课程设计报告VPN体系结构设计.docx
《课程设计报告VPN体系结构设计.docx》由会员分享,可在线阅读,更多相关《课程设计报告VPN体系结构设计.docx(14页珍藏版)》请在冰点文库上搜索。
课程设计报告VPN体系结构设计
课程设计
VPN体系结构设计
姓名
院(系)
专业年级
学号
指导教师
职称
起止时间
课程设计目录
一、设计目的
二、设计思路
2.1VPN定义
2.2VPN结构和分类
2.3VPN工作原理
2.4VPN的关键技术
三、主要元器件与设备
四、设计过程
4.1VPN实验拓扑图
4.2VPN实验内容
4.3VPN配置命令
五、系统调试与结果
六、课程设计体会
一、设计目的
a)能够配置VPN,使VPN客户能够通过VPN远程接入企业网络中心和企业分支结构PC能ping总部内部服务器。
b)了解VPN的基本概念
c)熟悉VPN的工作原理
d)了解VPN的加密算法
e)熟悉IPsecVPN技术
f)能够在Cisco路由器上配置IPsecVPN
二、设计思路
2.1VPN定义
VPN(VirtualPrivateNetwork虚拟专用网)是通过在两台计算机之间建立一条专用连接从而达到在共享或者公共网络(一般是指Internet)上传输私有数据的目的,即所谓的“化公为私”的这样一种技术。
之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(Internet、ATM、FrameRelay等)之上的逻辑网络,用户数据在逻辑链路中传输。
通过采用相应的加密和认证技术来保证用内部网络数据在公网上安全传输,从而真正实现网络数据的专用性。
这样,各个组织可以通在Internet上建立私有的WAN,来和自己的分支组织以及远程用户通信,从而进一步拓展了业务。
它的吸引人之处在于它基于分布广泛、全球化的Internet,并提供了一种快速、安全、廉价的建立通信链接的办法。
下图即为典
型的企业VPN的系统组成。
2.2VPN的结构和分类
2.3VPN的工作原理
2.4VPN的关键技术
安全隧道技术
信息加密技术
用户认证技术
访问控制技术
三、主要元器件与设备
1、专有Windows操作系统的PC。
2、Cisco模拟软件
3、2811型号路由器、2960型号交换机、总部服务器Server-PT、集线器Hub-PT、PC等
四、设计过程
4.1VPN实验拓扑图
4.2VPN实验内容
实验拓扑图:
R1模拟总部VPN网关,R0模拟Internet网,R2模拟能上Internet网的接入路由器(该路由器具有NAT功能)。
R3模拟企业分支结构的路由器,外出移动办公的笔记本能通过R2进行VPN连接到公司总部的Web服务器。
分支结构的PC能和总部PC进行互ping。
R0、R1、R2、R3都选用2821型号的路由器,它们之间通过DCE线连接;笔记本、服务器与路由器之间通过交叉线相连。
IP地址规划如下:
总部服务器Server-PT:
192.168.1.1/24。
总部路由器R1:
fa0/0:
192.168.1.254/24,Se0/3/0:
100.1.1.2/24。
Internet路由器R0:
Se0/1/0:
200.1.1.1Se0/2/0:
150.1.1.1Se0/3/0:
100.1.1.1
远端接入路由器R2:
Se0/3/0:
200.1.1.2/24,fa0/0:
172.16.1.254/24。
企业分支结构路由器R3:
fa0/1:
192.168.1.2/24Se0/3/0150.1.1.1
办公笔记本Laptop-PT:
172.16.1.1/24
1、总部路由器R1的配置:
R1>ena
R1#conft
R1(config)#intfa0/0
R1(config-if)#ipaddress192.168.1.254255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#exit
R1(config)#intS0/3/0
R1(config-if)#ipaddress100.1.1.2255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#exit
为R1配置静态路由
R1(config)#iproute0.0.0.00.0.0.0100.1.1.1
2、Internet路由器R0的配置
R0>ena
R0#conft
R0(config)#intS0/1/0
R0(config-if)#ipaddress200.1.1.1255.255.255.0
R0(config-if)#noshutdown
R0(config-if)#exit
R0(config)#intS0/2/0
R0(config-if)#ipaddress150.1.1.1255.255.255.0
R0(config-if)#noshutdown
R0(config-if)#exit
R0(config)#intS0/3/0
R0(config-if)#ipaddress100.1.1.1255.255.255.0
R0(config-if)#noshutdown
3、远端接入路由器R2的配置
R2>ena
R2#conft
R2(config)#intS0/3/0
R2(config-if)#ipaddress200.1.1.2255.255.255.0
R2(config-if)#ipnatoutside//定义NAT对外接口
R2(config-if)#noshutdown
R2(config-if)#exit
R2(config)#intfa0/0
R2(config-if)#ipaddress172.16.1.254255.255.255.0
R2(config-if)#ipnatinside//定义NAT对内接口
R2(config-if)#noshutdown
R2(config-if)#exit
R2(config)#ipnatinsidesourcelist1interfaceS0/3/0overload
为R2配置静态路由
R2(config)#iproute0.0.0.00.0.0.0200.1.1.1
配置列表
