实训指导251基于路由器实现分支与总部VPN连接PT.docx
《实训指导251基于路由器实现分支与总部VPN连接PT.docx》由会员分享,可在线阅读,更多相关《实训指导251基于路由器实现分支与总部VPN连接PT.docx(11页珍藏版)》请在冰点文库上搜索。
实训指导251基于路由器实现分支与总部VPN连接PT
国家高等职业教育网络技术专业教学资源库
计算机网络安全技术与实施
课程资源子库
学习情境2:
实训指导2.5-1
基于路由器实现分支与总部VPN连接
实训指导2.5-1
一、实训题目:
利用基于路由器实现分支与总部VPN连接。
二、实训目的:
1.深入理解VPN技术原理及特点,VPN隧道协议底层原理;
2.能够利用VPN技术解决实际需求,能对企业提出的需求加以实现;
3.掌握VPN技术在路由器上的配置,以实现企业分支机构与总部内部网络的资源互访。
三、实训要求:
1.掌握路由器模拟软件DynamipsGUI的使用方法;
2.掌握路由器配置软件及路由器IOS的使用方法;
四、实训网络场景或网络拓扑结构:
网络拓扑结构图如下:
PT仿真网络结构图如下:
五、实训步骤:
站点到站点IPsec操作的5个步骤如下:
1.主机A发送感兴趣数据流(需要VPN保护的流量)给主机B
根据图中所示,感兴趣数据流对于路由器R1和R2而言的,此处感兴趣数据流是10.2.2.0/24企业总部网络到10.1.1.0/24企业分支机构的网络的互相访问的数据流量。
例如:
主机A到主机B的数据包的源IP为10.2.2.2,目的IP为10.1.1.2,属于10.2.2.0/24到10.1.1.0/24的数据流量,反之同理。
对于路器来说它并不知道什么是感兴趣数据流,需要进行配置,可以结合访问控制列表进行指明。
哪些流量不是感兴趣数据流,即不需要通过VPN保护的流量呢?
根据图中所示,对于A主机(同网络的主机也是这样)要访问互联网上的其它主机(不是B主机网络中的主机),这时就不需要进行VPN保护了。
如A访问公网的网址,就不是感兴趣数据流了,路由器R1或R2根据访问控制列表可以进行NAT转换处理而不是进行VPN保护了。
由器R1和R2上要配置访问控制列表定义哪些数据是感兴趣数据流,哪些不是感兴趣数据流,不是感兴趣数据流需要通过配置NAT进行转换。
2.路由器R1和R2协商IKE第1阶段会话(IKE安全关联)
此步为IKE阶段1:
IKE即Internet密钥交换(InternetKeyExchange,IKE)是一种为IPSec管理和交换密钥的标准方法。
可以将IKE分为两个阶段:
Phase1主要工作是进行认证,建立一个IKESA和Phase2主要是进行密钥交换,利用Phase1中的IKESA来协商IPSecSA。
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(securityassociation,SA)。
SA是单向的;在两个对等端之间存在两个SA。
IKE使用UDP端口500进行协商,确保端口500不被阻塞。
下面介绍Phase1。
在phase1主要工作是:
(1)选用协商模式
mainmode(主模式)和aggressivemode(可译为挑战模式或积极模式)两种模式的区别是,主模式安全性要高,提供了对通信双方身份的保护,如IP地址等信息,安全性更高;挑战模式去除了上主模式中的身份的保护等功能,因此速度上要比前一种快。
(2)选用一种身份认证方法
在路由器上,通信双方主要有两种身份认证的方法:
一种是通过presharekey(预共享密钥)进行连接认证,一般多采用此种方式进行身份认证;
另一种是利用前面讲的非对称加密算法及数字证书方式,这又分为两种:
一种是(rsa-sig)使用证书授权(使用CA);别一种是(rsa-encr)手工配置RSA密钥(不使用CA)。
在思科路由器上可以使用如下命令定义身份认证的方法:
(isamkp)authentication{rsa-sig|rsa-encr|pre-share}。
(3)选用一种加密算法
即对数据及信息的加密算法,加密算法可选56位的DES-CBC(des,默认值)或者168位的3DES(3des)。
在思科路由器上可以使用如下命令定义加密算法:
(isakmp)encryption{des|3des}
(4)选用一种验证算法
验证算法即散列算法,主要用于对所传输数据或信息的完整进行验证的一种方法,那前面工作任务中提到的HASH算法。
路由器中散列算法主要有sha和md5两种,默认sha。
由器上可以使用如下命令定义散列算法:
(isamkp)hash{sha|md5}
(5)选用一组diffie-hellman公钥密码系统组(dh1或dh2)。
D-H是基于非对称加密的一种算法,只进行密钥的生成,使通信双方都得到用于通信数据加密的对称加密密钥。
关于D-H算法可以参考前面的加密部分工作任务中,也可以利用网络进行查找更多关于此算法的详细说明。
除非购买高端路由器,或是VPN通信比较少,否则最好使用group1长度的密钥,group命令有两个参数值:
1和2。
参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
在思科路由器上可以使用如下命令定义Diffie-Hellman密钥材料长度:
(isakmp)group{1|2}
(6)定义IKESA的生存周期
