资源描述
,专 业 务 实 学 以 致 用,单击此处编辑母版标题样式,单击此处编辑母版文本样式,国家高等职业教育,网络技术专业教学资源库,计算机网络平安技术与实施,学习情境,2,:实训任务,2.5,基于路由器实现分支与总部,VPN,连接,内容介绍,任务场景及描述,1,任务相关,工具软件介绍,2,任务设计、规划,3,任务实施及方法技巧,4,任务检查与评价,5,任务总结,6,任务场景及描述,任务相关工具软件介绍,思科Packet Tracer命令行方式配置:,任务设计、规划,在实际企业环境中,经常有这样的需求,即要把企业总部与其分支机构的两个局域网络利用VPN进行连接,以实现资源的平安共享,其实这种就是前面介绍的VPN结构中的站点到站点site to site模式的VPN。如以下图所示,长春分公司的内部主机A、B通过VPN实现对北京总部内的C、D主机进行平安通信。,互联网,ISP,总公司,地方或远程分公司,北京,长春,A,B,C,D,任务设计、规划,1,、,IPsec VPNs,组成与功能特性,IPsec VPNs,在企业与分支机构的应用中较常见,对于企业的实现也不受限制,,IPsec,为三层,VPN,技术,下面重点就,IPsec VPNs,组成与功能特性中的站点到站点,IPsec VPNs,进行介绍:,2,、站点到站点,IPsec VPN,的操作,站点到站点,IPsec,操作的,5,个步骤如下:,IP:10.2.2.2,IP:10.2.2.1,IP:10.1.1.2,IP:10.1.1.1,R1,200.1.1.2,100.1.1.1,R2,S1/0,S1/1,FE0/0,FE0/0,互联网,B,A,1主机A发送感兴趣数据流需要VPN保护的流量给主机B;,2路由器R1和R2协商IKE第1阶段会话IKE平安关联;,3路由器R1和R2协商IKE第2阶段会话IPsec平安关联;,4感兴趣数据流信息通过IPsec隧道进行交换传输;,5IPsec隧道终止。,任务设计、规划,3、5个步骤中第1步,哪些流量是感兴趣数据流,即需要VPN保护的流量呢?,根据图中所示,感兴趣数据流对于路由器R1和R2而言的,此处感兴趣数据流是企业总部网络到企业分支机构的网络的互相访问的数据流量。例如:主机A到主机B的数据包的源IP为,目的IP为,属于到的数据流量,反之同理。对于路器来说它并不知道什么是感兴趣数据流,需要进行配置,可以结合访问控制列表进行指明。,哪些流量不是感兴趣数据流,即不需要通过VPN保护的流量呢?,根据图中所示,对于A主机同网络的主机也是这样要访问互联网上的其它主机不是B主机网络中的主机,这时就不需要进行VPN保护了。如A访问公网的网址,就不是感兴趣数据流了,路由器R1或R2根据访问控制列表可以进行NAT转换处理而不是进行VPN保护了。,因此在路由器R1和R2上要配置访问控制列表定义哪些数据是感兴趣数据流,哪些不是感兴趣数据流,不是感兴趣数据流需要通过配置NAT进行转换。,举个例子,可能不太恰当。银行的总行与分行之间的现金往来是有押运车来保护的,但是银行与蓄户之间的现金往来就没有押运车来保护了。,任务设计、规划,4、5个步骤中第2步,此步为IKE阶段1:IKE即Internet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。可以将IKE分为两个阶段:Phase 1主要工作是进行认证,建立一个IKE SA和Phase 2主要是进行密钥交换,利用Phase 1中的IKE SA来协商IPSec SA。一旦两个对等端之间的IKE协商取得成功,那么IKE就创立到远程对等端的平安关联(security association,SA)。SA是单向的;在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商,确保端口500不被阻塞。下面介绍Phase 1。,在phase 1 主要工作是:,1选用协商模式,main mode主模式和aggressive mode可译为挑战模式或积极模式两种模式的区别是,主模式平安性要高,提供了对通信双方身份的保护,如IP地址等信息,平安性更高;挑战模式去除了上主模式中的身份的保护等功能,因此速度上要比前一种快。2选用一种身份认证方法,在路由器上,通信双方主要有两种身份认证的方法:,一种是通过preshare key预共享密钥进行连接认证,一般多采用此种方式进行身份认证;,另一种是利用前面讲的非对称加密算法及数字证书方式,这又分为两种:一种是(rsa-sig)使用证书授权使用CA;别一种是(rsa-encr)手工配置RSA密钥不使用CA。,在思科路由器上可以使用如下命令定义身份认证的方法:(isamkp)authentication rsa-sig|rsa-encr|pre-share。,任务设计、规划,3选用一种加密算法 即对数据及信息的加密算法,加密算法可选56位的DES-CBC(des,默认值)或者168位的3DES(3des)。,在思科路由器上可以使用如下命令定义加密算法:(isakmp)encryption des|3des 4选用一种验证算法,验证算法即散列算法,主要用于对所传输数据或信息的完整进行验证的一种方法,那前面工作任务中提到的HASH算法。路由器中散列算法主要有sha和md5两种,默认sha。,在思科路由器上可以使用如下命令定义散列算法:(isamkp)hash sha|md5 5选用一组diffie-hellman 公钥密码系统组dh1 或dh2。D-H是基于非对称加密的一种算法,只进行密钥的生成,使通信双方都得到用于通信数据加密的对称加密密钥。关于D-H算法可以参考前面的加密局部工作任务中,也可以利用网络进行查找更多关于此算法的详细说明。除非购置高端路由器,或是VPN通信比较少,否那么最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥平安性高,但消耗更多的CPU时间。