用來指定對哪個感興趣流進行保護；保護感興趣流時采用哪個ipsec轉(zhuǎn)換集；指定密鑰和SPI等參數(shù)的產(chǎn)生方法是手工配置，還是通過調(diào)用第一階段的IKE自動協(xié)商生成；對于隧道模式還要指定隧道對端的IP地址。

相同策略名不同序號的安全策略構成一個安全策略組，一個安全策略組可以應用到一個接口上。將安全策略組應用到安全網(wǎng)關的接口上后，一旦有流量經(jīng)過這個接口，就會撞上這個cryptomap安全策略組，若該這些流量匹配這個安全策略組指定的感興趣流，就對這些流量進行加密封裝，同時加上新的源IP地址和目的IP地址。再根據(jù)新的目的IP地址，重新查路由表送出受保護的流量。為R2配置IPSecVPN的方法如下：1.啟用IKER2(config)#cryptoisakmpenable命令cryptoisakmpenable用于啟用第一階段的IKE。IKE（InternetKeyExchange,因特網(wǎng)密鑰交換）是一種通用的交換協(xié)議，可為IPSEC提供自動協(xié)商交換密鑰的服務。若第二階段的安全策略cryptomap指定密鑰和SPI等參數(shù)的產(chǎn)生方式是通過調(diào)用第一階段的IKE自動協(xié)商產(chǎn)生，則需要啟用IKE，IKE默認已經(jīng)啟用，若被手工關閉，則需再次啟用。IKE采用了ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）所定義的密鑰交換框架體系，若無特殊說明，后文中IKE與ISAKMP這兩個詞可互相通用。2.配置第一階段：1）創(chuàng)建isakmppolicy10，查看默認參數(shù)：R2(config)#cryptoisakmppolicy10R2#showcryptoisakmppolicyGlobalIKEpolicyProtectionsuiteofpriority10encryptionalgorithm:DES-DataEncryptionStandard(56bitkeys).hashalgorithm:SecureHashStandardauthenticationmethod:Rivest-Shamir-AdlemanSignatureDiffie-Hellmangroup:#1(768bit)lifetime:86400seconds,novolumelimit可以看到IKE的默認參數(shù)：加密算法是DES，驗證算法是SHA，驗證方法是RSA簽名，DH組是組1，ISAKMPSA的存活時間是86400秒。2）為isakmppolicy10自定義參數(shù)：R2(config)#cryptoisakmppolicy10R2(config-isakmp)#encryption3desR2(config-isakmp)#hashsha512R2(config-isakmp)#authenticationpre-share//將驗證方法設置為預共享密鑰。R2(config-isakmp)#group23）配置ISAKMP預共享密鑰：R2(config)#cryptoisakmpkeyciscoaddress3.配置第二階段：（1）配置感興趣流。通過ACL配置感興趣流，ACL允許的流量將被保護。命令如下：R2(config)#ipaccess-listextendedvpnacl1R2(config-ext-nacl)#permitip55552）配置ipsec轉(zhuǎn)換集：ipsec轉(zhuǎn)換集用來定義保護感興趣流所用的安全協(xié)議（AH、ESP），工作模式（transport、tunnel），加密算法（des、3des、aes、gcm、gmac、seal），驗證算法（md5、sha、sha256、sha384、sha512）。R2(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmac3）配置第二階段的安全策略cryptomap安全策略由策略名、序號組成，相同策略名的安全策略構成一個安全策略組，一個接口只能連接一個安全策略組。安全策略用來指定對哪個感興趣流進行保護；保護時采用哪個ipsec轉(zhuǎn)換集；密鑰和SPI等參數(shù)的產(chǎn)生方法是手工指定，還是通過調(diào)用第一階段的IKE自動協(xié)商生成；隧道模式下還要指定隧道對端的IP地址。R2(config)#cryptomapcrymap110ipsec-isakmp//關鍵字ipsec-isakmp指密鑰和SPI等參數(shù)由第一階段isakmp自動協(xié)商生成。R2(config-crypto-map)#matchaddressvpnacl1R2(config-crypto-map)#settransform-settrans1R2(config-crypto-map)#setpeer4.