R2(config)#access-list1permit172.16.1.00.0.0.255//定义访问列表
4、企业分支结构路由R3的配置
R3>ena
R3#conft
R3(config)#intS0/3/0
R3(config-if)#ipaddress150.1.1.2255.255.255.0
R3(config-if)#ipnatoutside//定义NAT对外接口
R3(config-if)#noshutdown
R3(config-if)#exit
R3(config)#intfa0/1
R3(config-if)#ipaddress192.168.1.2255.255.255.0
R3(config-if)#ipnatinside//定义NAT对内接口
R3(config-if)#noshutdown
R3(config-if)#exit
R3(config)#ipnatinsidesourcelist1interfaceS0/3/0overload
为R3配置静态路由
R3(config)#iproute0.0.0.00.0.0.0150.1.1.1
配置列表
R3(config)#access-list1permit192.168.1.00.0.0.255//定义访问列表
4、为服务器和笔记本配置IP地址
为总部服务器Server-PT配置IP地址:
192.168.1.1/24,默认网关:
192.168.1.254。
为办公笔记本Laptop-PT配置IP地址:
172.16.1.1/24,默认网关:
172.16.1.254。
为分支结构的PC配置IP地址:
PC0:
192.168.1.3/24PC1:
192.168.1.4/24PC2:
192.168.5/24默认网关:
192.168.1.254
4.3VPN配置命令
在总部路由器R1上做VPN配置,其配置如下:
1、配置认证策略
(1)开启AAA认证
R1(config)#aaanew-model
R1(config)#aaaauthenticationloginezalocal
(2)命配置对远程接入IPSec连接的授权,组名为ezo
R1(config)#aaaauthorizationnetworkezolocal
(3)创建用户名和密码
R1(config)#usernamechenzhihuipassword113
(4)对IPSEC阶段一的安全参数进行配置
R1(config)#cryptoisakmppolicy10
R1(config-isakmp)#hashmd5
R1(config-isakmp)#authenticationpre-share
R1(config-isakmp)#group2
(5)为VPN客户端接入后分配地址
R1(config)#iplocalpoolez192.168.2.1192.168.2.10
(6)VPN的组和密码配置
R1(config)#cryptoisakmpclientconfigurationgroupmyez
R1(config-isakmp-group)#key113
R1(config-isakmp-group)#poolez
(7)对IPSEC阶段二的配置
R1(config)#cryptoipsectransform-settimesp-3desesp-md5-hmac
(8)动态加密
R1(config)#cryptodynamic-mapezmap10
R1(config-crypto-map)#settransform-settim
(9)对VPN认证、授权配置(list是调用上面的AAA配置名)
R1(config)#cryptomaptomclientauthenticationlisteza
R1(config)#cryptomaptomisakmpauthorizationlistezo
R1(config)#cryptomaptomclientconfigurationaddressrespond
(10)进行动态加密的静态绑定
R1(config)#cryptomaptom10ipsec-isakmpdynamicezmap
(11)绑定到接口
R1(config)#interfaceS0/3/0
R1(config-if)#cr
R1(config-if)#cryptom
R1(config-if)#cryptomaptom
五、系统调试与结果
调试一:
VPN客户能够通过VPN远程接入企业网络中心
首先,在拓扑图上双击笔记本Laptop-PT,选择“Desktop”,再选择“commandpormpt”,ping一下总部的公网地址100.1.1.2,通了后再ping总部内的服务器192.168.1.1,此时是无法ping通的。
接下来进行VPN连接:
依然在“Desktop”下选择“VPN”,依次输入如下信息:
GroupName:
myez
Groupkey:
113
HostIP:
100.1.1.2
Username:
chenzhihui
Password:
113
点击“connect”后,会提示连接正常,并会显示一个192.168.2.X的地址。
可以通过在“Desktop”下的WebBrowser中输入IP:
192.168.1.1,来访问总部的Web服务器
调试二:
企业分支结构的PC能ping总部内部服务器
在拓扑图上双击PC1,选择“Desktop”,再选择“commandpormpt”,ping总部内的服务器192.168.1.1
调试截图:
能ping总公司的地址100.1.1.2
不能ping总部内部服务器192.168.1.1
VPN连接
VPN连接成功
访问总部Web服务器
调试二:
企业分支结构PC1能ping总部内部服务器192.168.1.1
六、课程设计体会
通过这次课程设计,我对VPN虚拟专用网有了深刻的了解,对Cisco模拟器也有了一定得了解,一开始选这个VPN体系结构设计这个课题的时候觉得挺难的,但是在从网上了解VPN技术之后,自己在Cisco模拟器上大胆的尝试设计VPN拓扑图然后自己又编写配置,这一路下来,觉得自己获得的知识挺多的,不但提高的动手能力,思考能力,也对未来工作产生了深远的影响。
希望以后还有更多的机会让我们对网络世界有更多的了解!
升级会员 