,在思科路由器上可以使用如下命令定义Diffie-Hellman密钥材料长度:(isakmp)group 1|2,6定义IKE SA的生存周期,对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否那么VPN在正常初始化之后,将会在较短的一个SA周期到达中断。该项设置允许您决定ike 的sa 在到期前可以执行多长时间。如设置为0 那么表示IKE SA的连接会一直保持不中断。如果IKE SA握手到期,那么IKE SA和IPSec SA均需重新协商连接。在思科路由器上可以使用如下命令定义IKE SA的生存周期:(isakmp)lifetime seconds,任务设计、规划,5、5个步骤中第3步,在phase 2主要工作是:,1选用协议封装,ESP与AH是数据封装的两种常用方式:Encapsulating Security PayloadESPIP 封装平安负载协议协议号为50,ESP为IP数据包提供完整性检查、认证和加密,提供机密性并可防止篡改。ESP效劳依据建立的平安关联SA是可选的;Authentication HeaderAH协议号为51,与ESP区别在于AH没有ESP的加密特性,AH的数据完整性验证是对整个数据包做出的,包括IP头局部,但是IP头局部包含很多可变参数,如经过多个路由器后TTL、TOS、标志位、及头部校验和都可能变化,所以头部的完整性发生变化导致收发方无法匹配。而ESP是对局部数据包做数据完整性验证时,不包括IP头局部。因此从机密性与完整性角度考虑一般选择ESP封装。详细信息可通过网络进行查询。2选用一种加密算法 3选用一种验证算法,在思科路由器上可以使用如下命令定义IPSec协议封装方式、加密算法与验证算法:crypto ipsec transform-set 变换集名字 esp-des esp-md5-hmac,任务设计、规划,4选用是否使用diffie-hellman 公钥密码系统来执行完美向前保密PFS,默认为none禁用PFS。5选用变换集的模式,变换集的模式有两种:隧道tunnel模式或者传输transport模式。在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPSec头(AH/ESP);传输模式主要为上层协议提供保护,AH和/或ESP包头插入在IP包头和运输层协议包头之间。,在思科路由器上可以使用如下命令定义变换集的模式:(crypto-transform)mode tunnel|transport 6定义IPSec SA生存时间。与IKE SA的生存时间作用不同,但原理上是类似。,6、5个步骤中第4步,这一阶段为IPSec会话阶段,在这一过程中SAs在通信双方间进行交换,并将协商的平安效劳应用到数据流量上。,7、5个步骤中第5步,这一阶段为隧道终止,隧道终止的可能原因是:设定的SA生存时间到了;包计时器超出,IPsec SA被移除。,任务设计、规划,为配置的实现对上图的简化,下面是要进行的实际配置中的图及具体参数。,模拟互联网,总公司,地方或远程分公司,北京,长春,A,C,R1,R2,R3,S1/0,S1/0,S1/1,S1/1,FE0/0,FE0/0,任务实施及方法技巧,通过命令行配置站点到站点VPN,1VPN效劳器Router:R1(VPN Server)的配置,1IKE配置,router(config)#hostname r1,r1(config)#crypto isakmp policy 1 /定义策略为1,r1(config)#hash md5 /定义MD5散列算法,r1(isakmp)#authentication pre-share /定义为预共享密钥认证方式,r1(isakmp)#exit,r1(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0,/配置预共享密钥为cisco123,对等端为所有IP,2IPSec协议配置,r1(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac/创立变换集,r1(config)#crypto dynamic-map rtpmap 10 /创立动态保密图rtpmap 10,r1(crypto-map)#set transform-set rtpset /使用上面的定义的变换集rtpset,r1(crypto-map)#match address 115 /援引访问列表确定受保护的流量,r1(crypto-map)#exit,r1(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap,/将动态保密图集参加到正规的图集中,r1(config)#interface fastethernet 0/0,任务实施及方法技巧,r1(config-if)#ip nat inside,r1(config-if)#exit,r1(config)#interface Serial 1/0,r1(config-if)#clock rate 64000,r1(config-if)#no shutdown,r1(config-if)#ip nat outside,r1(config-if)#crypto map rtptrans /,将保密映射应用到,S1/1,接口上,r1(config-if)#exit,r1(config)#ip nat inside source route-map nonat interface Serial1/0 overload,!-,这个,NAT,配置启用了路由策略,内容为到的访问不进行地址翻译,!-,到其他网络的访问都翻译成,S0/0,接口的,IP,地址,r1(
展开阅读全文