在外部接口調(diào)用cryptomapR2(config)#intg0/1R2(config-if)#cryptomapcrymap1三、配置網(wǎng)關R4在公司分部的網(wǎng)關R4上用同樣的方法進行配置：R4(config)#cryptoisakmpenableR4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryption3desR4(config-isakmp)#hashsha512R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#group2R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddressR4(config)#ipaccess-listextendedvpnacl2R4(config-ext-nacl)#permitip5555R4(config-ext-nacl)#exitR4(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR4(cfg-crypto-trans)#exitR4(config)#cryptomapcrymap210ipsec-isakmp（將紅色字體部分加粗）R4(config-crypto-map)#matchaddressvpnacl2R4(config-crypto-map)#setpeerR4(config-crypto-map)#settransform-settrans1R4(config-crypto-map)#exitR4(config)#intg0/0R4(config-if)#cryptomapcrymap2四、配置總部與分部間的私網(wǎng)路由1.在總部出口網(wǎng)關上配置去往分部內(nèi)網(wǎng)的路由。在總部的出口網(wǎng)關R2上，配置“iproute”，R2遇到去往的流量，通過查路由表，從g0/1接口送出。在g0/1接口上，撞上cryptomap，匹配感興趣流，并根據(jù)IPSECVPN的配置，對數(shù)據(jù)進行加密封裝，同時加上新的源IP地址和目的IP地址，分別是源，目的。根據(jù)新的目的IP地址，重新查路由表，發(fā)現(xiàn)出接口是g0/1，再把加密后的數(shù)據(jù)從g0/1送出。配置命令如下：R2(config)#iproute2.在分部出口網(wǎng)關上配置去往總部內(nèi)網(wǎng)的路由。R4(config)#iproute五、測試及查詢：1.ping測試R1#pingsource54re100由于源地址54和目的地址匹配感興趣流，所以路由器會將這些從54出發(fā)的ICMP數(shù)據(jù)包加密封裝后送往目的IP地址。2.查詢配置及狀態(tài)1）查詢crypto的相關配置R2#showrun|secryptocryptoisakmppolicy10encr3deshashsha512authenticationpre-sharegroup2cryptoisakmpkeyciscoaddresscryptoipsectransform-settrans1esp-aesesp-sha512-hmacmodetunnelcryptomapcrymap110ipsec-isakmpsetpeersettransform-settrans1matchaddressvpnacl1cryptomapcrymap12）查詢第一階段的安全聯(lián)盟SAR2#showcryptoisakmpsaIPv4CryptoISAKMPSAdstsrcstateconn-idstatusQM_IDLE1001ACTIVEIPv6CryptoISAKMPSA3）查詢cryptoengine連接狀態(tài)。R2#showcryptoengineconnectionsactiveCryptoEngineConnectionsIDTypeAlgorithmEncryptDecryptLastSeqNIP-Address1IPsecAES+SHA512099992IPsecAES+SHA51299001001IKESHA512+3DES000（4）查詢第二階段的安全聯(lián)盟SA，命令如下：R2#showcryptoipsecsa（5）查詢cryptosession，命令如下：R2#showcryptosession六、清除安全聯(lián)盟SA1.清除第一階段安全聯(lián)盟ISAKMP/IKESAR2#clearcryptoisakmp2.清除第二階段安全聯(lián)盟IPSECSAR2#clearcryptosa謝謝欣賞第4章虛擬專用網(wǎng)技術任務4.2.1配置GREOverIPSec任務4.2配置GREOverIPSec和SVTIVPN

