资源描述
,专 业 务 实 学 以 致 用,单击此处编辑母版标题样式,单击此处编辑母版文本样式,国家高等职业教育,网络技术专业教学资源库,计算机网络平安技术与实施,学习情境,2,:实训任务,2.5,基于路由器实现分支与总部,VPN,连接,内容介绍,任务场景及描述,1,任务相关,工具软件介绍,2,任务设计、规划,3,任务实施及方法技巧,4,任务检查与评价,5,任务总结,6,任务场景及描述,任务相关工具软件介绍,思科平安设备管理工具SDM,Cisco Security Device Manager,即Cisco平安设备管理工具,简称SDM。是Cisco公司提供的图形化路由器管理工具。SDM在新版CCNP课程ISCW中重点讲解,其利用WEB界面、Java技术和交互配置向导使得用户无需了解命令行接口(CLI)即可轻松地完成IOS路由器的功能配置、状态监控和平安审计,对于一些复杂的配置功能包括:防火墙、QoS、VPN、IDS/IPS、DHCP Server、动态路由协议等都可以利用SDM通过图形界面方式进行轻松配置。SDM可能通过HTTPS连接及SSH v2协议连接到路由器,提供平安保护。多数Cisco的大局部中低端路由器的新版本IOS都可以支持SDM。下面是其安装界面。,任务相关工具软件介绍,在选择SDM的管理程序安装的位置处,可以选择安装在本计算机上,也可以通过本计算机连接到路由器上,将其安装到路由器内。一般仅会将SDM安装在计算机上,因为安装在路由器中对路由器的资源占用很大,无形增加了路由器的内存及CPU开销。因为SDM是利用WEB界面、Java技术和交互配置向导对路由器进行远程配置的,在本计算机上要设置IE等浏览器的平安设置中的ActiveX控件和插件,启用AXTIVE。并将“阻止弹出窗口关闭。,另外,还要在本机上安装JAVA运行环境。以保证JAVA程序能够正常运行。当IE提示阻止时,点击选择允许,如果出现后台程序脚本,点右键刷新可以看到SDM登录的认证。,任务相关工具软件介绍,1、在安装SDM前首先要安装JAVA运行环境,SDM软件通过WEB方式配置路由器,需要支持JAVA运行环境:,注意:建议安装如以下图所示的J2RE的JAVA运行环境,不要安装Java Runtime Environment(java运行时环境)6.0 Update,更不要同时安装这两者,否那么会出现路由器无法用SDM登录,或登录后防火墙及IPS等功能集不可用的情况。,任务相关工具软件介绍,2、利用SDM配置路由器的要求,安装SDM的主机要与路由器的一个接口相连不是直接相连接也可以,如以下图所示,计算机的以太口与路由器的以太接口在可以进行通信。也就是说首先要配置路由器的FE0/0接口的IP,同时配置A计算机网络的IP地址与其在同一网段这里需要同一网段,实际中只要能进行网络通信就可以。启动路由器准备SDM连接并进行配置。,3、安装配置SDM软件,在A计算机上启动SDM软件并进行连接,,如下图。,A,IP:10.2.2.2,IP:10.2.2.1,R1,FE0/0,任务相关工具软件介绍,4、对路由器的预配置,在配置路由器之前除了要对接口配置IP地址之外,还要进行相应的配置,可参见SDM安装程序目录下的Help.htm帮助文件。具体命令如下:,r1(config)#ip server,r1(config)#ip secure-server,r1(config)#ip authentication local,/当进行HTTP访问是,通过本地的用户名和密码登录验证用户身份。,r1(config)#username cey privilege 15 password 0 cey123,/“privilege 15说明此用户对路由器有最高的权限。,r1(config)#line vty 0 4,r1(config-line)#privilege level 15,r1(config-line)#login local /ssh通过本地的用户名和密码登录验证。,r1(config-line)#transport input telnet,r1(config-line)#transport input telnet ssh,r1(config-line)#exit,此时就可以参照上一步用SDM进行连接路由器r1对其进行配置了:,任务设计、规划,在实际企业环境中,经常有这样的需求,即要把企业总部与其分支机构的两个局域网络利用VPN进行连接,以实现资源的平安共享,其实这种就是前面介绍的VPN结构中的站点到站点site to site模式的VPN。如以下图所示,长春分公司的内部主机A、B通过VPN实现对北京总部内的C、D主机进行平安通信。,互联网,ISP,总公司,地方或远程分公司,北京,长春,A,B,C,D,任务设计、规划,为配置的实现对上图的简化,下面是要进行的实际配置中的图及具体参数。,模拟互联网,总公司,地方或远程分公司,北京,长春,A,C,R1,R2,R3,S1/0,S1/0,S1/1,S1/1,FE0/0,FE0/0,任务实施及方法技巧,在连接过程中SDM会屡次要求输入用户名和密码,就是预配置中建立的路由器的本地用户名密码,连接上来后,如右图示是SDM的主页面,显示了路由器的型号等信息。,任务实施及方法技巧,选择配置页中的VPN,就可以开始VPN功能的配置了,这里根据任务安排,应该选择站点到站点VPN。并选择创立站点到站点VPN,点启动选定的任务。