計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項(xiàng)目八VPN技術(shù)的應(yīng)用任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、GNS3軟件3．VMwareWorkstation軟件4．CiscoVPNClient軟件任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

【網(wǎng)絡(luò)拓?fù)鋱D】

任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置【網(wǎng)絡(luò)IP地址分配表】

設(shè)備名接口IP地址/子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)R1s1/012.12.12.1/24----f0/0192.168.1.1/24----R2s1/012.12.12.2/24----s1/123.23.23.2/24----f0/02.2.2.1/24----R3s1/123.23.23.3/24----f0/0192.168.2.1/24----PC1e0192.168.1.2/24192.168.1.1PC2e02.2.2.2/242.2.2.1PC3e0192.168.2.2/24192.168.2.1任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

【任務(wù)要求】在該任務(wù)中，PC1模擬公司內(nèi)部電腦，PC3模擬家庭電腦，PC2模擬外網(wǎng)服務(wù)器。現(xiàn)要求在R1上配置遠(yuǎn)程訪問(wèn)VPN，使得PC3可以通過(guò)VPN訪問(wèn)PC1，同時(shí)還可以訪問(wèn)PC2。任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

【任務(wù)實(shí)施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、根據(jù)網(wǎng)絡(luò)IP地址分配表，配置設(shè)備接口IP地址等參數(shù)

任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

3、網(wǎng)絡(luò)基本環(huán)境的搭建

1）在R1和R3上配置靜態(tài)默認(rèn)路由，使得R1、R2和R3外網(wǎng)間連通主要配置命令如下：R1(config)#iproute0.0.0.00.0.0.0s1/0R3(config)#iproute0.0.0.00.0.0.0s1/1任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

2）在R3上配置NAT，使得PC3可以訪問(wèn)外網(wǎng)主要配置命令如下：R3(config)#access-list1permit192.168.2.00.0.0.255R3(config)#ipnatinsidesourcelist1ints1/1overloadR3(config)#intf0/0R3(config-if)#ipnatinsideR3(config-if)#exitR3(config)#ints1/1R3(config-if)#ipnatoutside任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

3）驗(yàn)證此時(shí)在R1上pingR3的串口地址、PC1和PC2，在R3上pingPC3以及在PC3上pingPC2應(yīng)該都是成功的，但是在PC3上pingPC1則會(huì)失敗。任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置4、遠(yuǎn)程訪問(wèn)VPN服務(wù)器端R1的配置

1）配置AAA認(rèn)證主要配置命令如下：R1(config)#aaanew-model//在設(shè)備上開啟AAA認(rèn)證R1(config)#aaaauthenticationloginvpn1local//創(chuàng)建一個(gè)名為vpn1的AAA認(rèn)證列表，提供本地用戶登錄認(rèn)證R1(config)#aaaauthorizationnetworkvpn2local//創(chuàng)建一個(gè)名為vpn2的AAA授權(quán)列表，為本地用戶授權(quán)R1(config)#usernameciscopasswordP@ssw0rd1////本地創(chuàng)建cisco用戶任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置2）配置IKE（ISAKMP）策略主要配置命令如下：R1(config)#cryptoisakmppolicy1//創(chuàng)建ISAIMP策略1R1(config-isakmp)#encryption3des//加密方式為3desR1(config-isakmp)#hashsha//hash算法為shaR1(config-isakmp)#authenticationpre-share//認(rèn)證方式為Pre-SharedKeysR1(config-isakmp)#group2//密鑰算法為group2任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置3）創(chuàng)建用戶地址池主要配置命令如下：R1(config)#iplocalpoolnet100.1.1.100100.1.1.200//創(chuàng)建用戶地址池net，分配給用戶的地址范圍為100.1.1.100-100.1.1.200任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置4）配置用戶組策略主要配置命令如下：R1(config)#access-list100permitip192.168.1.00.0.0.255any//創(chuàng)建訪問(wèn)控制列表100，用來(lái)標(biāo)記隧道分離流量R1(config)#cryptoisakmpclientconfigurationgroupvpn//創(chuàng)建用戶組vpnR1(config-isakmp-group)#keyP@ssw0rd2//設(shè)置組密碼R1(config-isakmp-group)#poolnet//該用戶組使用net地址池R1(config-isakmp-group)#acl100//定義隧道分離列表任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置5）配置IPsectransform

主要配置命令如下：R1(config)#cryptoipsectransform-setipsecesp-3desesp-sha-hmac//創(chuàng)建名為ipsec的transform-set，其中數(shù)據(jù)封裝使用esp加3des加密，并且使用esp結(jié)合sha做hash計(jì)算，IPsecmode默認(rèn)為tunnel模式任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

6）配置cryptomap主要配置命令如下：R1(config)#cryptodynamic-mapmymap1//創(chuàng)建名為mymap的動(dòng)態(tài)mapR1(config-crypto-map)#reverse-route//配置反向注入路由功能R1(config-crypto-map)#settransform-setipsec//調(diào)用名為ipsec的transform-set任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置7）關(guān)聯(lián)認(rèn)證信息主要配置命令如下：R1(config)#cryptomapmapclientconfigurationaddressrespond//創(chuàng)建名為map的映射R1(config)#cryptomapmapclientauthenticationlistvpn1//關(guān)聯(lián)本地認(rèn)證vpn1R1(config)#cryptomapmapisakmpauthorizationlistvpn2//關(guān)聯(lián)本地授權(quán)vpn2R1(config)#cryptomapmap1ipsec-isakmpdynamicmymap//關(guān)聯(lián)名為mymap的動(dòng)態(tài)map任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置8）應(yīng)用cryptomap

主要配置命令如下：R1(config)#ints1/0R1(config-if)#cryptomapmap//將名為map的映射應(yīng)用到s1/0接口上任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置

5、遠(yuǎn)程訪問(wèn)VPN客戶端PC3的配置在VPN客戶端上運(yùn)行CiscoVPNClient軟件,如圖所示。任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置在主界面上單擊New按鈕，彈出的新窗口處新建VPN連接，如圖所示。任務(wù)8.3遠(yuǎn)程訪問(wèn)VPN的配置在其中輸入連接的名稱，可隨意輸入，連接主機(jī)地址則輸入R1的串口地址12.12.12.1,在用戶組認(rèn)證信息中輸入用戶組名vpn和對(duì)應(yīng)的密碼，輸入好后單擊save按鈕保存。然后在主界面上就會(huì)出現(xiàn)vpn的連接，雙擊該連接后出現(xiàn)登錄界面，如圖所示，在其中輸入正確的用戶名ci