《68【网络安全】【Intranet VPN桥模式下通信实验】.pdf》由会员分享,可在线阅读,更多相关《68【网络安全】【Intranet VPN桥模式下通信实验】.pdf(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、实验八 Intranet VPN 桥模式下通信实验 实验八 Intranet VPN 桥模式下通信实验【实验名称】【实验名称】Intranet VPN 桥模式下通信实验 【实验目的】【实验目的】学习配置桥模式下 Site to Site 的 IPSec VPN 隧道,加深对 IPSec 协议的理解。【背景描述】【背景描述】假设北京的某公司在上海开了新的分公司,分公司要远程访问总公司的各种服务器资源,例如:CRM 系统、FTP 系统等。Internet 上的网络传输本身存在安全隐患,这家公司希望通过采用 IPSec VPN 技术实现数据的安全传输,但不改变目前拓扑。【需求分析】【需求分析】需求:
2、解决上海分公司和北京总公司之间通过 Internet 进行信息安全传输的问题 分析:IPSec VPN 技术通过隧道技术、加解密技术、密钥管理技术、和认证技术有效的保证了数据在 Internet 网络传输的安全性,是目前最安全、使用最广泛的 VPN 技术。因此我们可以通过建立 IPSec VPN 的加密隧道,实现分公司和总公司之间的信息安全传输。另外,不改变目前拓扑,只要对 VPN 设备采取桥模式连接就可以实现。【实验拓扑】【实验拓扑】如图 8-1 所示网络拓扑是某公司的上海分公司和北京总公司建立 VPN 的拓扑结构,上海新开的分公司希望通过公网访问公司内部的服务器资源,需要解决上海分公司和北
3、京总公司之间通过 Internet 进行信息安全传输的问题,公司希望通过采用 IPSec VPN 技术实现数据的安全传输。并且使用 Intranet VPN 桥模式下通信。图 8-1 某公司建立 VPN 的拓扑结构 实验设备】设 备 型 号 数 量 实验设备】设 备 型 号 数 量 【锐捷RG VPN 设备-WALL V502 台 锐捷路由器设备 1 台 Wi ndows 系统的 PC 机 2 台 直连线 2 根 交叉线 2 根 VPN设备A Bri0 Bri0 PC 1 PC 2 Route VPN设备BF0/0F0/1【预备知识】【预备知识】础知识、网络安全基础知识、VPN 基础知识;【实
4、验原】【实验原】出口的 VPN 设备(A 和 B)之间通过 IKE 自动协商建立起 IPSec 的 VPN 加密隧 实验步骤】实验步骤】PC1 和 PC2 后,先在 PC1 和 PC2 上 安装 VPN 管理软件(见随机附带的光盘)第二步:第二步:搭建图示实验拓扑,然后配置 PC1、PC2、VPN 设备 A、VPN 设备 B、route 的 IP 及的 br0 口地址:10.1.1.1 1.2.1 意意:PC 机及路由器的详细配置这里省略,请参考相关操作手册。“eth1”的接口;接 1、网络基2、IPSec 协议的基本内容、其工作模式;3、IKE 协议的基本工作原理。理理两个局域网道。使得这两
5、个局域网内部的 PC 机 1 和 PC 机 2 之间的通信,在这两个局域网间(VPN设备 A 到 VPN 设备 B 的路径)是被加密传输的。【第一步:第一步:准备好 必要路由。示例如下:VPN 设备 APC 1 的 IP 地址:10.1.1.3 PC 1 的网关地址:10.1.1.1 VPN 设备 B 的 br0 口地址:10.PC 2 的 IP 地址:10.1.2.3 PC 2 的网关地址:10.1.2.1 Route 的 F0/0 地址:10.1.1.2 Route 的 F0/1 地址:10.1.2.2 注注 RG-WALL V50 设备接口标识为“WAN”口,对应系统内部显示为口标识为“
6、LAN”口,对应系统内部显示为“eth0”的接口。1、VPN 设备 A 接口及缺省路由配置如下:1)通过 PC1 的超级终端,在命令行下配置 VPN 设备 A 的 br0 口地址,操作如图 8-2 所示:(10.1.1.1 图 8-2 配置 VPN 设备 A 的 br0 口地址 (2)然后分别把 eth0 和 eth1 加入 br0 口,步骤如图 8-3 所示:图 8-3 把 eth0 和 eth1 加入 br0 口 2、VPN 设备 B 接口及缺省路由配置如下:(1)通过 PC1 的超级终端,在命令行下配置 VPN 设备 A 的 br0 口地址,操作如图 8-4 所示:10.1.2.1 图
