《vpn多分公司实现案例》由会员分享,可在线阅读,更多相关《vpn多分公司实现案例(5页珍藏版)》请在金锄头文库上搜索。
1、实验目的:通过IPSecVPN技术实现公司总部和各个分部之间不同的安全通信,总部与分部之间通过两台路由互联并运行OSPF多区域路由协议模拟Internet,总部和分部并不知道模拟Internet的具体连接情况,需要配置默认路由连接到模拟公网之上。实验环境:使用DynamipsGUI2.8模拟器,路由器IOS使用c3640-jk9o3s-mz.122-26.bin(带有VPN功能)。DynamipsGUI2.8的具体使用可参考网络的一些资料。实验网络拓扑:试验步骤:一、配置模拟公网的具体网络参数(R2和R3之间的级联。不是重点,只做简单介绍)1、首先,在R2上配置各个端口的IP地址,并启用OSP
2、F协议,进程号为200,将直连的网络宣告到对应的区域里(注意:是两个区域,R2和R3之间的区域为骨干区域area0,端口Ethernet0/1所对应的区域为area1,具体可参考网络拓扑图)2、其次,在R3上配置各个端口的IP地址,并启用OSPF协议,进程号为300,将直连的网络宣告到对应的区域里(注意:是四个区域,R2与R3之间的区域为骨干区域,其它区域为area2,area3和area4。具体可参考网络拓扑图)3、公网模拟好之后,使用showiproute命令在R2或者R3上查看是否学习到不同区域之间的路由条目,不同区域之间的路由条目表示为OIA*二、配置总部和分部的具体网络参数(R1、R
3、4、R5和R6的配置,不是重点,只做简单介绍)1、配置公司总部各个端口的具体网络参数,并启用一条默认路由,下一跳地址由于不知道,配置为连接模拟公网的端口Ethernet0/0。2、配置深圳分部各个端口的具体网络参数,并启用一条默认路由,下一跳地址由于不知道,配置为连接模拟公网的端口Ethernet0/1。3、配置北京分部各个端口的具体网络参数,并启用一条默认路由,下一跳地址由于不知道,配置为连接模拟公网的端口Ethernet0/1。4、配置上海分部各个端口的具体网络参数,并启用一条默认路由,下一跳地址由于不知道,配置为连接模拟公网的端口Ethernet0/1。三、配置总部的三条IPSecVPN
4、,分别指向不同的分部。(重点讲解)*R1的具体配置*11、配置IKE协商1.1、启用IKE(IKE-InternetKeyExchange是基于Internet安全联盟和密钥管理协议(ISAKAMP)定义的框架。IPSec传送认证或加密的数据之前,必须就协议、加密算法和使用的密钥进行协商。而IKE提供了这个功能,ISAKAMP定义了两个通信对等体如何能够通过一系列的过程来保护他们之间的通信信道。然而,它并没有规定传送的内容,只是充当了交通工具的角色。)默认条件下,IKE在CiscoISO软件中是激活的。如果被人工关闭,则需要再次激活它。1.2、建立IKE协商策略并配置IKE协商参数(在启用IK
5、E后可以构造IKE策略,根据每个VPN连接的安全系数不同,构造多个策略。不同的IKE策略实现不同的安全连接方式)定义公司总部与分部之间的IKE的编号为policy(取值范围为110000,策略编号越低,其优先级越高),以policy2为例进行讲解:encryption3des命令被用来设置加密所需要的算法,(DESDataEncryptionStandard数据加密标准,是使用最广泛的共享密钥加密算法。它使用对称式加密算法,加密和解密使用相同的密钥值,共56位,而3DES是DES的扩展,共168位。由于算法的复杂性,因此需要的网络宽带和内存)autherticationpre-share命令告
6、诉路由器要使用预先共享的密钥(对等体认证方法除了预共享密钥还有RSA加密的nonces,RSA签名,默认为RSA签名)hashsha命令被用来设置密钥认证所用的算法,有MD5和SHA-1两种,默认为SHA-1。(Hash散列算法是一种基于密钥(对称密钥或公钥)的加密不同的数据转换类型。其中MD5是使用最广泛的报文摘要算法,可产生128位散列值的散列算法。SHA-1是安全散列算法,可产生一个160位的散列值。SHA-1算法的缺点是速度被MD5慢,但是SHA的报文摘要更长,具有更高的安全性)group2为密钥交换方式,一般有三种模式,分部为group1,group2,group5,其中,group
7、1的密钥交换最简单,而group5的密钥交换方式最复杂。(注意:同等实体两端策略的密钥交换方式必须一样,就本实验而言,总部和深圳分部使用group1,总部和北京分部使用group2,总部和上海分部使用group5)Lifetime86400声明了SA的生存时间,默认为86400。在超过生存时间后,SA将被重新协商。(SASecuityAssociations安全联盟,定义了各种类型的安全措施,这些措施的内容包含了IP包加密解密和认证的相关信息)1.3、设置IPSec对等体的验证方法(由于SA是单向的,因此,需要设置预先共享的密码和对端的IP地址或主机名。也就是说有两种验证方法,一种是通过对端主
8、机名进行验证;另一种是通过对端IP地址进行验证。语法为Router(config)#cryptoisakmpkeykeystringaddresshostnamepeer-address(peer-hostname)注意:VPN链路两端的密码必须匹配。)2、配置IPSec相关参数2.1、指定Cryptomap加密用的访问列表(注意:IPSec只用于加密的访问类别,而没有定义的访问列表就等于没有IPSec的验证,直接以明文的方式进行传送。这个不同于普通的访问控制列表那样运行和拒绝流量)Crypto访问列表必须是互为镜像的。比如:总部连接外网的路由器加密了所有流向深圳分部连接2外网的路由器的IP流
