Site-to-Site VPN配置和调试实践:构建安全的远程网络连接

news/2024/11/19 22:54:41/

Site-to-Site VPN配置和调试实践:构建安全的远程网络连接

【实验目的】

  1. 理解Site to Site VPN的含义。
  2. 掌握Site to Site VPN的含义。
  3. 验证配置。

【实验拓扑】

实验拓扑如下图所示。

实验拓扑

设备参数表如下表所示。

设备参数表

设备

接口

IP地址

子网掩码

默认网关

R1

S0/1/0

69.1.0.1

255.255.255.0

N/A

G0/0/0

192.168.1.1

255.255.255.0

N/A

Internet

S0/1/0

69.1.0.2

255.255.255.0

N/A

S0/1/1

201.106.208.1

255.255.255.0

N/A

R2

S0/1/0

201.106.208.2

255.255.255.0

N/A

G0/0/0

192.168.2.1

255.255.255.0

N/A

【实验内容】

1.基础配置

//R1

Router>ena

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

R1(config)#interface g0/0/0

R1(config-if)#ip address 192.168.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface s0/1/0

R1(config-if)#ip address 69.1.0.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#

//Internet

Router#conf t

 Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname Internet

Internet(config)#interface s0/1/0

Internet(config-if)#ip address 69.1.0.2 255.255.255.0

Internet(config-if)#no shutdown

Internet(config-if)#interface s0/1/1

Internet(config-if)#ip add 201.106.208.1 255.255.255.0

Internet(config-if)#no shutdown

Internet(config-if)#exit

Internet(config)#

//R2

Router>en

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R2

R2(config)#interface s0/1/0

R2(config-if)#ip address 201.106.208.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#interface g0/0/0

R2(config-if)#ip add 192.168.2.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#

2.IP地址与路由配置

在路由器R1、R2上配置IP地址,测试各直连链路的连通性,并配置如下路由:

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

//公网出口路由器通常会有默认路由指向Internet

Internet(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

Internet(config)#ip route 0.0.0.0 0.0.0.0 s0/1/1

R2(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

3.验证配置

//PC1可以ping通PC2,tracert追踪到4条路由

4.配置Site to Site VPN

(1)R1的基本配置

①IKE协商配置。

R1(config)#crypto isakmp enable

//开启isakmp功能

R1(config)#crypto isakmp policy 10

//创建一个isakmp策略,编号为10。可以有多个策略,路由器双发将采用编号最新的策略进行协商

R1(config-isakmp)#encryption des

//配置isakmp采用的加密算法,可以选择3DES、AES和DES

R1(config-isakmp)#authentication pre-share

//配置isakmp采用的身份认证算法,这里采用预共享密钥

R1(config-isakmp)#hash sha

//配置isakmp采用HASH算法,可以选择MD5和SHA

R1(config-isakmp)#group 5

//配置isakmp采用的密钥交换算法,这里采用DH group5,可以选择1,14,15,16,2,5

R1(config-isakmp)#exit

R1(config)#crypto isakmp key cisco address 201.106.208.2

//配置对等体201.106.208.2的预共享密钥为cisco,双方配置的密钥需要一致

R1(config)#

②配置IPsec的协商的传输模式集。

R1(config)#crypto ipsec transform-set TRAN esp-des esp-sha-hmac

//创建ipsec转换集,名称为TRAN,该名称本地有效,这里转换集采用ESP封装,加密算法为DES,HASH算法为sha,可以选择AH很会装封装或AH-ESP封装

③配置感兴趣的数据流。

R1(config)#ip access-list extended VPN

R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R1(config-ext-nacl)#exit

//定义一个ACL,用来指明需要通过VPN加密的流量,注意这里限定的两个局域网之间的流量才运行加密,其他流量(例如,到Internet)不要加密

④配置VPN加密图与接口应用。

R1(config)#crypto map MAP 10 ipsec-isakmp

//创建加密图,名为MAP,编号为10。名称和编号都本地有效,路由器采用从小小到大逐一匹配

R1(config-crypto-map)#set peer 201.106.208.2

//指明VPN对等体为路由器R2

R1(config-crypto-map)#match address VPN

//指明匹配名为VPN的ACL为VPN流量

R1(config-crypto-map)#exit

R1(config)#interface s0/1/0

R1(config-if)#crypto map MAP

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R1(config-if)#exit

//在接口上应用之前创建的加密图MAP

(2)R2的基本配置

R2(config)#crypto isakmp enable

R2(config)#crypto isakmp policy 10

R2(config-isakmp)#encryption des

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#hash sha

R2(config-isakmp)#group 5

R2(config-isakmp)#exit

R2(config)#crypto isakmp key cisco address 69.1.0.1

R2(config)#crypto ipsec transform-set TRAN esp-des esp-sha-hmac

R2(config)#ip access-list extended VPN

R2(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R2(config-ext-nacl)#exit

R2(config)#crypto map MAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R2(config-crypto-map)#set peer 69.1.0.1

