虚拟专网(VirtualPrivate Network)VPN1.特点 A.VPN虚拟网络,是一种;逻辑上的网络 B.VPN只为特定的企业或用户群体所专用 C.VPN不是一种简单的高层业务 2.优点 A.费用低 B.网络灵活性高 C.简单的网络管理 D.虚拟隧道技术提供网络连接使用拓朴结构 3.VPN体系结构 A.站点到站点的VPN—>网关到网关 B.远程访问VPN—>主机到网关4.VPN的工作原理—->增加IP包头 源和目的都是私有 5.VPN隧道和加密技术 隧道:实质上是一种封装、加密、传输和拆封、解密的过程。 A.第二层隧道协议 先把IP协议封装到PPP帧中,再把整个数据帧装入隧道协议. 协议 : PPTP点到点隧道协议 L2F二层转发协议 L2TP二层隧道协议 B.第三层隧道协议 可扩充性、安全性、可靠性方面 协议:私有地址–>私有地址(VPN流量) GRE通用路由封装协议 IPSec 协议:包括AH、ESP、IKE协议,支持IP协议 MPLS VPN多协议标签交换 6.VPN有两个阶段 A.钥匙阶段—->负责信令 B.IPSec 阶段—>负责数据 每个阶段都有三种技术:机密性、数据完整性、身份验证。 注意:7.AH的认证强度比ESP强 showcrypto isakmp sa … 继续阅读
虚拟专网(VirtualPrivate Network)VPN1.特点 A.VPN虚拟网络,是一种;逻辑上的网络 B.VPN只为特定的企业或用户群体所专用 C.VPN不是一种简单的高层业务 2.优点 A.费用低 B.网络灵活性高 C.简单的网络管理 D.虚拟隧道技术提供网络连接使用拓朴结构 3.VPN体系结构 A.站点到站点的VPN—>网关到网关 B.远程访问VPN—>主机到网关4.VPN的工作原理—->增加IP包头 源和目的都是私有 5.VPN隧道和加密技术 隧道:实质上是一种封装、加密、传输和拆封、解密的过程。 A.第二层隧道协议 先把IP协议封装到PPP帧中,再把整个数据帧装入隧道协议. 协议 : PPTP点到点隧道协议 L2F二层转发协议 L2TP二层隧道协议 B.第三层隧道协议 可扩充性、安全性、可靠性方面 协议:私有地址–>私有地址(VPN流量) GRE通用路由封装协议 IPSec 协议:包括AH、ESP、IKE协议,支持IP协议 MPLS VPN多协议标签交换 6.VPN有两个阶段 A.钥匙阶段—->负责信令 B.IPSec 阶段—>负责数据 每个阶段都有三种技术:机密性、数据完整性、身份验证。 注意:7.AH的认证强度比ESP强 showcrypto isakmp sa //查看钥匙的安全联盟,前提是要触发这个流量(ping)showcrypto ipsec sa //查看IPSEC的安全联盟 实验1: 静态 VPN 注意:请用C3640-IK-ISO文件 NAT:改了包头 去192.168.10.1–>200.200.12.1 200.96.134.133 回200.96.134.133 200.200.12.1 VPN:两层IP包头,加包头 SIP DIP 200.200.12.1 200.200.34.4 192.168.11.1 基本配置:enconftno ipdomain-loolineconsole 0exec-timeout 0 0loggsyhostname r r1intf0/0ip add192.168.10.1 255.255.255.0noshutintf1/0ip add200.200.12.1 255.255.255.0noshutexitintf0/0ip natinintf1/0ip natoutexitiproute 0.0.0.0 0.0.0.0 Fa1/0 //做默认路由 r2 intf1/0ip add200.200.12.2 255.255.255.0noshutintf0/0ip add200.200.23.2 255.255.255.0noshutintloopback 0ip add200.200.2.2 255.255.255.0noshutexitrouterripver2noaunet200.200.12.0net200.200.23.0net200.200.2.0passive-interfacef1/0 //查看路由只有一条RIP路由表 r3intf0/0ip add200.200.23.3 255.255.255.0noshutintf1/0ip add200.200.34.3 255.255.255.0noshutexitrouterripver2noaunet200.200.23.0net200.200.34.0passive-interfacef1/0 //查看路由只有两条RIP路由表 r4 intf1/0ip add200.200.34.4 255.255.255.0noshutintf0/0ip add192.168.11.1 255.255.255.0noshutexitintf0/0ip natinintf1/0ip natoutexitiproute 0.0.0.0 0.0.0.0 Fa1/0 //做默认路由 1、定义两个访问列表 R1192.168.10.X — 192.168.11.X ip access-list extended(扩展的命名列表)for_nat(名字)deny(拒绝)ip 192.168.10.0 0.0.0.255 192.168.11.00.0.0.255 //在NAT中将VPN的流量拒绝掉,这些列表不要应用到接口下permit(允许) ip 192.168.10.0 0.0.0.255 anyexitipaccess-list extended(扩展的命名列表) for_vpn(名字) //为VPN做列表,这些列表不要应用到接口下permit(允许) ip 192.168.10.00.0.0.255 192.168.11.0 0.0.0.255exitip nat inside source listfor_nat interface FastEthernet1/0 overload //做NAT转换条目 R4 ip access-list extended(扩展的命名列表)for_nat(名字)deny(拒绝) ip192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 //在NAT中将VPN的流量拒绝掉,这些列表不要应用到接口下permit(允许) ip 192.168.11.0 0.0.0.255 anyexitip natinside source list for_nat interface FastEthernet1/0overload //做NAT转换条目 ipaccess-list extended(扩展的命名列表) for_vpn(名字) //为VPN做列表,这些列表不要应用到接口下Per ip192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 2、定义IKE的策略 以R1为例======》R4 cryptoisakmp policy 