路由與交換應(yīng)用技術(shù) VPN虛擬專用網(wǎng)

路由與交換應(yīng)用技術(shù)

VPN虛擬專用網(wǎng)

新疆輕工職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系

工現(xiàn)場(chǎng)范例

?問題：

?假設(shè)ITANY公司南京總部和上海分部都申請(qǐng)

了到Internet的連接。

?其中公司總部使用PIX515防火墻連接，公司

分部使用Cisco2500路由器連接。我們需要

對(duì)兩臺(tái)設(shè)備配置，以達(dá)到以下目的：

M本要求

?1、公司總部和公司分部的辦公人員都能夠

訪問Interneto其中，公司總部分配得到

的公網(wǎng)地址范圍為

218.94.26.1~218.94.26.31/27；

公司分部分配得到的公網(wǎng)地址范圍為

202.102.11.1~202.102.11.31/27o

?2、公司總部和公司分部的辦公人員能夠通

過VPN建立連接，以互相訪問內(nèi)部資源。

邙本要求

?網(wǎng)絡(luò)拓?fù)淙缦聢D所示：進(jìn)行PIX515E上

VPN和NAT的相關(guān)配置;Cisco2500路由

器上VPN和NAT的相關(guān)酉己置；PIX515E和

Cisco2500路由器全配置

.—、處理思路

?配置路由器的基本參數(shù)，并測(cè)試網(wǎng)絡(luò)的連

通性

?配置路由器NAT網(wǎng)絡(luò)

?配置IPSec并測(cè)試

?配置VPN

，預(yù)備知識(shí)

?1.VPN的基礎(chǔ)知識(shí)

?2.VPN技術(shù)比較

?3.VPN配置

VPN的基礎(chǔ)知識(shí)

?1.1VPN

?VPN（虛擬專用網(wǎng)VirtualPrivate

Network）,是依靠ISP（Internet服務(wù)提供

商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在

公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技

術(shù)。

VPN的基礎(chǔ)知識(shí)

?「2VPN特點(diǎn)

?VPN的建立可以幫助遠(yuǎn)程用戶、公司的分支機(jī)構(gòu)、

商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部局域網(wǎng)之間各自

建立一條可信的安全連接，并保證數(shù)據(jù)的安全傳

輸，一般的VPN路由器支持多達(dá)40個(gè)安全通道，

還有VPN透?jìng)鞴δ芎蛨?jiān)固的防火墻功能。

?形象一點(diǎn)說，用戶使用了VPN之后，可以在公網(wǎng)

上跑私有流量，節(jié)省網(wǎng)絡(luò)運(yùn)營及維護(hù)成本，由于

是加密的通道，所以數(shù)據(jù)傳輸會(huì)非常的安全，保

密性較強(qiáng)，提高了網(wǎng)絡(luò)的效率。

VPN的基礎(chǔ)知識(shí)

VPN的基礎(chǔ)知識(shí)

?1.3VPN類型

?VPN在類型與應(yīng)用方式上有

?訪問虛擬專網(wǎng)(AccessVPN)

?企業(yè)內(nèi)部虛擬專網(wǎng)(IntranetVPN)

?擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)(ExtranetVPN)

VPN的基礎(chǔ)知識(shí)

?1.4VPN的應(yīng)用

?傳統(tǒng)的企業(yè)專網(wǎng)的解決方案大多通過向電信公司租用各種

類型的長(zhǎng)途線路來連接各分支機(jī)構(gòu)的局域網(wǎng)，但是由于租

賃長(zhǎng)途線路費(fèi)用昂貴，大多數(shù)企業(yè)難以承受。虛擬專網(wǎng)

VPN技術(shù)是近年來興起的一種新興技術(shù)，它既可以使企業(yè)

