网络安全与防护-实训指导25-1基于路由器实现分支与总部连接（PT）

学习情境2：实训任务2.5基于路由器实现分支与总部VPN连接内容介绍

任务场景及描述1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6任务场景及描述任务相关工具软件介绍思科PacketTracer〔命令行方式配置〕：任务设计、规划在实际企业环境中，经常有这样的需求，即要把企业总部与其分支机构的两个局域网络利用VPN进行连接，以实现资源的平安共享，其实这种就是前面介绍的VPN结构中的站点到站点〔sitetosite〕模式的VPN。如以下图所示，长春分公司的内部主机A、B通过VPN实现对北京总部内的C、D主机进行平安通信。 互联网ISP总公司地方或远程分公司北京长春ABCD任务设计、规划IP:10.2.2.2IP:10.2.2.1IP:10.1.1.2IP:10.1.1.1R1200.1.1.2100.1.1.1R2S1/0S1/1FE0/0FE0/0互联网BA〔1〕主机A发送感兴趣数据流〔需要VPN保护的流量〕给主机B；〔2〕路由器R1和R2协商IKE第1阶段会话〔IKE平安关联〕；〔3〕路由器R1和R2协商IKE第2阶段会话〔IPsec平安关联〕；〔4〕感兴趣数据流信息通过IPsec隧道进行交换传输；〔5〕IPsec隧道终止。任务设计、规划3、5个步骤中第1步哪些流量是感兴趣数据流，即需要VPN保护的流量呢？根据图中所示，感兴趣数据流对于路由器R1和R2而言的，此处感兴趣数据流是企业总部网络到企业分支机构的网络的互相访问的数据流量。例如：主机A到主机B的数据包的源IP为，目的IP为，属于到的数据流量，反之同理。对于路器来说它并不知道什么是感兴趣数据流，需要进行配置，可以结合访问控制列表进行指明。哪些流量不是感兴趣数据流，即不需要通过VPN保护的流量呢？根据图中所示，对于A主机〔同网络的主机也是这样〕要访问互联网上的其它主机〔不是B主机网络中的主机〕，这时就不需要进行VPN保护了。如A访问公网的网址，就不是感兴趣数据流了，路由器R1或R2根据访问控制列表可以进行NAT转换处理而不是进行VPN保护了。因此在路由器R1和R2上要配置访问控制列表定义哪些数据是感兴趣数据流，哪些不是感兴趣数据流，不是感兴趣数据流需要通过配置NAT进行转换。举个例子，可能不太恰当。银行的总行与分行之间的现金往来是有押运车来保护的，但是银行与蓄户之间的现金往来就没有押运车来保护了。任务设计、规划4、5个步骤中第2步此步为IKE阶段1：IKE即Internet密钥交换(InternetKeyExchange，IKE)是一种为IPSec管理和交换密钥的标准方法。可以将IKE分为两个阶段：Phase1主要工作是进行认证，建立一个IKESA和Phase2主要是进行密钥交换，利用Phase1中的IKESA来协商IPSecSA。一旦两个对等端之间的IKE协商取得成功，那么IKE就创立到远程对等端的平安关联(securityassociation，SA)。SA是单向的；在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商，确保端口500不被阻塞。下面介绍Phase1。在phase1主要工作是：〔1〕选用协商模式mainmode〔主模式〕和aggressivemode〔可译为挑战模式或积极模式〕两种模式的区别是，主模式平安性要高，提供了对通信双方身份的保护，如IP地址等信息，平安性更高；挑战模式去除了上主模式中的身份的保护等功能，因此速度上要比前一种快。

〔2〕选用一种身份认证方法在路由器上，通信双方主要有两种身份认证的方法：一种是通过presharekey〔预共享密钥〕进行连接认证，一般多采用此种方式进行身份认证；另一种是利用前面讲的非对称加密算法及数字证书方式，这又分为两种：一种是(rsa-sig)使用证书授权〔使用CA〕；别一种是(rsa-encr)手工配置RSA密钥〔不使用CA〕。在思科路由器上可以使用如下命令定义身份认证的方法：(isamkp)authentication{rsa-sig|rsa-encr|pre-share}。任务设计、规划〔3〕选用一种加密算法