2 或 10 //全局模式下hashmd5 authentication pre-share group2endesexitcrypto isakmpidentity address //用地址方式标识对方 //默认就是这种crypto isakmp key 6cisco (密码) address 200.200.34.4(对方的地址) 3、定义IPSEC crypto ipsectransform-set vpn(名字) esp-3des esp-md5-hmac //定义IPSEC的转换集mode tunnel 4、定义加密图 crypto map vpn_map(名字) 1(序列号) ipsec-isakmp //IPSEC_ISAKMP关键字表示自动的方法 set transform-set vpn(名字) 转换集名字setpeer 200.200.34.4 //对端的地址match address for_vpn 访问列表 5、到外部接口应用加密图intfa1/0crypto map vpn_map 排错showcrypto isakmp sa //查看钥匙的安全联盟,前提是要触发这个流量(ping)showcrypto ipsec sa //查看IPSEC的安全联盟 实验结果:1.在PC1ping PC2 通一半丢一半包工 —->OK2.用UNC访问共享文件 实验2: 动态 VPN 注意:测试时要先在动态IP的这边私网去访问固定IP的对方的私网,如果方向反了就不能ping通1、在R2上show run 看一下地址池为200.200.12.1-200.200.12.3,客户端(R1)得到的是200.200.12.12、在R2上增加一名命令ip dhcp excluded-address200.200.12.1,此时地址池中的地址为200.200.12.2将R1接口shutdown后,再次打开,查看 R1的IP为192.168.12.3,再次测试VPN都是可以ping通的 R1enconft no ipdomain-loolineco 0loggsynoexec-texithostR1intfa0/0ip add192.168.10.1 255.255.255.0ip natinside noshutintfa1/0ip adddhcpip natoutsidenoshutexitipaccess-list extended for_natdeny ip192.168.10.0 0.0.0.255 192.168.11.00.0.0.255permitip any anyexitipnat inside source list for_nat interface fa1/0 overloadipaccess-list extended for_vpnper ip192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255exitiproute 0.0.0.0 0.0.0.0 fa1/0 cryptoisakmp policy 1hashmd5authentication pre-sharegroup2exitcryptoisakmp key 6 cisco address 200.200.34.4 cryptoipsec transform-set vpn esp-3des esp-md5-hmacexit cryptomap vpn_map 1 ipsec-isakmpsetpeer 200.200.34.4settransform-set vpnmatchaddress for_vpnexitintfa1/0cryptomap vpn_mapnoshutexit R2: enconfthostR2no ipdomain-loolineco 0loggsynoexec-texitintloo 0ip add200.200.2.2 255.255.255.0noshutintfa0/0ip add200.200.23.2 255.255.255.0noshutintfa1/0ip add200.200.12.2 255.255.255.0noshutexitipdhcp pool AAnetwork 200.200.12.0 /24ipdhcp excluded-address 200.200.12.3 200.200.12.254exitrouterripver2noauto-summnet 200.200.12.0net200.200.23.0net 200.200.2.0passive-interface fa1/0exit R3 enconfthostR3no ipdomain-loolineco 0loggsynoexec-texitintfa0/0ip add200.200.23.3 255.255.255.0noshutintfa1/0ip add200.200.34.3 255.255.255.0noshutexit routerripver 2net200.200.34.0net200.200.23.0noauto-summpassive-interface fa1/0exit R4enconfthostR4no ipdomain-loolineco 0loggsynoexec-texitintfa0/0ip add192.168.11.1 255.255.255.0ip natinsidenoshutintfa1/0ip add200.200.34.4 255.255.255.0ip natoutsidenoshutexitipaccess-list extended for_natdeny ip192.168.11.0 0.0.0.255 192.168.10.00.0.0.255permitip any anyexitipaccess-list extended for_vpnper ip192.168.11.0 0.0.0.255 192.168.10.00.0.0.255exit ipnat inside source list for_nat interface fa1/0 overload iproute 0.0.0.0 0.0.0.0 fa1/0 cryptoisakmp policy 1hashmd5authentication pre-sharegroup2exitcryptoisakmp key 6 cisco address 0.0.0.0 0.0.0.0 //因为对方是动态地址cryptoipsec transform-set vpn esp-3des esp-md5-hmacexitcrypto dynamic-map dy_vpn_map 1 //做一个动态的MAPsettransform-set vpnmatchaddress for_vpnexit crypto mapvpn_map 1ipsec-isakmp dynamicdy_vpn_mapexitintfa1/0cryptomap vpn_mapnoshutexit
No comments:
Post a Comment