,任务实施及方法技巧,这里有两种配置方式:,快速安装是按SDM的默认值进行配置。,这里选择逐步操作向导完成站点到站点VPN的配置任务,了解VPN的配置工程。,任务实施及方法技巧,接下来是选择,VPN,的接口,此任务中,Serial1/0,为本路由器的,VPN,连接接口。,对等项标识是指,VPN,的另一端的信息,如是否是固定,IP,,如果是要输入,IP,地址,验证方式这里选择预共享密钥,这是进行,VPN,连接时双方进行交流时使用的同一保密密钥,双方要设置一致。需要注意的是这个密钥并不是对数据加密时用的密钥。,任务实施及方法技巧,IKE提案里要设置在Internet密钥交换过程中,VPN建立的双方的协商,这里需要设置为主保护协商过程的信息机密性加密方法、完整性散列算法、加密材料长度DH分组、身份验证方式。,任务实施及方法技巧,上一步是对VPN建设过程中协商信息的保护,这里需要设置的的会话协商成功后,VPN通道中传输的数据的保护方法,主要是:数据机密性保护数据加密方法、数据完整性散列算法。,任务实施及方法技巧,在这一步中要设置的是对哪种数据流进行,VPN,保护,在这个工作任务中,目标是局域网与局域网的通信要求保护,而对于或访问互联网上的资源是不需要通过,VPN,连接的。,任务实施及方法技巧,基于图形界面的配置完成后,SDM会将配置过程转换为配置命令发送到路由器上去。如以下图所示:,任务实施及方法技巧,完成以上的配置后,通过命令行连接到路由器上,可以看到路由器上已经完成了,VPN,的配置。,任务检查与评价,1、SDM配置方式中的VPN连接检测,在完成根本SDM的VPN配置后,SDM配置页面中就有了刚刚建立的VPN连接,下面多了一个VPN连接通道测试项。选择即可进行测试,SDM可以提出错误点及排错方法。,2、在基于命令行配置的VPN连接检测,在基于命令行中,可以借助于,Show 和Debug命令进行VPN连接的测试与排错。,r1#show crypto isakmp sa /列出活动的IKE会话,r1#show crypto ipsec sa /列出活动的IPsec平安关联,r1#debug crypto isakmp /调试IKE通信,任务检查与评价,R1#show run,hostname R1,crypto pki trustpoint TP-self-signed-241257058,enrollment selfsigned,subject-name cn=IOS-Self-Signed-Certificate-241257058,revocation-check none,rsakeypair TP-self-signed-241257058,username cey privilege 15 password 0 cey123,crypto isakmp policy 2,encr 3des,hash md5,authentication pre-share,group 2,crypto ipsec transform-set set123 esp-3des esp-md5-hmac,crypto map SDM_CMAP_1 1 ipsec-isakmp,set transform-set set123,match address 100,interface FastEthernet0/0,interface FastEthernet0/1,crypto map SDM_CMAP_1,ip server,ip authentication local,ip secure-server,ip forward-protocol nd,access-list 100 remark SDM_ACL Category=4,access-list 100 remark IPSec Rule,line aux 0,line vty 0 4,privilege level 15,login local,transport input telnet ssh,任务检查与评价,进一步理解VPN技术原理、优势及分类,以及隧道建立的过程,这个工作任务建议是由课内完成的,要求到达的目标是:能够深入理解VPN及隧道技术,并能在路由器上基于命令行方式不建议用SDM进行VPN连接的配置,并能进行正确的检查。,任务,2.5-,知识技能要点测评表,序号,测评要点,具体目标,测评权重,1,知识理解,深入理解,VPN,及隧道技术,掌握隧道技术的应用,熟悉,VPN,通道的建立过程。,20,2,工具及软件使用,能正确在路由器上基于命令行方式(不建议用,SDM,)进行,VPN,连接的配置。,10,3,任务实施,能在路由器上利用,IPSEC,隧道技术配置远程机构的互联。能够采用正确的方法对,VPN,连接结果进行检查,并能说明检查结果。,20,4,专业能力提升,能对,IPSEC,技术的实现有深入理解,20,5,方法能力提升,利用学习资源自主进行深入学习,20,6,社会能力提升,通过小组合作分析协议结构,提升表达、沟通能力,10,任务总结,本任务围绕IPSEC技术,配置路由器的远程VPN互联:,本任务是对企业实际应用最为广泛的VPN技术,这种VPN连接适合于企业网络接入设备为路由器,且有固定的公网IP地址,这是典型的Intranet VPN,即Site To Site站点到站点VPN连接类型,可以在此根底上扩展IPSEC OVER GRE和GRE OVER IPSEC的应用,谢谢您的收看!,请多提珍贵意见!,谢谢,
展开阅读全文