即对数据及信息的加密算法，加密算法可选56位的DES-CBC(des，默认值)或者168位的3DES(3des)。在思科路由器上可以使用如下命令定义加密算法：(isakmp)encryption{des|3des}

〔4〕选用一种验证算法验证算法即散列算法，主要用于对所传输数据或信息的完整进行验证的一种方法，那前面工作任务中提到的HASH算法。路由器中散列算法主要有sha和md5两种，默认sha。在思科路由器上可以使用如下命令定义散列算法：(isamkp)hash{sha|md5}

〔5〕选用一组diffie-hellman公钥密码系统组〔dh1或dh2〕。

D-H是基于非对称加密的一种算法，只进行密钥的生成，使通信双方都得到用于通信数据加密的对称加密密钥。关于D-H算法可以参考前面的加密局部工作任务中，也可以利用网络进行查找更多关于此算法的详细说明。除非购置高端路由器，或是VPN通信比较少，否那么最好使用group1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥平安性高，但消耗更多的CPU时间。在思科路由器上可以使用如下命令定义Diffie-Hellman密钥材料长度：(isakmp)group{1|2}〔6〕定义IKESA的生存周期对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否那么VPN在正常初始化之后，将会在较短的一个SA周期到达中断。该项设置允许您决定ike的sa在到期前可以执行多长时间。如设置为0那么表示IKESA的连接会一直保持不中断。如果IKESA握手到期，那么IKESA和IPSecSA均需重新协商连接。

在思科路由器上可以使用如下命令定义IKESA的生存周期：(isakmp)lifetimeseconds任务设计、规划5、5个步骤中第3步在phase2主要工作是：〔1〕选用协议封装ESP与AH是数据封装的两种常用方式：EncapsulatingSecurityPayload〔ESP〕IP封装平安负载协议协议号为50，ESP为IP数据包提供完整性检查、认证和加密，提供机密性并可防止篡改。ESP效劳依据建立的平安关联〔SA〕是可选的；AuthenticationHeader〔AH〕协议号为51，与ESP区别在于AH没有ESP的加密特性，AH的数据完整性验证是对整个数据包做出的，包括IP头局部，但是IP头局部包含很多可变参数，如经过多个路由器后TTL、TOS、标志位、及头部校验和都可能变化，所以头部的完整性发生变化导致收发方无法匹配。而ESP是对局部数据包做数据完整性验证时，不包括IP头局部。因此从机密性与完整性角度考虑一般选择ESP封装。详细信息可通过网络进行查询。

〔2〕选用一种加密算法

〔3〕选用一种验证算法在思科路由器上可以使用如下命令定义IPSec协议封装方式、加密算法与验证算法：cryptoipsectransform-set变换集名字esp-desesp-md5-hmac

任务设计、规划〔4〕选用是否使用diffie-hellman公钥密码系统来执行完美向前保密PFS，默认为none禁用PFS。

〔5〕选用变换集的模式变换集的模式有两种：隧道tunnel模式或者传输transport模式。在隧道方式下,整个IP包都封装在一个新的IP包中,并在新的IP包头和原来的IP包头之间插入IPSec头(AH/ESP)；传输模式主要为上层协议提供保护，AH和/或ESP包头插入在IP包头和运输层协议包头之间。在思科路由器上可以使用如下命令定义变换集的模式：(crypto-transform)mode{tunnel|transport}

〔6〕定义IPSecSA生存时间。与IKESA的生存时间作用不同，但原理上是类似。

6、5个步骤中第4步这一阶段为IPSec会话阶段，在这一过程中SAs在通信双方间进行交换，并将协商的平安效劳应用到数据流量上。7、5个步骤中第5步这一阶段为隧道终止，隧道终止的可能原因是:设定的SA生存时间到了；包计时器超出，IPsecSA被移除。

