实训指导2.5-1基于路由器实现分支与总部VPN连接(PT)(精).pptVIP

专 业 务 实 学 以 致 用 计算机网络安全技术与实施 学习情境2：实训任务2.5 基于路由器实现分支与总部VPN连接 内容介绍 任务场景及描述 1 任务相关工具软件介绍 2 任务设计、规划 3 任务实施及方法技巧 4 任务检查与评价 5 任务总结 6 任务场景及描述 任务相关工具软件介绍 思科Packet Tracer（命令行方式配置）： 任务设计、规划 在实际企业环境中，经常有这样的需求，即要把企业总部与其分支机构的两个局域网络利用VPN进行连接，以实现资源的安全共享，其实这种就是前面介绍的VPN结构中的站点到站点（site to site）模式的VPN。如下图所示，长春分公司的内部主机A、B通过VPN实现对北京总部内的C、D主机进行安全通信。 互联网ISP 总公司 地方或远程分公司 北京 长春 010101010101010101010101010 A B C D 任务设计、规划 1、IPsec VPNs组成与功能特性 IPsec VPNs在企业与分支机构的应用中较常见，对于企业的实现也不受限制， IPsec为三层VPN技术，下面重点就IPsec VPNs组成与功能特性中的站点到站点IPsec VPNs进行介绍： 2、站点到站点IPsec VPN的操作 站点到站点IPsec操作的5个步骤如下： IP: IP: IP: IP: R1 R2 S1/0 S1/1 FE0/0 FE0/0 互联网 B A （1）主机A发送感兴趣数据流（需要VPN保护的流量）给主机B； （2）路由器R1和R2协商IKE第1阶段会话（IKE安全关联）； （3）路由器R1和R2协商IKE第2阶段会话（IPsec安全关联）； （4）感兴趣数据流信息通过IPsec隧道进行交换传输； （5）IPsec隧道终止。 任务设计、规划 3、 5个步骤中第1步 哪些流量是感兴趣数据流，即需要VPN保护的流量呢？ 根据图中所示，感兴趣数据流对于路由器R1和R2而言的，此处感兴趣数据流是/24企业总部网络到/24企业分支机构的网络的互相访问的数据流量。例如：主机A到主机B的数据包的源IP为，目的IP为，属于/24到/24的数据流量，反之同理。对于路器来说它并不知道什么是感兴趣数据流，需要进行配置，可以结合访问控制列表进行指明。 哪些流量不是感兴趣数据流，即不需要通过VPN保护的流量呢？ 根据图中所示，对于A主机（同网络的主机也是这样）要访问互联网上的其它主机（不是B主机网络中的主机），这时就不需要进行VPN保护了。如A访问公网的网址，就不是感兴趣数据流了，路由器R1或R2根据访问控制列表可以进行NAT转换处理而不是进行VPN保护了。 因此在路由器R1和R2上要配置访问控制列表定义哪些数据是感兴趣数据流，哪些不是感兴趣数据流，不是感兴趣数据流需要通过配置NAT进行转换。 举个例子，可能不太恰当。银行的总行与分行之间的现金往来是有押运车来保护的，但是银行与蓄户之间的现金往来就没有押运车来保护了。 任务设计、规划 4、 5个步骤中第2步 此步为IKE阶段1：IKE即Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。可以将IKE分为两个阶段：Phase 1主要工作是进行认证，建立一个IKE SA和Phase 2主要是进行密钥交换，利用Phase 1中的IKE SA来协商IPSec SA。一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。SA是单向的；在两个对等端之间存在两个SA。IKE使用UDP端口500进行协商，确保端口500不被阻塞。下面介绍Phase 1。 在phase 1 主要工作是： （1）选用协商模式 main mode（主模式）和aggressive mode（可译为挑战模式或积极模式）两种模式的区别是，主模式安全性要高，提供了对通信双方身份的保护，如IP地址等信息，安全性更高；挑战模式去除了上主模式中的身份的保护等功能，因此速度上要比前一种快。 （2）选用一种身份认证方法 在路由器上，通信双方主要有两种身份认证的方法： 一种是通过preshare key（预共享密钥）进行连接认证，一般多采用此种方式进行身份认证； 另一种是利用前面讲的非对称加密算法及数字证书方式，这又分为两种：一种是(rsa-sig)使用证书授权（使用CA）；别一种是(rsa-encr)手工配置RSA密钥（不使用CA）。 在思科路由器上可以使用如下命令定义身份认证的方法：(