IPSECVPN通過校驗算法、驗證算法和加密算法確保了數(shù)據(jù)在公網(wǎng)上傳輸時的安全性，但IOS12.4之前版本的IPSEC，無法使用虛擬隧道接口技術，難以很好的支持組播和路由協(xié)議等IP協(xié)議族中的協(xié)議，只適用于簡單的網(wǎng)絡環(huán)境。

GRE（GenericRoutingEncapsulation，通用路由封裝），是一種通用的封裝協(xié)議，采用的虛擬隧道接口，可以支持組播、廣播和路由等協(xié)議，實現(xiàn)任意一種網(wǎng)絡層協(xié)議在另一種網(wǎng)絡層協(xié)議上的封裝。但是GRE不能確保數(shù)據(jù)的私密性、完整性和源認證。

將IPSEC和GRE結合起來，綜合了兩者的優(yōu)點，既能保證數(shù)據(jù)的安全性，又可以支持組播、廣播，可以配置動態(tài)路由協(xié)議以及配置ACL、QoS等對數(shù)據(jù)流進行控制。

IOS12.4之后全新的虛擬隧道接口（VirtualTunnelInterface，VTI）技術不再需要依托GRE，可直接使用IPSec建立隧道接口，并且比GREOverIPSec少了4個字節(jié)的GRE頭部。VTI技術分為SVTI(靜態(tài)VTI)和動態(tài)VTI（DVTI），其中SVTI可用于替換傳統(tǒng)的靜態(tài)cryptomap配置，用于站點到站點的VPN。

本節(jié)將分別介紹GREOverIPSec和SVTIVPN的配置。任務4.2.1配置GREOVERIPSec如圖4-2-1所示，打開EVE-NG，搭建實驗拓撲。圖4-2-1GREOverIPSec和SVTIVPN實驗拓撲圖一、基礎配置：VPCS1>ip54R1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshuR1(config-if)#intg0/0R1(config-if)#ipaddR1(config-if)#noshuR2(config)#intg0/0R2(config-if)#ipaddR2(config-if)#noshuR2(config-if)#intg0/1R2(config-if)#ipaddR2(config-if)#noshuR3(config)#intg0/1R3(config-if)#ipaddR3(config-if)#noshuR3(config-if)#intg0/0R3(config-if)#ipaddR3(config-if)#noshuR4(config)#intg0/0R4(config-if)#ipaddR4(config-if)#noshuR4(config-if)#intg0/1R4(config-if)#ipadd54R4(config-if)#noshuVPCS2>ip54配置Internet路由：R2(config)#iprouteR4(config)#iproute二、配置GREoveripsec配置GREoveripsec與配置IPSECVPN類似，需要配置cryptoisakmp策略、ipsec轉(zhuǎn)換集、感興趣流、cryptomap（含對等體等）。要注意的是，感興趣流的配置是“permitgrehosthost”，匹配的是gre流量，不是ip流量；源、目地址匹配的是公網(wǎng)地址，不是私網(wǎng)地址。配置R2的tunnel0：R2(config)#inttunnel0R2(config-if)#ipaddR2(config-if)#tunnelsourceR2(config-if)#tunneldestination配置R4的tunnel0：R4(config)#inttunnel0R4(config-if)#ipaddR4(config-if)#tunnelsourceR4(config-if)#tunneldestination在R4上運行ping測試：R4#ping//能成功ping通在R2上，配置GREoveripsec：R2(config)#cryptoisakmppolicy10R2(config-isakmp)#encryptionaesR2(config-isakmp)#hashsha512R2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#group2R2(config-isakmp)#exitR2(config)#cryptoisakmpkeyciscoaddressR2(config)#ipaccess-listextendedvpnacl1R2(config-ext-nacl)#permitgrehosthostR2(config-ext-nacl)#exitR2(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR2(cfg-crypto-trans)#exitR2(config)#cryptomapcrymap110ipsec-isakmpR2(config-crypto-map)#matchaddressvpnacl1R2(config-crypto-map)#setpeerR2(config-crypto-map)#settransform-settrans1R2(config-crypto-map)#exitR2(config)#intg0/1R2(config-if)#cryptomapcrymap1