对生成新SA的周期进行调整。
这个值以秒为单位,默认值为86400,也就是一天。
值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
该项设置允许您决定ike的sa在到期前可以执行多长时间。
如设置为0则表示IKESA的连接会一直保持不中断。
如果IKESA握手到期,那么IKESA和IPSecSA均需重新协商连接。
在思科路由器上可以使用如下命令定义IKESA的生存周期:
(isakmp)lifetimeseconds
3.路由器R1和R2协商IKE第2阶段会话(IPsec安全关联)
在phase2主要工作是:
(1)选用协议封装
ESP与AH是数据封装的两种常用方式:
EncapsulatingSecurityPayload(ESP)IP封装安全负载协议协议号为50,ESP为IP数据包提供完整性检查、认证和加密,提供机密性并可防止篡改。
ESP服务依据建立的安全关联(SA)是可选的;AuthenticationHeader(AH)协议号为51,与ESP区别在于AH没有ESP的加密特性,AH的数据完整性验证是对整个数据包做出的,包括IP头部分,但是IP头部分包含很多可变参数,如经过多个路由器后TTL、TOS、标志位、及头部校验和都可能变化,所以头部的完整性发生变化导致收发方无法匹配。
而ESP是对部分数据包做数据完整性验证时,不包括IP头部分。
因此从机密性与完整性角度考虑一般选择ESP封装。
详细信息可通过网络进行查询。
(2)选用一种加密算法
(3)选用一种验证算法
在思科路由器上可以使用如下命令定义IPSec协议封装方式、加密算法与验证算法:
cryptoipsectransform-set变换集名字esp-desesp-md5-hmac
(4)选用是否使用diffie-hellman公钥密码系统来执行完美向前保密PFS,默认为none禁用PFS。
(5)选用变换集的模式
变换集的模式有两种:
隧道tunnel模式或者传输transport模式。
在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPSec头(AH/ESP);传输模式主要为上层协议提供保护,AH和/或ESP包头插入在IP包头和运输层协议包头之间。
在思科路由器上可以使用如下命令定义变换集的模式:
(crypto-transform)mode{tunnel|transport}
(6)定义IPSecSA生存时间。
与IKESA的生存时间作用不同,但原理上是类似。
4.感兴趣数据流信息通过IPsec隧道进行交换传输
这一阶段为IPSec会话阶段,在这一过程中SAs在通信双方间进行交换,并将协商的安全服务应用到数据流量上。
5.IPsec隧道终止
这一阶段为隧道终止,隧道终止的可能原因是:
设定的SA生存时间到了;包计时器超出,IPsecSA被移除。
附:
通过命令行配置站点到站点VPN
1.VPN服务器Router:
R1(VPNServer)的配置
(1)IKE配置
router(config)#hostnamer1
r1(config)#cryptoisakmppolicy1//定义策略为1
r1(config)#hashmd5//定义MD5散列算法
r1(isakmp)#authenticationpre-share//定义为预共享密钥认证方式
r1(isakmp)#exit
r1(config)#cryptoisakmpkeycisco123address0.0.0.00.0.0.0
//配置预共享密钥为cisco123,对等端为所有IP
(2)IPSec协议配置
r1(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac//创建变换集
r1(config)#cryptodynamic-maprtpmap10//创建动态保密图rtpmap10
r1(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpset
r1(crypto-map)#matchaddress115//援引访问列表确定受保护的流量
r1(crypto-map)#exit
r1(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap
//将动态保密图集加入到正规的图集中
r1(config)#interfacefastethernet0/0
r1(config-if)#ipaddress10.2.2.1255.255.255.0
r1(config-if)#ipnatinside
r1(config-if)#exit
r1(config)#interfaceSerial1/0
r1(config-if)#ipaddress100.1.1.1255.255.255.0
r1(config-if)#clockrate64000
r1(config-if)#noshutdown
r1(config-if)#ipnatoutside
r1(config-if)#cryptomaprtptrans//将保密映射应用到S1/1接口上
r1(config-if)#exit
r1(config)#ipnatinsidesourceroute-mapnonatinterfaceSerial1/0overload
!