R2(config-crypto-map)#match address VPN

R2(config-crypto-map)#exit

R2(config)#interface s0/1/0

R2(config-if)#crypto map MAP

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R2(config-if)#exit

R2(config)#

5.R1、R2的配置VPN的脚本

//R1

crypto isakmp enable

crypto isakmp policy 10

encryption des

authentication pre-share

hash sha

group 5

exit

crypto isakmp key cisco address 201.106.208.2

crypto ipsec transform-set TRAN esp-des esp-sha-hmac

ip access-list extended VPN

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

exit

crypto map MAP 10 ipsec-isakmp

set peer 201.106.208.2

match address VPN

exit

interface s0/1/0

crypto map MAP

exit

//R2

crypto isakmp enable

crypto isakmp policy 10

encryption des

authentication pre-share

hash sha

group 5

exit

crypto isakmp key cisco address 69.1.0.1

crypto ipsec transform-set TRAN esp-des esp-sha-hmac

ip access-list extended VPN

permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

exit

crypto map MAP 10 ipsec-isakmp

set peer 69.1.0.1

match address VPN

exit

interface s0/1/0

crypto map MAP

exit

6.实验调试

(1)查看路由表

R1#show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

69.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 69.1.0.0/24 is directly connected, Serial0/1/0

L 69.1.0.1/32 is directly connected, Serial0/1/0

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.1.0/24 is directly connected, GigabitEthernet0/0/0

L 192.168.1.1/32 is directly connected, GigabitEthernet0/0/0

S* 0.0.0.0/0 is directly connected, Serial0/1/0

R1#

(2)显示isakmp策略情况

R1#show crypto isakmp policy

Global IKE policy

Protection suite of priority 10

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

//加密算法

hash algorithm: Secure Hash Standard

//HASH算法

authentication method: Pre-Shared Key

//认证方法

Diffie-Hellman group: #5 (1536 bit)

//密钥交换算法

lifetime: 86400 seconds, no volume limit

//生存时间,即重证时间

R1#

(3)显示ipsec交换集情况

R1#show crypto ipsec transform-set

Transform set TRAN: { { esp-des esp-sha-hmac }

will negotiate = { Tunnel, },

//前面配置的交换集TRAN

Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }

will negotiate = { Transport, },

//系统默认的交换集

Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }

will negotiate = { Transport, },

//系统默认的交换集

R1#

(4)显示加密图情况

R1#show crypto map

Crypto Map MAP 10 ipsec-isakmp

Peer = 201.106.208.2

//配置的对等体IP

Extended IP access list VPN

//对符合名为VPN的ACL的流量进行加密

access-list VPN permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Current peer: 201.106.208.2

//当前的对等体IP

Security association lifetime: 4608000 kilobytes/3600 seconds

//生存时间,即多长时间或传输了多少字节重新建立会话,保证数据的安全

PFS (Y/N): N

Transform sets={

TRAN: {esp-des esp-sha-hmac},

//使用的交换集为TRAN

}

Reverse Route Injection Enable

//启用反向路由注入,这里并不存在,因为PT不支持这个命令,

命令为reverse-route static

Interfaces using crypto map MAP:

//使用改加密图的接口

Serial0/1/0

R1#

(5)显示ipsec会话情况

R1#show crypto ipsec sa

interface: Serial0/1/0

Crypto map tag: MAP, local addr 69.1.0.1

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

//以上是对等体双方的ID

current_peer 201.106.208.2 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4

#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4

//以上是该接口的加解密数据包统计量

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 69.1.0.1, remote crypto endpt.:201.106.208.2

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/1/0

current outbound spi: 0x0(0)

inbound esp sas:

//入方向的ESP安全会话

spi:0x3183A937(850712129)

//区别会话的一个编号

tranform:esp-des esp-sha-hmac,

//交换集情况

in use settings = {Tunnel, }
//模式:隧道或传输模式
conn id:2001,flow_id:FPGA:1,sibling_flags 80000046,crypto map:MAP

//该会话的ID

sa iming rmaning key Hietime ls (48964203)

//还剩下的生存时间
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
//会话状态
inbound ah sas:
//入方向的AH安全会话,由于我们没有使用AH封装,所以没有AH会话

inbound pcp sas:

outbound esp sas:
//出方向的ESP安全会话
spi: 0x5ADF3820(1524578336)
transform: esp-des esp-sha-hmac ,
in use settings =(Tunnel, )
conn id:2002,flow_id:FPGA:2,sibling_flags 80000046,cryрto map: MAP

sa timing: remaining key lifetime (k/sec): (4408964/2013)
IV síze: 8 bytes
replay detection support: y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

R1#

7.实验验证

C:\>tracert 192.168.2.10

Tracing route to 192.168.2.10 over a maximum of 30 hops:

1 0 ms 0 ms 0 ms 192.168.1.1

2 0 ms 6 ms 6 ms 201.106.208.2

3 10 ms 1 ms 10 ms 192.168.2.10

Trace complete.