擺脫繁重的網(wǎng)絡(luò)升級(jí)維護(hù)工作，又可以使公用網(wǎng)絡(luò)得到有

效的利用。

?在VPN技術(shù)的支持下，新的用戶要想進(jìn)入企業(yè)網(wǎng)，只需接

入當(dāng)?shù)仉娦殴镜墓镁W(wǎng)絡(luò)，再通過公用網(wǎng)絡(luò)接入企業(yè)網(wǎng)。

這樣企業(yè)不必再支付大量的長(zhǎng)途線路費(fèi)用，企業(yè)網(wǎng)絡(luò)的可

擴(kuò)展性也大為提高，從而降低了網(wǎng)絡(luò)使用和升級(jí)維護(hù)的費(fèi)

用，而電信公司也會(huì)因此得到更多的回抱。

VPN的技術(shù)比較

?2.1VPN的技術(shù)比較

?從總體來說，VPN技術(shù)非常復(fù)雜，它涉及

到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)，

是一項(xiàng)交叉科學(xué)。

?VPN主要包含:隧道技術(shù)和安全技術(shù).

VPN的技術(shù)比較

?211隧道技術(shù)

?基本過程是在源局域網(wǎng)與公網(wǎng)的接口處，

將數(shù)據(jù)作為負(fù)載封裝在一種可以在公網(wǎng)上

傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)

的接口處將數(shù)據(jù)解封裝，取出負(fù)載。

■被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過

的邏輯路徑被稱為“隧道”。

VPN的技術(shù)比較

?2.1.2VPN隧道協(xié)議：

?點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP(PointtoPointTunneling

Protocol)

?第二層隧道協(xié)議L2Tp(Layer2Tunneling

Protocol)

?IPSec協(xié)議：

網(wǎng)絡(luò)安全協(xié)議AH(AuthenticationHeader)協(xié)議

和ESP(EncapsulatingSecurityPayload)協(xié),議、

密鑰管理協(xié)議IKE(InternetKeyExchange)協(xié)議

?SOCKSv5協(xié)、議

VPN的技術(shù)比較

?2.1.3安全技術(shù)

?VPN常常需要在不安全的Internet中通信,

通信的內(nèi)容可能涉及企業(yè)的機(jī)密數(shù)據(jù)，因

此其安全性非常重要。

?VPN中的安全技術(shù)通常由加密、認(rèn)證和密

鑰交換與管理技術(shù)組成

VPN的技術(shù)比較

?認(rèn)證技術(shù)認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡

改。

?加密技術(shù)IPSec通過ISAKMP/IKE/Oakley

協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如

DES(DataEncryptionStamdard)、

3DES等。

?密鑰交換與管理VPN中密鑰的分發(fā)與管理

非常重要。密鑰的分發(fā)有兩種方法：一種

是通過手工配置；另一種采用密鑰交換協(xié)

議動(dòng)態(tài)分發(fā)。

四、操作過程

?1.PIX515E上VPN和NAT的相關(guān)配置

?2.Cisco2500路由器上VPN和NAT的相關(guān)

配置

?3.PIX515E和Cisco2500路由器酉口置（略）

?4.S1路由全器配置（略）

配置基本參數(shù)

?1.PIX515E上VPN和NAT的相關(guān)酉己置

■第一步：定義感興趣數(shù)據(jù)流，即將來需要通過VPN加密傳

輸?shù)臄?shù)據(jù)流。

PlX(config)#access-listsecurepermitip10.1.1.0

255.255.255.010.2.2.0255.255.255.0

?第二步：通過VPN傳輸?shù)臄?shù)據(jù)包不需要做NAT,因此，將

這些數(shù)據(jù)包定義到natO,natO不對(duì)數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換。

natO的處理始終在其他nat(例如nat彳、nat2>nat3..)

之前。

PlX(config)#nat(inside)0access-listsecure

■第三步：訪問internet的藏?fù)?jù)流使用PAT出去。

PlX(config)#nat(inside)100

PlX(config)#global(outside)1interface

配置基本參數(shù)

?第四步：定義ISAKMP策略。

PlX(config)#cryptoisakmpenableoutside

〃在外部接口上啟用ISAKMP

PlX(config)#cryptoisakmppolicy10authenticationpre-

shar?