9、量,则分部连接外网的路由器必须加密流回总部连接外网的路由器的所有IP流量。其实,这个类似于windows系统中的IP安全策略(开始运行mmc添加/删除管理单元IP安全策略)考虑到试验的局限性,这里只定义了给IP包和ICMP包(ping包)进行数据的加密,其它数据包正常通过。2.2、配置IPSec工作模式并配置交换集(定义总部和深圳分部之间路由器的IPSec工作模式为传输模式(transport,默认为tunnel)并定义交换集名为aaa,并使用了ah-md5-hmac的验证参数。定义总部和北京分部之间路由器的工作模式为隧道模式(tunnel)并定义交换集名为bbb,并使用了esp-3des和e
10、sp-sha-hmac。定义总部和上海分部之间路由器的工作模式为隧道模式(trunel)并定义交换集名为ccc,并使用了esp-3des和ah-sha-hmac)工作模式可选择的参数有:(每种参数类型中只可以选择一种方式,但三者可以同时使用,可以看出总部和上海分部之间的IPSec工作模式在三者之间是最安全的)AH验证参数:ah-md5-hmac、ah-sha-hmacESP加密参数:esp-des、esp-3des、esp-nullESP验证参数:esp-md5-hma、esp-sha-hmacAH:IPSec认证头提供数据完整性和数据源认证,但是不提供保密服务。ESP:带认证的封装安全负荷提
11、供数据完整性和数据源认证,同时也提供了保密服务。但是,其数据源认证没有AH功能强。IPSec的工作模式:传输模式-在传输模式中,IPSec的AH头或ESP头插入原来的IP头之后,而整个过程当中,原来的IP头并没有进行认证和加密。也就是说,源和目的IP以及所有的IP包头域都是不加密发送的。隧道模式-在隧道模式中,IPSec的AH头或ESP头插入原来的IP头之前,在整个过程中,加密和认证之后会从新生产一个新的IP头加到AH头或ESP头之前。也就是说,真正的IP源地址和目的地址都可以隐藏为因特网发送的普通数据。因此隧道模式比传输模式具有更高的安全性。同时,隧道模式加密的复杂性也占有了一定的网络带宽。
12、2.3、配置全局IPSec安全关联生命期(全局的和指定接口的SA生命期都可以被配置,SA生命期确定在它们重新协商前IPSecSA保持有效的时间,在加密映射条目内,全局生命期将被覆盖,当一个SA快要过期时,会协商一个新的,而不会打断数据流)3、配置加密映射并安全关联(现在已经构造好了VPN隧道需要的信息,需要通过配置crytomap将它们整合在一起然后运用到指定的接口上)创建三个Cryptomap,全部命名为map-all,并定义不同的优先级。以第一条cryptomap为例进行讲解:3Cryptomapmap-all11ipsec-isakmp:创建cryptomap,并命名为map-all,优
13、先级为11(优先级范围为165535,值越小,优先级越高),并将IPSec和ISAKMP关联起来。下面有个警告,意思是这个新的cryptomap在没有配置一个对等体或着一个有效的访问控制列表之前,始终保持关闭状态。Matchaddress112:匹配前面定义的加密访问控制列表,编号必须相同。Setpeer,IP地址应该同前面在IKE中配置的对端IP地址相同。Settransform-setaaa:指定了此CryptoMap所使用的交换集名称,这个名称应该与IPSec中配置的交换集名称相同。Setpfsgroup1:关联共享密钥的交换方式,应该与配置IKE协商阶段使用的交换方式相同。4、应用Cr
14、yptoMap到端口注意:在端口上只能应用一种cryptomap,所以要将三个cryptomap综合到一起,并配置同样的名称map-all。*R4的具体配置*1、配置IKE协商(建立IKE协商策略,并配置IKE协商参数,应与R1上配置对应的策略相同)2、设置IPSec对等体的验证方法(预共享密钥为123456,对等实体地址为3、设置IPSec的相关参数(cryptomap加密用的访问列表)4、配置IPSec工作模式为隧道模式,并配置交换集名称为aa,内容为ah-md5-hmac5、配置全局IPSec安全关联生命期为86400(对等体两端必须一样)6、配置加密映射并安全关联(定义crptomap
15、的名称为map-1优先级为20)7、应用Cryptomap到对应的端口上*R5的具体配置*R6的具体配置*四、设置PC1、PC2、PC3、PC4的IP地址、子网掩码以及网关。(注意写法:ipip-addressip-gateway/子网掩码在PC1上(总部)分别ping分部主机的IP地址,可以看出隧道已建立成功。在PC4上(上海分部)ping公网的IP地址,可以看出是ping不通的,因为公网对于VPN来说只是一条透明的链路而已。4五、IPSecVPN配置的检查(以R1和R4为例进行说明)1、使用showcryptoisakmppolicy命令可以查看所配置的IKE策略(通过两个路由器上IKE策略的对比进行排错)2、使用showcryptoisakmpkey可以查看VPN两端的共享实体的IP地址或者主机名,预共享密钥。3、使用showcryptoisakmpsa可以查看VPN对等实体两端的IP地址参数,如果协商不