任务设计、规划

为配置的实现对上图的简化，下面是要进行的实际配置中的图及具体参数。 模拟互联网总公司地方或远程分公司北京长春ACR1R2R3S1/0

S1/0

S1/1S1/1FE0/0

FE0/0

任务实施及方法技巧通过命令行配置站点到站点VPN1．VPN效劳器Router：R1(VPNServer)的配置〔1〕IKE配置router(config)#hostnamer1r1(config)#cryptoisakmppolicy1//定义策略为1r1(config)#hashmd5//定义MD5散列算法r1(isakmp)#authenticationpre-share//定义为预共享密钥认证方式r1(isakmp)#exitr1(config)#cryptoisakmpkeycisco123address0.0.0.00.0.0.0//配置预共享密钥为cisco123,对等端为所有IP〔2〕IPSec协议配置r1(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac//创立变换集r1(config)#cryptodynamic-maprtpmap10//创立动态保密图rtpmap10r1(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpsetr1(crypto-map)#matchaddress115//援引访问列表确定受保护的流量r1(crypto-map)#exitr1(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap//将动态保密图集参加到正规的图集中r1(config)#interfacefastethernet0/0任务实施及方法技巧r1(config-if)#ipnatinsider1(config-if)#exitr1(config)#interfaceSerial1/0r1(config-if)#clockrate64000r1(config-if)#noshutdownr1(config-if)#ipnatoutsider1(config-if)#cryptomaprtptrans//将保密映射应用到S1/1接口上r1(config-if)#exitr1(config)#ipnatinsidesourceroute-mapnonatinterfaceSerial1/0overload!---这个NAT配置启用了路由策略，内容为到的访问不进行地址翻译!---到其他网络的访问都翻译成S0/0接口的IP地址r1(config)#iproute0.0.0.00.0.0.0Serial1/0//配置静态路由协议r1(config)#access-list115denyip10.2.2.00.0.0.255anyr1(config)#access-list120permitip10.2.2.00.0.0.255anyr1(config)#route-mapnonatpermit10//使用路由策略r1(router-map)#matchipaddress120r1(config)#linevty04r1(config-line)#passwordceyr1(config-line)#login任务实施及方法技巧2．模拟互联网路由器R2的配置模拟互联网路由器R2只需要配置连接路由器R1和R3的两个接口的IP地址即可：router(config)#hostnamer2r2(config)#interfaceSerial1/0r2(config-if)#ipaddress100.1.1.2r2(config-if)#clockrate64000r2(config-if)#noshutdownr2(config-if)#exitr2(config)#interfaceSerial1/1r2(config-if)#ipaddress200.1.1.1r2(config-if)#clockrate64000r2(config-if)#noshutdown任务实施及方法技巧3．VPN客户端Router：R3〔VPNClient〕的配置router(config)#hostnamer3r3(config)#cryptoisakmppolicy1//定义策略为1r3(isakmp)#hashmd5//定义MD5散列算法r3(isakmp)#authenticationpre-share//定义为预共享密钥认证方式r3(config)#cryptoisakmpkeycisco123address100.1.1.1!---配置预共享密钥为cisco123,对等端为效劳器端IP100.1.1.1!---IPSec协议配置r3(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac//创立变换集r3(config)#cryptomaprtp1ipsec-isakmp//使用IKE创立保密图rtp1r3(crypto-map)#setpeer100.1.1.1//确定远程对等端r3(crypto-map)#settransform-setrtpset//使用上面的定义的变换集rtpsetr3(crypto-map)#matchaddress115//援引访问列表确定受保护的流量r3(config)#interfacefastethernet0/0r3(config-if)#ipaddress1r3(config-if)#clockrate64000r3(config-if)#noshutdownr3(config-if)#ipnatinsider3(config-if)#exit任务实施及方法技巧r3(config)#interfaceSerial1/1r3(config-if)#ipaddress200.1.1r3(config-if)#clockrate64000r3(config-if)#noshutdownr3(config-if)#ipnatoutsider3(config-if)#cryptomaprtp//将保密映射应用到S0/1接口上r3(config-if)#exitr3(config)#ipnatinsidesourceroute-mapnonatinterfaceSerial1/1overload!---这个NAT配置启用了路由策略，内容为到的访问不进行地址翻译!---到其他网络的访问都翻译成S1/1接口的IP地址r3(config-if)#iproute0.0.0.00.0.0.0Serial0//配置静态路由协议r3(config)#access-list115denyip10.1.1.00.0.0.255anyr3(config)#access-list120permitip10.1.1.00.0.0.255anyr3(config)#route-mapnonatpermit10//使用路由策略r3(router-map)#matchipaddress120任务检查与评价在基于命令行配置的VPN连接检测在基于命令行中，可以借助于，Show和Debug命令进行VPN连接的测试与排错。