R4上，配置GREoveripsecR4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryptionaesR4(config-isakmp)#hashsha512R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#group2R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddressR4(config)#ipaccess-listextendedvpnacl1R4(config-ext-nacl)#permitgrehosthostR4(config-ext-nacl)#exitR4(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR4(cfg-crypto-trans)#exitR4(config)#cryptomapcrymap110ipsec-isakmpR4(config-crypto-map)#matchaddressvpnacl1R4(config-crypto-map)#setpeerR4(config-crypto-map)#settransform-settrans1R4(config-crypto-map)#exitR4(config)#intg0/0R4(config-if)#cryptomapcrymap1三、為私網(wǎng)配置動態(tài)路由：R1(config)#routerospf1R1(config-router)#network55area0R1(config-router)#network55area0R2(config)#routerospf1R2(config-router)#network55area0R2(config-router)#network55area0R4(config)#routerospf1R4(config-router)#network55area0R4(config-router)#network55area0測試：VPCS2>ping，能成功ping通。謝謝欣賞第4章虛擬專用網(wǎng)技術任務4.2.2配置SVTIVPN任務4.2配置GREOverIPSec和SVTIVPN

IPSECVPN通過校驗算法、驗證算法和加密算法確保了數(shù)據(jù)在公網(wǎng)上傳輸時的安全性，但IOS12.4之前版本的IPSEC，無法使用虛擬隧道接口技術，難以很好的支持組播和路由協(xié)議等IP協(xié)議族中的協(xié)議，只適用于簡單的網(wǎng)絡環(huán)境。

GRE（GenericRoutingEncapsulation，通用路由封裝），是一種通用的封裝協(xié)議，采用的虛擬隧道接口，可以支持組播、廣播和路由等協(xié)議，實現(xiàn)任意一種網(wǎng)絡層協(xié)議在另一種網(wǎng)絡層協(xié)議上的封裝。但是GRE不能確保數(shù)據(jù)的私密性、完整性和源認證。

將IPSEC和GRE結合起來，綜合了兩者的優(yōu)點，既能保證數(shù)據(jù)的安全性，又可以支持組播、廣播，可以配置動態(tài)路由協(xié)議以及配置ACL、QoS等對數(shù)據(jù)流進行控制。

IOS12.4之后全新的虛擬隧道接口（VirtualTunnelInterface，VTI）技術不再需要依托GRE，可直接使用IPSec建立隧道接口，并且比GREOverIPSec少了4個字節(jié)的GRE頭部。VTI技術分為SVTI(靜態(tài)VTI)和動態(tài)VTI（DVTI），其中SVTI可用于替換傳統(tǒng)的靜態(tài)cryptomap配置，用于站點到站點的VPN。

本節(jié)將分別介紹GREOverIPSec和SVTIVPN的配置。

VTI技術分為靜態(tài)VTI(SVTI)和動態(tài)VTI（DVTI），其中SVTI可用于替換傳統(tǒng)的靜態(tài)cryptomap配置，用于站點到站點的VPN。但SVTI技術需要IOS12.4之后的版本才能支持，一些老于12.4版本的設備只能采用GREOverIPSEC技術。一、基礎配置VPCS1>ip54R1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshuR1(config-if)#intg0/0R1(config-if)#ipaddR1(config-if)#noshu任務4.2.2配置SVTIVPNR2(config)#intg0/0R2(config-if)#ipaddR2(config-if)#noshuR2(config-if)#intg0/1R2(config-if)#ipaddR2(config-if)#noshuR3(config)#intg0/1R3(config-if)#ipaddR3(config-if)#noshuR3(config-if)#intg0/0R3(config-if)#ipaddR3(config-if)#noshuR4(config)#intg0/0R4(config-if)#ipaddR4(config-if)#noshuR4(config-if)#intg0/1R4(config-if)#ipadd54R4(config-if)#noshuVPCS2>ip54配置Internet路由：R2(config)#iprouteR4(config)#iproute二、配置SVTIVPN在R2上配置SVTIVPN：R2(config)#cryptoisakmppolicy10R2(config-isakmp)#encryptionaesR2(config-isakmp)#hashsha512R2(config-isakmp)#authenticationpre-shareR2(config-isakmp)#group2R2(config-isakmp)#exitR2(config)#cryptoisakmpkeyciscoaddress（下面請空一行）R2(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR2(cfg-crypto-trans)#exitR2(config)#cryptoipsecprofilepro1R2(ipsec-profile)#settransform-settrans1R2(ipsec-profile)#exitR2(config)#inttunnel0R2(config-if)#ipaddR2(config-if)#tunnelsourceR2(config-if)#tunneldestinationR2(config-if)#tunnelmodeipsecipv4R2(config-if)#tunnelprotectionipsecprofilepro1R2(config-if)#end三、R4上SVTI的配置R4(config)#cryptoisakmppolicy10R4(config-isakmp)#encryptionaesR4(config-isakmp)#hashsha512R4(config-isakmp)#authenticationpre-shareR4(config-isakmp)#group2R4(config-isakmp)#exitR4(config)#cryptoisakmpkeyciscoaddressR4(config)#cryptoipsectransform-settrans1esp-aesesp-sha512-hmacR4(cfg-crypto-trans)#exitR4(config)#cryptoipsecprofileprofile1R4(ipsec-profile)#settransform-settrans1R4(ipsec-profile)#exitR4(config)#inttunnel0R4(config-if)#ipaddR4(config-if)#tunnelsourceR4(config-if)#tunneldestinationR4(config-if)#tunnelmodeipsecipv4R4(config-if)#tunnelprotectionipsecprofileprofile1R4(config-if)#end三、為私網(wǎng)配置動態(tài)路由：配置如下：R1(config)#routerospf1R1(config-router)#network55area0R1(config-router)#network55area0R2(config)#routerospf1R2(config-router)#network55area0R2(config-router)#network55area0R4(config)#routerospf1R4(config-router)#network55area0R4(config-router)#network55area0測試：VPCS2>ping，能成功ping通。謝謝欣賞第4章虛擬專用網(wǎng)技術任務4.3.1配置無客戶端SSLVPN

