实训指导2.5-1基于路由器实现分支与总部VPN连接(PT)解答.doc

国家高等职业教育网络技术专业教学资源库 计算机网络安全技术与实施 课程资源子库 学习情境2：实训指导2.5-1 基于路由器实现分支与总部VPN连接 实训指导2.5-1 一、实训题目： 利用基于路由器实现分支与总部VPN连接。 二、实训目的： 1.深入理解VPN技术原理及特点，VPN隧道协议底层原理； 2.能够利用VPN技术解决实际需求，能对企业提出的需求加以实现； 3.掌握VPN技术在路由器上的配置，以实现企业分支机构与总部内部网络的资源互访。 三、实训要求： 1.掌握路由器模拟软件DynamipsGUI的使用方法； 2.掌握路由器配置软件及路由器IOS的使用方法； 四、实训网络场景或网络拓扑结构： 网络拓扑结构图如下： PT仿真网络结构图如下： 五、实训步骤： 站点到站点IPsec操作的5个步骤如下： 1.主机A发送感兴趣数据流（需要VPN保护的流量）给主机B 根据图中所示，感兴趣数据流对于路由器R1和R2而言的，此处感兴趣数据流是/24企业总部网络到/24企业分支机构的网络的互相访问的数据流量。例如：主机A到主机B的数据包的源IP为，目的IP为，属于/24到/24的数据流量，反之同理。对于路器来说它并不知道什么是感兴趣数据流，需要进行配置，可以结合访问控制列表进行指明。 哪些流量不是感兴趣数据流，即不需要通过VPN保护的流量呢？ 根据图中所示，对于A主机（同网络的主机也是这样）要访问互联网上的其它主机（不是B主机网络中的主机），这时就不需要进行VPN保护了。如A访问公网的网址，就不是感兴趣数据流了，路由器R1或R2根据访问控制列表可以进行NAT转换处理而不是进行VPN保护了。 由器R1和R2上要配置访问控制列表定义哪些数据是感兴趣数据流，哪些不是感兴趣数据流，不是感兴趣数据流需要通过配置NAT进行转换。 2.路由器R1和R2协商IKE第1阶段会话（IKE安全关联） 此步为IKE阶段1：IKE即Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。可以将IKE分为两个阶段：Phase 1主要工作是进行认证，建立一个IKE SA和Phase 2主要是进行密钥交换，利用Phase 1中的IKE SA来协商IPSec SA。一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。SA是单向的；在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商，确保端口500不被阻塞。下面介绍Phase 1。 在phase 1 主要工作是： （1）选用协商模式 main mode（主模式）和aggressive mode（可译为挑战模式或积极模式）两种模式的区别是，主模式安全性要高，提供了对通信双方身份的保护，如IP地址等信息，安全性更高；挑战模式去除了上主模式中的身份的保护等功能，因此速度上要比前一种快。 （2）选用一种身份认证方法 在路由器上，通信双方主要有两种身份认证的方法： 一种是通过preshare key（预共享密钥）进行连接认证，一般多采用此种方式进行身份认证； 另一种是利用前面讲的非对称加密算法及数字证书方式，这又分为两种：一种是(rsa-sig)使用证书授权（使用CA）；别一种是(rsa-encr)手工配置RSA密钥（不使用CA）。 在思科路由器上可以使用如下命令定义身份认证的方法：(isamkp)authentication {rsa-sig | rsa-encr | pre-share}。 （3）选用一种加密算法 即对数据及信息的加密算法，加密算法可选56位的DES-CBC(des，默认值)或者168位的3DES(3des)。 在思科路由器上可以使用如下命令定义加密算法：(isakmp)encryption {des | 3des} ??? （4）选用一种验证算法 验证算法即散列算法，主要用于对所传输数据或信息的完整进行验证的一种方法，那前面工作任务中提到的HASH算法。路由器中散列算法主要有sha和md5两种，默认sha。 由器上可以使用如下命令定义散列算法：(isamkp)hash {sha | md5} ??? （5）选用一组diffie-hellman 公钥密码系统组（dh1 或dh2）。 D-H是基于非对称加密的一种算法，只进行密钥的生成，使通信双方都得到用于通信数据加密的对称加密密钥。 关于D-H算法可以参考前面的加密部分工作任务中，也可以利用网络进行查找更多关于此算法的详细说明。除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令