〃認(rèn)證方法使用預(yù)共享密鑰

PlX(config)#cryptoisakmppolicy10encryptiondes

//加密方法使用des

PlX(config)#cryptoisakmppolicy10hashmd5

〃散列算送使用md5

PlX(config)#cryptoisakmppolicy10group2

〃DH模長(zhǎng)度為1024

?第五步：將ISAKMP預(yù)共享密鑰和對(duì)等體關(guān)聯(lián)，預(yù)共享密鑰

為“cisco1234”。

PlX(config)#cryptoisakmpidentityaddress

PlX(config)#cryptoisakmpkeycisco1234address

202.102.11.34

配置基本參數(shù)

?第六步：設(shè)置ipsec轉(zhuǎn)換集。

PlX(config)#cryptoipsectransform-setccspesp-desesp-

md5-hma

■第七步：設(shè)置加密圖。

PlX(config)#cryptomapcisco10ipsec-isakmp

PlX(config)#cryptomapcisco10matchaddresssecure

〃加載感實(shí)趣流

PlX(config)#cryptomapcisco10settransform-setccsp

〃連弗轉(zhuǎn)換集

PlX(config)#cryptomapcisco10setpeer202.102.11.34

〃設(shè)置對(duì)塞徐地球

PlX(config)#cryptomapcisco10setpfsgroup2

〃設(shè)暨完莢前向保密，DH模長(zhǎng)度為1024

?第八步：在外部接口上應(yīng)用加密圖。

PlX(config)#cryptomapciscointerfaceoutside

■第九步：指定IPsec的流量是可信任的。

PlX(config)#sysoptconnectionpermit-ipsec

配置基本參數(shù)

?Cisco2500路由器上VPN和NAT的相關(guān)配置

■第一步：在路由器上定義NAT的內(nèi)部接口和外部接口

S1(config)#inteO

S1(config-if)#ipnatinside

S1(config-if)#exit

S1(config)#intsO

S1(config-if)#ipnatoutside

S1(config-if)#exit

■第二步：定義需要被NAT的數(shù)據(jù)流(即除去通過VPN傳輸

的數(shù)據(jù)流)

S1(config)#access-I101denyip10.2.2.00.0.0.255

10.1.1.00.0.0.255

S1(config)#access-I101permitip10.2.2.00.0.0.255any

配置基本參數(shù)

?第三步：定義NAT。

S1(config)#ipnatinsidesourcelist101interfacesO

overload

?第四步：定義感興趣數(shù)據(jù)流，即將來需要通過VPN加密傳

輸?shù)臄?shù)據(jù)流。

S1(config)#access-list102perip10.2.2.00.0.0.255

10.1.1.00.0.0.255

?第五步：定義ISAKMP策略。

S1(config)#cryptoisakmpenable

〃啟用ISAKMP

S1(config)#cryptoisakmppolicy10

S1(config-isakmp)#authenticationpre-share

〃認(rèn)證方法使用赫賓享密鑰

S1(config-isakmp)#encryptiondes

配置基本參數(shù)

?〃加密方法使用des

S1(config-isakmp)#hashmd5

〃散列算法使用md5

S1(config-isakmp)#group2

〃DH模長(zhǎng)度為1024

■第六步：將ISAKMP預(yù)共享密鑰和對(duì)等體關(guān)聯(lián)，預(yù)共享密

鑰為“cisco1234”。

S1(config)#cryptoisakmpidentityaddress

S1(config)#cryptoisakmpkeycisco1234address

218.94.26.2

第七步：設(shè)置ipsec轉(zhuǎn)換集。

S1(config)#cryptoipsectransform-setccieesp-desesp-

md5-hmac

S1(cfg-crypto-trans)#modetunnel

配置基本參數(shù)

?第八步：設(shè)置加密圖。

S1(config)#cryptomapcisco10ipsec-isakmp

S1(config-crypto-map)#matchaddress102

//加載感真趣流

S1(config-crypto-map)#setpeer218.94.26.2

〃設(shè)置對(duì)善體地址

S1(config-cr