SSL（SecureSocketsLayer，安全套接層）是一個工作在TCP與應用層之間的安全協(xié)議。它綜合運用了各種加密技術，實現(xiàn)了私密性、信息完整性和身份認證等特性，可用于加密HTTP、郵件、VPN等。

第3章中介紹了SSL在加密HTTP方面的應用，下面，分別對無客戶端SSLVPN，瘦客戶端SSLVPN，厚客戶端SSLVPN進行講解。4.3SSLVPN

如圖4-3-1所示，打開EVE-NG，搭建實驗拓撲。任務4.3.1配置無客戶端SSLVPN圖4-3-1SSLVPN實驗拓撲圖

無客戶端的Web接入是SSLVPN最常見的接入方式，采用Web反向代理技術。具體配置如下：

一、外網(wǎng)Win7主機的配置外網(wǎng)Win7主機用于模擬在外出差員工電腦，同時用作圖形界面網(wǎng)管防火墻的電腦。方法是通過VMware打開第二章防火墻實驗中的Win7網(wǎng)管電腦，將其恢復到第二章實驗時保存的快照，即恢復到已經(jīng)安裝好“JRE和ASDM”狀態(tài)的快照，并將IP地址等基本配置按新實驗更改如下：IP地址：子網(wǎng)掩碼:缺省網(wǎng)關:不要配置網(wǎng)絡連接到：VMnet1二、內(nèi)網(wǎng)服務器及外網(wǎng)電腦的配置通過VMware打開第二章防火墻實驗中的DMZ服務器Win2003，將其恢復到第二章實驗時保存的快照，即已經(jīng)安裝好“IIS”狀態(tài)的快照，并將IP地址等基本配置更改如下：IP地址：子網(wǎng)掩碼：缺省網(wǎng)關:54網(wǎng)絡連接到：VMnet2在IIS中，停用之前的網(wǎng)站，并新建一個網(wǎng)站，本機上測試能正常訪問。三、路由器和防火墻的基本配置1.路由器R1的基本配置，命令如下：R1(config)#intg0/0R1(config-if)#ipaddR1(config-if)#noshuR1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshu2.防火墻的IP地址、接口命名、接口安全級別等配置，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshuciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.ciscoasa(config-if)#intg0/0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshuciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.3.啟用對ASAv防火墻的圖形界面管理，命令如下：ciscoasa(config)#httpserverenableciscoasa(config)#http00Outside四、內(nèi)網(wǎng)路由表的配置內(nèi)網(wǎng)有兩個網(wǎng)段。內(nèi)網(wǎng)路由器與兩個網(wǎng)段都直連，無需配置路由表；防火墻只直連了內(nèi)網(wǎng)的一個網(wǎng)段，需要為另一個網(wǎng)段配置靜態(tài)路由，配置命令如下：ciscoasa(config)#routeinside五、檢測防火墻的當前日期和時間，將其設置成與Win7電腦的日期和時間同步ciscoasa(config)#showclock//查看當前日期和時間ciscoasa(config)#clockset18:32:0030Dec2023//設置日期和時間六、SSLVPN無客戶端方式的配置（一）圖形界面的配置1.在外網(wǎng)的Win7上，運行ASDM，輸入防火墻外網(wǎng)接口地址54，用戶名和密碼留空，點擊“OK”按鈕，進入防火墻的圖形管理界面。