計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項(xiàng)目八任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置VPN技術(shù)的應(yīng)用【任務(wù)目標(biāo)】

1．理解站點(diǎn)到站點(diǎn)VPN的工作原理；2．學(xué)會(huì)配置站點(diǎn)到站點(diǎn)VPN的操作，實(shí)現(xiàn)站點(diǎn)之間的安全通訊?！救蝿?wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、GNS3軟件

任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

【網(wǎng)絡(luò)拓?fù)鋱D】

任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置【網(wǎng)絡(luò)IP地址分配表】

設(shè)備名接口IP地址/子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)R1s1/012.12.12.1/24----f0/0192.168.1.1/24----R2s1/012.12.12.2/24----s1/123.23.23.2/24----f0/02.2.2.1/24----R3s1/123.23.23.3/24----f0/0192.168.2.1/24----PC1e0192.168.1.2/24192.168.1.1PC2e02.2.2.2/242.2.2.1PC3e0192.168.2.2/24192.168.2.1任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

【任務(wù)要求】在該任務(wù)中，PC1模擬公司總部電腦，PC3模擬公司分部電腦，PC2模擬外網(wǎng)服務(wù)器?，F(xiàn)要求在R1和R3上配置站點(diǎn)到站點(diǎn)VPN，使得PC1和PC3可以通過(guò)VPN相互訪問(wèn)，同時(shí)還不影響訪問(wèn)PC2。任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

【任務(wù)實(shí)施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、根據(jù)網(wǎng)絡(luò)IP地址分配表，配置設(shè)備接口IP地址等參數(shù)

任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置3、網(wǎng)絡(luò)基本環(huán)境的搭建

1）在R1和R3上配置靜態(tài)默認(rèn)路由，使得R1、R2和R3外網(wǎng)間連通主要配置命令如下：R1(config)#iproute0.0.0.00.0.0.0s1/0R3(config)#iproute0.0.0.00.0.0.0s1/1任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

2）在R1上配置NAT，使得PC1可以訪問(wèn)外網(wǎng)主要配置命令如下：R1(config)#access-list101denyip192.168.1.00.0.0.255192.168.2.00.0.0.255R1(config)#access-list101permitip192.168.1.00.0.0.255any//注意要將要走VPN隧道的流量拒絕掉R1(config)#ipnatinsidesourcelist101ints1/0overloadR1(config)#intf0/0R1(config-if)#ipnatinsideR1(config-if)#exitR1(config)#ints1/0R1(config-if)#ipnatoutside任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

3）在R3上配置NAT，使得PC3可以訪問(wèn)外網(wǎng)主要配置命令如下：R3(config)#access-list101denyip192.168.2.00.0.0.255192.168.1.00.0.0.255R3(config)#access-list101permitip192.168.2.00.0.0.255anyR3(config)#ipnatinsidesourcelist101ints1/1overloadR3(config)#intf0/0R3(config-if)#ipnatinsideR3(config-if)#exitR3(config)#ints1/1R3(config-if)#ipnatoutside任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

4）驗(yàn)證在R1上pingR3的串口地址以及在PC1和PC3上pingPC2應(yīng)該都是成功的，但是在PC1上pingPC3則會(huì)失敗。任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

4、站點(diǎn)到站點(diǎn)VPN的配置1）配置感興趣流量主要配置命令如下：R1(config)#access-list100permitip192.168.1.00.0.0.255192.168.2.00.0.0.255//創(chuàng)建編號(hào)為100的擴(kuò)展訪問(wèn)控制列表，允許192.168.1.0/24網(wǎng)段訪問(wèn)192.168.2.0/24網(wǎng)段任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置2）配置IKE（ISAKMP）策略主要配置命令如下：R1(config)#cryptoisakmppolicy1//創(chuàng)建ISAIMP策略1R1(config-isakmp)#encryption3des//加密方式為3desR1(config-isakmp)#hashsha//hash算法為shaR1(config-isakmp)#authenticationpre-share//認(rèn)證方式為Pre-SharedKeysR1(config-isakmp)#group2//密鑰算法為group2R1(config-isakmp)#exitR1(config)#cryptoisakmpkeyP@ssw0rdaddress23.23.23.3//定義Pre-SharedKey為cisco，并指向地址23.23.23.3任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

3）配置IPsectransform主要配置命令如下：R1(config)#cryptoipsectransform-setipsecesp-3desesp-sha-hmac//創(chuàng)建名為ipsec的transform-set，其中數(shù)據(jù)封裝使用esp加3des加密，并且使用esp結(jié)合sha做hash計(jì)算，IPsecmode默認(rèn)為tunnel模式任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

4）配置cryptomap主要配置命令如下：R1(config)#cryptomapmap10ipsec-isakmp//創(chuàng)建名為map的映射R1(config-crypto-map)#setpeer23.23.23.3//設(shè)置對(duì)端節(jié)點(diǎn)地址23.23.23.3R1(config-crypto-map)#settransform-setipsec//調(diào)用名為ipsec的transform-setR1(config-crypto-map)#matchaddress100//匹配編號(hào)為100訪問(wèn)控制列表的感興趣流量任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置5）應(yīng)用cryptomap主要配置命令如下：R1(config)#ints1/0R1(config-if)#cryptomapmap//將名為map的映射應(yīng)用到s1/0接口上任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

6）類似的方法去配置R3，注意相關(guān)的匹配主要配置命令如下：R3(config)#access-list100permitip192.168.2.00.0.0.255192.168.1.00.0.0.255R3(config)#cryptoisakmppolicy1R3(config-isakmp)#encryption3desR3(config-isakmp)#hashshaR31(config-isakmp)#authenticationpre-shareR3(config-isakmp)#group2R3(config-isakmp)#exitR3(config)#cryptoisakmpkeyciscoaddress12.12.12.1任務(wù)8.2站點(diǎn)到站點(diǎn)VPN的配置

R3(config)#cryptoipsectransform-setipsecesp-3desesp-sha-hmacR3(config)#cryptomapmap10ipsec-isakmpR3(config-crypto-map)#setpeer12.12.12.1R3(config-crypto-map)#settransform-setipsecR3(config-crypto-map)#matchaddress100R3(config)#ints1/1R3(conf