【实验小知识点】

以下是该实验涉及的一些知识点:

  1. Site-to-Site VPN:该实验旨在理解和掌握Site-to-Site VPN的配置和工作原理,Site-to-Site VPN用于连接不同地理位置的网络,通过加密和隧道技术实现安全的数据传输。
  2. 网络拓扑:实验中给出了一个网络拓扑图,包括多个路由器和互联网连接,理解拓扑图中设备的连接方式和接口配置是必要的。
  3. 基础配置:实验开始时进行了基础配置,包括给设备设置主机名、配置接口的IP地址和子网掩码、开启接口等。
  4. IP地址和路由配置:在实验中,通过配置路由器R1和R2的IP地址和静态路由来确保网络中各直连链路的连通性。
  5. IKE(Internet Key Exchange)协商:实验中配置了IKE协商,用于建立安全通信所需的密钥和参数,包括选择加密算法、身份认证算法、HASH算法和密钥交换算法等。
  6. IPsec(IP Security)配置:在实验中,通过配置IPsec来实现加密和身份验证,使用了加密转换集、感兴趣的数据流定义和加密图。
  7. ACL(Access Control List)配置:配置了ACL用于指定需要通过VPN加密的流量,限定了两个局域网之间的流量进行加密。
  8. 路由表查看:通过查看路由表,可以验证路由器上的路由配置是否正确。
  9. 加密图、转换集和IPsec会话查看:实验中使用了加密图、转换集和IPsec会话来监视和验证VPN的配置和状态。

这些知识点涵盖了Site-to-Site VPN的基本原理、配置要求和调试方法,通过实验可以加深对这些概念和技术的理解和应用。

不要害怕失败,每一次实验都是宝贵的经验,将指引你走向成功的道路。


http://www.ppmy.cn/news/404488.html

相关文章

ARP协议,带你了解ARP协议

目录 一、ARP协议概述 二、使用ARP的四种情况 三、ARP缓存 四、ARP的工作原理 1. 地址解析 2. 地址缓存 五、ARP报文格式 1. ARP请求报文格式 2. ARP响应报文格式 六、免费ARP 七、代理ARP 一、ARP协议概述 ARP(Address Resolution Protocol)地…

Centos7 防火墙详细操作

centos7 通过firewall-cmd命令添加防火墙白名单 。 1、查看防护墙状态 firewall-cmd --state 或 systemctl status firewalld active (running)-->表示防火墙已经开启;inactive (dead)-->表示防火墙已经关闭 2、开关防火墙 启动防火墙:systemctl…

Mac环境python + selenium 环境搭建

文章主要讲解Mac环境下如何搭建selenium环境。作者也是测试初学者,对selenium目前是一无所知的状态,希望从搭建环境开始对它逐步了解。 环境准备 本文采用的环境:• Python 3.7.3 PS: Mac环境会默认自带Python环境,但…

组装一台计算机需要哪些配置,我想做组装一台电脑能给我一个配置单 我要最高配置的...

我想做组装一台电脑能给我一个配置单 我要最高配置的 更新时间:2016-06-06本文内容转载自互联网 CPU: Intel I7 3970X 正式版 原包盒装 CPU 6250元主板:华硕ASUSRAMPAGE IV EXTREME主板 2950元内存:海盗船 CMD32GX3M4A2133C9 32G8G*4DDR3 2133四通道套 至尊灯条 2套…

各种轴的区别

来自贴吧的一片文章! 首先,为什么要买机械键盘。 也许很多人认为机械键盘的价格昂贵,动辄数百元甚至上千元,可以抵过十数把薄膜键盘的价格让很多人觉得这是一种奢侈品,那么,为什么不买一些较高级的薄膜键盘…

程序员的键盘 ikbc poker3 使用心得

2019独角兽企业重金招聘Python工程师标准>>> 外观 外观感受就放在使用前面了,毕竟得越看约顺眼才能一直用下去。 poker给我感觉就是小巧,小巧,再小巧。光看图片也许感觉不到,你可以把自己的普通键盘除了字母区之外都盖…

颜值才是王道:IKBC - C87 黑色红轴机械键盘

原文首发色魔张大妈晒单,这算是我个人的晒单做个聚合吧。万一哪天张大妈没了呢? 说好的张大妈 话说,还是应该先说一下买这把键盘的起因吧。起因有点复杂,其实是这样的:我想买把键盘玩了。 -1、前言 每当快要过年的时候…

计算机自动重启 无法进入系统,Windows 8.1专业版 不定时自动重启,无法进入系统。...

首先我不得不发言了:"这个问题让我的日常工作带来极大的影响“ 问题如下:系统在不定时无预测情况下蓝屏自动重启,提示”系统遇到问题需要重新启动“,重启后无法进入系统,二次自动重启后进入系统恢复,卡…