2.如圖4-3-2所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾選Outside接口>點擊“Apply”按鈕。允許無客戶端SSLVPN從防火墻外網(wǎng)接口連接。圖4-3-2SSLVPN無客戶端方式的配置13.如圖4-3-3所示，找到Configuation>RemmoteAccessVPN>AAA/LocalUsers>LocalUsers>點擊“Add”按鈕>創(chuàng)建新用戶“user1”，密碼設為“cisco@1234”>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-3SSLVPN無客戶端方式的配置2（二）字符界面的配置與圖形界面類似，可用字符界面實現(xiàn)同樣的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config-webvpn)#enableOutsideINFO:WebVPNandDTLSareenabledon'Outside'.ciscoasa(config-webvpn)#exitciscoasa(config)#usernameuser1passwordcisco@1234六、測試1.在外網(wǎng)的Win7電腦上，打開瀏覽器，輸入54，訪問防火墻的SSLVPN服務。2.出現(xiàn)“此網(wǎng)站的安全證書有問題”的提示時，點擊“繼續(xù)瀏覽此網(wǎng)站（不推薦）”繼續(xù)。3.輸入用戶名user1及密碼cisco@1234，點擊“Login”按鈕。用win7訪問https是正常的，但若采用Win2003訪問https會失敗。這是因為win2003及其早期版本不支持SHA2，導致HTTPS交互失敗。若要使用Win2003訪問，解決的方法一是給win2003打上968730的補丁，重啟win2003服務器；二是為win2003安裝支持SHA2的瀏覽器，如：百度瀏覽器、oprea瀏覽器等。4.如圖4-3-4所示，在SSLVPNService的Home選項，“http://”地址欄中輸入要訪問的內(nèi)網(wǎng)地址“”，點擊“Browse”按鈕。5.此時，外網(wǎng)的Win7客戶端可成功訪問內(nèi)網(wǎng)的網(wǎng)站。圖4-3-4

SSLVPNService謝謝欣賞第4章虛擬專用網(wǎng)技術任務4.3.2配置瘦客戶端SSLVPN

無客戶端的Web接入方式不需要客戶端，適用于訪問Web類資源。目前很多網(wǎng)絡應用有各自的應用層協(xié)議和不同的Web瀏覽器客戶端，需要使用瘦客戶端的TCP接入方式。瘦客戶端方式也稱為端口轉(zhuǎn)發(fā)方式。以遠程桌面遠程控制內(nèi)網(wǎng)服務器為例，具體配置方法如下：一、內(nèi)網(wǎng)Win2003服務器的配置1.為內(nèi)網(wǎng)Win2003服務器的administrator帳戶設置密碼。2.為內(nèi)網(wǎng)Win2003服務器開啟3389遠程桌面。方法是：右擊“我的電腦”，選“屬性”，再選擇“遠程”選項夾，勾選“遠程桌面”框中的“啟用這臺計算機上的遠程桌面”選項，點擊“確定”按鈕。任務4.3.2配置瘦客戶端SSLVPN二、在ASAv防火墻上定義webvpn的端口轉(zhuǎn)發(fā)策略并在組策略中應用（一）圖形界面的配置

1.在外網(wǎng)的Win7上運行ASDM，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾選Outside接口>點擊“Apply”按鈕。允許無客戶端SSLVPN從防火墻外網(wǎng)接口連接。