r1#showcryptoisakmpsa//列出活动的IKE会话r1#showcryptoipsecsa//列出活动的IPsec平安关联r1#debugcryptoisakmp//调试IKE通信任务检查与评价任务2.5-知识技能要点测评表序号测评要点具体目标测评权重1知识理解深入理解VPN及隧道技术，掌握隧道技术的应用，熟悉VPN通道的建立过程。202工具及软件使用能正确在路由器上基于命令行方式（不建议用SDM）进行VPN连接的配置。103任务实施能在路由器上利用IPSEC隧道技术配置远程机构的互联。能够采用正确的方法对VPN连接结果进行检查，并能说明检查结果。204专业能力提升能对IPSEC技术的实现有深入理解205方法能力提升利用学习资源自主进行深入学习206社会能力提升通过小组合作分析协议结构，提升表达、沟通能力10任务总结谢谢您的收看！请多提珍贵意见！谢谢附件：基于工程案例的配置附件：基于工程案例的配置X_R#showrun//初始配置hostnameX_RenablepasswordciscointerfaceFastEthernet0/0ipnatoutsideinterfaceFastEthernet0/1ipnatinsiderouterospf1network192.168.19.00.0.0.255area0ipnatinsidesourcelist10poolpoolnatxoverloadiproute0.0.0.00.0.0.0201.1.1.1linevty04passwordciscologinend附件：基于工程案例的配置Z_R#showrun//初始配置hostnameZ_RipdhcppoolpoolzinterfaceFastEthernet0/0ipnatoutsideinterfaceFastEthernet0/1ipnatinsideipnatinsidesourcelist10interfaceFastEthernet0/0overloadiproute0.0.0.00.0.0.0204.1.1.1end附件：基于工程案例的配置X_R#showrun//配置办事处单独的IPSEC之后hostnameX_Renablepasswordciscocryptoisakmppolicy1encr3deshashmd5authenticationpre-sharegroup2lifetime80000cryptoipsectransform-setset123esp-3desesp-md5-hmaccryptomapmap1231ipsec-isakmpsettransform-setset123matchaddress110interfaceFastEthernet0/0ipnatoutsidecryptomapmap123!interfaceFastEthernet0/1ipnatinsiderouterospf1network192.168.19.00.0.0.255area0ipnatinsidesourcelist111poolpoolnatxoverloadiproute0.0.0.00.0.0.0201.1.1.1access-list111permitip192.168.11.00.0.0.255anyaccess-list111permitip192.168.12.00.0.0.255anyaccess-list111permitip192.168.13.00.0.0.255anyaccess-list111permitip192.168.14.00.0.0.255anyaccess-list111permitip192.168.15.00.0.0.255anyaccess-list111permitip192.168.16.00.0.0.255anyaccess-list111permitip192.168.17.00.0.0.255anyaccess-list111permitip192.168.18.00.0.0.255anyaccess-list111permitip192.168.19.00.0.0.255anylinevty04passwordciscologinend附件：基于工程案例的配置X_R#showrun//配置办事处、分公司两者的IPSEC之后hostnameX_Renablepasswordciscocryptoisakmppolicy1encr3deshashmd5authenticationpre-sharegroup2lifetime80000cryptoipsectransform-setset123esp-3desesp-md5-hmaccryptomapmap1231ipsec-isakmpsettransform-setset123matchaddress110interfaceFastEthernet0/0ipnatoutsidecryptomapmap123interfaceFastEthernet0/1ipnatinsiderouterospf1network192.168.19.00.0.0.255area0ipnatinsidesourcelist111poolpoolnatxoverloadiproute0.0.0.00.0.0.0201.1.1.1access-list111permitip192.168.11.00.0.0.255anyaccess-list111permitip192.168.12.00.0.0.255anyaccess-list111permitip192.168.13.00.0.0.255anyaccess-list111permitip192.168.14.00.0.0.255anyaccess-list111permitip192.168.15.00.0.0.255anyaccess-list111permitip192.168.16.00.0.0.255anyaccess-list111permitip192.168.17.00.0.0.255anyaccess-list111permitip192.168.18.00.0.0.255anyaccess-list111permitip192.168.19.00.0.0.255any附件：基于工程案例的配置Z_R#showrun//配置IPSEC之后hostnameZ_Ripdhcppoolpoolzcryptoisakmppolicy1encr3deshashmd5authenticationpre-sharegroup2lifetime80000