cisco IPSEC VPN试验.docVIP

VPN应用场景中，一种类型为实现企业总公司与分公司之间的VPN链路，确保了两地局域网之间数据安全传递，这种场景我们一般叫做SITE-TO-SITE VPN。这种VPN好处是只要在两端出口VPN路由器上完成配置后，对于总公司及分公司的员工之间数据访问时不需要做任何配置，如同专线连接。但也有局限性，比如这种类型的VPN要求两端之间的配置信息是预先知道的，更重要的是，他们是静态的，不会动态变化。比如IPSEC VPN实现时一般要求两端使用固定IP，假如分支机构使用ADSL拨号连接，由于宽带拨号连接公网地址不固定，所以建议使用其他VPN技术实现，比如EZVPN、DMVPN等。????????? 本章我们将以一家玩具公司为例说明VPN的建立。公司总部位于北京，在上海和西安各有一家分公司。现在需要各地的局域网用户之间能够方便共享数据。目前公司的三个办公场地已经分别向当地中国电信建立了一条互联网接入线路，实现了internet的连接，并且运营商分配的公网地址是固定的。如下图： ? ????????? 下面我们将构建一个应用模型 ? ? ?????? ? 图中三个路由器R1模拟总公司出口路由器，R3模拟分公司出口路由器，R2模拟互联网路由器。同时在R1及R3上使用回环接口模拟各自内部局域网主机。??????? ?具体IP地址及路由如下：????????????R1: 接口Serial0/0 /24???????????????????????? ? Loopback0 /24?????????????????????缺省路由下一跳??????????? ?R2: 接口 Serial0/1 /24???????????????????????????? ?Serial0/0 /24??????????????????? ?没有配置任何静态路由，只有直连接口。?????????????R3：接口 Serial0/1 /24???????????????????????????????? Loopback0 /24??????????????????? ?缺省路由下一跳????????? 通过上述初始化配置后，我们会得到以下结论：R1能够ping通R3，但是R1无法通过回环口ping通R3的回环口。 这样的结果证明两边广域网已经接入正常，但由于ISP路由器上没有两个企业内部私有地址的路由，因此两个局域网无法直接连通。 ? 下来我们将在R1与R3之间建立VPN。如果VPN协商成功后，R1就可以通过回环口ping通R3的回环口。 因为VPN通过隧道技术将原始数据包的包头进行再次封装，将原来整个IP数据包作为新的数据报文的数据部分；然后添加新的IP包头，源和目标的IP地址分别为总公司与分公司出口设备外部接口IP地址，这样对外部只表现出口设备外部接口IP地址，内部细节被隐藏起来；这时通过ISP路由器时，认为是总部出口设备到分公司出口设备的访问；最后数据到达分公司对端设备，剔除外层数据封装，还原原始数据。 ???????? VPN配置分为两个大的阶段（以R1配置为例） ???????? 阶段1：IKE阶段，主要配置IKE安全关联协商需要的参数及共享密钥，用于IKE安全关联的建立，为第二阶段协商IPSEC安全关联提供安全保障。我们可以通过IKE策略配置。 ???????? 首先，创建IKE策略，设置编号100。其中编号取值范围1~10000，并且仅本地有效。值越低优先级越高，在建立IKE SA时优先使用编号较高的策略集与对端匹配，编号取合适的值即可，将一些常用的策略集编号小一些。对等体之间要求每个策略里如上图列出的参数必须完全一样才算匹配。这里面加密方式 aes ，散列算法MD5，认证方式共享密钥，交换密钥D-H算法密钥强度为GROUP2。 ??????? 由于使用共享密钥的认证方式与对端建立IKE安全关联，所以需要指定双方约定的共享密钥123.com，并且指定IKE对端为。这样就完成第一阶段的配置。 ?? ???? 阶段2：第二阶段的配置是实现ipsec安全关联建立需要的参数，通过IPSEC安全关联可以确保用户数据传递安全。分为三步实现： ???????? 第一步配置传输模式集，定义保护用户数据所使用的安全协议、模式及加密和认证算法。如果现实中需要建立多条VPN，恰好需要使用的安全协议、模式及加密和认证算法是一样的，我们可以让多个VPN的安全关联调用同一个传输模式集。这里我们建立一个名称为r1-to-r3的传输模式集，名称后面的参数可以是一~三个，并不要求必须三个。其中AH安全协议主要实现报文认证可以填出一个参数,esp安全及认证各一个。 标志感性趣的流。 ???????? 第二步定义使用VPN隧道的数据流，通过访问控制列表定