2.如圖4-3-5所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>Portal>PortForwarding>點擊“Add”按鈕>在“AddPortForwardingEntry”對話框的“ListName”中輸入自定義名稱“pforward1”>點擊“Add”按鈕>在“AddPortForwardingEntry”對話框中>為“LocalTCPPort”欄輸入“54321”>為“RemoteServer”欄輸入“”>為“RemoteTCPPort”欄輸入“3389”>點擊“OK”按鈕>點擊“OK”按鈕>點擊“Apply”按鈕。

圖4-3-5SSLVPN瘦客戶端方式的配置13.如圖4-3-6所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>點擊“Add”按鈕>在“AddInternalGroupPolicy”對話框中，保留該新建的組策略的默認名稱“GroupPolicy1”>點擊左側的“Portal”分支>在右側的“PortForwardingControl”欄中，去掉“Inherit”選項前的復選框，保留出現(xiàn)的“pforward1”值>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-6SSLVPN瘦客戶端方式的配置24.如圖4-3-7所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>選中“GroupPolicy1”>點擊“Assign”按鈕>勾選“user1”>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-7SSLVPN瘦客戶端方式的配置3（二）字符界面的配置與圖形界面類似，可用字符界面實現(xiàn)同樣的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config)#enableOutsideciscoasa(config-webvpn)#port-forwardpforward1543213389//其中，54321是防火墻上的端口號，3389是內(nèi)網(wǎng)Web服務器的端口號。端口轉(zhuǎn)發(fā)策略將在后面定義的組策略中應用。ciscoasa(config-webvpn)#exitciscoasa(config)#group-policyGroupPolicy1internal//因為組策略配置在ASA本地，所以組策略的類型選擇Internal。ciscoasa(config)#group-policyGroupPolicy1attributes//定義組策略屬性，放入VPN策略；隨后再把組策略關聯(lián)給用戶。ciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#port-forwardenablepforward1ciscoasa(config-group-webvpn)#exitciscoasa(config-group-policy)#exitciscoasa(config)#usernameuser1passwordcisco@1234ciscoasa(config)#usernameuser1attributesciscoasa(config-username)#vpn-group-policyGroupPolicy1三、外網(wǎng)計算機win7的配置1.確認外網(wǎng)計算機win7上已經(jīng)安裝java運行環(huán)境。因為外網(wǎng)計算機Win7已經(jīng)恢復到了第二章實驗時保存的快照（“J2RE和ASDM”已經(jīng)安裝的狀態(tài)），所以不需要重新安裝J2RE。若外網(wǎng)計算機win7還沒安裝32位的Java運行環(huán)境，需要雙擊jre-8u101-windows-i586安裝包進行安裝。注意，win2003不支持此版本的J2RE，所以外部計算機不要采用win2003操作系統(tǒng)。安裝完成后，在Win7的控制面板>程序中，可以看到“Java（32位）”程序。2.在外網(wǎng)計算機win7上為“Java（32位）”程序增加信任列表。方法是在外網(wǎng)計算機win7上依次找到：開始菜單>控制面板>程序>Java（32位）>“安全”選項夾>在“例外站點”列表欄中點擊“編輯站點列表”按鈕>在“例外站點”列表對話框中點擊“添加”按鈕>輸入“54”>點擊“確定”按鈕>在“Java控制面板”中點擊“確定”按鈕。3.在外網(wǎng)計算機win7上為瀏覽器添加可信站點。方法是在外網(wǎng)計算機win7上打開32位的IE瀏覽器，點擊“工具”菜單>“Internet選項”>“安全”選項卡>選擇“可信站點”>點擊“站點”按鈕>在“將該網(wǎng)站添加到區(qū)域”欄中輸入“54”>點擊“添加”按鈕>點擊“關閉”按鈕>點擊“確定”按鈕。四、在外網(wǎng)計算機win7上通過SSLVPN控制內(nèi)網(wǎng)服務器1.在外部計算機上，打開32位的IE瀏覽器，輸入54，使用用戶名user1和密碼cisco@1234進行登錄。2.如圖4-3-8所示，選擇“ApplicationAccess”，再選擇“StartApplications”。圖4-3-8SSLVPN的瘦客戶端方式訪問界面3.出現(xiàn)如圖4-3-9所示的成功連接提示。此時，若外網(wǎng)計算機Win7通過遠程桌面連接:54321時，將重定向到內(nèi)網(wǎng)服務器的:3389。圖4-3-9SSLVPN的瘦客戶端方式成功界面4.在外部計算機Win7上，打開開始菜單>所有程序>遠程桌面連接，在“連接到計算機”欄中輸入“:54321”，然后點擊“連接”按鈕。在彈出的“無法驗證此遠程計算機的身份。是否仍要連接？”對話框中，點擊“是“按鈕。系統(tǒng)重定位到了:3389。出現(xiàn)Windows登錄界面，輸入內(nèi)網(wǎng)Win2003服務器的用戶名administrator及其密碼，點擊“確定”按鈕，可以成功登錄到內(nèi)網(wǎng)的Win2003服務器。謝謝欣賞第4章虛擬專用網(wǎng)技術任務4.3.3配置厚客戶端SSLVPN