---这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!
---到其他网络的访问都翻译成S0/0接口的IP地址
r1(config)#iproute0.0.0.00.0.0.0Serial1/0//配置静态路由协议
r1(config)#access-list115permitip10.2.2.00.0.0.25510.1.1.00.0.0.255
r1(config)#access-list115denyip10.2.2.00.0.0.255any
r1(config)#access-list120denyip10.2.2.00.0.0.25510.1.1.00.0.0.255
r1(config)#access-list120permitip10.2.2.00.0.0.255any
r1(config)#route-mapnonatpermit10//使用路由策略
r1(router-map)#matchipaddress120
r1(config)#linevty04
r1(config-line)#passwordcey
r1(config-line)#login
2.模拟互联网路由器R2的配置
模拟互联网路由器R2只需要配置连接路由器R1和R3的两个接口的IP地址即可:
router(config)#hostnamer2
r2(config)#interfaceSerial1/0
r2(config-if)#ipaddress100.1.1.2255.255.255.0
r2(config-if)#clockrate64000
r2(config-if)#noshutdown
r2(config-if)#exit
r2(config)#interfaceSerial1/1
r2(config-if)#ipaddress200.1.1.1255.255.255.0
r2(config-if)#clockrate64000
r2(config-if)#noshutdown
3.VPN客户端Router:
R3(VPNClient)的配置
router(config)#hostnamer3
r3(config)#cryptoisakmppolicy1//定义策略为1
r3(isakmp)#hashmd5//定义MD5散列算法
r3(isakmp)#authenticationpre-share//定义为预共享密钥认证方式
r3(config)#cryptoisakmpkeycisco123address100.1.1.1
!
---配置预共享密钥为cisco123,对等端为服务器端IP100.1.1.1
!
---IPSec协议配置
r3(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac//创建变换集
r3(config)#cryptomaprtp1ipsec-isakmp//使用IKE创建保密图rtp1
r3(crypto-map)#setpeer100.1.1.1//确定远程对等端
r3(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpset
r3(crypto-map)#matchaddress115//援引访问列表确定受保护的流量
r3(config)#interfacefastethernet0/0
r3(config-if)#ipaddress10.1.1.1255.255.255.0
r3(config-if)#clockrate64000
r3(config-if)#noshutdown
r3(config-if)#ipnatinside
r3(config-if)#exit
r3(config)#interfaceSerial1/1
r3(config-if)#ipaddress200.1.1.2255.255.255.0
r3(config-if)#clockrate64000
r3(config-if)#noshutdown
r3(config-if)#ipnatoutside
r3(config-if)#cryptomaprtp//将保密映射应用到S0/1接口上
r3(config-if)#exit
r3(config)#ipnatinsidesourceroute-mapnonatinterfaceSerial1/1overload
!
---这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!
---到其他网络的访问都翻译成S1/1接口的IP地址
r3(config-if)#iproute0.0.0.00.0.0.0Serial0//配置静态路由协议
r3(config)#access-list115permitip10.1.1.00.0.0.25510.2.2.00.0.0.255
r3(config)#access-list115denyip10.1.1.00.0.0.255any
r3(config)#access-list120denyip10.1.1.00.0.0.25510.2.2.00.0.0.255
r3(config)#access-list120permitip10.1.1.00.0.0.255any
r3(config)#route-mapnonatpermit10//使用路由策略
r3(router-map)#matchipaddress120
4.在基于命令行配置的VPN连接检测
在基于命令行中,可以借助于,Show和Debug命令进行VPN连接的测试与排错。
r1#showcryptoisakmpsa//列出活动的IKE会话
r1#showcryptoipsecsa//列出活动的IPsec安全关联
r1#debugcryptoisakmp//调试IKE通信
六、实训说明:
由于实训环境不同,具体配置过程会有所不同,具体实训步骤请参见“实训指导2.5-1”相关视频讲解文件。
升级会员 