实验7.4安全VPN故障排除解读.ppt

XXX 实验7.4 安全VPN故障排除 实验背景 1 实验目的与内容 2 实验设备 3 实验步骤 4 实验背景 虚拟专用网络（Virtual Private Network，VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN故障的种类主要有手工方式下的IPSec故障、协商方式下的IPSec和IKE故障、GRE故障和L2TP故障等。 实验目的与内容 【实验目的】 （1）了解GRE故障产生的原因和解决方法。 （2）了解L2TP故障产生的原因和解决方法。 （3）学会分析手工方式下IPSec故障产生的原因并掌握其解决方法。 （4）学会分析协商方式下IPSec和IKE故障产生的原因并掌握其解决方法。 【实验内容】 （1）分析手工方式下IPSec故障产生的原因，并排除故障。 （2）分析协商方式下IPSec和IKE故障产生的原因，并排除故障。 实验设备 两个路由器、两个计算机、一个交换机和连接线缆。网络拓扑结构如图7.4所示。 实验步骤 （1）网络连接如图7.4所示，在路由器上进行了相关的配置，分别出现如下故障现象，请分别分析其原因并加以解决。 ①在RT1和RT2之间建立IPSec隧道，保护PC 1和PC2之间的通信。采用ESP安全协议，确保数据的完整性、机密性，配置完成后PC 1不能ping通PC2。 ②在RT1和RT2之间建立IPSec隧道，保护PC1和PC2之间的通信。采用ESP安全协议，确保数据的完整性、机密性，并采用动态的IKE协议进行IPSec安全联盟的协商。RT2的GigabitEthernet0/0口连接内网，Serial3/0连接Internet。从主机PC1上执行PC2，发现不通。在RT1和RT2上查看安全联盟的信息，发现阶段1协商成功了，而阶段2没有协商起来。 实验步骤 （2）对于现象1进行如下排障。 ①在RT1和RT2上使用display current-configuration命令，显示如下： [RT1]display current-configuration … acl 3000 match-order auto rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # ipsec proposal proposal1 # ipsec policy policy1 10 manual security acl 3000 proposal proposal1 tunnel local 212.0.0.1 tunnel remote 212.0.0.2 sa spi inbound esp 34567 sa string-key inbound esp abcdef 实验步骤 sa encrytion-hex inbound esp 1234567890123456 sa authentication-hex inbound esp 12345678901234567890123456789012 sa spi outbound esp 12345 sa string-key outbound esp bcdefg sa encrytion-hex outbound esp 1234567890123456 sa authentication-hex outbound esp 12345678901234567890123456789012 … interface Serial3/0 clock DTECLK1 link-protocol ppp ip address 212.0.0.1 255.255.255.0 rip version 2 multicast ipsec policy policy1 … [RT2]display current-configuration … acl 3000 match-order auto rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 实验步骤 # ipsec pro