7、8-4 配置 VPN 设备 A 的 br0 口地址 (2)然后分别把 eth0 和 eth1 加入 br0 口,步骤如图 8-5(1)、(2)所示:图 8-5 把 eth0 和 eth1 加入 br0 口(1)图 8-5 把 eth0 和 eth1 加入 br0 口(2)(3)通过 PC1 上的 VPN 管理软件登录 VPN 设备 A,然后查看接口状态如图 8-6 所示:图 8-6 登录 VPN 设备查看接口状态 验证测试:验证测试:PC1 可以 Ping 通 VPN 设备 A 的 br0 口;VPN 设备 A 可 Ping 通 VPN 设备 B(反之亦可);PC2 可以 Ping 通 VPN
8、 设备 B 的 br0 口。第三步:第三步:配置 IPSec VPN 隧道 1、在 VPN 设备 A 上进行 IPSec VPN 隧道配置:(1)进行设备配置,如图 8-7、图 8-8 所示 图 8-7 进行设备配置 图 8-8 进行设备配置 配 置 隧道 请点击该图标 注注意意:此次实验 IKE 的协商选择“预共享密钥”方式(即 PSK 方式),关于“数字签名”的2)进行隧道配置,如图 8-10、图 8-11、图 8-12 所示;方式将再另外的专题实验中练习,如图 8-9 所示。图 8-9 选择预共享密钥协商方式 该页面的设置通常不需要修改 选择刚添加的设备,再点击“添加隧道”图标图 8-1
9、0 进行隧道配置 图 8-11 进 行隧道配置 选择需要的算法,但要和VPN设备B上的配置保持一图 8-12 进行隧道配置 2、在 VPN 设备 B 上进行 IPSec VPN 隧道配置:(1)进行设备配置,如图 8-13、图 8-14、图 8-15 所示 图 8-13 进行设备配置 配置隧道请点击该图标致。也可以选择默认配置。图 8-14 进行设备配置 该页面的设置通常不需要修改 图 8-15 进行设备配置 (2)进行隧道配置,如图 8-16、图 8-17、图 8-18 所示 选择刚添加的设备,点击“添加隧道”图标 图 8-16 进行隧道配置 图 8-17 进行隧道配置 选择需要的算法,但要
10、和VPN设备A上的配置保持一致。也可以选择默认配置。图 8-18 进行隧道配置 添加完隧道后的界面截图,如图 8-19 所示:图 8-19 添加完隧道后的界面 第四步:第四步:启动已配置好的隧道,如图 8-20 所示 VPN设备A和B只需要选择在一边执行启动隧道操作即可。选择隧道,点击“启动隧道”图标。图 8-20 启动配置好的隧道 验证测试:验证测试:隧道启动后可以在“隧道协商状态”栏目下看到隧道的协商状态。如果协商的“隧道状态”显示“第二阶段协商成功”,则表示 VPN 设备 A 到 VPN 设备 B的加密隧道已建立成功,如图 8-21、图 8-22 所示。图 8-21 查看隧道协商状态 图
11、 8-22 查看隧道协商状态 第五步:第五步:进行隧道通信 VPN 隧道的通信是可以双向的,因此你即可以从 PC1 去访问 PC2,也可以从 PC2 去访问PC1。最简单的访问方式就是 Ping,因此你可以先从 PC1 去 Ping 一下 PC2 的地址,现在因为有了 VPN 隧道所以 Ping 是可以成功的。(没有 VPN 隧道前 Ping 会是失败的)“隧道通信状态”中查看到,如图 8-23、图 8-24 所示:图 8-23 查看隧道通信状态?VPN 设备 A 和许有冲突和包含关系。IPSec 协议本身无法实现相同内部子网间的通信。针对此问题,锐捷 VPN 有自己独有的解决办法,但将在另外
12、的实验中练习。验中,VPN 设备的防火墙规则为全部开放。但在实际的网络环境中,如果 VPN【参考配置【参考配置如何VPN 隧道的通信情况可以在 图 8-24 查看隧道通信状态 【注意事项】【注意事项】?实验环境 IP 可以随意定义,但请不要使用 1.1.1.0 这个网段的 IP,因为某些功能实现的需要,系统内部已占用该网段的部分 IP。VPN 设备 B 保护的内部子网不允?该实设备直接连接 Internet 网络,则一定需要启用防火墙规则,关于防火墙规则的使用不在该实验中祥述。】使用 VPN 管理软件其操作如下:打开【开始】【程序】【锐捷VPN管理平台】,启动锐捷VPN管理平台。您若是第一次打可以从【文件】【新建】【网关组】,添加一个网关组,如图8-25所示。开VPN管理平台,里面是没有任何VPN设备的,需要依次添加网关组与网关。图8-25 新建网关组 添加完网关组后,便可添加网关,从【文件(F)】【新建(N)】【网关(W)】,可以添加网关,在打开的属性框中,填写网关的属性,如图8-26所示。图8-26 填写网关属性 填写完成后,点【确定】,便回到锐捷VPN管理平台的主界面,如图8-27所示。图8-27 成功添加一个网关