有些網(wǎng)絡應用的通訊機制比較復雜，尤其是一些采用動態(tài)端口建立連接的通訊方式，往往需要SSLVPN解析應用層的協(xié)議報文才能確定通訊雙方所要采用的端口，上述兩種接入方式就沒辦法做到這點了，對于這些通訊機制比較復雜的網(wǎng)絡應用，可采用厚客戶端的IP接入方式，也稱為網(wǎng)絡擴展方式。厚客戶端方式處于三層工作模型。下面以anyconnect客戶端為例，具體配置方法如下：

一、內(nèi)網(wǎng)Win2003服務器的配置與廋客戶端方式SSLVPN實驗的配置相同。

二、外網(wǎng)計算機win7的配置與廋客戶端方式SSLVPN實驗的配置相同。任務4.3.3配置厚客戶端SSLVPN三、上傳客戶端到防火墻上傳anyconnect客戶端anyconnect-win-4.4.00243-webdeploy-k9.pkg到ASA防火墻，供客戶第一次連接時自動下載安裝。1.將anyconnect-win-4.4.00243-webdeploy-k9.pkg復制到外網(wǎng)Win7電腦的C:盤上。2.在ASDM圖形管理界面，選擇“Tools”菜單，然后選擇“FileManagment...”。3.如圖4-3-10所示，在彈出的“FileManagement”對話框中，選擇“FileTransfer”，然后選擇”BetweenLocalPCandFlash...“。圖4-3-10

文件管理-文件傳輸14.如圖4-3-11所示，在左側的“LocalComputer”中選擇C:盤中的“anyconnect-win-4.4.00243-webdeploy-k9.pkg”文件，然后點擊“-->”按鈕，將anyconnect客戶端軟件上傳到ASA防火墻的disk0:中。5.在ASAv防火墻上，使用命令showflash:查看，可以看到anyconnect-win-4.4.00243-webdeploy-k9.pkg已經(jīng)上傳成功。命令如下：ciscoasa(config)#showflash:#length----date/time----path8430095556Dec11201803:55:22anyconnect-win-4.4.00243-webdeploy-k9.pkg圖4-3-11

文件管理-文件傳輸2四、防火墻上的厚客戶端方式SSLVPN配置（一）圖形界面的配置1.如圖4-3-12所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AnyConnectClientSoftware>點擊“Add”按鈕>點擊“BrowseFlash...”按鈕>選中“anyconnect-win-4.4.00243-webdeploy-k9.pkg”文件>點擊“OK”按鈕>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-12

厚客戶端方式SSLVPN配置12.如圖4-3-13所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AnyConnectConnectionProfiles>勾選“EnableCiscoAnyConnectVPNClientaccessontheinterfacesselectedinthetablebelow”>勾選“Outside”的AllowAccess和EnableDTLS選項>點擊“Apply”按鈕。圖4-3-13

厚客戶端方式SSLVPN配置23.如圖4-3-14所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AddressPools>點擊“Add”按鈕>Name填寫“pool1”>startingIPAddress填寫“00”